• ALBもしくはCloudFrontを使用する必要があります
• AWS WAFはCDN(CloudFront)とロードバランサ(ALB)とAPI Gatewayに設置できます

• OSI参照モデルのレイヤー7のDoS攻撃を防いでくれる機能
• HTTPのGET/POSTメソッドを使用した攻撃に対して有効です

• セキュリティーベンダーだけでなく、AWSからも純正のマネージドルールがリリースされました。
• v1では、ルールが10個までしか登録できませんでした。v2では10個という制約の代わりに、ルールの数ではなく重みを評価するようになりました。(キャパシティユニット)

条件の使用 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

• 導入が一番簡単で価格も安い
• AWSの用意した下記11個のルールグループの中から、自分のWebアプリケーションを守るために役に立ちそうなルールを選択します。

CloudFormationテンプレート

F5やFortinetなどのセキュリティベンダーから提供され、マーケットプレイスから購入し機能をオンにするだけ

• ルールが自動的に設定されるため、自分で考える必要がない
• WAFサービスの提供では実績が高い会社のサービス
• 日本語でサポート
• シグニチャ作成もサポート範囲に含まれる

基本的にはマネージドルールをメインで使い、マネージドルールに無い機能をセキュリティオートメーションからピックアップして使えばいいような気がしています。 具体的には、以下の機能はマネージドルールにはありません。

HTTP Flood ProtectionのRequest Threshold
Scanner & Probe Protection

AWS WAF セキュリティーオートメーションがWAFv2で利用できるようになりました - サーバーワークスエンジニアブログ