Firewall Manager コンテンツ監査セキュリティグループポリシーでカスタムポリシールールを使用するにはどうすればよいですか?

所要時間1分
0

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーで、カスタムポリシールールを使用したいと考えています。

簡単な説明

Firewall Manager コンテンツ監査セキュリティグループポリシーを使用すると、組織のセキュリティグループで使用されているルールの確認・管理が可能です。コンテンツ監査セキュリティグループポリシーは、AWS Organizations に含まれる組織で使用されるすべてのセキュリティグループに適用されます。ユースケースに合わせて、コンテンツ監査セキュリティグループポリシーのカスタムポリシールールを作成することができます。

詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

解決方法

Firewall Manager の前提条件を満たしてから、監査セキュリティグループとポリシーを作成する

**重要:**ベストプラクティスは、自動修復を無効にして監査セキュリティグループポリシーを作成することです。自動修復を有効にする前に、ポリシー作成の効果を確認してください。想定される効果を確認したら、ポリシーを編集し、自動修復を有効にしてください。自動修復が有効になると、Firewall Manager によって、対象範囲内のセキュリティグループに準拠していないルールが更新または削除されます。

「監査セキュリティグループで定義されているルールのみを許可する」ポリシールール

このルールには、「対象範囲内のすべてのセキュリティグループには、ポリシーの監査セキュリティグループルールで許可された範囲のルールのみが含まれる必要がある」ことが記述されます。この場合、ポリシーのセキュリティグループルールによって、許容される処理の例が示されます。

ユースケースの例

10.0.0.0/16 の範囲の許可リストに登録されている CIDR からの SSH を許可するには、10.0.0.0/16 からの SSH (TCP ポート 22) のみを許可するインバウンドルールを使用します。別の範囲 (10.0.0.0/8 など) にある他の CIDR からの SSH を許可するセキュリティグループルールは許可されません。

詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

「監査セキュリティグループで定義されているルールの使用を拒否する」ポリシールール

このルールには、「対象範囲内のすべてのセキュリティグループには、ポリシーの監査セキュリティグループルールで許可されない範囲のルールのみが含まれる必要がある」ことが記述されます。この場合、ポリシーのセキュリティグループによって、許容されない処理の例が示されます。

ユースケースの例

ポート範囲 1024~65535 でインバウンド TCP アクセスを拒否するには、0.0.0.0/0 の範囲の TCP トラフィックを許可するインバウンドルールを使用します。任意の CIDR からのポート範囲 1024~65535 の TCP トラフィックを許可するセキュリティグループルールは許可されません。

関連情報

AWS アカウントに AWS Firewall Manager を設定する方法を教えてください。

AWS公式
AWS公式更新しました 9ヶ月前