でのルールアクションの使用 AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのルールアクションの使用 AWS WAF

このセクションでは、ルールアクションの仕組みについて説明します。

ルールアクションは、ウェブリクエストがルールで定義された条件に一致する場合に、 AWS WAF ウェブリクエストの処理を指示します。オプションで、各ルールアクションにカスタム動作を追加できます。

注記

ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストの保護パックまたはウェブ ACL 評価を停止し、保護されたアプリケーションに続行できるようにするか、ブロックします。

ルールアクションのオプションは以下のとおりです。

  • Allow – AWS WAF リクエストを保護された AWS リソースに転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。

  • Block – リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP 403 (Forbidden)ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに返すレスポンスが決まります。

  • Count – リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは終了しないアクションです。 は保護パックまたはウェブ ACL の残りのルールの処理 AWS WAF を続行します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。

  • CAPTCHA および Challenge – CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用して、リクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用して最近成功したクライアントレスポンスを追跡します。

    CAPTCHA パズルとサイレントチャレンジは、ブラウザが HTTPS エンドポイントにアクセスしている場合にのみ実行できます。トークンを取得するには、ブラウザクライアントが安全なコンテキストで実行されている必要があります。

    注記

    CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

    これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。

    • 有効で有効期限が切れていないトークンの非終了 – トークンが有効で、設定された CAPTCHA またはチャレンジイミュニティ時間に従って有効期限が切れていない場合、 は Count action のようなリクエスト AWS WAF を処理します。 AWS WAF は引き続き、保護パックまたはウェブ ACL の残りのルールに基づいてウェブリクエストを検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。

    • 無効または期限切れのトークンのリクエストをブロックして終了する – トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、 はウェブリクエストの検査 AWS WAF を終了し、 Blockアクションと同様にリクエストをブロックします。 AWS WAF その後、 はカスタムレスポンスコードでクライアントに応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、 AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、 は、通常のブラウザをボットによって実行されているセッションと区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

    詳細については、「CAPTCHA および Challengeの AWS WAF」を参照してください。

リクエストとレスポンスをカスタマイズする方法については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

一致するリクエストへのラベルの追加については、「でのウェブリクエストのラベル付け AWS WAF」を参照してください。

保護パックまたはウェブ ACL とルール設定がどのように相互作用するかについては、「」を参照してくださいのルールとルールグループで保護パックまたはウェブ ACLs を使用する AWS WAF