がウェブ ACL でルールとルールグループのアクション AWS WAF を処理する方法

ルールとルールグループを設定するときは、一致するウェブリクエスト AWS WAF の処理方法を選択します。

• Allow および Block は終了アクションです – Allow および Block アクションは、一致するウェブリクエストにおけるウェブ ACL のその他の処理をすべて停止されます。ウェブ ACL のルールがリクエストの一致を検出し、そのルールアクションが Allowまたは の場合Block、その一致によってウェブ ACL のウェブリクエストの最終処理が決まります。一致するルールの後に来るウェブ ACL 内の他のルールは処理 AWS WAF されません。これに該当するのは、ウェブ ACL に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。

• Count は非終了アクションです – Count アクションのあるルールがリクエストと一致すると、 AWS WAF はリクエストをカウントし、その後にウェブ ACL ルールセットに従うルールの処理を続行します。

• CAPTCHA および は、非終了アクションまたは終了アクションChallengeにすることができます – これらのアクションのいずれかを持つルールがリクエストに一致すると、 はトークンのステータス AWS WAF をチェックします。リクエストに有効なトークンがある場合、 は一致をCount一致と同様に AWS WAF 処理し、ウェブ ACL ルールセットに続くルールの処理を続行します。リクエストに有効なトークンがない場合、 は評価 AWS WAF を終了し、解決する CAPTCHA パズルまたはサイレントバックグラウンドクライアントセッションチャレンジをクライアントに送信します。

ルール評価によって終了アクションが実行されない場合、 はウェブ ACL のデフォルトアクションをリクエスト AWS WAF に適用します。詳細については、「ウェブ ACL のデフォルトアクション」を参照してください。

ウェブ ACL では、ルールグループ内のルールのアクション設定を上書きしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、「ルールグループのアクションオーバーライドオプション」を参照してください。

アクションと優先度設定の相互作用

ウェブリクエスト AWS WAF に適用されるアクションは、ウェブ ACL のルールの優先順位の数値設定の影響を受けます。たとえば、ウェブ ACL に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。 AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。Allow は終了アクションであるため、 はこの一致で評価 AWS WAF を停止し、カウントルールに対してリクエストを評価しません。

• 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。

• 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「ウェブ ACL でのルールおよびルールグループの処理順序」を参照してください。