AWS Firewall Manager AWS WAF および AWS WAF クラシックポリシーのウェブ ACL 関連付けの動作は何ですか?

所要時間2分
0

AWS Firewall Manager AWS WAF ポリシーを使用してウェブ ACL を作成しました。しかし、 ウェブ ACL が範囲内のリソースに正しく関連付けられていません。

  • または - Firewall Manager のポリシーは、非準拠のステータスになっています。

解決方法

Firewall Manager AWS WAF ポリシーのウェブ ACL 関連付けの動作は、以下によって異なります:

  • 自動修復の設定方法
  • 範囲内のリソースにすでにウェブ ACL が関連付けられている場合

AWS WAF Classic の AWS Firewall Manager ポリシーを作成するとき、または AWS WAF のFirewall Manager ポリシーを作成するときは、次のシナリオを検討してください:

[準拠していないリソースを自動修復する] が有効になっていない場合、Firewall Manager が作成したウェブ ACL は範囲内のリソースに関連付けられません。

[準拠していないリソースを自動修復する] のみがオンになっている場合、次のようになります:

  • ポリシーの範囲内にある非準拠 AWS アカウントの場合、Firewall Manager は fmManagedWebACLv2

で始まる名前のウェブ ACL を作成します。このウェブ ACL には、ポリシーで定義されているルールグループが含まれています。

  • Firewall Manager は、ウェブ ACL をアカウント内のすべての非準拠リソースに関連付けます。しかし、範囲内のリソースにすでにウェブ ACL が関連付けられている場合、既存のウェブ ACL が Firewall Manager ポリシーのウェブ ACL に置き換えられることはありません。

[準拠していないリソースを自動修復する]、そして[現在範囲内のリソースに関連付けられているウェブ ACL をこのポリシーによって作成されたウェブ ACL に置き換える] がオンになっている場合、次の処理が行われます:

Firewall Manager AWS WAF クラシックポリシーの場合

範囲内のリソースに次のものがある場合:

  • カスタム AWS WAF クラシックウェブ ACL の場合、リソースはFirewall Manager AWS WAF クラシックポリシーウェブ ACL によって上書きされます。
  • カスタム AWS WAF ウェブ ACL の場合、リソースはFirewall Manager AWS WAF クラシックポリシーウェブ ACL によって上書きされません。
  • AWS Shield Advanced ポリシーによって作成されたウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられます。
  • ウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーによって作成され、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられません。
  • ウェブ ACL は、Firewall Manager AWS WAF ポリシーによって作成され、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられません。

例えば、AWS WAF Classic に ポリシー Aポリシー B という 2 つのポリシーがあり、両方にリソースがあるとします。ポリシー A の範囲内にあるリソースがあり、そのリソースをポリシー B によって作成されたウェブ ACL に置き換える場合は、ポリシー A のポリシー範囲を編集して特定のリソースを除外する必要があります。リソースがポリシー A から除外されると、そのリソースに対応するウェブ ACL の関連付けが削除されます。リソースがポリシー B の範囲内にある場合、リソースはポリシー B によって作成されたウェブ ACL に関連付けられます。

Firewall Manager AWS WAF ポリシーの場合

範囲内のリソースに次のものがある場合:

  • カスタム AWS WAF クラシックウェブ ACL の場合、リソースはFirewall Manager AWS WAF ポリシーウェブ ACL によって上書きされます。
  • カスタム AWS WAF ウェブ ACL の場合、リソースはFirewall Manager AWS WAF ポリシーウェブ ACL によって上書きされます。
  • AWS Shield Advanced ポリシーによって作成されたウェブ ACL は、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられます。
  • ウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーによって作成され、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられません。
  • ウェブ ACL は、Firewall Manager AWS WAF ポリシーによって作成され、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられません。

例えば、AWS WAF に、範囲内のリソースを持つポリシー Aポリシー B という 2 つのポリシーがあるとします。リソースのクリーンアップポリシーが [ポリシーの範囲を外れるリソースから保護を自動的に削除] に設定されていない場合、次の処理が行われます:

  • リソースがポリシー範囲を離れる場合、ポリシー A によって作成されたウェブ ACL は、リソースから自動的に関連付けは解除されません。
  • 対応する範囲内のリソースを使用して新しい AWS WAF ポリシー B を作成すると、新しいポリシーは以前の AWS WAF ポリシーウェブ ACL を上書きします。
  • 対応する範囲内のリソースを使用して新しい AWS WAF クラシック ポリシー B を作成する場合、新しいポリシーは以前の AWS WAF ポリシーウェブ ACL を上書きしません。

ポリシーの範囲に関するオプションの詳細については、「AWS Firewall Manager ポリシーの範囲」を参照してください。


AWS公式
AWS公式更新しました 2年前
コメントはありません