ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除

AWS WAF を使用して、ウェブ ACL とリソースの間に次の関連付けを作成できます。

  • 地域のウェブ ACL を以下のリージョナルリソースのいずれかに関連付けます。このオプションでは、ウェブ ACL はリソースと同じ地域にある必要があります。

    • Amazon API Gateway REST API

    • Application Load Balancer

    • AWS AppSync GraphQL API

    • Amazon Cognito ユーザープール

    • AWS App Runner のサービス

    • AWS Verified Access インスタンス

  • グローバルウェブ ACL を Amazon CloudFront ディストリビューションに関連付けます。グローバルウェブ ACL には、米国東部 (バージニア北部) リージョンのハードコードリージョンを持ちます。

ディストリビューション自体を作成または更新するとき、ウェブ ACL を CloudFront ディストリビューションに関連付けることもできます。詳細については、「Amazon CloudFront デベロッパーガイド」の「AWS WAF を使用したコンテンツへのアクセスの管理」を参照してください。

複数の関連付けに関する制限

次の制限に従って、1 つのウェブ ACL を 1 つ以上の AWS リソースに関連付けることができます。

  • 各 AWS リソースを 1 つのウェブ ACL にのみ関連付けることができます。ウェブ ACL と AWS リソースの関係は 1 対多です。

  • ウェブ ACL を 1 つ以上の CloudFront ディストリビューションに関連付けることができます。CloudFront ディストリビューションに関連付けたウェブ ACL を他の AWS リソースタイプに関連付けることはできません。

追加の制限

ウェブ ACL の関連付けについて、次の追加制限が適用されます。

本番稼働トラフィックのリスク

本番稼働トラフィックにウェブ ACL をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。