ウェブアクセスコントロールリスト (ウェブ ACL) の作成と設定 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ウェブアクセスコントロールリスト (ウェブ ACL) の作成と設定

警告

AWS WAF Classic へのサポートは 2025 年 9 月 30 日に終了します。

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 月より前に AWS WAF でルールやウェブ ACL などの AWS WAF リソースを作成し、それらをまだ最新バージョンに移行していない場合にのみ、このバージョンを使用する必要があります。Web ACL を移行するには、AWS WAF Classic リソースを AWS WAF に移行する を参照してください。

最新バージョンの AWS WAF については、AWS WAF」を参照してください。

ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、Amazon API Gateway API、Amazon CloudFront ディストリビューション、または Application Load Balancer が応答するウェブリクエストをきめ細かく制御できます。次の種類のリクエストを許可またはブロックすることができます。

  • 特定の IP アドレスまたは IP アドレス範囲が送信元である

  • 特定の国が送信元である

  • リクエストの特定の部分が、指定した文字列を含むか、正規表現パターンと一致する

  • 指定した長さを超えている

  • 悪意のある SQL コード (通称 SQL インジェクション) が含まれている可能性がある

  • 悪意のあるスクリプト (通称クロスサイトスクリプティング) が含まれている可能性がある

また、これらの条件の組み合わせをテストしたり、指定された条件を満たすだけでなく、5 分間にわたって指定された数のリクエストを超えるウェブリクエストをブロックまたはカウントすることもできます。

コンテンツへのアクセスを許可またはブロックするリクエストを選り分けるには、次のタスクを実行します。

  1. ウェブリクエストが指定条件のいずれとも一致しない場合のデフォルトアクション (許可またはブロック) を選択します。詳細については、「ウェブ ACL のデフォルトアクションの決定」を参照してください。

  2. リクエストを許可またはブロックする条件を指定します。

    • 悪意のあるスクリプトが含まれている可能性があるかどうかに基づいてリクエストを許可またはブロックするには、クロスサイトスクリプティング一致条件を作成します。詳細については、「クロスサイトスクリプティング一致条件の使用」を参照してください。

    • 送信元の IP アドレスに基づいてリクエストを許可またはブロックするには、IP 一致条件を作成します。詳細については、「IP 一致条件の使用」を参照してください。

    • 送信元の国に基づいてリクエストを許可またはブロックするには、Geo 一致条件を作成します。詳細については、「Geo (地理的) 一致条件の使用」を参照してください。

    • 指定した長さを超えているかどうかに基づいてリクエストを許可またはブロックするには、サイズ制約条件を作成します。詳細については、「サイズ制約条件の使用」を参照してください。

    • 悪意のある SQL コードが含まれている可能性があるかどうかに基づいてリクエストを許可またはブロックするには、SQL インジェクション一致条件を作成します。詳細については、「SQL インジェクション一致条件の使用」を参照してください。

    • 含まれている文字列に基づいてリクエストを許可またはブロックするには、文字列一致条件を作成します。詳細については、「文字列一致条件の使用」を参照してください。

    • リクエストに含まれる正規表現パターンと一致する文字列に基づいてリクエストを許可またはブロックするには、正規表現一致条件を作成します。詳細については、「正規表現一致条件の使用」を参照してください。

  3. 条件を 1 つまたは複数のルールに追加します。複数の条件を同じルールに追加した場合、そのルールに基づいて AWS WAF Classic で許可またはブロックするウェブリクエストは、すべての条件に該当している必要があります。詳細については、「ルールの使用」を参照してください。必要に応じて、通常のルールの代わりにレートベースのルールを使用して、条件を満たす IP アドレスからのリクエスト数を制限できます。

  4. ルールをウェブ ACL に追加します。ルールごとに、追加した条件に基づいて AWS WAF Classic でリクエストを許可するかブロックするかを指定します。複数のルールをウェブ ACL に追加した場合は、ウェブ ACL にリストアップされた順に AWS WAF Classic でルールが評価されます。詳細については、「ウェブ ACL の使用」を参照してください。

    新しいルールを追加したり、既存のルールを更新したりすると、該当するすべてのウェブ ACL およびリソースでそれらの変更がアクティブになるまでに、最大 1 分かかることがあります。

トピック