AWS WAF を使用してコンテンツへのアクセスを管理する - Amazon CloudFront

AWS WAF を使用してコンテンツへのアクセスを管理する

AWS WAF はウェブアプリケーションのファイアウォールであり、CloudFront に転送される HTTP および HTTPS リクエストのモニタリングや、コンテンツへのアクセスのコントロールを可能にします。指定された条件 (クエリ文字列の値や、リクエストの送信元 IP アドレスなど) に基づき、CloudFront はリクエストされたコンテンツまたは HTTP ステータスコード 403 (Forbidden) でリクエストに対応します。リクエストがブロックされたときにカスタムエラーを返すように CloudFront を設定することもできます。AWS WAF の詳細については、AWS WAF 開発者ガイドを参照してください。

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成した後で、ウェブディストリビューションを作成または更新して、ディストリビューションをウェブ ACL に関連付けます。同じウェブ ACL または別々のウェブ ACL に、必要な数の CloudFront ディストリビューションを関連付けることができます。ディストリビューションを作成し、ウェブ ACL に関連付ける方法の詳細については、「ディストリビューションの作成」を参照してください。

関連付けてから、またはウェブ ACL と既存のディストリビューションを関連付けるまたは関連付けを解除する、またはディストリビューションに関連付けられたウェブ ACL を変更するには、次の手順を実行します。

CloudFront コンソールを使用して AWS WAF ウェブ ACL と既存の CloudFront ディストリビューションの関連付けまたは関連付け解除を行うには

  1. AWS マネジメントコンソールにサインインし、CloudFront コンソール (https://console.aws.amazon.com/cloudfront/) を開きます。

  2. 更新するディストリビューションの ID を選択します。

  3. [General] タブで、[Edit] を選択します。

  4. [ディストリビューション設定] ページの [AWS WAF ウェブ ACL] リストで、このディストリビューションに関連付けるウェブ ACL を選択します。

    すべてのウェブ ACL からディストリビューションの関連付けを解除する場合は、[None (なし)] を選択します。ディストリビューションを別のウェブ ACL と関連付ける場合は、新しいウェブ ACL を選択します。

  5. [Yes, Edit (はい、編集します)] を選択します。

  6. AWS WAF ウェブ ACL との関連付けを追加、削除、または変更する場合は、他のディストリビューションでステップ 2 から 5 を繰り返してください。

  7. 設定を変更すると、更新したディストリビューションの [ステータス] 列の値が [InProgress] に変わり、変更が CloudFront によってエッジロケーションに伝播されます。ディストリビューションの [ステータス] が [デプロイ済み] に変わったら、そのディストリビューションではリクエストの処理に AWS WAF を使用できる状態になります。(ディストリビューションの [State (状態)] 列の値も、[Enabled (有効)] になっている必要があります)。 この値の更新は、ディストリビューションに対する変更を保存してから 15 分以内に完了します。

注記

AWS Firewall Manager は、複数のアカウントとアプリケーションにわたって一元的に AWS WAF ルールを容易に設定、管理できるセキュリティ管理サービスです。Firewall Manager を使用すると、AWS Organizations の多数のアカウントにわたり、CloudFront ディストリビューションに対する AWS WAF ルールをロールアウトできます。詳細については、AWS Firewall Manager 開発者ガイドを参照してください。