ディストリビューションで AWS WAF を有効にする
ディストリビューションの作成時に AWS WAF を有効にすることも、既存のアクセスコントロールリスト (ACL) のセキュリティ保護を有効にすることもできます。
CloudFront ディストリビューションで AWS WAF を有効にすると、Bot Control を有効にしてボットカテゴリ別にセキュリティ保護を設定することもできます。
新しいディストリビューションで AWS WAF を有効にする
次の手順では、CloudFront ディストリビューションの作成時に AWS WAF を有効にする方法を示します。
新しいディストリビューションで AWS WAF を有効にするには
CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home
) を開きます。 -
ナビゲーションペインで [ディストリビューション] を選択し、[ディストリビューションを作成] を選択します。
-
必要に応じて、「ディストリビューションを作成する」の手順に従います。
-
[ウェブアプリケーションファイアウォール] セクションで、[編集]、[セキュリティ保護を有効にする] の順に選択します。
-
以下のフィールドに値を入力します。
-
モニタリングモードを使う – 保護の仕組みをテストするために最初にデータを収集する場合は、モニタリングモードを有効にします。モニタリングモードを有効にすると、保護が有効になっていてもリクエストはブロックされません。代わりに、モニタリングモードは、保護が有効な場合にブロックされるリクエストに関するデータを収集します。ブロックを開始する準備ができたら、[セキュリティ] ページでブロックを有効にすることができます。
-
追加保護 – 有効にするオプションを選択します。レート制限を有効にする場合の詳細については、「レート制限の設定」を参照してください。
-
価格見積もり – このセクションを開くと、1 か月あたりの異なるリクエスト数を入力するフィールドが表示され、新しい見積もりが表示されます。
-
-
残りのディストリビューション設定を確認し、[ディストリビューションを作成する] を選択します。
ディストリビューションを作成すると、CloudFront は [セキュリティ] ダッシュボードを作成します。このダッシュボードを使用して、AWS WAF を無効化または有効化できます。AWS WAF をまだ有効にしていない場合、ダッシュボードのチャートとグラフは空白のままです。
既存のウェブ ACL を使用する
既存のウェブ ACL がある場合は、これを AWS WAF が提供する保護の代わりに使用できます。
既存の AWS WAF 設定を使用するには
CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home
) を開きます。 -
次のいずれかを行います。
-
[ディストリビューションを作成] を選択し、「ディストリビューションを作成する」の手順を実行して、このトピックに戻ります。
-
既存の設定を選択し、[セキュリティ] タブを選択します。
-
-
[ウェブアプリケーションファイアウォール (WAF)] セクションで、[編集]、[セキュリティ保護を有効にする] の順に選択します。
-
[既存の WAF 設定を使用] を選択します。このオプションは、ウェブ ACL が設定されている場合にのみ表示されます。
-
[ウェブ ACL を選択] テーブルから既存のウェブ ACL を選択します。
-
残りのディストリビューション設定を確認し、[ディストリビューションを作成する] を選択します。
Bot Control を有効にする
CloudFront ディストリビューションで AWS WAF を有効にすると、CloudFront コンソールのセキュリティダッシュボードで特定の時間範囲のボットリクエストを表示できます。ここで Bot Control を有効または無効にすることもできます。
Bot Control を有効にすると、料金が発生します。セキュリティダッシュボードには、コストの見積もりが表示されます。
Bot Control を有効にすると、セキュリティダッシュボードにボットのタイプおよびカテゴリ別にボットトラフィックが表示されます。Bot Control を無効にすると、リクエストサンプリングに基づいてボットトラフィックが表示されます。
Bot Control を有効にするには
CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home
) を開きます。 ナビゲーションペインで、[ディストリビューション] を選択し、変更するディストリビューションを選択します。
[セキュリティ] タブを選択します。
[特定の時間範囲のボットリクエスト] セクションまでスクロールし、[Bot Control を有効にする] を選択します。
[Bot Control] ダイアログボックスの [設定] で、[一般的なボットの Bot Control を有効にする] チェックボックスをオンにします。
[Save changes] (変更の保存) をクリックします。
ボットカテゴリ別に保護を設定する
Bot Control を有効にすると、未確認の各ボットをボットカテゴリ別にどのように処理するかを設定できます。例えば、HTTP ライブラリボットを [モニタリングモード] に設定し、[チャレンジ] をリンクチェッカーに割り当てることができます。
注記
既知の検索エンジンのクローラーなど、一般的で検証可能として AWS に知られているボットは、ここで設定したアクションの対象にはなりません。Bot Control は、ボットを検証済みとしてマークする前に、検証済みのボットが請求するソースに由来することを確認します。
ボットカテゴリの保護を設定するには
CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home
) を開きます。 ナビゲーションペインで、[ディストリビューション] を選択し、変更するディストリビューションを選択します。
[セキュリティ] タブを選択します。
-
[ボットカテゴリ別のリクエスト] グラフで、[未確認のボットアクション] 列のいずれかの項目にカーソルを合わせて、鉛筆アイコンをクリックします。
-
結果のリストを開き、以下のいずれかを選択します。
ブロック
許可
モニタリングモード
CAPTCHA
チャレンジ
-
リストの横にあるチェックマークをオンにして変更を保存します。