AWS WAF étiquettes sur les requêtes Web

Une étiquette est une métadonnée ajoutée à une demande Web par une règle lorsque la règle correspond à la demande. Une fois ajoutée, une étiquette reste disponible sur la demande jusqu'à la fin de l'évaluation de l'ACL Web. Vous pouvez accéder aux libellés dans les règles qui seront exécutées ultérieurement dans le cadre de l'évaluation de l'ACL Web à l'aide d'une instruction label match. Pour plus de détails, consultez Déclaration relative à la règle de correspondance des étiquettes.

Les étiquettes figurant sur les requêtes Web génèrent des statistiques relatives aux CloudWatch étiquettes Amazon. Pour obtenir la liste des mesures et des dimensions, voirMétriques et dimensions des étiquettes. Pour plus d'informations sur l'accès aux métriques et aux résumés des métriques via CloudWatch et via la AWS WAF console, consultezSurveillance et réglage.

Cas d'utilisation de l'étiquetage

Les cas d'utilisation courants des AWS WAF étiquettes sont les suivants :

Évaluation d'une demande Web par rapport à plusieurs instructions de règle avant d'agir sur la demande — Une fois qu'une correspondance est trouvée avec une règle dans une ACL Web, AWS WAF continue d'évaluer la demande par rapport à l'ACL Web si l'action de règle ne met pas fin à l'évaluation de l'ACL Web. Vous pouvez utiliser des étiquettes pour évaluer et collecter des informations issues de plusieurs règles avant de décider d'autoriser ou de bloquer la demande. Pour ce faire, modifiez les actions de vos règles existantes Count et configurez-les pour ajouter des étiquettes aux demandes correspondantes. Ajoutez ensuite une ou plusieurs nouvelles règles à exécuter après vos autres règles, puis configurez-les pour évaluer les étiquettes et gérer les demandes en fonction des combinaisons de correspondance des étiquettes.
Gestion des requêtes Web par région géographique — Vous pouvez utiliser uniquement la règle de correspondance géographique pour gérer les demandes Web par pays d'origine. Pour affiner l'emplacement au niveau de la région, vous utilisez la règle de correspondance géographique avec une Count action suivie d'une règle de correspondance des étiquettes. Pour plus d'informations sur la règle de correspondance géographique, consultezInstruction de correspondance géographique de règle.
Réutilisation de la logique entre plusieurs règles : si vous devez réutiliser la même logique pour plusieurs règles, vous pouvez utiliser des étiquettes pour obtenir une source unique de la logique et simplement tester les résultats. Lorsque plusieurs règles complexes utilisent un sous-ensemble commun d'instructions de règles imbriquées, la duplication de l'ensemble de règles communes entre vos règles complexes peut prendre du temps et être source d'erreurs. Avec les étiquettes, vous pouvez créer une nouvelle règle avec le sous-ensemble de règles communes qui compte les demandes correspondantes et leur ajoute une étiquette. Vous ajoutez la nouvelle règle à votre ACL Web afin qu'elle s'exécute avant vos règles complexes d'origine. Ensuite, dans vos règles d'origine, vous remplacez le sous-ensemble de règles partagées par une règle unique qui vérifie l'étiquette.

Supposons, par exemple, que vous souhaitiez appliquer plusieurs règles uniquement à vos chemins de connexion. Plutôt que de demander à chaque règle de spécifier la même logique pour correspondre aux chemins de connexion potentiels, vous pouvez implémenter une nouvelle règle unique contenant cette logique. Demandez à la nouvelle règle d'ajouter une étiquette aux demandes correspondantes pour indiquer que la demande se trouve sur un chemin de connexion. Dans votre ACL Web, attribuez à cette nouvelle règle un paramètre de priorité numérique inférieur à celui de vos règles d'origine afin qu'elle s'exécute en premier. Ensuite, dans vos règles d'origine, remplacez la logique partagée par une vérification de la présence de l'étiquette. Pour plus d'informations sur les paramètres de priorité, voirOrdre de traitement des règles et des groupes de règles dans une ACL Web.
Création d'exceptions aux règles dans les groupes de règles : cette option est particulièrement utile pour les groupes de règles gérés, que vous ne pouvez ni afficher ni modifier. De nombreuses règles de groupes de règles gérés ajoutent des étiquettes aux requêtes Web correspondantes, pour indiquer les règles correspondantes et éventuellement pour fournir des informations supplémentaires sur la correspondance. Lorsque vous utilisez un groupe de règles qui ajoute des étiquettes aux demandes, vous pouvez remplacer les règles du groupe de règles pour compter les correspondances, puis exécuter une règle après le groupe de règles qui gère la demande Web en fonction des étiquettes du groupe de règles. Toutes les règles AWS gérées ajoutent des étiquettes aux requêtes Web correspondantes. Pour plus de détails, consultez les descriptions des règles à l'adresseAWS Liste des groupes de règles gérées.
Utilisation des métriques d'étiquette pour surveiller les modèles de trafic : vous pouvez accéder aux métriques relatives aux étiquettes que vous ajoutez par le biais de vos règles et aux métriques ajoutées par les groupes de règles gérés que vous utilisez dans votre ACL Web. Tous les groupes de règles AWS gérées ajoutent des étiquettes aux requêtes Web qu'ils évaluent. Pour obtenir la liste des mesures et des dimensions des étiquettes, consultezMétriques et dimensions des étiquettes. Vous pouvez accéder aux métriques et aux résumés des métriques par CloudWatch le biais de la page Web ACL de la AWS WAF console. Pour plus d’informations, veuillez consulter Surveillance et réglage.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Codes d'état de réponse pris en charge

Comment fonctionne l'étiquetage