Tipos de rótulos de token no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Tipos de rótulos de token no AWS WAF

Esta seção descreve os rótulos que o gerenciamento de token do AWS WAF adiciona às solicitações da Web. Para obter informações gerais sobre rótulos, consulte Rotulagem de solicitações da Web no AWS WAF.

Quando você usa quaisquer grupos de regras gerenciadas de controle de bots ou de fraude do AWS WAF, os grupos de regras usam o gerenciamento de token do AWS WAF para inspecionar os tokens de solicitações da Web e aplicar a rotulagem de token às solicitações. Para obter informações sobre os grupos de regras gerenciadas, consulte Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control , Grupo de regras de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control e Grupo de regras do Controle de Bots do AWS WAF.

nota

O AWS WAF aplica rótulos de token somente quando você usa um desses grupos de regras gerenciadas de mitigação inteligente de ameaças.

O gerenciamento de token pode adicionar os rótulos apresentados a seguir às solicitações da Web.

Rótulo de sessão do cliente

O rótulo awswaf:managed:token:id:identifier contém um identificador exclusivo que o gerenciamento de token do AWS WAF usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Rótulo da impressão digital do navegador

O rótulo awswaf:managed:token:fingerprint:fingerprint-identifier contém um robusto identificador de impressão digital do navegador que o gerenciamento de tokens do AWS WAF calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Rótulos de status do token: prefixos de namespace para os rótulos

Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:

  • awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.

  • awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.

Rótulos de status do token: nomes de rótulos

Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:

  • accepted: o token de solicitação está presente e contém o seguinte:

    • Uma solução de desafio ou de CAPTCHA válida.

    • Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.

    • Uma especificação de domínio válida para o pacote de proteção (ACL da Web).

    Exemplo: o rótulo awswaf:managed:token:accepted indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.

  • rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.

    Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.

    • rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.

    • rejected:expired: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web).

    • rejected:domain_mismatch: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web).

    • rejected:invalid: o AWS WAF não conseguiu realizar a leitura do token indicado.

    Exemplo: os rótulos awswaf:managed:captcha:rejected e awswaf:managed:captcha:rejected:expired juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).

  • absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.

    Exemplo: o rótulo awswaf:managed:captcha:absent indica que a solicitação não tem o token.