IP セット一致ルールステートメント - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

IP セット一致ルールステートメント

IP セット一致ステートメントは、一連の IP アドレスおよびアドレス範囲に対してウェブリクエストの IP アドレスを検査します。これを使用して、リクエストの送信元の IP アドレスに基づいてウェブリクエストを許可またはブロックします。デフォルトでは、AWS WAF はウェブリクエストの発信元からの IP アドレスを使用しますが、代わりに X-Forwarded-For などの HTTP ヘッダーを使用するようにルールを設定できます。

AWS WAF は、/0 を除くすべての IPv4 および IPv6 CIDR 範囲をサポートします。CIDR 表記の詳細については、Wikipedia の「Classless Inter-Domain Routing」(クラスレスドメイン間ルーティング) を参照してください。IP セットには、チェック対象として最大 10,000 個の IP アドレスまたは IP アドレス範囲を保持できます。

注記

各 IP セット一致ルールは IP セットを参照します。このセットは、ルールとは無関係に作成し、維持します。複数ルールに単一の IP セットを使用することができます。参照されたセットを更新すると、AWS WAF はそれを参照するすべてのルールを自動的に更新します。

IP セットの作成および管理については、「IP セットの作成と管理」を参照してください。

ルールグループまたはウェブ ACL でルールを追加または更新する場合は、[IP set] (IP セット) オプションを選択し、使用する IP セットの名前を選択します。

ネスト可能 - このステートメントタイプはネスト可能です。

WCU – ほとんどの場合 2 WCU。転送された IP アドレスを使用するようにステートメントを設定し、ANY の位置を指定すると、WCU の使用量が 4 増えます。

このステートメントには、次の設定を使用します。

  • IP セットの指定 - 使用する IP セットをリストから選択するか、新しい IP セットを作成します。

  • (オプション) 転送された IP 設定 – リクエストの発信元の代わりに使用する代替の転送された IP ヘッダー名。ヘッダーの最初のアドレス、最後のアドレス、または任意のアドレスを照合するかどうかを指定します。指定したヘッダーに不正な形式の IP アドレスを持つウェブリクエストに適用するフォールバック動作も指定します。フォールバック動作は、リクエストの一致結果を、一致または不一致のいずれにするかを設定します。詳細については、「転送された IP アドレス」を参照してください。

このルールステートメントの場所
  • コンソールのルールビルダー - [Request option] (リクエストオプション) で [Originates from an IP address in] (次の IP アドレスからの送信) を選択します。

  • コンソールの [Add my own rules and rule groups] (独自のルールとルールグループの追加) ページ - [IP set] (IP セット) オプションを選択します。

  • API – 「IPSetReferenceStatement