AWS WAF 保護のテストとチューニング

このセクションでは、AWS WAF ウェブ ACL、ルール、ルールグループ、IP セット、および正規表現パターンセットをテストおよびチューニングするためのガイダンスを提供します。

ウェブサイトまたはウェブアプリケーショントラフィックに適用する前に、AWS WAF ウェブ ACL への変更をテストおよびチューニングすることをお勧めします。

本番稼働トラフィックのリスク

本番稼働トラフィックにウェブ ACL 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。

また、このセクションでは、他のユーザーによって管理されているルールグループの使用をテストするための一般的なガイダンスも提供します。これには、AWS マネージドルールのルールグループ、AWS Marketplace マネージドルールグループ、別のアカウントによって共有されているルールグループが含まれます。これらのルールグループについては、ルールグループプロバイダーから取得したガイダンスにも従ってください。

• Bot Control AWS マネージドルールのルールグループについては、「AWS WAF Bot Control のテストとデプロイ」を参照してください。

• アカウント乗っ取り防止の AWS マネージドルールのルールグループについては、ATP のテストとデプロイ も参照してください。

• アカウント作成の不正防止 AWS マネージドルールのルールグループについては、「ACFP のテストとデプロイ」も参照してください。

更新中の一時的な不一致

ウェブ ACL またはその他の AWS WAF リソースを作成または変更すると、リソースが保存されているすべての領域に反映されるまで、変更に少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

• ウェブ ACL を作成した後、それをリソースに関連付けようとすると、ウェブ ACL が利用できないことを示す例外が表示される場合があります。

• ルールグループをウェブ ACL に追加した後、新しいルールグループのルールは、ウェブ ACL が使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

• ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

• ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。