AWS WAF でのトークンドメインとドメインリストの指定 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWS WAF 保護パック (ウェブ ACL) トークンドメインリストトークンドメイン設定

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF でのトークンドメインとドメインリストの指定

このセクションでは、AWS WAF がトークンで使用するドメインの設定方法およびトークンで受け付けることについて説明します。

AWS WAF がクライアントのトークンを作成するとき、トークンドメインで設定します。AWS WAF がウェブリクエスト内のトークンを検査するとき、そのドメインが保護パック (ウェブ ACL) で有効と見なされるドメインと一切一致しない場合、そのトークンは無効として拒否されます。

デフォルトでは、AWS WAF はドメイン設定が保護パック (ウェブ ACL) に関連付けられているリソースのホストドメインと完全に一致するトークンのみを受け入れます。これはウェブリクエスト内の Host ヘッダーの値です。ブラウザでは、このドメインは JavaScript window.location.hostname プロパティ、ならびにユーザーのアドレスバーに表示されるアドレスに含まれます。

次のセクションで説明するように、保護パック (ウェブ ACL) 設定で許容されるトークンドメインを指定することもできます。この場合、AWS WAF はホストヘッダーとの完全一致と、トークンドメインリストのドメインとの一致の両方を受け入れます。

ドメインの設定および保護パック (ウェブ ACL) でトークンを評価するときに AWS WAF が使用するトークンドメインを指定できます。指定するドメインには gov.au など、パブリックサフィックスを使用できません。使用できないドメインについては、「パブリックサフィックスリスト」のリスト (https://publicsuffix.org/list/public_suffix_list.dat) を参照してください。

AWS WAF 保護パック (ウェブ ACL) トークンドメインリストの設定

AWS WAF が受け入れる追加ドメインを含むトークンドメインリストを提供することにより、保護された複数のリソース間でトークンを共有するように保護パック (ウェブ ACL) を設定できます。トークンドメインリストを使用しても、AWS WAF はリソースのホストドメインを受け入れます。さらに、プレフィックス付きのサブドメインを含め、トークンドメインリスト内のすべてのドメインを受け入れます。

たとえば、トークンドメインリスト内のドメイン仕様 example.comexample.com (http://example.com/ から)、api.example.com (http://api.example.com/ から)、www.example.com (http://www.example.com/ から) と一致します。example.api.com (http://example.api.com/ から) または apiexample.com (http://apiexample.com/ から) と一致しません。

トークンドメインリストは、作成または編集するときに保護パック (ウェブ ACL) で設定できます。保護パック (ウェブ ACL) の管理に関する一般情報については、「AWS WAF でのウェブトラフィックメトリクスの表示」を参照してください。

AWS WAF トークンドメイン設定

AWS WAF は、アプリケーション統合 SDK ならびに Challenge および CAPTCHA ルールアクションで実行されるチャレンジスクリプトのリクエストに応じてトークンを作成します。

AWS WAF がトークン内に設定するドメインは、トークンをリクエストしているチャレンジスクリプトのタイプと、ユーザーが指定する追加のトークンドメイン設定によって決まります。AWS WAF はトークンのドメインを、設定にある最も一般的で短い設定を適用します。

  • JavaScript SDK — JavaScript SDK は、1 つ以上のドメインを含むことができるトークンドメイン仕様で構成できます。設定するドメインは、保護されたホストドメインおよび保護パック (ウェブ ACL) のトークンドメインリストに基づき、AWS WAF が受け入れるものでなければなりません。

    AWS WAF がクライアントにトークンを発行する場合、ホストドメインおよび設定リスト内のドメインの中から、ホストドメインと一致する最短のトークンドメインに設定します。たとえば、ホストドメインが api.example.com でトークンドメインリストに example.com がある場合、AWS WAF はトークン内で example.com を使用します。これは、ホストドメインと一致してより短いためです。JavaScript API 設定でトークンドメインリストを指定しない場合、AWS WAF はドメインを保護されたリソースのホストドメインに設定します。

    詳細については、「トークンで使用するドメインの提供」を参照してください。

  • モバイル SDK — アプリケーションコードでは、トークンドメインプロパティでモバイル SDK を設定する必要があります。このプロパティは、保護されたホストドメインおよび保護パック (ウェブ ACL) のトークンドメインリストに基づき、AWS WAF が受け入れるドメインでなければなりません。

    AWS WAF がクライアントにトークンを発行する場合、このプロパティはトークンドメインとして使用されます。AWS WAF は、モバイル SDK クライアント用に発行するトークンでホストドメインを使用しません。

    詳細については、「AWS WAF モバイル SDK の仕様」で WAFConfiguration domainName 設定を参照してください。

  • Challenge アクション — 保護パック (ウェブ ACL) でトークンドメインリストを指定する場合、AWS WAF は、ホストドメインおよびリスト内のドメインの中で、ホストドメインと一致する最短のトークンドメインに設定します。たとえば、ホストドメインが api.example.com でトークンドメインリストに example.com がある場合、AWS WAF はトークン内で example.com を使用します。これは、ホストドメインと一致してより短いためです。保護パック (ウェブ ACL) にトークンドメインリストを指定しない場合、AWS WAF はドメインを保護されたリソースのホストドメインに設定します。