Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird

Wenn Ihre ratenbasierte Regel nur nach IP-Adressen oder weitergeleiteten IP-Adressen aggregiert, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. AWS WAF speichert diese IP-Adressen in der Liste der verwalteten Schlüssel der Regel.

Anmerkung

Diese Option ist nur verfügbar, wenn Sie nur die IP-Adresse oder nur eine IP-Adresse in einem Header aggregieren. Wenn Sie die Anforderungsaggregation für benutzerdefinierte Schlüssel verwenden, können Sie keine Liste mit IP-Adressen mit begrenzter Geschwindigkeit abrufen, selbst wenn Sie eine der IP-Adressspezifikationen in Ihren benutzerdefinierten Schlüsseln verwenden.

Eine ratenbasierte Regel wendet ihre Regelaktion auf Anfragen aus der Liste der verwalteten Schlüssel der Regel an, die der Scopedown-Anweisung der Regel entsprechen. Wenn eine Regel keine Scope-down-Anweisung enthält, wendet sie die Aktion auf alle Anfragen von den IP-Adressen an, die in der Liste aufgeführt sind. Die Regelaktion ist Block standardmäßig, es kann sich aber auch um jede gültige Regelaktion handeln, mit Ausnahme von. Allow Die maximale Anzahl von IP-Adressen, für die AWS WAF eine Ratenbegrenzung mit einer einzigen ratenbasierten Regelinstanz möglich ist, beträgt 10.000. Wenn mehr als 10.000 Adressen das Ratenlimit überschreiten, werden die Adressen mit den höchsten Raten AWS WAF begrenzt.

Sie können über die CLI, die API oder eines der SDKs auf die Liste der verwalteten Schlüssel einer ratenbasierten Regel zugreifen. In diesem Thema wird der Zugriff über CLI und APIs behandelt. Die Konsole bietet derzeit keinen Zugriff auf die Liste.

Für die AWS WAF API lautet der Befehl GetRateBasedStatementManagedKeys.

Für die AWS WAF CLI lautet der Befehl get-rate-based-statement-managed-keys.

Im Folgenden wird die Syntax zum Abrufen der Liste der ratenbegrenzten IP-Adressen für eine ratenbasierte Regel gezeigt, die in einer Web-ACL auf einer Amazon-Distribution verwendet wird. CloudFront

aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

Im Folgenden wird die Syntax für eine regionale Anwendung, eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service oder eine AWS Verified Access-Instance gezeigt.

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

AWS WAF überwacht Webanfragen und verwaltet Schlüssel unabhängig für jede eindeutige Kombination aus Web-ACL, optionaler Regelgruppe und ratenbasierter Regel. Wenn Sie beispielsweise eine ratenbasierte Regel in einer Regelgruppe definieren und die Regelgruppe dann in einer Web-ACL verwenden, überwacht AWS WAF Webanforderungen und verwaltet Schlüssel für diese Web-ACL, die Referenzanweisung der Regelgruppe und die Instance der ratenbasierten Regel. Wenn Sie dieselbe Regelgruppe in einer zweiten Web-ACL verwenden, AWS WAF überwacht Webanfragen und verwaltet Schlüssel für diese zweite Verwendung völlig unabhängig von Ihrer ersten.

Für eine ratenbasierte Regel, die Sie innerhalb einer Regelgruppe definiert haben, müssen Sie in Ihrer Anfrage zusätzlich zum Web-ACL-Namen und dem Namen der ratenbasierten Regel innerhalb der Regelgruppe den Namen der Referenzanweisung für die Regelgruppe angeben. Im Folgenden wird die Syntax für eine regionale Anwendung gezeigt, bei der die ratenbasierte Regel innerhalb einer Regelgruppe definiert ist und die Regelgruppe in einer Web-ACL verwendet wird.

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName