AWS WAF ルールアクション
ルールアクションは、ルールで定義された条件に一致したときにウェブリクエストをどう処理するかを AWS WAF に指示します。オプションで、各ルールアクションにカスタム動作を追加できます。
注記
ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストのウェブ ACL 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。
ルールアクションのオプションは以下のとおりです。
-
Allow – AWS WAF は、処理と応答のためにリクエストを保護された AWS リソースに転送されることを許可します。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。
-
Block – AWS WAF はリクエストをブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP
403 (Forbidden)ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。AWS WAF がリクエストをブロックするとき、Block アクション設定は、保護されたリソースがクライアントに送り返す応答を決定します。 -
Count – AWS WAF はリクエストをカウントしますが、リクエストを許可するかブロックするかは決定しません。これは非終了アクションです。AWS WAF がウェブ ACL の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。
-
CAPTCHA および Challenge – AWS WAF は、CAPTCHA パズルおよびサイレントチャレンジを使用して、リクエストがボットから配信されたものではないことを確認し、AWS WAF トークンを使用してクライアントで最近成功した応答を追跡します。
注記
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF 料金
」を参照してください。 これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。
-
有効で期限が切れていないトークンの未終了 – 設定されている CAPTCHA またはチャレンジイミュニティ時間に従ってトークンが有効で期限切れになっていない場合、AWS WAF は Count アクションと同様にリクエストを処理します。AWS WAF は、ウェブ ACL の残りのルールに基づいてウェブリクエストの検査を継続します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。
-
無効または期限切れのトークンの場合、リクエストをブロックして終了する – トークンが無効、あるいは表示されたタイムスタンプの期限が切れている場合、Block アクションと同様に、AWS WAF はウェブリクエストの検査を終了してリクエストをブロックします。その後、AWS WAF はクライアントにエラーで応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、AWS WAF は、通常のブラウザとボットが実行するセッションを区別するように設計されたサイレントチャレンジ付きの JavaScript インタースティシャルを送信します。
詳細については、「AWS WAF での CAPTCHA および Challenge アクション」を参照してください。
-
リクエストとレスポンスをカスタマイズする方法については、「AWS WAF のカスタマイズされたウェブリクエストとレスポンス」を参照してください。
一致するリクエストへのラベルの追加については、「ウェブリクエストのラベル」を参照してください。
ウェブ ACL とルール設定の相互作用の詳細については、「ウェブ ACL ルールおよびルールグループの評価」を参照してください。
