Comment fonctionne l'étiquetage dans AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne l'étiquetage dans AWS WAF

Cette section explique le fonctionnement AWS WAF des étiquettes.

Lorsqu'une règle correspond à une demande Web, si des étiquettes sont définies pour la règle, AWS WAF ajoute les étiquettes à la demande à la fin de l'évaluation de la règle. Les règles évaluées après la règle correspondante dans le pack de protection (ACL Web) peuvent correspondre aux étiquettes ajoutées par la règle.

Qui ajoute des libellés aux demandes

Les composants du pack de protection (ACL Web) qui évaluent les demandes peuvent ajouter des étiquettes aux demandes.

  • Toute règle qui n'est pas une déclaration de référence de groupe de règles peut ajouter des étiquettes aux requêtes Web correspondantes. Les critères d'étiquetage font partie de la définition de la règle, et lorsqu'une requête Web correspond à la règle, AWS WAF ajoute les étiquettes de la règle à la demande. Pour plus d'informations, consultez AWS WAF règles qui ajoutent des étiquettes.

  • L'instruction de règle de correspondance géographique ajoute des libellés de pays et de région à toutes les demandes qu'elle inspecte, que la déclaration aboutisse ou non à une correspondance. Pour plus d'informations, consultez Instruction de correspondance géographique de règle.

  • Les règles AWS gérées pour AWS WAF tous ajoutent des étiquettes aux demandes qu'ils inspectent. Ils ajoutent des étiquettes en fonction des correspondances de règles dans le groupe de règles et d'autres en fonction des AWS processus utilisés par les groupes de règles gérés, tels que l'étiquetage jeton ajouté lorsque vous utilisez un groupe de règles d'atténuation intelligente des menaces. Pour plus d'informations sur les étiquettes ajoutées par chaque groupe de règles géré, consultezAWS Liste des groupes de règles gérées.

Comment AWS WAF gère les étiquettes

AWS WAF ajoute les libellés de la règle à la demande à la fin de l'inspection de la demande par la règle. L'étiquetage fait partie des activités de correspondance d'une règle, tout comme l'action.

Les libellés ne sont pas conservés dans la requête Web une fois l'évaluation du pack de protection (ACL Web) terminée. Pour que les autres règles correspondent à une étiquette ajoutée par votre règle, votre action de règle ne doit pas mettre fin à l'évaluation de la requête Web par le pack de protection (ACL Web). L'action de la règle doit être définie sur CountCAPTCHA, ouChallenge. Lorsque l'évaluation du pack de protection (ACL Web) n'est pas terminée, les règles suivantes du pack de protection (ACL Web) peuvent exécuter leurs critères de correspondance d'étiquette par rapport à la demande. Pour plus d'informations sur les actions de règle, consultez Utilisation des actions liées aux règles dans AWS WAF.

Accès aux étiquettes lors de l'évaluation du pack de protection (ACL Web)

Une fois ajoutées, les étiquettes restent disponibles sur la demande tant que la demande AWS WAF est évaluée par rapport au pack de protection (ACL Web). Toute règle d'un pack de protection (ACL Web) peut accéder aux étiquettes ajoutées par les règles déjà exécutées dans le même pack de protection (ACL Web). Cela inclut les règles définies directement dans le pack de protection (ACL Web) et les règles définies dans les groupes de règles utilisés dans le pack de protection (ACL Web).

  • Vous pouvez effectuer une comparaison avec une étiquette figurant dans les critères d'inspection des demandes de votre règle à l'aide de l'instruction de correspondance des étiquettes. Vous pouvez faire correspondre n'importe quelle étiquette attachée à la demande. Pour plus de détails sur le relevé, voirDéclaration relative à la règle de correspondance des étiquettes.

  • L'instruction de correspondance géographique ajoute des étiquettes avec ou sans correspondance, mais elles ne sont disponibles qu'une fois que la règle contenant le pack de protection (ACL Web) de l'instruction a terminé l'évaluation de la demande.

    • Vous ne pouvez pas utiliser une seule règle, par exemple une AND instruction logique, pour exécuter une instruction de correspondance géographique suivie d'une instruction de correspondance d'étiquettes par rapport aux étiquettes géographiques. Vous devez placer l'instruction label match dans une règle distincte qui s'exécute après la règle contenant l'instruction Geo Match.

    • Si vous utilisez une instruction de correspondance géographique comme instruction de délimitation dans une déclaration de règle basée sur le taux ou une déclaration de référence à un groupe de règles géré, les étiquettes ajoutées par l'instruction de correspondance géographique ne peuvent pas être inspectées par l'instruction de la règle qui les contient. Si vous devez inspecter l'étiquetage géographique dans une déclaration de règle basée sur les taux ou dans un groupe de règles, vous devez exécuter l'instruction de correspondance géographique dans une règle distincte qui s'exécute au préalable.

Accès aux informations d'étiquette en dehors de l'évaluation du pack de protection (ACL Web)

Les étiquettes ne sont pas conservées dans la requête Web une fois l'évaluation du pack de protection (ACL Web) terminée, mais elles AWS WAF enregistrent les informations relatives aux étiquettes dans les journaux et dans les métriques.

L'évaluation de votre pack de protection (ACL Web) peut appliquer plus de 100 étiquettes à une requête Web et la comparer à plus de 100 étiquettes, mais AWS WAF n'enregistre que les 100 premières dans les journaux et les mesures.