AWS WAF を設定しました。AWS WAF を使用して他の IP アドレスをブロックしながら、自分の IP アドレスを許可する必要があります。これを行うにはどうすればよいですか?
解決方法
AWS WAF は、一連の IP アドレスとアドレス範囲に照らして、ウェブリクエストのソース IP アドレスを検査できます。IP セット内の特定の IP を除くすべての IP からのリクエストをブロックするルールを作成できます。
まず、IP セットを作成します
- AWS WAF コンソールを開きます。
- ナビゲーションペインで、[IP sets] (IP セット) を選択し、[Create IP set] (IP セットを作成) を選択します。
- IP セットについて、[IP set name] (IP セットの名前) と [Description - optional] (説明 - オプション) を入力します。例: MyTrustedIPs。
注: IP セットを作成した後に IP セット名を変更することはできません。
- [Region] (リージョン) で、IP セットを保存する AWS リージョンを選択します。Amazon CloudFront ディストリビューションを保護するウェブ ACL で IP セットを使用するには、[Global (CloudFront)] (グローバル (CloudFront)) を使用する必要があります。
- [IP version] (IP バージョン) で、使用するバージョンを選択します。
- [IP addresses] (IP アドレス) で、CIDR 表記で許可する IP アドレスまたは IP アドレス範囲を 1 行に 1 つ入力します。
注: AWS WAF は、/0 を除くすべての IPv4 および IPv6 CIDR 範囲をサポートします。
例:
IPv4 アドレス 10.20.0.5 を指定するには、10.20.0.5/32 と入力します。
IPv6 アドレス 0:0:0:0:0:ffff:c000:22c を指定するには、0:0:0:0:0:ffff:c000:22c/128 と入力します。
10.20.0.0 から 10.20.0.255 までの範囲の IPv4 アドレスを指定するには、10.20.0.0/24 と入力します。
2620:0:2d0:200:0:0:0:0 から 2620:0:2d0:200:ffff:ffff:ffff:ffff までの範囲の IPv6 アドレスを指定するには、2620:0:2d0:200::/64 と入力します。
- IP セットの設定を確認します。IP セットが仕様に合っている場合は、[Create IP set] (IP セットを作成) を選択します。
その後、IP 一致ルールを作成します
- ナビゲーションペインの [AWS WAF] の下で、[Web ACL] (ウェブ ACL) を選択します。
- [Region] (リージョン) で、ウェブ ACL を作成した AWS リージョンを選択します。
注:ウェブ ACL が Amazon CloudFront 用に設定されている場合は、[Global] (グローバル) を選択します。
- ウェブ ACL を選択します。
- [Rules] (ルール) を選択し、[Add Rules] (ルールを追加)、[Add my own rules and rule groups] (独自のルールとルールグループを追加) の順に選択します。
- [Name] (名前) で、このルールを特定するための名前を入力します。例: Block-Other-IPs。
- [Type] (タイプ) で、[Regular rule] (通常のルール) を選択します。
- [If a request] (リクエストが次の場合) で、[doesn't match the statement (NOT)] (ステートメントと一致しない (NOT)) を選択します。
- [Statement] (ステートメント) の [Inspect] (検査) で、[Originates from IP address in] (次の IP アドレスから発信) を選択します。
- [IP Set] (IP セット) で、前に作成した IP セットを選択します。例: MyTrustedIPs。
- [IP address to use as the originating address] (発信元アドレスとして使用する IP アドレス) で、[Source IP address] (ソース IP アドレス) を選択します。
- [Action] (アクション) で [Block] (ブロック) を選択します。
- [Add rule] (ルールを追加) を選択します。
- [Save] (保存) を選択します。
IP 一致ルールは、IP セットに追加されていない IP をすべてブロックします。IP セットに追加された IP については、リクエストはルールの下にある他のルールによって評価されます。一致しない場合、ウェブ ACL のデフォルトアクションが適用されます。詳細については、「Processing order of rules and rule groups in a web ACL」(ウェブ ACL でのルールとルールグループの処理順序) を参照してください。
関連情報
AWS WAF を使用して、User-Agent ヘッダーを指定しない HTTP リクエストをブロックする方法