Création d'une liste ACL web

Note

Il s'agit d'une documentation AWS WAF classique. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et des ACL Web, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer vos ressources, veuillez consulter Migration de vos ressources AWS WAF classiques vers AWS WAF.

Pour la dernière version de AWS WAF, voirAWS WAF.

Pour créer une liste ACL web

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

   Si le bouton Passer à la AWS WAF version classique apparaît dans le volet de navigation, sélectionnez-le.

2. Si c'est la première fois que vous utilisez AWS WAF Classic, choisissez Go to AWS WAF Classic, puis Configure Web ACL. Si vous avez déjà utilisé AWS WAF Classic, choisissez Web ACL dans le volet de navigation, puis choisissez Create Web ACL.

3. Pour le nom de l'ACL Web, entrez un nom.

   Note

   Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

4. Pour le nom de la CloudWatch métrique, modifiez le nom par défaut le cas échéant. Le nom peut uniquement contenir des caractères alphanumériques (A-Z, a-z, 0-9), avec une longueur maximale de 128 caractères et une longueur minimale d'un caractère. Il ne peut pas contenir d'espaces blancs ou de noms de métriques réservés à AWS WAF Classic, notamment « All » et « Default_Action ».

   Note

   Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

5. Choisissez une région dans Région .

6. Pour AWS resource, choisissez la ressource que vous souhaitez associer à cette liste ACL web, puis choisissez Next.

7. Si vous avez déjà créé les conditions que vous souhaitez que AWS WAF Classic utilise pour inspecter vos requêtes Web, choisissez Next, puis passez à l'étape suivante.

   Si vous n'avez pas encore créé de conditions, faites-le maintenant. Pour plus d’informations, consultez les rubriques suivantes :

   • Utilisation des conditions de correspondance de scripts inter-site

   • Utilisation des conditions de correspondance IP

   • Utilisation des conditions de correspondance géographique

   • Utilisation des conditions de contrainte de taille

   • Utilisation des conditions de correspondance d'injection SQL

   • Utilisation des conditions de correspondance de chaîne

   • Utilisation des conditions de correspondance d'expression régulière

8. Si vous avez déjà créé les règles ou les groupes de règles (ou si vous êtes abonné à un AWS Marketplace groupe de règles) que vous souhaitez ajouter à cette ACL Web, ajoutez-les à l'ACL Web :

   1. Dans la liste Rules, sélectionnez une règle.

   2. Choisissez Add rule to web ACL.

   3. Répétez les étapes a et b jusqu'à ce que vous ayez ajouté toutes les règles que vous souhaitez ajouter à cette liste ACL web.

   4. Passez à l'étape 10.

9. Si vous n'avez pas encore créé de règles, vous pouvez ajouter des règles maintenant :

   1. Choisissez Créer une règle.

   2. Entrez les valeurs suivantes :

      Nom

      Entrez un nom.

      CloudWatch nom de la métrique

      Entrez le nom de la CloudWatch métrique que AWS WAF Classic créera et associera à la règle. Le nom peut uniquement contenir des caractères alphanumériques (A-Z, a-z, 0-9), avec une longueur maximale de 128 caractères et une longueur minimale d'un caractère. Il ne peut pas contenir d'espaces blancs ou de noms de métriques réservés à AWS WAF Classic, notamment « All » et « Default_Action ».

      Note

      Vous ne pouvez pas modifier le nom de la métrique après avoir créé la règle.

   3. Pour ajouter une condition à la règle, spécifiez les valeurs suivantes :

      does/does not pour une requête

      Si vous souhaitez que AWS WAF Classic autorise ou bloque les demandes en fonction des filtres d'une condition, par exemple les demandes Web provenant de la plage d'adresses IP 192.0.2.0/24, choisissez does.

      Si vous souhaitez que AWS WAF Classic autorise ou bloque les demandes en fonction de l'inverse des filtres d'une condition, choisissez Non. Par exemple, si une condition de correspondance IP inclut la plage d'adresses IP 192.0.2.0/24 et que vous souhaitez que AWS WAF Classic autorise ou bloque les demandes qui ne proviennent pas de ces adresses IP, Choose does not.

      match/originate from

      Choisissez le type de condition que vous voulez ajouter à la règle :

      • Conditions de correspondance des scripts intersites : choisissez de faire correspondre au moins un des filtres dans la condition de correspondance des scripts intersites

      • Conditions de correspondance IP : choisissez l'origine à partir d'une adresse IP dans

      • Conditions de correspondance géographique : choisissez l'origine à partir d'un emplacement géographique dans

      • Conditions de contrainte de taille : choisissez de faire correspondre au moins un des filtres de la condition de contrainte de taille

      • Conditions de correspondance par injection SQL : choisissez faire correspondre au moins un des filtres dans la condition de correspondance par injection SQL

      • Conditions de correspondance de chaîne : choisissez de faire correspondre au moins un des filtres de la condition de correspondance de chaîne

      • Conditions de correspondance regex : choisissez faire correspondre au moins un des filtres de la condition de correspondance regex

      condition name

      Choisissez la condition que vous souhaitez ajouter à la règle. La liste affiche uniquement les conditions du type que vous avez choisi dans la liste précédente.

   4. Pour ajouter une autre condition à la règle, choisissez Add another condition, et répétez les étapes b et c. Notez ce qui suit :

      • Si vous ajoutez plusieurs conditions, une requête Web doit correspondre à au moins un filtre dans chaque condition pour que AWS WAF Classic autorise ou bloque les demandes en fonction de cette règle.

      • Si vous ajoutez deux conditions de correspondance d'adresses IP à la même règle, AWS WAF Classic autorisera ou bloquera uniquement les demandes provenant d'adresses IP figurant dans les deux conditions de correspondance d'adresses IP.

   5. Répétez l'étape 9 jusqu'à ce que vous ayez créé toutes les règles que vous souhaitez ajouter à cette liste ACL web.

   6. Choisissez Créer.

   7. Continuez à l'étape 10.

10. Pour chaque règle ou groupe de règles de l'ACL Web, choisissez le type de gestion que vous souhaitez que AWS WAF Classic fournisse, comme suit :

    • Pour chaque règle, choisissez si vous souhaitez que AWS WAF Classic autorise, bloque ou compte les requêtes Web en fonction des conditions de la règle :

      • Autoriser : API Gateway CloudFront ou Application Load Balancer répond avec l'objet demandé. Dans le cas où CloudFront, si l'objet ne se trouve pas dans le cache périphérique, CloudFront transmet la demande à l'origine.

      • Bloquer — API Gateway CloudFront ou Application Load Balancer répond à la demande avec un code d'état HTTP 403 (Interdit). CloudFront peut également répondre avec une page d'erreur personnalisée. Pour plus d’informations, consultez Utilisation de AWS WAF Classic avec des pages d'erreur CloudFront personnalisées.

      • Nombre — AWS WAF Classic incrémente un compteur de demandes qui répondent aux conditions de la règle, puis continue à inspecter la demande Web en fonction des règles restantes de l'ACL Web.

        Pour de plus amples informations sur l'utilisation de Count pour tester une liste ACL web avant de commencer à l'utiliser pour autoriser ou bloquer des demandes web, veuillez consulter Comptabilisation des demandes web qui correspondent aux règles dans une liste ACL web.

    • Pour chaque groupe de règles, définissez l'action de substitution pour le groupe de règles :

      • Aucune dérogation : entraîne l'utilisation des actions des règles individuelles au sein du groupe de règles.

      • Remplacer par décompte : remplace toutes les actions de blocage spécifiées par les règles individuelles du groupe, de sorte que toutes les demandes correspondantes sont uniquement prises en compte.

      Pour plus d’informations, consultez Substitution du groupe de règles.

11. Si vous souhaitez modifier l'ordre des règles dans l'ACL Web, utilisez les flèches de la colonne Ordre. AWS WAF Classic inspecte les requêtes Web en fonction de l'ordre dans lequel les règles apparaissent dans l'ACL Web.

12. Si vous souhaitez supprimer une règle que vous avez ajoutée à la liste ACL web, choisissez le x sur la ligne de la règle.

13. Choisissez l'action par défaut pour la liste ACL web. C'est l'action que AWS WAF Classic effectue lorsqu'une requête Web ne répond aux conditions d'aucune des règles de cette ACL Web. Pour plus d’informations, consultez Choix de l'action par défaut pour une liste ACL web.

14. Choisissez Review and create.

15. Vérifiez les paramètres de la liste ACL web, puis sélectionnez Confirm and create.