ウェブアクセスコントロールリスト (ウェブ ACL)

ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、Amazon Cognito AWS AppSync AWS App Runner、 AWS および検証済みアクセスリソースを保護できます。

次のような基準を使用すると、リクエストを許可またはブロックできます。

• リクエストの IP アドレスの送信元

• リクエストの送信元の国

• リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

• リクエストの特定の部分のサイズ

• 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定した条件を満たすだけでなく、1 分間に指定した数を超えるウェブリクエストをブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対して CAPTCHA パズルやサイレントクライアントセッションのチャレンジを実行することもできます。

AWS WAF ルールステートメントには、一致条件と、一致した場合に実行するアクションを指定します。ルールステートメントは、ウェブ ACL 内、およびウェブ ACL で使用する再利用可能なルールグループで直接定義できます。オプションの詳細なリストについては、「ルールステートメントの基本」および「ルールアクション」を参照してください。

ウェブリクエストの検査および処理基準を指定するには、次のタスクを実行します。

1. 指定したルールのいずれにも一致しないウェブリクエストのウェブ ACL デフォルトアクション (Allow または Block) を選択します。詳細については、「ウェブ ACL のデフォルトアクション」を参照してください。

2. ウェブ ACL で使用するルールグループを追加します。マネージドルールグループには通常、ウェブリクエストをブロックするルールが含まれます。ルールグループについては、「ルールグループ」を参照してください。

3. 1 つ以上のルールで、追加の一致基準と処理手順を指定します。複数のルールを追加するには、AND または OR ルールステートメントをまず使用し、結合するルールをそれらの下にネストします。ルールオプションを否定する場合は、NOT ステートメントでルールをネストします。必要に応じて、通常のルールの代わりにレートベースのルールを使用して、条件を満たす単一の IP アドレスからのリクエストの数を制限できます。ルールについては、「AWS WAF 規則」を参照してください。

ウェブ ACL に複数のルールを追加すると、ウェブ ACL AWS WAF にリストされている順序でルールが評価されます。詳細については、「ウェブ ACL ルールおよびルールグループの評価」を参照してください。

ウェブ ACL を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、「ウェブ ACL の作成」を参照してください。ウェブ ACL を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「ウェブ ACL とリソースの関連付けまたは関連付け解除 AWS」を参照してください。

AWS からの応答遅延をリソースがどのように処理するか AWS WAF

場合によっては、内部エラーが発生して、リクエストを許可するか拒否するかについて、 AWS WAF AWS 関連リソースへの応答が遅れることがあります。このような場合、 CloudFront 通常はリクエストを許可またはコンテンツを提供しますが、地域サービスでは通常、リクエストが拒否され、コンテンツは配信されません。

トピック

• ウェブ ACL ルールおよびルールグループの評価
• ウェブ ACL のデフォルトアクション
• 身体検査のサイズ制限の管理
• ウェブ ACL の CAPTCHA、チャレンジ、トークンドメイン設定
• ウェブ ACL の使用