でのトークンドメインとドメインリストの指定 AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWS WAF 保護パックまたはウェブ ACL トークンドメインリストトークンドメイン設定

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのトークンドメインとドメインリストの指定 AWS WAF

このセクションでは、 がトークンで AWS WAF 使用し、 がトークンで受け入れるドメインを設定する方法について説明します。

がクライアントのトークン AWS WAF を作成すると、トークンドメインで設定されます。がウェブリクエスト内のトークンを AWS WAF 検査すると、そのドメインが保護パックまたはウェブ ACL で有効と見なされるドメインのいずれにも一致しない場合、トークンは無効として拒否されます。

デフォルトでは、 は、ドメイン設定が保護パックまたはウェブ ACL に関連付けられているリソースのホストドメインと完全に一致するトークン AWS WAF のみを受け入れます。これはウェブリクエスト内の Host ヘッダーの値です。ブラウザでは、このドメインは JavaScript window.location.hostname プロパティ、ならびにユーザーのアドレスバーに表示されるアドレスに含まれます。

次のセクションで説明するように、保護パックまたはウェブ ACL 設定で許容可能なトークンドメインを指定することもできます。この場合、 はホストヘッダーと完全一致とトークンドメインリストのドメインの両方 AWS WAF を受け入れます。

ドメインを設定するとき AWS WAF 、および保護パックまたはウェブ ACL でトークンを評価するときに使用する のトークンドメインを指定できます。指定するドメインには gov.au など、パブリックサフィックスを使用できません。使用できないドメインについては、「パブリックサフィックスリスト」のリスト (https://publicsuffix.org/list/public_suffix_list.dat) を参照してください。

AWS WAF 保護パックまたはウェブ ACL トークンドメインリストの設定

トークンドメインリストに AWS WAF 受け入れる追加のドメインを指定することで、複数の保護されたリソース間でトークンを共有するように保護パックまたはウェブ ACL を設定できます。トークンドメインリストを使用して、 AWS WAF はリソースのホストドメインを受け入れます。さらに、プレフィックス付きのサブドメインを含め、トークンドメインリスト内のすべてのドメインを受け入れます。

たとえば、トークンドメインリスト内のドメイン仕様 example.comexample.com (http://example.com/ から)、api.example.com (http://api.example.com/ から)、www.example.com (http://www.example.com/ から) と一致します。example.api.com (http://example.api.com/ から) または apiexample.com (http://apiexample.com/ から) と一致しません。

トークンドメインリストを作成または編集するときに、保護パックまたはウェブ ACL で設定できます。保護パックまたはウェブ ACL の管理に関する一般的な情報については、「」を参照してくださいでのウェブトラフィックメトリクスの表示 AWS WAF

AWS WAF トークンドメイン設定

AWS WAF は、アプリケーション統合 SDKs と Challengeおよび CAPTCHAルールアクションによって実行されるチャレンジスクリプトのリクエストでトークンを作成します。

がトークン AWS WAF に設定するドメインは、トークンをリクエストするチャレンジスクリプトのタイプと、指定した追加のトークンドメイン設定によって決まります。 AWS WAF は、トークンのドメインを、設定で確認できる最も短く、最も一般的な設定に設定します。

  • JavaScript SDK — JavaScript SDK は、1 つ以上のドメインを含むことができるトークンドメイン仕様で構成できます。設定するドメインは、保護されたホストドメインと保護パックまたはウェブ ACL のトークンドメインリストに基づいて、 AWS WAF が受け入れるドメインである必要があります。

    がクライアントのトークン AWS WAF を発行すると、ホストドメインと設定済みリスト内のドメインの中から、トークンドメインをホストドメインに一致する最短のトークンドメインに設定します。たとえば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、 はトークンexample.comで AWS WAF を使用します。これは、ホストドメインに一致し、短いためです。JavaScript API 設定でトークンドメインリストを指定しない場合、 は保護されたリソースのホストドメインにドメイン AWS WAF を設定します。

    詳細については、「トークンで使用するドメインの提供」を参照してください。

  • モバイル SDK — アプリケーションコードでは、トークンドメインプロパティでモバイル SDK を設定する必要があります。このプロパティは、保護されたホストドメインと保護パックまたはウェブ ACL のトークンドメインリストに基づいて、 が AWS WAF 受け入れるドメインである必要があります。

    がクライアントのトークン AWS WAF を発行する場合、このプロパティをトークンドメインとして使用します。 は、モバイル SDK AWS WAF クライアントに対して発行するトークンでホストドメインを使用しません。

    詳細については、「AWS WAF モバイル SDK 仕様」で WAFConfiguration domainName 設定を参照してください。

  • Challenge アクション – 保護パックまたはウェブ ACL でトークンドメインリストを指定すると、 は、ホストドメインとリスト内のドメインの中から、トークンドメインをホストドメインと一致するもの AWS WAF に設定します。たとえば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、 はトークンexample.comで AWS WAF を使用します。これは、ホストドメインと一致し、短いためです。保護パックまたはウェブ ACL にトークンドメインリストを指定しない場合、 は保護されたリソースのホストドメインにドメイン AWS WAF を設定します。