AWS Firewall Manager コンテンツ監査セキュリティグループポリシーで、カスタムポリシールールを使用したいと考えています。
簡単な説明
Firewall Manager コンテンツ監査セキュリティグループポリシーを使用すると、組織のセキュリティグループで使用されているルールの確認・管理が可能です。コンテンツ監査セキュリティグループポリシーは、AWS Organizations に含まれる組織で使用されるすべてのセキュリティグループに適用されます。ユースケースに合わせて、コンテンツ監査セキュリティグループポリシーのカスタムポリシールールを作成することができます。
詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。
解決方法
Firewall Manager の前提条件を満たしてから、監査セキュリティグループとポリシーを作成する
**重要:**ベストプラクティスは、自動修復を無効にして監査セキュリティグループポリシーを作成することです。自動修復を有効にする前に、ポリシー作成の効果を確認してください。想定される効果を確認したら、ポリシーを編集し、自動修復を有効にしてください。自動修復が有効になると、Firewall Manager によって、対象範囲内のセキュリティグループに準拠していないルールが更新または削除されます。
「監査セキュリティグループで定義されているルールのみを許可する」ポリシールール
このルールには、「対象範囲内のすべてのセキュリティグループには、ポリシーの監査セキュリティグループルールで許可された範囲のルールのみが含まれる必要がある」ことが記述されます。この場合、ポリシーのセキュリティグループルールによって、許容される処理の例が示されます。
ユースケースの例
10.0.0.0/16 の範囲の許可リストに登録されている CIDR からの SSH を許可するには、10.0.0.0/16 からの SSH (TCP ポート 22) のみを許可するインバウンドルールを使用します。別の範囲 (10.0.0.0/8 など) にある他の CIDR からの SSH を許可するセキュリティグループルールは許可されません。
詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。
「監査セキュリティグループで定義されているルールの使用を拒否する」ポリシールール
このルールには、「対象範囲内のすべてのセキュリティグループには、ポリシーの監査セキュリティグループルールで許可されない範囲のルールのみが含まれる必要がある」ことが記述されます。この場合、ポリシーのセキュリティグループによって、許容されない処理の例が示されます。
ユースケースの例
ポート範囲 1024~65535 でインバウンド TCP アクセスを拒否するには、0.0.0.0/0 の範囲の TCP トラフィックを許可するインバウンドルールを使用します。任意の CIDR からのポート範囲 1024~65535 の TCP トラフィックを許可するセキュリティグループルールは許可されません。
関連情報
AWS アカウントに AWS Firewall Manager を設定する方法を教えてください。