AWS WAF Classic Regional examples using AWS CLI

ウェブ ACL をリソースに関連付けるには

次の associate-web-acl のコマンドは、web-acl-id で指定されたウェブ ACL を resource-arn で指定されたリソースに関連付けます。リソース ARN は、Application Load Balancer または API Gateway を参照できます。

aws waf-regional associate-web-acl \
    --web-acl-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --resource-arn 12cs345-67cd-890b-1cd2-c3a4567d89f1

詳細については、「AWS WAF デベロッパーガイド」の「Web ACL の使用」を参照してください。

指定された Kinesis Firehose ストリーム ARN を使用してウェブ ACL ARN のログ記録設定を作成するには

次の put-logging-configuration の例は、リージョン us-east-1 の ALB/APIGateway を使用した WAF のログ記録設定を示しています。

aws waf-regional put-logging-configuration \
    --logging-configuration ResourceArn=arn:aws:waf-regional:us-east-1:123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3,LogDestinationConfigs=arn:aws:firehose:us-east-1:123456789012:deliverystream/aws-waf-logs-firehose-stream,RedactedFields=[] \
    --region us-east-1

出力:

{
    "LoggingConfiguration": {
        "ResourceArn": "arn:aws:waf-regional:us-east-1:123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3",
        "LogDestinationConfigs": [
            "arn:aws:firehose:us-east-1:123456789012:deliverystream/aws-waf-logs-firehose-stream"
        ]
    }
}

バイト一致セットを更新するには

次の update-byte-match-set コマンドは、ByteMatchSet 内の ByteMatchTuple オブジェクト (フィルター) を削除します。updates 値には二重引用符が埋め込まれているため、値を単一引用符で囲む必要があります。

aws waf-regional update-byte-match-set \
    --byte-match-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates 'Action="DELETE",ByteMatchTuple={FieldToMatch={Type="HEADER",Data="referer"},TargetString="badrefer1",TextTransformation="NONE",PositionalConstraint="CONTAINS"}'

詳細については、「AWS WAF デベロッパーガイド」の「文字列一致条件の使用」を参照してください。

IP セットを更新するには

次の update-ip-set コマンドは、IPv4 アドレスを使用して IPSet を更新し、IPv6 アドレスを削除します。get-change-token コマンドを実行して、change-token の値を取得します。更新の値には二重引用符が埋め込まれているため、値を単一引用符で囲む必要があります。

aws waf update-ip-set \
    --ip-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates 'Action="INSERT",IPSetDescriptor={Type="IPV4",Value="12.34.56.78/16"},Action="DELETE",IPSetDescriptor={Type="IPV6",Value="1111:0000:0000:0000:0000:0000:0000:0111/128"}'

または、JSON ファイルを使用して入力を指定できます。例:

aws waf-regional update-ip-set \
    --ip-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1  \
    --updates file://change.json

change.json の内容

[
    {
        "Action": "INSERT",
        "IPSetDescriptor":
        {
            "Type": "IPV4",
            "Value": "12.34.56.78/16"
        }
    },
    {
        "Action": "DELETE",
        "IPSetDescriptor":
        {
            "Type": "IPV6",
            "Value": "1111:0000:0000:0000:0000:0000:0000:0111/128"
        }
    }
]

詳細については、「AWS WAF デベロッパーガイド」の「IP 一致条件の使用」を参照してください。

ルールを更新するには

次の update-rule コマンドは、ルール内の Predicate オブジェクトを削除します。updates 値には二重引用符が埋め込まれているため、値全体を単一引用符で囲む必要があります。

aws waf-regional update-rule \
    --rule-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates 'Action="DELETE",Predicate={Negated=false,Type="ByteMatch",DataId="MyByteMatchSetID"}'

詳細については、「AWS WAF デベロッパーガイド」の「ルールの使用」を参照してください。

サイズ制約セットを更新するには

次の update-size-constraint-set コマンドは、サイズ制約セット内の SizeConstraint ` オブジェクト (フィルター) を削除します。updates 値には埋め込み二重引用符が含まれているため、値全体を単一引用符で囲む必要があります。

aws waf-regional update-size-constraint-set \
    --size-constraint-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates 'Action="DELETE",SizeConstraint={FieldToMatch={Type="QUERY_STRING"},TextTransformation="NONE",ComparisonOperator="GT",Size=0}'

詳細については、「AWS WAF デベロッパーガイド」の「サイズ制約条件の使用」を参照してください。

SQL インジェクションマッチセットを更新するには

次の update-sql-injection-match-set コマンドは、SQL インジェクション一致セット内の SqlInjectionMatchTuple オブジェクト (フィルター) を削除します。updates 値には二重引用符が埋め込まれているため、値全体を一重引用符で囲む必要があります。:

aws waf-regional update-sql-injection-match-set --sql-injection-match-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 --updates 'Action="DELETE",SqlInjectionMatchTuple={FieldToMatch={Type="QUERY_STRING"},TextTransformation="URL_DECODE"}'

詳細については、「AWS WAF デベロッパーガイド」の「SQL インジェクション一致条件の使用」を参照してください。

ウェブ ACL を更新するには

次の update-web-acl コマンドは、WebACL 内の ActivatedRule オブジェクトを削除します。updates 値には二重引用符が埋め込まれているため、値全体を一重引用符で囲む必要があります。

aws waf-regional update-web-acl \
    --web-acl-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates Action="DELETE",ActivatedRule='{Priority=1,RuleId="WAFRule-1-Example",Action={Type="ALLOW"},Type="ALLOW"}'

詳細については、「AWS WAF デベロッパーガイド」の「Web ACL の使用」を参照してください。

XSSMatchSet を更新するには

次の update-xss-match-set コマンドは、XssMatchSet 内の XssMatchTuple オブジェクト (フィルター) を削除します。updates 値には埋め込み二重引用符が含まれているため、値全体を単一引用符で囲む必要があります。

aws waf-regional update-xss-match-set \
    --xss-match-set-id a123fae4-b567-8e90-1234-5ab67ac8ca90 \
    --change-token 12cs345-67cd-890b-1cd2-c3a4567d89f1 \
    --updates 'Action="DELETE",XssMatchTuple={FieldToMatch={Type="QUERY_STRING"},TextTransformation="URL_DECODE"}'

詳細については、「AWS WAF デベロッパーガイド」の「クロスサイトスクリプト一致条件の使用」を参照してください。