AWS WAF のカスタマイズされたウェブリクエストとレスポンス - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS WAF のカスタマイズされたウェブリクエストとレスポンス

カスタムウェブリクエストおよび応答処理動作を AWS WAF ルールアクションおよびデフォルトのウェブ ACL アクションに追加できます。カスタム設定は、アタッチ先のアクションが適用されるたびに適用されます。

ウェブリクエストとレスポンスは、次の方法でカスタマイズできます。

  • 許可、カウント、および CAPTCHA アクションを使用すると、カスタムヘッダーをウェブリクエストに挿入できます。AWS WAF がウェブリクエストを保護されたリソースに転送する場合、リクエストには、元のリクエスト全体と、挿入したカスタムヘッダーが含まれます。CAPTCHA アクションの場合、AWS WAF は、リクエストが CAPTCHA 検査に合格した場合にのみカスタマイズを適用します。

  • ブロックアクションを使用すると、レスポンスコード、ヘッダー、および本文を使用して、完全なカスタムレスポンスを定義できます。保護されたリソースは、AWS WAF によって提供されるカスタムレスポンスを使用してリクエストに応答します。カスタムレスポンスは、403 (Forbidden) のデフォルトのブロックアクションのレスポンスの代わりとなります。

カスタマイズできるアクション設定

次のアクション設定を定義する際に、カスタムリクエストまたはレスポンスを指定できます。

カスタマイズできないアクション設定

ウェブ ACL で使用するルールグループについては、上書きアクションでカスタムリクエスト処理を指定することはできません。「ウェブ ACL ルールおよびルールグループの評価」を参照してください。「マネージドルールグループステートメント」および「ルールグループステートメント」も参照してください。

結果整合性

ウェブ ACL またはウェブ ACL コンポーネント (ルールやルールグループなど) に変更を加えると、AWS WAF は、ウェブ ACL とそのコンポーネントが保存および使用されるすべての場所に変更を伝達します。変更は数秒以内に適用されますが、変更がある場所に到着し、他の場所には到着していない場合、一時的な不一致が生じる可能性があります。したがって、例えば、ルールのアクション設定を変更すると、そのアクションは、あるエリアでは古いアクションとなり、別のエリアでは新しいアクションとなる場合があります。または、ブロックルールで使用される IP セットに IP アドレスを追加すると、新しいアドレスはあるエリアでは一時的にブロックされ、別のエリアでは許可される場合があります。この一時的な不整合は、最初にウェブ ACL を AWS リソースに関連付けたとき、および既にリソースに関連付けられているウェブ ACL を変更したときに発生する可能性があります。ほとんどの場合、このタイプの不一致は数秒で解決します。

カスタムリクエストとレスポンスの使用制限

AWS WAF は、カスタムリクエストとレスポンスの使用に関する最大設定を定義します。ウェブ ACL またはルールグループあたりのリクエストヘッダーの最大数、および単一のカスタムレスポンス定義のカスタムヘッダーの最大数はその一例です。詳細については、「AWS WAF のクォータ」を参照してください。