Amazon CloudFront AWS WAF での の使用 - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
がさまざまなディストリビューションタイプと AWS WAF 連携する方法CloudFront 料金プラン AWS WAF での の使用

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudFront AWS WAF での の使用

Amazon CloudFront 機能 AWS WAF で を使用する方法について説明します。

保護パック (ウェブ ACL) を作成するときに、 AWS WAF で検査する 1 つ以上の CloudFront ディストリビューションを指定できます。CloudFront は、個々のテナントを保護する標準ディストリビューションと、単一の共有設定テンプレートを使用して複数のテナントを保護するマルチテナントディストリビューションの 2 種類のディストリビューションをサポートしています。 AWS WAF は、保護パック (ウェブ ACL) で定義したルールに基づいて、両方のディストリビューションタイプのウェブリクエストを検査し、タイプごとに実装パターンが異なります。

トピック

がさまざまなディストリビューションタイプと AWS WAF 連携する方法

ディストリビューションタイプ

AWS WAF は、標準およびマルチテナントディストリビューション CloudFront ディストリビューションの両方にウェブアプリケーションファイアウォール機能を提供します。

標準ディストリビューション

標準ディストリビューションの場合、 はディストリビューションごとに 1 つの保護パック (ウェブ ACL) を使用して保護 AWS WAF を追加します。この保護を有効にするには、既存の保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けるか、CloudFront コンソールでワンクリック保護を使用します。これにより、保護パック (ウェブ ACL) を変更すると、それに関連付けられたディストリビューションにのみ影響するため、各ディストリビューションのセキュリティコントロールを個別に管理できます。

CloudFront ディストリビューションを保護するこの簡単な方法は、個々のドメインに単一の保護パック (ウェブ ACL) からの特定の保護を提供するのに最適です。

標準ディストリビューションに関する考慮事項

  • 保護パック (ウェブ ACL) の変更は、関連付けられたディストリビューションにのみ影響します

  • 各ディストリビューションには、独立した保護パック (ウェブ ACL) 設定が必要です

  • ルールとルールグループはディストリビューションごとに個別に管理されます

マルチテナントディストリビューション

マルチテナントディストリビューションの場合、 は単一の保護パック (ウェブ ACL) を使用して複数のドメインに保護 AWS WAF を追加します。マルチテナントディストリビューションによって管理されるドメインは、ディストリビューションテナントと呼ばれます。マルチテナントディストリビューション AWS WAF の保護は、マルチテナントディストリビューションの作成プロセス中または作成後に、CloudFront コンソールでのみ有効にできます。ただし、保護パック (ウェブ ACL) への変更は、 AWS WAF コンソールまたは API を通じて管理されます。

マルチテナントディストリビューションは、次の 2 つのレベルで AWS WAF 保護を可能にする柔軟性を提供します。

  • マルチテナントディストリビューションレベル – 関連付けられた保護パック (ウェブ ACL) は、そのディストリビューションを共有するすべてのアプリケーションに適用されるベースラインセキュリティコントロールを提供します

  • ディストリビューションテナントレベル – マルチテナントディストリビューション内の個々のテナントは、追加のセキュリティコントロールを実装したり、マルチテナントディストリビューション設定をオーバーライドしたりするために、独自の保護パック (ウェブ ACL) を持つことができます

これらの 2 つの階層により、マルチテナントディストリビューションは、個々のディストリビューションのセキュリティをカスタマイズする能力を失うことなく、複数のドメイン間で AWS WAF 保護を共有するのに最適です。

マルチテナントディストリビューションに関する考慮事項

  • 個々のディストリビューションテナントは、関連するマルチテナントディストリビューションに関連付けられている保護パック (ウェブ ACL) に加えられた変更を継承します

  • 特定のディストリビューションテナントに関連付けられた保護パック (ウェブ ACL) は、マルチテナント保護パック (ウェブ ACL) レベルで設定された設定をオーバーライドできます

  • マネージドルールグループは、ディストリビューションレベルとディストリビューションテナントレベルの両方で実装できます

  • アプリケーション識別子をログに保存して、ディストリビューション別にセキュリティイベントを追跡できます

AWS WAF ディストリビューションタイプ別の機能

保護パック (ウェブ ACL) の実装を比較する
AWS WAF 機能 標準ディストリビューション マルチテナントディストリビューション
保護パック (ウェブ ACL) の関連付け ディストリビューションごとに 1 つの保護パック (ウェブ ACL) オプションでテナント固有の保護パック (ウェブ ACL) を使用して、テナント間で保護パック (ウェブ ACL) を共有できます
ルールの管理 ルールが 1 つのディストリビューションに影響する マルチテナントディストリビューションルールは、関連付けられたすべてのテナントに影響します。ディストリビューションテナント固有のルールは、そのテナントにのみ影響します
マネージドルールグループ 個々のディストリビューションに適用 すべてのテナントにマルチテナントディストリビューションレベルで、または特定のアプリケーションにテナントレベルで適用できます
ログ記録 標準 AWS WAF ログ ログには、セキュリティイベント属性のテナント識別子が含まれます

CloudFront 定額料金プラン AWS WAF での の使用

CloudFront 定額料金プランは、Amazon CloudFront グローバルコンテンツ配信ネットワーク (CDN) と複数の AWS のサービス および 機能を、トラフィックの急増や攻撃に関係なく、超過料金なしで月額料金で組み合わせます。

定額料金プランには、シンプルな月額料金の以下の AWS のサービス および 機能が含まれます。

  • CloudFront CDN

  • AWS WAF および DDoS 保護

  • ボット管理と分析

  • Amazon Route 53 DNS

  • Amazon CloudWatch Logs の取り込み

  • TLS 証明書

  • サーバーレスエッジコンピューティング

  • 毎月の Amazon S3 ストレージクレジット

プランは、アプリケーションのニーズに合わせて、無料、プロ、ビジネス、プレミアムの各階層で利用できます。プランでは、ベストレートを取得するために年間コミットメントは必要ありません。無料プランから始めて、より多くの機能や使用量にアップグレードできます。

プランと機能の詳細なリストについては、「Amazon CloudFront デベロッパーガイド」の「CloudFront 定額料金プラン」を参照してください。 Amazon CloudFront

重要

料金プランを使用する場合は、有効な AWS WAF 保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付ける必要があります。pay-as-you-goに切り替えない限り、保護パック (ウェブ ACL) の関連付けを削除することはできません。

AWS WAF ウェブ ACL はディストリビューションに関連付けられている必要がありますが、セキュリティ設定を完全に制御できます。ウェブ ACL で有効または無効にするルールを調整して保護をカスタマイズし、セキュリティ要件に合わせてルール設定を変更できます。ウェブ ACL ルールの管理については、AWS WAF 「 ルール」を参照してください。