AWS Firewall Manager のセキュリティポリシーによって自動作成された Web ACL を子アカウントから編集出来るか確認してみた

いわさです。

先日 Firewall Manager を使っていたのですが、セキュリティポリシーで各アカウントに配信される Web ACL が子アカウント側で編集出来ることに気が付きました。
本日はいくつか設定変更したり親アカウント側で再更新したりなどを試してみました。

変更出来る点、出来ない点

ルールグループの追加が出来る

セキュリティポリシーで配布される Web ACL では First と Last のルールグループを構成することが出来ます。

子アカウントではこれらのグループの編集は出来ません。
ただし個別のアカウントでルールグループを追加することが出来ます。

そしてドキュメントにも記載されているのですが、これらのルールは以下の優先順位で評価されます。

• お客様が Firewall Manager AWS WAF ポリシーで定義した最初のルールグループ。AWS WAF は最初にこれらのルールグループを評価します。
• アカウントマネージャーがウェブ ACL で定義したルールおよびルールグループ。AWS WAF は次にアカウントマネージドルールまたはルールグループを評価します。
• お客様が Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ。AWS WAF は最後にこれらのルールグループを評価します。

Firewall Manager のセキュリティポリシーで配布されるルールグループの編集は出来ないが、個別にルールグループを追加出来る点を覚えておきましょう。
また セキュリティポリシー構成時はその特性を理解した上で First と Last を構成するのが良さそうです。

ログ有効化/無効化は更新出来ない

Firewall Manager 側でログを有効化し出力先の共通化を行うことが出来ますが、個別のアカウントでこの設定を無効化することは出来ませんでした。

サンプルリクエストの設定は可能

一方でサンプルリクエスト構成の編集は可能でした。

CAPTCHA やデフォルトアクションの動作は変更可能

ルールグループの追加以外にデフォルトアクションの編集と CAPTHA の有効化・設定も可能でした。
デフォルトアクションについては Firewall Manager のセキュリティポリシーで設定したカスタムリクエスト・カスタムレスポンスの設定を変更や無効化することも出来ました。

変更した状態で Firewall Manager 側でポリシー更新してみる

さて各 Web ACL 側でいくつか変更出来る箇所があることがわかりました。
この状態で Firewall Manager でセキュリティポリシーの更新を行うとどうなるでしょうか。気になります。

Web ACL 側で設定更新の出来なかったログ統合周りを少し変更してみます。
Redacted fields を追加しいて更新しました。

Web ACL で変更した箇所の一部がセキュリティポリシーの最新状態で上書きされた

では Web ACL 側どのように更新されたか確認してみます。
結論としては一部は Web ACL 側の独自設定が残ったままで、一部は Firewall Manager 側の最新の設定で上書きされることで Web ACL 側で独自に行った設定が消えました。

例えば、追加のルールグループと CAPTCHA 構成については残ったままです。
一方で、デフォルトアクション・カスタムリクエスト（レスポンス）の設定についてはセキュリティポリシーの設定に戻りました。

また、サンプルリクエストについてもセキュリティポリシー側の設定が反映されていることを確認しました。

さいごに

本日は AWS Firewall Manager のセキュリティポリシーによって自動作成された Web ACL を子アカウントから編集出来るか確認してみました。

まず個別の Web ACL 側での設定変更は出来る箇所と出来ない箇所があることがわかりました。
さらに、設定変更が出来る箇所でも最新のセキュリティポリシー設定が配布されたタイミングで上書き更新されるものもあることがわかりました。

まとめると、セキュリティポリシー側でまだ未対応で Web ACL 側で個別に対応するしかない項目については個別対応、それ以外については個別対応は避けて Firewall Manager の設定に任せるのが無難そうです。