AWS WAF を使用して API Gateway の REST API を保護する
AWS WAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれます) を設定することができます。詳細については、「AWS WAF の仕組み」を参照してください。
AWS WAF を使用して、SQL インジェクションやクロスサイトスクリプティング (XSS) 攻撃などの一般的なウェブの脆弱性から API Gateway REST API を保護できます。これらは、API の可用性とパフォーマンスに影響を与え、セキュリティを侵害したり、過剰なリソースを消費したりする可能性があります。例えば、指定した IP アドレス範囲からのリクエスト、CIDR ブロックからのリクエスト、特定の国またはリージョンからのリクエスト、悪意のある SQL コードを含むリクエスト、悪意のあるスクリプトを含むリクエストを許可またはブロックするルールを作成できます。
また、HTTP ヘッダー、メソッド、クエリ文字列、URI、リクエスト本文内の指定文字列や正規表現パターン (最初の 64 KB までに制限) と一致するルールを作成することもできます。さらに、特定のユーザーエージェント、悪質なボット、またはコンテンツスクレーパーからの攻撃をブロックするルールを作成できます。たとえば、レートベースのルールを使用して、継続的に更新される後続の 5 分間で、各クライアント IP によって許可されるウェブリクエストの数を指定できます。
重要
AWS WAF は、ウェブの脆弱性に対する防御の最前線です。API で AWS WAF が有効になっている場合は、リソースポリシー、IAM ポリシー、Lambda オーソライザー、および Amazon Cognito オーソライザーなど他のアクセスコントロール機能の前に AWS WAF ルールが評価されます。たとえば、AWS WAF がリソースポリシーで許可されている CIDR ブロックからのアクセスをブロックした場合、AWS WAF が優先され、リソースポリシーは評価されません。
API に対して AWS WAF を有効にするには、次の操作を行う必要があります。
-
AWS WAF コンソール、AWS SDK、または CLI を使用して、AWS WAF マネージドルールと独自のカスタムルールを自由に組み合わせたウェブ ACL を作成します。詳細については、「AWS WAF の開始方法」と「ウェブアクセスコントロールリスト (ウェブ ACL)」を参照してください。
重要
API Gateway には、リージョナルアプリケーション用の AWS WAFV2 ウェブ ACL または AWS WAF Classic Regional ウェブ ACL が必要です。
-
AWS WAF ウェブ ACL を API ステージに関連付けます。これを行うには、AWS WAF コンソール、AWS SDK、CLI、または API Gateway コンソールを使用できます。
API Gateway コンソールを使用して AWS WAF ウェブ ACL を API Gateway API ステージに関連付けるには
API Gateway コンソールを使用して AWS WAF ウェブ ACL を既存の API Gateway API ステージに関連付けるには、次の手順を使用します。
https://console.aws.amazon.com/apigateway
で API Gateway コンソールにサインインします。 -
既存の API を選択するか、新しい API を作成します。
-
メインナビゲーションペインで、[ステージ] を選択してから、ステージを選択します。
-
[ステージの詳細] セクションで、[編集] を選択します。
-
[ウェブアプリケーションファイアウォール (AWS WAF)] で、ウェブ ACL を選択します。
AWS WAFV2 を使用している場合は、リージョナルアプリケーション用の AWS WAFV2 ウェブ ACL を選択します。使用するウェブ ACL やその他の AWS WAFV2 リソースは、API と同じリージョンに存在している必要があります。
AWS WAF Classic Regional を使用している場合は、リージョナルウェブ ACL を選択します。
-
[Save changes] (変更の保存) をクリックします。
AWS CLI を使用して AWS WAF ウェブ ACL を API Gateway API ステージに関連付ける
AWS CLI を使用してリージョナルアプリケーション用の AWS WAFV2 ウェブ ACL を既存の API Gateway API ステージに関連付けるには、次の例に示すように、associate-web-acl コマンドを呼び出します。
aws wafv2 associate-web-acl \ --web-acl-arn arn:aws:wafv2:
{region}
:111122223333
:regional/webacl/test-cli/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \ --resource-arn arn:aws:apigateway:{region}
::/restapis/4wk1k4onj3/stages/prod
AWS CLI を使用して AWS WAF Classic Regional ウェブ ACL を既存の API Gateway API ステージに関連付けるには、次の例に示すように associate-web-acl コマンドを呼び出します。
aws waf-regional associate-web-acl \ --web-acl-id 'aabc123a-fb4f-4fc6-becb-2b00831cadcf' \ --resource-arn 'arn:aws:apigateway:
{region}
::/restapis/4wk1k4onj3/stages/prod'
AWS WAF REST API を使用して AWS WAF ウェブ ACL を API ステージに関連付ける
AWS WAFV2 REST API を使用してリージョナルアプリケーション用の AWS WAFV2 ウェブ ACL を既存の API Gateway API ステージに関連付けるには、次の例に示すように、AssociateWebACL コマンドを呼び出します。
import boto3 wafv2 = boto3.client('wafv2') wafv2.associate_web_acl( WebACLArn='arn:aws:wafv2:
{region}
:111122223333
:regional/webacl/test/abc6aa3b-fc33-4841-b3db-0ef3d3825b25', ResourceArn='arn:aws:apigateway:{region}
::/restapis/4wk1k4onj3/stages/prod' )
AWS WAF REST API を使用して AWS WAF Classic Regional ウェブ ACL を既存の API Gateway API ステージに関連付けるには、次の例に示すように、AssociateWebACL コマンドを呼び出します。
import boto3 waf = boto3.client('waf-regional') waf.associate_web_acl( WebACLId='aabc123a-fb4f-4fc6-becb-2b00831cadcf', ResourceArn='arn:aws:apigateway:
{region}
::/restapis/4wk1k4onj3/stages/prod' )