ウェブアクセスコントロールリスト (ウェブ ACL) - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブアクセスコントロールリスト (ウェブ ACL)

ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync、Amazon Cognito AWS App Runner、および AWS Verified Access リソースを保護できます。

次のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

  • リクエストの特定の部分のサイズ

  • 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間に指定された数のリクエストを超えるウェブリクエストをブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

AWS WAF ルールステートメントで一致条件と一致に対して実行するアクションを指定します。ルールステートメントは、ウェブ ACL 内、およびウェブ ACL で使用する再利用可能なルールグループで直接定義できます。オプションの詳細なリストについては、「ルールステートメントの基本」および「ルールアクション」を参照してください。

ウェブリクエストの検査および処理基準を指定するには、次のタスクを実行します。

  1. 指定したルールのいずれにも一致しないウェブリクエストのウェブ ACL デフォルトアクション (Allow または Block) を選択します。詳細については、「ウェブ ACL のデフォルトアクション」を参照してください。

  2. ウェブ ACL で使用するルールグループを追加します。マネージドルールグループには通常、ウェブリクエストをブロックするルールが含まれます。ルールグループについては、「ルールグループ」を参照してください。

  3. 1 つ以上のルールで、追加の一致基準と処理手順を指定します。複数のルールを追加するには、AND または OR ルールステートメントをまず使用し、結合するルールをそれらの下にネストします。ルールオプションを否定する場合は、NOT ステートメントでルールをネストします。必要に応じて、通常のルールの代わりにレートベースのルールを使用して、条件を満たす単一の IP アドレスからのリクエストの数を制限できます。ルールについては、「AWS WAF ルール」を参照してください。

ウェブ ACL に複数のルールを追加すると、 はウェブ ACL にリストされている順序でルール AWS WAF を評価します。詳細については、「ウェブ ACL ルールおよびルールグループの評価」を参照してください。

ウェブ ACL を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、「ウェブ ACL の作成」を参照してください。ウェブ ACL を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

AWS リソースが からのレスポンスの遅延を処理する方法 AWS WAF

場合によっては、リクエストを許可するかブロックするかについて、関連する AWS リソースへの応答を遅らせる内部エラーが発生する AWS WAF ことがあります。このような場合、 CloudFront は通常、リクエストを許可またはコンテンツを配信しますが、リージョナルサービスは通常、リクエストを拒否し、コンテンツを配信しません。