ウェブ ACL でのルールおよびルールグループのアクションの処理方法

ルールとルールグループを設定するときは、 AWS WAF 一致するウェブリクエストをどのように処理するかを選択します。

• Allow および Block は終了アクションです – Allow および Block アクションは、一致するウェブリクエストにおけるウェブ ACL のその他の処理をすべて停止されます。ウェブ ACL 内のルールでリクエストに一致するものが見つかり、Allowルールアクションがまたはの場合Block、その一致によってウェブ ACL のウェブリクエストの最終的な処理が決まります。 AWS WAF ウェブ ACL では、一致するルールの後に続く他のルールは処理されません。これに該当するのは、ウェブ ACL に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。

• Count は非終了アクションです – Count アクションのあるルールがリクエストと一致すると、 AWS WAF はリクエストをカウントし、その後にウェブ ACL ルールセットに従うルールの処理を続行します。

• CAPTCHAChallenge非終了アクションでも終了アクションでも可 — これらのアクションのいずれかを含むルールがリクエストに一致すると、 AWS WAF トークンのステータスをチェックします。リクエストに有効なトークンが含まれている場合は、 AWS WAF 一致したものと同様に扱い、ウェブ ACL ルールセットに含まれるルールの処理を続行します。Countリクエストに有効なトークンがない場合は、 AWS WAF 評価を終了し、クライアントに CAPTCHA パズルまたはサイレントバックグラウンドのクライアントセッションチャレンジを送信して解決してもらいます。

ルール評価の結果、終了アクションが得られない場合は、ウェブ ACL AWS WAF のデフォルトアクションをリクエストに適用します。詳細については、ウェブ ACL のデフォルトアクション を参照してください。

ウェブ ACL では、ルールグループ内のルールのアクション設定を上書きしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、「ルールグループ内のアクションオーバーライド」を参照してください。

アクションと優先度設定の相互作用

AWS WAF ウェブリクエストに適用されるアクションは、ウェブ ACL 内のルールの数値優先度設定の影響を受けます。たとえば、ウェブ ACL に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。 AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。AllowSince は終了アクションであるため、 AWS WAF このマッチで評価が停止され、カウントルールに照らしてリクエストが評価されることはありません。

• 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。

• 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「ウェブ ACL でのルールおよびルールグループの処理順序」を参照してください。