【WAF + CloudFront】トラフィックを先に受け取るのはどちらか？

はじめに

本記事では、Amazon CloudFront (以下 CloudFront )に AWS WAF (以下 WAF )が関連付けられているとき、トラフィックを先に受け取るサービスがどちらなのかを説明します。

結論からお伝えすると、トラフィックを先に受け取るのは CloudFront です。

経緯

ある日、CloudFront に WAF が関連付けられた構成図を作成しました。
簡素な例ですが、以下のような構成図を思い浮かべてください。

この構成図にトラフィックの流れを矢印で追加しようと考えましたが、ここで手が止まりました。
CloudFront と WAF の2つのサービスについて、どちらが先にトラフィックを受け取るのか分からなかったためです。

構成図の原案

案1：WAF が先の場合

WAF が先にトラフィックを受け取る場合、以下の構成図になりそうです。
WAF がトラフィックを制御するイメージを伝えやすいですね。

案2：CloudFront が先の場合

CloudFront が先にトラフィックを受け取る場合、以下の構成図になりそうです。
ユーザーリクエストの入り口としては、CloudFront が適切に思えます。

確認した結果

WAF のよくある質問¹を確認すると、以下のように記載されています。

2.AWS WAF はどのようにトラフィックをブロックまたは許可しますか?
基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。リクエストがルールで定義された条件を満たすと、AWS WAF は基礎となるサービスに対し、定義したアクションに基づいてリクエストのブロックまたは許可のいずれかを指示します。

すなわち私の構成に当てはめると、以下の流れになります。

① CloudFront がユーザーリクエストを受け取る。
② WAF にリクエストを転送する。
③ WAF がリクエストの許可・ブロックを CloudFront に指示する。
④ 許可されたリクエストが CloudFront から送信される。

まとめ

CloudFront に WAF が関連付けられているとき、トラフィックを先に受け取るのは CloudFront です。
CloudFront から WAF にトラフィックを転送して、検査を行います。
検査の結果、WAF がトラフィックの許可・ブロックを CloudFront に指示して、許可されたトラフィックが送信されます。

私が当初考えた案1と案2は、どちらも正確ではない構成図だったことが分かりました。
本記事が少しでもお役に立てれば幸いです。

参考文献

¹ "よくある質問 - AWS WAF | AWS". AWS. https://aws.amazon.com/jp/waf/faq/, (参照 2025-6-11)

この記事は私が書きました

Hirano

記事一覧

AWSの知見を身につけるため、一大決心でP&Sに入社しました。 目標はシステム改善に大きく貢献できるエンジニアになることです。 簡単な内容であっても自身が戸惑った点を投稿することで、同じ苦労をしている方の助けになれば嬉しいです！