AWS マネージドルールのリリース候補のデプロイ - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS マネージドルールのリリース候補のデプロイ

このセクションでは、一時リリース候補デプロイの仕組みについて説明します。

AWS にマネージドルールグループのルール変更の候補セットがある場合、一時的なリリース候補のデプロイでそれらをテストします。AWS は本番トラフィックに対してカウントモードで候補ルールを評価し、誤検知の軽減を含む最終調整アクティビティを実行します。AWS はルールグループのデフォルトバージョンを使用するすべてのお客様のために、この方法でリリース候補ルールをテストします。リリース候補のデプロイは、ルールグループの静的バージョンを使用するお客様には適用されません。

デフォルトバージョンを使用する場合、リリース候補のデプロイは、ルールグループによるウェブトラフィックの管理方法を変更しません。候補ルールがテストされている間、次のことに気づくかもしれません。

  • デフォルトバージョン名が Default (using Version_X.Y) から Default (using Version_X.Y_PLUS_RC_COUNT) に変更された。

  • 名前に RC_COUNT が含まれる Amazon CloudWatch の追加のカウントメトリクス。これらはリリース候補ルールによって生成されます。

AWS はリリース候補を約 1 週間テストしてから削除し、デフォルトバージョンを現在推奨されている静的バージョンにリセットします。

リリース候補のデプロイに AWS が次のステップを実行します。

  1. リリース候補を作成する – AWS は現在推奨されている静的バージョン (デフォルトがポイントしているバージョン) に基づいてリリース候補を追加します。

    リリース候補の名前は、静的バージョン名に _PLUS_RC_COUNT が付加されたものです。例えば、現在推奨されている静的バージョンが Version_2.1 である場合、リリース候補の名前は Version_2.1_PLUS_RC_COUNT になります。

    リリース候補には次のルールが含まれています。

    • ルール設定を変更せずに、現在推奨されている静的バージョンから正確にコピーされたルール。

    • ルールアクションが Count に設定され、名前が _RC_COUNT で終わる候補の新しいルール。

      ほとんどの候補ルールは、ルールグループに既に存在するルールに対して提案された改善を提供します。これらの各ルールの名前は、既存のルールの名前に _RC_COUNT が付加されたものです。

  2. デフォルトバージョンをリリース候補に設定してテストする - AWS はデフォルトバージョンを新しいリリース候補をポイントするように設定し、本番トラフィックに対してテストを実行します。通常、テストには約 1 週間かかります。

    デフォルトバージョンの名前が、静的バージョンのみを示すもの (Default (using Version_1.4) など) から、静的バージョンとリリース候補ルールを示すもの (Default (using Version_1.4_PLUS_RC_COUNT) など) に変更されます。この命名スキームにより、ウェブトラフィックの管理に使用している静的バージョンを特定できます。

    次の図は、この時点でのサンプルルールグループバージョンの状態を示しています。

    図の上部には、スタックされた静的バージョンが 3 つ表示され、Version_1.4 が一番上にあります。静的バージョンスのタックとは別に、Version_1.4_PLUS_RC_COUNT バージョンがあります。このバージョンには、Version_1.4 のルールが含まれており、RuleB_RC_COUNT と RuleZ_RC_COUNT の 2 つのリリース候補ルールも含まれ、どちらもカウントアクションがあります。デフォルトのバージョンインジケータは Version_1.4_PLUS_RC_COUNT を指します。

    リリース候補ルールは常に Count アクションで設定されているため、ルールグループがウェブトラフィックを管理する方法が変更されることはありません。

    リリース候補ルールは、動作を検証し、誤検知を識別するために AWS が使用する Amazon CloudWatch カウントメトリクスを生成します。AWS は必要に応じて調整を行い、リリース候補カウントルールの動作を調整します。

    リリース候補バージョンは静的バージョンではないため、静的ルールグループバージョンのリストから選択することはできません。デフォルトバージョンの仕様では、リリース候補バージョンの名前のみが表示されます。

  3. デフォルトバージョンを推奨される静的バージョンに戻す – リリース候補のルールをテストした後、AWS はデフォルトバージョンを現在の推奨される静的バージョンに戻します。デフォルトバージョン名の設定では _PLUS_RC_COUNT の末尾が削除され、ルールグループはリリース候補ルールの CloudWatch カウントメトリクスの生成を停止します。これはサイレント変更であり、デフォルトバージョンロールバックのデプロイとは異なります。

    次の図は、リリース候補のテストが完了した後のサンプルルールグループのバージョンの状態を示しています。

    これは典型的なバージョンの状態図です。Version_1.2、Version_1.3、および Version_1.4 の 3 つの静的バージョンがスタックされ、Version_1.4 が一番上に表示されます。Version_1.4 には、RuleA と RuleB という 2 つのルールがあり、どちらも稼働アクションがあります。デフォルトのバージョンインジケータは Version_1.4 を指します。
タイミングと通知

AWS は、ルールグループに対する改善をテストするために、必要に応じてリリース候補バージョンをデプロイします。

  • SNS – AWS は、デプロイの開始時に SNS 通知を送信します。通知には、リリース候補がテストされる推定時間が表示されます。テストが完了すると、AWS は 2 回目の通知なしで、デフォルトを静的バージョン設定に戻します。

  • 変更ログ — AWS は、この種のデプロイでは、このガイドの変更ログや他の部分は更新されません。