AWS WAF を ALB に直接アタッチするのと CloudFront にアタッチするのでは何が違いますか
2026.05.29
困っていた内容
ALB を運用しているサイトに対して、不要なアクセスを AWS WAF でブロックする構成を検討しています。
AWS WAF は ALB に直接アタッチすることもできますが、ALB の前段に CloudFront を置いて CloudFront 側にアタッチする構成も可能です。
両者にはどのような違いがあるのでしょうか。
回答
両者の最も大きな違いは、リクエストが AWS WAF で評価されるポイントです。
CloudFront にアタッチした AWS WAF はリクエストをエッジロケーションで評価します。
そのため、ブロック対象のリクエストはエッジで遮断され、オリジンとなる ALB には到達しません。
CloudFront ディストリビューションとオリジンサーバーを保護するには、AWS WAF を使用できます。AWS WAF は、リクエストがサーバーに到達する前にブロックすることで、ウェブアプリケーションと API を保護するウェブアプリケーションファイアウォールです。
一方、ALB に直接アタッチした AWS WAF は、リクエストがリージョン内の ALB に到達した時点で評価されます。
ALB が受け付けたリクエストに対して評価が行われるため、 ブロックされる場合でもリクエスト自体は ALB のあるリージョンまで到達する ことになります。
そのため、不要なリクエストを早い段階で遮断したい場合や、ALB が処理するリクエスト数を抑えたい場合は、CloudFront を前段に置いて CloudFront 側に AWS WAF をアタッチする構成が選択肢になります。
参考情報
