AWS WAF トークンドメインとドメインリスト - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ウェブ ACL トークンドメインリストトークンドメインの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF トークンドメインとドメインリスト

AWS WAF がクライアントのトークンを作成すると、トークンドメインで設定されます。 AWS WAF がウェブリクエスト内のトークンを検査するとき、そのドメインがウェブ ACL で有効と見なされるドメインと一切一致しない場合、そのトークンは無効として拒否されます。

デフォルトでは、 は、ドメイン設定がウェブ ACL に関連付けられているリソースのホストドメインと完全に一致するトークン AWS WAF のみを受け入れます。これはウェブリクエスト内の Host ヘッダーの値です。ブラウザでは、このドメインは JavaScript window.location.hostnameプロパティと、ユーザーがアドレスバーに表示するアドレスにあります。

次のセクションで説明するように、ウェブ ACL 設定で許容されるトークンドメインを指定することもできます。この場合、 はホストヘッダーと完全一致とトークンドメインリストのドメインと完全一致の両方 AWS WAF を受け入れます。

ドメインを設定するとき AWS WAF 、およびウェブ ACL でトークンを評価するときに使用する のトークンドメインを指定できます。指定するドメインには gov.au など、パブリックサフィックスを使用できません。使用できないドメインについては、「パブリックサフィックスリスト」のリスト (https://publicsuffix.org/list/public_suffix_list.dat) を参照してください。

AWS WAF ウェブ ACL トークンドメインリストの設定

トークンドメインリストに受け入れる追加のドメインを指定することで、複数の保護されたリソース間でトークンを共有する AWS WAF ようにウェブ ACL を設定できます。トークンドメインリストでは、 AWS WAF Seltitle はリソースのホストドメインを受け入れます。さらに、プレフィックス付きのサブドメインを含め、トークンドメインリスト内のすべてのドメインを受け入れます。

たとえば、トークンドメインリスト内のドメイン仕様 example.comexample.com (http://example.com/ から)、api.example.com (http://api.example.com/ から)、www.example.com (http://www.example.com/ から) と一致します。example.api.com (http://example.api.com/ から) または apiexample.com (http://apiexample.com/ から) と一致しません。

トークンドメインリストは、作成または編集するときにウェブ ACL で設定できます。ウェブ ACL の管理に関する一般情報については、「ウェブ ACL の使用」を参照してください。

AWS WAF トークンドメイン設定

AWS WAF は、アプリケーション統合 SDKs と Challengeおよび CAPTCHAルールアクションによって実行されるチャレンジスクリプトのリクエスト時にトークンを作成します。

がトークン AWS WAF に設定するドメインは、トークンをリクエストするチャレンジスクリプトのタイプと、指定した追加のトークンドメイン設定によって決まります。 AWS WAF は、トークンのドメインを、設定で確認できる最も短く、最も一般的な設定に設定します。

  • JavaScript SDK – JavaScript SDK は、1 つ以上のドメインを含めることができるトークンドメイン仕様で設定できます。設定するドメインは、保護されたホストドメインとウェブ ACL のトークンドメインリストに基づいて、 が AWS WAF 受け入れるドメインである必要があります。

    がクライアントのトークン AWS WAF を発行すると、ホストドメインと設定済みリスト内のドメインの中から、ホストドメインと一致する最短のトークンドメインが設定されます。例えば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、 はトークンexample.comで AWS WAF 使用されます。これは、ホストドメインと一致し、短いためです。 JavaScript API 設定でトークンドメインリストを指定しない場合、 はドメインを保護されたリソースのホストドメイン AWS WAF に設定します。

    詳細については、「トークンで使用するドメインの提供」を参照してください。

  • モバイル SDK — アプリケーションコードでは、トークンドメインプロパティでモバイル SDK を設定する必要があります。このプロパティは、保護されたホストドメインおよびウェブ ACL のトークンドメインリストに基づき、 AWS WAF が受け入れるドメインでなければなりません。

    がクライアントのトークン AWS WAF を発行する場合、このプロパティをトークンドメインとして使用します。モバイル SDK AWS WAF クライアントに対して発行するトークンではホストドメインを使用しません。

    詳細については、「AWS WAF モバイル SDK 仕様」で WAFConfiguration domainName 設定を参照してください。

  • Challenge アクション – ウェブ ACL でトークンドメインリストを指定すると、 は、ホストドメインとリスト内のドメインの中から、ホストドメインと一致する最短のトークンドメイン AWS WAF に設定します。例えば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、ホストドメインと一致し、短いため、トークンexample.comで AWS WAF を使用します。ウェブ ACL でトークンドメインリストを指定しない場合、 はドメインを保護されたリソースのホストドメイン AWS WAF に設定します。