ウェブリクエストのラベル - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ウェブリクエストのラベル

ラベルはウェブリクエストに追加されるメタデータで、これにより、リクエストに一致するルールが後で同じウェブ ACL で評価されるルールに一致結果を伝達できるようになります。

  • ルールはラベルを追加します – ルールグループ参照ステートメントではないルールは、一致するウェブリクエストにラベルを追加できます。ウェブリクエストがルールに一致すると、AWS WAF はルールのラベルをリクエストに追加します。ラベルは、AWS WAF によってウェブ ACL に対して評価されている限り、リクエストに対して引き続き使用できます。

  • ラベル一致ステートメントはラベルと照合します – ラベル一致ステートメントを使用して、ルールのリクエスト検査基準のラベルと照合できます。ステートメントの詳細については、「ラベル一致ルールステートメント」を参照してください。

AWS WAF ラベルの一般的なユースケースには次が含まれます。

  • リクエストに対してアクションを実行する前に、複数のルールステートメントに対してウェブリクエストを評価する – ウェブ ACL のルールとの一致が見つかった後、AWS WAF は、一致するルールアクションがカウントである場合にのみ、ウェブ ACL に対して評価を続行します。ラベルを使用すると、ウェブリクエストで許可またはブロックするアクションを実行する前に、複数のルールの情報を評価および収集できます。これを行うには、既存のルールのアクションをカウントに変更し、ラベルを追加します。一致と、リクエストに対して実行するアクションを示すために、ラベルを使用します。この方法で変更したルールは、すべて実行して、見つけた一致に関する情報をログやメトリクスなどの宛先に提供できます。その後、最終的な追加ルールで、適用されたラベルを評価し、リクエストの処理方法を決定できます。

  • 複数のルール間でロジックを再利用する – 複数のルールで同じロジックを再利用する必要がある場合は、ラベルを使用してそのロジックを単一のソースにして、結果をテストします。ネストされたルールステートメントの共通のサブセットを使用する複雑なルールが複数ある場合、複雑なルール間で共通ルールセットを複製すると、時間がかかり、エラーが発生しやすくなります。ラベルを使用すると、一致するリクエストをカウントし、それらにラベルを追加する共通ルールサブセットを使用して新しいルールを作成できます。新しいルールをウェブ ACL に追加して、元の複雑なルールの前に実行されるようにします。その後、元のルールで、共有ルールサブセットを、ラベルをチェックする単一のルールに置き換えます。

    例えば、ログインパスにのみ適用する複数のルールがあるとします。各ルールで潜在的なログインパスと一致する同じロジックを指定するのではなく、そのロジックを含む 1 つの新しいルールを実装できます。新しいルールで、一致するリクエストにラベルを追加して、リクエストがログインパス上にあることを示します。ウェブ ACL で、この新しいルールの優先順位の数値設定を、元のルールの数値よりも小さく設定して、最初に実行されるようにします。その後、元のルールで、共有ロジックをラベルの存在のチェックに置き換えます。ジョブの優先順位の設定については、「ウェブ ACL でのルールおよびルールグループの処理順序」を参照してください。

  • ルールグループ内のルールに対する例外を作成する – このオプションは、表示または変更できないマネージドルールグループに特に役立ちます。一部のマネージドルールグループでは、ルールは一致するウェブリクエストにラベルを追加して、一致したルールを示し、場合によってはその一致に関する追加情報を提供します。この方法でリクエストにラベルを追加するルールグループを使用すると、ルールをカウントモードにして、追加されたラベルに基づいてウェブリクエストを処理するルールグループの後にルールを実行できます。すべての AWS マネージドルールは、一致するウェブリクエストにラベルを追加します。詳細については、「AWS マネージドルールのルールグループのリスト」のルールの説明を参照してください。

AWS マネージドルールのルールグループは、評価するウェブリクエストにラベルを追加します。これらのラベルのほとんどは、ルールグループ内のルールによって追加されます。一部のラベルは、マネージドルールで使用される AWS プロセスによって追加されます。例えば、アカウント乗っ取り防止マネージドルールグループ AWSManagedRulesATPRuleSet で使用されるトークンサービスは、ルールにラベルを追加します。マネージドルールグループとそれらが追加するラベルの詳細については、「AWS マネージドルールのルールグループのリスト」を参照してください。