**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des groupes de règles gérés
Cette section fournit des conseils pour accéder à vos groupes de règles gérés et les gérer.
Lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web), vous pouvez choisir les mêmes options de configuration que vos propres groupes de règles, ainsi que des paramètres supplémentaires.
La console vous permet d'accéder aux informations des groupes de règles gérés pendant le processus d'ajout et de modification des règles dans vos packs de protection (Web ACLs). Par le biais de l'interface de ligne de commande (CLI) APIs et de l'interface de ligne de commande (CLI), vous pouvez directement demander des informations sur les groupes de règles gérés.
Lorsque vous utilisez un groupe de règles géré dans votre pack de protection (ACL Web), vous pouvez modifier les paramètres suivants :
+ **Version** : cette option n'est disponible que si le groupe de règles est versionné. Pour de plus amples informations, veuillez consulter [Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Remplacer les actions des règles** : vous pouvez remplacer les actions des règles du groupe de règles par n'importe quelle action. CountIl est utile de les définir sur pour tester un groupe de règles avant de l'utiliser pour gérer vos requêtes Web. Pour de plus amples informations, veuillez consulter [Les actions des règles du groupe de règles remplacent les actions](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Instruction scope-down** : vous pouvez ajouter une instruction scope-down pour filtrer les requêtes Web que vous ne souhaitez pas évaluer avec le groupe de règles. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
+ **Annuler l'action du groupe de règles** : vous pouvez annuler l'action résultant de l'évaluation du groupe de règles et lui attribuer Count la valeur uniquement. Cette option n'est pas couramment utilisée. Cela ne modifie pas la façon dont AWS WAF les règles du groupe de règles sont évaluées. Pour de plus amples informations, veuillez consulter [L'action de retour du groupe de règles est remplacée par Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).
**Pour modifier les paramètres des groupes de règles gérés dans votre pack de protection (ACL Web)**
+ **Console**
+ (Option) Lorsque vous ajoutez le groupe de règles gérées à votre pack de protection (ACL Web), vous pouvez choisir **Modifier** pour afficher et modifier les paramètres.
+ (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), sur la page **des packs de protection (Web ACLs)**, choisissez le pack de protection (ACL Web) que vous venez de créer. Cela vous amène à la page d'édition du pack de protection (ACL Web).
+ Choisissez **Rules (Règles)**.
+ Sélectionnez le groupe de règles, puis choisissez **Modifier** pour afficher et modifier les paramètres.
+ **APIs et CLI** : en dehors de la console, vous pouvez gérer les paramètres du groupe de règles géré lorsque vous créez et mettez à jour le pack de protection (ACL Web).
# Récupération de la liste des groupes de règles gérés
Vous pouvez récupérer la liste des groupes de règles gérés que vous pouvez utiliser dans vos packs de protection (Web ACLs). La liste inclut les éléments suivants :
+ Tous les groupes de règles de règles AWS gérées.
+ Les groupes de AWS Marketplace règles auxquels vous êtes abonné.
**Note**
Pour plus d'informations sur l'abonnement à des groupes de AWS Marketplace règles, consultez[AWS Marketplace groupes de règles](marketplace-rule-groups.md).
Lorsque vous récupérez la liste des groupes de règles gérés, la liste que vous obtenez dépend de l'interface que vous utilisez :
+ **Console** : via la console, vous pouvez voir tous les groupes de règles gérés, y compris les groupes de AWS Marketplace règles auxquels vous n'êtes pas encore abonné. Pour ceux auxquels vous n'êtes pas encore abonné, l'interface fournit des liens que vous pouvez suivre pour vous abonner.
+ **APIs et CLI** : en dehors de la console, votre demande renvoie uniquement les groupes de règles que vous pouvez utiliser.
**Pour récupérer la liste des groupes de règles gérés**
+ **Console** — Au cours du processus de création d'une ACL Web, sur la page **Ajouter des règles et des groupes** de règles, choisissez **Ajouter des groupes de règles gérés**. Au niveau supérieur, les noms des fournisseurs sont répertoriés. Développez la liste de chaque fournisseur pour voir la liste des groupes de règles gérés. Pour les groupes de règles versionnés, les informations affichées à ce niveau concernent la version par défaut. Lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web), la console le répertorie en fonction du schéma de dénomination`-`.
+ **API** —
+ `ListAvailableManagedRuleGroups`
+ **CLI** —
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# Récupération des règles dans un groupe de règles géré
Vous pouvez récupérer la liste des règles d'un groupe de règles géré. Les appels d'API et de CLI renvoient les spécifications des règles auxquelles vous pouvez faire référence dans le modèle JSON ou via celui-ci AWS CloudFormation.
**Pour extraire la liste des règles d'un groupe de règles gérées**
+ **Console**
+ (Option) Lorsque vous ajoutez le groupe de règles gérées à votre pack de protection (ACL Web), vous pouvez choisir **Modifier** pour afficher les règles.
+ (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), sur la page **des packs de protection (Web ACLs)**, choisissez le pack de protection (ACL Web) que vous venez de créer. Cela vous amène à la page d'édition du pack de protection (ACL Web).
+ Choisissez **Rules (Règles)**.
+ Sélectionnez le groupe de règles pour lequel vous souhaitez voir une liste de règles, puis choisissez **Modifier**. AWS WAF affiche la liste des règles du groupe de règles.
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# Extraction des versions disponibles pour un groupe de règles géré
Les versions disponibles d'un groupe de règles géré sont des versions dont l'expiration n'a pas encore été programmée. La liste indique quelle version est la version par défaut actuelle pour le groupe de règles.
**Pour récupérer la liste des versions disponibles d'un groupe de règles géré**
+ **Console**
+ (Option) Lorsque vous ajoutez le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** pour voir les informations du groupe de règles. Développez le menu déroulant **Version** pour voir la liste des versions disponibles.
+ (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** dans le pack de protection (ACL Web), puis sélectionnez et modifiez la règle du groupe de règles. Développez le menu déroulant **Version** pour voir la liste des versions disponibles.
+ **API** —
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI** —
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console
Cette section explique comment ajouter un groupe de règles géré à un pack de protection (ACL Web) via la console. Ces instructions s'appliquent à tous les groupes de règles AWS Managed Rules et aux groupes de AWS Marketplace règles auxquels vous êtes abonné.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Pour ajouter un groupe de règles géré à un pack de protection (ACL Web) via la console**
**Pour ajouter un groupe de règles géré à une ACL Web via la console**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Choisissez les **packs de protection (Web ACLs)** dans le volet de navigation.
1. Sur la page **des packs de protection (Web ACLs)**, dans la liste des packs de protection (Web ACLs), sélectionnez celui auquel vous souhaitez ajouter le groupe de règles. Cela vous amène à la page du pack de protection unique (ACL Web).
1. Sur la page de votre pack de protection (ACL Web), choisissez l'onglet **Règles**.
1. Dans le volet **Règles**, choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérés**.
1. Sur la page **Ajouter des groupes de règles gérés**, élargissez la sélection de votre fournisseur de groupes de règles pour voir la liste des groupes de règles disponibles.
1. Pour chaque groupe de règles que vous souhaitez ajouter, choisissez **Ajouter au pack de protection (ACL Web)**. Si vous souhaitez modifier la configuration du pack de protection (ACL Web) pour le groupe de règles, choisissez **Modifier**, apportez vos modifications, puis sélectionnez **Enregistrer la règle**. Pour plus d'informations sur les options, consultez le guide de gestion des versions sur [Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md) et le guide d'utilisation d'un groupe de règles géré dans un pack de protection (ACL Web) sur[Utilisation des instructions de groupes de règles gérés dans AWS WAF](waf-rule-statement-type-managed-rule-group.md).
1. Au bas de la page **Ajouter des groupes de règles gérés**, choisissez **Ajouter des règles**.
1. Sur la page **Définir la priorité des règles**, ajustez l'ordre d'exécution des règles selon les besoins, puis choisissez **Enregistrer**. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md).
Sur la page de votre pack de protection (ACL Web), les groupes de règles gérés que vous avez ajoutés sont répertoriés sous l'onglet **Règles**.
Testez et ajustez les modifications apportées à vos AWS WAF protections avant de les utiliser pour le trafic de production. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Incohérences temporaires lors des mises à jour**
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes.
Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications :
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible.
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres.
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.
# Être informé des nouvelles versions et des mises à jour d'un groupe de règles géré
Cette section explique comment recevoir les notifications Amazon SNS concernant les nouvelles versions et les mises à jour.
Un fournisseur de groupes de règles gérés utilise les notifications SNS pour annoncer les modifications apportées aux groupes de règles, telles que les nouvelles versions à venir et les mises à jour de sécurité urgentes.
**Comment s'abonner aux notifications SNS**
Pour vous abonner aux notifications d'un groupe de règles, vous devez créer un abonnement Amazon SNS pour l'ARN de la rubrique Amazon SNS du groupe de règles dans la région us-east-1 des États-Unis (Virginie du Nord).
Pour plus d'informations sur la procédure d'abonnement, consultez le [guide du développeur Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Note**
Créez votre abonnement au sujet SNS uniquement dans la région us-east-1.
Les groupes de règles AWS gérées versionnés utilisent tous la même rubrique SNS : Amazon Resource Name (ARN). Pour plus d'informations sur les notifications de groupes de règles AWS gérées, consultez[Notifications de déploiement](waf-managed-rule-groups-deployments-notifications.md).
**Où trouver l'ARN de la rubrique Amazon SNS pour un groupe de règles géré**
AWS Les groupes de règles gérées utilisent un seul ARN de rubrique SNS. Vous pouvez donc récupérer l'ARN du sujet auprès de l'un des groupes de règles et vous y abonner pour recevoir des notifications pour tous les groupes de règles de règles AWS gérées qui fournissent des notifications SNS.
+ **Console**
+ (Option) Lorsque vous ajoutez le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** pour voir les informations du groupe de règles, y compris l'ARN de la rubrique Amazon SNS du groupe de règles.
+ (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** dans le pack de protection (ACL Web), puis sélectionnez et modifiez la règle du groupe de règles pour voir l'ARN de la rubrique Amazon SNS du groupe de règles.
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Pour obtenir des informations générales sur les formats de notification Amazon SNS et sur la manière de filtrer les notifications que vous recevez, consultez la section [Analyse des formats de message](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) et [politiques de filtrage des abonnements Amazon SNS dans](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) le guide du développeur Amazon Simple Notification Service.
# Suivi de l'expiration des versions d'un groupe de règles
Cette section explique comment surveiller le calendrier d'expiration d'un groupe de règles géré via Amazon CloudWatch.
Si vous utilisez une version spécifique d'un groupe de règles, assurez-vous de ne pas continuer à utiliser une version au-delà de sa date d'expiration.
**Astuce**
Inscrivez-vous aux notifications Amazon SNS pour les groupes de règles gérés et tenez-vous au courant des versions des groupes de règles gérés. Vous bénéficierez de la plus grande up-to-date protection offerte par le groupe de règles et vous éviterez l'expiration. Pour plus d'informations, consultez [Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).
**Pour surveiller le calendrier d'expiration d'un groupe de règles géré via Amazon CloudWatch**
1. Dans CloudWatch, recherchez les mesures d'expiration AWS WAF de votre groupe de règles géré. Les métriques ont les noms et les dimensions suivants :
+ Nom de métrique : DaysToExpiry
+ Dimensions métriques : RegionManagedRuleGroup,Vendor, et Version
Si votre pack de protection (ACL Web) contient un groupe de règles géré qui évalue le trafic, vous obtiendrez une métrique correspondante. La métrique n'est pas disponible pour les groupes de règles que vous n'utilisez pas.
1. Définissez une alarme sur les métriques qui vous intéressent, afin d'être averti à temps pour passer à une version plus récente du groupe de règles.
Pour plus d'informations sur l'utilisation CloudWatch des métriques Amazon et la configuration des alarmes, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Exemples de configurations de groupes de règles gérés en JSON et YAML
Cette section fournit des exemples de configurations de groupes de règles gérés.
Les appels d'API et de CLI renvoient une liste de toutes les règles du groupe de règles géré auxquelles vous pouvez faire référence dans le modèle JSON ou via celui-ci AWS CloudFormation.
**JSON**
Vous pouvez référencer et modifier des groupes de règles gérées au sein d'une instruction de règle à l'aide de JSON. La liste suivante montre le groupe de règles AWS gérées`AWSManagedRulesCommonRuleSet`, au format JSON. La RuleActionOverrides spécification répertorie une règle dont l'action a été remplacée par. Count
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
Vous pouvez référencer et modifier des groupes de règles gérés dans une déclaration de règle à l'aide du modèle CloudFormation YAML. La liste suivante montre le groupe de règles AWS gérées`AWSManagedRulesCommonRuleSet`, dans le CloudFormation modèle. La RuleActionOverrides spécification répertorie une règle dont l'action a été remplacée par. Count
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```