ALBのセキュリティグループとWAFのIPブロック判定だと、ALBのセキュリティグループが先に判定される

これは何か

構成図でよくこういった表現がされており、判定はWAFの⽅が先にされそうな気になるが実態はそうではなかった。

ALBのセキュリティグループで判定 → WAFで判定 → OKだったらEC2にリクエストという動きになる。

基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。

上述のAWS WAFへの転送をする前にセキュリティグループで判定する動きになる。