Amplify と AWS WAF の統合方法 - AWS Amplifyホスティング
Amplify ウェブ ACL リソースポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amplify と AWS WAF の統合方法

次のリストは、Firewall サポートを AWS WAF と統合する方法と、ウェブ ACL を作成して Amplify アプリに関連付ける際に考慮すべき制約に関する具体的な詳細を示しています。

  • AWS WAF は、どのタイプの Amplify アプリでも有効にできます。これには、サポートされているフレームワーク、サーバー側レンダリング (SSR) アプリ、完全静的サイトが含まれます。AWS WAF は Amplify Gen 1 および Gen 2 アプリでサポートされています。

  • グローバル (CloudFront) リージョンで Amplify アプリに関連付けるウェブ ACL を作成する必要があります。リージョンウェブ ACL は AWS アカウント に既に存在する可能性がありますが、Amplify と互換性がありません。

  • ウェブ ACL と Amplify アプリは、同じ AWS アカウント で作成する必要があります。AWS Firewall Manager を使用して AWS アカウント 全体に AWS WAF ルールをレプリケートすることで、組織ルールを一元化し、複数の AWS アカウント に分散させることを簡素化できます。詳細については、「AWS WAF デベロッパーガイド」の 「AWS Firewall Manager」を参照してください。

  • 同じ AWS アカウント 内の複数の Amplify アプリ間で同じウェブ ACL を共有できます。アプリはすべて、同じリージョンにある必要があります。

  • ウェブ ACL を Amplify アプリに関連付けると、ウェブ ACL はデフォルトでアプリ内のすべてのブランチにアタッチされます。新しいブランチを作成すると、ウェブ ACL が作成されます。

  • ウェブ ACL を Amplify アプリに関連付けると、そのウェブ ACL はアプリのすべてのドメインに自動的に関連付けられます。ただし、ホストヘッダー一致ルールを使用して、単一のドメイン名に適用されるルールを設定できます。

  • Amplify アプリに関連付けられているウェブ ACL は削除できません。AWS WAF コンソールでウェブ ACL を削除する前に、アプリからウェブ ACL の関連付けを解除する必要があります。

Amplify ウェブ ACL リソースポリシー

Amplify がウェブ ACL にアクセスできるようにするために、関連付け中にリソースポリシーがウェブ ACL にアタッチされます。Amplify はこのリソースポリシーを自動的に構築しますが、AWS WAFV2 GetPermissionPolicy API を使用して表示できます。ウェブ ACL を Amplify アプリに関連付けるには、次の IAM アクセス許可が必要です。

  • amplify:AssociateWebACL

  • wafv2:AssociateWebACL

  • wafv2:PutPermissionPolicy

  • wafv2:GetPermissionPolicy