AWS WAF の仕組み - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF の仕組み

あなたが使用するAWS WAFAmazon CloudFront ディストリビューション、Amazon API Gateway REST API、Application Load Balancer、またはAWS AppSyncGraphQL APIは、HTTP(S)Webリクエストに応答します。

  • ウェブ ACL— ウェブアクセスコントロールリスト (ACL) を使用して、一連のAWSリソースの使用料金を見積もることができます。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールにより、ウェブリクエストを検査するための基準が定義され、条件に一致するリクエストの処理方法が指定されます。ルール検査に合格するそれらのリクエストによってブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションを設定します。

  • ルール— 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。ルールを使用して、一致リクエストをブロックしたり、一致リクエストを許可したりすることができます。また、ルールを使用して、一致するリクエストをカウントすることもできます。

  • ルールグループ— ルールは個別に使用することも、再利用可能なルールグループで使用することもできます。AWSマネージドルールと AWS Marketplace 出品者は管理ルールグループを提供します。また、独自のルールグループを定義することもできます。

ウェブ ACL の作成後は、1 つ以上の ACL に関連付けることができます。AWSリソースの使用料金を見積もることができます。を使用して保護できるリソースタイプAWS WAFウェブ ACL は、Amazon CloudFront ディストリビューション、Amazon API Gateway REST API、Application Load Balancer、およびAWS AppSyncGraphQL API です。

AWS WAFは、に記載されているリージョンで使用できます。AWSサービスエンドポイント

  • Amazon API Gateway REST API、Application Load Balancer、またはAWS AppSyncGraphQL API を使用するには、リスト内の任意のリージョンを使用できます。

  • CloudFront ディストリビューションでは、AWS WAFはグローバルに使用できますが、すべての作業に米国東部 (バージニア北部) リージョンを使用する必要があります。ウェブ ACL を作成するには、リージョン米国東部 (バージニア北部) を使用する必要があります。また、このリージョンを使用して、ルールグループ、IP セット、正規表現パターンセットなど、ウェブ ACL で使用する他のリソースを作成する必要があります。

    一部のインターフェイスでは、「グローバル(CloudFront)」のリージョンを選択できます。これは、リージョン米国東部 (バージニア北部) または「us-east-1」を選択することと同じです。

AWS WAF ウェブ ACL キャパシティーユニット (WCU)

AWS WAFは、ウェブ ACL キャパシティーユニット (WCU) を使用して、ルール、ルールグループ、およびウェブ ACL の実行に必要な運用リソースを計算および制御します。AWS WAFでは、ルールグループと Web ACL を設定するときに WCU 制限が適用されます。WCU は、AWS WAFは Web トラフィックを検査します。

AWS WAF各ルールの相対コストを反映するように、各ルールのタイプごとに異なるキャパシティーを計算します。実行コストがほとんどない単純なルールでは、処理能力が大きい複雑なルールよりも使用される WCU が少なくなります。たとえば、サイズ制約規則文は、正規表現パターンセットに対して検査する文よりも使用する WCU が少なくなります。

AWS WAF は、ルール、ルールグループ、およびウェブ ACL のキャパシティーを管理します。

  • ルール容量–AWS WAFは、ルールを作成または更新するときにルールキャパシティーを計算します。ルールキャパシティー要件に関する基本的なガイドラインについては、AWS WAF ルールステートメント の各種ルールステートメントのリストを参照してください。また、ウェブ ACL またはルールグループを作成し、個別のルールを追加することで、AWS WAF コンソールでさまざまなルールタイプに必要なキャパシティを把握することもできます。ルールを追加するときに使用されたキャパシティーユニットがコンソールに表示されます。

  • ルールグループのキャパシティ–AWS WAFでは、作成時に各ルールグループに変更不可能なキャパシティーが割り当てられている必要があります。これは、AWS WAF を使用して作成したマネージド規則グループおよびルールグループに当てはまります。ルールグループを変更する場合、それらの変更に伴うルールグループの WCU を容量内に収める必要があります。これにより、ルールグループを使用しているウェブ ACL が最大容量内に留まります。

  • ウェブ ACL キャパシティ— ウェブ ACL の最大キャパシティーは 1,500 です。これはほとんどのユースケースに十分です。キャパシティーを増やす必要がある場合は、にお問い合わせください。AWS Supportセンター

AWS WAF の料金

AWS WAF では、作成するウェブ ACL とルールグループ、および AWS WAF が検査する HTTP(S) リクエストの数に対してのみお支払いいただきます。詳細については、AWS WAF 料金を参照してください。