Amazon CloudFront AWS WAF での の使用 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
がさまざまなディストリビューションタイプと AWS WAF 連携する方法

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudFront AWS WAF での の使用

Amazon CloudFront 機能 AWS WAF で を使用する方法について説明します。

保護パック (ウェブ ACL) を作成するときに、検査する AWS WAF 1 つ以上の CloudFront ディストリビューションを指定できます。CloudFront は、個々のテナントを保護する標準ディストリビューションと、単一の共有設定テンプレートを使用して複数のテナントを保護するマルチテナントディストリビューションの 2 つのタイプのディストリビューションをサポートしています。 は、保護パック (ウェブ ACLs) で定義したルールに基づいて、両方のディストリビューションタイプのウェブリクエスト AWS WAF を検査し、タイプごとに実装パターンが異なります。

トピック

がさまざまなディストリビューションタイプと AWS WAF 連携する方法

ディストリビューションタイプ

AWS WAF は、標準およびマルチテナントディストリビューション CloudFront ディストリビューションの両方にウェブアプリケーションファイアウォール機能を提供します。

標準ディストリビューション

標準ディストリビューションの場合、 はディストリビューションごとに 1 つの保護パック (ウェブ ACL) を使用して保護 AWS WAF を追加します。この保護を有効にするには、既存の保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けるか、CloudFront コンソールでワンクリック保護を使用します。これにより、保護パック (ウェブ ACL) を変更すると、それに関連付けられたディストリビューションにのみ影響するため、各ディストリビューションのセキュリティコントロールを個別に管理できます。

CloudFront ディストリビューションを保護するこの簡単な方法は、単一の保護パック (ウェブ ACL) から特定の保護を個々のドメインに提供するのに最適です。

標準ディストリビューションに関する考慮事項

  • 保護パック (ウェブ ACL) の変更は、関連するディストリビューションにのみ影響します。

  • 各ディストリビューションには、独立した保護パック (ウェブ ACL) 設定が必要です

  • ルールとルールグループはディストリビューションごとに個別に管理されます

マルチテナントディストリビューション

マルチテナントディストリビューションの場合、 は単一の保護パック (ウェブ ACL) を使用して複数のドメインに保護 AWS WAF を追加します。マルチテナントディストリビューションによって管理されるドメインは、ディストリビューションテナントと呼ばれます。マルチテナントディストリビューション AWS WAF の保護は、マルチテナントディストリビューションの作成プロセス中または作成後に、CloudFront コンソールでのみ有効にできます。ただし、保護パック (ウェブ ACL) への変更は、 AWS WAF コンソールまたは API を通じて管理されます。

マルチテナントディストリビューションは、次の 2 つのレベルで AWS WAF 保護を可能にする柔軟性を提供します。

  • マルチテナントディストリビューションレベル – 関連付けられた保護パック (ウェブ ACLs) は、そのディストリビューションを共有するすべてのアプリケーションに適用されるベースラインセキュリティコントロールを提供します。

  • ディストリビューションテナントレベル – マルチテナントディストリビューション内の個々のテナントは、追加のセキュリティコントロールを実装したり、マルチテナントディストリビューション設定を上書きしたりするために、独自の保護パック (ウェブ ACLs) を持つことができます。

これらの 2 つの階層により、マルチテナントディストリビューションは、個々のディストリビューションのセキュリティをカスタマイズする能力を失うことなく、複数のドメイン間で AWS WAF 保護を共有するのに最適です。

マルチテナントディストリビューションに関する考慮事項

  • 個々のディストリビューションテナントは、関連するマルチテナントディストリビューションに関連付けられている保護パック (ウェブ ACLs) に加えられた変更を継承します。

  • 特定のディストリビューションテナントに関連付けられた保護パック (ウェブ ACLs) は、マルチテナント保護パック (ウェブ ACL) レベルで設定された設定を上書きできます。

  • マネージドルールグループは、ディストリビューションテナントレベルとディストリビューションテナントレベルの両方で実装できます。

  • アプリケーション識別子をログに配置して、ディストリビューション別にセキュリティイベントを追跡できます。

AWS WAF ディストリビューションタイプ別の機能

保護パック (ウェブ ACL) の実装を比較する
AWS WAF 機能 標準ディストリビューション マルチテナントディストリビューション
保護パックの関連付け (ウェブ ACLs) ディストリビューションごとに 1 つの保護パック (ウェブ ACL) オプションでテナント固有の保護パック (ウェブ ACLs) を使用して、テナント間で保護パック (ウェブ ACLs) を共有できます。
ルール管理 ルールが 1 つのディストリビューションに影響する マルチテナントディストリビューションルールは、関連するすべてのテナントに影響します。ディストリビューションテナント固有のルールは、そのテナントにのみ影響します。
マネージドルールグループ 個々のディストリビューションに適用 すべてのテナントにマルチテナント分散レベルで、または特定のアプリケーションにテナントレベルで適用できます。
ログ記録 標準 AWS WAF ログ ログには、セキュリティイベント属性のテナント識別子が含まれます