コンソールACLを使用してマネージドルールグループをウェブに追加する - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールACLを使用してマネージドルールグループをウェブに追加する

このセクションでは、 コンソールACLを使用してマネージドルールグループをウェブに追加する方法について説明します。このガイダンスは、すべての に適用されます。 AWS マネージドルールのルールグループと への AWS Marketplace サブスクライブしている ルールグループ。

本番稼働トラフィックのリスク

本番トラフィックACL用にウェブに変更をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境で変更をテストおよびチューニングします。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「のテストとチューニング AWS WAF 保護」を参照してください。

注記

ウェブWCUsで 1,500 を超える ACLを使用すると、基本的なウェブACL料金を超えるコストが発生します。詳細については、「のウェブACLキャパシティーユニット (WCUs) について AWS WAF」および「」を参照してください。AWS WAF 料金

コンソールACLを使用してマネージドルールグループをウェブに追加するには
  1. にサインインする AWS Management Console を開き、 AWS WAF の コンソールhttps://console.aws.amazon.com/wafv2/

  2. ナビゲーションペインで Web ACLs を選択します。

  3. ウェブページACLsのウェブ のリストからACLs、ルールグループを追加するものを選択します。これにより、単一のウェブ のページに移動しますACL。

  4. ウェブACLの ページで、ルール タブを選択します。

  5. [Rules] (ルール) ペインで、[Add rules] (ルールを追加) を選択してから、[Add managed rule groups] (マネージドルールグループを追加) を選択します。

  6. [Add managed rule groups] (マネージドルールグループを追加) ページで、ルールグループのベンダーの選択を展開して、使用可能なルールグループのリストを表示します。

  7. 追加するルールグループごとに、ウェブ に追加 ACLを選択します。ルールグループのウェブ ACLの設定を変更する場合は、編集 を選択し、変更を加え、ルールの保存 を選択します。オプションの詳細については、「」のバージョニングガイダンスでバージョニングされたマネージドルールグループを使用する AWS WAFと、「」のウェブでマネージドルールグループを使用するためのガイダンスを参照してくださいACLでのマネージドルールグループステートメントの使用 AWS WAF

  8. [Add managed rule groups] (マネージドルールグループを追加) ページの下部で、[Add rules] (ルールを追加) を選択します。

  9. [Set rule priority] (ルールの優先度を設定) ページで、必要に応じてルールが実行される順序を調整し、[Save] (保存) を選択します。詳細については、「ウェブでのルール優先度の設定 ACL」を参照してください。

ウェブACLの ページで、追加したマネージドルールグループがルールタブに表示されます。

への変更をテストして調整する AWS WAF は、本番トラフィックに使用する前に保護します。詳細については、のテストとチューニング AWS WAF 保護 を参照してください。

更新中の一時的な不一致

ウェブやその他の を作成ACLまたは変更する場合 AWS WAF リソースの変更は、リソースが保存されているすべての領域に反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • ウェブ を作成した後ACL、リソースに関連付けようとすると、ウェブACLが使用できないことを示す例外が表示されることがあります。

  • ルールグループをウェブ に追加した後ACL、新しいルールグループルールACLは、ウェブが使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。