ルールグループ内のアクションオーバーライド - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ルールグループ内のアクションオーバーライド

ルールグループをウェブ ACL に追加するとき、一致するウェブリクエストに対して実行されるアクションをオーバーライドできます。ウェブ ACL 設定内のルールグループのアクションをオーバーライドしても、ルールグループ自体は変更されません。がウェブ ACL のコンテキストでルールグループ AWS WAF を使用する方法を変更するだけです。

ルールアクションのオーバーライド

ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。

注記

ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストのウェブ ACL 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。

ルールアクションのオプションは以下のとおりです。

  • Allow - AWS WAF 処理と応答のために、保護された AWS リソースにリクエストを転送できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。

  • Block - リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP 403 (Forbidden)ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに送り返すレスポンスが決まります。

  • Count - リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは非終了アクションです。 AWS WAF がウェブ ACL の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。

  • CAPTCHA および Challenge - CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用してリクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用してクライアントの最近の正常な応答を追跡します。

    注記

    CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF の料金」を参照してください。

    これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。

    • 有効で有効期限が切れていないトークンの終了なし — 設定された CAPTCHA またはチャレンジイミュニティ時間に従ってトークンが有効で有効期限が切れていない場合、 は Countアクションと同様のリクエスト AWS WAF を処理します。 はウェブ ACL の残りのルールに基づいてウェブリクエストの検査 AWS WAF を続行します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。

    • 無効または期限切れのトークンに対するリクエストをブロックして終了する – トークンが無効であるか、表示されたタイムスタンプの有効期限が切れている場合、 Blockアクションと同様に、 はウェブリクエストの検査 AWS WAF を終了し、リクエストをブロックします。 AWS WAF その後、 はクライアントにカスタムレスポンスコードで応答します。の場合CAPTCHA、リクエストの内容がクライアントブラウザが処理できることを示している場合、 AWS WAF は CAPTCHA パズルを JavaScript インタースティシャルで送信します。インタースティシャルは、人間のクライアントとボットを区別するように設計されています。Challenge アクションの場合、 は通常のブラウザとボットが実行しているセッションを区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

    詳細については、「CAPTCHAChallengeでの および AWS WAF」を参照してください。

このオプションの使用方法については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。

ルールアクションを Count にオーバーライド

ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。

これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。

テストでルールアクションのオーバーライドを使用する詳細については、「AWS WAF 保護のテストとチューニング」を参照してください。

JSON リスト: RuleActionOverridesExcludedRules に置き換えます

2022 年 10 月 27 日より前にウェブ ACL 設定Countでルールグループのルールアクションを に設定した場合、 はウェブ ACL JSON のオーバーライドを として AWS WAF 保存しましたExcludedRules。これで、ルールを Count にオーバーライドする JSON 設定が RuleActionOverrides 設定に追加されました。

AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON のすべてのExcludedRules設定を RuleActionOverrides 設定に自動的に変換し、上書きアクションを に設定しますCount。

  • 現在の設定例:

    "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "RuleActionOverrides": [ { "Name": "AdminProtection_URIPATH", "ActionToUse": { "Count": {} } } ]
  • 古い設定例:

    OLD SETTING "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesAdminProtectionRuleSet", "ExcludedRules": [ { "Name": "AdminProtection_URIPATH" } ] OLD SETTING

JSON リストですべての ExcludedRules 設定は、アクションを Count に設定した RuleActionOverrides 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい RuleActionOverrides 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。

ルールグループアクションを Count にオーバーライド

ルールグループが返すアクションをオーバーライドして、Count に設定できます。

注記

これは、 がルールグループ自体 AWS WAF を評価する方法を変更しないため、ルールグループ内のルールをテストするには適していません。ルールグループ評価からウェブ ACL に返される結果を が AWS WAF 処理する方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション ルールアクションのオーバーライド を使用します。

ルールグループアクションを にオーバーライドするとCount、 はルールグループの評価を通常どおりに AWS WAF 処理します。

ルールグループ内のルールが一致しない、あるいはすべての一致するルールに Count アクションがある場合、このオーバーライドはルールグループまたはウェブ ACL の処理に影響を与えません。

ウェブリクエストに一致し、終了ルールアクションを持つルールグループ内の最初のルールは、 AWS WAF がルールグループの評価を停止し、終了アクションの結果をウェブ ACL 評価レベルに返します。この時点で、ウェブ ACL 評価では、このオーバーライドは終了アクションを AWS WAF 上書きして、ルールグループ評価の結果が Count アクションのみになるようにします。 AWS WAF その後、 はウェブ ACL の残りのルールの処理を続行します。

このオプションの使用方法については、「ルールグループの評価結果を Count にオーバーライド」を参照してください。