AWS WAF でのウェブ ACL の作成 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF でのウェブ ACL の作成

この項では、AWS コンソールを介してウェブ ACL の作成における手順を提供します。

新しいウェブ ACL を作成するには、このページの手順に従ってウェブ ACL 作成ウィザードを使用します。

本番稼働トラフィックのリスク

本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。

注記

ウェブ ACL で 1,500 WCU を超える容量を使用すると、ウェブ ACL の基本料金を超えるコストが発生します。詳細については、「のウェブACLキャパシティーユニット (WCUs) AWS WAF」と「AWS WAF 料金表」を参照してください。

ウェブ ACL を作成するには

  1. AWS Management Console にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/) を開きます。

  2. ナビゲーションペインの [Web ACLs] (ウェブ ACL) を選択してから、[Create web ACL] (ウェブ ACL を作成) を選択します。

  3. [Name] (名前) で、このウェブ ACL の識別に使用する名前を入力します。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  4. (オプション) 必要に応じて、[Description - optional] (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。

  5. [CloudWatch metric name] (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、特殊文字、空白や、「All」および「Default_Action」などの AWS WAF 用に予約されたメトリクス名を使用できません。

    注記

    ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。

  6. [リソースタイプ] で、このウェブ ACL に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

  7. [Region] (リージョン) でリージョン別リソースタイプを選択した場合は、AWS WAF によってウェブ ACL が保存されるリージョンを選択します。

    このオプションは、リージョン別リソースタイプの場合にのみ選択する必要があります。CloudFront ディストリビューションの場合、グローバル (CloudFront) アプリケーションであれば、リージョンは us-east-1 (米国東部 (バージニア北部) リージョン) にハードコードされています。

  8. (CloudFront、API Gateway、Amazon Cognito 、App Runner、Verified Access) [ウェブリクエスト検査サイズの制限 – オプション]に対して、別の本体検査サイズ制限を指定したい場合に、制限を選択します。デフォルトの 16 KB を超えるボディサイズを検査すると、追加費用が発生する可能性があります。このオプションについては、「AWS WAF のボディ検査サイズ制限の管理」を参照してください。

  9. (オプション) リソースを今すぐ指定する必要がある場合は、[関連付けられた AWS リソース – オプション] で、[AWS リソースの追加] を選択します。ダイアログボックスで、関連付けるリソースを選択し、[Add] (追加) を選択します。AWS WAF は [Describe web ACL and associated AWS resources] (ウェブ ACL と関連付けられた リソースの説明) ページに戻します。

  10. [Next] (次へ) を選択します。

  11. (オプション) マネージドルールグループを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add managed rule groups] (マネージドルールグループの追加) を選択します。追加するマネージドルールグループごとに次を実行します。

    1. [Add managed rule groups] (マネージドルールグループの追加) ページで、AWS マネージドルールグループまたは選択した AWS Marketplace 販売者のリストを展開します。

    2. 追加するルールグループでは、[Action] (アクション) 列で [Add to web ACL] (ウェブ ACL に追加) 切り替えボタンをオンにします。

      ウェブ ACL がルールグループを使用する方法をカスタマイズするには、[Edit] (編集) を選択します。一般的なカスタマイズ設定は次のとおりです。

      • 一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「AWS WAF でのルールグループアクションの上書き」を参照してください。

      • スコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「AWS WAF でのスコープダウンステートメントの使用」を参照してください。

      • 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。AWS マネージドルールのルールグループの固有情報については、「AWS の マネージドルール AWS WAF」を参照してください。

      設定が完了したら、[Save rule] (ルールを保存) を選択します。

    [Add rules] (ルールの追加) を選択してマネージドルールの追加を終了し、[Add rules and rule groups] (ルールとルールグループの追加) ページに戻ります。

    注記

    複数のルールをウェブ ACL に追加した場合は、ウェブ ACL にリストされた順に、AWS WAF でルールが評価されます。詳細については、「AWS WAF のルールとルールグループをウェブ ACL と使い合わせる」を参照してください。

  12. (オプション) 独自のルールグループを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add my own rules and rule groups] (独自のルールとルールグループの追加) を選択します。追加するルールグループごとに次を実行します。

    1. [Add my own rules and rule groups] (独自のルールとルールグループの追加) ページで、[Rule group] (ルールグループ) を選択します。

    2. [Name] (名前) で、このウェブ ACL のルールグループのルールに使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「他のサービスによって提供されるルールグループを識別する」を参照してください。

    3. リストからルールグループを選択します。

      注記

      独自のルールグループのルールアクションを上書きする場合は、まずウェブ ACL に保存し、ウェブ ACL のルールリストでウェブ ACL とルールグループ参照ステートメントを編集します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。

    4. [ルールを追加] を選択します。

  13. (オプション) 独自のルールを追加する場合は、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加)、[Add my own rules and rule groups] (独自のルールとルールグループの追加)、[Rule builder] (ルールビルダー)、[Rule visual editor] (ルールビジュアルエディタ) の順に選択します。

    注記

    コンソールの [Rule visual editor] (ルールビジュアルエディタ) は、1 レベルのネストをサポートします。例えば、単一の論理 AND または OR ステートメントを使用して、その中に 1 レベルの他のステートメントをネストすることはできますが、論理ステートメントの中に論理ステートメントをネストすることはできません。より複雑なルールステートメントを管理するには、[Rule JSON editor] (ルール JSON エディタ) を使用します。ルールのすべてのオプションについては、「AWS WAF ルール」を参照してください

    この手順では、[Rule visual editor] (ルールビジュアルエディタ) について説明します。

    1. [Name] (名前) で、このルールの識別に使用する名前を入力します。AWSShieldPreFM、または PostFM で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。

    2. 必要に応じて、ルールの定義を入力します。論理 AND および OR ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「AWS WAF ルール」を参照してください。

    3. [Action] (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「AWS WAF でのルールアクションの使用」と「AWS WAF のルールとルールグループをウェブ ACL と使い合わせる」を参照してください。

      [CAPTCHA] または [Challenge] アクションを使用している場合、このルールの必要に応じて [Immunity time] (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールはウェブ ACL から設定を継承します。ウェブ ACL のイミュニティ時間設定を変更するには、ウェブ ACL の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「AWS WAF でのタイムスタンプの有効期限とトークンのイミュニティ時間の設定」を参照してください。

      注記

      CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、AWS WAF 料金を参照してください。

      リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

      一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「でのウェブリクエストのラベル付け AWS WAF」を参照してください。

    4. [Add Rule] (ルールの追加) を選択します。

  14. ウェブ ACL のデフォルトアクションに Block または Allow を選択します。これは、ウェブ ACL のルールがリクエストを明示的に許可またはブロックしないとき、AWS WAF がリクエストに対して実行するアクションです。詳細については、「AWS WAF でのウェブ ACL のデフォルトアクションの設定」を参照してください。

    デフォルトのアクションをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

  15. [Token domain list] (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは CAPTCHA および Challenge アクション、ならびにアプリケーション統合 SDK によって使用されます。これらの SDK は、AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP)、AWS WAF Fraud Control Account Takeover Prevention (ATP)、および AWS WAF Bot Control 用の AWS マネージドルールのルールグループを使用するときに実装します。

    パブリックサフィックスは許可されません。たとえば、gov.au または co.uk をトークンドメインとして使用することはできません。

    デフォルトでは、AWS WAF は保護されたリソースのドメイン用のトークンのみを受け入れます。このリストにトークンドメインを追加する場合、AWS WAF はリスト内のすべてのドメイン、ならびに関連するリソースのドメインのトークンを受け入れます。詳細については、「AWS WAF ウェブ ACL トークンドメインリストの設定」を参照してください。

  16. [Next] を選択します。

  17. [Set rule priority] (ルールの優先順位の設定) ページで、ルールとルールグループを選択し、AWS WAF で処理する順序に並び変えます。AWS WAF では、リストの最初から、ルールが評価されます。ウェブ ACL を保存すると、AWS WAF では、リストされている順に、優先順位の数値設定がルールに割り当てられます。詳細については、「ウェブ ACL でのルール優先度の設定」を参照してください。

  18. [Next] (次へ) を選択します。

  19. [Configure metrics] (メトリクスを設定) ページで、オプションを確認し、必要な更新を適用します。複数のソースからのメトリクスを組み合わせるには、それらに同じ [CloudWatch metric name] (CloudWatch メトリクス名) を指定します。

  20. [Next] (次へ) を選択します。

  21. [Review and create web ACL] (ウェブ ACL の確認と作成) ページで定義を確認します。エリアを変更する場合は、エリアの [Edit] (編集) を選択します。これにより、ウェブ ACL ウィザードのページに戻ります。変更を加えてから、[Review and create web ACL] (確認してウェブ ACL を作成する) ページに戻るまで、[Next] (次へ) を選択してページを進みます。

  22. [Create web ACL] (ウェブ ACL の作成) を選択します。新しいウェブ ACL は、[Web ACLs] (ウェブ ACL) ページにリストされます。