![[アップデート] AWS Network Firewallのステータスの変化をAmazon EventBridgeイベントとして受け取れるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7688955ca438c58e1daa9713d99135d8/295311a7376d1f262c57d901ac2dc1cd/aws-audit-manager-1?w=3840&fm=webp)
[アップデート] AWS Network Firewallのステータスの変化をAmazon EventBridgeイベントとして受け取れるようになりました
はじめに
おのやんです。
AWS Network Firewall(以下、Network Firewall)がAmazon EventBridge(以下、EventBridge)と統合され、Network Firewallのステータス変化をEventBridgeイベントとして受け取れるようになりました。
Network FirewallがEventBridgeのイベントバスに送信するイベントを、ドキュメントからまとめています。
| イベントタイプ | 概要 |
|---|---|
| Firewall Configuration Changed | ファイアウォールポリシーやルールグループが更新されたときに発行。取りうるステータスはIN_SYNC、PENDING |
| Firewall Attachment Status Changed | ファイアウォールエンドポイントのアタッチメントステータスが変化したときに発行。取りうるステータスはCREATING、READY、DELETING |
| Firewall Transit Gateway Attachment Status Changed | Transit Gatewayアタッチメントのステータスが変化したときに発行。取りうるステータスはCREATING、PENDING_ACCEPTANCE、READY、DELETING |
Network Firewallは設定変更が即座に反映されるリソースではないため、設定変更時のステータスの遷移をEventBridge経由で逐次追いたいケースもあると思います。また、意図しない設定変更・削除を検知したいといったケースでも採用できますね。
やってみた
ということで実際にやってみます。今回、Network Firewall用のVPC・サブネットは先に作っておきます。
まずメール通知用のSNSトピックを作成し、サブスクリプションを追加します。登録したメールアドレスに確認メールが届くので、リンクをクリックして有効化しておきます。
次に、Network Firewallのステータス変化を受け取るEventBridgeルールを作成し、SNSトピックをターゲットに設定します。
EventBridgeルールのイベントパターンはこちらで設定します。
{
"source": ["aws.network-firewall"],
"detail-type": ["Firewall Configuration Changed", "Firewall Attachment Status Changed", "Firewall Transit Gateway Attachment Status Changed"]
}
EventBridgeがSNSトピックにパブリッシュできるよう、SNSリソースポリシーを設定します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:ap-northeast-1:123456789012:aws-test-topic-nfw-eventbridge",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:events:ap-northeast-1:123456789012:rule/aws-test-rule-nfw-state-change"
}
}
}
]
次に、ルールグループを持たない最小構成のファイアウォールポリシーを作成します。今回は検証用途なので、トラフィック制御ルールは設定しません。
以上が準備できましたら、Network Firewallを作成します。
作成完了後に、Firewall Attachment Status ChangedのCREATING、Firewall Configuration ChangedのIN_SYNC、Firewall Attachment Status ChangedのREADYの、合計3通のメールが届きました。
Firewall Attachment Status ChangedのCREATINGのメール
Firewall Configuration ChangedのIN_SYNCのメール
Firewall Attachment Status ChangedのREADYのメール
続いて、Network Firewallポリシーの説明を変更し、Firewall Configuration Changedイベントを発行させてみます。
ポリシーの更新後、ファイアウォールとポリシーの同期が始まります。Firewall Configuration ChangedのPENDING、Firewall Configuration ChangedのIN_SYNCの、合計2通のメールが届きました。
Firewall Configuration ChangedのPENDINGのメール
Firewall Configuration ChangedのIN_SYNCのメール
最後に、Network Firewallを削除してみます。Firewall Attachment Status ChangedのDELETINGのメールが届きました。
Firewall Attachment Status ChangedのDELETINGのメール
まとめ
Network Firewallのステータス変化をEventBridgeイベントとして受け取れるようになりました。
ステータス変化自体を追いたいケースは存在するため、要件によってはけっこう便利なアップデートではないでしょうか。では!
