ウェブアクセスコントロールリスト (ウェブ ACL) の管理と使用 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブアクセスコントロールリスト (ウェブ ACL) の管理と使用

ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、保護されたリソースが応答するすべての HTTP (S) ウェブリクエストをきめ細かく制御できます。Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSyncリソースの使用料金を見積もることができます。

以下のような基準を使用すると、リクエストを許可またはブロックできます。

  • リクエストの IP アドレスの送信元

  • リクエストの送信元の国

  • リクエストの一部に含まれる文字列一致または正規表現(regex)一致

  • リクエストの特定の部分のサイズ

  • 悪意のある SQL コードまたはスクリプトの検出

これらの条件の任意の組み合わせをテストすることもできます。指定された条件を満たすだけでなく、5 分間にわたって指定された数のリクエストを超えるウェブリクエストを、ブロックまたはカウントできます。論理演算子を使用して条件を組み合わせることができます。

この基準は、ウェブ ACL に含めるルール、およびウェブ ACL で使用するルールグループで、ルールステートメントを使用して指定します。オプションの詳細なリストについては、「AWS WAF ルールステートメント」を参照してください。

コンテンツへのアクセスを許可または拒否するリクエストを選り分けるには、以下のタスクを実行します。

  1. 指定したルールのいずれにも一致しないウェブリクエストのデフォルトアクション(許可またはブロック)を選択します。詳細については、「ウェブ ACL のデフォルトアクションの決定」を参照してください。

  2. ウェブ ACL で使用するルールグループを追加します。マネージドルールグループには通常、ウェブリクエストをブロックするルールが含まれます。ルールグループについては、「ルールグループ」を参照してください。

  3. 1 つ以上のルールでリクエストを許可またはブロックする追加の条件を指定します。複数の追加を行うには、[] で始まります。ANDまたはORルールステートメントをデプロイし、結合するルールをそれらの下にネストします。ルールオプションを無効にする場合は、NOT ステートメントでルールをネストします。必要に応じて、通常のルールの代わりにレートベースのルールを使用して、条件を満たす単一の IP アドレスからのリクエストの数を制限できます。ルールについては、「AWS WAF ルール」を参照してください。

複数のルールをウェブ ACL に追加した場合は、ウェブ ACL にリストされた順に、AWS WAF でルールが評価されます。詳細については、「Web ACL ルールおよびルールグループの評価」を参照してください。

ウェブ ACL を作成するときに、その ACL を使用するリソースのタイプを指定します。詳細については、ウェブ ACL の作成 を参照してください。ウェブ ACL を定義した後、その ACL をリソースに関連付けて、リソースの保護を開始できます。詳細については、「ウェブ ACL との関連付けまたは関連付けの解除AWSリソース」を参照してください。

方法AWSリソースは、からのレスポンス遅延を処理しますAWS WAF

AWS WAF で内部エラーが発生し、関連付けられている AWS リソースへの、リクエストを許可するかブロックするかについての応答が遅延する場合があります。そのような場合は、CloudFront はリクエストを許可するか、コンテンツを提供するのが一般的ですが、リージョナルサービスはリクエストを拒否し、コンテンツを提供しないのが一般的です。