AWS WAF で保護を設定する - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF で保護を設定する

このページでは、保護パック (ウェブ ACL) とその仕組みについて説明します。

保護パック (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、AWS Amplify、Amazon CloudWatch、および AWS Verified Access リソースを保護できます。

次のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

  • リクエストの特定の部分のサイズ

  • 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

AWS WAF ルールステートメントで、一致基準と一致に対して実行するアクションを指定します。ルールステートメントは、保護パック (ウェブ ACL) 内、および保護パック (ウェブ ACL) で使用する再利用可能なルールグループで直接定義できます。オプションの詳細なリストについては、「AWS WAF でのルールステートメントの使用」および「AWS WAF でのルールアクションの使用」を参照してください。

保護パック (ウェブ ACL) を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、「AWS WAF で保護パック (ウェブ ACL) を作成する」を参照してください。保護パック (ウェブ ACL) を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「保護と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

注記

AWS WAF で内部エラーが発生し、関連付けられている AWS リソースへの、リクエストを許可するかブロックするかについての応答が遅延する場合があります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、 およびリージョンレベルのサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。

本番稼働トラフィックのリスク

本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「AWS WAF の ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表」を参照してください。

更新中の一時的な不一致

保護パック (ウェブ ACL) またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。

  • ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

トピック