AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF で保護パック (ウェブ ACL) を編集する
- Using the new console
-
このセクションでは、AWS コンソールを使用して保護パック (ウェブ ACL) を編集する手順について説明します。
保護パック (ウェブ ACL) のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用して保護パック (ウェブ ACL) にアクセスします。保護パック (ウェブ ACL) を更新中に、AWS WAF は保護パック (ウェブ ACL) に関連付けたリソースに対して継続的なカバレッジを提供します。
本番稼働トラフィックのリスク
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。
注記
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「AWS WAF の ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表
」を参照してください。 保護パック (ウェブ ACL) を編集するには
AWS マネジメントコンソール にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2-pro
) を開きます。 -
ナビゲーションペインで、[リソースと保護パック (ウェブ ACL)] を選択します。
-
編集する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドペインも開きます。
-
必要に応じて保護パック (ウェブ ACL) を編集します。
以下は、編集可能な保護パック (ウェブ ACL) 設定コンポーネントの一覧です。
このセクションでは、AWS コンソールを使用してウェブ ACL を編集する手順について説明します。
ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL を更新中に、AWS WAF はウェブ ACL に関連付けたリソースに対して継続的なカバレッジを提供します。
本番稼働トラフィックのリスク
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。
注記
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「AWS WAF の ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表
」を参照してください。 更新中の一時的な不一致
保護パック (ウェブ ACL) またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
- Using the standard console
-
このセクションでは、AWS コンソールを使用してウェブ ACL を編集する手順について説明します。
ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL を更新中に、AWS WAF はウェブ ACL に関連付けたリソースに対して継続的なカバレッジを提供します。
本番稼働トラフィックのリスク
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。
注記
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「AWS WAF の ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表
」を参照してください。 ウェブ ACL を編集するには
AWS マネジメントコンソール にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/homev2
) を開きます。 -
ナビゲーションペインで [ウェブ ACL] を選択します。
-
編集するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示されます。
-
必要に応じてウェブ ACL を編集します。関心のある設定領域のタブを選択し、ミュータブルな設定を編集します。編集する設定ごとに [保存] を選択してウェブ ACL の説明ページに戻ると、コンソールではウェブ ACL に変更が保存されます。
ウェブ ACL 設定コンポーネントを含むタブを以下に示します。
-
[ルール] タブ
-
ウェブ ACL で定義したルール – ウェブ ACL で定義したルールは、ウェブ ACL の作成時と同様に編集および管理できます。
注記
ウェブ ACL に手動で追加していないルールの名前は変更しないでください。他のサービスを使用してルールを管理している場合、ルールの名前を変更すると、そのサービスの機能が削除されたり低下したりするため、意図した保護を提供できなくなる可能性があります。AWS Shield Advanced と AWS Firewall Manager はどちらもウェブ ACL でルールを作成します。詳細については、「他のサービスによって提供されるルールグループを識別する」を参照してください。
注記
ルールの名前を変更し、ルールのメトリック名に変更を反映させたい場合は、メトリック名も更新する必要があります。ルール名を変更しても、AWS WAF では、ルールのメトリック名は自動的に更新されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、保護パック (ウェブ ACL) またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。
ルールおよびルールグループの設定については、「AWS WAF ルール」と「AWS WAF ルールグループ」を参照してください。
-
[使用するウェブ ACL ルールキャパシティーユニット] – ウェブ ACL の現在のキャパシティ使用量。これは表示のみです。
-
[どのルールにも一致しないリクエストに対するデフォルトのウェブ ACL アクション] – この設定の詳細については、「AWS WAF での保護パック (ウェブ ACL) のデフォルトアクションの設定」を参照してください。
-
[ウェブ ACL CAPTCHA およびチャレンジ設定] – これらのイミュニティ時間によって、CAPTCHA またはチャレンジトークンの取得後の有効期間が決まります。ウェブ ACL の作成後、この設定は、このタブでしか変更できません。これらの設定については、「AWS WAF でのタイムスタンプの有効期限とトークンのイミュニティ時間の設定」を参照してください。
-
[トークンドメインリスト] – AWS WAF はリスト内のすべてのドメイン、ならびに関連付けられたリソースのドメインのトークンを受け入れます。詳細については、「AWS WAF 保護パック (ウェブ ACL) トークンドメインリストの設定」を参照してください。
-
-
[関連付けられた AWS リソース] タブ
-
[ウェブリクエスト検査サイズの制限] – CloudFront ディストリビューションを保護するウェブ ACL にのみ含まれます。本文検査サイズの制限により、検査用に AWS WAF に転送される本文コンポーネントのサイズが決まります。この設定の詳細については「AWS WAF でのボディ検査の管理に関する考慮事項」を参照してください。
-
[関連付けられた AWS リソース] – ウェブ ACL が現在関連付けられ、保護しているリソースのリスト。ウェブ ACL と同じリージョン内にあるリソースを見つけて、ウェブ ACL に関連付けることができます。詳細については、「保護と AWS リソースの関連付けまたは関連付けの解除」を参照してください。
-
-
[カスタムレスポンス本文] タブ
-
アクションが Block に設定されているウェブ ACL ルールで使用できるカスタムレスポンス本文。詳細については、「Block アクションのカスタムレスポンスの送信」を参照してください。
-
-
[ログ記録とメトリクス] タブ
-
ログ記録 – ウェブ ACL で評価されるトラフィックのログ記録。詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。
-
Security Lake 統合 – Amazon Security Lake のウェブ ACL 用に設定したデータ収集のステータス。詳細については、「Amazon Security Lake ユーザーガイド」の「AWS サービスからのデータを収集」を参照してください。
-
サンプリングされたリクエスト – ウェブリクエストに一致するルールに関する情報。サンプリングされたリクエストの表示方法については、「ウェブリクエストのサンプルの表示」を参照してください。
-
データ保護設定 – ウェブ ACL で使用可能なすべてのデータと、AWS WAF が設定されたウェブ ACL ログ記録先に送信するデータに対してのみ、ウェブトラフィックデータの秘匿化とフィルタリングを設定できます。データ保護については、「AWS WAF 保護パック (ウェブ ACL) トラフィックのデータ保護とログ記録」を参照してください。
-
CloudWatch メトリクス – ウェブ ACL 内のルールのメトリクス。Amazon CloudWatch メトリクスの詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。
-
-
更新中の一時的な不一致
保護パック (ウェブ ACL) またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
