AWS WAF を使用してコンテンツへのアクセスの管理 - Amazon CloudFront

AWS WAF を使用してコンテンツへのアクセスの管理

AWS WAF はウェブアプリケーションのファイアウォールであり、CloudFront に転送される HTTP および HTTPS リクエストのモニタリングや、コンテンツへのアクセスのコントロールを可能にします。指定された条件 (クエリ文字列の値や、リクエストの送信元 IP アドレスなど) に基づき、CloudFront はリクエストされたコンテンツまたは HTTP ステータスコード 403 (Forbidden) でリクエストに対応します。リクエストがブロックされたときにカスタムエラーを返すように CloudFront を設定することもできます。AWS WAF の詳細については、AWS WAF 開発者ガイドを参照してください。

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成した後で、ウェブディストリビューションを作成または更新して、ディストリビューションをウェブ ACL に関連付けます。同じウェブ ACL または別々のウェブ ACL に、必要な数の CloudFront ディストリビューションを関連付けることができます。ディストリビューションを作成し、ウェブ ACL に関連付ける方法の詳細については、「ディストリビューションの作成」を参照してください。

関連付けてから、またはウェブ ACL と既存のディストリビューションを関連付けるまたは関連付けを解除する、またはディストリビューションに関連付けられたウェブ ACL を変更するには、次の手順を実行します。

CloudFront コンソールを使用して AWS WAF ウェブ ACL と既存の CloudFront ディストリビューションの関連付けまたは関連付け解除を行う

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/cloudfront/v3/home で CloudFront コンソールを開きます。

  2. 更新するディストリビューションの ID を選択します。

  3. [General] タブで、[Edit] を選択します。

  4. [ Web ACL] リストの [AWS WAFDistribution Settings (ディストリビューションの設定)] ページで、このディストリビューションに関連付けるウェブ ACL を選択します。

    すべてのウェブ ACL からディストリビューションの関連付けを解除する場合は、[None (なし)] を選択します。ディストリビューションを別のウェブ ACL と関連付ける場合は、新しいウェブ ACL を選択します。

  5. [Yes, Edit (はい、編集します)] を選択します。

  6. AWS WAF ウェブ ACL との関連付けを追加、削除、または変更する場合は、他のディストリビューションでステップ 2 から 5 を繰り返してください。

  7. 設定を変更すると、更新したディストリビューションの [ステータス] 列の値が [InProgress] に変わり、変更が CloudFront によってエッジロケーションに伝播されます。ディストリビューションの [Status (ステータス)] が [Deployed (デプロイ)] に変わったら、そのディストリビューションはリクエストの処理に AWS WAF を使用可能となります (ディストリビューションの [State (状態)] 列の値も、[Enabled (有効)] になっている必要があります)。この値の更新は、ディストリビューションに対する変更を保存してから 15 分以内に完了します。

注記

AWS Firewall Manager は、アカウントやアプリケーション全体での AWS WAF ルールの一元的な設定と管理を容易にするセキュリティ管理サービスです。Firewall Manager を使用すると、AWS Organizations でアカウント全体の CloudFront ディストリビューションに AWS WAF ルールをロールアウトできます。詳細については、「AWS Firewall Manager デベロッパーガイド」を参照してください。