のトークンラベルのタイプ AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のトークンラベルのタイプ AWS WAF

このセクションでは、 AWS WAF トークン管理がウェブリクエストに追加するラベルについて説明します。ラベルの一般情報については、でのウェブリクエストのラベル付け AWS WAFを参照してください。

AWS WAF ボットまたは不正制御マネージドルールグループを使用する場合、ルールグループは AWS WAF トークン管理を使用してウェブリクエストトークンを検査し、トークンラベルをリクエストに適用します。マネージドルールグループの詳細については、「AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ」、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ」、「AWS WAF Bot Control ルールグループ」を参照してください。

注記

AWS WAF は、これらのインテリジェントな脅威軽減マネージドルールグループのいずれかを使用する場合にのみトークンラベルを適用します。

トークン管理では、以下のラベルをウェブリクエストに追加できます。

クライアントセッションラベル

ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:identifierが含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

ブラウザフィンガープリントラベル

ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:fingerprint-identifierが含まれています。この識別子は、複数のトークン取得試行にわたって同じままです。フィンガープリント識別子は 1 つのクライアントに一意ではありません。

注記

AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたは CAPTCHA ソリューション。

    • 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。

    • 保護パックまたはウェブ ACL に有効なドメイン仕様。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved — トークンにチャレンジまたは CAPTCHA ソリューションがない。

    • rejected:expired – 保護パックまたはウェブ ACL で設定されたトークンイミュニティ時間に従って、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れています。

    • rejected:domain_mismatch – トークンのドメインは、保護パックまたはウェブ ACL のトークンドメイン設定と一致しません。

    • rejected:invalid – 指定されたトークンを読み取ることが AWS WAF できませんでした。

    例: ラベル awswaf:managed:captcha:rejectedと はawswaf:managed:captcha:rejected:expired、トークンの CAPTCHA タイムスタンプが保護パックまたはウェブ ACL で設定された CAPTCHA トークンイミュニティ時間を超えたため、リクエストに有効な CAPTCHA 解決がなかったことを示します。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。