AWS WAF でのトークンラベルのタイプ - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF でのトークンラベルのタイプ

このセクションでは、AWS WAF トークン管理によってウェブリクエストに追加されるラベルについて説明します。ラベルの一般情報については、AWS WAF でのウェブリクエストのラベル付けを参照してください。

AWS WAF Bot Control または Fraud Control のマネージドルールのいずれかを使用するとき、ルールグループは AWS WAF トークン管理を使用してウェブリクエストトークンを検査し、リクエストにトークンラベルを適用します。マネージドルールグループの詳細については、「AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) ルールグループ」、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) のルールグループ」、「AWS WAF Bot Control ルールグループ」を参照してください。

注記

AWS WAF は、インテリジェントな脅威軽減マネージドルールグループを使用する場合にのみトークンラベルを適用します。

トークン管理では、以下のラベルをウェブリクエストに追加できます。

クライアントセッションラベル

ラベル awswaf:managed:token:id:identifier には、AWS WAF のトークン管理がクライアントセッションを識別するために使用する固有の識別子が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF によって、このラベルの Amazon CloudWatch メトリクスは報告されません。

ブラウザフィンガープリントラベル

ラベル awswaf:managed:token:fingerprint:fingerprint-identifier には、AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。

注記

AWS WAF によって、このラベルの Amazon CloudWatch メトリクスは報告されません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたは CAPTCHA ソリューション。

    • 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。

    • 保護パック (ウェブ ACL) に有効なドメイン仕様。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved — トークンにチャレンジまたは CAPTCHA ソリューションがない。

    • rejected:expired — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。

    • rejected:domain_mismatch — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。

    • rejected:invalid — AWS WAF が指定されたトークンを読み取れなかった。

    例: ラベル awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。