AWS WAFで特定パス以下に海外IPアクセス制御

AWS WAF にて、「ALB」に対して、
国内IPではない、かつ、/admin 以下のパス、でのアクセスの場合に、
アクセス制御（「403 Forbidden」エラー）となるように設定したときの備忘録です。

1．Web ACL 作成前に /admin 判定の設定

AWS WAF の サイドメニュー「Regex pattern sets」を開き「Asia Pacific (Tokyo)」に切り替え、
[ Create regex pattern set ] 押下

Regex pattern set details

・Regex pattern set name：admin（自由に入力）
・Description - optional：（空で登録可能なので空で登録）
・Region：Asia Pacific (Tokyo)
・Regular expressions：.*/admin*（/admin 以下）

[ Create regex pattern set ] 押下

2．「Regex pattern sets」登録完了後、Web ACL 作成

AWS WAF の サイドメニュー「Web ACLs」を開き「Asia Pacific (Tokyo)」に切り替え、
[ Create web ACL ] 押下

▼ Step 1　Describe web ACL and associate it to AWS resources

Web ACL details

・Name：myACL（自由に入力）
・Description - optional：（空で登録可能なので空で登録）
・CloudWatch metric name：（Nameの入力値が自動入力される）
・Resource type：Regional resources(Application Load Balancer, API Gateway, AWS AppSync)
・Region：Asia Pacific (Tokyo)

Associated AWS resources

[ Add AWS Resources ] を押下し「Application Load Balancer」からをALBを選択して「Add」を押下
[ Next ] を押下

▼ Step 2　Add rules and rule groups

Rules

「Add rules」プルダウン「Add my own rules and rule groups」を選択

Rule type

・Rule type：Rule builder

Rule

・Name：block-from-overseas（自由に入力）
・Type：Regular rule

If a request ＞ プルダウン「matches all the statements (AND)」を選択

Statement 1

・Negate statement (NOT)：「Negate statement results」にチェックを入れる
　→ チェックを入れると【 Statement 1 】が【 NOT Statement 1 】に切り替わる
・Inspect：Originates from a country in
・Country codes：Japan - JP（検索の入力エリアに「jp」など入力するとすぐに見つかる）
・IP address to use to determine the country of origin：Source IP address

　－ AND －

Statement 2

・Negate statement (NOT)「Negate statement results」にチェックを入れない
・Inspect：URI path
・Match type：Matches pattern from regex pattern set
・Regex pattern set：admin（「Regex pattern sets」で /admin 以下判定を設定した名前）
・Text transformation：None

Action

・Action：Block
[ Add rule ] を押下

Default web ACL action for requests that don't match any rules

・Default action：Allow
[ Next ] を押下

▼ Step 3　Set rule priority

[ Next ] を押下

▼ Step 4　Configure metrics

[ Next ] を押下

▼ Step 5　Review and create web ACL

内容を確認して [ Create web ACL ] を押下（ → 完了まで数十秒程かかりました ）

動作確認

海外からのアクセスを確認できるツール（サイト）以下2つで検証を行いました。
・「WebPagetest」https://www.webpagetest.org/
・「browserling」https://www.browserling.com/

設定前にアクセス出来ている事を確認し、設定後は「403 Forbidden」になるか確認。

AWS WAF の Web ACLs からも、
Web ACLの詳細画面【 Sampled requests 】にてブロックしたアクセスを確認可能。
プルダウンにて設定したルール名を選択すると、ブロックしたアクセスを絞り込んで確認可能。

最後に

「Regex pattern sets」で /admin 以下判定を設定しなくても、
「URI path」のところをMatch type：Starts with stringにして、
String to match：/adminにしてもよかったのかもかもしれません←