Loading...
Back

Credential Storeの設定方法 (AWS WAF Classic/AWS WAF v2、旧プラン)

AWS WAF ClassicAWS WAF v2Old PlanUsage

概要

旧プランにてAWS WAF v2あるいはAWS WAF ClassicでCredential Storeを設定する方法を説明します。

登録方法は3つあります。

  • IAM Roleを新規作成して登録する(CloudFormationを使用してIAMロールごと新規作成する)
  • 既存のIAM Roleを登録する(AWSマネージメントコンソールにてIAMロールを先に作成し、ARNと信頼ポリシーを登録する)
  • 既存のIAM Userを登録する(AWSマネージメントコンソールにてIAMユーザーを先に作成し、キーを登録する)

「IAM Roleを新規作成して登録する(CloudFormationを使用してIAMロールごと新規作成する)」方法はCloudFormationを使って設定を行うため、自動的にAWSWAFFullAccess、AmazonS3ReadOnlyAccess、CloudWatchReadOnlyAccess の3つの権限がIAM Roleに付与されます。

旧プランでのご利用の場合、 CloudWatchReadOnlyAccess は不要ですので、IAM Role作成後は削除いただいて問題ございません。

付与する権限の詳細については、必要な権限 (AWS WAF Classic/AWS WAF v2、旧プラン) をご参考ください。

注意点

  • 手順が3つありますが、そのうち「IAM Roleを新規作成して登録する(CloudFormationを使用して新規作成する)」方法では以下の注意点があります。
    • 新プランでのご利用の場合に必要な権限を自動で付与する仕組みとなっています。旧プランでは不要な権限が含まれるため、CloudFormationを使って登録する場合は別途権限の調整が必要です。
    • CloudFormationを実行するリージョンは、ap-northeast-1(東京)リージョンに固定されています。
  • 登録方法のうち、IAM Roleを使用する方法(AssumeRole方式)を推奨します。
  • 既存のIAM Userを登録する(AWSマネージメントコンソールにてIAMユーザーを先に作成し、キーを登録する)方法はアクセスキー・シークレットキーを登録する形となるため、非推奨ですが使用可能です。「登録」ボタンは無効にはなっていないため、この方法をご利用される場合は「登録」ボタンを押下して手順通りに進めてください。

手順

IAM Roleを新規作成して登録する(CloudFormationを使用して新規作成する)

  1. WafCharmコンソールにログインする
  2. 左側のメニューからCredentialをクリックする
  3. [IAM Roleを新規作成して登録する] の下にある [登録] ボタンをクリックする
  4. [事前確認] にて操作用のAWSアカウントの確認を行い、[次のステップへ] をクリックする

    CloudFormationのStack作成権限、IAM Roleの作成権限のないAWSアカウントの場合、以降のステップで失敗しますので、事前にご確認ください。

    また、画面上は「CloudWatch Metricsに対する読み取り権限(CloudWatchReadOnlyAccess)」と記載がありますが、旧プランでのご利用の場合は不要ですので、以降のステップにて手動で当該権限を削除します。

  5. 使用するAWSアカウントのIDと、これから作成するIAMロールの名前を入力する

    IAMロールの名前は任意です。CloudFormationで新規作成するIAMロールの名前になりますので、わかりやすい名前をおすすめします。

  6. [テンプレート生成] をクリックする
  7. [以下に発行されるURLよりAWSにて設定を完了してください] の下に記載されているURLをクリックする

    URLはリンクになっているため、クリックするとAWSマネージメントコンソール上でCloudFormationが開きます。

  8. AWSマネジメントコンソールが開くので、以下の項目にチェックをする

    I acknowledge that AWS CloudFormation might create IAM resources with custom names.

  9. Create stackをクリックする
  10. Stackの作成が完了するのを待つ
  11. Create completeとなったら、IAMロールが作成されていることを確認する
  12. 作成したIAMロールの画面にて [CloudWatchReadOnlyAccess] にチェックをいれ、[Remove] をクリックして権限を外す

    上記の通り、旧プランでのご利用の場合は当該の権限は不要ですので、IAMロールから削除します。

  13. WafCharmコンソールに戻って、検証ボタンをクリックする
  14. 「検証OK」と返ってきたら、次のステップに進む
  15. Credential Storeの名前を確認する

    IAMロールの名前が自動で入力されます。このままでよければ次に進みます。変更したい場合は、任意の値に変更してから次に進んでください。

  16. [設定完了] をクリックする

「Credentialの新規登録が完了しました。」というメッセージが表示されたら登録完了です。[Credential一覧へ] ボタンから、登録したクレデンシャル情報の一覧を確認できます。

既存のIAM Roleを登録する(AWSマネージメントコンソールにてIAMロールを先に作成し、ARNと信頼ポリシーを登録する)

  1. AWSマネージメントコンソールにログインする
  2. IAMダッシュボードを開く
  3. 左のメニューから [Roles] をクリックする
  4. Rolesの画面を開いたら、右上の [Create role] ボタンをクリックしロールを作成する
  5. [Select trusted entity] にて、AWS Accountを選択する

    [An AWS Account] の箇所では、「This account (アカウントID)」を選択してください。Optionは変更不要です。

    ※ロールの作成が完了後、WafCharmから発行された信頼ポリシーを使用する必要がありますので、後半の手順で信頼するアカウントは正しいものに変更されます。

  6. [Permissions policies] にて、必要な権限を追加する

    AWSWAFFullAccess 、 AmazonS3ReadOnlyAccess

    画面上は「CloudWatch Metricsに対する読み取り権限(CloudWatchReadOnlyAccess)」と記載がありますが、旧プランでのご利用の場合は不要です。

  7. 次の確認画面で任意のRole nameを入力し、指定した内容を確認したらCreate roleボタンをクリックする

    この後の手順で信頼ポリシーを更新します。「Step 1: Select trusted entities」以下の内容については、現時点では自分のAWSアカウントIDが記載されている状態で問題ありません。

  8. Rolesの画面に戻ったら、先ほど作成したロールの名前をクリックして詳細画面を表示する 後ほど、WafCharmコンソール上で提供される信頼ポリシーを設定しますので、画面を開いたままにしてください。
  9. WafCharmコンソールにログインする
  10. 左側のメニューからCredentialをクリックする
  11. [既存のIAM Roleを登録する] の下にある [登録] ボタンをクリックする
  12. [IAM Roleの信頼ポリシーを生成する] をクリックする
  13. [コピー] ボタンをクリックし、信頼ポリシーをコピーする
  14. AWSマネージメントコンソールに戻り、先ほど作成したIAMロールの[Trust relationships] タブをクリックする
  15. [Edit trust policy] ボタンをクリックする
  16. [Edit trust policy] 以下に、先ほどクレデンシャルを登録した際に表示された信頼ポリシーを貼り付ける
  17. [Update policy] ボタンをクリックする
  18. IAMロールのARNをコピーする
  19. WafCharmコンソールに戻り、 [IAM RoleのARNを入力し、「検証」ボタンを押下してください。] 以下の入力欄にARNを貼り付ける
  20. [検証] ボタンをクリックする
  21. [検証] ボタンをクリックし、 [検証OK] と表示されることを確認したら、次のステップへ進む
  22. [登録] 画面にてCredential Store名を入力する
  23. [設定完了] をクリックする

「Credentialの新規登録が完了しました。」というメッセージが表示されたら登録完了です。[Credential一覧へ] ボタンから、登録したクレデンシャル情報の一覧を確認できます。

既存のIAM Userを登録する(AWSマネージメントコンソールにてIAMユーザーを先に作成し、キーを登録する)

  1. AWSマネージメントコンソールにログインする
  2. IAMダッシュボードを開く
  3. 左のメニューから [Users] をクリックする
  4. Usersの画面を開いたら、右上の [Add users] ボタンをクリックしユーザーを作成する
  5. [User name] を入力する
  6. [Create group] をクリックする

    すでにグループが存在する場合には、[User groups] から選択し、手順10に進んでください。

  7. [User group name] を入力する
  8. [Permissions policies] にて、必要な権限を追加する

    AWSWAFFullAccess 、 AmazonS3ReadOnlyAccess

  9. [Create user group] をクリックし、作成したユーザーグループを選択する
  10. [Next] をクリックする
  11. [Create user] をクリックする
  12. 作成したユーザーの名前をクリックする
  13. [Security credentials] タブをクリックする
  14. [Access keys] にてアクセスキーを作成する
  15. アクセスキーとシークレットキーをコピーする

    アクセスキーとシークレットキーは、この後の手順で使用できるようにしておいてください。

    必要に応じて [Download .csv file] からCSVファイルをダウンロードしてください。

  16. WafCharmコンソールにログインする
  17. 左側のメニューからCredentialをクリックする
  18. [既存のIAM Userを登録する] の下にある [登録] ボタンをクリックする

    グレーアウトしていますが、押下可能です。

  19. [IAM User 権限設定] 以下の [アクセスキーID] と [シークレットアクセスキー] にそれぞれのキーを貼り付ける
  20. [検証] ボタンをクリックし、 [検証OK] と表示されることを確認する

    WafCharmアカウントにて同じアクセスキー・シークレットキーを重複して登録することはできません。重複している場合、エラーが表示されます。もし同じアクセスキー・シークレットキーを再利用したい場合は、登録済みのCredential情報をご利用ください。

  21. [登録] 画面にてCredential Store名を入力する
  22. [設定完了] をクリックする

「Credentialの新規登録が完了しました。」というメッセージが表示されたら登録完了です。[Credential一覧へ] ボタンから、登録したクレデンシャル情報の一覧を確認できます。