保護パック (ウェブ ACL) でのルールグループの使用 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

保護パック (ウェブ ACL) でのルールグループの使用

保護パック (ウェブ ACL) でルールグループを使用するには、ルールグループリファレンスステートメントの保護パック (ウェブ ACL) にルールグループを追加します。

本番稼働トラフィックのリスク

本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「AWS WAF の ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表」を参照してください。

ルールグループを使用するには

  1. AWS マネジメントコンソール にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/homev2) を開きます。

  2. ナビゲーションペインで、[Rule groups] (ルールグループ) を選択します。

  3. 使用するルールグループ名を選択します。

  4. [ルールの追加] を選択してから [独自のルールとルールグループの追加] を選択します。

  5. [ルールグループ] を選択し、リストからルールグループを選択します。

保護パック (ウェブ ACL) では、個々のルールアクションが Count またはその他のアクションを起こすように設定することで、ルールグループおよびそのルールの動作を変更できます。これは、ルールグループのテスト、ルールグループ内のルールからの誤検出の特定、マネージドルールグループによるリクエストの処理方法のカスタマイズなどを行うのに役立ちます。詳細については、「AWS WAF でのルールグループアクションの上書き」を参照してください。

ルールグループにレートベースのステートメントが含まれている場合、ルールグループを使用する各保護パック (ウェブ ACL) は、ルールグループを使用する他の保護パック (ウェブ ACL) とは無関係に、レートベースのルールについて独自のレートトラッキングと管理を行います。詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。

更新中の一時的な不一致

保護パック (ウェブ ACL) またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。

  • ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。