AWS WAF の仕組み - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS WAF の仕組み

AWS WAF を使用して、Amazon CloudFront ディストリビューション、Amazon API Gateway REST API、Application Load Balancer、AWS AppSync GraphQL API のいずれか がウェブリクエストにどのように応答するかを制御します。

  • ウェブ ACLs – 一連のAWSリソースを保護するために、Webアクセス制御リスト(ACL)を使用します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールにより、ウェブリクエストを検査するための基準が定義され、条件に一致するリクエストの処理方法が指定されます。ルール検査に合格するそれらのリクエストによってブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションを設定します。

  • ルール – 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。ルールを使用して、一致リクエストをブロックしたり、一致リクエストを許可したりすることができます。また、ルールを使用して、一致するリクエストをカウントすることもできます。

  • ルールグループ – ルールは個別に使用することも、再利用可能なルールグループで使用することもできます。AWS Managed Rules および AWS Marketplace の販売者から提供されるマネージドルールグループを使用できます。また、独自のルールグループを定義することもできます。

ウェブ ACL を作成した後、1 つ以上の AWS リソースに関連付けることができます。を使用して保護できるリソース タイプ AWS WAF ウェブ ACLs は Amazon CloudFront ディストリビューション、an Amazon API Gateway REST API, an Application Load Balancer, and an AWS AppSync GraphQL API.

AWS WAF は、 AWS サービスエンドポイント.

  • 対象 Amazon API Gateway REST API、Application Load Balancer、AWS AppSync GraphQL API のいずれかリスト内の任意の [Regions] (地域) を使用できます。

  • CloudFront ディストリビューションの場合、AWS WAF はグローバルに使用できますが、すべての作業にリージョン 米国東部(バージニア北部) を使用する必要があります。リージョン 米国東部(バージニア北部) を使用してウェブ ACL を作成する必要があります。また、このリージョンを使用して、ルールグループ、IP セット、正規表現パターンセットなど、ウェブ ACL で使用する他のリソースを作成する必要があります。

    一部のインターフェイスでは、「グローバル(CloudFront)」の地域を選択できます。これを選択することは、地域を選択するのと同じです 米国東部(バージニア北部) または「us-east-1」という語を含む。

AWS WAF ウェブ ACL キャパシティーユニット (WCU)

AWS WAF Web ACL キャパシティ ユニット (WCU) を使用して、ルール、ルール グループ、および Web の実行に必要なオペレーティング リソースを計算および制御します。 ACLs. AWS WAF ルールグループと Web を構成するときに WCU 制限を適用します。 ACLs. WCUs どのように影響しないか AWS WAF ウェブ・トラフィックを検査します。

AWS WAF は、各ルールの相対コストを反映するために、各ルール タイプに対して異なるキャパシティを計算します。少ない使用量で実行できるシンプルなルール WCUs より多くの処理能力を使用する複雑なルールよりも優れています。たとえば、サイズ制約ルールステートメントでは、 WCUs 正規表現パターンセットに対して検査する文よりも優れています。

AWS WAF ルール、ルールグループ、Web の容量を管理します。 ACLs:

  • ルールキャパシティー – AWS WAF は、ルールの作成または更新時にルールキャパシティーを計算します。ルールキャパシティー要件に関する基本的なガイドラインについては、AWS WAF ルールステートメント の各種ルールステートメントのリストを参照してください。また、ウェブ ACL またはルールグループを作成し、個別のルールを追加することで、AWS WAF コンソールでさまざまなルールタイプに必要なキャパシティを把握することもできます。ルールを追加するときに使用されたキャパシティーユニットがコンソールに表示されます。

  • ルールグループキャパシティー – AWS WAF では、作成時に各ルールグループに変更不可能なキャパシティーが割り当てられている必要があります。これは、AWS WAF を使用して作成したマネージド規則グループおよびルールグループに当てはまります。ルールグループを変更する場合、それらの変更に伴うルールグループの WCU を容量内に収める必要があります。これにより、ウェブが ACLs ルールグループを使用しているユーザーは、最大容量内に留まります。

  • ウェブ ACL キャパシティー – ウェブ ACL の最大キャパシティーは 1,500 です。これはほとんどのユースケースに十分です。キャパシティーを増やす必要がある場合は、AWS Support Center にお問い合わせください。

AWS WAF の料金

付 AWS WAF様、お支払いは、 ACLs 作成するルールグループ、および AWS WAF 検査する。詳細については、「AWS WAF 料金表」を参照してください。