Firewall Managerを削除してみた

こんにちは、臼田です。

AWS Firewall ManagerはAWS Organizationsで管理している複数のアカウントに対して一括でAWS WAFを適用することができます。

それでは、設定を削除した場合はどのような動きをするのでしょうか?AWS WAFからとAWS Firewall Managerからの2つを確認してみました。

AWS WAFの画面から削除してみた

Firewall ManagerではPolicyを作成して適用することで、一括してAWS WAFを適用することができます。

実際にAWS WAFの画面では直接AWS WAFを作成したときと同じようにWebACLが作成されています。

Policyが効いた状態のまま、まずはこちらを削除してみます。勝手にWebACLだけ削除されるというシナリオで、Policyに反する状態なので、削除後に再生成されることが期待できます。

削除前の状態は下記のようにすべてのアカウントでPolicyが守られていて正常な状態です。

管理下のアカウントでWebACLを削除します。なお、WebACL内のRuleやResourcesが空でないと削除できないため、空にしておきます。

削除して数分で、再びWebACLが作成され、ALBに適用されました。

しかし、しばらく経過してもFirewall Managerの画面ではNoncompliantとなり修正されていない状態のままでした。

Firewall ManagerはAWS Config Rulesにてリソースの状況を監視しているのでこれを確認すると非準拠の状態のままでした。しかし、実際には正常な状態なので「再評価」を押してステータスを更新します。config ruleのトリガータイプが「設定の変更」になっているためうまく確認できていなかった可能性があります。

これでPolicyが適用された正常な状態に戻りました。Configの表示は間違っていましたが、実際の設定はすぐに復旧したので頼りになりますね。

Firewall Managerから削除してみた

Firewall Managerから削除した場合に、各WebACLが保持されるのか、削除されるのか確認してみます。

Firewall Managerの画面から対象のPolicyを選択して「Delete」を押します。

削除するとPolicyは削除されました。

「The deleted policy's rule groups will be removed from all accounts in your AWS Organization.」と表示されますが、現状ではリソースは削除されないようです。

Web ACLを管理しているアカウントごと、割り当てられているリソース(CloudFront or ALB)を解除しルールを外した後、個別に削除します。

まとめ

Firewall Managerを利用することにより、誤ったWeb ACLの削除を行っても再適用がされることができました。

逆に、Policy削除の際は現状個別の削除が必要なようなので注意が必要です。

これは今後のアップデートに期待しましょう。