本番環境で保護の有効化 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

本番環境で保護の有効化

このセクションでは、本番稼働でチューニングされた保護を有効にする手順について説明します。

本番環境でのテストとチューニングの最終段階が終了したら、本番モードで保護を有効にします。

本番稼働トラフィックのリスク

本番稼働トラフィックに保護パック (ウェブ ACL) 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、テスト環境でテストおよびチューニングします。また、本番稼働用トラフィックの保護を有効にする前に、本番稼働用トラフィックでカウントモードでテストおよびチューニングします。

注記

このセクションのガイダンスに従うには、保護パック (ウェブ ACL)、ルール、ルールグループなどの AWS WAF 保護の作成および管理方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。

これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。

本番環境で AWS WAF 保護を有効にする
  1. 本番環境保護に切り替える

    保護パック (ウェブ ACL) を更新し、本番環境の設定を切り替えます。

    1. 不要なテストルールをすべて削除する

      本番環境では必要ないテストルールを追加した場合は、それらを削除します。ラベル一致ルールを使用して管理ルールグループルールの結果をフィルタリングする場合は、必ずそれらのルールをそのままにしておいてください。

    2. 本番用アクションに切り替える

      新しいルールのアクション設定を、意図したプロダクション設定に変更します。

      • 保護パック (ウェブ ACL) で定義されているルール — 保護パック (ウェブ ACL) のルールを編集し、Count からのそれらのアクションを本番環境のアクションに変更します。

      • ルールグループ — ルールグループの保護パック (ウェブ ACL) 設定で、独自のアクションを使用するようにルールを切り替えるか、テストおよびチューニングのアクティビティの結果に応じて、Count アクションオーバーライドがあるままにします。ラベル一致ルールを使用してルールグループルールの結果をフィルタリングする場合は、必ずそのルールのオーバーライドをそのまま残してください。

        ルールのアクションの使用に切り替えるには、保護パック (ウェブ ACL) 設定で、ルールグループのルールステートメントを編集し、ルールの Count オーバーライドを削除します。JSON で保護パック (ウェブ ACL) を管理する場合、ルールグループ参照ステートメントで RuleActionOverrides リストからルールのエントリを削除します。

      • 保護パック (ウェブ ACL) — 保護パック (ウェブ ACL) のデフォルトアクションをテスト用に変更した場合は、本番用の設定に切り替えます。

      これらの設定により、意図したとおりに新しい保護がウェブトラフィックを管理します。

    保護パック (ウェブ ACL) を保存すると、それが関連付けられているリソースは本番設定を使用します。

  2. モニタリングおよびチューニング

    ウェブリクエストが希望どおりに処理されていることを確認するには、新しい機能を有効にした後、トラフィックを注意深く監視します。チューニング作業で監視していたカウントアクションではなく、本番ルールアクションのメトリクスとログを監視します。ウェブトラフィックの変化に適応するために、必要に応じて動作を監視し、調整してください。