WAFで特定IPだけ許可

WAF を利用することで、CloudFrontALB に対するリクエストのアクセス制御をすることができます。ここでは、CloudFrontWAF を紐づけて、特定IPだけアクセスできるようにしてみます。

概念・用語

以下、WAFの利用イメージです。

672-aws-waf-ip_disc_1.png
672-aws-waf-ip_disc_2.png

管理画面の表示です。

ACL作成

ACLの作成開始

672-aws-waf-ip_1.png

Go to AWS WAFをクリックします。

672-aws-waf-ip_2.png

Configure web ACLをクリックします。

672-aws-waf-ip_3.png

ACLの名前を入力して、Nextをクリックします。

Conditionの作成

672-aws-waf-ip_4.png

今回はIP条件を作成します。

672-aws-waf-ip_5.png

「条件の名前」と「IPアドレス」を入力します。

Ruleの作成

672-aws-waf-ip_6.png

Create ruleをクリックします。

672-aws-waf-ip_7.png

条件は、does (条件内)does not (条件外) を選択できます。

今回は、doesを選択して、先ほど作成した Condition を指定します。

アクションの設定

672-aws-waf-ip_8.png

「作成したRuleのアクション」と「デフォルトアクション」を設定します。

今回は、作成したルールを Allow(許可) します。

デフォルトをBlock(拒否)します。

CloudFrontにACLを紐付け

672-aws-waf-ip_9.png

CloudFrontのDistributionの設定で、作成したACLを指定できるようになりました。

参考