AWS Network Firewall で [ルール評価の順序] を変更したい場合の対処方法

困っている内容

ファイアウォールを作成した際、ファイアウォールに紐づけるファイアウォールポリシーの設定を誤ってしまい、[ルール評価の順序] を [アクションの順序]（旧:[デフォルトの順序]） にしてしまいました。

本来であれば、ファイアウォールの [ステートフルルール評価の順序とデフォルトのアクション] で [デフォルトのアクション] を任意に選択できるよう、ファイアウォールに紐づけるファイアウォールポリシーの [ルール評価の順序] は [厳密な順序] にしたいです。

どのようにすればいいでしょうか？

どう対応すればいいの？

[ルール評価の順序] を [厳密な順序] に設定したファイアウォールポリシーを新規で作成して、ファイアウォールに紐づいている既存のファイアウォールポリシーと付け替えてください。
ファイアウォールポリシーの [ルール評価の順序] は、ファイアウォールポリシー作成後では変更ができません。

なお、ファイアウォールポリシーの付け替えに伴ってファイアウォールにおける [ルール評価の順序] が変更される場合、ダウンタイムが発生しますこと、あらかじめご了承ください。

Warning
If your firewall update changes your stateful rule evaluation order type, you will experience an interruption of in-flight traffic through the firewall for a few seconds during the reset. This is the only type of update that has this effect. For more information about stateful rule evaluation order types, see Evaluation order for stateful rule groups.

補足

ファイアウォールに紐づけられたファイアウォールポリシーを変更する際、以下のエラーが発生する場合があります。

Cannot AssociateFirewallPolicy because FirewallPolicyChangeProtection is on

当該エラーは、ファイアウォールの "FirewallPolicyChangeProtection" の値が true だと発生します。
そのため、一時的に "FirewallPolicyChangeProtection" の値を false へ変更した後、ファイアウォールポリシーの付け替えを実行することで当該エラーは回避できます。

"FirewallPolicyChangeProtection" の値は、AWS CLI の describe-firewall コマンドを実行することで確認できます。

また、"FirewallPolicyChangeProtection" の値の変更は、AWS CLI の update-firewall-policy-change-protection コマンドを実行することで可能です。

参考資料

[1] Updating a firewall - AWS Network Firewall
[2] describe-firewall — AWS CLI 1.29.49 Command Reference
[3] update-firewall-policy-change-protection — AWS CLI 1.29.49 Command Reference