でのルールグループアクションの上書き AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ルールグループのルールアクションの上書きルールグループの戻り値アクションを Count に上書き

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのルールグループアクションの上書き AWS WAF

このセクションでは、ルールグループアクションを上書きする方法について説明します。

ルールグループを保護パックまたはウェブ ACL に追加すると、一致するウェブリクエストに対して実行されるアクションを上書きできます。保護パックまたはウェブ ACL 設定内のルールグループのアクションを上書きしても、ルールグループ自体は変更されません。が保護パックまたはウェブ ACL のコンテキストでルールグループ AWS WAF を使用する方法のみを変更します。

ルールグループのルールアクションの上書き

ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。

注記

ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストの保護パックまたはウェブ ACL 評価を停止し、保護されたアプリケーションに続行できるようにするか、ブロックします。

ルールアクションのオプションは以下のとおりです。

  • Allow – AWS WAF リクエストを保護された AWS リソースに転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。

  • Block – リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP 403 (Forbidden)ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに返すレスポンスが決まります。

  • Count – リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは終了しないアクションです。 は保護パックまたはウェブ ACL の残りのルールの処理を AWS WAF 続行します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。

  • CAPTCHA および Challenge – CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用して、リクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用して最近成功したクライアントレスポンスを追跡します。

    CAPTCHA パズルとサイレントチャレンジは、ブラウザが HTTPS エンドポイントにアクセスしている場合にのみ実行できます。トークンを取得するには、ブラウザクライアントが安全なコンテキストで実行されている必要があります。

    注記

    CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

    これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。

    • 有効で有効期限が切れていないトークンの非終了 – トークンが有効で、設定された CAPTCHA またはチャレンジイミュニティ時間に従って有効期限が切れていない場合、 は Count action のようなリクエスト AWS WAF を処理します。 AWS WAF は引き続き、保護パックまたはウェブ ACL の残りのルールに基づいてウェブリクエストを検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。

    • 無効または期限切れのトークンのブロックされたリクエストで終了 – トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、 は Block アクションと同様にウェブリクエストの検査 AWS WAF を終了し、リクエストをブロックします。 AWS WAF その後、 はカスタムレスポンスコードでクライアントに応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、 AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、 は、通常のブラウザをボットによって実行されているセッションと区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

    詳細については、「CAPTCHA および Challengeの AWS WAF」を参照してください。

このオプションの使用方法については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。

ルールアクションを Count にオーバーライド

ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。

これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。

テストでルールアクションのオーバーライドを使用する詳細については、「AWS WAF 保護のテストとチューニング」を参照してください。

JSON リスト: RuleActionOverridesExcludedRules に置き換えます

2022 年 10 月 27 日より前に保護パックまたはウェブ ACL 設定Countでルールグループのルールアクションを に設定すると、 は保護パックまたはウェブ ACL JSON にオーバーライドを として AWS WAF 保存しましたExcludedRules。これで、ルールを Count にオーバーライドする JSON 設定が RuleActionOverrides 設定に追加されました。

JSON リストですべての ExcludedRules 設定は、アクションを Count に設定した RuleActionOverrides 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい RuleActionOverrides 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。

注記

AWS WAF コンソールでは、保護パックまたはウェブ ACL Sampled requests タブには、古い設定のルールのサンプルは表示されません。詳細については、「ウェブリクエストのサンプルの表示」を参照してください。

AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON のすべてのRuleActionOverrides設定を ExcludedRules 設定に自動的に変換し、オーバーライドアクションは に設定されますCount。

  • 現在の設定例: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • 古い設定例: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

ルールグループの戻り値アクションを Count に上書き

ルールグループが返すアクションをオーバーライドして、Count に設定できます。

注記

これは、 がルールグループ自体 AWS WAF を評価する方法を変更しないため、ルールグループのルールをテストするには適していません。これは、 がルールグループ評価から保護パックまたはウェブ ACL に返された結果 AWS WAF を処理する方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション ルールグループのルールアクションの上書き を使用します。

ルールグループアクションを に上書きするとCount、 はルールグループ評価を正常に AWS WAF 処理します。

ルールグループ内のルールが一致しない場合、または一致するすべてのルールにCountアクションがある場合、このオーバーライドはルールグループ、保護パック、またはウェブ ACL の処理には影響しません。

ウェブリクエストに一致し、終了ルールアクションを持つルールグループの最初のルールは、 AWS WAF がルールグループの評価を停止し、終了アクションの結果を保護パックまたはウェブ ACL 評価レベルに返します。この時点で、保護パックまたはウェブ ACL 評価では、このオーバーライドが有効になります。ルールグループ評価の結果がアクションのみになるように、 は終了Countアクションを AWS WAF 上書きします。 AWS WAF その後、 は保護パックまたはウェブ ACL の残りのルールの処理を続行します。

このオプションの使用方法については、「ルールグループの評価結果を Count にオーバーライド」を参照してください。