**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# での保護の設定 AWS WAF
<a name="web-acl"></a>

このページでは、保護パック (ウェブ ACL) とその仕組みについて説明します。

 保護パック (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync Amazon Cognito、 AWS App Runner AWS Amplify、Amazon CloudWatch、 AWS Verified Access リソースを保護できます。

次のような基準を使用すると、リクエストを許可またはブロックできます。
+ リクエストの IP アドレスの送信元
+ リクエストの送信元の国
+ リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致
+ リクエストの特定の部分のサイズ
+ 悪意のある SQL コードまたはスクリプトの検出 

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

一致する条件と、 AWS WAF ルールステートメントの一致に対して実行するアクションを指定します。ルールステートメントは、保護パック (ウェブ ACL) 内、および保護パック (ウェブ ACL) で使用する再利用可能なルールグループで直接定義できます。オプションの詳細なリストについては、「[でのルールステートメントの使用 AWS WAF](waf-rule-statements.md)」および「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。

保護パック (ウェブ ACL) を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、「[で保護パック (ウェブ ACL) を作成する AWS WAF](web-acl-creating.md)」を参照してください。保護パック (ウェブ ACL) を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。

**注記**  
場合によっては、リクエストを許可またはブロックするかどうかに関する関連 AWS リソースへの応答を遅らせる内部エラーが発生する AWS WAF ことがあります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、 およびリージョンレベルのサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

**更新中の一時的な不一致**  
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

**Topics**
+ [で保護パック (ウェブ ACL) を作成する AWS WAF](web-acl-creating.md)
+ [での保護パック (ウェブ ACL) の編集 AWS WAF](web-acl-editing.md)
+ [ルールグループの動作を管理する](web-acl-rule-group-settings.md)
+ [AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)
+ [のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)
+ [で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)
+ [でのボディ検査の管理に関する考慮事項 AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [での CAPTCHA、チャレンジ、トークンの設定 AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [でのウェブトラフィックメトリクスの表示 AWS WAF](web-acl-working-with.md)
+ [保護パック (ウェブ ACL) の削除](web-acl-deleting.md)

# で保護パック (ウェブ ACL) を作成する AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

このセクションでは、新しい AWS コンソールを使用して保護パック (ウェブ ACLs) を作成する手順について説明します。

新しい保護パック (ウェブ ACL) を作成するには、このページの手順に従って保護パック (ウェブ ACL) 作成ウィザードを使用します。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

1. 新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。

1. **リソースと保護パック (ウェブ ACL)** ページで、**保護パック (ウェブ ACL) の追加** を選択します。

1. 「**アプリについて教えてください**」の「**アプリカテゴリ**」で、1 つ以上のアプリカテゴリを選択します。

1. **トラフィックソース**　では、アプリケーションがエンゲージするトラフィックのタイプを選択します。**API**、**ウェブ**、または **API とウェブの両方** です。

1. **保護するリソース** で、**リソースの追加** を選択します。

1. この保護パック (ウェブ ACL) に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。

1. 「**初期保護の選択**」で、**推奨**、**必須**、または **ビルドする** のいずれかの保護レベルを選択します。

1. (オプション) **ビルドする** を選択する場合は、ルールを構築します。

   1. (オプション) 独自のルールを追加する場合は、**[ルールの追加]** ページで **[カスタムルール]** を選択し、**[次へ]** を選択します。

      1. ロールタイプを選択します。

      1. **[Action]** (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」と「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。

         **[CAPTCHA]** または **[Challenge]** アクションを使用している場合、このルールの必要に応じて **[Immunity time]** (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールは保護パック (ウェブ ACL) から設定を継承します。保護パック (ウェブ ACL) のイミュニティ時間設定を変更するには、保護パック (ウェブ ACL) の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。
**注記**  
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

         リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

         一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。

      1. **[Name]** (名前) で、このルールの識別に使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。

      1. 必要に応じて、ルールの定義を入力します。論理 `AND` および `OR` ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください。

      1. **[‬ルールを作成]‭** を選択します。
**注記**  
保護パック (ウェブ ACL) に複数のルールを追加すると、 は保護パック (ウェブ ACL) にリストされている順序でルール AWS WAF を評価します。詳細については、「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。

   1. (オプション) マネージドルールグループを追加する場合は、[**ルールの追加**] ページで、**[AWSマネージドルールグループ]** または **[AWS マーケットプレイスルールグループ]** を選択し、**[次へ]** を選択します。追加するマネージドルールグループごとに次を実行します。

      1. **ルールの追加**ページで、マネージドルールグループまたは AWS Marketplace 販売者のリスト AWS を展開します。

      1. ルールグループのバージョンを選択します。

      1. 保護パック (ウェブ ACL) がルールグループを使用する方法をカスタマイズするには、**[編集]** を選択します。一般的なカスタマイズ設定は次のとおりです。
         + **[検査]** セクションにスコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。
         + **ルールオーバーライド** の一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。
         + 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してください[AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)。

      1. [**次へ**] を選択します。

   1. (オプション) 独自のルールグループを追加する場合は、**[ルールの追加]** ページで **[カスタムルールグループ]** を選択し、**[次へ]** を選択します。追加するルールグループごとに次を実行します。

      1. **[名前]** で、この保護パック (ウェブ ACL) のルールグループのルールに使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。

      1. リストからルールグループを選択します。

      1. (オプション) **[ルール設定]**で、**[ルールオーバーライド]** を選択します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。

      1. (オプション) **[ラベルの追加]** で **[ラベルの追加]** を選択し、ルールに一致するリクエストに追加するラベルを入力します。同じ保護パック (ウェブ ACL) で後で評価されるルールは、このルールが追加するラベルを参照できます。

      1. **[‬ルールを作成]‭** を選択します。

1. **名前と説明** に、保護パック (ウェブ ACL) の名前を入力します。必要に応じて説明に説明を入力します。
**注記**  
保護パック (ウェブ ACL) の作成後は、名前を変更することはできません。

1. (オプション) **保護パックのカスタマイズ (ウェブ ACL)** で、デフォルトのルールアクション、設定、ログ記録の送信先を設定します。

   1. (オプション) **デフォルトのルールアクション** で、保護パック (ウェブ ACL) のデフォルトのアクションを選択します。これは、保護パック (ウェブ ACL) のルールが明示的にアクションを実行しない場合に、リクエスト AWS WAF に対して が実行するアクションです。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

   1. (オプション) ルール設定で、保護パック (ウェブ ACL) のルールの設定をカスタマイズします。
      + **デフォルトのレート制限** - 可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のあるサービス拒否 (DoS) 攻撃をブロックするようにレート制限を設定します。このルールレートは、アプリケーションの許容レートを超える IP アドレスあたりのリクエストをブロックします。詳細については、[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)を参照してください。
      + **IP アドレス** - ブロックまたは許可する IP アドレスを入力します。この設定は、他のルールをオーバーライドします。
      + **国固有のオリジン** - 指定された国からのリクエストをブロックするか、すべてのトラフィックをカウントします。

   1. **ログ記録先** の場合は、ログ記録先タイプとログを保存する場所を設定します。詳細については、「[AWS WAF ログ記録の送信先](logging-destinations.md)」を参照してください。

1. 設定を確認し、**保護パック (ウェブ ACL) の追加** を選択します。

------
#### [ Using the standard console ]

このセクションでは、 AWS コンソールを使用してウェブ ACLs を作成する手順について説明します。

新しいウェブ ACL を作成するには、このページの手順に従ってウェブ ACL 作成ウィザードを使用します。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

**ウェブ ACL を作成するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインの **[Web ACLs]** (ウェブ ACL) を選択してから、**[Create web ACL]** (ウェブ ACL を作成) を選択します。

1. **[Name]** (名前) で、このウェブ ACL の識別に使用する名前を入力します。
**注記**  
ウェブ ACL の作成後は、名前を変更することはできません。

1. (オプション) 必要に応じて、**[Description - optional]** (説明 - オプション) に、ウェブ ACL の詳しい説明を入力します。

1. **[CloudWatch metric name]** (CloudWatch メトリクス名) で、必要に応じてデフォルト名を変更します。有効な文字については、コンソールのガイダンスに従ってください。名前には、「All」や「Default\$1Action」など AWS WAF、予約されている特殊文字、空白、またはメトリクス名を含めることはできません。
**注記**  
ウェブ ACL の作成後は CloudWatch メトリクス名を変更できません。

1. **[リソースタイプ]** で、このウェブ ACL に関連付ける AWS リソースのカテゴリ (Amazon CloudFront ディストリビューションまたはリージョンリソース) を選択します。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。

1. **リージョン**でリージョンリソースタイプを選択した場合は、ウェブ ACL AWS WAF を保存するリージョンを選択します。

   このオプションは、リージョン別リソースタイプの場合にのみ選択する必要があります。CloudFront ディストリビューションの場合、グローバル (CloudFront) アプリケーションであれば、リージョンは `us-east-1` (米国東部 (バージニア北部) リージョン) にハードコードされています。

1. (CloudFront、API Gateway、Amazon Cognito 、App Runner、Verified Access) **[ウェブリクエスト検査サイズの制限 – オプション]**に対して、別の本体検査サイズ制限を指定したい場合に、制限を選択します。デフォルトの 16 KB を超えるボディサイズを検査すると、追加費用が発生する可能性があります。このオプションについては、「[でのボディ検査の管理に関する考慮事項 AWS WAF](web-acl-setting-body-inspection-limit.md)」を参照してください。

1. (オプション) **関連 AWS リソース - オプション**で、今すぐリソースを指定する場合は、**リソースの追加 AWS **を選択します。ダイアログボックスで、関連付けるリソースを選択し、**Add**. AWS WAF returns you to the **Describe web ACL and associated AWS resources** page を選択します。
**注記**  
Application Load Balancer をウェブ ACL に関連付けることを選択すると、**リソースレベルの DDoS 保護** が有効になります。詳細については、「[AWS WAF 分散サービス拒否 (DDoS) の防止](waf-anti-ddos.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. (オプション) マネージドルールグループを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加) を選択し、**[Add managed rule groups]** (マネージドルールグループの追加) を選択します。追加するマネージドルールグループごとに次を実行します。

   1. **マネージドルールグループの追加**ページで、マネージドルールグループまたは選択した AWS Marketplace 販売者のリスト AWS を展開します。

   1. 追加するルールグループでは、**[Action]** (アクション) 列で **[Add to web ACL]** (ウェブ ACL に追加) 切り替えボタンをオンにします。

      ウェブ ACL がルールグループを使用する方法をカスタマイズするには、**[Edit]** (編集) を選択します。一般的なカスタマイズ設定は次のとおりです。
      + 一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションについては、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。
      + スコープダウンステートメントを追加することで、ルールグループが検査するウェブリクエストのスコープを縮小します。このオプションについては、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。
      + 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「」を参照してください[AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)。

      設定が完了したら、**[Save rule]** (ルールを保存) を選択します。

   **[Add rules]** (ルールの追加) を選択してマネージドルールの追加を終了し、**[Add rules and rule groups]** (ルールとルールグループの追加) ページに戻ります。
**注記**  
ウェブ ACL に複数のルールを追加すると、 はウェブ ACL にリストされている順序でルール AWS WAF を評価します。詳細については、「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。

1. (オプション) 独自のルールグループを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加) を選択し、**[Add my own rules and rule groups]** (独自のルールとルールグループの追加) を選択します。追加するルールグループごとに次を実行します。

   1. **[Add my own rules and rule groups]** (独自のルールとルールグループの追加) ページで、**[Rule group]** (ルールグループ) を選択します。

   1. **[Name]** (名前) で、このウェブ ACL のルールグループのルールに使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。

   1. リストからルールグループを選択します。
**注記**  
独自のルールグループのルールアクションを上書きする場合は、まずウェブ ACL に保存し、ウェブ ACL のルールリストでウェブ ACL とルールグループ参照ステートメントを編集します。マネージドルールグループの場合と同様に、ルールアクションを任意の有効なアクション設定に上書きできます。

   1. [**ルールを追加**] を選択してください。

1. (オプション) 独自のルールを追加する場合は、**[Add rules and rule groups]** (ルールとルールグループの追加) ページで、**[Add rules]** (ルールの追加)、**[Add my own rules and rule groups]** (独自のルールとルールグループの追加)、**[Rule builder]** (ルールビルダー)、**[Rule visual editor]** (ルールビジュアルエディタ) の順に選択します。
**注記**  
コンソールの **[Rule visual editor]** (ルールビジュアルエディタ) は、1 レベルのネストをサポートします。例えば、単一の論理 `AND` または `OR` ステートメントを使用して、その中に 1 レベルの他のステートメントをネストすることはできますが、論理ステートメントの中に論理ステートメントをネストすることはできません。より複雑なルールステートメントを管理するには、**[Rule JSON editor]** (ルール JSON エディタ) を使用します。ルールのすべてのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください   
この手順では、**[Rule visual editor]** (ルールビジュアルエディタ) について説明します。

   1. **[Name]** (名前) で、このルールの識別に使用する名前を入力します。`AWS`、`Shield`、`PreFM`、または `PostFM` で始まる名前は使用しないでください。これらの文字列は、予約されているか、他のサービスが管理するルールグループと混同される可能性があります。

   1. 必要に応じて、ルールの定義を入力します。論理 `AND` および `OR` ルールステートメントの中でルールを組み合わせることができます。ウィザードに、コンテキストに応じた各ルールのオプションが表示されます。ルールのオプションについては、「[AWS WAF ルール](waf-rules.md)」を参照してください。

   1. **[Action]** (アクション) で、ウェブリクエストに一致したときにルールによって実行されるアクションを選択します。選択の詳細については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」と「[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)」を参照してください。

      **[CAPTCHA]** または **[Challenge]** アクションを使用している場合、このルールの必要に応じて **[Immunity time]** (イミュニティ時間) の設定を調整します。設定を指定しない場合、ルールはウェブ ACL から設定を継承します。ウェブ ACL のイミュニティ時間設定を変更するには、ウェブ ACL の作成後にウェブ ACL を編集します。イミュニティ時間の詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。
**注記**  
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

      リクエストまたはレスポンスをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

      一致するウェブリクエストにルールがラベルを追加するようにする場合は、そのオプションを選択し、ラベルの詳細を入力します。詳細については、「[でのウェブリクエストのラベル付け AWS WAF](waf-labels.md)」を参照してください。

   1. **[Add Rule]** (ルールの追加) を選択します。

1. ウェブ ACL のデフォルトアクションに Block または Allow を選択します。これは、ウェブ ACL のルールがリクエストを明示的に許可またはブロックしない場合に、リクエストに対して が AWS WAF 実行するアクションです。詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。

   デフォルトのアクションをカスタマイズする場合は、そのオプションを選択し、カスタマイズの詳細を入力します。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

1. **[Token domain list]** (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 AWS WAF 不正コントロールアカウント作成不正防止 (ACFP)、 AWS WAF 不正コントロールアカウント乗っ取り防止 (ATP)、 AWS WAF ボットコントロールに AWS Managed Rules ルールグループを使用するときに実装する CAPTCHAChallengeアクションとアプリケーション統合 SDKs によって使用されます。

   パブリックサフィックスは許可されません。たとえば、`gov.au` または `co.uk` をトークンドメインとして使用することはできません。

   デフォルトでは、 は保護されたリソースのドメインに対してのみトークン AWS WAF を受け入れます。このリストにトークンドメインを追加すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「[AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定](waf-tokens-domains.md#waf-tokens-domain-lists)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. **ルールの優先度の設定**ページで、ルールとルールグループを選択して、 AWS WAF 処理する順序に移動します。 は、リストの上部からルール AWS WAF を処理します。ウェブ ACL を保存すると、 AWS WAF では、リストされている順に、優先順位の数値設定がルールに割り当てられます。詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。

1. **[Next]** (次へ) を選択します。

1. **[Configure metrics]** (メトリクスを設定) ページで、オプションを確認し、必要な更新を適用します。複数のソースからのメトリクスを組み合わせるには、それらに同じ **[CloudWatch metric name]** (CloudWatch メトリクス名) を指定します。

1. **[Next]** (次へ) を選択します。

1. **[Review and create web ACL]** (ウェブ ACL の確認と作成) ページで定義を確認します。エリアを変更する場合は、エリアの **[Edit]** (編集) を選択します。これにより、ウェブ ACL ウィザードのページに戻ります。変更を加えてから、**[Review and create web ACL]** (確認してウェブ ACL を作成する) ページに戻るまで、**[Next]** (次へ) を選択してページを進みます。

1. **[Create web ACL]** (ウェブ ACL の作成) を選択します。新しいウェブ ACL は、**[Web ACLs]** (ウェブ ACL) ページにリストされます。

------

# での保護パック (ウェブ ACL) の編集 AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

このセクションでは、 AWS コンソールを使用して保護パック (ウェブ ACLs) を編集する手順について説明します。

保護パック (ウェブ ACL) のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用して保護パック (ウェブ ACL) にアクセスします。保護パック (ウェブ ACL) の更新中に、 は保護パック (ウェブ ACL) に関連付けられたリソースに継続的なカバレッジ AWS WAF を提供します。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックの保護パック (ウェブ ACL) に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

**保護パック (ウェブ ACL) を編集するには**

1. 新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。

1. 編集する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドペインも開きます。

1. 必要に応じて保護パック (ウェブ ACL) を編集します。

   以下は、編集可能な保護パック (ウェブ ACL) 設定コンポーネントの一覧です。

   このセクションでは、 AWS コンソールを使用してウェブ ACLs を編集する手順について説明します。

   ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL の更新中に、 はウェブ ACL に関連付けられたリソースに継続的なカバレッジ AWS WAF を提供します。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

**更新中の一時的な不一致**  
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

------
#### [ Using the standard console ]

このセクションでは、 AWS コンソールを使用してウェブ ACL を編集する手順について説明します。

ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL の更新中に、 はウェブ ACL に関連付けられたリソースに継続的なカバレッジ AWS WAF を提供します。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

**注記**  
保護パック (ウェブ ACL) で 1,500 WCU を超える容量を使用すると、保護パック (ウェブ ACL) の基本料金を超えるコストが発生します。詳細については、「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」と「[AWS WAF 料金表](https://aws.amazon.com/waf/pricing/)」を参照してください。

**ウェブ ACL を編集するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択します。

1. 編集するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示されます。

1. 必要に応じてウェブ ACL を編集します。関心のある設定領域のタブを選択し、ミュータブルな設定を編集します。編集する設定ごとに **[保存]** を選択してウェブ ACL の説明ページに戻ると、コンソールではウェブ ACL に変更が保存されます。

   ウェブ ACL 設定コンポーネントを含むタブを以下に示します。
   + **[ルール]** タブ
     + **ウェブ ACL で定義したルール** – ウェブ ACL で定義したルールは、ウェブ ACL の作成時と同様に編集および管理できます。
**注記**  
ウェブ ACL に手動で追加していないルールの名前は変更しないでください。他の サービスを使用してルールを管理している場合、名前を変更すると、意図した保護を提供する機能が削除または低下する可能性があります。 AWS Shield Advanced と AWS Firewall Manager の両方がウェブ ACL にルールを作成できます。詳細については、「[他のサービスによって提供されるルールグループを識別する](waf-service-owned-rule-groups.md)」を参照してください。
**注記**  
ルールの名前を変更し、ルールのメトリクス名に変更を反映する場合は、メトリクス名も更新する必要があります。ルール名を変更しても、ルールのメトリクス名は自動的に更新 AWS WAF されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、保護パック (ウェブ ACL) またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。

       ルールおよびルールグループの設定については、「[AWS WAF ルール](waf-rules.md)」と「[AWS WAF ルールグループ](waf-rule-groups.md)」を参照してください。
     + **[使用するウェブ ACL ルールキャパシティーユニット]** – ウェブ ACL の現在のキャパシティ使用量。これは表示のみです。
     + **[どのルールにも一致しないリクエストに対するデフォルトのウェブ ACL アクション]** – この設定の詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。
     + **[ウェブ ACL CAPTCHA およびチャレンジ設定]** – これらのイミュニティ時間によって、CAPTCHA またはチャレンジトークンの取得後の有効期間が決まります。ウェブ ACL の作成後、この設定は、このタブでしか変更できません。これらの設定については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。
     + **トークンドメインリスト – **リスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「[AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定](waf-tokens-domains.md#waf-tokens-domain-lists)」を参照してください。
   + **関連付けられた AWS リソース**タブ
     + **[ウェブリクエスト検査サイズの制限]** – CloudFront ディストリビューションを保護するウェブ ACL にのみ含まれます。ボディ検査サイズ制限は、検査 AWS WAF のために に転送されるボディコンポーネントの量を決定します。この設定の詳細については「[でのボディ検査の管理に関する考慮事項 AWS WAF](web-acl-setting-body-inspection-limit.md)」を参照してください。
     + **[関連付けられた AWS リソース]** – ウェブ ACL が現在関連付けられ、保護しているリソースのリスト。ウェブ ACL と同じリージョン内にあるリソースを見つけて、ウェブ ACL に関連付けることができます。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。
   + **[カスタムレスポンス本文]** タブ
     + アクションが Block に設定されているウェブ ACL ルールで使用できるカスタムレスポンス本文。詳細については、「[Block アクションのカスタムレスポンスの送信](customizing-the-response-for-blocked-requests.md)」を参照してください。
   + **[ログ記録とメトリクス]** タブ
     + **ログ記録** – ウェブ ACL で評価されるトラフィックのログ記録。詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
     + **Security Lake 統合** – Amazon Security Lake のウェブ ACL 用に設定したデータ収集のステータス。詳細については、*「Amazon Security Lake* [ユーザーガイド」の AWS 「サービスからのデータ収集](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)」を参照してください。
     + **サンプリングされたリクエスト** – ウェブリクエストに一致するルールに関する情報。サンプリングされたリクエストの表示方法については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。
     + **データ保護設定** – ウェブ ACL で使用可能なすべてのデータと、 が設定されたウェブ ACL ログ記録先 AWS WAF に送信するデータに対してのみ、ウェブトラフィックデータの秘匿化とフィルタリングを設定できます。データ保護については、「[保護 AWS WAF パック (ウェブ ACL) トラフィックのデータ保護とログ記録](waf-data-protection-and-logging.md)」を参照してください。
     + **CloudWatch メトリクス** – ウェブ ACL 内のルールのメトリクス。Amazon CloudWatch メトリクスの詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。

**更新中の一時的な不一致**  
保護パック (ウェブ ACL) または他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域にその変更が反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。
+ 保護パック (ウェブ ACL) を作成した後、それをリソースに関連付けようとすると、保護パック (ウェブ ACL) が利用できないことを示す例外が表示される場合があります。
+ ルールグループを保護パック (ウェブ ACL) に追加した後、新しいルールグループのルールは、保護パック (ウェブ ACL) が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。
+ ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。
+ ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。

------

# ルールグループの動作を管理する
<a name="web-acl-rule-group-settings"></a>

このセクションでは、保護パック (ウェブ ACL) でルールグループを使用する方法を変更するオプションについて説明します。この情報は、すべてのルールグループタイプに適用されます。ルールグループを保護パック (ウェブ ACL) に追加すると、ルールグループ内の個々ルールのアクションを Count またはその他の有効なルールアクション設定にオーバーライドできます。ルールグループの結果として生じるアクションを Count にオーバーライドすることもできます。これは、ルールグループ内でルールがどのように評価されるかについて影響されません。

これらのオプションについては、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。

## ルールグループ内のルールアクションのオーバーライド
<a name="web-acl-rule-group-rule-action-override"></a>

保護パック (ウェブ ACL) の各ルールグループにおいて、一部またはすべてのルールに含まれているルールのアクションをオーバーライドできます。

この場合の最も一般的な使用例は、ルールアクションを Count にオーバーライドし、新しいまたは更新されたルールをテストすることです。メトリクスを有効にしている場合、上書きするルールごとにメトリクスが受信されます。テストの詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

これらの変更は、マネージドルールグループを保護パック (ウェブ ACL) に追加するときに行うことができ、保護パック (ウェブ ACL) を編集するときに任意のタイプのルールグループに行うことができます。この手順は、保護パック (ウェブ ACL) にすでに追加されているルールグループを対象としています。このオプションに関する追加情報については、[ルールグループのルールアクションの上書き](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules) を参照してください。

------
#### [ Using the new console ]

**ルールグループのルールアクションのオーバーライド方法**

1. 編集する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドパネルも開きます。

1. 保護パック (ウェブ ACL) カードで、**[ルール]** の横にある **[編集]** リンクを選択して、**[ルールの管理]** パネルを開きます。

1. ルールグループの **[ルールの管理]** セクションで、[マネージドルール] を選択してアクション設定を開きます。
   + **ルールグループをオーバーライド** – ルールグループのアクションをカウントモードに変更しますが、個々のすべてのルールアクションは変更されません。
   + **すべてのルールアクションをオーバーライド** – すべてのルールにルールアクションを適用し、現在の状態をオーバーライドします。
   + **単一ルールをオーバーライド** – ルールアクションを個々のルールに適用します。

1. 変更が完了したら、**[Save Rule]** (ルールを保存) を選択します。

------
#### [ Using the standard console ]

**ルールグループのルールアクションのオーバーライド方法**

1. ウェブ ACL を編集します。

1. ウェブ ACL ページの **[Rules]** (ルール) タブで、ルールグループを選択し、**[Edit]** (編集) を選択します。

1. ルールグループの **[Rules]** (ルール) セクションで、必要に応じてアクション設定を管理します。
   + **すべてのルール** – ルールグループ内のすべてのルールにオーバーライドアクションを設定するには、**[Override all rule actions]** (すべてのルールアクションをオーバーライド) ドロップダウンを開いてオーバーライドアクションを選択します。すべてのルールのオーバーライドを削除するには、**[Remove all overrides]** (すべてのオーバーライドを削除) を選択します。
   + **単一ルール** – 単一ルールにオーバーライドアクションを設定するには、ルールのドロップダウンを開いてオーバーライドアクションを選択します。ルールのオーバーライドを削除するには、ルールのドロップダウンを開いて **[Remove override]** (オーバーライドを削除) を選択します。

1. 変更が完了したら、**[Save Rule]** (ルールを保存) を選択します。ルールアクションおよびオーバーライドアクション設定は、ルールグループページに一覧表示されます。

------

次の JSON リストの例は、ルール `CategoryVerifiedSearchEngine` および `CategoryVerifiedSocialMedia` に対してルールアクションを Count にオーバーライドする保護パック (ウェブ ACL) 内のルールグループ宣言を示しています。JSON では、個々ルールごとに `RuleActionOverrides` エントリを指定することで、すべてのルールアクションをオーバーライドします。

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## ルールグループの評価結果を Count にオーバーライド
<a name="web-acl-rule-group-action-override"></a>

ルールグループ内のルールの設定または評価方法を変更せずに、ルールグループ評価の結果によって発生するアクションをオーバーライドできます。このオプションは一般的に使用されません。ルールグループ内のいずれかのルールが一致した場合、このオーバーライドはルールグループの結果として生じるアクションを Count に設定します。

**注記**  
これはまれなユースケースです。ほとんどのアクションオーバーライドは、[ルールグループ内のルールアクションのオーバーライド](#web-acl-rule-group-rule-action-override) で説明されているように、ルールグループ内のルールレベルで行われます。

ルールグループを追加または編集するとき、保護パック (ウェブ ACL) 内でルールグループの結果として生じるのアクションをオーバーライドできます。コンソールで、ルールグループの **[Override rule group action - optional]** (ルールグループアクションのオーバーライド - オプション) ペインを開いてオーバーライドを有効にします。次のリストの例に示すように、JSON セットで `OverrideAction` をルールグループステートメントに設定します。

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# AWS リソースとの保護の関連付けまたは関連付け解除
<a name="web-acl-associating-aws-resource"></a>

を使用して AWS WAF 、保護パック (ウェブ ACLs) とリソースの間に次の関連付けを作成できます。
+ リージョナル保護パック (ウェブ ACL) を以下のリージョナルリソースのいずれかに関連付けます。このオプションでは、保護パック (ウェブ ACL) はリソースと同じ地域にある必要があります。
  + Amazon API Gateway REST API
  + Application Load Balancer
  + AWS AppSync GraphQL API
  + Amazon Cognito ユーザープール
  + AWS App Runner サービス
  + AWS Verified Access インスタンス
  + AWS Amplify
+ グローバル保護パック (ウェブ ACL) を Amazon CloudFront ディストリビューションに関連付けます。グローバル保護パック (ウェブ ACL) には、米国東部 (バージニア北部) リージョンのハードコードリージョンを持ちます。

ディストリビューション自体を作成または更新するとき、保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けることもできます。詳細については、*Amazon CloudFront デベロッパーガイド*[AWS WAF 」の「 を使用してコンテンツへのアクセスを制御する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)」を参照してください。

**複数の関連付けに関する制限**  
以下の制限に従って、1 つの保護パック (ウェブ ACL) を 1 つ以上の AWS リソースに関連付けることができます。
+ 各 AWS リソースを関連付けることができる保護パック (ウェブ ACL) は 1 つだけです。保護パック (ウェブ ACL) と AWS リソースの関係は one-to-manyです。
+ 保護パック (ウェブ ACL) を 1 つ以上の CloudFront ディストリビューションに関連付けることができます。CloudFront ディストリビューションに関連付けられている保護パック (ウェブ ACL) を他の AWS リソースタイプに関連付けることはできません。

**追加の制限**  
保護パック (ウェブ ACL) の関連付けについて、次の追加制限が適用されます。
+ 保護パック (ウェブ ACL) は、 AWS リージョン内の Application Load Balancer にのみ関連付けることができます。例えば、保護パック (ウェブ ACL) を AWS Outpostsにある Application Load Balancer に関連付けることはできません。
+ Amazon Cognito ユーザープールを Fraud Control Account Creation AWS WAF Fraud Prevention (ACFP) マネージドルールグループ`AWSManagedRulesACFPRuleSet`または AWS WAF Fraud Control Account Takeover Prevention (ATP) マネージドルールグループ を使用する保護パック (ウェブ ACL) に関連付けることはできません`AWSManagedRulesATPRuleSet`。Account Creation Fraud Prevention については、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」を参照してください。アカウント乗っ取り防止の情報については、「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)](waf-atp.md)」を参照してください。

**本番稼働トラフィックのリスク**  
本番稼働トラフィックに保護パック (ウェブ ACL) をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

# AWS リソースへの保護の関連付け
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. 編集する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドパネルも開きます。

1. 保護パック (ウェブ ACL) カードで、**[リソース]** の横にある **[編集]** リンクを選択して、**[リソースの管理]** パネルを開きます。

1. ルールグループの **[リソースの管理]** セクションで、**[リージョナルリソースの追加]** または **[グローバルリソースの追加]** を選択します。

1. [リソース] 選択し、**[追加]** を選択します。

------
#### [ Using the standard console ]

ウェブ ACL を AWS リソースに関連付けるには、次の手順を実行します。

**ウェブ ACL を AWS リソースに関連付けるには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択します。

1. リソースに関連付けるウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示され、そこで編集できます。

1. **関連 AWS リソース**タブで、** AWS リソースの追加**を選択します。

1. プロンプトが表示されたら、リソースの種類を選択し、関連付けるリソースの横にあるラジオボタンを選択してから、**[Add]** (追加) を選択します。

------

# AWS リソースから保護の関連付けを解除する
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. 編集する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドパネルも開きます。

1. 保護パック (ウェブ ACL) カードで、**[リソース]** の横にある **[編集]** リンクを選択して、**[リソースの管理]** パネルを開きます。

1. ルールグループの **[リソースの管理]** セクションで、関連付けを解除するリソースを選択し、**[関連付けを解除]** を選択します。
**注記**  
一度に 1 つのリソースの関連付けを解除する必要があります。リソースを選択する際に複数選択しないでください。

1. 確認ページで「関連付け解除」と入力し、[**関連付け解除**] を選択します。

------
#### [ Using the standard console ]

ウェブ ACL と AWS リソースの関連付けを解除するには、次の手順を実行します。

**AWS リソースからウェブ ACL の関連付けを解除するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択します。

1. リソースとの関連付けを解除するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示され、そこで編集できます。

1. **関連 AWS リソース**タブで、このウェブ ACL の関連付けを解除するリソースを選択します。
**注記**  
一度に 1 つのリソースの関連付けを解除する必要があります。リソースを選択する際に複数選択しないでください。
**注記**  
Application Load Balancer をウェブ ACL に関連付けることを選択すると、**リソースレベルの DDoS 保護** が有効になります。詳細については、「[AWS WAF 分散サービス拒否 (DDoS) の防止](waf-anti-ddos.md)」を参照してください。

1. [**関連付け解除**] を選択してください。コンソールに確認ダイアログが表示されます。 AWS リソースからウェブ ACL の関連付けを解除する選択を確認します。

------

# のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF
<a name="web-acl-processing"></a>

このセクションでは、保護パック (ウェブ ACL) とウェブ ACL がルールとルールグループと連携する方法について説明します。

保護パック (ウェブ ACL) がウェブリクエストを処理する方法は、次に応じて異なります。
+ 保護パック (ウェブ ACL) およびルールグループ内のルールの優先順位の数値設定
+ ルールおよび保護パック (ウェブ ACL) のアクション設定
+ 追加したルールグループ内のルールに設定した上書き

ルールアクション設定のリストについては、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。

ルールアクション設定とデフォルトの保護パック (ウェブ ACL) アクション設定で、リクエストと応答の処理をカスタマイズできます。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

**Topics**
+ [ルールの優先度を設定する](web-acl-processing-order.md)
+ [がルールとルールグループのアクション AWS WAF を処理する方法](web-acl-rule-actions.md)
+ [でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)

# ルールの優先度を設定する
<a name="web-acl-processing-order"></a>

このセクションでは、 AWS WAF が数値優先度設定を使用してルールの評価順序を設定する方法について説明します。

保護パック (ウェブ ACL) および任意のルールグループ内では、優先順位の数値設定を使用してルールの評価順序を決定します。保護パック (ウェブ ACL) 内の各ルールには、その保護パック (ウェブ ACL) 内で一意の優先順位を設定する必要があります。また、ルールグループ内の各ルールには、そのルールグループ内で一意の優先順位を設定する必要があります。

**注記**  
コンソールを使用してルールグループ、保護パック (ウェブ ACLs) を管理すると、 はリスト内のルールの順序に基づいて一意の数値優先度設定 AWS WAF を割り当てます。 はリストの上部にあるルールに最小の数値優先度を割り当て、下部にあるルールに最大の数値優先度を AWS WAF 割り当てます。

は、ウェブリクエストに対してルールグループ、保護パック (ウェブ ACL) AWS WAF を評価すると、評価を終了するか、すべてのルールを使い果たす一致が見つかるまで、 の最小の数値優先度設定からルールを評価します。

例えば、保護パック (ウェブ ACL) に次のルールとルールグループがあり、次のように優先順位付けされているとします。
+ Rule1 — 優先度 0
+ RuleGroupA – 優先度 100
  + RuleA1 – 優先度 10,000
  + RuleA2 – 優先度 20,000
+ Rule2 — 優先度 200
+ RuleGroupB – 優先度 300
  + RuleB1 – 優先度 0
  + RuleB2 – 優先度 1

AWS WAF は、この保護パック (ウェブ ACL) のルールを次の順序で評価します。
+ Rule1
+ RuleGroupA RuleA1
+ RuleGroupA RuleA2
+ Rule2
+ RuleGroupB RuleB1
+ RuleGroupB RuleB2

# がルールとルールグループのアクション AWS WAF を処理する方法
<a name="web-acl-rule-actions"></a>

このセクションでは、 AWS WAF がルールとルールグループを使用してアクションを処理する方法について説明します。

ルールとルールグループを設定するときは、一致するウェブリクエスト AWS WAF の処理方法を選択します。
+ **Allow および Block は終了アクションです** – Allow および Block アクションは、一致するウェブリクエストにおける保護パック (ウェブ ACL) のその他の処理をすべて停止されます。保護パック (ウェブ ACL) のルールがリクエストの一致を検出し、ルールアクションが Allowまたは の場合Block、その一致によって保護パック (ウェブ ACL) のウェブリクエストの最終処理が決まります。 AWS WAF は、一致するルールの後にある保護パック (ウェブ ACL) 内の他のルールを処理しません。これに該当するのは、保護パック (ウェブ ACL) に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。
+ **Count は非終了アクションです** – Count アクションのあるルールがリクエストと一致すると、 AWS WAF はリクエストをカウントし、その後に保護パック (ウェブ ACL) ルールセットに従うルールの処理を続行します。
+ **CAPTCHA および は、非終了アクションまたは終了アクションChallengeにすることができます** – これらのアクションのいずれかを持つルールがリクエストに一致すると、 はそのトークンステータス AWS WAF をチェックします。リクエストに有効なトークンがある場合、 は一致と同様にCount一致 AWS WAF を処理し、保護パック (ウェブ ACL) ルールセットに続くルールの処理を続行します。リクエストに有効なトークンがない場合、 は評価 AWS WAF を終了し、解決する CAPTCHA パズルまたはサイレントバックグラウンドクライアントセッションチャレンジをクライアントに送信します。

ルール評価で終了アクションが発生しない場合、 は保護パック (ウェブ ACL) のデフォルトアクションをリクエスト AWS WAF に適用します。詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。

保護パック (ウェブ ACL) では、ルールグループ内のルールのアクション設定をオーバーライドしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。

**アクションと優先度設定の相互作用**  
ウェブリクエスト AWS WAF に適用されるアクションは、保護パック (ウェブ ACL) のルールの数値優先度設定の影響を受けます。例えば、保護パック (ウェブ ACL) に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。 AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。Allow は終了アクションであるため、 AWS WAF はこの一致で評価を停止し、カウントルールに対してリクエストを評価しません。
+ 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。
+ 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。

# でのルールグループアクションの上書き AWS WAF
<a name="web-acl-rule-group-override-options"></a>

このセクションでは、ルールグループアクションを上書きする方法について説明します。

ルールグループを保護パック (ウェブ ACL) に追加するとき、一致するウェブリクエストに対して実行されるアクションをオーバーライドできます。保護パック (ウェブ ACL) 設定内のルールグループのアクションをオーバーライドしても、ルールグループ自体は変更されません。保護パック (ウェブ ACL) のコンテキストで がルールグループ AWS WAF を使用する方法のみを変更します。

## ルールグループのルールアクションの上書き
<a name="web-acl-rule-group-override-options-rules"></a>

ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。

**注記**  
ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストの保護パック (ウェブ ACL) 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。

ルールアクションのオプションは以下のとおりです。
+ **Allow** – AWS WAF リクエストを保護された AWS リソースに転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。
+ **Block** – リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP `403 (Forbidden)`ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに返すレスポンスが決まります。
+ **Count** – リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは非終了アクションです。 AWS WAF は保護パック (ウェブ ACL) の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。
+ **CAPTCHA および Challenge** – CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用して、リクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用して最近成功したクライアントレスポンスを追跡します。

  CAPTCHA パズルとサイレントチャレンジは、ブラウザが HTTPS エンドポイントにアクセスしている場合にのみ実行できます。トークンを取得するには、ブラウザクライアントが安全なコンテキストで実行されている必要があります。
**注記**  
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

  これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。
  + **有効で有効期限が切れていないトークンの非終了** – トークンが有効で、設定された CAPTCHA またはチャレンジイミュニティ時間に従って有効期限が切れていない場合、 は Count action のようなリクエスト AWS WAF を処理します。 AWS WAF は引き続き、保護パック (ウェブ ACL) の残りのルールに基づいてウェブリクエストを検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。
  + 無効**または期限切れのトークンのブロックされたリクエストで終了** – トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、 は Block アクションと同様にウェブリクエストの検査 AWS WAF を終了し、リクエストをブロックします。 AWS WAF その後、 はカスタムレスポンスコードでクライアントに応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、 AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、 は、通常のブラウザをボットによって実行されているセッションと区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

  詳細については、「[CAPTCHA および Challengeの AWS WAF](waf-captcha-and-challenge.md)」を参照してください。

このオプションの使用方法については、「[ルールグループ内のルールアクションのオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)」を参照してください。

### ルールアクションを Count にオーバーライド
<a name="web-acl-rule-group-override-to-count"></a>

ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。

これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。

テストでルールアクションのオーバーライドを使用する詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

### JSON リスト: `RuleActionOverrides` を `ExcludedRules` に置き換えます
<a name="web-acl-rule-group-override-replaces-exclude"></a>

2022 年 10 月 27 日より前に保護パック (ウェブ ACL) 設定Countでルールグループのルールアクションを に設定した場合、 は保護パック (ウェブ ACL) JSON にオーバーライドを として AWS WAF 保存しました`ExcludedRules`。これで、ルールを Count にオーバーライドする JSON 設定が `RuleActionOverrides` 設定に追加されました。

JSON リストですべての `ExcludedRules` 設定は、アクションを Count に設定した `RuleActionOverrides` 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい `RuleActionOverrides` 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。

**注記**  
 AWS WAF コンソールでは、保護パック (ウェブ ACL) **のサンプルリクエスト**タブには、古い設定のルールのサンプルは表示されません。詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。

 AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON のすべての`RuleActionOverrides`設定を `ExcludedRules` 設定に自動的に変換し、オーバーライドアクションは に設定されますCount。
+ 現在の設定例: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ 古い設定例: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## ルールグループの戻り値アクションを Count に上書き
<a name="web-acl-rule-group-override-options-rule-group"></a>

ルールグループが返すアクションをオーバーライドして、Count に設定できます。

**注記**  
これは、 がルールグループ自体 AWS WAF を評価する方法を変更しないため、ルールグループのルールをテストするには適していません。ルールグループ評価から保護パック (ウェブ ACL) に返される結果 AWS WAF の処理方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション [ルールグループのルールアクションの上書き](#web-acl-rule-group-override-options-rules) を使用します。

ルールグループアクションを に上書きするとCount、 はルールグループ評価を正常に AWS WAF 処理します。

ルールグループ内のルールが一致しない、あるいはすべての一致するルールに Count アクションがある場合、このオーバーライドはルールグループまたは保護パック (ウェブ ACL) の処理に影響を与えません。

ウェブリクエストに一致し、終了ルールアクションを持つルールグループの最初のルールは、 AWS WAF がルールグループの評価を停止し、終了アクションの結果を保護パック (ウェブ ACL) 評価レベルに返します。この時点で、保護パック (ウェブ ACL) 評価では、このオーバーライドが有効になります。ルールグループ評価の結果がアクションのみになるように、このオーバーライドは終了Countアクションを AWS WAF 上書きします。 AWS WAF その後、 は保護パック (ウェブ ACL) の残りのルールの処理を続行します。

このオプションの使用方法については、「[ルールグループの評価結果を Count にオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-action-override)」を参照してください。

# で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF
<a name="web-acl-default-action"></a>

このセクションでは、保護パック (ウェブ ACL) のデフォルトアクションの仕組みについて説明します。

保護パック (ウェブ ACL) を作成および設定するときに、保護パック (ウェブ ACL) のデフォルトアクションを設定する必要があります。 AWS WAF は、終了アクションが適用されることなく、保護パック (ウェブ ACL) のルール評価をすべて通過したウェブリクエストすべてに、このアクションを適用します。終了アクションは、リクエストの保護パック (ウェブ ACL) 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。ルールアクションについては、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。

保護パック (ウェブ ACL) のデフォルトアクションがウェブリクエストの最終的な処理を決定する必要があります。したがって、これは終了アクションです。
+ **Allow** – ほとんどのユーザーに対してウェブサイトへのアクセスを許可する一方、指定した IP アドレスからのリクエストまたは悪意のある SQL コードや指定した値が含まれている可能性があるリクエストを行う攻撃者に対してアクセスを拒否する場合、デフォルトアクションとして Allow を選択します。その後、ブロックする特定のリクエストを識別してブロックするルールを、保護パック (ウェブ ACL) に追加します。このアクションを使用すると、保護されたリソースに転送する前に、カスタムヘッダーをリクエストに挿入できます。
+ **Block** – ほとんどのユーザーに対してはウェブサイトへのアクセスを拒否する一方、指定した IP アドレスからのリクエストまたは指定した値が含まれているリクエストを行うユーザーに対してアクセスを許可する場合、デフォルトアクションとして Block を選択します。その後、許可する特定のリクエストを識別して許可するルールを、保護パック (ウェブ ACL) に追加します。デフォルトでは、 Blockアクションでは、 AWS リソースは HTTP `403 (Forbidden)`ステータスコードで応答しますが、応答をカスタマイズできます。

リクエストとレスポンスをカスタマイズする方法については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

独自のルールとルールグループの設定は、ほとんどのウェブリクエストを許可するかブロックするかに応じて、一部が異なります。例えば、ほとんどのリクエストを *許可する* 場合、保護パック (ウェブ ACL) のデフォルトアクションを Allow に設定し、その後に *ブロックする* ウェブリクエストを識別するルールを追加します。これには次のようなリクエストが該当します。
+ リクエスト数が不当に多い IP アドレスからのリクエスト
+ お客様がビジネスを行っていない国、または頻繁に攻撃元になっている国からのリクエスト
+ `User-agent` ヘッダーに不正な値が含まれているリクエスト
+ 悪意のある SQL コードが含まれている可能性があるリクエスト

マネージドルールグループのルールは通常、Block アクションを使用しますが、すべての場合に限りません。例えば、Bot Control に使用される一部のルールでは、CAPTCHA および Challenge アクション設定を使用します。マネージドルールグループの詳細については、「[でのマネージドルールグループの使用 AWS WAF](waf-managed-rule-groups.md)」を参照してください。

# でのボディ検査の管理に関する考慮事項 AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

本文検査サイズ制限は、 が検査 AWS WAF できるリクエスト本文の最大サイズです。ウェブリクエスト本文が制限より大きい場合、基盤となるホストサービスは、制限内のコンテンツを検査 AWS WAF のために に転送します。
+ Application Load Balancer および の場合 AWS AppSync、制限は 8 KB (8,192 バイト) に固定されます。
+ CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access の場合、デフォルトの制限は 16 KB (16,384 バイト) であり、任意のリソースタイプの制限を 16 KB、最大 64 KB の増分で増やすことができます。設定オプションは 16 KB、32 KB、48 KB、および 64 KB です。

**重要**  
AWS WAF は、gRPC トラフィックのリクエスト本文検査ルールをサポートしていません。これらのルールを CloudFront ディストリビューションまたは Application Load Balancer の保護パック (ウェブ ACL) で有効にした場合、gRPC を使用するすべてのリクエストでは、リクエスト本文の検査ルールを無視します。他のすべての AWS WAF ルールは引き続き適用されます。詳細については、*Amazon CloudFront デベロッパーガイド*」の[「ディストリビューション AWS WAF の有効化](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html)」を参照してください。

**オーバーサイズ本文の処理**  
ウェブトラフィックに制限を超えるサイズのボディが含まれている場合は、設定されたオーバーサイズ処理が適用されます。オーバーサイズの処理のオプションの詳細については、[でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF](waf-oversize-request-components.md) を参照してください。

**制限設定を増やすための料金に関する考慮事項**  
AWS WAF は、リソースタイプのデフォルト制限内にあるトラフィックを検査するためのベースレートを請求します。

CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access リソースの場合、制限設定を増やすと、検査 AWS WAF できるトラフィックには、新しい制限までの本文サイズが含まれます。ボディサイズがデフォルトの 16 KB よりも大きいリクエストの検査に対してのみ、追加料金がかかります。料金の詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

**ボディ検査サイズの制限の変更オプション**  
CloudFront、API Gateway、Amazon Cognito、App Runner、または Verified Access リソースのボディ検査サイズ制限を設定できます。

保護パック (ウェブ ACL) を作成または編集するときは、リソースの関連付け設定でボディ検査サイズの制限を修正できます。API については、[AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html) の保護パック (ウェブ ACL) の関連付け設定を参照してください。コンソールについては、保護パック (ウェブ ACL) の関連リソースを指定するページにある設定を参照してください。コンソール設定に関するガイダンスについては、「[でのウェブトラフィックメトリクスの表示 AWS WAF](web-acl-working-with.md)」を参照してください。

# での CAPTCHA、チャレンジ、トークンの設定 AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

CAPTCHA または ルールChallengeアクションを使用するルールと、 AWS WAF マネージド保護のサイレントクライアントチャレンジを管理するアプリケーション統合 SDKs に対して、保護パック (ウェブ ACL) のオプションを設定できます。

これらの機能は、エンドユーザーに CAPTCHA パズルで挑戦させて、クライアントセッションにサイレントチャレンジを提供することにより、ボットの活動を軽減します。クライアントが応答に成功すると、 AWS WAF はクライアントがウェブリクエストで使用するトークンを提供します。このトークンは最後に成功したパズルおよびチャレンジレス応答のタイムスタンプが付いています。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。

保護パック (ウェブ ACL) 設定では、 がこれらのトークン AWS WAF を管理する方法を設定できます。
+ **CAPTCHA およびチャレンジイミュニティ時間** – CAPTCHA またはチャレンジのタイムスタンプの有効期間を指定します。保護パック (ウェブ ACL) 設定は、独自のイミュニティ時間設定が設定されていないすべてのルール、ならびにアプリケーション統合 SDK にも継承されます。詳細については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。
+ **トークンドメイン** – デフォルトでは、 は保護パック (ウェブ ACL) が関連付けられているリソースのドメインに対してのみトークン AWS WAF を受け入れます。トークンドメインリストを設定すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「[AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定](waf-tokens-domains.md#waf-tokens-domain-lists)」を参照してください。

# でのウェブトラフィックメトリクスの表示 AWS WAF
<a name="web-acl-working-with"></a>

このセクションでは、ウェブトラフィックメトリクスの概要にアクセスする方法について説明します。

使用している保護パック (ウェブ ACL) については、 AWS WAF コンソールの 保護パック (ウェブ ACL) のページのトラフィック概要タブにあるウェブ**トラフィック**メトリクスの概要にアクセスできます。コンソールダッシュボードには、アプリケーションウェブトラフィックを評価するときに が AWS WAF 収集する Amazon CloudWatch メトリクスの概要がほぼリアルタイムで表示されます。ダッシュボードのページの詳細については、「[保護パック (ウェブ ACL) のトラフィック概要ダッシュボード](web-acl-dashboards.md)」を参照してください。保護パック (ウェブ ACL) のトラフィックのモニタリングに関する追加情報については、「[AWS WAF 保護のモニタリングと調整](web-acl-testing-activities.md)」を参照してください。

# 保護パック (ウェブ ACL) の削除
<a name="web-acl-deleting"></a>

このセクションでは、 AWS コンソールから保護パック (ウェブ ACLs) を削除する手順について説明します。

**重要**  
保護パック (ウェブ ACL) の削除は永続的であり、元に戻すことはできません。

保護パック (ウェブ ACL) を削除するには、まず保護パック (ウェブ ACL) からすべての AWS リソースの関連付けを解除します。次の手順を実行します。

------
#### [ Using the new console ]

1. 新しい にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで、**[リソースと保護パック (ウェブ ACL)]** を選択します。

1. 保護パック (ウェブ ACL) カードで、**[リソース]** の横にある **[編集]** リンクを選択して、**[リソースの管理]** パネルを開きます。

1. ルールグループの **[リソースの管理]** セクションで、関連付けを解除するリソースを選択し、**[関連付けを解除]** を選択します。
**注記**  
一度に 1 つのリソースの関連付けを解除する必要があります。リソースを選択する際に複数選択しないでください。

1. 確認ページで「関連付け解除」と入力し、[**関連付け解除**] を選択します。保護パック (ウェブ ACL) 内の各リソースの関連付け解除を繰り返します。

1. 削除する保護パック (ウェブ ACL) を選択します。コンソールはメイン保護パック (ウェブ ACL) カードを編集可能にし、編集できる詳細を含むサイドパネルも開きます。

1. 詳細パネルで、ごみ箱アイコンを選択します。

1. 確認ページで「delete」と入力し、**[削除]** を選択します。

------
#### [ Using the standard console ]

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択します。

1. 削除するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示され、そこで編集できます。
**注記**  
削除するウェブ ACL が表示されない場合は、ウェブ ACL セクション内のリージョン選択が正しいことを確認してください。Amazon CloudFront ディストリビューションを保護するウェブ ACL は **[グローバル (CloudFront)]** にあります。

1. **関連付けられた AWS リソース**タブで、関連付けられたリソースごとに、リソース名の横にあるラジオボタンを選択し、**関連付け解除**を選択します。これにより、 AWS リソースから保護パック (ウェブ ACL) の関連付けが解除されます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択します。

1. 削除するウェブ ACL の横にあるラジオボタンを選択し、**[Delete]** (削除) を選択します。

------