AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF のラベリングの仕組み
このセクションでは、AWS WAF ラベルの仕組みについて説明します。
ルールがウェブリクエストに一致する場合、ルールにラベルが定義されていると、ルール評価の最後に AWS WAF はリクエストにラベルを追加します。保護パック (ウェブ ACL) 内のルール一致後に評価されるルールは、ルールが追加したラベルと照合できます。
何によってリクエストにラベルが追加されるのか
リクエストを評価する保護パック (ウェブ ACL) コンポーネントは、リクエストにラベルを追加できます。
-
ルールグループ参照ステートメントではないルールは、一致するウェブリクエストにラベルを追加できます。ラベル基準はルール定義の一部であり、ウェブリクエストがルールに一致すると、AWS WAF はルールのラベルをリクエストに追加します。詳細については、「ラベルを追加する AWS WAF のルール」を参照してください。
-
地理照合ステートメントは、ステートメントの結果が一致するかどうかに関係なく、検査するすべてのリクエストに国と地域のラベルを追加します。詳細については、「地理的一致ルールステートメント」を参照してください。
-
すべての AWS WAF の AWS マネージドルールは、検査するリクエストにラベルを追加します。ルールグループ内のルールの一致に基づいてラベルを追加します。また、インテリジェントな脅威軽減ルールグループを使用すると追加されるトークンラベルなど、マネージドルールグループが使用する AWS プロセスに基づいてラベルを追加します。各マネージドルールグループが追加するラベルの詳細については、「AWS マネージドルールのルールグループのリスト」を参照してください。
AWS WAF がラベルを管理する方法
AWS WAF は、リクエストに対するルールの検査の最後に、リクエストにルールのラベルを追加します。ラベル付けは、アクションと同様にルールの照合アクティビティの一部です。
保護パック (ウェブ ACL) 評価が終了した後、ラベルはウェブリクエストに保持されません。ルールが追加するラベルに照らして他のルールが照合するためには、ルールアクションが保護パック (ウェブ ACL) によるウェブリクエストの評価を終了してはなりません。ルールアクションは Count、CAPTCHA、Challenge に設定する必要があります。保護パック (ウェブ ACL) の評価が終了しない場合、保護パック (ウェブ ACL) 内の後続のルールは、リクエストに対してラベル一致基準を実行できます。ルールアクションの詳細については、「AWS WAF でのルールアクションの使用」を参照してください。
保護パック (ウェブ ACL) 評価中のラベルにアクセスする
いったんラベルを追加すると、AWS WAF がリクエストを保護パック (ウェブ ACL) に対して評価している限り、ラベルはリクエストに対して引き続き使用できます。保護パック (ウェブ ACL) 内のすべてのルールは、同じ保護パック (ウェブ ACL) で既に実行されているルールによって追加されたラベルにアクセスできます。これには、保護パック (ウェブ ACL) 内で直接定義されたルールと、保護パック (ウェブ ACL) で使用されるルールグループ内の手以後されたルールが含まれます。
-
ラベル一致ステートメントを使用してルールのリクエスト検査基準のラベルと照合できます。リクエストに添付されているどのラベルとも照合できます。ステートメントの詳細については、「ラベル一致ルールステートメント」を参照してください。
-
地理的照合ステートメントは、一致の有無にかかわらずラベルを追加しますが、ステートメントに含まれる保護パック (ウェブ ACL) ルールがリクエストの評価を完了して初めて使用できるようになります。
-
論理
ANDステートメントなどの単一のルールを使用して、地理的ラベルに対して地域照合ステートメントの後にラベル照合チステートメントを実行することはできません。ラベル照合ステートメントは、地理的照合ステートメントを含むルールの後に実行される別のルールに記述する必要があります。 -
地理的照合ステートメントをレートベースのルールステートメント、またはマネージドルールグループ参照ステートメント内のスコープダウンステートメントとして使用する場合、地理的照合ステートメントによって追加されたラベルは、包含ルールステートメントでは検査用に使用できません。レートベースのルールステートメントまたはルールグループの地理的ラベルを調べる必要がある場合は、事前に実行される別のルールで地理的照合ステートメントを実行する必要があります。
-
保護パック (ウェブ ACL) 評価対象外のラベル情報にアクセスする
保護パック (ウェブ ACL) 評価が終了した後、ラベルはウェブリクエストに保持されませんが、AWS WAF はラベル情報をログとメトリクスに記録します。
-
AWS WAF は、1 つのリクエストで最初の 100 個のラベルについて Amazon CloudWatch メトリクスを格納します。ラベルメトリクスへのアクセスの詳細については、「Amazon CloudWatch によるモニタリング」および「ラベルメトリクスとディメンション」を参照してください。
-
AWS WAF は、AWS WAF コンソールの保護パック (ウェブ ACL) トラフィック概要ダッシュボードの CloudWatch ラベルメトリクスをまとめたものです。ダッシュボードにはどの保護パック (ウェブ ACL) ページからでもアクセスできます。詳細については、「保護パック (ウェブ ACL) のトラフィック概要ダッシュボード」を参照してください。
-
AWS WAF は、ログのラベルについて、リクエストの最初の 100 個のラベルを記録します。ルールアクションとともにラベルを使用して、AWS WAF が記録するログをフィルタリングできます。詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。
保護パック (ウェブ ACL) 評価では、100 個を超えるラベルをウェブリクエストに適用したり、100 個を超えるラベルと照合したりできますが、AWS WAF は、ログとメトリクスの最初の 100 個のみを記録します。
