ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除
AWS WAF を使用して、ウェブ ACL とリソースの間に次の関連付けを作成できます。
-
地域のウェブ ACL を以下のリージョナルリソースのいずれかに関連付けます。このオプションでは、ウェブ ACL はリソースと同じ地域にある必要があります。
Amazon API Gateway REST API
Application Load Balancer
AWS AppSync GraphQL API
Amazon Cognito ユーザープール
AWS App Runner のサービス
AWS Verified Access インスタンス
-
グローバルウェブ ACL を Amazon CloudFront ディストリビューションに関連付けます。グローバルウェブ ACL には、米国東部 (バージニア北部) リージョンのハードコードリージョンを持ちます。
ディストリビューション自体を作成または更新するとき、ウェブ ACL を CloudFront ディストリビューションに関連付けることもできます。詳細については、「Amazon CloudFront デベロッパーガイド」の「AWS WAF を使用したコンテンツへのアクセスの管理」を参照してください。
複数の関連付けに関する制限
次の制限に従って、1 つのウェブ ACL を 1 つ以上の AWS リソースに関連付けることができます。
-
各 AWS リソースを 1 つのウェブ ACL にのみ関連付けることができます。ウェブ ACL と AWS リソースの関係は 1 対多です。
-
ウェブ ACL を 1 つ以上の CloudFront ディストリビューションに関連付けることができます。CloudFront ディストリビューションに関連付けたウェブ ACL を他の AWS リソースタイプに関連付けることはできません。
追加の制限
ウェブ ACL の関連付けについて、次の追加制限が適用されます。
-
ウェブ ACL は、AWS リージョン 内の Application Load Balancer にのみ関連付けることができます。例えば、ウェブ ACL を AWS Outposts にある Application Load Balancer に関連付けることはできません。
-
Amazon Cognito ユーザープールを、AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) マネージドルールグループ
または AWS WAF Fraud Control Account Takeover Prevention (ATP) マネージドルールグループAWSManagedRulesACFPRuleSet
を使用するウェブ ACL に関連付けることはできません。Account Creation Fraud Prevention については、「Fraud Control Account Creation Fraud Prevention (ACFP) AWS WAF によるアカウント作成詐欺の防止」を参照してください。アカウント乗っ取り防止の情報については、「Fraud Control Account Takeover Prevention (ATP) AWS WAF によるアカウント乗っ取りを防止する」を参照してください。AWSManagedRulesATPRuleSet
本番稼働トラフィックのリスク
本番稼働トラフィックにウェブ ACL をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。