Verified Access と AWS WAF の統合

Verified Access によって適用される認証ルールと認可ルールに加えて、境界保護を適用することもできます。これにより、アプリケーションを他の脅威から保護することができます。これは、AWS WAF を Verified Access デプロイに統合することで実現できます。AWS WAF は、保護されたウェブアプリケーションリソースに転送される HTTP リクエストをモニタリングできるウェブアプリケーションファイアウォールです。詳細については、AWS WAF デベロッパーガイドを参照してください。

AWS WAF ウェブアクセスコントロールリスト（ACL）を Verified Access インスタンスに関連付けることで、AWS WAF と Verified Access を統合することができます。ウェブ ACL は、保護されたリソースが応答するすべての HTTP ウェブリクエストをきめ細かく制御できる AWS WAF リソースです。AWS WAF 関連付けまたは関連付け解除のリクエストが処理されている間、インスタンスに接続されている Verified Access エンドポイントのステータスは updating として表示されます。リクエストが完了すると、ステータスは active に戻ります。ステータスは、AWS Management Console または、AWS CLI でエンドポイントを説明することで確認できます。

Application Load Balancer によるユーザー認証を使用している場合、AWS WAF は、ロードバランサーがユーザーを認証した後でトラフィックを検査します。

必要な IAM 許可

AWS WAF と Verified Access の統合には、API 操作に直接対応しないアクセス許可限定のアクションが含まれています。このようなアクションは、AWS Identity and Access Management の「サービス認可リファレンス」で [permission only] として示されています。「サービス認可リファレンス」の「Amazon EC2 のアクション、リソース、および条件キー」を参照してください。

ウェブ ACL を使用するには、AWS Identity and Access Management プリンシパルに以下のアクセス許可が必要です。

AWS WAF ウェブ ACL を関連付ける

次の手順は、Verified Access コンソールを使用して、AWS WAF ウェブアクセスコントロールリスト (ACL) を Verified Access インスタンスに関連付ける方法を示しています。

前提条件

開始する前に、AWS WAF ウェブ ACL を作成します。詳細については、「AWS WAF デベロッパーガイド」の「ウェブ ACL の作成」を参照してください。

別の方法として、AWS WAF コンソールを使用することもできます。AWS WAF コンソールまたは API を使用する場合は、Verified Access インスタンスの Amazon リソースネーム (ARN) が必要です。AVA ARN は arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId} という形式になります。詳細については、「AWS WAF デベロッパーガイド」の「ウェブ ACL と AWS リソースの関連付け」を参照してください。

関連付けのステータスの確認

AWS WAF ウェブアクセスコントロールリスト (ACL) が Verified Access インスタンスに関連付けられているかどうかは、Verified Access コンソールを使用して確認できます。

AWS WAFウェブ ACL の関連付けを解除する

次の手順は、Verified Access コンソールを使用して、Verified Access インスタンスから AWS WAF ウェブアクセスコントロールリスト (ACL) の関連付けを解除する方法を示しています。

別の方法として、AWS WAF コンソールを使用することもできます。詳細については、「AWS WAF デベロッパーガイド」の「ウェブ ACL と AWS リソースの関連付けの解除」を参照してください。