AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF のカスタマイズされたウェブリクエストとレスポンス
このセクションでは、カスタムウェブリクエストおよびリスポンス処理動作を AWS WAF ルールアクションおよびデフォルトの保護パック (ウェブ ACL) アクションに追加する方法について説明します。カスタム設定は、アタッチ先のアクションが適用されるたびに適用されます。
ウェブリクエストとレスポンスは、次の方法でカスタマイズできます。
-
Allow、Count、CAPTCHA、Challenge アクションを使用すると、カスタムヘッダーをウェブリクエストに挿入できます。AWS WAF がウェブリクエストを保護されたリソースに転送する場合、リクエストには、元のリクエスト全体と、挿入したカスタムヘッダーが含まれます。CAPTCHA および Challenge アクションの場合、リクエストが CAPTCHA またはチャレンジトークン検査に合格した場合のみに、AWS WAF がカスタマイズを適用します。
-
Block アクションを使用すると、レスポンスコード、ヘッダー、本文を含めた完全なカスタムレスポンスを定義できます。保護されたリソースは、AWS WAF によって提供されるカスタムレスポンスを使用してリクエストに応答します。カスタムレスポンスは、
403 (Forbidden)のデフォルトの Block アクションレスポンスを置き換えます。
カスタマイズできるアクション設定
次のアクション設定を定義する際に、カスタムリクエストまたはレスポンスを指定できます。
-
ルールアクション。詳細については、「AWS WAF でのルールアクションの使用」を参照してください。
-
保護パック (ウェブ ACL) のデフォルトアクション。詳細については、「AWS WAF での保護パック (ウェブ ACL) のデフォルトアクションの設定」を参照してください。
カスタマイズできないアクション設定
保護パック (ウェブ ACL) で使用するルールグループについては、オーバーライドアクションでカスタムリクエスト処理を指定することは できません。「AWS WAF のルールとルールグループとともに保護パック (ウェブ ACL) を使用する」を参照してください。「AWS WAF でマネージドルールグループステートメントを使用する」および「AWS WAF でのルールグループステートメントの使用」も参照してください。
更新中の一時的な不一致
保護パック (ウェブ ACL) またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
カスタムリクエストとレスポンスの使用制限
AWS WAF は、カスタムリクエストとレスポンスの使用に関する最大設定を定義します。保護パック (ウェブ ACL) またはルールグループあたりのリクエストヘッダーの最大数、および単一のカスタムレスポンス定義のカスタムヘッダーの最大数はその一例です。詳細については、「AWS WAF のクォータ」を参照してください。
