その方法AWS WAFAmazon CloudFront の機能と連動する - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

その方法AWS WAFAmazon CloudFront の機能と連動する

ウェブ ACL を作成するときに、必要な 1 つ以上の CloudFront ディストリビューションを指定できます。AWS WAFを検査します。AWS WAFは、ウェブ ACL で指定した条件に基づいて、それらのディストリビューションに対するウェブリクエストを許可、ブロック、またはカウントし始めます。CloudFront には、いくつかの機能が用意されています。AWS WAF機能。この章では、CloudFront および CloudFront を作成するように CloudFront を設定できるいくつかの方法について説明します。AWS WAFより良い一緒に働く。

を使用するAWS WAFCloudFront カスタムエラーページでの

メトリックAWS WAFは、指定した条件に基づいてウェブリクエストをブロックすると、CloudFront に HTTP ステータスコード 403 (Forbidden) を返します。次に、CloudFront はそのステータスコードをビューワーに返します。ビューワーには、以下のような簡潔で特に書式設定されていないデフォルトメッセージが表示されます。

Forbidden: You don't have permission to access /myfilename.html on this server.

お客様のウェブサイトの他のページと同じ書式設定のカスタムエラーメッセージを表示することを希望する場合は、カスタムエラーメッセージを含むオブジェクト (HTML ファイルなど) がからビューワーに返すように CloudFront を設定できます。

注記

CloudFront は、オリジンによって返された HTTP ステータスコード 403 と、によって返された HTTP ステータスコード 403 とを区別できません。AWS WAFリクエストがブロックされたとき。つまり、HTTP ステータスコード 403 のさまざまな原因に基づいて、異なるカスタムエラーページを返すことはできません。

CloudFront カスタムエラーページの詳細については、エラーレスポンスのカスタマイズ()Amazon CloudFront 開発者ガイド

を使用するAWS WAFCloudFront の地域制限付き

Amazon CloudFront を使用できます。地域制限事項機能 (ジオブロッキングCloudFront ウェブディストリビューションを通じて配信しているコンテンツについて、特定地域のユーザーによるアクセスを回避できます。特定の国からのウェブリクエストをブロックし、その他の条件に基づいてもリクエストをブロックする場合は、と組み合わせて CloudFront の地域制限を使用できます。AWS WAF。CloudFront は、CloudFront の地域制限拒否リストにある国からコンテンツにアクセスしようとしているかどうか、によってリクエストがブロックされているかどうかにかかわらず、ビューワーに同じ HTTP ステータスコード HTTP 403 (Forbidden) を返します。AWS WAF。

注記

ウェブ ACL のウェブリクエストのサンプルで、リクエストの発生元の国の 2 文字の国コードを表示できます。詳細については、「ウェブリクエストのサンプルの表示」を参照してください。

CloudFront 地域制限の詳細については、コンテンツの地理的ディストリビューションの制限()Amazon CloudFront 開発者ガイド

を使用するAWS WAF独自の HTTP サーバーで実行されているアプリケーションに CloudFront と

あなたが使用するときAWS WAFと CloudFront を使用すると、任意の HTTP ウェブサーバーで実行されているアプリケーションを保護できます。これは、Amazon Elastic Compute Cloud (Amazon EC2) で実行されているウェブサーバーであるか、個人的に管理しているウェブサーバーかにかかわらず、任意の HTTP ウェブサーバーで実行されているアプリケーションを保護できます。また、CloudFront と独自の Web サーバー間、およびビューワーと CloudFront の間で HTTPS が必須になるように CloudFront を設定することもできます。

CloudFront と独自のウェブサーバー間で HTTPS を必須にする

CloudFront と独自のウェブサーバー間で HTTPS を必須にするには、CloudFront カスタムオリジン機能を使用し、オリジンプロトコルポリシーオリジンドメイン名設定を特定のオリジンに適用します。CloudFront の設定では、オリジンからオブジェクトをフェッチするとき CloudFront が使用するポートとプロトコルとともに、サーバーの DNS 名を指定できます。また、カスタムオリジンサーバー上の SSL/TLS 証明書が、設定したオリジンドメイン名と一致することを確認する必要もあります。AWS の外部にある独自の HTTP ウェブサーバーを使用している場合、信頼されたサードパーティー認証機関 (CA) (Comodo、DigiCert、Symantec など) によって署名された証明書を使用する必要があります。CloudFront と独自のウェブサーバー間の通信に HTTPS を要求する方法の詳細については、CloudFront と使用するカスタムオリジン間の通信で HTTPS を必須にする()Amazon CloudFront 開発者ガイド

ビューワーと CloudFront との間で HTTPS を必須にする

ビューワーと CloudFront の間で HTTPS を必須にするために、ビューワープロトコルポリシーCloudFront ディストリビューション内の 1 つ以上のキャッシュ動作に使用します。ビューワーと CloudFront の間で HTTPS を使用する方法については、」ビューワーと CloudFront との通信で HTTPS を必須にする()Amazon CloudFront 開発者ガイド。また、独自の SSL 証明書を持参して、ビューアが独自のドメイン名を使用して HTTPS 経由で CloudFront ディストリビューションに接続できるようにすることもできます。https://www.mysite.com。詳細については、のトピック「」を参照してください。代替ドメイン名と HTTPS の設定()Amazon CloudFront 開発者ガイド

CloudFront が応答する HTTP メソッドの選択

Amazon CloudFront のウェブディストリビューションを作成するときは、CloudFront によって処理されてオリジンに転送される HTTP メソッドを選択します。以下のオプションから選択できます。

  • GEET, HEAD— CloudFront を使用して、オリジンからのオブジェクトの取得またはオブジェクトヘッダーの取得のみを行うことができます。

  • 取得, 頭, オプション— CloudFront を使用して、オリジンからのオブジェクトの取得、オブジェクトヘッダーの取得、またはオリジンサーバーがサポートするオプションのリスト取得のみを行うことができます。

  • 取得, 頭, オプション, 置く, 投稿, パッチ, 削除— CloudFront を使用して、オブジェクトの取得、追加、更新、削除、およびオブジェクトヘッダーの取得を行うことができます。また、ウェブフォームからのデータの送信など、その他の POST 操作も実行できます。

また、AWS WAF バイト一致ルールステートメントを使用して、HTTP メソッドに基づいてリクエストを許可またはブロックすることもできます(「文字列一致ルールステートメント」を参照)。CloudFront がサポートするメソッドの組み合わせ(GETおよびHEADを設定する必要はありません。AWS WAF他のメソッドを使用するリクエストをブロックします。CloudFront でサポートされていないメソッドの組み合わせ(GET,HEAD, およびPOSTその後、すべてのメソッドに応答するように CloudFront を設定してから、AWS WAFを使用して、他のメソッドを使用するリクエストをブロックします。

CloudFront が応答するメソッドの選択の詳細については、「」を参照してください。許可される HTTP メソッドトピックのウェブディストリビューションを作成または更新する場合に指定する値()Amazon CloudFront 開発者ガイド