**の新しいコンソールエクスペリエンスの紹介 AWS WAF** 更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # で保護パック (ウェブ ACL) を作成する AWS WAF ------ #### [ Using the new console ] このセクションでは、新しい AWS コンソールを使用して保護パック (ウェブ ACLs) を作成する手順について説明します。 新しい保護パック (ウェブ ACL) を作成するには、このページの手順に従って保護パック (ウェブ ACL) 作成ウィザードを使用します。 **本番稼働トラフィックのリスク** 本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。 **注記** 保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。 1. 新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。 1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。 1. **リソースと保護パック (ウェブ ACL)** ページで、**保護パック (ウェブ ACL) の追加** を選択します。 1. 「**アプリについて教えてください**」の「**アプリカテゴリ**」で、1 つ以上のアプリカテゴリを選択します。 1. **トラフィックソース** では、アプリケーションがエンゲージするトラフィックのタイプを選択します。**API**、**ウェブ**、または **API とウェブの両方** です。 1. **保護するリソース** で、**リソースの追加** を選択します。 1. この保護パック (ウェブ ACL) に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。 1. 「**初期保護の選択**」で、**推奨**、**必須**、または **ビルドする** のいずれかの保護レベルを選択します。 1. (オプション) **ビルドする** を選択する場合は、ルールを構築します。 1. (オプション) 独自のルールを追加する場合は、**[ルールの追加]** ページで **[カスタムルール]** を選択し、**[次へ]** を選択します。 1. ロールタイプを選択します。 1. **[Action]** (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」と「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。 **[CAPTCHA]** または **[Challenge]** アクションを使用している場合、このルールの必要に応じて **[Immunity time]** (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールは保護パック (ウェブ ACL) から設定を継承します。保護パック (ウェブ ACL) のイミュニティ時間設定を変更するには、保護パック (ウェブ ACL) の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。 **注記** CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。 リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。 一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。 1. **[Name]** (名前) で、このルールの識別に使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。 1. 必要に応じて、ルールの定義を入力します。論理 `AND` および `OR` ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください。 1. **[‬ルールを作成]‭** を選択します。 **注記** 保護パック (ウェブ ACL) に複数のルールを追加すると、 は保護パック (ウェブ ACL) にリストされている順序でルール AWS WAF を評価します。詳細については、「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。 1. (オプション) マネージドルールグループを追加する場合は、[**ルールの追加**] ページで、**[AWSマネージドルールグループ]** または **[AWS マーケットプレイスルールグループ]** を選択し、**[次へ]** を選択します。追加するマネージドルールグループごとに次を実行します。 1. **ルールの追加**ページで、マネージドルールグループまたは AWS Marketplace 販売者のリスト AWS を展開します。 1. ルールグループのバージョンを選択します。 1. 保護パック (ウェブ ACL) がルールグループを使用する方法をカスタマイズするには、**[編集]** を選択します。一般的なカスタマイズ設定は次のとおりです。 + **[検査]** セクションにスコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。 + **ルールオーバーライド** の一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。 + 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してください[AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)。 1. [**次へ**] を選択します。 1. (オプション) 独自のルールグループを追加する場合は、**[ルールの追加]** ページで **[カスタムルールグループ]** を選択し、**[次へ]** を選択します。追加するルールグループごとに次を実行します。 1. **[名前]** で、この保護パック (ウェブ ACL) のルールグループのルールに使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。 1. リストからルールグループを選択します。 1. (オプション) **[ルール設定]**で、**[ルールオーバーライド]** を選択します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。 1. (オプション) **[ラベルの追加]** で **[ラベルの追加]** を選択し、ルールに一致するリクエストに追加するラベルを入力します。同じ保護パック (ウェブ ACL) で後で評価されるルールは、このルールが追加するラベルを参照できます。 1. **[‬ルールを作成]‭** を選択します。 1. **名前と説明** に、保護パック (ウェブ ACL) の名前を入力します。必要に応じて説明に説明を入力します。 **注記** 保護パック (ウェブ ACL) の作成後は、名前を変更することはできません。 1. (オプション) **保護パックのカスタマイズ (ウェブ ACL)** で、デフォルトのルールアクション、設定、ログ記録の送信先を設定します。 1. (オプション) **デフォルトのルールアクション** で、保護パック (ウェブ ACL) のデフォルトのアクションを選択します。これは、保護パック (ウェブ ACL) のルールが明示的にアクションを実行しない場合に、リクエスト AWS WAF に対して が実行するアクションです。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。 1. (オプション) ルール設定で、保護パック (ウェブ ACL) のルールの設定をカスタマイズします。 + **デフォルトのレート制限** - 可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のあるサービス拒否 (DoS) 攻撃をブロックするようにレート制限を設定します。このルールレートは、アプリケーションの許容レートを超える IP アドレスあたりのリクエストをブロックします。詳細については、[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)を参照してください。 + **IP アドレス** - ブロックまたは許可する IP アドレスを入力します。この設定は、他のルールをオーバーライドします。 + **国固有のオリジン** - 指定された国からのリクエストをブロックするか、すべてのトラフィックをカウントします。 1. **ログ記録先** の場合は、ログ記録先タイプとログを保存する場所を設定します。詳細については、「[AWS WAF ログ記録の送信先](logging-destinations.md)」を参照してください。 1. 設定を確認し、**保護パック (ウェブ ACL) の追加** を選択します。 ------ #### [ Using the standard console ] このセクションでは、 AWS コンソールを使用してウェブ ACLs を作成する手順について説明します。 新しいウェブ ACL を作成するには、このページの手順に従ってウェブ ACL 作成ウィザードを使用します。 **本番稼働トラフィックのリスク** 本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。 **注記** 保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。 **ウェブ ACL を作成するには** 1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。 1. ナビゲーションペインの **[Web ACLs]** (ウェブ ACL) を選択してから、**[Create web ACL]** (ウェブ ACL を作成) を選択します。 1. **[Name]** (名前) で、このウェブ ACL の識別に使用する名前を入力します。 **注記** ウェブ ACL の作成後は、名前を変更することはできません。 1. (オプション) 必要に応じて、**[Description - optional]** (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。 1. **[CloudWatch metric name]** (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、「All」や「Default\$1Action」など AWS WAF、予約されている特殊文字、空白、またはメトリクス名を含めることはできません。 **注記** ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。 1. **[リソースタイプ]** で、このウェブ ACL に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。 1. **リージョン**でリージョンリソースタイプを選択した場合は、ウェブ ACL AWS WAF を保存するリージョンを選択します。 このオプションは、リージョン別リソースタイプの場合にのみ選択する必要があります。CloudFront ディストリビューションの場合、グローバル (CloudFront) アプリケーションであれば、リージョンは `us-east-1` (米国東部 (バージニア北部) リージョン) にハードコードされています。 1. (CloudFront、API Gateway、Amazon Cognito 、App Runner、Verified Access) **[ウェブリクエスト検査サイズの制限 – オプション]**に対して、別の本体検査サイズ制限を指定したい場合に、制限を選択します。デフォルトの 16 KB を超えるボディサイズを検査すると、追加費用が発生する可能性があります。このオプションについては、「[でのボディ検査の管理に関する考慮事項 AWS WAF](web-acl-setting-body-inspection-limit.md)」を参照してください。 1. (オプション) **関連 AWS リソース - オプション**で、今すぐリソースを指定する場合は、**リソースの追加 AWS **を選択します。ダイアログボックスで、関連付けるリソースを選択し、**Add**. AWS WAF returns you to the **Describe web ACL and associated AWS resources** page を選択します。 **注記** Application Load Balancer をウェブ ACL に関連付けることを選択すると、**リソースレベルの DDoS 保護** が有効になります。詳細については、「[AWS WAF 分散サービス拒否 (DDoS) の防止](waf-anti-ddos.md)」を参照してください。 1. **[Next]** (次へ) を選択します。 1. (オプション) マネージドルールグループを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加) を選択し、**[Add managed rule groups]** (マネージドルールグループの追加) を選択します。追加するマネージドルールグループごとに次を実行します。 1. **マネージドルールグループの追加**ページで、マネージドルールグループまたは選択した AWS Marketplace 販売者のリスト AWS を展開します。 1. 追加するルールグループでは、**[Action]** (アクション) 列で **[Add to web ACL]** (ウェブ ACL に追加) 切り替えボタンをオンにします。 ウェブ ACL がルールグループを使用する方法をカスタマイズするには、**[Edit]** (編集) を選択します。一般的なカスタマイズ設定は次のとおりです。 + 一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。 + スコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。 + 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してください[AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)。 設定が完了したら、**[Save rule]** (ルールを保存) を選択します。 **[Add rules]** (ルールの追加) を選択してマネージドルールの追加を終了し、**[Add rules and rule groups]** (ルールとルールグループの追加) ページに戻ります。 **注記** ウェブ ACL に複数のルールを追加すると、 はウェブ ACL にリストされている順序でルール AWS WAF を評価します。詳細については、「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。 1. (オプション) 独自のルールグループを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加) を選択し、**[Add my own rules and rule groups]** (独自のルールとルールグループの追加) を選択します。追加するルールグループごとに次を実行します。 1. **[Add my own rules and rule groups]** (独自のルールとルールグループの追加) ページで、**[Rule group]** (ルールグループ) を選択します。 1. **[Name]** (名前) で、このウェブ ACL のルールグループのルールに使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。 1. リストからルールグループを選択します。 **注記** 独自のルールグループのルールアクションを上書きする場合は、まずウェブ ACL に保存し、ウェブ ACL のルールリストでウェブ ACL とルールグループ参照ステートメントを編集します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。 1. [**ルールを追加**] を選択してください。 1. (オプション) 独自のルールを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加)、**[Add my own rules and rule groups]** (独自のルールとルールグループの追加)、**[Rule builder]** (ルールビルダー)、**[Rule visual editor]** (ルールビジュアルエディタ) の順に選択します。 **注記** コンソールの **[Rule visual editor]** (ルールビジュアルエディタ) は、1 レベルのネストをサポートします。例えば、単一の論理 `AND` または `OR` ステートメントを使用して、その中に 1 レベルの他のステートメントをネストすることはできますが、論理ステートメントの中に論理ステートメントをネストすることはできません。より複雑なルールステートメントを管理するには、**[Rule JSON editor]** (ルール JSON エディタ) を使用します。ルールのすべてのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください この手順では、**[Rule visual editor]** (ルールビジュアルエディタ) について説明します。 1. **[Name]** (名前) で、このルールの識別に使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。 1. 必要に応じて、ルールの定義を入力します。論理 `AND` および `OR` ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください。 1. **[Action]** (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」と「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。 **[CAPTCHA]** または **[Challenge]** アクションを使用している場合、このルールの必要に応じて **[Immunity time]** (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールはウェブ ACL から設定を継承します。ウェブ ACL のイミュニティ時間設定を変更するには、ウェブ ACL の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。 **注記** CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。 リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。 一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。 1. **[Add Rule]** (ルールの追加) を選択します。 1. ウェブ ACL のデフォルトアクションに Block または Allow を選択します。これは、ウェブ ACL のルールがリクエストを明示的に許可またはブロックしない場合に、リクエストに対して が AWS WAF 実行するアクションです。詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。 デフォルトのアクションをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。 1. **[Token domain list]** (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 AWS WAF 不正コントロールアカウント作成不正防止 (ACFP)、 AWS WAF 不正コントロールアカウント乗っ取り防止 (ATP)、 AWS WAF ボットコントロールに AWS Managed Rules ルールグループを使用するときに実装する CAPTCHAChallengeアクションとアプリケーション統合 SDKs によって使用されます。 パブリックサフィックスは許可されません。たとえば、`gov.au` または `co.uk` をトークンドメインとして使用することはできません。 デフォルトでは、 は保護されたリソースのドメインに対してのみトークン AWS WAF を受け入れます。このリストにトークンドメインを追加すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「[AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定](waf-tokens-domains.md#waf-tokens-domain-lists)」を参照してください。 1. **[Next]** (次へ) を選択します。 1. **ルールの優先度の設定**ページで、ルールとルールグループを選択して、 AWS WAF 処理する順序に移動します。 は、リストの上部からルール AWS WAF を処理します。ウェブ ACL を保存すると、 AWS WAF では、リストされている順に、優先順位の数値設定がルールに割り当てられます。詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。 1. **[Next]** (次へ) を選択します。 1. **[Configure metrics]** (メトリクスを設定) ページで、オプションを確認し、必要な更新を適用します。複数のソースからのメトリクスを組み合わせるには、それらに同じ **[CloudWatch metric name]** (CloudWatch メトリクス名) を指定します。 1. **[Next]** (次へ) を選択します。 1. **[Review and create web ACL]** (ウェブ ACL の確認と作成) ページで定義を確認します。エリアを変更する場合は、エリアの **[Edit]** (編集) を選択します。これにより、ウェブ ACL ウィザードのページに戻ります。変更を加えてから、**[Review and create web ACL]** (確認してウェブ ACL を作成する) ページに戻るまで、**[Next]** (次へ) を選択してページを進みます。 1. **[Create web ACL]** (ウェブ ACL の作成) を選択します。新しいウェブ ACL は、**[Web ACLs]** (ウェブ ACL) ページにリストされます。 ------