重要: このソリューションでは AWS CodeCommit を利用する必要がありますが、同サービスは新規のお客様にはご利用いただけなくなりました。AWS CodeCommit の既存のお客様は、これまでどおり、この AWS ソリューションを引き続き利用およびデプロイできます。
概要
AWS での一元的なネットワーク検査は、ネットワークトラフィックのフィルタリングに必要な AWS リソースを設定します。このソリューションでは、Amazon Virtual Private Cloud (Amazon VPC) 間のトラフィックを検査するための一元的な AWS Network Firewall のプロビジョニングのプロセスを自動化することによって時間を節約できます。
利点
このソリューションでは、AWS CodeCommit リポジトリ内の設定パッケージのルールグループとファイアウォールパイプラインを変更できます。AWS CodePipeline が自動的に呼び出され、検証とデプロイが実行されます。
このソリューションを使用すると、大量の Amazon VPC およびアカウントを 1 つの場所で検査できます。AWS Network Firewall、ファイアウォールポリシー、およびルールグループを一元的に設定することもできます。
このソリューションは、GitOps ワークフローを使用することによって AWS Network Firewall 設定に対する変更を同期および管理するために役立ちます。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
ステップ 1
AWS CloudFormation テンプレートは、合計 4 つのサブネットを持つ検査 VPC をデプロイします。サブネットのうち 2 つは VPC Transit Gateway アタッチメントを作成するために使用され、他の 2 つのサブネットは AWS Network Firewall エンドポイントを作成するために使用されます。
ステップ 2
CloudFormation テンプレートは新しい AWS CodeCommitリポジトリ、およびデフォルトですべてのネットワークトラフィックを許可するネットワークファイアウォール設定を作成します。このテンプレートには、新しいルールグループの作成に役立ついくつかの例も含まれています。
ステップ 3
CodeCommit リポジトリ内の設定パッケージを変更すると、AWS CodePipelineが呼び出され、検証ステージおよびデプロイステージを実行します。
ステップ 4
このソリューションは、デフォルトルート送信先で各アベイラビリティーゾーンの Amazon VPCルートテーブルを作成します。ファイアウォールサブネットを含む 1 つの共有ルートテーブルも作成され、デフォルトルート送信先としてトランジットゲートウェイ ID が指定されます。
ステップ 5
このソリューションは、2 つの AWS Key Management Service (AWS KMS) 暗号化キーも作成します。1 つのキーは Amazon Simple Storage Service (Amazon S3) アーティファクト内のオブジェクト、ソースコードバケット、および AWS CodeBuild プロジェクトの暗号化に使用されます。2 つ目のキーは、Network Firewallログ送信先の暗号化に使用されます。
ステップ 6
AWS Identity and Access Management (IAM) ロールは、CodePipeline と CodeBuild ステージに、S3 バケットにアクセスしたり、Network Firewall リソースを管理したりするための許可を付与するために作成されます。