**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# マネージドルールグループの使用
このセクションでは、マネージドルールグループにアクセスして管理するためのガイダンスを提供します。
マネージドルールグループを保護パック (ウェブ ACL) に追加すると、独自のルールグループと同じ設定オプションに加えて、追加設定を選択できます。
コンソールで、保護パック (ウェブ ACL) でルールを追加および編集するプロセス中に、マネージドルールグループの情報にアクセスします。API とコマンドラインインターフェイス (CLI) を通じて、マネージドルールグループの情報を直接リクエストできます。
保護パック (ウェブ ACL) でマネージドルールグループを使用する場合、次の設定を編集できます。
+ **[Version]** (バージョン) – これは、ルールグループがバージョン管理されている場合にのみ使用できます。詳細については、「[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md)」を参照してください。
+ **ルールアクションのオーバーライド** – ルールグループ内のルールのアクションを任意のアクションにオーバーライドできます。Count に設定すると、ルールグループを使用してウェブリクエストを管理する前に、そのルールグループをテストするときに便利です。詳細については、「[ルールグループのルールアクションの上書き](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules)」を参照してください。
+ **[Scope-down statement]** (スコープダウンステートメント) – スコープダウンステートメントを追加して、ルールグループで評価したくないウェブリクエストを除外できます。詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。
+ **[Override rule group action]** (ルールグループアクションを上書き) – ルールグループ評価の結果として生じるアクションを上書きして、Count のみに設定できます。このオプションは、一般的に使用されません。がルールグループ内のルール AWS WAF を評価する方法は変更されません。詳細については、「[ルールグループの戻り値アクションを Count に上書き](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group)」を参照してください。
**保護パック (ウェブ ACL) でマネージドルールグループの設定を編集するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合、**[Edit]** (編集) を選択して、設定を表示および編集できます。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、**[保護パック (ウェブ ACL)]** ページから、作成したばかりの保護パック (ウェブ ACL) を選択します。これにより、保護パック (ウェブ ACL) 編集ページが表示されます。
+ **[Rules]** (ルール) を選択します。
+ ルールグループを選択し、**[Edit]** (編集) を選択して、設定を表示および編集します。
+ **API および CLI** - コンソールの外部で保護パック (ウェブ ACL) を作成および更新するときに、マネージドルールグループの設定を管理できます。
# マネージドルールグループのリストの取得
保護パック (ウェブ ACL) で使用可能なマネージドルールグループのリストを取得できます。このリストには、以下が含まれます。
+ すべての AWS マネージドルールルールグループ。
+ サブスクライブしている AWS Marketplace ルールグループ。
**注記**
AWS Marketplace ルールグループへのサブスクライブの詳細については、「」を参照してください[AWS Marketplace ルールグループ](marketplace-rule-groups.md)。
マネージドルールグループのリストを取得すると、返されるリストは、使用しているインターフェイスによって異なります。
+ **コンソール** – コンソールでは、まだサブスクライブしていないルールグループを含む、すべてのマネージド AWS Marketplace ルールグループを表示できます。まだサブスクライブしていないものについては、インターフェイスにサブスクライブするためのリンクが用意されています。
+ **API および CLI** - コンソールの外部では、リクエストは使用可能なルールグループのみを返します。
**マネージドルールグループのリストを取得するには**
+ **コンソール** - ウェブ ACL の作成プロセス 中に、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで **[Add managed rule groups]** (マネージドルールグループの追加) を選択します。最上位レベルには、プロバイダー名が一覧表示されます。各プロバイダーリストを展開して、マネージドルールグループのリストを表示します。バージョン対応ルールグループでは、このレベルで表示される情報はデフォルトバージョンの情報です。マネージドルールグループを保護パック (ウェブ ACL) に追加すると、コンソールに命名スキーム `-` に基づいて一覧表示されます。
+ **API** –
+ `ListAvailableManagedRuleGroups`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# マネージドルールグループのルールの取得
マネージドルールグループ内のルールのリストを取得できます。API コールと CLI コールは、JSON モデルまたは で参照できるルール仕様を返します AWS CloudFormation。
**マネージドルールグループ内のルールの一覧を取得するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合、**[Edit]** (編集) を選択してルールを表示できます。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、**[保護パック (ウェブ ACL)]** ページから、作成したばかりの保護パック (ウェブ ACL) を選択します。これにより、保護パック (ウェブ ACL) 編集ページが表示されます。
+ **[Rules]** (ルール) を選択します。
+ ルールリストを表示するルールグループを選択し、**Edit** を選択します。ルールグループ内のルールのリスト AWS WAF を表示します。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# マネージドルールグループで使用可能なバージョンの取得
マネージドルールグループの利用可能なバージョンは、まだ期限切れになる予定がないバージョンです。このリストは、ルールグループの現在のデフォルトバージョンであるバージョンを示します。
**マネージドルールグループの使用可能なバージョンのリストを取得するには**
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合は、**[Edit]** (編集) を選択して、ルールグループの情報を表示します。**[Version]** (バージョン) ドロップダウンを展開して、使用可能なバージョンのリストを表示します。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、保護パック (ウェブ ACL) で **[Edit]** (編集) を選択し、ルールグループルールを選択して編集します。**[Version]** (バージョン) ドロップダウンを展開して、使用可能なバージョンのリストを表示します。
+ **API** –
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加
このセクションでは、コンソールを使用してマネージドルールグループを保護パック (ウェブ ACL) に追加する方法を説明します。このガイダンスは、すべての AWS マネージドルールルールグループと、サブスクライブしている AWS Marketplace ルールグループに適用されます。
**本番稼働トラフィックのリスク**
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**注記**
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。
**コンソールで保護パック (ウェブ ACL) にマネージドルールグループを追加するには**
**コンソールでウェブ ACL にマネージドルールグループを追加するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで **[保護パック (ウェブ ACL)]** を選択します。
1. **[保護パック (ウェブ ACL)]** ページで、保護パック (ウェブ ACL) のリストから、ルールグループを追加する保護パック (ウェブ ACL) を選択します。これにより、単一の保護パック (ウェブ ACL) のページが表示されます。
1. 保護パック (ウェブ ACL) ページで、**[ルール]** タブを選択します。
1. **[Rules]** (ルール) ペインで、**[Add rules]** (ルールを追加) を選択してから、**[Add managed rule groups]** (マネージドルールグループを追加) を選択します。
1. **[Add managed rule groups]** (マネージドルールグループを追加) ページで、ルールグループのベンダーの選択を展開して、使用可能なルールグループのリストを表示します。
1. 追加するルールグループごとに、**[保護パック (ウェブ ACL) に追加]** を選択します。ルールグループの保護パック (ウェブ ACL) の設定を変更する場合は、**[編集]** を選択し、変更を加えてから、**[ルールを保存]** を選択します。オプションの詳細については、[でのバージョニングされたマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups-versioning.md) のバージョニングに関するガイダンス、および [でのマネージドルールグループステートメントの使用 AWS WAF](waf-rule-statement-type-managed-rule-group.md) の保護パック (ウェブ ACL) でのマネージドルールグループの使用に関するガイダンスを参照してください。
1. **[Add managed rule groups]** (マネージドルールグループを追加) ページの下部で、**[Add rules]** (ルールを追加) を選択します。
1. **[Set rule priority]** (ルールの優先度を設定) ページで、必要に応じてルールが実行される順序を調整し、**[Save]** (保存) を選択します。詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。
保護パック (ウェブ ACL) のページで、追加したマネージドルールグループが **[ルール]** タブに一覧表示されます。
本番トラフィックに使用する前に、 AWS WAF 保護の変更をテストして調整します。詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。
**更新中の一時的な不一致**
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
# マネージドルールグループに対する新しいバージョンと更新の通知を受け取る
このセクションでは、新しいバージョンと更新に関する Amazon SNS 通知を受信する方法について説明します。
マネージドルールグループプロバイダーは、SNS 通知を使用して、今後の新しいバージョンや緊急のセキュリティアップデートなどのルールグループの変更を知らせます。
**SNS 通知をサブスクライブするには**
ルールグループの通知をサブスクライブするには、米国東部 (バージニア北部) リージョン us-east-1 のルールグループの Amazon SNS トピック ARN の Amazon SNS サブスクリプションを作成します。
サブスクライブする方法については、「[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/)」を参照してください。
**注記**
SNS トピックのサブスクリプションを、us-east-1 リージョンでのみ作成します。
バージョニングされた AWS マネージドルールルールグループはすべて、同じ SNS トピックの Amazon リソースネーム (ARN) を使用します。 AWS マネージドルールのルールグループ通知の詳細については、「」を参照してください[デプロイ通知](waf-managed-rule-groups-deployments-notifications.md)。
**マネージドルールグループの Amazon SNS トピック ARN を確認できる場所**
AWS マネージドルールルールグループは 1 つの SNS トピック ARN を使用するため、いずれかのルールグループからトピック ARN を取得してサブスクライブし、SNS 通知を提供するすべての AWS マネージドルールルールルールグループの通知を取得できます。
+ **コンソール**
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加する場合は、**[Edit]** (編集) を選択して、ルールグループの Amazon SNS トピック ARN を含むルールグループの情報を表示します。
+ (オプション) マネージドルールグループを保護パック (ウェブ ACL) に追加したら、保護パック (ウェブ ACL) で **[Edit]** (編集) を選択し、ルールグループのルールを選択して編集し、ルールグループの Amazon SNS トピック ARN を表示します。
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Amazon SNS 通知形式に関する一般的な情報と、受信する通知をフィルタリングする方法については、「Amazon Simple Notification Service デベロッパーガイド」の「[メッセージ形式を解析する](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html)」と「[Amazon SNS サブスクリプションフィルターポリシー](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html)」を参照してください。
# ルールグループのバージョンの有効期限の追跡
このセクションでは、Amazon CloudWatch を介したマネージドルールグループの有効期限スケジュールをモニタリングする方法について説明します。
ルールグループの特定のバージョンを使用する場合は、有効期限切れのバージョンを使用し続けないようにしてください。
**ヒント**
マネージドルールグループの Amazon SNS 通知にサインアップし、マネージドルールグループバージョンで最新の状態を維持します。ルールグループからの最新の保護により、有効期限を先取りできます。詳細については、「[新しいバージョンとアップデートの通知を受け取る](waf-using-managed-rule-groups-sns-topic.md)」を参照してください。
**Amazon CloudWatch を使用してマネージドルールグループの有効期限スケジュールをモニタリングするには**
1. CloudWatch で、マネージドルールグループの の有効期限メトリクスを見つけ AWS WAF ます。メトリクスには、以下のメトリック名とディメンションがあります:
+ メトリクス名: DaysToExpiry
+ メトリクスのディメンション: Region、ManagedRuleGroup、Vendor、および Version
トラフィックを評価する保護パック (ウェブ ACL) にマネージドルールグループがある場合、そのメトリクスが取得されます。このメトリクスは、使用されていないルールグループでは使用できません。
1. 関心のあるメトリクスにアラームを設定して、新しいバージョンのルールグループに切り替えるよう通知を適時に受け取れるようにします。
Amazon CloudWatch メトリクスの使用とアラームの設定については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。
# JSON および YAML でのマネージドルールグループ設定の例
このセクションでは、マネージドルールグループの設定の例を紹介します。
API コールと CLI コールは、JSON モデルまたは で参照できるマネージドルールグループ内のすべてのルールのリストを返します AWS CloudFormation。
**JSON**
JSON を使用して、ルールステートメント内でマネージドルールグループを参照および変更できます。次のリストは、 AWS マネージドルールルールグループ を JSON 形式で示`AWSManagedRulesCommonRuleSet`しています。RuleActionOverrides 仕様には、アクションが Count にオーバーライドされたルールが一覧表示されています。
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
CloudFormation YAML テンプレートを使用して、ルールステートメント内のマネージドルールグループを参照および変更できます。次のリストは、 `AWSManagedRulesCommonRuleSet` CloudFormation テンプレート内の AWS マネージドルールルールグループ を示しています。RuleActionOverrides 仕様には、アクションが Count にオーバーライドされたルールが一覧表示されています。
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```