AWS WAF でのウェブ ACL の編集
このセクションでは、AWS コンソールを使用してウェブ ACL を編集する手順について説明します。
ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL を更新中に、AWS WAF はウェブ ACL に関連付けたリソースに対して継続的なカバレッジを提供します。
本番稼働トラフィックのリスク
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。
注記
ウェブ ACL で 1,500 WCU を超える容量を使用すると、ウェブ ACL の基本料金を超えるコストが発生します。詳細については、「AWS WAF のウェブ ACL キャパシティユニット (WCU) について」と「AWS WAF 料金表
ウェブ ACL を編集するには
AWS Management Console にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/
) を開きます。 -
ナビゲーションペインで [Web ACLs] (ウェブ ACL) を選択します。
-
編集するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示されます。
必要に応じてウェブ ACL を編集します。関心のある設定領域のタブを選択し、ミュータブルな設定を編集します。編集する設定ごとに [保存] を選択してウェブ ACL の説明ページに戻ると、コンソールではウェブ ACL に変更が保存されます。
ウェブ ACL 設定コンポーネントを含むタブを以下に示します。
-
[ルール] タブ
ウェブ ACL で定義したルール – ウェブ ACL で定義したルールは、ウェブ ACL の作成時と同様に編集および管理できます。
注記
ウェブ ACL に手動で追加していないルールの名前は変更しないでください。他のサービスを使用してルールを管理している場合、ルールの名前を変更すると、そのサービスの機能が削除されたり低下したりするため、意図した保護を提供できなくなる可能性があります。AWS Shield Advanced と AWS Firewall Manager はどちらもウェブ ACL でルールを作成します。詳細については、他のサービスによって提供されるルールグループを識別する を参照してください。
注記
ルールの名前を変更し、ルールのメトリック名に変更を反映させたい場合は、メトリック名も更新する必要があります。ルール名を変更しても、AWS WAF では、ルールのメトリック名は自動的に更新されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、ウェブ ACL またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。
ルールおよびルールグループの設定については、「AWS WAF ルールの使用」と「AWS WAF ルールグループの使用」を参照してください。
[使用するウェブ ACL ルールキャパシティーユニット] – ウェブ ACL の現在のキャパシティ使用量。これは表示のみです。
[どのルールにも一致しないリクエストに対するデフォルトのウェブ ACL アクション] – この設定の詳細については、「AWS WAF でのウェブ ACL のデフォルトアクションの設定」を参照してください。
[ウェブ ACL CAPTCHA およびチャレンジ設定] – これらのイミュニティ時間によって、CAPTCHA またはチャレンジトークンの取得後の有効期間が決まります。ウェブ ACL の作成後、この設定は、このタブでしか変更できません。これらの設定については、「AWS WAF でのタイムスタンプの有効期限とトークンのイミュニティ時間の設定」を参照してください。
[トークンドメインリスト] – AWS WAF はリスト内のすべてのドメイン、ならびに関連付けられたリソースのドメインのトークンを受け入れます。詳細については、「AWS WAF ウェブ ACL トークンドメインリストの設定」を参照してください。
-
[関連付けられた AWS リソース] タブ
[ウェブリクエスト検査サイズの制限] – CloudFront ディストリビューションを保護するウェブ ACL にのみ含まれます。本文検査サイズの制限により、検査用に AWS WAF に転送される本文コンポーネントのサイズが決まります。この設定の詳細については、「AWS WAF のボディ検査サイズ制限の管理」を参照してください。
[関連付けられた AWS リソース] – ウェブ ACL が現在関連付けられ、保護しているリソースのリスト。ウェブ ACL と同じリージョン内にあるリソースを見つけて、ウェブ ACL に関連付けることができます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。
-
[カスタムレスポンス本文] タブ
アクションが Block に設定されているウェブ ACL ルールで使用できるカスタムレスポンス本文。詳細については、「Block アクションのカスタムレスポンスの送信」を参照してください。
-
[ログ記録とメトリクス] タブ
ログ記録 – ウェブ ACL で評価されるトラフィックのログ記録。詳細については、「AWS WAF のウェブ ACL トラフィックのログ記録」を参照してください。
-
サンプリングされたリクエスト – ウェブリクエストに一致するルールに関する情報。サンプリングされたリクエストの表示方法については、「ウェブリクエストのサンプルの表示」を参照してください。
CloudWatch メトリクス – ウェブ ACL 内のルールのメトリクス。Amazon CloudWatch メトリクスの詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。
-
更新中の一時的な不一致
ウェブ ACL またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
ウェブ ACL を作成した後、それをリソースに関連付けようとすると、ウェブ ACL が利用できないことを示す例外が表示される場合があります。
ルールグループをウェブ ACL に追加した後、新しいルールグループのルールは、ウェブ ACL が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
