**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の AWS WAF 仕組み
<a name="how-aws-waf-works"></a>

を使用して AWS WAF 、保護されたリソースが HTTP(S) ウェブリクエストにどのように応答するかを制御します。これを行うには、ウェブアクセスコントロールリスト (ウェブ ACL) を定義し、保護する 1 つ以上のウェブアプリケーションリソースと関連付けます。関連付けられたリソースは、ウェブ ACL による検査 AWS WAF のために受信リクエストを に転送します。

**新しいコンソール** は、ウェブ ACL 設定プロセスを簡素化します。セキュリティルールを完全に制御しながらセットアップを効率化する保護パックが導入されました。

保護パックはウェブ ACL の新しい場所であり、コンソールでのウェブ ACL 管理を簡素化しますが、基盤となるウェブ ACL 機能は変更されません。標準コンソールまたは API を使用する場合でも、ウェブ ACL で引き続き直接作業できます。

保護パック (ウェブ ACL) では、リクエスト内で検索するトラフィックパターンを定義し、一致するリクエストに対して実行するアクションを指定するルールを作成します。アクションの選択肢は次のとおりです。
+ 処理と応答のために、リクエストを保護されたリソースに送信することを許可する。
+ リクエストをブロックする。
+ リクエストをカウントする。
+ リクエストに対して CAPTCHA またはチャレンジチェックを実行して、人間のユーザーと標準的なブラウザの使用を確認します。

**AWS WAF コンポーネント**  
以下は、 の主要なコンポーネントです AWS WAF。
+ **ウェブ ACLs** – ウェブアクセスコントロールリスト (ウェブ ACL) を使用して、一連の AWS リソースを保護します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールによってまだブロックまたは許可されていないすべてのリクエストをブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションをセットします。ウェブ ACL の詳細については、「[での保護の設定 AWS WAF](web-acl.md)」を参照してください。

  ウェブ ACL は AWS WAF リソースです。
+ **保護パック (ウェブ ACL)** - 新しいコンソールでは、保護パックはウェブ ACL の新しい場所になります。セットアップ時に、アプリケーションとリソースに関する情報を提供します。 はシナリオに合わせた保護パック AWS WAF を推奨し、選択した保護パック (ウェブ ACL) で定義されたルール、ルールグループ、アクションを含むウェブ ACL を作成します。保護パック (ウェブ ACL) の詳細については、「[での保護の設定 AWS WAF](web-acl.md)」を参照してください。

  保護パック (ウェブ ACL) は AWS WAF リソースです。
+ **ルール** - 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。CAPTCHA パズルまたはサイレントクライアントブラウザのチャレンジを使用する一致リクエストをブロック、許可、カウント、ボットコントロールを実行するルールを設定できます。ルールの詳細については、「[AWS WAF ルール](waf-rules.md)」を参照してください。

  ルールは AWS WAF リソースではありません。ルールは保護パック (ウェブ ACL) またはルールグループのコンテキストでのみ定義されます。
+ **ルールグループ** – 保護パック (ウェブ ACL) 内または再利用可能なルールグループでルールを直接定義できます。 AWS マネージドルールと AWS Marketplace 販売者は、使用するマネージドルールグループを提供します。また、独自のルールグループを定義することもできます。ルールグループの詳細については、「[AWS WAF ルールグループ](waf-rule-groups.md)」を参照してください。

  ルールグループは AWS WAF リソースです。
+ **ウェブ ACL キャパシティユニット (WCUs)** – WCUs AWS WAF を使用して、ルール、ルールグループ、保護パック (ウェブ ACLs)、またはウェブ ACLs。

  WCU は AWS WAF リソースではありません。保護パック (ウェブ ACL)、ルール、またはルールグループのコンテキストでのみ存在します。

# で保護できるリソース AWS WAF
<a name="how-aws-waf-works-resources"></a>

 AWS WAF 保護パック (ウェブ ACL) を使用して、グローバルまたはリージョンのリソースタイプを保護できます。保護パック (ウェブ ACL) を保護するリソースに関連付けることにより、これを実行できます。保護パック (ウェブ ACL) およびそれらが使用する AWS WAF リソースは、関連するリソースがあるリージョンに配置する必要があります。Amazon CloudFront ディストリビューションの場合、これは米国東部 (バージニア北部) に設定されます。

**Amazon CloudFront ディストリビューション**  
 AWS WAF コンソールまたは APIs を使用して、 AWS WAF 保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けることができます。ディストリビューション自体を作成または更新するとき、保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けることもできます。で関連付けを設定するには AWS CloudFormation、CloudFront ディストリビューション設定を使用する必要があります。Amazon CloudFront の詳細については、*Amazon CloudFront デベロッパーガイド*[AWS WAF 」の「 を使用してコンテンツへのアクセスを制御する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)」を参照してください。

AWS WAF は CloudFront ディストリビューションでグローバルに利用できますが、米国東部 (バージニア北部) リージョンを使用して、保護パック (ウェブ ACL) と、ルールグループ、IP セット、正規表現パターンセットなど、保護パック (ウェブ ACL) で使用されるリソースを作成する必要があります。一部のインターフェイスでは、[Global (CloudFront)] (グローバル (CloudFront)) のリージョンを選択できます。これを選択することは、米国東部 (バージニア北部) リージョンまたは us-east-1 を選択することと同じです。

**地域リソース**  
 AWS WAF が利用可能なすべてのリージョンでリージョンリソースを保護できます。「*Amazon Web Services 全般のリファレンス*」の「[AWS WAF エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/waf.html)」でリストを確認できます。

を使用して AWS WAF 、次のリージョンリソースタイプを保護できます。
+ Amazon API Gateway REST API
+ Application Load Balancer
+ AWS AppSync GraphQL API
+ Amazon Cognito ユーザープール
+ AWS App Runner サービス
+ AWS Verified Access インスタンス
+ AWS Amplify

保護パック (ウェブ ACL) を AWS リージョン内にある Application Load Balancer にのみ関連付けることができます。例えば、保護パック (ウェブ ACL) を AWS Outposts上にある Application Load Balancer に関連付けることはできません。

Global CloudFront リージョンで Amplify アプリに関連付ける保護パック (ウェブ ACL) を作成する必要があります。にリージョン保護パック (ウェブ ACL) が既にある可能性がありますが AWS アカウント、Amplify と互換性がありません。

使用する保護パック (ウェブ ACL) およびその他の AWS WAF リソースは、保護されたリソースと同じリージョンに配置する必要があります。保護されたリージョンリソースのウェブリクエストをモニタリングおよび管理する場合、 は保護されたリソースと同じリージョン内のすべてのデータ AWS WAF を保持します。

**複数リソースの関連付けにおける制限**  
1 つの保護パック (ウェブ ACL) を 1 つ以上の AWS リソースに関連付けることができますが、以下の制限があります。
+ 各 AWS リソースを関連付けることができる保護パック (ウェブ ACL) は 1 つだけです。保護パック (ウェブ ACL) と AWS リソースの関係は one-to-manyです。
+ 保護パック (ウェブ ACL) を 1 つ以上の CloudFront ディストリビューションに関連付けることができます。CloudFront ディストリビューションに関連付けられている保護パック (ウェブ ACL) を他の AWS リソースタイプに関連付けることはできません。

# 更新されたコンソールエクスペリエンスを使用する
<a name="working-with-console"></a>

 AWS WAF には、 コンソールを使用するための 2 つのオプションがあります。

 **新しいコンソール** は、標準のコンソールワークフローに必要なウェブ ACL 設定プロセスを簡素化することを目的としています。ガイド付きワークフローを使用して、保護パック (ウェブ ACL) を通じてウェブ ACL の作成および管理プロセスを簡素化できます。保護パック (ウェブ ACL) を使用すると、コンソールでのウェブ ACL の使用と管理が容易になりますが、ウェブ ACL と機能的に違いはありません。新しいコンソールでは、保護設定プロセスの改善に加えて、セキュリティダッシュボードを通じて保護の可視性が向上し、 AWS WAF コンソール内のセキュリティ体制を簡単にモニタリングできます。

 **標準 AWS WAF コンソール**は、ウェブ ACLs を使用してウェブアプリケーションのファイアウォール保護を設定する従来のアプローチを提供します。個々のルールとルールグループをきめ細かく制御でき、既存の AWS WAF ユーザーにとって使い慣れています。このコンソールを使用すると、保護設定を詳細に制御できるため、セキュリティ設定を正確にカスタマイズできます。

**ヒント**  
 ニーズに最適なコンソールエクスペリエンスを選択します。を初めて使用する場合 AWS WAF や、 AWS レコメンデーションに基づいて保護の設定を開始する場合は、新しいコンソールエクスペリエンスから始めることをお勧めします。ただし、標準エクスペリエンスは、コンソールのナビゲーションペインからいつでも開くことができます。

## 新しいコンソールエクスペリエンスと標準コンソールエクスペリエンス間の機能のパリティ
<a name="feature-parity"></a>

新しいコンソールエクスペリエンスは、新機能を導入しながら、既存のコンソールとの完全な機能パリティを維持します。
+ 既存の AWS WAF 機能はすべて引き続き使用できます。
+ 統合ダッシュボードによる可視性の向上
+ 設定ワークフローの簡素化
+ 新しい保護パック (ウェブ ACL) テンプレート

**重要**  
新しいコンソールエクスペリエンスでは、既存のコンソールと同じ WAFv2 API を使用します。つまり、新しいコンソールで作成された保護パックは、API レベルで標準の WAFv2 ウェブ ACL として実装されます。

## 主な違い
<a name="key-differences"></a>


**コンソールエクスペリエンスの比較**  

| 機能 | 以前の AWS WAF コンソールエクスペリエンス | コンソールエクスペリエンスの更新 | 
| --- | --- | --- | 
| 設定プロセス | マルチページワークフロー | 単一ページインターフェイス | 
| ルールの設定 | 個々のルールの作成 | 事前設定された保護パックのオプション | 
| モニタリング | 分離ダッシュボード | AI トラフィック分析を含む統一された可視性 | 

## 新しいダッシュボードを理解する
<a name="understanding-new-dashboard"></a>

新しく提供されるダッシュボードでは、次の視覚化を通じて、セキュリティ体制の統一された可視性が提供されます。

**トラフィックインサイトの推奨事項** – AWS 脅威インテリジェンスは、過去 2 週間の許可されたトラフィックをモニタリングし、脆弱性を分析し、以下を提供します。  
+ トラフィックベースのルールの提案
+ アプリケーション固有のセキュリティに関する推奨事項
+ 保護最適化ガイダンス

**概要** - 指定された時間範囲内のすべてのトラフィックのリクエスト数を表示します。次の条件を使用して、トラフィックデータをフィルタリングできます。  
+ **ルール** - 保護パック内の個々のルールでフィルタリングします。
+ **アクション** - 許可、ブロック、キャプチャ、チャレンジなど、トラフィックに対して実行された特定のアクションの数を表示します。
+ **トラフィックタイプ** - DDoS 対策やボットなどの特定のトラフィックタイプの数のみを表示します。
+ **時間範囲** - 事前定義された時間範囲から選択するか、カスタム範囲を設定します。
+ **ローカルまたは UTC 時間** - 任意の時間形式を設定できます。

**AI トラフィック分析** – AI ボットとエージェントのアクティビティを包括的に可視化します。  
+ **ボット識別** – ボット名、組織、検証ステータス。
+ **インテント分析** – AI エージェントの目的と動作のパターン。
+ **アクセスパターン** – 最も頻繁にアクセスURLs とエンドポイント。
+ **一時的な傾向** – 時間帯別アクティビティパターンと過去の傾向 (0～14 日）。
+ **トラフィック特性** – AI トラフィックのボリューム、分散、異常検出。

**保護アクティビティ** - 保護ルールとその順序がアクションの終了にどのように影響するかを視覚化します。  
+ **ルールを通過するトラフィックフロー** - ルールを通過するトラフィックフローを表示します。**シーケンシャルルールビュー** から **非シーケンシャルルールビュー** に切り替えて、ルールの順序が結果にどのように影響するかを確認します。
+ **ルールアクションとその結果** - 指定した期間にルールがトラフィックに対して実行した終了アクションを表示します。

**アクションの合計** - 指定された時間範囲でリクエストに対して実行されたアクションの合計数を視覚化するグラフ。現在の時間範囲と過去 3 時間の時間枠を比較するには、**過去 3 時間のオーバーレイ** オプションを使用します。以下でデータをフィルタリングできます。  
+ **アクションを許可する**
+ **アクションの合計**
+ **キャプチャアクション**
+ **チャレンジアクション**
+ **ブロックブロック**

**すべてのルール** - 保護パック内のすべてのルールのメトリクスを視覚化するグラフ。  
+  現在の時間範囲と過去 3 時間の時間枠を比較するには、**過去 3 時間のオーバーレイ** オプションを使用します。

**概要ダッシュボード** - 以下を含む、セキュリティステータスの包括的でグラフィカルなビューを提供します。  
+ **トラフィック特性** - トラフィックの概要を、オリジン、攻撃タイプ、またはリクエストを送信したクライアントのデバイスタイプ別に表示します。
+ **ルールの特性** - 10 個の最も一般的なルールと終了アクションによる攻撃の内訳。
+ **ボット** - ボットアクティビティ、検出、カテゴリ、ボット関連のシグナルラベルを視覚化します。
+ **DDoS 対策** - 検出および軽減されたレイヤー 7 DDoS アクティビティの概要。