Amazon AWS WAF CloudFront の機能との連携方法

ウェブ ACL を作成するときに、 CloudFront AWS WAF 検査するディストリビューションを 1 つ以上指定できます。 AWS WAF ウェブ ACL で指定した条件に基づいて、それらのディストリビューションのウェブリクエストの検査と管理を開始します。 CloudFront には、 AWS WAF 機能を強化する機能がいくつか用意されています。この章では、CloudFront CloudFront AWS WAF より効率的に連携して機能するように設定できるいくつかの方法について説明します。

AWS WAF CloudFront カスタムエラーページとの併用

デフォルトでは、 AWS WAF 指定した条件に基づいてウェブリクエストをブロックすると、HTTP 403 (Forbidden) ステータスコードがに返され CloudFront、 CloudFront そのステータスコードがビューアに返されます。ビューワーには、次のような簡潔で特に書式設定されていないデフォルトメッセージが表示されます。

Forbidden: You don't have permission to access /myfilename.html on this server.

AWS WAF ウェブ ACL ルール内のこの動作は、カスタムレスポンスを定義することで無効にできます。 AWS WAF ルールを使用してレスポンス動作をカスタマイズする方法の詳細については、を参照してくださいBlock アクションのカスタムレスポンス。

注記

AWS WAF ルールを使用してカスタマイズしたレスポンスは、 CloudFront カスタムエラーページで定義したレスポンス仕様よりも優先されます。

Web サイトの他の部分と同じ形式を使用してカスタムエラーメッセージを表示したい場合は、カスタムエラーメッセージを含むオブジェクト (HTML ファイルなど) CloudFront をビューアに返すように設定できます。 CloudFront

注記

CloudFront オリジンから返される HTTP ステータスコード 403 と、 AWS WAF リクエストがブロックされたときに返される HTTP ステータスコード 403 を区別できません。つまり、HTTP ステータスコード 403 のさまざまな原因に基づいて、異なるカスタムエラーページを返すことはできません。

CloudFront カスタムエラーページの詳細については、Amazon CloudFront 開発者ガイドの「カスタムエラーレスポンスの生成」を参照してください。

CloudFront独自の HTTP サーバー上で動作するアプリケーションに AWS WAF with を使用する

AWS WAF とを使用すると CloudFront、Amazon Elastic Compute Cloud (Amazon EC2) で実行されているウェブサーバーでも、プライベートに管理されているウェブサーバーでも、任意の HTTP ウェブサーバーで実行されているアプリケーションを保護できます。また、 CloudFrontと自分のウェブサーバー間、およびビューワーとの間で HTTPS CloudFront を要求するように設定することもできます。 CloudFront

CloudFront と自分のウェブサーバーとの間で HTTPS を要求する

CloudFront 独自のウェブサーバーとの間で HTTPS を要求するには、 CloudFront カスタムオリジン機能を使用して、特定のオリジンのオリジンプロトコルポリシーとオリジンドメイン名の設定を構成できます。 CloudFront 構成では、 CloudFront オリジンからオブジェクトを取得するときに使用するポートとプロトコルとともに、サーバーの DNS 名を指定できます。また、カスタムオリジンサーバー上の SSL/TLS 証明書が、設定したオリジンドメイン名と一致することを確認する必要もあります。外部で独自の HTTP Web サーバーを使用する場合は AWS、Comodo、 DigiCertまたは Symantec などの信頼できるサードパーティの認証機関 (CA) によって署名された証明書を使用する必要があります。 CloudFrontと独自のウェブサーバー間の通信に HTTPS を要求する方法の詳細については、Amazon CloudFront 開発者ガイドの「 CloudFront とカスタムオリジン間の通信に HTTPS を要求する」を参照してください。

ビューアーと間の HTTPS の要求 CloudFront

ビューアとの間で HTTPS を要求するには CloudFront、 CloudFrontディストリビューション内の 1 つ以上のキャッシュ動作の Viewer プロトコルポリシーを変更できます。 CloudFront視聴者間でのHTTPSの使用の詳細については CloudFront、 CloudFront Amazon開発者ガイドのトピック「視聴者間の通信にHTTPSを要求する」を参照してください。視聴者が独自のドメイン名 (例:https://www.mysite.com) を使用して HTTPS CloudFront 経由でディストリビューションに接続できるように、独自の SSL 証明書を持ち込むこともできます。詳細については、Amazon CloudFront 開発者ガイドのトピック「代替ドメイン名と HTTPS の設定」を参照してください。

CloudFrontに応答する HTTP メソッドの選択

Amazon CloudFront ウェブディストリビューションを作成するときは、 CloudFront 処理してオリジンに転送する HTTP メソッドを選択します。次のオプションから選択できます。

• GET, HEAD — オリジンからのオブジェクトの取得、 CloudFront またはオブジェクトヘッダーの取得にのみ使用できます。

• GET,HEAD, OPTIONS — オリジンからのオブジェクトの取得、オブジェクトヘッダーの取得、 CloudFront またはオリジンサーバーがサポートするオプションのリストの取得にのみ使用できます。

• GET、HEADOPTIONS、PUT、POSTPATCH、DELETE — オブジェクトの取得、追加、更新、削除、およびオブジェクトヘッダーの取得に使用できます CloudFront 。また、ウェブフォームからのデータの送信など、その他の POST オペレーションも実行できます。

で説明されているように、 AWS WAF バイトマッチルールステートメントを使用して HTTP メソッドに基づいてリクエストを許可または拒否することもできます文字列一致ルールステートメント。 CloudFront GETやなどをサポートするメソッドを組み合わせて使用する場合はHEAD、 AWS WAF 他のメソッドを使用するリクエストをブロックするように設定する必要はありません。、、など、 CloudFront サポートされていないメソッドの組み合わせを許可したい場合はGETHEAD、 CloudFront すべてのメソッドに応答するように設定し、 AWS WAF を使用して他のメソッドを使用するリクエストをブロックできます。POST

CloudFront 応答するメソッドの選択の詳細については、Amazon CloudFront 開発者ガイドの「ウェブディストリビューションを作成または更新するときに指定する値」の「許可される HTTP メソッド」を参照してください。