ウェブ ACL でのルールグループの使用

ウェブ ACL でルールグループを使用するには、ルールグループリファレンスステートメントのウェブ ACL にルールグループを追加します。

本番稼働トラフィックのリスク

本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護機能のテストと調整」を参照してください。

注記

ウェブ ACL で 1,500 WCU を超える容量を使用すると、ウェブ ACL の基本料金を超えるコストが発生します。詳細については、「AWS WAF ウェブ ACL キャパシティユニット (WCU)」と「AWS WAF 料金表」を参照してください。

コンソールで、ウェブ ACL のルールを追加または更新するときに、[Add rules and rule groups] (ルールとルールグループの追加) ページで、[Add rules] (ルールの追加) を選択し、[Add my own rules and rule groups] (独自のルールとルールグループの追加) を選択します。その後、[Rule group] (ルールグループ) を選択し、リストからルールグループを選択します。

ウェブ ACL では、個々のルールアクションが Count またはその他のアクションを起こすように設定することで、ルールグループおよびそのルールの動作を変更できます。これは、ルールグループのテスト、ルールグループ内のルールからの誤検出の特定、マネージドルールグループによるリクエストの処理方法のカスタマイズなどを行うのに役立ちます。詳細については、「ルールグループ内のアクションオーバーライド」を参照してください。

ルールグループにレートベースのステートメントが含まれている場合、ルールグループを使用する各ウェブ ACL は、ルールグループを使用する他のウェブ ACL とは無関係に、レートベースのルールについて独自のレートトラッキングと管理を行います。詳細については、「レートベースのルールステートメント」を参照してください。

更新中の一時的な不一致

ウェブ ACL AWS WAF やその他のリソースを作成または変更すると、その変更がリソースが保存されているすべての領域に反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

• ウェブ ACL を作成した後、それをリソースに関連付けようとすると、ウェブ ACL が利用できないことを示す例外が表示される場合があります。

• ルールグループをウェブ ACL に追加した後、新しいルールグループのルールは、ウェブ ACL が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

• ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

• ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。