Gestion du comportement des groupes de règles - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Remplacer les actions des règles dans un groupe de règlesRemplacer le résultat de l'évaluation d'un groupe de règles par Count

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion du comportement des groupes de règles

Cette section décrit les options qui s'offrent à vous pour modifier la façon dont vous utilisez un groupe de règles dans votre pack de protection ou votre ACL Web. Ces informations s'appliquent à tous les types de groupe de règles. Après avoir ajouté un groupe de règles à un pack de protection ou à une ACL Web, vous pouvez remplacer les actions des règles individuelles du groupe de règles par tout autre paramètre d'action de règle valide. Count Vous pouvez également annuler l'action résultante du groupe de règlesCount, ce qui n'a aucun effet sur la manière dont les règles sont évaluées au sein du groupe de règles.

Pour de plus amples informations sur ces options, consultez Remplacer les actions du groupe de règles dans AWS WAF.

Remplacer les actions des règles dans un groupe de règles

Pour chaque groupe de règles d'un pack de protection ou d'une ACL Web, vous pouvez annuler les actions de la règle contenue pour certaines ou toutes les règles.

Le cas d'utilisation le plus courant consiste à remplacer les actions des règles pour Count tester des règles nouvelles ou mises à jour. Si les métriques sont activées, vous recevez des métriques pour chaque règle que vous remplacez. Pour plus d’informations sur les tests, consultez Tester et ajuster vos AWS WAF protections.

Vous pouvez apporter ces modifications lorsque vous ajoutez un groupe de règles géré au pack de protection ou à l'ACL Web, et vous pouvez les appliquer à n'importe quel type de groupe de règles lorsque vous modifiez le pack de protection ou l'ACL Web. Ces instructions concernent un groupe de règles qui a déjà été ajouté au pack de protection ou à l'ACL Web. Consultez des informations supplémentaires sur cette option à l'adresseLes actions des règles du groupe de règles remplacent les actions.

protection pack
Pour annuler les actions des règles dans un groupe de règles

  1. Choisissez le pack de protection que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.

  2. Dans la fiche du pack de protection, cliquez sur le lien Modifier à côté de Règles pour ouvrir le panneau Gérer les règles.

  3. Dans la section Gérer les règles du groupe de règles, choisissez la règle gérée pour ouvrir ses paramètres d'action.

    • Remplacer le groupe de règles : fait passer l'action du groupe de règles en mode Compte, mais toutes les actions de règles individuelles restent inchangées.

    • Annuler toutes les actions de règle : applique une action de règle à toutes les règles, en remplaçant leur état actuel.

    • Dérogation d'une règle unique : applique une action de règle à une règle individuelle.

  4. Lorsque vous avez terminé d'apporter vos modifications, choisissez Enregistrer la règle.

web ACL
Pour annuler les actions des règles dans un groupe de règles

  1. Modifiez l'ACL Web.

  2. Dans l'onglet Règles de la page Web ACL, sélectionnez le groupe de règles, puis choisissez Modifier.

  3. Dans la section Règles du groupe de règles, gérez les paramètres d'action selon vos besoins.

    • Toutes les règles : pour définir une action de dérogation pour toutes les règles du groupe de règles, ouvrez le menu déroulant Annuler toutes les actions de règles et sélectionnez l'action de dérogation. Pour supprimer les dérogations pour toutes les règles, sélectionnez Supprimer toutes les dérogations.

    • Règle unique : pour définir une action de dérogation pour une seule règle, ouvrez le menu déroulant de la règle et sélectionnez l'action de dérogation. Pour supprimer une dérogation pour une règle, ouvrez le menu déroulant de la règle et sélectionnez Supprimer la dérogation.

  4. Lorsque vous avez terminé d'apporter vos modifications, choisissez Enregistrer la règle. Les paramètres d'action de règle et d'action de remplacement sont répertoriés sur la page du groupe de règles.

L'exemple de liste JSON suivant montre une déclaration de groupe de règles dans un pack de protection ou une ACL Web qui remplace les actions des règles par Count les règles CategoryVerifiedSearchEngine etCategoryVerifiedSocialMedia. Dans le JSON, vous pouvez annuler toutes les actions des règles en fournissant une RuleActionOverrides entrée pour chaque règle individuelle.

{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}

Remplacer le résultat de l'évaluation d'un groupe de règles par Count

Vous pouvez annuler l'action qui résulte de l'évaluation d'un groupe de règles, sans modifier la façon dont les règles du groupe de règles sont configurées ou évaluées. Cette option n'est pas couramment utilisée. Si l'une des règles du groupe de règles aboutit à une correspondance, cette dérogation définit l'action résultante du groupe de règles surCount.

Note

Il s'agit d'un cas d'utilisation peu courant. La plupart des remplacements d'actions sont effectués au niveau de la règle, au sein du groupe de règles, comme décrit dansRemplacer les actions des règles dans un groupe de règles.

Vous pouvez annuler l'action résultante du groupe de règles dans le pack de protection ou l'ACL Web lorsque vous ajoutez ou modifiez le groupe de règles. Dans la console, ouvrez le volet facultatif de l'action Remplacer le groupe de règles du groupe de règles et activez le remplacement. Dans le JSON défini OverrideAction dans l'instruction du groupe de règles, comme indiqué dans l'exemple de liste suivant : 

{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}