AWS WAF ウェブリクエストのラベル - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF ウェブリクエストのラベル

ラベルは、マッチングルールによってウェブリクエストに追加されるメタデータです。ルールがウェブリクエストと一致すると、ルールにラベルが指定されていれば、 AWS WAF そのラベルがリクエストに追加されます。ウェブ ACL 評価が終了するまで、ラベルはリクエストに引き続き存在します。ウェブ ACL の評価で後から実行されるルール内のラベルには、ラベル照合ステートメントを使用してアクセスできます。詳細については、「ラベル一致ルールステートメント」を参照してください。

ウェブリクエストのラベルは、Amazon CloudWatch ラベルメトリクスを生成します。メトリクスとディメンションのリストについては、「ラベルメトリクスとディメンション」を参照してください。コンソールから、 CloudWatch AWS WAF またはコンソールからメトリックスとメトリックスサマリーにアクセスする方法については、を参照してくださいモニタリングとチューニング

ラベリングのユースケース

AWS WAF ラベルの一般的な使用例には次のようなものがあります。

  • リクエストに対してアクションを実行する前に、ウェブリクエストを複数のルールステートメントと照合して評価する — ウェブ ACL 内のルールと一致するものが見つかったあと、ルールアクションによってウェブ ACL の評価が終了しない場合は、ウェブ ACL AWS WAF と照合してリクエストの評価を続けます。リクエストを許可または拒否するか判断する前、ラベルを使用して複数のルールから情報を評価および収集できます。これを行うには、既存のルールのアクションを Count に変更し、ラベルを一致リクエストに追加するように設定します。その後、他のルールの後に実行する新しいルールを 1 つ以上追加し、ラベルを評価してラベル一致の組み合わせに応じてリクエストを管理するように設定します。

  • 地域別のウェブリクエストの管理 – 地理的一致ルールを単独で使用して、ウェブリクエストを発信国別に管理できます。地域レベルの精度で場所を微調整するには、地理一致ルールを Count アクションと一緒に使用し、それに続いてラベルマッチルールを使用します。地理一致ルールの情報については、「地理的一致ルールステートメント」を参照してください。

  • 複数のルール間でロジックを再利用する – 複数のルールで同じロジックを再利用する必要がある場合は、ラベルを使用してそのロジックを単一のソースにして、結果をテストします。ネストされたルールステートメントの共通のサブセットを使用する複雑なルールが複数ある場合、複雑なルール間で共通ルールセットを複製すると、時間がかかり、エラーが発生しやすくなります。ラベルを使用すると、一致するリクエストをカウントし、それらにラベルを追加する共通ルールサブセットを使用して新しいルールを作成できます。新しいルールをウェブ ACL に追加して、元の複雑なルールの前に実行されるようにします。その後、元のルールで、共有ルールサブセットを、ラベルをチェックする単一のルールに置き換えます。

    例えば、ログインパスにのみ適用する複数のルールがあるとします。各ルールで潜在的なログインパスと一致する同じロジックを指定するのではなく、そのロジックを含む 1 つの新しいルールを実装できます。新しいルールで、一致するリクエストにラベルを追加して、リクエストがログインパス上にあることを示します。ウェブ ACL で、この新しいルールの優先順位の数値設定を、元のルールの数値よりも小さく設定して、最初に実行されるようにします。その後、元のルールで、共有ロジックをラベルの存在のチェックに置き換えます。ジョブの優先順位の設定については、「ウェブ ACL でのルールおよびルールグループの処理順序」を参照してください。

  • ルールグループ内のルールに対する例外を作成する – このオプションは、表示または変更できないマネージドルールグループに特に役立ちます。多くのマネージドルールグループのルールはウェブリクエストにラベルを追加して一致したルールを示し、場合によってはその一致に関する追加情報を提供します。リクエストにラベルを追加するルールグループを使用すると、ルールグループのルールが一致をカウントするようにオーバーライドし、その後にルールグループラベルに基づいたウェブリクエストを処理するルールグループの後にルールを実行できます。すべての AWS マネージドルールは、一致するウェブリクエストにラベルを追加します。詳細については、「AWS マネージドルールルールグループリスト」のルールの説明を参照してください。

  • ラベルメトリクスの使用によるトラフィックパターンの監視 — ルールを使用して追加したラベルのメトリクスや、ウェブ ACL で使用するマネージドルールグループによって追加されたメトリクスのメトリクスにアクセスできます。 AWS マネージドルールのルールグループのすべては、評価するウェブリクエストにラベルを追加します。ラベルメトリクスとディメンションのリストについては、「ラベルメトリクスとディメンション」を参照してください。メトリックスとメトリクスの概要には、コンソールのウェブ ACL ページから、またはページからアクセスできます。 CloudWatch AWS WAF 詳細については、「モニタリングとチューニング」を参照してください。