ACLs でのウェブの使用 AWS WAF - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ACLs でのウェブの使用 AWS WAF

このページでは、ウェブアクセスコントロールリスト (ウェブACL) とその仕組みについて説明します。

ウェブACLを使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer 、 AWS AppSync、Amazon Cognito AWS App Runnerおよび AWS Verified Access リソース。

次のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

  • リクエストの特定の部分のサイズ

  • 悪意のあるSQLコードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、1 分間に指定されたリクエスト数を超えるウェブリクエストをブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。リクエストに対してCAPTCHAパズルやサイレントクライアントセッションチャレンジを実行することもできます。

一致基準と、 で一致に対して実行するアクションを指定します。 AWS WAF ルールステートメント。ルールステートメントは、ウェブ 内で直接定義することもACL、ウェブ で使用する再利用可能なルールグループで定義することもできますACL。オプションの詳細なリストについては、「でのルールステートメントの使用 AWS WAF」および「でのルールアクションの使用 AWS WAF」を参照してください。

ウェブ を作成するときはACL、使用するリソースのタイプを指定します。詳細については、ACL でのウェブの作成 AWS WAF を参照してください。ウェブ を定義したらACL、それをリソースに関連付けて、それらの保護の提供を開始できます。詳細については、「ACL ウェブと の関連付けまたは関連付け解除 AWS リソース」を参照してください。

注記

場合によっては、 AWS WAF は、関連付けられた への応答を遅らせる内部エラーが発生する可能性があります。 AWS リクエストを許可またはブロックするかどうかに関する リソース。このような場合、 CloudFront は通常、リクエストを許可またはコンテンツを提供しますが、リージョンサービスは通常、リクエストを拒否し、コンテンツを提供しません。

本番稼働トラフィックのリスク

本番トラフィックACL用にウェブに変更をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境で変更をテストおよびチューニングします。その後、更新したルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、「のテストとチューニング AWS WAF 保護」を参照してください。

注記

ウェブWCUsで 1,500 を超える ACLを使用すると、基本的なウェブACL料金を超えるコストが発生します。詳細については、「のウェブACLキャパシティーユニット (WCUs) について AWS WAF」および「」を参照してください。AWS WAF 料金

更新中の一時的な不一致

ウェブやその他の を作成ACLまたは変更する場合 AWS WAF リソースの変更は、リソースが保存されているすべての領域に反映されるまでに少し時間がかかります。伝播時間は、数秒から数分までかかります。

次の内容では、変更伝播中に直面する一時的な不整合性の例を紹介します。

  • ウェブ を作成した後ACL、リソースに関連付けようとすると、ウェブACLが使用できないことを示す例外が表示されることがあります。

  • ルールグループをウェブ に追加した後ACL、新しいルールグループルールACLは、ウェブが使用されるエリアで有効になり、別のエリアでは有効にならない場合があります。

  • ルールのアクション設定を変更した後、古いアクションを一部のエリアで確認され、新しいアクションを別のエリアで確認される場合があります。

  • ブロックルールで使用されている IP セットに IP アドレスを追加した後、新しいアドレスはあるエリアではブロックされ、別のエリアでは許可される場合があります。