Amazon CloudFront
開発者ガイド (API バージョン 2016-09-29)

AWS WAF を使用してコンテンツへのアクセスを管理する

AWS WAF は、CloudFront に転送される HTTP および HTTPS リクエストをモニタリング可能にし、コンテンツへのアクセスを制御可能にするウェブアプリケーションファイアウォールです。クエリ文字列からの実行またはクエリ文字列の値をリクエストする IP アドレスのような、指定した条件に基づいて、CloudFront はリクエストされたコンテンツまたは HTTP 403 ステータスコード (禁止) のリクエストのいずれかに対応します。CloudFront を設定して、リクエストがブロックされたときにカスタムエラーを返すこともできます。AWS WAF の詳細については、AWS WAF 開発者ガイドを参照してください。

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成した後で、作成のみ、またはウェブディストリビューションを作成または更新して、ディストリビューションをウェブ ACL に関連付けます。同じウェブ ACL または別のウェブ ACL に必要な数の CloudFront ディストリビューションに関連付けることができます。ウェブディストリビューションを作成し、ウェブ ACL に関連付ける方法の詳細については、「ディストリビューションの作成」を参照してください。

関連付けてから、またはウェブ ACL と既存のディストリビューションを関連付けるまたは関連付けを解除する、またはディストリビューションに関連付けられたウェブ ACL を変更するには、次の手順を実行します。

CloudFront コンソールを使用して AWS WAF ウェブ ACL と既存の CloudFront ディストリビューションの関連付けまたは関連付け解除を行うには

  1. AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/cloudfront/ にある、CloudFront コンソールを開きます。

  2. 更新するディストリビューションの ID を選択します。

  3. [General] タブで、[Edit] を選択します。

  4. [AWS WAF Web ACL (ウェブ ACL)] リストの [Distribution Settings (ディストリビューション設定)] ページで、このディストリビューションに関連付けるウェブ ACL を選択します。

    すべてのウェブ ACL からディストリビューションの関連付けを解除する場合は、[None (なし)] を選択します。ディストリビューションを別のウェブ ACL と関連付ける場合は、新しいウェブ ACL を選択します。

  5. [Yes, Edit (はい、編集します)] を選択します。

  6. AWS WAF ウェブ ACL との関連付けを追加、削除、または変更する場合は、他のディストリビューションでステップ 2 から 5 を繰り返してください。

  7. 設定を変更した後で、更新したディストリビューションの [Status (ステータス)] 列の値が [InProgress] に変わり、CloudFront が変更をエッジロケーションに伝播します。ディストリビューションの [Status (ステータス)] が [Deployed (デプロイ)] に変わったら、そのディストリビューションはリクエストの処理に AWS WAF を使用可能となります(ディストリビューションの [State (状態)] 列の値も、[Enabled (有効)] になっている必要があります)。 この値の更新は、ディストリビューションに対する変更を保存してから 15 分以内に完了します。

注記

AWS Firewall Manager は、アカウントやアプリケーション全体での AWS WAF ルールの一元的な設定と管理を容易にするセキュリティ管理サービスです。Firewall Manager ルールを使用して、AWS Organizations のアカウント間で CloudFront ディストリビューションに AWS WAF ルールを展開できます。詳細については、AWS Firewall Manager 開発者ガイドを参照してください。