翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF でのウェブ ACL の使用
このページでは、ウェブアクセスコントロールリスト (ウェブ ACL) とその仕組みについて説明します。
ウェブ ACL を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、および AWS Verified Access リソースを保護できます。
次のような基準を使用すると、リクエストを許可またはブロックできます。
-
リクエストの IP アドレスの送信元
リクエストの送信元の国
リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致
-
リクエストの特定の部分のサイズ
-
悪意のある SQL コードまたはスクリプトの検出
これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。
AWS WAF ルールステートメントで、一致基準と一致に対して実行するアクションを指定します。ルールステートメントは、ウェブ ACL 内、およびウェブ ACL で使用する再利用可能なルールグループで直接定義できます。オプションの詳細なリストについては、「AWS WAF でのルールステートメントの使用」および「AWS WAF でのルールアクションの使用」を参照してください。
ウェブ ACL を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、「AWS WAF でのウェブ ACL の作成」を参照してください。ウェブ ACL を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。
注記
AWS WAF で内部エラーが発生し、関連付けられている AWS リソースへの、リクエストを許可するかブロックするかについての応答が遅延する場合があります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、 およびリージョンレベルのサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。
本番稼働トラフィックのリスク
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護のテストとチューニング」を参照してください。
注記
ウェブ ACL で 1,500 WCU を超える容量を使用すると、ウェブ ACL の基本料金を超えるコストが発生します。詳細については、「のウェブACLキャパシティーユニット (WCUs) AWS WAF」と「AWS WAF 料金表
更新中の一時的な不一致
ウェブ ACL またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。
次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
ウェブ ACL を作成した後、それをリソースに関連付けようとすると、ウェブ ACL が利用できないことを示す例外が表示される場合があります。
ルールグループをウェブ ACL に追加した後、新しいルールグループのルールは、ウェブ ACL が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。
トピック
