ウェブ ACL の編集

ウェブ ACL のルールを追加、削除、あるいは設定を変更するには、このページの手順を使用してウェブ ACL にアクセスします。ウェブ ACL を更新している間、 AWS WAF ウェブ ACL に関連付けたリソースは継続的に適用されます。

本番稼働トラフィックのリスク

本番稼働トラフィックのウェブ ACL に変更をデプロイする前に、ステージング環境またはテスト環境でテストおよびチューニングしてトラフィックへの潜在的な影響を確認します。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「AWS WAF 保護機能のテストと調整」を参照してください。

注記

ウェブ ACL で 1,500 WCU を超える容量を使用すると、ウェブ ACL の基本料金を超えるコストが発生します。詳細については、「AWS WAF ウェブ ACL キャパシティーユニット (WCUs)」と「AWS WAF 料金表」を参照してください。

ウェブ ACL を編集するには

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ AWS WAF のコンソールを開きます。

2. ナビゲーションペインで [Web ACLs] (ウェブ ACL) を選択します。

3. 編集するウェブ ACL の名前を選択します。コンソールでウェブ ACL の説明が表示されます。

   注記

   によって管理されている Web ACL AWS Firewall Manager FMManagedWebACLV2- の名前はで始まります。Firewall Manager 管理者は、Firewall Manager AWS WAF ポリシーでこれらを管理します。これらのウェブ ACL の最初と最後には、追加して管理するルールまたはルールグループのいずれかの側で実行するように指定されたルールグループのセットが含まれる場合があります。これらの最初と最後のルールグループの指定はいずれも変更できません。最初と最後のルールグループには、それぞれ PREFMManaged- と POSTFMManaged- で始まる名前が付いています。これらのポリシーの詳細については、「AWS WAF ポリシー」を参照してください。

4. 必要に応じてウェブ ACL を編集します。関心のある設定領域のタブを選択し、ミュータブルな設定を編集します。編集する設定ごとに [保存] を選択してウェブ ACL の説明ページに戻ると、コンソールではウェブ ACL に変更が保存されます。

   ウェブ ACL 設定コンポーネントを含むタブを以下に示します。

   • [ルール] タブ

     • ウェブ ACL で定義したルール – ウェブ ACL で定義したルールは、ウェブ ACL の作成時と同様に編集および管理できます。

       注記

       ウェブ ACL に手動で追加していないルールの名前は変更しないでください。他のサービスを使用してルールを管理している場合、名前を変更すると、そのサービスが意図した保護を提供できなくなったり、機能が低下したりする可能性があります。 AWS Shield Advanced また、 AWS Firewall Manager どちらもウェブ ACL にルールを作成します。詳細については、他のサービスによって提供されるルールグループ を参照してください。

       注記

       ルールの名前を変更し、その変更をルールのメトリクス名に反映させたい場合は、メトリクス名も更新する必要があります。 AWS WAF ルール名を変更しても、ルールのメトリック名は自動的に更新されません。ルールの JSON エディターを使用して、コンソールでルールを編集するときに、メトリック名を変更できます。API や、ウェブ ACL またはルールグループの定義に使用する JSON リストを使用して、両方の名前を変更することもできます。

       ルールおよびルールグループの設定については、「AWS WAF 規則」と「AWS WAF ルールグループ」を参照してください。

     • [使用するウェブ ACL ルールキャパシティーユニット] – ウェブ ACL の現在のキャパシティ使用量。これは表示のみです。

     • [どのルールにも一致しないリクエストに対するデフォルトのウェブ ACL アクション] – この設定の詳細については、「ウェブ ACL のデフォルトアクション」を参照してください。

     • [ウェブ ACL CAPTCHA およびチャレンジ設定] – これらのイミュニティ時間によって、CAPTCHA またはチャレンジトークンの取得後の有効期間が決まります。ウェブ ACL の作成後、この設定は、このタブでしか変更できません。これらの設定については、「タイムスタンプの有効期限： AWS WAF トークンのイミュニティ時間」を参照してください。

     • トークンドメインリスト — AWS WAF リスト内のすべてのドメインと関連するリソースのドメインのトークンを受け入れます。詳細については、「AWS WAF ウェブ ACL トークンドメインリストの設定」を参照してください。

   • 「 AWS 関連リソース」タブ

     • Web リクエストインスペクションのサイズ制限 — CloudFront ディストリビューションを保護する Web ACL にのみ含まれています。ボディインスペクションのサイズ制限によって、 AWS WAF ボディコンポーネントのどれだけの量を検査に送るかが決まります。この設定の詳細については、「本文検査のサイズ制限の管理」を参照してください。

     • AWS 関連リソース — ウェブ ACL が現在関連付けられ保護されているリソースのリスト。ウェブ ACL と同じリージョン内にあるリソースを見つけて、ウェブ ACL に関連付けることができます。詳細については、「ウェブ ACL とリソースの関連付けまたは関連付け解除 AWS」を参照してください。

   • [カスタムレスポンス本文] タブ

     • アクションが Block に設定されているウェブ ACL ルールで使用できるカスタムレスポンス本文。詳細については、「Block アクションのカスタムレスポンス」を参照してください。

   • [ログ記録とメトリクス] タブ

     • ログ記録 – ウェブ ACL で評価されるトラフィックのログ記録。詳細については、「AWS WAF ウェブ ACL トラフィックのログ記録」を参照してください。

     • サンプリングされたリクエスト – ウェブリクエストに一致するルールに関する情報。サンプリングされたリクエストの表示方法については、「ウェブリクエストのサンプルの表示」を参照してください。

     • CloudWatch メトリクス — ウェブ ACL 内のルールのメトリクス。Amazon CloudWatch メトリックスについて詳しくは、を参照してくださいAmazon によるモニタリング CloudWatch。

更新中の一時的な不一致

ウェブ ACL AWS WAF やその他のリソースを作成または変更した場合、その変更がリソースが保存されているすべての領域に反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

• ウェブ ACL を作成した後、それをリソースに関連付けようとすると、ウェブ ACL が利用できないことを示す例外が表示される場合があります。

• ルールグループをウェブ ACL に追加した後、新しいルールグループのルールは、ウェブ ACL が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

• ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

• ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。