メインコンテンツへスキップ
テナント ACL は、受信リクエストの評価に決定論的エンジンを使用します。アクション (許可、ブロック、またはリダイレクト) を実行する必要があるかどうかを判断するために、エンジンは次の手順で評価します。
  1. 評価順序 (優先順位)
  2. 条件の一致 (シグナル)
  3. 一致時の評価終了 (モニタリングモード の例外あり)

評価順序

テナント ACL は、優先順位番号の昇順でRuleを評価します。評価は最も小さい番号である優先順位 0 から開始し、その後は順に進みます。 2 つのRuleがどちらもリクエストに一致する可能性がある場合は、優先順位番号が低い方が先に適用されます。

条件一致

単一のRuleがそのActionをトリガーするには、マッチングロジックを満たしている必要があります。このロジックは、エンジンが複数の値および複数のシグナルタイプをどのように扱うかを決定します。
Logic TypeBehaviorDescriptionExample
シグナルのマッチングOR特定のシグナル内では、そのシグナル要件を満たすために、リクエストがリスト内の少なくとも1つのエントリに一致している必要があります。ipv4_cidrs に複数の IP CIDR が含まれている場合、そのうち少なくとも1つに一致する必要があります。
複数シグナルANDRuleに複数の異なるシグナルタイプが含まれている場合、リクエストは指定されたすべてのシグナルタイプに一致する必要があります。ただし例外として、Ruleに ipv4_cidrsipv6_cidrs の両方が含まれている場合は、どちらか一方だけが一致すれば十分です。Ruleに ipv4_cidrsasn の両方がある場合は、両方に一致する必要があります。
Ruleで指定されていないシグナルタイプは無視され、Ruleの評価ロジックには影響しません。

一致時の終了

テナント ACL は、最初に一致したRuleを適用します。Ruleの条件がすべて満たされると、その後の動作は、そのRuleがモニタリングモードかどうかによって異なります。
動作モニタリングモード無効モニタリングモード有効
ログ出力acls_summary のログイベントが生成されます。acls_summary のログイベントが生成されます。
実行Ruleで定義されたアクションが直ちに実行されます。Ruleで定義されたアクションは実行されません。
評価評価は終了します。後続または優先度の低い Tenant ACL Ruleは評価されません。評価は優先度リスト内の次のRuleに進みます。