で保護パックまたはウェブ ACL を作成する AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で保護パックまたはウェブ ACL を作成する AWS WAF

Creating a protection pack

このセクションでは、 AWS コンソールを使用して保護パックを作成する手順について説明します。

新しい保護パックを作成するには、このページの手順に従って保護パック作成ウィザードを使用します。

本番稼働トラフィックのリスク

本番トラフィック用の保護パックに変更をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境で変更をテストおよび調整します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パックまたはウェブ ACL で 1,500 を超える WCUs を使用すると、基本的な保護パックまたはウェブ ACL 料金を超えるコストが発生します。詳細については、「のウェブ ACL キャパシティユニット (WCUs) AWS WAF」と「AWS WAF 料金表」を参照してください。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/homev2 で AWS WAF コンソールを開きます。

  2. ナビゲーションペインで、リソースと保護を選択します。

  3. リソースと保護ページで、保護パックの追加を選択します。

  4. 「アプリについて教えてください」の「アプリカテゴリ」で、1 つ以上のアプリカテゴリを選択します。

  5. トラフィックソースで、アプリケーションがエンゲージするトラフィックのタイプを選択します。APIWeb、または API と Web の両方です。

  6. 保護するリソースで、リソースの追加を選択します。

  7. Amazon CloudFront ディストリビューションまたはリージョンリソースのいずれかで、この保護パックに関連付けるリソースの AWS カテゴリを選択します。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

  8. 「ルール保護の選択」で、推奨保護レベル必須保護レベル、またはビルドする保護レベルを選択します。

  9. (オプション) ビルドする場合は、ルールを構築します。

    1. (オプション) 独自のルールを追加する場合は、ルールの追加ページでカスタムルールを選択し、次を選択します。

      1. ルールタイプを選択します。

      2. [Action] (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「でのルールアクションの使用 AWS WAF」と「のルールとルールグループで保護パックまたはウェブ ACLs を使用する AWS WAF」を参照してください。

        [CAPTCHA] または [Challenge] アクションを使用している場合、このルールの必要に応じて [Immunity time] (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールはそれを保護パックから継承します。保護パックのイミュニティ時間の設定を変更するには、作成後に保護パックを編集します。イミュニティ時間の詳細については、「でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF」を参照してください。

        注記

        CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

        リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

        一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「でのウェブリクエストのラベル付け AWS WAF」を参照してください。

      3. [Name] (名前) で、このルールの識別に使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。

      4. 必要に応じて、ルールの定義を入力します。論理 AND および OR ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「AWS WAF ルール」を参照してください。

      5. [‬ルールを作成]‭ を選択します。

        注記

        複数のルールを保護パックに追加すると、 は保護パックにリストされている順序でルール AWS WAF を評価します。詳細については、「のルールとルールグループで保護パックまたはウェブ ACLs を使用する AWS WAF」を参照してください。

    2. (オプション) マネージドルールグループを追加する場合は、ルールの追加ページで、 AWSマネージドルールグループまたは AWS Marketplace ルールグループを選択し、次へを選択します。追加するマネージドルールグループごとに次を実行します。

      1. ルールの追加ページで、マネージドルールグループまたは AWS Marketplace 販売者のリスト AWS を展開します。

      2. ルールグループのバージョンを選択します。

      3. 保護パックがルールグループを使用する方法をカスタマイズするには、編集 を選択します。一般的なカスタマイズ設定は次のとおりです。

        • 検査セクションにスコープダウンステートメントを追加して、ルールグループが検査するウェブリクエストの範囲を減らします。このオプションについては、「でのスコープダウンステートメントの使用 AWS WAF」を参照してください。

        • ルールオーバーライドの一部またはすべてのルールのルールアクションを上書きします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「でのルールグループアクションの上書き AWS WAF」を参照してください。

        • 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してくださいAWS の マネージドルール AWS WAF

      4. [次へ] を選択します。

    3. (オプション) 独自のルールグループを追加する場合は、ルールの追加ページでカスタムルールグループを選択し、次を選択します。追加するルールグループごとに次を実行します。

      1. Name に、この保護パックのルールグループルールに使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「他のサービスによって提供されるルールグループを識別する」を参照してください。

      2. リストからルールグループを選択します。

      3. (オプション) ルール設定で、ルールオーバーライドを選択します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。

      4. (オプション) ラベルの追加 でラベルの追加 を選択し、ルールに一致するリクエストに追加するラベルを入力します。同じ保護パックで後で評価されるルールは、このルールが追加するラベルを参照できます。

      5. [‬ルールを作成]‭ を選択します。

  10. 名前と説明に、保護パックの名前を入力します。必要に応じて説明に説明を入力します。

    注記

    保護パックの作成後に名前を変更することはできません。

  11. (オプション) 保護パックのカスタマイズで、デフォルトのルールアクション、設定、ログ記録の送信先を設定します。

    1. (オプション) デフォルトのルールアクションで、保護パックのデフォルトのアクションを選択します。これは、保護パックのルールが明示的にアクションを実行しない場合にリクエスト AWS WAF に対して が実行するアクションです。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

    2. (オプション) ルール設定で、保護パックのルールの設定をカスタマイズします。

      • デフォルトのレート制限 - 可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のあるサービス拒否 (DoS) アタクトをブロックするようにレート制限を設定します。このルールレートは、アプリケーションの許容レートを超える IP アドレスあたりのリクエストをブロックします。詳細については、でのレートベースのルールステートメントの使用 AWS WAFを参照してください。

      • IP アドレス - ブロックまたは許可する IP アドレスを入力します。この設定は、他の保護ルールを上書きします。

      • 国固有のオリジン - 指定された国からのリクエストをブロックするか、すべてのトラフィックをカウントします。

    3. ログ記録先の場合は、ログ記録先タイプとログを保存する場所を設定します。詳細については、「AWS WAF ログ記録の送信先」を参照してください。

  12. 設定を確認し、保護パックの追加を選択します。

Creating a web ACL

このセクションでは、 AWS コンソールを使用してウェブ ACLs を作成する手順について説明します。

新しいウェブ ACL を作成するには、このページの手順に従ってウェブ ACL 作成ウィザードを使用します。

本番稼働トラフィックのリスク

本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パックまたはウェブ ACL で 1,500 を超える WCUs を使用すると、基本的な保護パックまたはウェブ ACL 料金を超えるコストが発生します。詳細については、「のウェブ ACL キャパシティユニット (WCUs) AWS WAF」と「AWS WAF 料金表」を参照してください。

ウェブ ACL を作成するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/homev2 で AWS WAF コンソールを開きます。

  2. ナビゲーションペインでウェブ ACLs を選択し、ウェブ ACL の作成を選択します。

  3. [Name] (名前) で、このウェブ ACL の識別に使用する名前を入力します。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  4. (オプション) 必要に応じて、[Description - optional] (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。

  5. [CloudWatch metric name] (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、「All」や「Default_Action」など AWS WAF、予約されている特殊文字、空白、またはメトリクス名を含めることはできません。

    注記

    ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。

  6. [リソースタイプ] で、このウェブ ACL に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

  7. リージョンで、リージョンリソースタイプを選択した場合は、ウェブ ACL AWS WAF を保存するリージョンを選択します。

    このオプションは、リージョン別リソースタイプの場合にのみ選択する必要があります。CloudFront ディストリビューションの場合、グローバル (CloudFront) アプリケーションであれば、リージョンは us-east-1 (米国東部 (バージニア北部) リージョン) にハードコードされています。

  8. (CloudFront、API Gateway、Amazon Cognito 、App Runner、Verified Access) [ウェブリクエスト検査サイズの制限 – オプション]に対して、別の本体検査サイズ制限を指定したい場合に、制限を選択します。デフォルトの 16 KB を超えるボディサイズを検査すると、追加費用が発生する可能性があります。このオプションについては、「の本文検査サイズ制限の管理 AWS WAF」を参照してください。

  9. (オプション) 関連 AWS リソース - オプションで、今すぐリソースを指定する場合は、リソースの追加 AWS を選択します。ダイアログボックスで、関連付けるリソースを選択し、Add. AWS WAF returns you to the Describe web ACL and associated AWS resources page を選択します。

    注記

    Application Load Balancer をウェブ ACL に関連付けることを選択すると、リソースレベルの DDoS 保護が有効になります。詳細については、「AWS WAF 分散サービス拒否 (DDoS) の防止」を参照してください。

  10. [Next] (次へ) を選択します。

  11. (オプション) マネージドルールグループを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add managed rule groups] (マネージドルールグループの追加) を選択します。追加するマネージドルールグループごとに次を実行します。

    1. マネージドルールグループの追加ページで、マネージドルールグループまたは任意の AWS Marketplace 販売者のリスト AWS を展開します。

    2. 追加するルールグループでは、[Action] (アクション) 列で [Add to web ACL] (ウェブ ACL に追加) 切り替えボタンをオンにします。

      ウェブ ACL がルールグループを使用する方法をカスタマイズするには、[Edit] (編集) を選択します。一般的なカスタマイズ設定は次のとおりです。

      • 一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「でのルールグループアクションの上書き AWS WAF」を参照してください。

      • スコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「でのスコープダウンステートメントの使用 AWS WAF」を参照してください。

      • 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してくださいAWS の マネージドルール AWS WAF

      設定が完了したら、[Save rule] (ルールを保存) を選択します。

    [Add rules] (ルールの追加) を選択してマネージドルールの追加を終了し、[Add rules and rule groups] (ルールとルールグループの追加) ページに戻ります。

    注記

    ウェブ ACL に複数のルールを追加すると、 はウェブ ACL にリストされている順序でルール AWS WAF を評価します。詳細については、「のルールとルールグループで保護パックまたはウェブ ACLs を使用する AWS WAF」を参照してください。

  12. (オプション) 独自のルールグループを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add my own rules and rule groups] (独自のルールとルールグループの追加) を選択します。追加するルールグループごとに次を実行します。

    1. [Add my own rules and rule groups] (独自のルールとルールグループの追加) ページで、[Rule group] (ルールグループ) を選択します。

    2. [Name] (名前) で、このウェブ ACL のルールグループのルールに使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「他のサービスによって提供されるルールグループを識別する」を参照してください。

    3. リストからルールグループを選択します。

      注記

      独自のルールグループのルールアクションを上書きする場合は、まずウェブ ACL に保存し、ウェブ ACL のルールリストでウェブ ACL とルールグループ参照ステートメントを編集します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。

    4. [ルールを追加] を選択してください。

  13. (オプション) 独自のルールを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加)、[Add my own rules and rule groups] (独自のルールとルールグループの追加)、[Rule builder] (ルールビルダー)、[Rule visual editor] (ルールビジュアルエディタ) の順に選択します。

    注記

    コンソールの [Rule visual editor] (ルールビジュアルエディタ) は、1 レベルのネストをサポートします。例えば、単一の論理 AND または OR ステートメントを使用して、その中に 1 レベルの他のステートメントをネストすることはできますが、論理ステートメントの中に論理ステートメントをネストすることはできません。より複雑なルールステートメントを管理するには、[Rule JSON editor] (ルール JSON エディタ) を使用します。ルールのすべてのオプションについては、「AWS WAF ルール」を参照してください

    この手順では、[Rule visual editor] (ルールビジュアルエディタ) について説明します。

    1. [Name] (名前) で、このルールの識別に使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。

    2. 必要に応じて、ルールの定義を入力します。論理 AND および OR ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「AWS WAF ルール」を参照してください。

    3. [Action] (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「でのルールアクションの使用 AWS WAF」と「のルールとルールグループで保護パックまたはウェブ ACLs を使用する AWS WAF」を参照してください。

      [CAPTCHA] または [Challenge] アクションを使用している場合、このルールの必要に応じて [Immunity time] (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールはウェブ ACL から設定を継承します。ウェブ ACL のイミュニティ時間設定を変更するには、ウェブ ACL の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF」を参照してください。

      注記

      CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

      リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

      一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「でのウェブリクエストのラベル付け AWS WAF」を参照してください。

    4. [Add Rule] (ルールの追加) を選択します。

  14. ウェブ ACL のデフォルトアクションに Block または Allow を選択します。これは、ウェブ ACL のルールがリクエストを明示的に許可またはブロックしない場合に、リクエストに対して が AWS WAF 実行するアクションです。詳細については、「で保護パックまたはウェブ ACL のデフォルトアクションを設定する AWS WAF」を参照してください。

    デフォルトのアクションをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

  15. [Token domain list] (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 CAPTCHAアクションと Challengeアクション、および AWS WAF Fraud Control アカウント作成不正防止 (ACFP)、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)、および AWS WAF Bot Control に AWS Managed Rules ルールグループを使用するときに実装するアプリケーション統合 SDKs によって使用されます。

    パブリックサフィックスは許可されません。たとえば、gov.au または co.uk をトークンドメインとして使用することはできません。

    デフォルトでは、 は保護されたリソースのドメインに対してのみトークン AWS WAF を受け入れます。このリストにトークンドメインを追加すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「AWS WAF 保護パックまたはウェブ ACL トークンドメインリストの設定」を参照してください。

  16. [Next] (次へ) を選択します。

  17. ルール優先度の設定ページで、ルールとルールグループを選択して、 AWS WAF 処理する順序に移動します。 は、リストの上部からルール AWS WAF を処理します。ウェブ ACL を保存すると、 AWS WAF では、リストされている順に、優先順位の数値設定がルールに割り当てられます。詳細については、「ルールの優先度の設定」を参照してください。

  18. [Next] (次へ) を選択します。

  19. [Configure metrics] (メトリクスを設定) ページで、オプションを確認し、必要な更新を適用します。複数のソースからのメトリクスを組み合わせるには、それらに同じ [CloudWatch metric name] (CloudWatch メトリクス名) を指定します。

  20. [Next] (次へ) を選択します。

  21. [Review and create web ACL] (ウェブ ACL の確認と作成) ページで定義を確認します。エリアを変更する場合は、エリアの [Edit] (編集) を選択します。これにより、ウェブ ACL ウィザードのページに戻ります。変更を加えてから、[Review and create web ACL] (確認してウェブ ACL を作成する) ページに戻るまで、[Next] (次へ) を選択してページを進みます。

  22. [Create web ACL] (ウェブ ACL の作成) を選択します。新しいウェブ ACL がウェブ ACLsページに表示されます。