AWS WAF の IP セットを複数のアカウントで共有することは可能でしょうか?
困っていた内容
AWS WAF の IP セットを複数のアカウントで共有することは可能でしょうか。
実際どうなのか
特定のアカウントにおける AWS WAF の IP セット自体を他のアカウントと共有するような AWS サービスの機能はありません。
一方で、AWS Firewall Manager における AWS WAF ポリシーでは、組織内の管理対象アカウントの WebACL に対して適用するルールグループを指定することが可能です。
したがって、Firewall Manager の管理アカウントにて、特定の IP セットに含まれる IP アドレスからのリクエストを Allow/Block するようなカスタムルールを独自ルールグループ内に作成し、そのルールグループを AWS WAF ポリシーを用いて他のアカウントの WebACL に適用することは可能です。
この方法は、IP セットのように「IP アドレスだけを使いまわす」という仕組みではありませんが、「特定の IP アドレスを許可/ブロックするルールを複数アカウントで使いまわす」ことは可能です。
参考情報
-
Firewall Manager での AWS WAF ポリシーの使用
Firewall Manager AWS WAF ポリシーでは、ポリシーの範囲内にあるすべてのリソースを保護するために使用する AWS WAF ルールグループを指定します。ポリシーを適用すると、Firewall Manager は、指定されたルールグループおよびその他のポリシー設定を使用して、範囲内のリソース ACL のウェブ管理を開始します。
-
Firewall Manager AWS WAF ポリシーによって管理される WebACL には、3 セットのルールが含まれています。これらのセットは、WebACL のルールとルールグループの優先順位を決定します。
- Firewall Manager AWS WAF ポリシーで定義した最初のルールグループ(最初に評価される)
- 各アカウントの WebACL に個別に定義されたルールとルールグループ(次に評価)
- Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ(最後に評価)