翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Web Application Firewall の統合に関する問題のトラブルシューティング
このセクションでは、Transfer Family AWS WAF との統合に関連する問題の考えられる解決策について説明します。
正当なトラフィックをブロックする WAF のトラブルシューティング
説明
Transfer Family エンドポイント AWS WAF で を設定した後、正当なユーザーは接続できないか、断続的な接続障害を経験できません。ログに HTTP 403 (禁止) レスポンスが表示される場合があります。
原因
AWS WAF ルールが過度に制限されているか、正しく設定されていないために、正当なトラフィックをブロックする誤検出が発生する可能性があります。一般的な原因は次のとおりです。
-
企業ネットワークや VPNs を誤ってブロックする IP ベースのルール
-
通常のトラフィックパターンに対して低すぎるしきい値を持つレートベースのルール
-
ユースケースに対して過度に積極的なマネージドルールグループ
解決策
誤検出の問題を解決するには:
-
AWS WAF ログ記録を有効にして、ブロックをトリガーしているルールを特定します。手順については、AWS WAF 「ウェブ ACL トラフィックのログ記録」を参照してください。
-
ログを確認して、ブロックされたリクエストのパターンを特定します。
-
次の方法でルールを調整します。
-
許可リストへの IP アドレスまたは範囲の追加
-
レートベースのルールのレート制限の引き上げ
-
ブロックなしでモニタリングするブロックモードの代わりに特定のルールをカウントモードに設定する
-
ルールグループの除外を使用した特定のルールの例外の作成
-
-
完全にデプロイする前に、正当なトラフィックの代表的なサンプルを使用して、更新された設定をテストします。
カスタム ID プロバイダーとの WAF 統合のトラブルシューティング
説明
カスタム ID プロバイダーを使用する Transfer Family サーバー AWS WAF で を設定すると、認証が失敗するか、ユーザーに断続的な認証の問題が発生します。
原因
API Gateway でカスタム ID プロバイダーを使用する場合、 AWS WAF ルールは Transfer Family と ID プロバイダー間の API コールを妨げる可能性があります。これは、 がルールセットに基づいて API トラフィックを検査し、ブロックする可能性があるために AWS WAF 発生する可能性があります。
解決策
AWS WAF およびカスタム ID プロバイダーの問題を解決するには:
-
カスタム ID プロバイダーが使用する API Gateway エンドポイントの例外が AWS WAF 設定に含まれていることを確認します。
-
Transfer Family サービスプリンシパル (transfer.amazonaws.com) を AWS WAF ルールの許可リストに追加します。
-
マネージドルールグループを使用する場合は、API 認証フローに影響を与える可能性のあるルールを確認し、それらの特定のルールを無効にすることを検討してください。
-
TestIdentityProviderAPI オペレーションを使用して ID プロバイダーを直接テストし、 AWS WAF 干渉なしで正しく動作することを確認します。
