での保護の設定 AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

での保護の設定 AWS WAF

このページでは、保護パック (ウェブ ACLs) とその仕組みについて説明します。

保護パック (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer AWS AppSync、Amazon Cognito AWS App Runner AWS Amplify、および AWS Verified Access リソースを保護できます。

次のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

  • リクエストの特定の部分のサイズ

  • 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

一致する条件と、 AWS WAF ルールステートメントの一致に対して実行するアクションを指定します。ルールステートメントは、保護パック (ウェブ ACL) 内および保護パック (ウェブ ACL) で使用する再利用可能なルールグループ内で直接定義できます。オプションの詳細なリストについては、「でのルールステートメントの使用 AWS WAF」および「でのルールアクションの使用 AWS WAF」を参照してください。

保護パック (ウェブ ACL) を作成するときは、それを使用するリソースのタイプを指定します。詳細については、「での保護パック (ウェブ ACL) の作成 AWS WAF」を参照してください。保護パック (ウェブ ACL) を定義したら、それをリソースに関連付けて、保護の提供を開始できます。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

注記

場合によっては、リクエストを許可またはブロックするかどうかについて、関連する AWS リソースへの応答を遅らせる内部エラーが発生する AWS WAF ことがあります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、 およびリージョンレベルのサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。

本番稼働トラフィックのリスク

本番トラフィック用の保護パック (ウェブ ACL) に変更をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境で変更をテストおよび調整します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パック (ウェブ ACL) で 1,500 を超える WCUs を使用すると、基本保護パック (ウェブ ACL) 料金を超えるコストが発生します。詳細については、「のウェブ ACL キャパシティユニット (WCUs) AWS WAF」と「AWS WAF 料金表」を参照してください。

更新中の一時的な不一致

保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • 保護パック (ウェブ ACL) を作成した後、リソースに関連付けると、保護パック (ウェブ ACL) が使用できないことを示す例外が表示されることがあります。

  • 保護パック (ウェブ ACL) にルールグループを追加すると、新しいルールグループルールが、保護パック (ウェブ ACL) が別のエリアではなく、使用されるエリアで有効になる場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

トピック