AWS WAF v2New PlanFeature / Spec.Managed Rule Plus
WafCharm Liteで利用するリソース上で表示されるエラーについて説明します。
Credential情報では、 [状態] の箇所に検証結果が表示されます。
メッセージ | 説明 |
|---|---|
未検証 | まだ検証が行われていない場合に表示されます。 |
検証済み | 検証に成功している場合に表示されます。 |
認証情報に誤りがあります | 認証情報に誤りがある場合に表示されます。 |
予期せぬエラーが発生しました | 上記以外のエラーの場合に表示されます。 |
WAF Config詳細の [基本設定] 以下のStatusの箇所にそのWAF Configの状態が記載されます。
メッセージ | 説明 |
|---|---|
未検証 | まだ検証が行われていない場合に表示されます。 |
有効 | 検証に成功している場合に表示されます。 |
設定エラー: 認証情報に誤りがあります | 認証情報に誤りがある場合に表示されます。 |
設定エラー: 各種権限が不足しています | 権限が不足している場合に表示されます。 |
設定エラー: Web ACLが見つかりません | Web ACLが存在しないなど、見つからない場合に表示されます。 |
設定エラー: ログ設定が見つかりません | WAFログ連携の設定内容が見つからない場合に表示されます。 |
設定エラー: 予期せぬエラーが発生しました | 上記以外のエラーの場合に表示されます。 |
設定エラー: 適用失敗 | ルールの適用に失敗した場合に表示されます。 上記いずれかのエラーが同時に発生している場合、本エラーは記載されません。 |
[CSC MR設定] タブでは、Statusのような項目はございませんが、WAF ConfigのStatusに記載されているエラーに伴う表示や、ルールのプライオリティに関するご対応をお願いする情報が記載される場合があります。
メッセージ | 説明 |
|---|---|
確認済み | 設定が想定している状態になっている場合に表示されます。 |
CSC Managed Ruleのプライオリティを1000以降に移動する必要があります。 | CSC Managed Rulesがプライオリティ1000以降に存在しない場合に表示されます。 |
お客様管理のルールのプライオリティは、0-99または1000以降に入れていただく必要があります。 | お客様にて適用されたルール(CSC Managed Rulesを除く)のプライオリティが0-99または1000以降にない場合に表示されます。 なお、CSC Managed Rulesがプライオリティ1000以降に存在するかどうかが優先されますので、CSC Managed Rulesのプライオリティによってはこのエラーは表示されません。 |
CSC Managed Rulesが設定されていません。 | CSC Managed Rulesが対象のWeb ACLに適用されていない場合に表示されます。 この状態の場合でも、WafCharm Liteはご利用いただけます。メッセージを非表示にすることはできません。 |
Web ACLが見つかりません | Web ACLが存在しないなど、見つからない場合に表示されます。 |
認証情報に誤りがあります | 権限が不足している場合に表示されます。 |
予期せぬエラーが発生しました | 上記以外のエラーの場合に表示されます。 |
以下に、各エラーが表示される原因の例を記載します。あくまで例となりますので、他の原因でも表示される場合がございます。エラーが表示された場合には、それぞれの設定状況を再度ご確認ください。
エラーの原因を解消した後、再度バリデーションを行う際には、以下の対応を実施してください。
Credential Storeに登録されたクレデンシャル情報に誤りがあることを表しています。
登録した値の誤りや、AWSマネージメントコンソールにて削除した場合などにエラーが表示される場合があります。
Credential Storeに登録されている認証情報とAWSマネージメントコンソールに登録されている情報が一致するかご確認ください。
IAMポリシーに指定された権限が不足していることを表しています。
WafCharm Liteを利用するためには、以下の権限の付与をお願いしています。
なお、S3バケットに対する権限(AmazonS3ReadOnlyAccess)については、WafCharmからアクセスできるリソースも制限することを推奨しております。
AWS WAFの権限については、機能追加や更新などで権限が不足することが考えられますので、AWSWAFFullAccessの付与をおすすめします。権限についてご不安な場合には、AssumeRoleというよりセキュアな認証方法がございますので、こちらをご検討ください。
また、AWS WAFに対するポリシー内のResourceについては * での指定をお願いします。
対象のリソースが見つからないことを表しています。 例えば、WAF Configを削除する前にWeb ACLを削除した場合などはこのようなエラーが表示されます。
対象のリソースが見つからないことを表しています。 例えば、AWS WAFのLogging設定にてWAFログ出力設定がされていない場合などにエラーとなります。
WafCharm Liteが提供するルールの適用に失敗したことを表しています。例えば、WafCharm Liteが提供するルールで使用する予定のPriorityをその他のルールで使用している場合などです。
CSC Managed Rulesがプライオリティ1000以降に存在しない場合に表示されます。CSC Managed Rulesはプライオリティ1000以降でご利用いただくことを想定しておりますので、 [ルールのプライオリティを変更する] ボタンをクリックして変更するか、WafCharm Liteのルールプライオリティについて に記載の方法で変更してください。
お客様にて適用されたルールのプライオリティが、WafCharm Liteで想定している値になっていない可能性があります。WafCharm Liteが提供するルールを除く、お客様にて設定されたルールや、CSC Managed Rulesについては、特定の順序でご利用いただくことを想定しております。この想定と実際のルール順序が異なる場合、このメッセージが表示されます。
お客様にて設定されたルール(AWS Managed Rulesも含む)は0〜99か1000以降、CSC Managed Rulesは1000以降に適用してください。
プライオリティについては、WafCharm Liteのルールプライオリティについて もご確認ください。
なお、CSC Managed Rulesのプライオリティが1000以降に存在することが優先されます。仮にお客様管理のルールが想定されていない位置にあったとしても、CSC Managed Rulesのプライオリティが1000より下の値に設定されている場合、CSC Managed Ruleのプライオリティを1000以降に移動する必要があります。 というメッセージが表示されます。
対象のWeb ACLにCSC Managed Rulesが設定されていない場合に表示されます。WafCharm LiteではCSC Managed Rulesの利用を推奨しておりますが必須ではございませんので、不要な場合にはご対応いただく必要はございません。
しかしながら、CSC Managed Rulesが設定されていない場合に、このメッセージを非表示にすることはできません。
上記いずれにも該当しない場合や、S3バケットに直接WAFログを出力していない場合など、システム上予期していないエラーを表します。
また、WafCharm LiteではAWSWAFFullAccessが存在しない場合、 [CSC MR設定] タブにてこのエラーが表示されます。
[検証] ボタン、[再検証] ボタン、 [ルールのプライオリティを変更する] ボタンのいずれかをクリックして、バリデーションを実行することで解消する可能性がございます。 複数回実行しても結果が変わらない場合は弊社にて調査を行いますので、以下の内容を添えてサポートまでお問い合わせください。