CloudFront の定額プランで用意した WebACL を使用できるか教えてください

困っていた内容

CloudFront の定額プランを検討中です。
別途用意した AWS WAF の Web ACL を関連付けられるか教えてください。

どう対応すればいいの?

独自の Web ACL を関連付けることはできないため、従量課金プランを使用してください。

• CloudFront flat-rate pricing plans - Amazon CloudFront

You must have a AWS WAF Web ACL associated with your distribution if you're using a pricing plan. This resource cannot be removed or disassociated from your distribution unless you switch to pay-as-you-go pricing for that distribution.

2025年12月時点の挙動として、定額プランではデフォルトで Web ACL が作成され、ディストリビューションに関連付けられます。
定額プランでは Web ACL の関連付けを解除することができないため、独自の Web ACL を関連付けることができません。

独自の Web ACL を関連付けたい場合は、従量課金プランの CloudFront をご検討ください。

なお、AWS CLI で関連付けの解除を試みるとInvalidArgumentエラーとなります。

$ aws cloudfront disassociate-distribution-web-acl \
    --id E1XNX8R2GOAABC \
    --if-match EEZQ9Z24VM1ABC

An error occurred (InvalidArgument) when calling the DisassociateDistributionWebACL operation: You can't remove or replace the web ACL for your distribution. Distributions with a pricing plan subscription must have a web ACL resource.

参考資料

• CloudFront flat-rate pricing plans - Amazon CloudFront

You must have a AWS WAF Web ACL associated with your distribution if you're using a pricing plan. This resource cannot be removed or disassociated from your distribution unless you switch to pay-as-you-go pricing for that distribution.

• AWS リソースとの保護の関連付けまたは関連付け解除 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

各 AWS リソースを 1 つの保護パック (ウェブ ACL) にのみ関連付けることができます。保護パック (ウェブ ACL) と AWS リソースの関係は 1 対多です。