Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
AWS WAF において、Amazon IP レピュテーションリストのルールグループ、または匿名リストルールのグループが原因で IP アドレスがブロックされる場合に、ブロックを解除する方法を教えてください。
Amazon IP レピュテーションリストのルールグループ、または匿名 IP リストのルールグループが原因で、正当なリクエストがブロックされるため、問題が発生する IP アドレスを許可したいです。
解決策
Amazon IP レピュテーションリストのルールグループ、または匿名 IP リストのルールグループから IP アドレスを直接削除することはできません。これらのリストがブロックしている特定の IP アドレスを許可するには、IP セットを作成し、ウェブリクエストにスコープダウンステートメントまたはラベルを追加します。
スコープダウンステートメント
リクエストの範囲を絞り込むには、リクエストをブロックしている AWS マネージドルールのルールグループにスコープダウンステートメントを追加します。
次の手順を実行します。
- WAF & Shield コンソールを開きます。
- ナビゲーションペインの [AWS WAF] で [ウェブ ACL] を選択します。
- [リージョン] で、ウェブアクセスコントロールリスト (ウェブ ACL) を作成した AWS リージョンを選択します。
注: ウェブ ACL が Amazon CloudFront 用に設定されている場合は、[グローバル (CloudFront)] を選択します。 - 目的のウェブ ACL を選択します。
- [ルール] で、リクエストをブロックしている AWS マネージドルールのルールグループを選択し、[編集] を選択します。
- 次の情報を更新してください。
[検査範囲 - オプション] で [スコープダウンステートメントと一致するリクエストのみ] を選択します。
[リクエストが以下の場合] で [ステートメントと一致しない (NOT)] を選択します。
[ステートメント] の [検査] で [送信元の IP アドレス] を選択します。
[IP セット] で該当する IP セットを選択します。
送信元アドレスとして使用する IP アドレスは、[送信元 IP アドレス] を選択します。 - [ルールを保存] を選択します。
本番以外の環境で [アクション] を [カウント] に設定し、ルールをテストすることをおすすめします。Amazon CloudWatch メトリクスを参考に、AWS WAF が収集したリクエストまたは AWS WAF ログに含まれるルールを評価します。ルールをテストした後、[アクション] を [ブロック] に変更します。
ウェブリクエストのラベル
ラベルを使用すると、リクエストに一致するルールは、同じウェブ ACL で今後評価するルールに結果を伝達できます。この方法では、同じロジックを複数のルールで再利用できます。
ルールグループのルールアクションを「カウント」に変更する
次の手順を実行します。
- WAF & Shield コンソールを開きます。
- ナビゲーションペインの [AWS WAF] で [ウェブ ACL] を選択します。
- [リージョン] でウェブ ACL を作成したリージョンを選択します。
注: ウェブ ACL が CloudFront 用に設定されている場合は、[グローバル (CloudFront)] を選択します。 - 目的のウェブ ACL を選択します。
- [ルール] で、リクエストをブロックしている AWS マネージドルールのルールグループを選択し、[編集] を選択します。
- [ルール] の [カウント] をオンにします。
- [ルールを保存] を選択します。
AWS マネージドルールのルールグループよりも優先されるルールを作成する
次の手順を実行します。
- WAF & Shield コンソールを開きます。
- ナビゲーションペインの [AWS WAF] で [ウェブ ACL] を選択します。
- [リージョン] でウェブ ACL を作成したリージョンを選択します。
注: ウェブ ACL が CloudFront 用に設定されている場合は、[グローバル (CloudFront)] を選択します。 - 目的のウェブ ACL を選択します。
- [ルール] で [ルールを追加] を選択し、[独自のルールとルールグループを追加] を選択します。
- [名前] にルール名を入力し、[標準ルール] を選択します。
- [リクエストが次の場合] で [すべてのステートメントに一致 (AND)] を選択します。
- [ステートメント 1] では次の操作を行います。
[検査] で [ラベルあり] を選択します。
[一致の範囲] で [ラベル] を選択します。
[マッチキー] では、リクエストをブロックしている AWS マネージドグループのルールグループ内のルールに対するラベルを選択します。 - [ステートメント 2] では次の操作を行います。
[ステートメントを否定します (NOT)] で、[ステートメント結果を否定します] を選択します。
[検査] で [送信元の IP アドレス] を選択します。
[IP セット] で該当する IP セットを選択します。
送信元アドレスとして使用する IP アドレスには、送信元 IP アドレスを選択します。 - [アクション] で [ブロック] を選択します。
- [ルールを追加] を選択します。
- [ルール優先度の設定] で、AWS マネージドルールのルールグループよりも優先度が高くなるようにルールの優先度の番号を更新します。これにより、ウェブ ACL は AWS マネージドルールのルールグループのレビューを確実に実行します。
注: AWS WAF は優先度の低い番号を優先します。たとえば、ルールの優先度を 1 に設定したルールは、AWS WAF によって、優先度の番号が 3 のルールよりも優先されます。 - [保存] を選択します。
注: HostingProviderIPList ルールは、ホスティングプロバイダーやその他のクラウドプロバイダーからのリクエストをブロックします。これらのリクエストを許可するには、このルールのアクションを [カウント] に変更します。
関連するコンテンツ
- 質問済み 2年前