- 新しい順
- 投票が多い順
- コメントが多い順
AWS WAFのルール設定において、複合条件を使用して特定のIPアドレスからのアクセスを許可しつつ、同時に特定の条件でブロックする設定を行うことは可能です。ただし、現在の設定方法では、0番のルールで許可されたIPアドレスからのアクセスは、それ以降のルールが評価されないため、望む結果が得られていません。
この問題を解決するためには、以下のようなアプローチを取ることができます:
-
ルールの順序を変更する: マネージドルールを最初に配置し、その後にIPアドレスによる許可ルールを設定します。これにより、マネージドルールが先に評価され、条件に合致した場合はブロックされます。
-
カスタムルールの作成: IPアドレスとUser-Agentの両方の条件を含む単一のカスタムルールを作成します。このルールでは、特定のIPアドレス範囲からのアクセスを許可しつつ、空のUser-Agentを持つリクエストをブロックするロジックを実装できます。
-
ルールグループの使用: 複数のルールを組み合わせたルールグループを作成し、より複雑な条件を設定することができます。
-
AND条件の使用: IPアドレスの条件とUser-Agentの条件を AND で結合したルールを作成します。これにより、両方の条件を満たす場合のみアクションが実行されます。
具体的な実装方法としては、AWS WAFのWebACLで以下のようなルール構成を考えることができます:
- AWS マネージドルール(Block)-1
- AWS マネージドルール(Block)-2
- AWS マネージドルール(Block)-3
- カスタムルール:
- 条件1: 許可するIPアドレス範囲
- 条件2: User-Agentが空でない
- アクション: 両方の条件を満たす場合に許可、それ以外はブロック
この設定により、マネージドルールで検出される脅威をまずブロックし、その後で特定のIPアドレスからの正常なアクセスのみを許可することができます。同時に、許可されたIPアドレスからでも、不適切なUser-Agentを持つリクエストはブロックされます。
Sources
如何讓 IAM 使用者只看的到自己建立的資源 ( How to allow IAM users to only see resources they have created.) | AWS re:Post
関連するコンテンツ
- AWS公式更新しました 7ヶ月前
