AWS Firewall Manager AWS WAF ポリシーを使用してウェブ ACL を作成しました。しかし、
ウェブ ACL が範囲内のリソースに正しく関連付けられていません。
- または -
Firewall Manager のポリシーは、非準拠のステータスになっています。
解決方法
Firewall Manager AWS WAF ポリシーのウェブ ACL 関連付けの動作は、以下によって異なります:
- 自動修復の設定方法
- 範囲内のリソースにすでにウェブ ACL が関連付けられている場合
AWS WAF Classic の AWS Firewall Manager ポリシーを作成するとき、または AWS WAF のFirewall Manager ポリシーを作成するときは、次のシナリオを検討してください:
[準拠していないリソースを自動修復する] が有効になっていない場合、Firewall Manager が作成したウェブ ACL は範囲内のリソースに関連付けられません。
[準拠していないリソースを自動修復する] のみがオンになっている場合、次のようになります:
- ポリシーの範囲内にある非準拠 AWS アカウントの場合、Firewall Manager は fmManagedWebACLv2
で始まる名前のウェブ ACL を作成します。このウェブ ACL には、ポリシーで定義されているルールグループが含まれています。
- Firewall Manager は、ウェブ ACL をアカウント内のすべての非準拠リソースに関連付けます。しかし、範囲内のリソースにすでにウェブ ACL が関連付けられている場合、既存のウェブ ACL が Firewall Manager ポリシーのウェブ ACL に置き換えられることはありません。
[準拠していないリソースを自動修復する]、そして[現在範囲内のリソースに関連付けられているウェブ ACL をこのポリシーによって作成されたウェブ ACL に置き換える] がオンになっている場合、次の処理が行われます:
Firewall Manager AWS WAF クラシックポリシーの場合
範囲内のリソースに次のものがある場合:
- カスタム AWS WAF クラシックウェブ ACL の場合、リソースはFirewall Manager AWS WAF クラシックポリシーウェブ ACL によって上書きされます。
- カスタム AWS WAF ウェブ ACL の場合、リソースはFirewall Manager AWS WAF クラシックポリシーウェブ ACL によって上書きされません。
- AWS Shield Advanced ポリシーによって作成されたウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられます。
- ウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーによって作成され、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられません。
- ウェブ ACL は、Firewall Manager AWS WAF ポリシーによって作成され、Firewall Manager AWS WAF クラシックポリシーウェブ ACL に置き換えられません。
例えば、AWS WAF Classic に ポリシー A とポリシー B という 2 つのポリシーがあり、両方にリソースがあるとします。ポリシー A の範囲内にあるリソースがあり、そのリソースをポリシー B によって作成されたウェブ ACL に置き換える場合は、ポリシー A のポリシー範囲を編集して特定のリソースを除外する必要があります。リソースがポリシー A から除外されると、そのリソースに対応するウェブ ACL の関連付けが削除されます。リソースがポリシー B の範囲内にある場合、リソースはポリシー B によって作成されたウェブ ACL に関連付けられます。
Firewall Manager AWS WAF ポリシーの場合
範囲内のリソースに次のものがある場合:
- カスタム AWS WAF クラシックウェブ ACL の場合、リソースはFirewall Manager AWS WAF ポリシーウェブ ACL によって上書きされます。
- カスタム AWS WAF ウェブ ACL の場合、リソースはFirewall Manager AWS WAF ポリシーウェブ ACL によって上書きされます。
- AWS Shield Advanced ポリシーによって作成されたウェブ ACL は、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられます。
- ウェブ ACL は、Firewall Manager AWS WAF クラシックポリシーによって作成され、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられません。
- ウェブ ACL は、Firewall Manager AWS WAF ポリシーによって作成され、Firewall Manager AWS WAF ポリシーウェブ ACL に置き換えられません。
例えば、AWS WAF に、範囲内のリソースを持つポリシー A とポリシー B という 2 つのポリシーがあるとします。リソースのクリーンアップポリシーが [ポリシーの範囲を外れるリソースから保護を自動的に削除] に設定されていない場合、次の処理が行われます:
- リソースがポリシー範囲を離れる場合、ポリシー A によって作成されたウェブ ACL は、リソースから自動的に関連付けは解除されません。
- 対応する範囲内のリソースを使用して新しい AWS WAF ポリシー B を作成すると、新しいポリシーは以前の AWS WAF ポリシーウェブ ACL を上書きします。
- 対応する範囲内のリソースを使用して新しい AWS WAF クラシック ポリシー B を作成する場合、新しいポリシーは以前の AWS WAF ポリシーウェブ ACL を上書きしません。
ポリシーの範囲に関するオプションの詳細については、「AWS Firewall Manager ポリシーの範囲」を参照してください。