AWS WAF の IP セットを複数のアカウントで共有することは可能でしょうか?

AWS WAF の IP セットを複数のアカウントで共有することは可能でしょうか?

Clock Icon2025.05.07

困っていた内容

AWS WAF の IP セットを複数のアカウントで共有することは可能でしょうか。

実際どうなのか

特定のアカウントにおける AWS WAF の IP セット自体を他のアカウントと共有するような AWS サービスの機能はありません。

一方で、AWS Firewall Manager における AWS WAF ポリシーでは、組織内の管理対象アカウントの WebACL に対して適用するルールグループを指定することが可能です。

したがって、Firewall Manager の管理アカウントにて、特定の IP セットに含まれる IP アドレスからのリクエストを Allow/Block するようなカスタムルールを独自ルールグループ内に作成し、そのルールグループを AWS WAF ポリシーを用いて他のアカウントの WebACL に適用することは可能です。

この方法は、IP セットのように「IP アドレスだけを使いまわす」という仕組みではありませんが、「特定の IP アドレスを許可/ブロックするルールを複数アカウントで使いまわす」ことは可能です。

参考情報

  • Firewall Manager での AWS WAF ポリシーの使用

    Firewall Manager AWS WAF ポリシーでは、ポリシーの範囲内にあるすべてのリソースを保護するために使用する AWS WAF ルールグループを指定します。ポリシーを適用すると、Firewall Manager は、指定されたルールグループおよびその他のポリシー設定を使用して、範囲内のリソース ACL のウェブ管理を開始します。

  • AWS WAF ポリシーのルールグループ管理

    Firewall Manager AWS WAF ポリシーによって管理される WebACL には、3 セットのルールが含まれています。これらのセットは、WebACL のルールとルールグループの優先順位を決定します。

    • Firewall Manager AWS WAF ポリシーで定義した最初のルールグループ(最初に評価される)
    • 各アカウントの WebACL に個別に定義されたルールとルールグループ(次に評価)
    • Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ(最後に評価)

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.