**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の使用を開始する AWS WAF
の使用開始 AWS WAF は、使用するコンソールエクスペリエンスによって異なります。どちらのエクスペリエンスでも同じコア AWS WAF 機能にアクセスできますが、ウェブアプリケーション保護の設定と管理方法は異なります。
AWS WAF には、 コンソールを使用するための 2 つのオプションがあります。
**新しいコンソール** は、標準のコンソールワークフローに必要なウェブ ACL 設定プロセスを簡素化することを目的としています。ガイド付きワークフローを使用して、保護パックを通じてウェブ ACL の作成および管理プロセスを簡素化できます。保護パックを使用すると、コンソールでのウェブ ACL の使用と管理が容易になりますが、ウェブ ACL と機能的に違いはありません。新しいコンソールでは、保護設定プロセスの改善に加えて、セキュリティダッシュボードを通じて保護の可視性が向上し、 AWS WAF コンソール内のセキュリティ体制を簡単にモニタリングできるようになります。
**標準 AWS WAF コンソール**は、ウェブ ACLs を使用してウェブアプリケーションのファイアウォール保護を設定する従来のアプローチを提供します。個々のルールとルールグループをきめ細かく制御でき、既存の AWS WAF ユーザーにとって使い慣れています。このコンソールを使用すると、保護設定を詳細に制御できるため、セキュリティ設定を正確にカスタマイズできます。
**ヒント**
ニーズに最適なコンソールエクスペリエンスを選択します。を初めて使用する場合 AWS WAF や、 AWS レコメンデーションに基づいて保護の設定を開始する場合は、新しいコンソールエクスペリエンスから始めることをお勧めします。ただし、標準エクスペリエンスは、コンソールのナビゲーションペインからいつでも開くことができます。
以下のセクションでは、両方のコンソールエクスペリエンスの開始方法に関するガイダンスを提供します。各アプローチを確認し、セキュリティ要件と運用上の好みに最も適したものを選択してください。
**Topics**
+ [新しいコンソールエクスペリエンス AWS WAF の使用を開始する](setup-iap-console.md)
+ [標準コンソールエクスペリエンス AWS WAF の使用を開始する](setup-existing-console.md)
# 新しいコンソールエクスペリエンス AWS WAF の使用を開始する
このセクションでは、簡素化された設定ワークフローと強化されたセキュリティ管理機能を提供する新しいコンソールエクスペリエンス AWS WAF を使用して を設定する方法について説明します。
## 新しいコンソールエクスペリエンスにアクセスする
新しい AWS WAF コンソールエクスペリエンスにアクセスするには:
新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。
+ ナビゲーションペインで、**新しいエクスペリエンスを試す** を見つけて選択します。
**注記**
ナビゲーションペインのリンクを使用して、コンソールエクスペリエンスをいつでも切り替えることができます。
## 保護パック (ウェブ ACL) の使用を開始する
このチュートリアルでは、アプリケーションを保護するために保護パック (ウェブ ACL) を作成して設定する方法を示します。保護パック (ウェブ ACL) は、特定のワークロードタイプに合わせて事前設定されたセキュリティルールを提供します。
このチュートリアルの学習内容は次のとおりです。
+ 保護パック (ウェブ ACL) を作成する
+ アプリケーション固有の保護設定を構成する
+ 保護する AWS リソースを追加する
+ ルールを選択してカスタマイズする
+ ログ記録とモニタリングプレーンを設定する
**注記**
AWS 通常、 は、このチュートリアルで作成したリソースに対して 1 日あたり 0.25 USD 未満を請求します。終了したら、不要な料金が発生しないようにリソースを削除することをお勧めします。
### ステップ 1: をセットアップする AWS WAF
[アカウントを設定してサービスを使用する](setting-up-waf.md) の一般的なセットアップ手順をまだ実行していない場合、今すぐ実行してください。
### ステップ 2: 保護パック (ウェブ ACL) を作成する
このステップでは、保護パック (ウェブ ACL) を作成し、アプリケーションタイプに合わせて基本的な設定を行います。
1. 新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。
1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。
1. **リソースと保護パック (ウェブ ACL)** ページで、**保護パック (ウェブ ACL) の追加** を選択します。
1. **「アプリについて教えてください**」の「**アプリカテゴリ**」で、アプリケーションに最も該当するアプリカテゴリを 1 つ以上選択します。
1. **トラフィックソース** で、アプリケーションが処理するトラフィックのタイプを選択します。
+ **API** - API 専用アプリケーション用
+ **ウェブ** - ウェブ専用アプリケーション用
+ **API とウェブの両方** - 両方のタイプのトラフィックを処理するアプリケーション用
### ステップ 3: 保護するリソースを追加する
次に、保護パック (ウェブ ACL) で保護する AWS リソースを指定します。
1. **保護するリソース** で、**リソースの追加** を選択します。
1. この保護パック (ウェブ ACL) に関連付ける AWS リソースのカテゴリを選択します。
+ Amazon CloudFront ディストリビューション
+ リージョナルリソース
リソースタイプの詳細については、「[AWS リソースへの保護の関連付け](web-acl-associating.md)」を参照してください。
### ステップ 4: 初期保護を選択する
このステップでは、保護パック (ウェブ ACL) のルールを選択します。初めて使用する場合は、**推奨** オプションを選択することをお勧めします。
AWS WAF は、**アプリに関するお問い合わせ**セクションで選択した内容に基づいて**推奨**を生成します。これらのパックは、アプリケーションタイプのセキュリティのベストプラクティスを実装します。
+ **次へ** を選択して、保護パック (ウェブ ACL) のセットアップを続行します。
**注記**
カスタムルールを作成したり、**ビルドする** オプションを使用したりする場合は、まず事前設定されたオプションの使用経験を積むことをお勧めします。カスタム保護パック (ウェブ ACL) とルールの作成については、「[で保護パック (ウェブ ACL) を作成する AWS WAF](web-acl-creating.md)」を参照してください。
### ステップ 5: 保護パック (ウェブ ACL) 設定をカスタマイズする
次に、デフォルトのアクション、レート制限、ログ記録などの追加設定を行います。
1. **名前と説明** に、保護パック (ウェブ ACL) の名前を入力します。必要に応じて説明に説明を入力します。
**注記**
保護パック (ウェブ ACL) の作成後は、名前を変更することはできません。
1. **保護パック (ウェブ ACL) のカスタマイズ** で、次の設定を行います。
1. **デフォルトルールアクション** で、どのルールにも一致しないリクエストのデフォルトアクションを選択します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。
1. **ルール設定** で、以下の設定をカスタマイズします。
+ **デフォルトのレート制限** - DDoS 攻撃から保護するための制限を設定する
+ **IP アドレス** - IP 許可/ブロックリストを設定する
+ **国固有のオリジン** - 国ごとにアクセスを管理する
1. **ログ記録先** では、ログを保存する場所を設定します。詳細については、「[AWS WAF ログ記録の送信先](logging-destinations.md)」を参照してください。
1. 設定を確認し、**保護パック (ウェブ ACL) の追加** を選択します。
### ステップ 6: リソースをクリーンアップする
これでチュートリアルは完了です。アカウントに AWS WAF 追加料金が発生しないようにするには、作成した保護パック (ウェブ ACL) を削除するか、本番環境のニーズに合わせて変更する必要があります。
**保護パック (ウェブ ACL) を削除するには**
1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。
1. 作成した保護パック (ウェブ ACL) を選択します。
1. ごみ箱アイコンを選択し、「削除」と入力して削除を確認します。
**注記**
この保護パック (ウェブ ACL) を本番環境で使用する場合は、削除する代わりに、アプリケーションのセキュリティ要件に合わせて保護設定を確認して調整する必要があります。
# 標準コンソールエクスペリエンス AWS WAF の使用を開始する
AWS WAF コンソールでは、リクエストの送信元の IP アドレスやリクエストの値など、指定した条件に基づいてウェブリクエストをブロックまたは許可 AWS WAF するように を設定するプロセスについて説明します。このステップでは、保護パック (ウェブ ACL) を作成します。 AWS WAF 保護パック (ウェブ ACLs「」を参照してください[での保護の設定 AWS WAF](web-acl.md)。
このチュートリアルでは、 AWS WAF を使用して以下のタスクを実行する方法を示します。
+ セットアップします AWS WAF。
+ AWS WAF コンソールのウィザードを使用して、ウェブアクセスコントロールリスト (ウェブ ACL) を作成します。
**ウェブ ACL を作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. AWS WAF ホームページから、**ウェブ ACL の作成**を選択します。
1. **[Name]** (名前) で、このウェブ ACL の識別に使用する名前を入力します。
**注記**
ウェブ ACL の作成後は、名前を変更することはできません。
1. (オプション) 必要に応じて、**[Description - optional]** (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。
1. **[CloudWatch metric name]** (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、特殊文字、空白や、「All」および「Default\$1Action」などの AWS WAF用に予約されたメトリクス名を使用できません。
**注記**
ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。
1. **[Resource type]** (リソースタイプ) で、**[CloudFront distributions]** (CloudFront ディストリビューション) を選択します。**[Region]** (リージョン) が、CloudFront ディストリビューションの **[Global (CloudFront)]** (グローバル (CloudFront)) に自動的に入力されます。
1. (オプション) **関連 AWS リソース - オプション**で、** AWS リソースの追加**を選択します。ダイアログボックスで、関連付けるリソースを選択し、**[Add]** (追加) を選択します。 AWS WAF は **[Describe web ACL and associated AWS resources]** (ウェブ ACL と関連付けられた リソースの説明) ページに戻します。
1. [**次へ**] を選択します。
**注記**
AWS 通常、 は、このチュートリアルで作成したリソースに対して 1 日あたり 0.25 USD 未満を請求します。チュートリアルを終了したら、不要な料金が発生しないようにリソースを削除することをお勧めします。
## ステップ 1: をセットアップする AWS WAF
[アカウントを設定してサービスを使用する](setting-up-waf.md) の一般的なセットアップ手順をまだ実行していない場合、今すぐ実行してください。
## ステップ 2: ウェブ ACL を作成する
AWS WAF コンソールでは、リクエストの送信元の IP アドレスやリクエストの値など、指定した条件に基づいてウェブリクエストをブロックまたは許可 AWS WAF するように を設定するプロセスについて説明します。このステップでは、ウェブ ACL を作成します。 AWS WAF ウェブ ACLs「」を参照してください[での保護の設定 AWS WAF](web-acl.md)。
**ウェブ ACL を作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。
1. AWS WAF ホームページから、**ウェブ ACL の作成**を選択します。
1. **[Name]** (名前) で、このウェブ ACL の識別に使用する名前を入力します。
**注記**
ウェブ ACL の作成後は、名前を変更することはできません。
1. (オプション) 必要に応じて、**[Description - optional]** (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。
1. **[CloudWatch metric name]** (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、特殊文字、空白や、「All」および「Default\$1Action」などの AWS WAF用に予約されたメトリクス名を使用できません。
**注記**
ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。
1. **[Resource type]** (リソースタイプ) で、**[CloudFront distributions]** (CloudFront ディストリビューション) を選択します。**[Region]** (リージョン) が、CloudFront ディストリビューションの **[Global (CloudFront)]** (グローバル (CloudFront)) に自動的に入力されます。
1. (オプション) **関連 AWS リソース - オプション**で、** AWS リソースの追加**を選択します。ダイアログボックスで、関連付けるリソースを選択し、**[Add]** (追加) を選択します。 AWS WAF は **[Describe web ACL and associated AWS resources]** (ウェブ ACL と関連付けられた リソースの説明) ページに戻します。
1. **[Next]** (次へ) を選択します。
## ステップ 3: 文字列一致ルールを追加する
このステップでは、文字列一致ステートメントを使用してルールを作成し、一致リクエストの処理方法を指定します。文字列一致ルールステートメントは、 AWS WAF がリクエストで検索する文字列を識別します。通常、文字列は印刷可能な ASCII 文字で構成されますが、16 進数 0x00 〜 0xFF (10 進数 0 〜 255) の任意の文字を指定できます。検索する文字列を指定するだけでなく、ヘッダー、クエリ文字列、リクエストボディなど、検索するウェブリクエストコンポーネントを指定します。
このステートメントタイプは、ウェブリクエストコンポーネントで動作し、次のリクエストコンポーネント設定が必要です。
+ **[リクエストコンポーネント]** — ウェブリクエストの検査対象部分 (クエリ文字列や本文など)。
**警告**
リクエストコンポーネント**本文**、**JSON 本文**、**ヘッダー**、または **Cookie** を検査する場合は、 で検査 AWS WAF できるコンテンツの量に関する制限についてお読みください[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md)。
ウェブリクエストコンポーネントの詳細については、「[でのルールステートメント設定の調整 AWS WAF](waf-rule-statement-fields.md)」を参照してください。
+ **オプションのテキスト変換** – 検査する前にリクエストコンポーネントで AWS WAF 実行する変換。例えば、小文字に変換したり、空白を正規化したりできます。複数の変換を指定すると、 はリストされた順序で変換 AWS WAF を処理します。詳細については、「[でのテキスト変換の使用 AWS WAF](waf-rule-statement-transformation.md)」を参照してください。
AWS WAF ルールの詳細については、「」を参照してください[AWS WAF ルール](waf-rules.md)。
**文字列一致ルールステートメントを作成するには**
1. **[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加)、**[Add my own rules and rule groups]** (独自のルールとルールグループの追加)、**[Rule builder]** (ルールビルダー)、**[Rule visual editor]** (ルールビジュアルエディタ) の順に選択します。
**注記**
コンソールには、**ルールビジュアルエディタ**と**ルール JSON エディタ**が用意されています。JSON エディタを使用すると、ウェブ ACL 間で設定を簡単にコピーできます。これは、ネストのレベルが複数あるルールセットなど、より複雑なルールセットに必要です。
この手順では、**ルールビジュアルエディタ**を使用します。
1. **[Name]** (名前) で、このルールの識別に使用する名前を入力します。
1. **[Type]** (タイプ) で、**[Regular rule]** (通常のルール) を選択します。
1. **[If a request]** (リクエストの状態) で、**[matches the statement]** (ステートメントに一致) を選択します。
その他のオプションは、論理ルールステートメントタイプ用です。これらを使用して、他のルールステートメントの結果を組み合わせたり、否定したりできます。
1. **ステートメント**で、**Inspect** でドロップダウンを開き、 AWS WAF 検査するウェブリクエストコンポーネントを選択します。この例では、**[単一ヘッダー]** を選択します。
**[単一ヘッダー]** を選択した場合は、 AWS WAF で検査するヘッダーも指定します。**User-Agent** と入力します。この値では大文字と小文字は区別されません。
1. **[Match type]** (一致タイプ) で、指定した文字列が `User-Agent` ヘッダーに表示される場所を選択します。
この例では、**[Exactly matches string]** (文字列に完全一致) を選択します。これは、 が各ウェブリクエストの user-agent ヘッダー AWS WAF を検査し、指定した文字列と同じ文字列がないかを示します。
1. **[String to match]** (照合する文字列) で、 AWS WAF で検索する文字列を指定します。**[String to match]** (照合する文字列) は最大 200 文字です。base64 でエンコードされた値を指定する場合、エンコード前の長さで最大 200 文字指定できます。
この例では、**MyAgent** と入力します。 AWS WAF はウェブリクエストの `User-Agent`ヘッダーに値 がないか検査します`MyAgent`。
1. **[Text transformation]** (テキスト変換) を **[None]** (なし) のままにします。
1. **[Action]** (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。この例では、**[Count]** (カウント) を選択し、他の選択肢はそのままにしておきます。カウントアクションにより、ルールに一致するウェブリクエストのメトリクスが作成されますが、リクエストが許可またはブロックされるかどうかには影響しません。アクションの選択の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」および「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。
1. **[Add rule]** (ルールの追加) を選択します。
## ステップ 4: AWS マネージドルールルールグループを追加する
AWS マネージドルールには、一連のマネージドルールグループが用意されており、その大部分は AWS WAF お客様に無料で提供されます。ルールグループの詳細については、「[AWS WAF ルールグループ](waf-rule-groups.md)」を参照してください。 AWS マネージドルールルールグループをこのウェブ ACL に追加します。
**AWS マネージドルールルールグループを追加するには**
1. **[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加) を選択し、**[Add managed rule groups]** (マネージドルールグループの追加) を選択します。
1. **[マネージドルールグループを追加]** ページで、**[AWS マネージドルールグループ]** のリストを展開します。( AWS Marketplace 販売者に提供される出品も表示されます。 サービスにサブスクライブし、 AWS マネージドルールルールグループと同じ方法で使用できます。)
1. 追加するルールグループについて、次を実行します。
1. **[Action]** (アクション) 列で、**[Add to web ACL]** (ウェブ ACL に追加) 切り替えボタンをオンにします。
1. **[Edit]** (編集) を選択し、ルールグループの **[Rules]** (ルール) リストで **[Override all rule actions]** (すべてのルールアクションをオーバーライド) ドロップダウンを開いて **[Count]** を選択します。これにより、ルールグループ内のすべてのルールのアクションがカウントのみに設定されます。これにより、ルールグループのルールを使用する前に、ルールグループのすべてのルールがウェブリクエストでどのように動作するかを確認できます。
1. **[Save rule]** (ルールを保存) を選択します。
1. **[Add managed rule groups]** (マネージドルールグループを追加) ページで、**[Add rules]** (ルールを追加) を選択します。これにより、**[Add rules and rule groups]** (ルールとルールグループを追加) ページに戻ります。
## ステップ 5: ウェブ ACL の設定を完了する
ルールとルールグループをウェブ ACL 設定に追加したら、ウェブ ACL 内のルールの優先順位を管理し、メトリクス、タグ付け、ログ記録などの設定を行うことで完了します。
**ウェブ ACL の設定を完了するには**
1. **[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Next]** (次へ) を選択します。
1. **ルールの優先度の設定** ページで、ウェブ ACL のルールとルールグループの処理順序を確認できます。 AWS WAF はリストの上部から処理します。処理順序は、ルールを上下に移動することで変更できます。これを行うには、リストで 1 つを選択し、**[Move up]** (上へ移動) または **[Move down]** (下へ移動) を選択します。ルーティングの優先度の詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」をご覧ください。
1. [**次へ**] を選択します。
1. **[Configure metrics]** (メトリクスの設定) ページの **[Amazon CloudWatch metrics]** (Amazon CloudWatch メトリクス) で、ルールとルールグループ用の計画されたメトリクスと、ウェブリクエストのサンプリングオプションを確認できます。サンプリングされたリクエストの表示方法については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。Amazon CloudWatch メトリクスの詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
ウェブトラフィックメトリクスの概要には、 AWS WAF コンソールのウェブ ACL のページで、**トラフィックの概要**タブからアクセスできます。コンソールダッシュボードには、ウェブ ACL の Amazon CloudWatch メトリクスの概要がほぼリアルタイムで表示されます。詳細については、「[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md)」を参照してください。
1. **[Next]** (次へ) を選択します。
1. **[Review and create web ACL]** (ウェブ ACL の確認と作成) ページで、設定を確認し、**[Create web ACL]** (ウェブ ACL の作成) を選択します。
ウィザードによって **[ウェブ ACL]** ページに戻ります。このページには、新しいウェブ ACL が一覧表示されます。
## ステップ 6: リソースをクリーンアップする
これでチュートリアルは完了です。アカウントに AWS WAF 追加料金が発生しないようにするには、作成した AWS WAF オブジェクトをクリーンアップします。または、実際に使用するウェブリクエストに合わせて設定を変更することもできます AWS WAF。
**注記**
AWS 通常、 は、このチュートリアルで作成したリソースに対して 1 日あたり 0.25 USD 未満を請求します。終了したら、不要な料金が発生しないようにリソースを削除することをお勧めします。
**が AWS WAF 課金するオブジェクトを削除するには**
1. **[ウェブ ACL]** ページで、リストからウェブ ACL を選択し、**[編集]** を選択します。
1. **関連付けられた AWS リソース**タブで、関連付けられたリソースごとに、リソース名の横にあるラジオボタンを選択し、**関連付け解除**を選択します。これにより、ウェブ ACL と AWS リソースの関連付けが解除されます。
1. 次の各画面で、**[ウェブ ACL]** に戻るまで **[次へ]** を選択します。
**[ウェブ ACL]** ページで、リストからウェブ ACL を選択し、**[削除]** を選択します。
ルールおよびルールステートメントは、ルールグループおよびウェブ ACL 定義の外部には存在しません。ウェブ ACL を削除すると、ウェブ ACL で定義した個々のルールがすべて削除されます。ウェブ ACL からルールグループを削除する場合は、そのグループへの参照を削除するだけです。