ウェブ ACL の作成 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ウェブ ACL の作成

警告

AWS WAF Classic へのサポートは 2025 年 9 月 30 日に終了します。

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 月より前に AWS WAF でルールやウェブ ACL などの AWS WAF リソースを作成し、それらをまだ最新バージョンに移行していない場合にのみ、このバージョンを使用する必要があります。Web ACL を移行するには、AWS WAF Classic リソースを AWS WAF に移行する を参照してください。

最新バージョンの AWS WAF については、AWS WAF」を参照してください。

ウェブ ACL を作成するには

  1. AWS Management Console にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/) を開きます。

    ナビゲーションペインに、[Switch to AWS WAF Classic] ( Classic に切り替える) が表示されたら、それを選択します。

  2. AWS WAF Classic の初回使用時は、[Go to AWS WAF Classic] ( Classic に移動)、[Configure Web ACL] (ウェブ ACL を設定) の順に選択します。AWS WAF Classic を前に使用したことがある場合は、ナビゲーションペインで [Web ACLs] (ウェブ ACL) を選択してから、[Create web ACL] (ウェブ ACL を作成) を選択します。

  3. [Web ACL name] (ウェブ ACL の名前) に名前を入力します。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  4. [CloudWatch metric name] (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。空白や、「All」および「Default_Action」など AWS WAF Classic 用に予約されたメトリクス名は使用できません。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  5. [Region] (リージョン) で、リージョンを選択します。

  6. [AWS resource ( リソース)] で、ウェブ ACL に関連付けるリソースを選択し、[Next (次へ)] を選択します。

  7. AWS WAF Classic でウェブリクエストの検査に使用する条件を作成済みである場合は、[Next] (次へ) を選択して次のステップに進みます。

    条件をまだ作成していない場合は、ここで作成します。詳細については、次のトピックを参照してください。

  8. このウェブ ACL に作成済み (または AWS Marketplace ルールグループにサブスクライブ) のルールまたはルールグループを追加する場合は、そのルールを選択してウェブ ACL に追加します。

    1. [Rules] (ルール) リストで、ルールを選択します。

    2. [Add rule to web ACL] (ウェブ ACL にルールを追加) を選択します。

    3. このウェブ ACL に関連付けるすべてのルールを追加するまでステップ a とステップ b を繰り返します。

    4. ステップ 10 に進んでください。

  9. ルールをまだ作成していない場合は、ここでルールを追加できます。

    1. [Create rule] (ルールの作成) を選択します。

    2. 次の値を入力します。

      [Name] (名前)

      名前を入力します。

      [CloudWatch metric name] (CloudWatch メトリクス名)

      AWS WAF Classic によって作成されてルールに関連付けられる CloudWatch メトリクスの名前を入力します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。空白や、「All」および「Default_Action」など AWS WAF Classic 用に予約されたメトリクス名は使用できません。

      注記

      ルールの作成後はメトリクス名を変更できません。

    3. ルールに条件を追加するには、次の値を指定します。

      [When a request does/does not] (リクエストが次の条件内/条件外)

      AWS WAF Classic で条件内のフィルター (ウェブリクエストの送信元の IP アドレス範囲が 192.0.2.0/24 など) に基づいてリクエストを許可またはブロックする場合は、[does] (条件に該当) を選択します。

      AWS WAF Classic で条件内のフィルターを逆に適用してリクエストを許可またはブロックする場合は、[does not] (条件に非該当) を選択します。例えば、IP 一致条件に含まれている IP アドレス範囲が 192.0.2.0/24 で、これらの IP アドレスから送信されていないリクエストを AWS WAF Classic で許可またはブロックする場合は、[does not] (条件に非該当) を選択します。

      [match/originate from] (一致/次から生じている)

      ルールに追加する条件のタイプを選択します。

      • クロスサイトスクリプティング一致条件 - [match at least one of the filters in the cross-site scripting match condition] (クロスサイトスクリプティング一致条件の少なくとも 1 つのフィルターに一致する) を選択します。

      • IP 一致条件 - [originate from an IP address in] (IP アドレスより送信) を選択します

      • Geo 一致条件 - [originate from a geographic location in] (地理的場所より送信) を選択します

      • サイズ制約条件 - [match at least one of the filters in the size constraint condition] (サイズ制約条件の少なくとも 1 つのフィルターに一致する) を選択します

      • SQL インジェクション一致条件 - [match at least one of the filters in the SQL injection match condition] (SQL インジェクション一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      • 文字列一致条件 - [match at least one of the filters in the string match condition] (文字列一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      • 正規表現一致条件 - [match at least one of the filters in the regex match condition] (正規表現一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      [condition name] (条件名)

      ルールに追加する条件を選択します。リストには、前のリストで選択したタイプの条件のみが表示されます。

    4. ルールに別の条件を追加するには、[Add another condition] (別の条件を追加) を選択し、ステップ b とステップ c を繰り返します。次の点に注意してください。

      • 複数の条件を追加した場合は、各条件の少なくとも 1 つのフィルターにウェブリクエストが一致すると、AWS WAF Classic はそのルールに基づいてリクエストを許可またはブロックします

      • 同じルールに 2 つの IP 一致条件を追加した場合、AWS WAF Classic は両方の IP 一致条件に該当する IP アドレスからのリクエストのみを許可またはブロックします

    5. ステップ 9 を繰り返して、このウェブ ACL に追加するすべてのルールを作成します。

    6. [Create] (作成) を選択します。

    7. ステップ 10 に進みます。

  10. ウェブ ACL のルールまたはルールグループごとに、次のように、AWS WAF Classic で提供する管理の種類を選択します。

    • ルールごとに、ルールの条件に基づいて、AWS WAF Classic でウェブリクエストを許可するか、ブロックするか、カウントするかを選択します。

      • [Allow] (許可) - API Gateway、CloudFront、または Application Load Balancer は、リクエストされたオブジェクトを返します。CloudFront の場合、オブジェクトがエッジキャッシュ内になければ、CloudFront により、リクエストはオリジンに転送されます。

      • [Block] (ブロック) - API Gateway、CloudFront、または Application Load Balancer は、「HTTP 403 (Forbidden)」(HTTP 403 (禁止) ステータスコードを返します。CloudFront はカスタムエラーページを返すこともできます。詳細については、「CloudFront カスタムエラーページでの AWS WAF Classic の使用」を参照してください。

      • [Count] (カウント) - AWS WAF Classic は、ルールの条件に一致するリクエストのカウンターを増分し、引き続きウェブ ACL の残りのルールに基づいてウェブリクエストを検査します。

        ウェブ ACL を使用してウェブリクエストを許可またはブロックする前に、[Count] (カウント) でウェブ ACL をテストする方法については、「ウェブ ACL のルールに一致するウェブリクエストのカウント」を参照してください。

    • ルールグループごとに、ルールグループの上書きアクションを設定します。

      • [No override] (上書きなし) - ルールグループ内の個々のルールのアクションが使用されます。

      • [Override to count] (カウントに上書き) - グループ内の個々のルールによって指定されたブロックアクションを上書きし、一致するリクエストのみがすべてカウントされるようにします。

      詳細については、「ルールグループの上書き」を参照してください。

  11. ウェブ ACL 内のルールの順番を変更する場合は、[Order] (順序) 列の矢印を使用します。AWS WAFClassic では、ウェブ ACL に表示されるルールの順にウェブリクエストを検査します。

  12. ウェブ ACL に追加したルールを削除する場合は、ルールの行にある [x] を選択します。

  13. ウェブ ACL のデフォルトアクションを選択します。これは、ウェブリクエストがこのウェブ ACL 内のルールのどの条件にも一致しないときに AWS WAF Classic が実行するアクションです。詳細については、「ウェブ ACL のデフォルトアクションの決定」を参照してください。

  14. [Review and create] (確認および作成) を選択します。

  15. ウェブ ACL の設定を確認し、[Confirm and create] (確認して作成) を選択します。