翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ルールグループ内のアクションオーバーライド
ルールグループをウェブ ACL に追加するとき、一致するウェブリクエストに対して実行されるアクションをオーバーライドできます。ウェブ ACL 設定内のルールグループのアクションをオーバーライドしても、ルールグループ自体は変更されません。ウェブ ACL AWS WAF のコンテキストでのルールグループの使用方法を変更するだけです。
ルールアクションのオーバーライド
ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。
注記
ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストのウェブ ACL 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。
ルールアクションのオプションは以下のとおりです。
-
Allow— AWS WAF AWS 保護対象リソースにリクエストを転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。
-
Block— AWS WAF リクエストをブロックします。これは終了アクションです。デフォルトでは、 AWS 保護対象リソースは HTTP
403 (Forbidden)ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。 AWS WAF リクエストをブロックすると、Block保護対象リソースがクライアントに送り返すレスポンスはアクション設定によって決まります。 -
Count— AWS WAF リクエストをカウントしますが、許可するかブロックするかは決定しません。これは非終了アクションです。 AWS WAF がウェブ ACL の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。
-
CAPTCHAand Challenge — CAPTCHA AWS WAF パズルとサイレントチャレンジを使用してリクエストがボットからのものではないことを確認し、 AWS WAF トークンを使用して最近成功したクライアントの応答を追跡します。
注記
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF の料金
」を参照してください。 これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。
-
有効かつ期限切れでないトークンの非終了 — 設定された CAPTCHA またはチャレンジ・イミュニティ時間に従ってトークンが有効で有効期限が切れていない場合、アクションと同様にリクエストを処理します。 AWS WAF Count AWS WAF ウェブ ACL の残りのルールに基づいてウェブリクエストを引き続き検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。
-
無効または期限切れのトークンのリクエストをブロックして終了 — トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、アクションと同様に、 AWS WAF ウェブリクエストの検査を終了し、リクエストをブロックします。Block AWS WAF 次に、カスタムレスポンスコードでクライアントに応答します。CAPTCHAというのも、リクエストの内容からクライアントのブラウザが処理できることが示されている場合、 JavaScript 人間のクライアントとボットを区別するためのインタースティシャルで CAPTCHA AWS WAF パズルを送信するからです。Challengeアクションでは、 AWS WAF JavaScript 通常のブラウザーとボットが実行しているセッションを区別するように設計されたサイレントチャレンジを含むインタースティシャルを送信します。
詳細については、「CAPTCHAそして ChallengeAWS WAF」を参照してください。
-
このオプションの使用方法については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。
ルールアクションを Count にオーバーライド
ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。
これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。
テストでルールアクションのオーバーライドを使用する詳細については、「AWS WAF 保護機能のテストと調整」を参照してください。
JSON リスト: RuleActionOverrides を ExcludedRules に置き換えます
2022 年 10 月 27 日より前にウェブ ACL Count 設定でルールグループのルールアクションをに設定した場合、ウェブ ACL JSON AWS WAF にオーバーライドをとして保存しました。ExcludedRulesこれで、ルールを Count にオーバーライドする JSON 設定が RuleActionOverrides 設定に追加されました。
AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON 内のすべての設定を、ExcludedRulesRuleActionOverridesオーバーライドアクションがに設定された設定に自動的に変換します。Count
-
現在の設定例:
"ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "RuleActionOverrides": [ { "Name": "AdminProtection_URIPATH", "ActionToUse": { "Count": {} } } ] -
古い設定例:
OLD SETTING "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "ExcludedRules": [ { "Name": "AdminProtection_URIPATH" } ] OLD SETTING
JSON リストですべての ExcludedRules 設定は、アクションを Count に設定した RuleActionOverrides 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい RuleActionOverrides 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。
ルールグループアクションを Count にオーバーライド
ルールグループが返すアクションをオーバーライドして、Count に設定できます。
注記
AWS WAF これはルールグループ自体の評価方法を変更しないため、ルールグループ内のルールをテストするには適していません。ルールグループの評価によってウェブ ACL AWS WAF に返された結果の処理方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション ルールアクションのオーバーライド を使用します。
ルールグループアクションをにオーバーライドするとCount、 AWS WAF ルールグループの評価は通常どおり処理されます。
ルールグループ内のルールが一致しない、あるいはすべての一致するルールに Count アクションがある場合、このオーバーライドはルールグループまたはウェブ ACL の処理に影響を与えません。
ルールグループ内でウェブリクエストと一致し、終了ルールアクションが設定された最初のルールは、ルールグループの評価を停止し、終了アクションの結果をウェブ ACL 評価レベルに戻します。 AWS WAF この時点で、ウェブ ACL の評価では、このオーバーライドが有効になります。 AWS WAF 終了アクションをオーバーライドして、ルールグループの評価結果がアクションのみになるようにします。Count AWS WAF その後、ウェブ ACL 内の残りのルールの処理を続行します。
このオプションの使用方法については、「ルールグループの評価結果を Count にオーバーライド」を参照してください。
