ウェブ ACL の作成 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブ ACL の作成

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 AWS WAF 月より前にルールやウェブ ACL AWS WAF などのリソースを作成していて、まだ最新バージョンに移行していない場合にのみ、このバージョンを使用してください。リソースを移行するには、「AWS WAF クラシックリソースをに移行する AWS WAF」を参照してください。

の最新バージョンについては AWS WAF、を参照してください。 AWS WAF

ウェブ ACL を作成するには

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ AWS WAF のコンソールを開きます。

    ナビゲーションペインに [ AWS WAF クラシックに切り替え] が表示されている場合は、それを選択します。

  2. クラシックを初めて使用する場合は、[ AWS WAF AWS WAF クラシックに移動] を選択し、[Web ACL の設定] を選択します。 AWS WAF Classic を以前に使用したことがある場合は、ナビゲーションペインで [Web ACL] を選択し、[ウェブ ACL の作成] を選択します。

  3. [Web ACL name] (ウェブ ACL の名前) に名前を入力します。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  4. [CloudWatch メトリック名] では、必要に応じてデフォルト名を変更します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。空白や「All」や「Default_Action」など、 AWS WAF クラシック専用の指標名は使用できません。

    注記

    ウェブ ACL の作成後は、名前を変更することはできません。

  5. [Region] (リージョン) で、リージョンを選択します。

  6. [AWS resource ( リソース)] で、ウェブ ACL に関連付けるリソースを選択し、[Next (次へ)] を選択します。

  7. AWS WAF Classic でウェブリクエストの検査に使用させたい条件をすでに作成している場合は、[次へ] を選択し、次のステップに進みます

    条件をまだ作成していない場合は、ここで作成します。詳細については、次のトピックを参照してください。

  8. このウェブ ACL に追加するルールまたはルールグループをすでに作成している ( AWS Marketplace またはルールグループに登録している) 場合は、ウェブ ACL にルールを追加します。

    1. [Rules] (ルール) リストで、ルールを選択します。

    2. [Add rule to web ACL] (ウェブ ACL にルールを追加) を選択します。

    3. このウェブ ACL に関連付けるすべてのルールを追加するまでステップ a とステップ b を繰り返します。

    4. ステップ 10 に進んでください。

  9. ルールをまだ作成していない場合は、ここでルールを追加できます。

    1. [Create rule] (ルールの作成) を選択します。

    2. 次の値を入力します。

      [Name] (名前)

      名前を入力します。

      CloudWatch メトリックス名

      AWS WAF Classic CloudWatch が作成してルールに関連付ける指標の名前を入力します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。空白や、「All」および「Default_Action」など AWS WAF Classic 用に予約されたメトリクス名は使用できません。

      注記

      ルールの作成後はメトリクス名を変更できません。

    3. ルールに条件を追加するには、次の値を指定します。

      [When a request does/does not] (リクエストが次の条件内/条件外)

      IP アドレス 192.0.2.0/24 の範囲から発信されるウェブリクエストなど、条件内のフィルターに基づいてリクエストを許可または拒否するようにするには、[Does] を選択します AWS WAF 。

      AWS WAF Classic で条件内のフィルターの逆に基づいてリクエストを許可または拒否したい場合は、「しない」を選択します。たとえば、IP 一致条件に 192.0.2.0/24 の IP アドレス範囲が含まれ、その IP アドレスから送信されないリクエストを AWS WAF Classic で許可または拒否したい場合は、「しない」を選択します。

      [match/originate from] (一致/次から生じている)

      ルールに追加する条件のタイプを選択します。

      • クロスサイトスクリプティング一致条件 - [match at least one of the filters in the cross-site scripting match condition] (クロスサイトスクリプティング一致条件の少なくとも 1 つのフィルターに一致する) を選択します。

      • IP 一致条件 - [originate from an IP address in] (IP アドレスより送信) を選択します

      • Geo 一致条件 - [originate from a geographic location in] (地理的場所より送信) を選択します

      • サイズ制約条件 - [match at least one of the filters in the size constraint condition] (サイズ制約条件の少なくとも 1 つのフィルターに一致する) を選択します

      • SQL インジェクション一致条件 - [match at least one of the filters in the SQL injection match condition] (SQL インジェクション一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      • 文字列一致条件 - [match at least one of the filters in the string match condition] (文字列一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      • 正規表現一致条件 - [match at least one of the filters in the regex match condition] (正規表現一致条件の少なくとも 1 つのフィルターに一致する) を選択します

      [condition name] (条件名)

      ルールに追加する条件を選択します。リストには、前のリストで選択したタイプの条件のみが表示されます。

    4. ルールに別の条件を追加するには、[Add another condition] (別の条件を追加) を選択し、ステップ b とステップ c を繰り返します。次の点に注意してください。

      • 複数の条件を追加した場合、 AWS WAF Classic がそのルールに基づいてリクエストを許可または拒否するには、ウェブリクエストがすべての条件の少なくとも 1 つのフィルターに一致する必要があります。

      • 同じルールに 2 つの IP 一致条件を追加した場合、 AWS WAF Classic は両方の IP 一致条件に含まれる IP アドレスから発信されたリクエストのみを許可または拒否します。

    5. ステップ 9 を繰り返して、このウェブ ACL に追加するすべてのルールを作成します。

    6. [Create] (作成) を選択します。

    7. ステップ 10 に進みます。

  10. ウェブ ACL のルールまたはルールグループごとに、 AWS WAF Classic に提供する管理の種類を次のように選択します。

    • ルールごとに、 AWS WAF Classic でルールの条件に基づいてウェブリクエストを許可、ブロック、カウントするかどうかを選択します。

      • 許可 — API Gateway CloudFront またはApplication Load Balancer がリクエストされたオブジェクトで応答します。の場合 CloudFront、オブジェクトがエッジキャッシュにない場合は、 CloudFront リクエストをオリジンに転送します。

      • ブロック — API Gateway CloudFront またはApplication Load Balancer が HTTP 403 (禁止) ステータスコードでリクエストに応答します。CloudFront カスタムエラーページで応答することもできます。詳細については、「AWS WAF Classic CloudFront とカスタムエラーページとの併用」を参照してください。

      • カウント — AWS WAF Classic は、ルール内の条件に一致するリクエストのカウンタを増やし、ウェブ ACL の残りのルールに基づいてウェブリクエストを検査し続けます。

        ウェブ ACL を使用してウェブリクエストを許可またはブロックする前に、[Count] (カウント) でウェブ ACL をテストする方法については、「ウェブ ACL のルールに一致するウェブリクエストのカウント」を参照してください。

    • ルールグループごとに、ルールグループの上書きアクションを設定します。

      • [No override] (上書きなし) - ルールグループ内の個々のルールのアクションが使用されます。

      • [Override to count] (カウントに上書き) - グループ内の個々のルールによって指定されたブロックアクションを上書きし、一致するリクエストのみがすべてカウントされるようにします。

      詳細については、「ルールグループの上書き」を参照してください。

  11. ウェブ ACL 内のルールの順序を変更する場合は、「順序」列の矢印を使用してください。 AWS WAF Classic は、ウェブ ACL にルールが表示される順序に基づいてウェブリクエストを検査します。

  12. ウェブ ACL に追加したルールを削除する場合は、ルールの行にある [x] を選択します。

  13. ウェブ ACL のデフォルトアクションを選択します。これは、ウェブリクエストがこのウェブ ACL のどのルールにも一致しない場合に AWS WAF Classic が実行するアクションです。詳細については、「ウェブ ACL のデフォルトアクションの決定」を参照してください。

  14. [Review and create] (確認および作成) を選択します。

  15. ウェブ ACL の設定を確認し、[Confirm and create] (確認して作成) を選択します。