本番環境で保護の有効化 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

本番環境で保護の有効化

このセクションでは、本番稼働でチューニングされた保護を有効にする手順について説明します。

本番環境でのテストとチューニングの最終段階が終了したら、本番モードで保護を有効にします。

本番稼働トラフィックのリスク

本番トラフィックに保護パック (ウェブ ACL) 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、テスト環境でテストしてチューニングします。また、本番稼働用トラフィックの保護を有効にする前に、本番稼働用トラフィックでカウントモードでテストおよびチューニングします。

注記

このセクションのガイダンスに従うには、 AWS WAF 保護パック (ウェブ ACLs)、ルール、ルールグループなどの保護を作成および管理する方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。

これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。

本番環境で AWS WAF 保護を有効にする
  1. 本番環境保護に切り替える

    保護パック (ウェブ ACL) を更新し、本番環境の設定を切り替えます。

    1. 不要なテストルールをすべて削除する

      本番環境では必要ないテストルールを追加した場合は、それらを削除します。ラベル一致ルールを使用して管理ルールグループルールの結果をフィルタリングする場合は、必ずそれらのルールをそのままにしておいてください。

    2. 本番用アクションに切り替える

      新しいルールのアクション設定を、意図したプロダクション設定に変更します。

      • 保護パック (ウェブ ACL) で定義されたルール – 保護パック (ウェブ ACL) のルールを編集しCount、アクションを から本番稼働用アクションに変更します。

      • ルールグループ – ルールグループの保護パック (ウェブ ACL) 設定で、テストおよびチューニングアクティビティの結果に従って、独自のアクションを使用するようにルールを切り替えるか、Countアクションオーバーライドのままにします。ラベル一致ルールを使用してルールグループルールの結果をフィルタリングする場合は、必ずそのルールのオーバーライドをそのまま残してください。

        ルールのアクションの使用に切り替えるには、保護パック (ウェブ ACL) 設定で、ルールグループのルールステートメントを編集し、ルールのCountオーバーライドを削除します。JSON で保護パック (ウェブ ACL) を管理する場合は、ルールグループ参照ステートメントで、RuleActionOverridesリストからルールのエントリを削除します。

      • 保護パック (ウェブ ACL) – テストの保護パック (ウェブ ACL) のデフォルトアクションを変更した場合は、本稼働設定に切り替えます。

      これらの設定により、意図したとおりに新しい保護がウェブトラフィックを管理します。

    保護パック (ウェブ ACL) を保存すると、それに関連付けられているリソースは本番稼働用設定を使用します。

  2. モニタリングおよびチューニング

    ウェブリクエストが希望どおりに処理されていることを確認するには、新しい機能を有効にした後、トラフィックを注意深く監視します。チューニング作業で監視していたカウントアクションではなく、本番ルールアクションのメトリクスとログを監視します。ウェブトラフィックの変化に適応するために、必要に応じて動作を監視し、調整してください。