でのトークンドメインとドメインリストの指定 AWS WAF - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWS WAF 保護パック (ウェブ ACL) トークンドメインリストトークンドメイン設定

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのトークンドメインとドメインリストの指定 AWS WAF

このセクションでは、 がトークンで AWS WAF 使用し、 がトークンで受け入れるドメインを設定する方法について説明します。

がクライアントのトークン AWS WAF を作成すると、トークンドメインで設定されます。 AWS WAF がウェブリクエスト内のトークンを検査するとき、そのドメインが保護パック (ウェブ ACL) で有効と見なされるドメインと一切一致しない場合、そのトークンは無効として拒否されます。

デフォルトでは、 は、ドメイン設定が保護パック (ウェブ ACL) に関連付けられているリソースのホストドメインと完全に一致するトークン AWS WAF のみを受け入れます。これはウェブリクエスト内の Host ヘッダーの値です。ブラウザでは、このドメインは JavaScript window.location.hostname プロパティ、ならびにユーザーのアドレスバーに表示されるアドレスに含まれます。

次のセクションで説明するように、保護パック (ウェブ ACL) 設定で許容されるトークンドメインを指定することもできます。この場合、 はホストヘッダーと完全一致とトークンドメインリストのドメインの両方 AWS WAF を受け入れます。

ドメインを設定するとき AWS WAF 、および保護パック (ウェブ ACL) でトークンを評価するときに使用する のトークンドメインを指定できます。指定するドメインには gov.au など、パブリックサフィックスを使用できません。使用できないドメインについては、「パブリックサフィックスリスト」のリスト (https://publicsuffix.org/list/public_suffix_list.dat) を参照してください。

AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定

トークンドメインリストに AWS WAF 受け入れる追加のドメインを指定することで、複数の保護されたリソース間でトークンを共有するように保護パック (ウェブ ACL) を設定できます。トークンドメインリストを使用して、 AWS WAF はリソースのホストドメインを受け入れます。さらに、プレフィックス付きのサブドメインを含め、トークンドメインリスト内のすべてのドメインを受け入れます。

たとえば、トークンドメインリスト内のドメイン仕様 example.comexample.com (http://example.com/ から)、api.example.com (http://api.example.com/ から)、www.example.com (http://www.example.com/ から) と一致します。example.api.com (http://example.api.com/ から) または apiexample.com (http://apiexample.com/ から) と一致しません。

トークンドメインリストは、作成または編集するときに保護パック (ウェブ ACL) で設定できます。保護パック (ウェブ ACL) の管理に関する一般情報については、「でのウェブトラフィックメトリクスの表示 AWS WAF」を参照してください。

AWS WAF トークンドメイン設定

AWS WAF は、アプリケーション統合 SDKs と Challengeおよび CAPTCHAルールアクションによって実行されるチャレンジスクリプトのリクエストでトークンを作成します。

がトークン AWS WAF に設定するドメインは、トークンをリクエストするチャレンジスクリプトのタイプと、指定した追加のトークンドメイン設定によって決まります。 AWS WAF は、トークンのドメインを、設定で確認できる最も短く、最も一般的な設定に設定します。

  • JavaScript SDK — JavaScript SDK は、1 つ以上のドメインを含むことができるトークンドメイン仕様で構成できます。設定するドメインは、保護されたホストドメインと保護パック (ウェブ ACL) のトークンドメインリストに基づいて、 AWS WAF が受け入れるドメインである必要があります。

    がクライアントのトークン AWS WAF を発行すると、ホストドメインと設定済みリスト内のドメインの中から、トークンドメインをホストドメインに一致する最短のトークンドメインに設定します。たとえば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、 はトークンexample.comで AWS WAF を使用します。これは、ホストドメインと一致し、短いためです。JavaScript API 設定でトークンドメインリストを指定しない場合、 は保護されたリソースのホストドメインにドメイン AWS WAF を設定します。

    詳細については、「トークンで使用するドメインの提供」を参照してください。

  • モバイル SDK — アプリケーションコードでは、トークンドメインプロパティでモバイル SDK を設定する必要があります。このプロパティは、保護されたホストドメインおよび保護パック (ウェブ ACL) のトークンドメインリストに基づき、 AWS WAF が受け入れるドメインでなければなりません。

    がクライアントのトークン AWS WAF を発行する場合、このプロパティをトークンドメインとして使用します。 は、モバイル SDK AWS WAF クライアントに対して発行するトークンでホストドメインを使用しません。

    詳細については、「AWS WAF モバイル SDK 仕様」で WAFConfiguration domainName 設定を参照してください。

  • Challenge アクション – 保護パック (ウェブ ACL) でトークンドメインリストを指定すると、 は、ホストドメインとリスト内のドメインの中から、 AWS WAF トークンドメインをホストドメインと一致するものに設定します。たとえば、ホストドメインが api.example.comで、トークンドメインリストに がある場合example.com、 はトークンexample.comで AWS WAF を使用します。これは、ホストドメインと一致し、短いためです。保護パック (ウェブ ACL) にトークンドメインリストを指定しない場合、 は保護されたリソースのホストドメインにドメイン AWS WAF を設定します。