の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
標準コンソールエクスペリエンス AWS WAF の使用を開始する
AWS WAF コンソールでは、リクエストの送信元の IP アドレスやリクエストの値など、指定した条件に基づいてウェブリクエストをブロックまたは許可 AWS WAF するように を設定するプロセスについて説明します。このステップでは、保護パックまたはウェブ ACL を作成します。 AWS WAF 保護パックまたはウェブ ACLs「」を参照してくださいでの保護の設定 AWS WAF。
このチュートリアルでは、 AWS WAF を使用して以下のタスクを実行する方法を示します。
セットアップします AWS WAF。
-
AWS WAF コンソールのウィザードを使用して、ウェブアクセスコントロールリスト (ウェブ ACL) を作成します。
ウェブ ACL を作成するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/homev2
で AWS WAF コンソールを開きます。 -
AWS WAF ホームページから、ウェブ ACL の作成を選択します。
-
[Name] (名前) で、このウェブ ACL の識別に使用する名前を入力します。
注記
ウェブ ACL の作成後は、名前を変更することはできません。
-
(オプション) 必要に応じて、[Description - optional] (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。
-
[CloudWatch metric name] (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、特殊文字、空白や、「All」および「Default_Action」などの AWS WAF用に予約されたメトリクス名を使用できません。
注記
ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。
-
[Resource type] (リソースタイプ) で、[CloudFront distributions] (CloudFront ディストリビューション) を選択します。[Region] (リージョン) が、CloudFront ディストリビューションの [Global (CloudFront)] (グローバル (CloudFront)) に自動的に入力されます。
-
(オプション) 関連 AWS リソース - オプションで、 AWS リソースの追加を選択します。ダイアログボックスで、関連付けるリソースを選択し、[Add] (追加) を選択します。 AWS WAF は [Describe web ACL and associated AWS resources] (ウェブ ACL と関連付けられた リソースの説明) ページに戻します。
-
[次へ] を選択します。
注記
AWS 通常、 は、このチュートリアルで作成したリソースに対して 1 日あたり 0.25 USD 未満を請求します。チュートリアルを終了したら、不要な料金が発生しないようにリソースを削除することをお勧めします。
ステップ 1: をセットアップする AWS WAF
アカウントを設定してサービスを使用する の一般的なセットアップ手順をまだ実行していない場合、今すぐ実行してください。
ステップ 2: ウェブ ACL を作成する
AWS WAF コンソールでは、リクエストの送信元の IP アドレスやリクエストの値など、指定した条件に基づいてウェブリクエストをブロックまたは許可 AWS WAF するように を設定するプロセスについて説明します。このステップでは、ウェブ ACL を作成します。 AWS WAF ウェブ ACLs「」を参照してくださいでの保護の設定 AWS WAF。
ウェブ ACL を作成するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/homev2
で AWS WAF コンソールを開きます。 -
AWS WAF ホームページから、ウェブ ACL の作成を選択します。
-
[Name] (名前) で、このウェブ ACL の識別に使用する名前を入力します。
注記
ウェブ ACL の作成後は、名前を変更することはできません。
-
(オプション) 必要に応じて、[Description - optional] (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。
-
[CloudWatch metric name] (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、特殊文字、空白や、「All」および「Default_Action」などの AWS WAF用に予約されたメトリクス名を使用できません。
注記
ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。
-
[Resource type] (リソースタイプ) で、[CloudFront distributions] (CloudFront ディストリビューション) を選択します。[Region] (リージョン) が、CloudFront ディストリビューションの [Global (CloudFront)] (グローバル (CloudFront)) に自動的に入力されます。
-
(オプション) 関連 AWS リソース - オプションで、 AWS リソースの追加を選択します。ダイアログボックスで、関連付けるリソースを選択し、[Add] (追加) を選択します。 AWS WAF は [Describe web ACL and associated AWS resources] (ウェブ ACL と関連付けられた リソースの説明) ページに戻します。
-
[Next] (次へ) を選択します。
ステップ 3: 文字列一致ルールを追加する
このステップでは、文字列一致ステートメントを使用してルールを作成し、一致リクエストの処理方法を指定します。文字列一致ルールステートメントは、 AWS WAF がリクエストで検索する文字列を識別します。通常、文字列は印刷可能な ASCII 文字で構成されますが、16 進数 0x00 〜 0xFF (10 進数 0 〜 255) の任意の文字を指定できます。検索する文字列を指定するだけでなく、ヘッダー、クエリ文字列、リクエストボディなど、検索するウェブリクエストコンポーネントを指定します。
このステートメントタイプは、ウェブリクエストコンポーネントで動作し、次のリクエストコンポーネント設定が必要です。
[リクエストコンポーネント] — ウェブリクエストの検査対象部分 (クエリ文字列や本文など)。
警告
リクエストコンポーネントの本文、JSON 本文、ヘッダー、または Cookie を検査する場合は、 で検査 AWS WAF できるコンテンツの量に関する制限についてお読みくださいでのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF。
ウェブリクエストコンポーネントの詳細については、「でのルールステートメント設定の調整 AWS WAF」を参照してください。
オプションのテキスト変換 – 検査する前にリクエストコンポーネントで AWS WAF 実行する変換。例えば、小文字に変換したり、空白を正規化したりできます。複数の変換を指定すると、 はリストされた順序で変換 AWS WAF を処理します。詳細については、「でのテキスト変換の使用 AWS WAF」を参照してください。
AWS WAF ルールの詳細については、「」を参照してくださいAWS WAF ルール。
文字列一致ルールステートメントを作成するには
-
[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加)、[Add my own rules and rule groups] (独自のルールとルールグループの追加)、[Rule builder] (ルールビルダー)、[Rule visual editor] (ルールビジュアルエディタ) の順に選択します。
注記
コンソールには、ルールビジュアルエディタとルール JSON エディタが用意されています。JSON エディタを使用すると、ウェブ ACL 間で設定を簡単にコピーできます。これは、ネストのレベルが複数あるルールセットなど、より複雑なルールセットに必要です。
この手順では、ルールビジュアルエディタを使用します。
-
[Name] (名前) で、このルールの識別に使用する名前を入力します。
-
[Type] (タイプ) で、[Regular rule] (通常のルール) を選択します。
-
[If a request] (リクエストの状態) で、[matches the statement] (ステートメントに一致) を選択します。
その他のオプションは、論理ルールステートメントタイプ用です。これらを使用して、他のルールステートメントの結果を組み合わせたり、否定したりできます。
-
ステートメントで、Inspect でドロップダウンを開き、 AWS WAF 検査するウェブリクエストコンポーネントを選択します。この例では、[単一ヘッダー] を選択します。
[単一ヘッダー] を選択した場合は、 AWS WAF で検査するヘッダーも指定します。
User-Agent
と入力します。この値では大文字と小文字は区別されません。 -
[Match type] (一致タイプ) で、指定した文字列が
User-Agent
ヘッダーに表示される場所を選択します。この例では、[Exactly matches string] (文字列に完全一致) を選択します。これは、 が各ウェブリクエストの user-agent ヘッダー AWS WAF を検査し、指定した文字列と同じ文字列がないかを示します。
-
[String to match] (照合する文字列) で、 AWS WAF で検索する文字列を指定します。[String to match] (照合する文字列) は最大 200 文字です。base64 でエンコードされた値を指定する場合、エンコード前の長さで最大 200 文字指定できます。
この例では、MyAgent と入力します。 AWS WAF はウェブリクエストの
User-Agent
ヘッダーに値 がないか検査しますMyAgent
。 -
[Text transformation] (テキスト変換) を [None] (なし) のままにします。
-
[Action] (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。この例では、[Count] (カウント) を選択し、他の選択肢はそのままにしておきます。カウントアクションにより、ルールに一致するウェブリクエストのメトリクスが作成されますが、リクエストが許可またはブロックされるかどうかには影響しません。アクションの選択の詳細については、「でのルールアクションの使用 AWS WAF」および「ルールの優先度の設定」を参照してください。
-
[Add rule] (ルールの追加) を選択します。
ステップ 4: AWS マネージドルールルールグループを追加する
AWS マネージドルールには、一連のマネージドルールグループが用意されており、その大部分は AWS WAF お客様に無料で提供されます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。このウェブ ACL に AWS マネージドルールルールグループを追加します。
AWS マネージドルールルールグループを追加するには
-
[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add managed rule groups] (マネージドルールグループの追加) を選択します。
-
[マネージドルールグループを追加] ページで、[AWS マネージドルールグループ] のリストを展開します。( AWS Marketplace 販売者に提供される出品も表示されます。 サービスにサブスクライブし、 AWS マネージドルールルールグループと同じ方法で使用できます。)
-
追加するルールグループについて、次を実行します。
-
[Action] (アクション) 列で、[Add to web ACL] (ウェブ ACL に追加) 切り替えボタンをオンにします。
-
[Edit] (編集) を選択し、ルールグループの [Rules] (ルール) リストで [Override all rule actions] (すべてのルールアクションをオーバーライド) ドロップダウンを開いて [Count] を選択します。これにより、ルールグループ内のすべてのルールのアクションがカウントのみに設定されます。これにより、ルールグループのルールを使用する前に、ルールグループのすべてのルールがウェブリクエストでどのように動作するかを確認できます。
-
[Save rule] (ルールを保存) を選択します。
-
-
[Add managed rule groups] (マネージドルールグループを追加) ページで、[Add rules] (ルールを追加) を選択します。これにより、[Add rules and rule groups] (ルールとルールグループを追加) ページに戻ります。
ステップ 5: ウェブ ACL の設定を完了する
ルールとルールグループをウェブ ACL 設定に追加したら、ウェブ ACL 内のルールの優先順位を管理し、メトリクス、タグ付け、ログ記録などの設定を行うことで完了します。
ウェブ ACL の設定を完了するには
-
[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Next] (次へ) を選択します。
-
ルールの優先度の設定ページで、ウェブ ACL のルールとルールグループの処理順序を確認できます。 AWS WAF は、リストの上部から処理します。処理順序は、ルールを上下に移動することで変更できます。これを行うには、リストで 1 つを選択し、[Move up] (上へ移動) または [Move down] (下へ移動) を選択します。ルーティングの優先度の詳細については、「ルールの優先度の設定」をご覧ください。
-
[次へ] を選択します。
-
[Configure metrics] (メトリクスの設定) ページの [Amazon CloudWatch metrics] (Amazon CloudWatch メトリクス) で、ルールとルールグループ用の計画されたメトリクスと、ウェブリクエストのサンプリングオプションを確認できます。サンプリングされたリクエストの表示方法については、「ウェブリクエストのサンプルの表示」を参照してください。Amazon CloudWatch メトリクスの詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。
ウェブトラフィックメトリクスの概要には、 AWS WAF コンソールのウェブ ACL のページで、トラフィックの概要タブからアクセスできます。コンソールダッシュボードには、ウェブ ACL の Amazon CloudWatch メトリクスの概要がほぼリアルタイムで表示されます。詳細については、「保護パックまたはウェブ ACLs のトラフィック概要ダッシュボード」を参照してください。
-
[Next] (次へ) を選択します。
-
[Review and create web ACL] (ウェブ ACL の確認と作成) ページで、設定を確認し、[Create web ACL] (ウェブ ACL の作成) を選択します。
ウィザードは、新しいウェブ ACL が一覧表示されているウェブ ACL ページに戻ります。
ステップ 6: リソースをクリーンアップする
これでチュートリアルは完了です。アカウントに AWS WAF 追加料金が発生しないようにするには、作成した AWS WAF オブジェクトをクリーンアップします。または、実際に使用するウェブリクエストに合わせて設定を変更することもできます AWS WAF。
注記
AWS 通常、 は、このチュートリアルで作成したリソースに対して 1 日あたり 0.25 USD 未満を請求します。終了したら、不要な料金が発生しないようにリソースを削除することをお勧めします。
が AWS WAF 課金するオブジェクトを削除するには
-
ウェブ ACL ページで、リストからウェブ ACL を選択し、編集を選択します。
-
関連付けられた AWS リソースタブで、関連付けられたリソースごとに、リソース名の横にあるラジオボタンを選択し、関連付け解除を選択します。これにより、ウェブ ACL と AWS リソースの関連付けが解除されます。
-
次の各画面で、ウェブ ACL ページに戻るまで次へを選択します。
ウェブ ACL ページで、リストからウェブ ACL を選択し、削除を選択します。
ルールおよびルールステートメントは、ルールグループおよびウェブ ACL 定義の外部には存在しません。ウェブ ACL を削除すると、ウェブ ACL で定義した個々のルールがすべて削除されます。ウェブ ACL からルールグループを削除する場合は、そのグループへの参照を削除するだけです。