での保護の設定 AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での保護の設定 AWS WAF

このページでは、保護パックとウェブアクセスコントロールリスト (ウェブ ACLs) とは何か、またその仕組みについて説明します。

保護パックまたはウェブ ACL は、基本的に同じ機能を実行します。どちらも、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync Amazon Cognito AWS App Runner AWS Amplify、および AWS Verified Access リソースを保護できます。新しいコンソールエクスペリエンスでは保護パックを使用し、標準コンソールではウェブ ACLs を使用します。新しいコンソールエクスペリエンスの詳細については、「」を参照してください更新されたコンソールエクスペリエンスの使用

次のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

  • リクエストの特定の部分のサイズ

  • 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

一致する条件と、 AWS WAF ルールステートメントの一致に対して実行するアクションを指定します。ルールステートメントは、保護パックまたはウェブ ACL 内で直接定義でき、保護パックまたはウェブ ACL で使用する再利用可能なルールグループで定義できます。オプションの詳細なリストについては、「でのルールステートメントの使用 AWS WAF」および「でのルールアクションの使用 AWS WAF」を参照してください。

保護パックまたはウェブ ACL を作成するときは、使用するリソースのタイプを指定します。詳細については、「で保護パックまたはウェブ ACL を作成する AWS WAF」を参照してください。保護パックまたはウェブ ACL を定義したら、リソースに関連付けて保護を開始できます。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

注記

場合によっては、リクエストを許可またはブロックするかどうかに関する関連 AWS リソースへの応答を遅らせる内部エラーが発生する AWS WAF ことがあります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、 およびリージョンレベルのサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。

本番稼働トラフィックのリスク

本番トラフィック用に保護パックまたはウェブ ACL に変更をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境で変更をテストおよび調整します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パックまたはウェブ ACL で 1,500 を超える WCUs を使用すると、基本的な保護パックまたはウェブ ACL 料金を超えるコストが発生します。詳細については、「のウェブ ACL キャパシティユニット (WCUs) AWS WAF」と「AWS WAF 料金表」を参照してください。

更新中の一時的な不一致

保護パック、ウェブ ACL、またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • 保護パックまたはウェブ ACL を作成した後、リソースに関連付けようとすると、保護パックまたはウェブ ACL が使用できないことを示す例外が表示されることがあります。

  • 保護パックまたはウェブ ACL にルールグループを追加すると、新しいルールグループルールが、保護パックまたはウェブ ACL が別のエリアではなく使用されるエリアで有効になる場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

トピック