コンテンツにスキップ
Reports
Dev Classmethod Jp Articles 2026 06 21 Cloudfront Flat Rate Plan Existi E0780f0e

CloudFront定額プランへの移行時に既存Web ACLを引き継げるか検証してみた

  • URL: https://dev.classmethod.jp/articles/2026-06-21-cloudfront-flat-rate-plan-existing-webacl-migration
  • 日付: 2026-06-22
  • Tier: Tier 2
  • 要旨: CloudFront 定額料金プラン(2025-11 リリース)への移行時、既存 Web ACL の扱いを検証。結果:(1) 従量課金で既存 Web ACL アタッチ状態で移行 → Web ACL・ルールがそのまま引き継がれる、(2) 非対応機能(Rule Group)を含む Web ACL → プラン選択がブロック・事前解除必要、(3) 定額プラン適用後に既存 Web ACL アタッチ → 不可(エラー)、(4) 移行後 CloudFormation でインポート・ルール追加可能。Web ACL は移行時点で固定されるため、プラン適用前の設定が重要。

詳細

CloudFront 定額料金プラン(Flat-Rate Pricing Plans、2025-11 リリース)への移行時に既存 Web ACL・WAF ルールをどう扱うか検証。公式ドキュメント:「定額プランではWeb ACLの関連付けが必須・リソース削除・切り離し不可(pay-as-you-go に戻した場合のみ可)」。新規定額ディストリビューション作成時は CreatedByCloudFront- 接頭辞の Web ACL が自動付与。既存従量課金ディストリビューション移行時の Web ACL は?検証結果 4 ケース:(1) 従量課金で既存 Web ACL をアタッチ → プラン移行 :Web ACL・マネージドルール(AWS-AWSManagedRulesCommonRuleSet)がそのまま引き継がれる(AWS-AWSManagedRulesCommonRuleSet は GA 対応)、(2) 非対応機能(Rule Group)を含む Web ACL :プラン選択画面で Free を含むすべてのプランがグレーアウト・選択不可。移行前に Rule Group を削除・解除が必須、(3) 定額プラン(Free)適用済みディストリビューション :既存 Web ACL を後からアタッチ不可。エラー「You can’t remove or replace the web ACL for your distribution. Distributions with a pricing plan subscription must have a web ACL resource」。定額プランでプラン専用 Web ACL が自動付与されるため、既存 Web ACL アタッチ不可。(4) 移行後の IaC 管理 :CloudFormation resource import で既存 Web ACL を stack にインポート・IP Rate Limit ルール追加で stack update 可能。IMPORT_COMPLETE → UPDATE_COMPLETE で反映。クラウドフロントのセキュリティタブでも CloudFormation 経由のルールが表示。結論:定額プラン移行は「移行前の Web ACL 状態」で決まる。移行時に既存 Web ACL が引き継がれるため、後から変更不可。定額プラン検討時は Web ACL 構成を事前に確認・非対応機能削除・移行後の IaC 管理計画が重要。

ReportsDev Classmethod Jp Articles 2026 06 21 Securityhub Fsbp Remediation Ecs 21