**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS WAF
<a name="waf-chapter"></a>

AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP (S) -Anfragen überwachen können, die an Ihre geschützten Webanwendungsressourcen weitergeleitet werden. Sie können die folgenden Ressourcentypen schützen: 
+  CloudFront Amazon-Vertrieb
+ Amazon API Gateway API-Gateway-REST-API
+ Application Load Balancer
+ AWS AppSync GraphQL-API
+ Amazon-Cognito-Benutzerpool
+ AWS App Runner Dienst
+ AWS Instanz mit verifiziertem Zugriff
+ AWS Amplify

AWS WAF ermöglicht es Ihnen, den Zugriff auf Ihre Inhalte zu kontrollieren. Basierend auf von Ihnen angegebenen Kriterien, wie den IP-Adressen, von denen Anfragen stammen, oder den Werten von Abfragezeichenfolgen, beantwortet der mit Ihrer geschützten Ressource verknüpfte Dienst Anfragen entweder mit dem angeforderten Inhalt, mit einem HTTP-403-Statuscode (Forbidden) oder mit einer benutzerdefinierten Antwort. 

**Anmerkung**  
Sie können es auch AWS WAF zum Schutz Ihrer Anwendungen verwenden, die in Amazon Elastic Container Service (Amazon ECS) -Containern gehostet werden. Amazon ECS ist ein hoch skalierbarer, schneller Container-Management-Service, der das Ausführen, Beenden und Verwalten von Docker-Containern in einem Cluster vereinfacht. Um diese Option zu verwenden, konfigurieren Sie Amazon ECS so, dass ein Application Load Balancer verwendet wird, der für die AWS WAF Weiterleitung und den Schutz von HTTP (S) -Layer-7-Verkehr zwischen den Aufgaben in Ihrem Service aktiviert ist. Weitere Informationen finden Sie unter [Service – Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) im *Amazon-Elastic-Container-Service-Entwicklerhandbuch*.

**Topics**
+ [Fangen Sie an mit AWS WAF](getting-started.md)
+ [Wie AWS WAF funktioniert](how-aws-waf-works.md)
+ [Schutz konfigurieren in AWS WAF](web-acl.md)
+ [AWS WAF Regeln](waf-rules.md)
+ [AWS WAF Regelgruppen](waf-rule-groups.md)
+ [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md)
+ [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md)
+ [Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md)
+ [IP-Sätze und Regex-Mustersätze in AWS WAF](waf-referenced-set-managing.md)
+ [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md)
+ [Etikettierung von Webanfragen in AWS WAF](waf-labels.md)
+ [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md)
+ [Datenschutz und Protokollierung für den Traffic von AWS WAF Protection Pack (Web ACL)](waf-data-protection-and-logging.md)
+ [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md)
+ [Verwendung AWS WAF mit Amazon CloudFront](cloudfront-features.md)
+ [Sicherheit bei der Nutzung des AWS WAF Dienstes](security.md)
+ [AWS WAF Kontingente](limits.md)
+ [Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](waf-migrating-from-classic.md)

# Fangen Sie an mit AWS WAF
<a name="getting-started"></a>

 Die ersten Schritte AWS WAF hängen davon ab, welche Konsolenoberfläche Sie verwenden. Beide Versionen bieten Zugriff auf dieselben AWS WAF Kernfunktionen, unterscheiden sich jedoch darin, wie Sie den Schutz Ihrer Webanwendungen konfigurieren und verwalten. 

 AWS WAF bietet zwei Optionen für die Verwendung der Konsole:

 Die **neue Konsole** soll den Web-ACL-Konfigurationsprozess vereinfachen, der für Standard-Konsolen-Workflows erforderlich ist. Mithilfe von geführten Workflows können Sie die Erstellung und Verwaltung von Web-ACLS mithilfe eines Schutzpakets vereinfachen. Ein Schutzpaket erleichtert die Verwendung und Verwaltung des Webs ACLs in der Konsole, unterscheidet sich jedoch funktionell nicht von einer Web-ACL. Neben dem verbesserten Prozess zur Konfiguration des Schutzes bietet die neue Konsole dank Sicherheits-Dashboards einen besseren Überblick über Ihre Schutzmaßnahmen, sodass Sie Ihren Sicherheitsstatus innerhalb der Konsole einfacher überwachen können. AWS WAF 

 Die ** AWS WAF Standardkonsole** bietet einen herkömmlichen Ansatz zur Konfiguration des Firewall-Schutzes für Webanwendungen über das Internet. ACLs Sie bietet eine detaillierte Steuerung einzelner Regeln und Regelgruppen und ist bestehenden AWS WAF Benutzern vertraut. Mit dieser Konsole haben Sie detaillierte Kontrolle über Ihre Schutzkonfigurationen und können Ihre Sicherheitseinstellungen präzise anpassen. 

**Tipp**  
 Wählen Sie das Konsolenerlebnis, das Ihren Anforderungen am besten entspricht. Wenn Sie mit der Konfiguration von Schutzmaßnahmen auf der Grundlage von AWS Empfehlungen noch nicht vertraut sind AWS WAF oder damit beginnen möchten, empfehlen wir, mit der neuen Konsolenoberfläche zu beginnen. Die Standardoberfläche kann jedoch immer über den Navigationsbereich der Konsole geöffnet werden. 

 In den folgenden Abschnitten finden Sie Anleitungen zu den ersten Schritten für beide Konsolenversionen. Prüfen Sie jeden Ansatz und wählen Sie den aus, der Ihren Sicherheitsanforderungen und betrieblichen Präferenzen am besten entspricht: 

**Topics**
+ [Erste Schritte AWS WAF mit der neuen Konsolenerfahrung](setup-iap-console.md)
+ [Erste Schritte AWS WAF mit der Standardkonsolenoberfläche](setup-existing-console.md)

# Erste Schritte AWS WAF mit der neuen Konsolenerfahrung
<a name="setup-iap-console"></a>

Dieser Abschnitt führt Sie durch die Einrichtung AWS WAF mithilfe der neuen Konsolenoberfläche, die vereinfachte Konfigurationsabläufe und erweiterte Sicherheitsverwaltungsfunktionen bietet.

## Greifen Sie auf das neue Konsolenerlebnis zu
<a name="accessing-iap-console"></a>

So greifen Sie auf das neue AWS WAF Konsolenerlebnis zu:

Melden Sie sich bei der neuen Version an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 
+ Suchen Sie im Navigationsbereich nach dem neuen Erlebnis **testen und wählen Sie es** aus.

**Anmerkung**  
Über den Link im Navigationsbereich können Sie jederzeit zwischen den Konsolenerlebnissen wechseln.

## Beginnen Sie mit einem Schutzpaket (Web-ACL)
<a name="getting-started-protection-packs"></a>

In diesem Tutorial erfahren Sie, wie Sie ein Schutzpaket (Web-ACL) zum Schutz Ihrer Anwendungen erstellen und konfigurieren. Protection Packs (Web ACLs) bieten vorkonfigurierte Sicherheitsregeln, die auf bestimmte Workload-Typen zugeschnitten sind.

In diesem Kurs lernen Sie Folgendes:
+ Erstellen Sie ein Schutzpaket (Web-ACL)
+ Konfigurieren Sie anwendungsspezifische Schutzeinstellungen
+ Fügen Sie AWS Ressourcen zum Schutz hinzu
+ Wählen Sie Regeln aus und passen Sie sie an
+ Konfigurieren Sie die Protokollierung und Überwachung

**Anmerkung**  
AWS In der Regel werden Ihnen für die Ressourcen, die Sie in diesem Tutorial erstellen, weniger als 0,25 USD pro Tag in Rechnung gestellt. Wenn Sie fertig sind, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden.

### Schritt 1: Einrichten AWS WAF
<a name="getting-started-prerequisites"></a>

Wenn Sie die allgemeinen Einrichtungsschritte unter noch nicht befolgt haben[Einrichtung Ihres Kontos für die Nutzung der Dienste](setting-up-waf.md), tun Sie dies jetzt.

### Schritt 2: Erstellen Sie ein Schutzpaket (Web-ACL)
<a name="getting-started-create-protection-pack"></a>

In diesem Schritt erstellen Sie ein Schutzpaket (Web-ACL) und konfigurieren dessen Grundeinstellungen entsprechend Ihrem Anwendungstyp.

1. Melden Sie sich bei der neuen Version an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Wählen Sie im Navigationsbereich **Resources & Protection Packs** (Web) aus. ACLs

1. Wählen Sie auf der Seite **Ressourcen und Schutzpakete (Web ACLs)** die Option **Schutzpaket hinzufügen (Web-ACL)** aus.

1. Wählen **Sie unter Erzählen Sie uns von Ihrer App** **für App-Kategorie** eine oder mehrere App-Kategorien aus, die Ihre Anwendung am besten beschreiben.

1. Wählen Sie **unter Verkehrsquelle** die Art des Datenverkehrs aus, den Ihre Anwendung verarbeitet:
   + **API** — Für reine API-Anwendungen
   + **Web — Für reine Webanwendungen**
   + **Sowohl API als auch Web** — Für Anwendungen, die beide Arten von Datenverkehr verarbeiten

### Schritt 3: Fügen Sie zu schützende Ressourcen hinzu
<a name="getting-started-add-resources"></a>

Jetzt geben Sie an, welche AWS Ressourcen mit Ihrem Schutzpaket (Web-ACL) geschützt werden sollen.

1. Wählen Sie unter **Zu schützende Ressourcen** die Option **Ressourcen hinzufügen** aus.

1. Wählen Sie die AWS Ressourcenkategorie aus, die diesem Schutzpaket (Web-ACL) zugeordnet werden soll:
   +  CloudFront Amazon-Verteilungen
   + Regionale Ressourcen

   Weitere Informationen zu Ressourcentypen finden Sie unter[Schutz mit einer AWS Ressource verknüpfen](web-acl-associating.md).

### Schritt 4: Wählen Sie die ersten Schutzmaßnahmen
<a name="getting-started-configure-protection"></a>

In diesem Schritt wählen Sie die Regeln für Ihr Schutzpaket (Web-ACL) aus. Für Erstbenutzer empfehlen wir, die Option **Empfohlen zu** wählen.

AWS WAF generiert basierend auf Ihrer Auswahl im Bereich **Erzählen Sie uns von Ihrer App** eine **Empfehlung** für Sie. Diese Pakete implementieren bewährte Sicherheitsmethoden für Ihren Anwendungstyp.
+  Wählen Sie **Weiter**, um mit der Einrichtung des Protection Packs (Web-ACL) fortzufahren.

**Anmerkung**  
Wenn Sie daran interessiert sind, benutzerdefinierte Regeln zu erstellen oder die Option **You build it** zu verwenden, empfehlen wir, zunächst Erfahrungen mit den vorkonfigurierten Optionen zu sammeln. Weitere Informationen zum Erstellen von benutzerdefinierten Schutzpaketen (Web ACLs) und Regeln finden Sie unter[Erstellen eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-creating.md).

### Schritt 5: Passen Sie die Einstellungen des Protection Packs (Web-ACL) an
<a name="getting-started-customize-settings"></a>

Jetzt konfigurieren Sie zusätzliche Einstellungen wie Standardaktionen, Ratenlimits und Protokollierung.

1. Geben Sie unter **Name und Beschreibung** einen Namen für Ihr Schutzpaket (Web-ACL) ein. Geben Sie optional eine Beschreibung ein.
**Anmerkung**  
Sie können den Namen nicht mehr ändern, nachdem Sie das Schutzpaket (Web-ACL) erstellt haben.

1. Konfigurieren **Sie unter Schutzpaket anpassen (Web-ACL)** die folgenden Einstellungen:

   1. Wählen Sie unter **Standardregelaktionen die Standardaktion für Anfragen aus, die keiner Regel** entsprechen. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

   1. Passen Sie unter **Regelkonfiguration** die folgenden Einstellungen an:
      + **Standard-Ratenlimits** — Legen Sie Grenzwerte fest, um sich vor DDo S-Angriffen zu schützen
      + **IP-Adressen** — allow/block IP-Listen konfigurieren
      + **Länderspezifische Herkunft** — Zugriff nach Ländern verwalten

   1. Konfigurieren Sie für **das Ziel der Protokollierung**, wo Sie die Protokolle speichern möchten. Weitere Informationen finden Sie unter [AWS WAF Ziele protokollieren](logging-destinations.md).

1. Überprüfen Sie Ihre Einstellungen und wählen **Sie Schutzpaket hinzufügen (Web-ACL)**.

### Schritt 6: Bereinigen Ihrer Ressourcen
<a name="getting-started-clean-up"></a>

Sie haben das Tutorial jetzt erfolgreich abgeschlossen. Um zu verhindern, dass für Ihr Konto zusätzliche AWS WAF Gebühren anfallen, sollten Sie entweder das von Ihnen erstellte Schutzpaket (Web-ACL) löschen oder es an Ihre Produktionsanforderungen anpassen.

**Um Ihr Schutzpaket (Web-ACL) zu löschen**

1. Wählen Sie im Navigationsbereich **Resources & Protection Packs (Web ACLs)** aus.

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie erstellt haben.

1. Wählen Sie das Papierkorbsymbol und bestätigen Sie den Löschvorgang, indem Sie „Löschen“ eingeben.

**Anmerkung**  
Wenn Sie beabsichtigen, dieses Schutzpaket (Web-ACL) in der Produktion zu verwenden, anstatt es zu löschen, sollten Sie die Schutzeinstellungen überprüfen und an die Sicherheitsanforderungen Ihrer Anwendung anpassen.

# Erste Schritte AWS WAF mit der Standardkonsolenoberfläche
<a name="setup-existing-console"></a>

Die AWS WAF Konsole führt Sie Schritt für Schritt durch den Konfigurationsprozess AWS WAF , um Webanfragen anhand von Kriterien zu blockieren oder zuzulassen, die Sie angeben, wie z. B. die IP-Adressen, von denen die Anfragen stammen, oder die Werte in den Anfragen. In diesem Schritt erstellen Sie ein Schutzpaket (Web-ACL). Weitere Informationen zu AWS WAF Protection Packs (Web ACLs) finden Sie unter[Schutz konfigurieren in AWS WAF](web-acl.md).

Dieses Tutorial zeigt, wie Sie AWS WAF die folgenden Aufgaben ausführen können:
+ Einrichten AWS WAF.
+ Erstellen Sie mit dem Assistenten in der AWS WAF Konsole eine Web-Zugriffskontrollliste (Web-ACL).

**So erstellen Sie eine Web-ACL**

  1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

  1. Wählen Sie auf der AWS WAF Startseite die Option **Web-ACL erstellen** aus. 

  1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Web-ACL bezeichnen möchten. 
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

  1. (Optional) Geben Sie für **Description - optional (Beschreibung–optional)** eine längere Beschreibung für die Web-ACL ein, wenn Sie möchten. 

  1. Ändern Sie gegebenenfalls den Standardnamen für **CloudWatch metric name (CloudFront-Metrikname)**. Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder für AWS WAF reservierte Metriknamen enthalten, einschließlich "All" und "Default\$1Action".
**Anmerkung**  
Sie können den CloudWatch Metriknamen nicht ändern, nachdem Sie die Web-ACL erstellt haben.

  1. Wählen Sie als **Ressourcentyp** die Option **CloudFrontDistributionen** aus. Die **Region** wird bei Verteilungen automatisch mit **Global (CloudFront) aufgefüllt**. CloudFront 

  1. (Optional) Wählen Sie unter **Zugeordnete AWS Ressourcen — optional** die Option Ressourcen **hinzufügen AWS ** aus. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie zuordnen möchten, und klicken Sie dann auf **Hinzufügen**. AWS WAF kehrt zur Seite „**Web-ACL und zugehörige AWS Ressourcen beschreiben**“ zurück. 

  1. Wählen Sie **Weiter** aus.

**Anmerkung**  
AWS berechnet Ihnen in der Regel weniger als 0,25 USD pro Tag für die Ressourcen, die Sie in diesem Tutorial erstellen. Wenn Sie das Tutorial beendet haben, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden. 

## Schritt 1: Einrichten AWS WAF
<a name="getting-started-aws-account"></a>

Wenn Sie die allgemeinen Einrichtungsschritte unter noch nicht befolgt haben[Einrichtung Ihres Kontos für die Nutzung der Dienste](setting-up-waf.md), tun Sie dies jetzt.

## Schritt 2: Erstellen Sie eine Web-ACL
<a name="getting-started-wizard-create-web-acl"></a>

Die AWS WAF Konsole führt Sie Schritt für Schritt durch den Konfigurationsprozess AWS WAF , um Webanfragen anhand von Kriterien zu blockieren oder zuzulassen, die Sie angeben, wie z. B. die IP-Adressen, von denen die Anfragen stammen, oder die Werte in den Anfragen. In diesem Schritt erstellen Sie eine Web-ACL. Weitere Informationen zum AWS WAF Internet finden ACLs Sie unter[Schutz konfigurieren in AWS WAF](web-acl.md).

**So erstellen Sie eine Web-ACL**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie auf der AWS WAF Startseite die Option **Web-ACL erstellen** aus.

1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Web-ACL bezeichnen möchten.
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. (Optional) Geben Sie für **Description - optional (Beschreibung–optional)** eine längere Beschreibung für die Web-ACL ein, wenn Sie möchten.

1. Ändern Sie gegebenenfalls den Standardnamen für **CloudWatch metric name (CloudFront-Metrikname)**. Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder für AWS WAF reservierte Metriknamen enthalten, einschließlich "All" und "Default\$1Action".
**Anmerkung**  
Sie können den CloudWatch Metriknamen nicht ändern, nachdem Sie die Web-ACL erstellt haben.

1. Wählen Sie als **Ressourcentyp** die Option **CloudFrontDistributionen** aus. Die **Region** wird bei Verteilungen automatisch mit **Global (CloudFront) aufgefüllt**. CloudFront 

1. (Optional) Wählen Sie unter **Zugeordnete AWS Ressourcen — optional** die Option Ressourcen **hinzufügen AWS ** aus. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie zuordnen möchten, und klicken Sie dann auf **Hinzufügen**. AWS WAF kehrt zur Seite „**Web-ACL und zugehörige AWS Ressourcen beschreiben**“ zurück.

1. Wählen Sie **Weiter** aus.

## Schritt 3: Hinzufügen einer Zeichenfolgen-Übereinstimmungsregel
<a name="getting-started-wizard-create-string-condition"></a>

In diesem Schritt erstellen Sie eine Regel mit einer Zeichenfolgen-Übereinstimmungsanweisung und geben an, was mit übereinstimmenden Anforderungen zu tun ist. Eine Zeichenfolgen-Übereinstimmungsregelanweisung identifiziert Zeichenfolgen, nach denen Sie AWS WAF in einer Anforderung suchen lassen möchten. Eine Zeichenfolge besteht aus druckbaren ASCII-Zeichen, aber Sie können beliebige Zeichen aus dem hexadezimalen Bereich von 0x00 bis 0xFF (dezimal 0 bis 255) angeben. Zusätzlich zur Angabe der Zeichenfolge, nach der gesucht werden soll, geben Sie die zu suchende Webanforderungskomponente an, etwa einen Header, eine Abfragezeichenfolge oder den Anforderungstext. 

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

Weitere Informationen zu AWS WAF Regeln finden Sie unter[AWS WAF Regeln](waf-rules.md). 

**So erstellen Sie eine Anweisung zur Erstellung einer Zeichenfolgen-Übereinstimmungsregel**

1. Wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen hinzufügen)** **Add rules (Regeln hinzufügen)**, **Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen)**, **Rule-Builder** und **Rule visual editor (Visueller Regel-Editor)**. 
**Anmerkung**  
Die Konsole stellt den **Visuellen Regel-Editor** und einen **JSON-Regel-Editor** zur Verfügung. Der JSON-Editor erleichtert Ihnen das Kopieren von Konfigurationen zwischen Websites ACLs und ist für komplexere Regelsätze erforderlich, z. B. solche mit mehreren Verschachtelungsebenen.   
Bei diesem Verfahren wird der **Visuelle Regel-Editor** verwendet. 

1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Regel bezeichnen möchten. 

1. Wählen Sie für **Type (Typ)** **Rule (Regel)**.

1. Für **If a request (Wenn eine Anforderung)** wählen Sie **matches the statement (entspricht der Anweisung)** aus. 

   Die anderen Optionen sind für die logischen Regelanweisungstypen bestimmt. Diese können sie verwenden, um die Ergebnisse anderer Regelanweisungen zu kombinieren oder zu negieren. 

1. Öffnen Sie unter **Statement** für **Inspect** die Dropdownliste und wählen Sie die Webanforderungskomponente aus, die Sie überprüfen AWS WAF möchten. Wählen Sie für dieses Beispiel **Single Header** aus.

   Wenn Sie **Einzelner Header** wählen, geben Sie auch an, welchen Header Sie überprüfen AWS WAF möchten. Geben Sie **User-Agent** ein. Dieser Wert wird nicht nach Groß- und Kleinschreibung unterschieden.

1. Wählen Sie für **Match type (Übereinstimmungstyp)** aus, wo die angegebene Zeichenfolge im `User-Agent`-Header erscheinen soll. 

   Wählen Sie für dieses Beispiel **Exactly matches string (Stimmt exakt mit Zeichenfolge überein)**. Dies bedeutet, dass der AWS WAF User-Agent-Header in jeder Webanforderung auf eine Zeichenfolge überprüft wird, die mit der von Ihnen angegebenen Zeichenfolge identisch ist.

1. Legen Sie für **String to match (Zeichenfolge für Übereinstimmung)** eine Zeichenkette fest, nach der AWS WAF suchen soll. Die maximale Länge von **String to match (Zeichenfolge für Übereinstimmung)** beträgt 200 Zeichen. Wenn Sie einen base64-codierten Wert angeben möchten, können Sie vor der Kodierung bis zu 200 Zeichen angeben.

   Geben Sie für dieses Beispiel ein. **MyAgent** AWS WAF untersucht den `User-Agent` Header in Webanfragen auf den Wert`MyAgent`.

1. Lassen Sie **Text transformation (Texttransformation)** auf **None (Keine)**. 

1. Wählen Sie unter **Action** (Aktion) die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Wählen Sie in diesem Beispiel **Count** (Anzahl) und lassen Sie die anderen Optionen so, wie sie sind. Durch die Aktion „Count“ (Anzahl) werden Metriken für Webanforderungen erstellt, die mit der Regel übereinstimmen (ohne Einfluss darauf, ob die Anforderung zugelassen oder blockiert ist). Weitere Informationen zur Auswahl von Aktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md) und [Regelpriorität festlegen](web-acl-processing-order.md).

1. Wählen Sie **Regel hinzufügen** aus.

## Schritt 4: Fügen Sie eine Regelgruppe für AWS verwaltete Regeln hinzu
<a name="getting-started-wizard-add-rule-group"></a>

AWS Managed Rules bietet Ihnen eine Reihe von verwalteten Regelgruppen, von denen die meisten für AWS WAF Kunden kostenlos sind. Weitere Informationen zu Regelgruppen finden Sie unter [AWS WAF Regelgruppen](waf-rule-groups.md). Wir fügen dieser Web-ACL eine Regelgruppe für AWS verwaltete Regeln hinzu. 

**Um eine Regelgruppe für AWS verwaltete Regeln hinzuzufügen**

1. Wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen hinzufügen)** **Add rules (Regeln hinzufügen)**, und wählen Sie dann **Add managed rule groups (Verwaltete Regelgruppen hinzufügen)**. 

1. Erweitern Sie auf der Seite **Add managed rule groups (Verwaltete Regelgruppen hinzufügen)** die Auflistung für die **Verwalteten AWS -Regelgruppen**. (Es werden auch Angebote für AWS Marketplace Verkäufer angezeigt. Sie können ihre Angebote abonnieren und sie dann genauso verwenden wie für Regelgruppen mit AWS verwalteten Regeln.)

1. Führen Sie die folgenden Schritte für die Regelgruppe aus, die Sie hinzufügen möchten: 

   1. Aktivieren Sie die Option **Add to web ACL** (Zur Web-ACL hinzufügen) in der Spalte **Action** (Aktion). 

   1. Wählen Sie **Bearbeiten** aus und öffnen Sie in der Liste **Regeln** der Regelgruppe die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie aus **Count**. Dadurch wird festgelegt, dass alle Regeln in der Regelgruppe nur zählen. Auf diese Weise können Sie sehen, wie sich alle Regeln der Regelgruppe mit Ihren Webanforderungen verhalten, bevor Sie einzelne davon verwenden.

   1. Wählen Sie **Save rule** (Regel speichern).

1. Wählen Sie auf der Seite **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) die Option **Add rules** (Regeln hinzufügen). Nun werden Sie wieder zur Seite **Add rules and rule groups** (Regeln und Regelgruppen hinzufügen) geleitet.

## Schritt 5: Abschließen Ihrer Web-ACL-Konfiguration
<a name="getting-started-wizard-finish-webacl-options"></a>

Wenn Sie mit dem Hinzufügen von Regeln und Regelgruppen zu Ihrer Web-ACL-Konfiguration fertig sind, verwalten Sie abschließend die Priorität der Regeln in der Web-ACL und konfigurieren Einstellungen wie Metriken, Tagging und Protokollierung. 

**So schließen Sie Ihre Web-ACL-Konfiguration ab**

1. Wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen hinzufügen)** die Option **Next (Weiter)**. 

1. Auf der Seite **Regelpriorität festlegen** können Sie die Verarbeitungsreihenfolge für die Regeln und Regelgruppen in der Web-ACL sehen. AWS WAF verarbeitet sie ab dem Anfang der Liste. Sie können die Verarbeitungsreihenfolge ändern, indem Sie die Regeln nach oben oder unten verschieben. Wählen Sie dazu eine in der Liste aus und wählen Sie **Move up (Nach oben verschieben)** oder **Move down (Nach unten verschieben)**. Weitere Informationen zur Priorität von Regeln finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

1. Wählen Sie **Weiter** aus.

1. Auf der Seite **Metriken konfigurieren** für ** CloudWatchAmazon-Metriken** können Sie die geplanten Metriken für Ihre Regeln und Regelgruppen sowie die Sampling-Optionen für Webanfragen einsehen. Informationen zum Anzeigen von Stichprobenanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 

   Sie können auf der Seite der Web-ACL in der AWS WAF Konsole unter dem Tab **Traffic-Übersicht auf Zusammenfassungen der Metriken zum Web-Traffic** zugreifen. Die Konsolen-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken der Web-ACL. Weitere Informationen finden Sie unter [Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)](web-acl-dashboards.md). 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Review and create web ACL** (Überprüfen und Web-ACL erstellen) Ihre Einstellungen und wählen Sie dann **Create web ACL** (Web-ACL erstellen). 

Der Assistent führt Sie zur **Web-ACL-Seite** zurück, auf der Ihre neue Web-ACL aufgeführt ist.

## Schritt 6: Bereinigen Ihrer Ressourcen
<a name="getting-started-wizard-clean-up"></a>

Sie haben das Tutorial jetzt erfolgreich abgeschlossen. Um zu verhindern, dass für Ihr Konto zusätzliche AWS WAF Gebühren anfallen, sollten Sie die von Ihnen erstellten AWS WAF Objekte bereinigen. Alternativ können Sie die Konfiguration so ändern, dass sie den Webanfragen entspricht, die Sie tatsächlich verwalten möchten. AWS WAF

**Anmerkung**  
AWS berechnet Ihnen in der Regel weniger als 0,25 USD pro Tag für die Ressourcen, die Sie in diesem Tutorial erstellen. Wenn Sie fertig sind, empfehlen wir, dass Sie die Ressourcen löschen, um unnötige Kosten zu vermeiden. 

**Um die Objekte zu löschen, für die AWS WAF Gebühren anfallen**

1. Wählen Sie auf der **Web-ACL-Seite** Ihre Web-ACL aus der Liste aus und klicken Sie auf **Bearbeiten**. 

1. Wählen Sie auf der Registerkarte Zugeordnete ** AWS Ressourcen** für jede zugeordnete Ressource das Optionsfeld neben dem Ressourcennamen aus und klicken Sie dann auf **Zuordnung trennen**. Dadurch wird die Web-ACL von Ihren AWS Ressourcen getrennt. 

1. Wählen Sie in jedem der folgenden Bildschirme **Weiter** aus, bis Sie zur **ACL-Web-Seite** zurückkehren.

   Wählen Sie auf der **Web-ACL-Seite** Ihre Web-ACL aus der Liste aus und klicken Sie auf **Löschen**. 

Regeln und Regelanweisungen existieren nicht außerhalb der Definitionen von Regelgruppen und Web-ACLs. Wenn Sie eine Web-ACL löschen, werden alle einzelnen Regeln gelöscht, die Sie in der Web-ACL definiert haben. Wenn Sie eine Regelgruppe aus einer Web-ACL entfernen, entfernen Sie einfach den Verweis darauf. 

# Wie AWS WAF funktioniert
<a name="how-aws-waf-works"></a>

Sie steuern AWS WAF damit, wie Ihre geschützten Ressourcen auf HTTP (S) -Webanfragen reagieren. Dazu definieren Sie eine Web-Zugriffskontrollliste (Web ACL) und verknüpfen sie dann mit einer oder mehreren Webanwendungsressourcen, die Sie schützen möchten. Die zugehörigen Ressourcen leiten eingehende Anfragen AWS WAF zur Prüfung durch die Web-ACL weiter. 

Die **neue Konsole** vereinfacht den Web-ACL-Konfigurationsprozess. Es werden Schutzpakete eingeführt, um die Einrichtung zu optimieren und gleichzeitig die volle Kontrolle über Ihre Sicherheitsregeln zu behalten. 

Protection Packs sind der neue Speicherort für das Internet ACLs und vereinfachen die Verwaltung von Web-ACLS in der Konsole, ändern jedoch nichts an der zugrunde liegenden Web-ACL-Funktionalität. Wenn Sie die Standardkonsole oder die API verwenden, arbeiten Sie weiterhin direkt mit dem Internet ACLs.

In Ihrem Schutzpaket (Web-ACL) erstellen Sie Regeln, um Verkehrsmuster zu definieren, nach denen in Anfragen gesucht werden soll, und um festzulegen, welche Aktionen bei entsprechenden Anfragen ausgeführt werden sollen. Zu den Aktionsoptionen gehören die folgenden: 
+ Erlauben Sie, dass die Anfragen zur Verarbeitung und Beantwortung an die geschützte Ressource weitergeleitet werden. 
+ Blockieren Sie die Anfragen. 
+ Zählen Sie die Anfragen. 
+ Führen Sie CAPTCHA- oder Challenge-Checks anhand von Anfragen durch, um zu überprüfen, ob menschliche Benutzer und Standardbrowser verwendet werden. 

**AWS WAF Komponenten**  
Die folgenden sind die zentralen Komponenten von AWS WAF:
+ **web ACLs** — Sie verwenden eine Web-Zugriffskontrollliste (Web-ACL), um eine Reihe von AWS Ressourcen zu schützen. Sie erstellen eine Web-ACL und definieren deren Schutzstrategie, indem Sie Regeln hinzufügen. Regeln definieren Kriterien für die Prüfung von Webanfragen und legen fest, welche Maßnahmen bei Anfragen ergriffen werden sollen, die ihren Kriterien entsprechen. Sie legen außerdem eine Standardaktion für die Web-ACL fest, die angibt, ob Anfragen blockiert oder zugelassen werden sollen, die die Regeln noch nicht blockiert oder zugelassen haben. Weitere Informationen zum Internet finden ACLs Sie unter[Schutz konfigurieren in AWS WAF](web-acl.md).

  Eine Web-ACL ist eine AWS WAF Ressource.
+ **Schutzpakete (Web-ACLs)** — In der neuen Konsole sind Protection Packs der neue Speicherort für Ihr Web ACLs. Während der Installation geben Sie Informationen zu Ihren Apps und Ressourcen an. AWS WAF empfiehlt ein auf Ihr Szenario zugeschnittenes Schutzpaket und erstellt dann eine Web-ACL, die Regeln, Regelgruppen und Aktionen enthält, die durch das von Ihnen gewählte Schutzpaket (Web-ACL) definiert sind. Weitere Informationen zu Protection Packs (Web ACLs) finden Sie unter. [Schutz konfigurieren in AWS WAF](web-acl.md)

  Ein Schutzpaket (Web-ACL) ist eine AWS WAF Ressource.
+ **Regeln** – Jede Regel enthält eine Anweisung, die die Überprüfungskriterien definiert, und eine Maßnahme, die zu ergreifen ist, wenn eine Webanforderung die Kriterien erfüllt. Wenn eine Webanfrage die Kriterien erfüllt, ist das eine Übereinstimmung. Sie können Regeln konfigurieren, um passende Anfragen zu blockieren, sie durchzulassen, sie zu zählen oder Bot-Kontrollen gegen sie auszuführen, die CAPTCHA-Rätsel oder stille Client-Browser-Challenges verwenden. Weitere Informationen zu Regeln finden Sie unter [AWS WAF Regeln](waf-rules.md). 

  Eine Regel ist keine Ressource. AWS WAF Sie ist nur im Kontext eines Schutzpakets (Web-ACL) oder einer Regelgruppe vorhanden.
+ **Regelgruppen** — Sie können Regeln direkt in einem Schutzpaket (Web-ACL) oder in wiederverwendbaren Regelgruppen definieren. AWS Verwaltete Regeln und AWS Marketplace Verkäufer stellen verwaltete Regelgruppen für Sie bereit. Sie können auch eigene Regelgruppen definieren. Weitere Informationen zu Regelgruppen finden Sie unter [AWS WAF Regelgruppen](waf-rule-groups.md). 

  Eine Regelgruppe ist eine AWS WAF Ressource.
+ **Web-ACL-Kapazitätseinheiten (WCUs)** — AWS WAF verwendet, WCUs um die Betriebsressourcen zu berechnen und zu steuern, die für die Ausführung Ihrer Regeln, Regelgruppen, Schutzpakete (Web ACLs) oder Web erforderlich sind ACLs. 

  Eine WCU ist keine AWS WAF Ressource. Sie ist nur im Kontext eines Schutzpakets (Web-ACL), einer Regel oder einer Regelgruppe vorhanden.

# Ressourcen, mit denen Sie sich schützen können AWS WAF
<a name="how-aws-waf-works-resources"></a>

Sie können ein AWS WAF Schutzpaket (Web-ACL) verwenden, um globale oder regionale Ressourcentypen zu schützen. Dazu ordnen Sie das Protection Pack (Web-ACL) den Ressourcen zu, die Sie schützen möchten. Das Protection Pack (Web-ACL) und alle AWS WAF Ressourcen, die es verwendet, müssen sich in der Region befinden, in der sich die zugehörige Ressource befindet. Für CloudFront Amazon-Distributionen ist dies auf USA Ost (Nord-Virginia) festgelegt.

**CloudFront Amazon-Distributionen**  
Sie können einer CloudFront Distribution mithilfe der AWS WAF Konsole oder APIs ein AWS WAF Protection Pack (Web-ACL) zuordnen. Sie können einer CloudFront Distribution auch ein Protection Pack (Web-ACL) zuordnen, wenn Sie die Distribution selbst erstellen oder aktualisieren. Um eine Zuordnung zu konfigurieren AWS CloudFormation, müssen Sie die CloudFront Distributionskonfiguration verwenden. Informationen zu Amazon CloudFront finden Sie im *Amazon CloudFront Developer Guide* unter [Using AWS WAF to Control Access to Your Content](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html).

AWS WAF ist weltweit für den CloudFront Vertrieb verfügbar, aber Sie müssen die Region USA Ost (Nord-Virginia) verwenden, um Ihr Schutzpaket (Web-ACL) und alle im Schutzpaket (Web-ACL) verwendeten Ressourcen wie Regelgruppen, IP-Sets und Regex-Muster-Sets zu erstellen. Einige Benutzeroberflächen bieten die Regionsauswahl „Global ()CloudFront“. Diese Auswahl ist identisch mit der Auswahl der Region USA Ost (Nord-Virginia) oder "us-east-1“.

**Regionale Ressourcen**  
Sie können regionale Ressourcen in allen Regionen schützen, in denen sie AWS WAF verfügbar sind. Sie finden die Liste unter [AWS WAF Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/waf.html) im *Allgemeine Amazon Web Services-Referenz*. 

Sie können AWS WAF zum Schutz der folgenden regionalen Ressourcentypen verwenden: 
+ Amazon API Gateway API-Gateway-REST-API
+ Application Load Balancer
+ AWS AppSync GraphQL-API
+ Amazon-Cognito-Benutzerpool
+ AWS App Runner Dienst
+ AWS Instanz mit verifiziertem Zugriff
+ AWS Amplify

Sie können einem darin enthaltenen Application Load Balancer nur ein Protection Pack (Web-ACL) zuordnen. AWS-Regionen Sie können beispielsweise einem eingeschalteten Application Load Balancer kein Protection Pack (Web-ACL) zuordnen. AWS Outposts

Sie müssen jedes Schutzpaket (Web-ACL) erstellen, das Sie einer Amplify-App in der globalen CloudFront Region zuordnen möchten. Möglicherweise haben Sie bereits ein Regional Protection Pack (Web ACL) in Ihrem AWS-Konto, aber es ist nicht mit Amplify kompatibel.

Das Protection Pack (Web-ACL) und alle anderen AWS WAF Ressourcen, die es verwendet, müssen sich in derselben Region wie die geschützten Ressourcen befinden. Bei der Überwachung und Verwaltung von Webanfragen für eine geschützte regionale Ressource werden alle Daten in derselben Region AWS WAF aufbewahrt wie die geschützte Ressource. 

**Einschränkungen für mehrere Ressourcenzuordnungen**  
Sie können ein einzelnes Schutzpaket (Web-ACL) mit einer oder mehreren AWS Ressourcen verknüpfen, wobei die folgenden Einschränkungen gelten:
+ Sie können jede AWS Ressource nur einem Schutzpaket (Web-ACL) zuordnen. Die Beziehung zwischen dem Protection Pack (Web-ACL) und den AWS Ressourcen ist one-to-many. 
+ Sie können ein Protection Pack (Web-ACL) einer oder mehreren CloudFront Distributionen zuordnen. Sie können ein Protection Pack (Web-ACL), das Sie einer CloudFront Distribution zugeordnet haben, keinem anderen AWS Ressourcentyp zuordnen.

# Arbeiten mit der aktualisierten Konsolenerfahrung
<a name="working-with-console"></a>

 AWS WAF bietet zwei Optionen für die Verwendung der Konsole:

 Die **neue Konsole** zielt darauf ab, den Web-ACL-Konfigurationsprozess zu vereinfachen, der für Standard-Konsolen-Workflows erforderlich ist. Mithilfe von geführten Workflows können Sie die Erstellung und Verwaltung von Web-ACLS mithilfe eines Schutzpakets (Web-ACL) vereinfachen. Ein Schutzpaket (Web-ACL) erleichtert die Verwendung und Verwaltung von Websites ACLs in der Konsole, unterscheidet sich jedoch funktionell nicht von einer Web-ACL. Zusätzlich zur verbesserten Konfiguration des Schutzes bietet die neue Konsole dank Sicherheits-Dashboards einen besseren Überblick über Ihre Schutzmaßnahmen, sodass Sie Ihren Sicherheitsstatus innerhalb der Konsole einfacher überwachen können. AWS WAF 

 Die ** AWS WAF Standardkonsole** bietet einen herkömmlichen Ansatz zur Konfiguration des Firewall-Schutzes für Webanwendungen über das Internet. ACLs Sie bietet eine detaillierte Steuerung einzelner Regeln und Regelgruppen und ist bestehenden AWS WAF Benutzern vertraut. Mit dieser Konsole haben Sie detaillierte Kontrolle über Ihre Schutzkonfigurationen und können Ihre Sicherheitseinstellungen präzise anpassen. 

**Tipp**  
 Wählen Sie das Konsolenerlebnis, das Ihren Anforderungen am besten entspricht. Wenn Sie mit der Konfiguration von Schutzmaßnahmen auf der Grundlage von AWS Empfehlungen noch nicht vertraut sind AWS WAF oder damit beginnen möchten, empfehlen wir, mit der neuen Konsolenoberfläche zu beginnen. Die Standardoberfläche kann jedoch immer über den Navigationsbereich der Konsole geöffnet werden. 

## Funktionsparität zwischen der neuen und der standardmäßigen Konsolenoberfläche
<a name="feature-parity"></a>

Das neue Konsolenerlebnis behält die vollständige Funktionsparität mit der bestehenden Konsole bei und führt gleichzeitig neue Funktionen ein:
+ Alle vorhandenen AWS WAF Funktionen bleiben verfügbar
+ Verbesserte Sichtbarkeit durch einheitliche Dashboards
+ Vereinfachte Konfigurations-Workflows
+ Neue Vorlagen für Schutzpakete (Web-ACL)

**Wichtig**  
Die neue Konsolenoberfläche verwendet dieselben Funktionen WAFv2 APIs wie die bestehende Konsole. Das bedeutet, dass die in der neuen Konsole erstellten Schutzpakete als WAFv2 Standard-Web ACLs auf API-Ebene implementiert werden.

## Die wichtigsten Unterschiede:
<a name="key-differences"></a>


**Vergleich der Erfahrungen mit Konsolen**  

| Feature | Bisherige AWS WAF Konsolenerfahrung | Das Konsolenerlebnis wurde aktualisiert | 
| --- | --- | --- | 
| Der Konfigurationsprozess | Mehrseitiger Arbeitsablauf | Einseitige Oberfläche | 
| Konfiguration von Regeln | Erstellung individueller Regeln | Option für vorkonfigurierte Schutzpakete | 
| Überwachen | Separate Dashboards | Einheitliche Transparenz, einschließlich KI-Verkehrsanalyse | 

## Die neuen Dashboards verstehen
<a name="understanding-new-dashboard"></a>

Die in der neuen Version verfügbaren Dashboards bieten anhand dieser Visualisierungen einen einheitlichen Überblick über Ihre Sicherheitslage:

**Empfehlungen für Einblicke in den Datenverkehr** — AWS Threat Intelligence überwacht den erlaubten Traffic der letzten 2 Wochen, analysiert Sicherheitslücken und bietet folgende Informationen:  
+ Vorschläge für Regeln auf der Grundlage des Datenverkehrs
+ Anwendungsspezifische Sicherheitsempfehlungen
+ Hinweise zur Optimierung des Schutzes

**Zusammenfassung** — Zeigt die Anzahl der Anfragen für den gesamten Datenverkehr in einem bestimmten Zeitraum an. Sie können die folgenden Kriterien verwenden, um Verkehrsdaten zu filtern:  
+ **Regel** — Filtern Sie nach den einzelnen Regeln im Schutzpaket.
+ **Aktionen** — Zeigt die Anzahl bestimmter Aktionen an, die im Zusammenhang mit Traffic ausgeführt wurden, wie Zulassen, Blockieren, Captcha und Herausfordern.
+ **Verkehrstyp** — Zeigt nur die Anzahl für bestimmte Verkehrsarten wie DDo Anti-S oder Bots an.
+ **Zeitbereich** — Wählen Sie aus einer Auswahl vordefinierter Zeitbereiche oder legen Sie einen benutzerdefinierten Bereich fest. 
+ **Lokale Zeit oder UTC-Zeit** — Sie können Ihr bevorzugtes Zeitformat festlegen.

**KI-Verkehrsanalyse** — Bietet umfassenden Einblick in die Aktivitäten von KI-Bot und -Agenten:  
+ **Bot-Identifizierung** — Bot-Namen, Organisationen und Bestätigungsstatus.
+ **Absichtsanalyse** — Zweck und Verhaltensmuster von KI-Agenten.
+ **Zugriffsmuster** — Am häufigsten aufgerufene Endpunkte URLs und am häufigsten aufgerufene Endpunkte.
+ **Zeitliche Trends** — Aktivitätsmuster nach Tageszeit und historische Trends (0-14 Tage).
+ **Verkehrsmerkmale** — Volumen, Verteilung und Erkennung von Anomalien für KI-Verkehr.

**Schutzaktivität** — Visualisiert Ihre Schutzregeln und wie ihre Reihenfolge dazu beiträgt, Aktionen zu beenden.  
+ **Verkehrsfluss durch Ihre Regeln** — Zeigen Sie den Verkehrsfluss durch Ihre Regeln. Wechseln Sie von der Ansicht „**Sequenzielle Regeln“ zur Ansicht** „**Nicht sequenzielle Regeln“, um zu sehen, wie sich die Reihenfolge der Regeln auf** die Ergebnisse auswirkt.
+ **Regelaktionen und ihre Ergebnisse** — Zeigt die abschließenden Aktionen an, die eine Regel im angegebenen Zeitraum auf den Datenverkehr angewendet hat. 

**Gesamtwerte der Aktionen** — Ein Diagramm, das die Gesamtzahl der Aktionen visualisiert, die in einem bestimmten Zeitraum auf Anfragen hin ausgeführt wurden. Verwenden Sie die Option „**Letzte 3 Stunden überlagern**“, um den aktuellen Zeitraum mit dem Zeitfenster der letzten 3 Stunden zu vergleichen. Sie können Daten nach folgenden Kriterien filtern:   
+ **Aktion zulassen**
+ **Aktionen insgesamt**
+ **Captcha-Aktionen**
+ **Aktionen herausfordern**
+ **Aktionen blockieren**

**Alle Regeln** — Ein Diagramm, das die Metriken für alle Regeln im Schutzpaket visualisiert.  
+  Verwenden Sie die Option „**Letzte 3 Stunden überlagern**“, um den aktuellen Zeitraum mit dem Zeitfenster der letzten 3 Stunden zu vergleichen.

**Übersichts-Dashboard** — Bietet eine umfassende grafische Ansicht Ihres Sicherheitsstatus, einschließlich der folgenden Informationen:  
+ **Merkmale des Datenverkehrs** — Hier erhalten Sie einen Überblick über den Datenverkehr nach Herkunft, Angriffsarten oder Gerätetyp der Clients, die Anfragen gesendet haben.
+ **Regelmerkmale** — Eine Aufschlüsselung der Angriffe nach den 10 häufigsten Regeln und beendenden Aktionen.
+ **Bots** — Visualisieren Sie Bot-Aktivität, Erkennung, Kategorien und bot-bezogene Signalkennzeichnungen.
+ **DDoAnti-S —** Ein Überblick über die erkannten und abgemilderten DDo Layer-7-S-Aktivitäten.

# Schutz konfigurieren in AWS WAF
<a name="web-acl"></a>

Auf dieser Seite wird erklärt, was Schutzpakete (Web ACLs) sind und wie sie funktionieren.

 Ein Schutzpaket (Web-ACL) bietet Ihnen eine genaue Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Sie können Ressourcen von Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito, AWS App Runner AWS Amplify CloudWatch, Amazon und AWS Verified Access schützen.

Sie können Kriterien wie die folgenden verwenden, um Anforderungen zuzulassen oder zu blockieren: 
+ Ursprung der IP-Adresse der Anforderung
+ Ursprungsland der Anforderung
+ Zeichenfolgen-Übereinstimmung oder Regex-Übereinstimmung in einem Teil der Anforderung
+ Größe eines bestimmten Teils der Anforderung
+ Erkennen von schädlichem SQL-Code oder Skripting 

Sie können die Anforderungen auch auf jede beliebige Kombination dieser Bedingungen überprüfen. Sie können Webanfragen blockieren oder zählen, die nicht nur die angegebenen Bedingungen erfüllen, sondern auch eine bestimmte Anzahl von Anfragen in einer Minute überschreiten. Sie können Bedingungen über logische Operatoren kombinieren. Sie können auch CAPTCHA-Rätsel und unbeaufsichtigte Client-Sitzungen anhand von Anfragen ausführen. 

In den AWS WAF Regelanweisungen geben Sie Ihre Übereinstimmungskriterien und die Maßnahmen an, die Sie bei Übereinstimmungen ergreifen sollen. Sie können Regelanweisungen direkt in Ihrem Schutzpaket (Web-ACL) und in wiederverwendbaren Regelgruppen definieren, die Sie in Ihrem Protection Pack (Web-ACL) verwenden. Eine vollständige Liste der Optionen finden Sie unter [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md) und [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

Wenn Sie ein Schutzpaket (Web-ACL) erstellen, geben Sie die Ressourcentypen an, mit denen Sie es verwenden möchten. Weitere Informationen finden Sie unter [Erstellen eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-creating.md). Nachdem Sie ein Schutzpaket (Web-ACL) definiert haben, können Sie es Ihren Ressourcen zuordnen, um sie zu schützen. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md). 

**Anmerkung**  
In einigen Fällen AWS WAF kann ein interner Fehler auftreten, der die Antwort der zugehörigen AWS Ressourcen darauf verzögert, ob eine Anfrage zugelassen oder blockiert werden soll. In diesen Fällen CloudFront wird die Anfrage in der Regel zugelassen oder der Inhalt bereitgestellt, während die Regionaldienste die Anfrage in der Regel ablehnen und den Inhalt nicht bereitstellen.

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen in Ihrem Schutzpaket (Web-ACL) für den Produktionsdatenverkehr implementieren, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

**Topics**
+ [Erstellen eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-creating.md)
+ [Bearbeiten eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-editing.md)
+ [Verhalten von Regelgruppen verwalten](web-acl-rule-group-settings.md)
+ [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md)
+ [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md)
+ [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md)
+ [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [Konfiguration von CAPTCHA, Challenge und Tokens in AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [Metriken zum Web-Traffic anzeigen in AWS WAF](web-acl-working-with.md)
+ [Löschen eines Schutzpakets (Web-ACL)](web-acl-deleting.md)

# Erstellen eines Schutzpakets (Web-ACL) in AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

Dieser Abschnitt enthält Verfahren zum Erstellen von Schutzpaketen (Web ACLs) über die neue AWS Konsole. 

Um ein neues Schutzpaket (Web-ACL) zu erstellen, verwenden Sie den Assistenten zum Erstellen des Schutzpakets (Web-ACL) gemäß den Anweisungen auf dieser Seite. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen in Ihrem Protection Pack (Web-ACL) für den Produktionsdatenverkehr implementieren, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Melden Sie sich bei der neuen Version an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Wählen Sie im Navigationsbereich **Resources & Protection Packs** (Web) aus. ACLs

1. Wählen Sie auf der Seite **Resources & Protection Packs (Web ACLs)** die Option **Add Protection Pack (Web ACL)** aus.

1. Wählen **Sie unter Erzählen Sie uns von Ihrer App** **für App-Kategorie** eine oder mehrere App-Kategorien aus.

1. Wählen Sie unter **Verkehrsquelle** die Art des Datenverkehrs aus, mit dem die Anwendung interagiert: **API**, **Web** oder **Sowohl API als auch Web**.

1. Wählen Sie unter **Zu schützende Ressourcen die** Option **Ressourcen hinzufügen** aus.

1. Wählen Sie die AWS Ressourcenkategorie aus, die Sie mit diesem Protection Pack (Web-ACL) verknüpfen möchten, entweder CloudFront Amazon-Distributionen oder Regionale Ressourcen. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md). 

1. **Wählen Sie unter Erste Schutzmaßnahmen** auswählen Ihre bevorzugte Schutzstufe aus: **Empfohlen**, **Grundlegend** oder **Sie erstellen** es. 

1. (Optional) Wenn Sie „**Sie erstellen es**“ wählen, erstellen Sie Ihre Regeln.

   1. (Optional) Wenn Sie Ihre eigene Regel hinzufügen möchten, wählen Sie auf der Seite **Regeln hinzufügen** die Option **Benutzerdefinierte Regel** und dann **Weiter** aus.

      1. Wählen Sie den Regeltyp aus.

      1. Wählen Sie unter **Action (Aktion)** die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Informationen zu Ihren Auswahlmöglichkeiten finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md) und [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md).

         Wenn Sie die **Challenge**Aktion **CAPTCHA**oder verwenden, passen Sie die Konfiguration der **Immunitätszeit** nach Bedarf für die Regel an. Wenn Sie die Einstellung nicht angeben, erbt die Regel sie vom Schutzpaket (Web-ACL). Um die Immunitätszeiteinstellungen des Schutzpakets (Web-ACL) zu ändern, bearbeiten Sie das Schutzpaket (Web-ACL), nachdem Sie es erstellt haben. Weitere Hinweise zu Immunitätszeiten finden Sie unter[Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Challenge Regelaktion CAPTCHA oder in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

         Wenn Sie die Anfrage oder Antwort anpassen möchten, wählen Sie die Optionen dafür aus und geben Sie die Details der Anpassung ein. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

         Wenn Sie möchten, dass Ihre Regel Kennzeichnungen zu übereinstimmenden Webanforderungen hinzufügt, wählen Sie die Optionen dafür aus und geben Sie die Kennzeichnungsdetails ein. Weitere Informationen finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

      1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Regel bezeichnen möchten. Verwenden Sie keine Namen, die mit`AWS`, `Shield``PreFM`, oder beginnen`PostFM`. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden.

      1. Geben Sie Ihre Regeldefinition entsprechend Ihren Anforderungen ein. Sie können Regeln innerhalb von logischen `AND`- und `OR`-Regelanweisungen kombinieren. Der Assistent führt Sie je nach Kontext durch die Optionen der einzelnen Regeln. Informationen zu den Optionen Ihrer Regeln finden Sie unter [AWS WAF Regeln](waf-rules.md). 

      1. Wählen Sie **Regel erstellen** aus.
**Anmerkung**  
Wenn Sie einem Schutzpaket (Web-ACL) mehr als eine Regel hinzufügen, werden die Regeln in der Reihenfolge AWS WAF ausgewertet, in der sie für das Protection Pack (Web-ACL) aufgeführt sind. Weitere Informationen finden Sie unter [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md).

   1. (Optional) Wenn Sie verwaltete Regelgruppen hinzufügen möchten, wählen Sie auf der Seite **Regeln hinzufügen** die Option **AWS-verwaltete Regelgruppe oder AWS Marketplace-Regelgruppe** **aus und klicken** Sie dann auf **Weiter**. Führen Sie die folgenden Schritte für jede verwaltete Regelgruppe aus, die Sie hinzufügen möchten:

      1. Erweitern Sie auf der Seite **Regeln hinzufügen** das Angebot für AWS verwaltete Regelgruppen oder für den AWS Marketplace Verkäufer.

      1. Wählen Sie die Version der Regelgruppe aus.

      1. Um anzupassen, wie Ihr Protection Pack (Web-ACL) die Regelgruppe verwendet, wählen Sie **Bearbeiten**. Im Folgenden finden Sie allgemeine Anpassungseinstellungen: 
         + **Reduzieren Sie den Umfang der Webanfragen, die von der Regelgruppe geprüft werden, indem Sie im Abschnitt Inspektion eine Erklärung zum Umfang hinzufügen.** Weitere Informationen zu dieser Option finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
         + **Überschreiben Sie die Regelaktionen für einige oder alle Regeln unter Regelüberschreibungen.** Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Weitere Informationen zu dieser Option finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 
         + Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie unter[AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md). 

      1. Wählen Sie **Weiter** aus.

   1. (Optional) Wenn Sie Ihre eigene Regelgruppe hinzufügen möchten, wählen Sie auf der Seite **Regeln hinzufügen** die Option **Benutzerdefinierte Regelgruppe** und dann **Weiter** aus. Führen Sie die folgenden Schritte für jede Regelgruppe aus, die Sie hinzufügen möchten:

      1. Geben Sie unter **Name** den Namen ein, den Sie für die Regelgruppenregel in diesem Schutzpaket (Web-ACL) verwenden möchten. Verwenden Sie keine Namen, die mit`AWS`, `Shield``PreFM`, oder beginnen`PostFM`. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden. Siehe [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md). 

      1. Wählen Sie Ihre Regelgruppe aus der Liste aus. 

      1. (Optional) Wählen Sie unter **Regelkonfiguration** eine **Regelüberschreibung** aus. Sie können die Regelaktionen mit jeder gültigen Aktionseinstellung überschreiben, genauso wie Sie es für verwaltete Regelgruppen tun können.

      1. (Optional) Wählen **Sie unter Labels hinzufügen** die Option **Label hinzufügen** aus und geben Sie dann alle Labels ein, die Sie Anfragen hinzufügen möchten, die der Regel entsprechen. Regeln, die später in demselben Schutzpaket (Web-ACL) ausgewertet werden, können auf die Labels verweisen, die diese Regel hinzufügt.

      1. Wählen Sie **Regel erstellen** aus.

1. Geben Sie unter **Name und Beschreibung** einen Namen für Ihr Schutzpaket (Web-ACL) ein. Geben Sie optional eine Beschreibung ein.
**Anmerkung**  
Sie können den Namen nicht mehr ändern, nachdem Sie das Schutzpaket (Web-ACL) erstellt haben.

1. (Optional) Konfigurieren **Sie unter Schutzpaket anpassen (Web-ACL)** die Standardregelaktionen, -konfigurationen und das Protokollierungsziel:

   1. (Optional) Wählen Sie unter **Standardregelaktionen** die Standardaktion für das Schutzpaket (Web-ACL) aus. Dies ist die Aktion, AWS WAF die bei einer Anfrage ausgeführt wird, wenn die Regeln im Protection Pack (Web-ACL) nicht explizit eine Aktion ausführen. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

   1. (Optional) Passen Sie unter Regelkonfiguration die Einstellungen für Regeln im Protection Pack (Web-ACL) an:
      + **Standard-Ratenlimits** — Legen Sie Ratenlimits fest, um Denial of Service (DoS) -Angriffe zu blockieren, die die Verfügbarkeit beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen können. Diese Regelrate blockiert Anfragen pro IP-Adresse, die die zulässige Rate für Ihre Anwendung überschreiten. Weitere Informationen finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).
      + **IP-Adressen** — Geben Sie IP-Adressen ein, die blockiert oder zugelassen werden sollen. Diese Einstellung hat Vorrang vor anderen Regeln.
      + **Länderspezifische Herkunft** — Blockieren Sie Anfragen aus bestimmten Ländern oder zählen Sie den gesamten Traffic.

   1. Konfigurieren Sie für das **Protokollierungsziel** den Typ des Protokollierungsziels und den Ort, an dem die Protokolle gespeichert werden sollen. Weitere Informationen finden Sie unter [AWS WAF Ziele protokollieren](logging-destinations.md).

1. Überprüfen Sie Ihre Einstellungen und wählen **Sie Schutzpaket hinzufügen (Web-ACL)**.

------
#### [ Using the standard console ]

Dieser Abschnitt enthält Verfahren zum Erstellen einer Website ACLs über die AWS Konsole. 

Um eine neue Web-ACL zu erstellen, verwenden Sie den Assistenten zum Erstellen von Web-ACLS gemäß dem Verfahren auf dieser Seite. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen an Ihrer Web-ACL für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und anpassen, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**So erstellen Sie eine Web-ACL**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie ACLs im Navigationsbereich **Web** und anschließend **Web-ACL erstellen** aus.

1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Web-ACL bezeichnen möchten. 
**Anmerkung**  
Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

1. (Optional) Geben Sie für **Description - optional (Beschreibung–optional)** eine längere Beschreibung für die Web-ACL ein, wenn Sie möchten. 

1. Ändern Sie gegebenenfalls den Standardnamen für **CloudWatch metric name (CloudFront-Metrikname)**. Befolgen Sie die Anweisungen zu gültigen Zeichen in der Konsole. Der Name darf keine Sonderzeichen, Leerzeichen oder Metriknamen enthalten, für die reserviert ist AWS WAF, einschließlich „All“ und „Default\$1Action“.
**Anmerkung**  
Sie können den CloudWatch Metriknamen nicht mehr ändern, nachdem Sie die Web-ACL erstellt haben.

1. Wählen Sie unter **Ressourcentyp** die AWS Ressourcenkategorie aus, die Sie dieser Web-ACL zuordnen möchten, entweder CloudFront Amazon-Distributionen oder Regionale Ressourcen. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

1. **Wenn Sie einen regionalen Ressourcentyp ausgewählt haben, wählen Sie unter Region die Region aus, in der Sie die Web-ACL speichern AWS WAF möchten.** 

   Sie müssen diese Option nur für regionale Ressourcentypen auswählen. Bei CloudFront Distributionen ist die Region fest auf die Region USA Ost (Nord-Virginia) codiert`us-east-1`, für globale (CloudFront) Anwendungen.

1. (CloudFront, API Gateway, Amazon Cognito, App Runner und Verified Access) Für **Inspektionsgrößenbeschränkungen für Webanfragen — optional, wenn Sie eine andere Größenbeschränkung** für die Karosserieinspektion angeben möchten, wählen Sie die Obergrenze aus. Bei der Inspektion von Körpergrößen über dem Standardwert von 16 KB können zusätzliche Kosten anfallen. Weitere Informationen zu dieser Option finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Optional) Wählen Sie **unter AWS Zugeordnete Ressourcen — optional**, wenn Sie Ihre Ressourcen jetzt angeben möchten, Ressourcen **hinzufügen AWS **. Wählen Sie im Dialogfeld die Ressourcen aus, die Sie zuordnen möchten, und klicken Sie dann auf **Hinzufügen**. AWS WAF kehrt zur Seite „**Web-ACL und zugehörige AWS Ressourcen beschreiben**“ zurück.
**Anmerkung**  
Wenn Sie Ihrer Web-ACL einen Application Load Balancer zuordnen möchten, ist der **Schutz auf Ressourcenebene DDo S aktiviert**. Weitere Informationen finden Sie unter [AWS WAF Verhinderung von Distributed Denial of Service (DDoS)](waf-anti-ddos.md).

1. Wählen Sie **Weiter** aus.

1. (Optional) Wenn Sie verwaltete Regelgruppen hinzufügen möchten, wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen)** **Add rules (Regeln hinzufügen)** aus. Wählen Sie dann **Add managed rule groups (Verwaltete Regelgruppen hinzufügen)** aus. Führen Sie die folgenden Schritte für jede verwaltete Regelgruppe aus, die Sie hinzufügen möchten:

   1. Erweitern Sie auf der Seite **Verwaltete Regelgruppen hinzufügen** die Liste für AWS verwaltete Regelgruppen oder für den AWS Marketplace Verkäufer Ihrer Wahl.

   1. Aktivieren Sie für die Regelgruppe, die Sie hinzufügen möchten, in der Spalte **Aktion** die Option **Zur Web-ACL hinzufügen**. 

      Um anzupassen, wie Ihre Web-ACL die Regelgruppe verwendet, wählen Sie **Bearbeiten**. Im Folgenden finden Sie allgemeine Anpassungseinstellungen: 
      + Überschreiben Sie die Regelaktionen für einige oder alle Regeln. Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Weitere Informationen zu dieser Option finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 
      + Reduzieren Sie den Umfang der Webanfragen, die von der Regelgruppe geprüft werden, indem Sie eine Scopedown-Anweisung hinzufügen. Weitere Informationen zu dieser Option finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
      + Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie unter[AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md). 

      Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie **Regel speichern**.

   Wählen Sie **Add rules (Regeln hinzufügen)**, um das Hinzufügen verwalteter Regeln abzuschließen und zur Seite **Add rules and rule groups (Regeln und Regelgruppen hinzufügen)** zurückzukehren.
**Anmerkung**  
Wenn Sie einer Web-ACL mehr als eine Regel hinzufügen, werden die Regeln in der Reihenfolge AWS WAF ausgewertet, in der sie für die Web-ACL aufgeführt sind. Weitere Informationen finden Sie unter [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md).

1. (Optional) Wenn Sie Ihre eigene Regelgruppe hinzufügen möchten, wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen)** **Add rules (Regeln hinzufügen)**. Aus wählen Sie dann **Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen)** aus. Führen Sie die folgenden Schritte für jede Regelgruppe aus, die Sie hinzufügen möchten:

   1. Wählen Sie auf der Seite **Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen)** **Rule group (Regelgruppe)**.

   1. Geben Sie unter **Name** den Namen ein, den Sie für die Regelgruppenregel in dieser Web-ACL verwenden möchten. Verwenden Sie keine Namen, die mit`AWS`, `Shield``PreFM`, oder `PostFM` beginnen. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden. Siehe [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md). 

   1. Wählen Sie Ihre Regelgruppe aus der Liste aus. 
**Anmerkung**  
Wenn Sie die Regelaktionen für eine eigene Regelgruppe überschreiben möchten, speichern Sie sie zunächst in der Web-ACL und bearbeiten Sie dann die Web-ACL und die Regelgruppen-Referenzanweisung in der Regelliste der Web-ACL. Sie können die Regelaktionen mit jeder gültigen Aktionseinstellung überschreiben, genauso wie Sie es für verwaltete Regelgruppen tun können.

   1. Wählen Sie **Regel hinzufügen** aus.

1. (Optional) Wenn Sie Ihre eigene Regelgruppe hinzufügen möchten, wählen Sie auf der Seite **Add rules and rule groups (Regeln und Regelgruppen)** **Add rules (Regeln hinzufügen)**. Aus wählen Sie dann **Add my own rules and rule groups (Eigene Regeln und Regelgruppen hinzufügen)**, **Rule builder (Rule-Builder)** und **Rule visual editor (Visueller Regeleditor)** aus. 
**Anmerkung**  
Der **Visuelle Regel-Editor** der Konsole unterstützt eine Verschachtelungsebene. Beispielsweise können Sie eine einzelne logische `AND`- oder `OR`-Anweisung verwenden und eine Ebene anderer Anweisungen darin verschachteln. Sie können logische Anweisungen jedoch nicht innerhalb logischer Anweisungen verschachteln. Um komplexere Regelanweisungen zu verwalten, verwenden Sie den **JSON-Regel-Editor**. Informationen zu allen Optionen für Regeln finden Sie unter [AWS WAF Regeln](waf-rules.md).   
Diese Prozedur deckt den **Visuellen Regel-Editor** ab. 

   1. Geben Sie unter **Name** den Namen ein, mit dem Sie diese Regel bezeichnen möchten. Verwenden Sie keine Namen, die mit`AWS`, `Shield``PreFM`, oder beginnen`PostFM`. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden.

   1. Geben Sie Ihre Regeldefinition entsprechend Ihren Anforderungen ein. Sie können Regeln innerhalb von logischen `AND`- und `OR`-Regelanweisungen kombinieren. Der Assistent führt Sie je nach Kontext durch die Optionen der einzelnen Regeln. Informationen zu den Optionen Ihrer Regeln finden Sie unter [AWS WAF Regeln](waf-rules.md). 

   1. Wählen Sie unter **Action (Aktion)** die Aktion aus, die die Regel ausführen soll, wenn sie einer Webanforderung entspricht. Informationen zu Ihren Auswahlmöglichkeiten finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md) und [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md).

      Wenn Sie die **Challenge**Aktion **CAPTCHA**oder verwenden, passen Sie die Konfiguration der **Immunitätszeit** nach Bedarf für die Regel an. Wenn Sie die Einstellung nicht angeben, erbt die Regel sie von der Web-ACL. Um die Einstellungen für die Immunitätszeit der Web-ACL zu ändern, bearbeiten Sie die Web-ACL, nachdem Sie sie erstellt haben. Weitere Hinweise zu Immunitätszeiten finden Sie unter[Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Challenge Regelaktion CAPTCHA oder in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

      Wenn Sie die Anfrage oder Antwort anpassen möchten, wählen Sie die Optionen dafür aus und geben Sie die Details der Anpassung ein. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

      Wenn Sie möchten, dass Ihre Regel Kennzeichnungen zu übereinstimmenden Webanforderungen hinzufügt, wählen Sie die Optionen dafür aus und geben Sie die Kennzeichnungsdetails ein. Weitere Informationen finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

   1. Wählen Sie **Regel hinzufügen** aus.

1. Wählen Sie die Standardaktion für die Web-ACL, entweder Block oderAllow. Dies ist die Aktion, die AWS WAF bei einer Anfrage ausgeführt wird, wenn die Regeln in der Web-ACL sie nicht explizit zulassen oder blockieren. Weitere Informationen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

   Wenn Sie die Standardaktion anpassen möchten, wählen Sie die Optionen dafür aus und geben Sie die Details der Anpassung ein. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

1. Sie können eine **Token-Domainliste** definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden von den Challenge Aktionen CAPTCHA und von der Anwendungsintegration verwendet, die Sie implementieren, wenn Sie SDKs die Regelgruppen mit AWS verwalteten Regeln für die Erstellung von Konten bei der AWS WAF Betrugsbekämpfung, die Betrugsprävention (ACFP), AWS WAF die Verhinderung von Kontoübernahmen (ATP) und die AWS WAF Bot-Kontrolle verwenden. 

   Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie `gov.au` oder nicht `co.uk` als Token-Domain verwenden.

    AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Regelpriorität festlegen** Ihre Regeln und Regelgruppen aus und verschieben Sie sie in die Reihenfolge, in der Sie sie verarbeiten AWS WAF möchten. AWS WAF verarbeitet Regeln, beginnend am Anfang der Liste. Wenn Sie die Web-ACL speichern, weist AWS WAF den Regeln in der Reihenfolge numerische Prioritätseinstellungen zu, in der Sie sie aufgeführt haben. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

1. Wählen Sie **Weiter** aus.

1. Sehen Sie sich die Optionen auf der Seite **Configure metrics** (Metriken konfigurieren) an und nehmen Sie alle erforderlichen Änderungen vor. Sie können Metriken aus mehreren Quellen kombinieren, indem Sie denselben **CloudWatch Metriknamen** für sie angeben. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Review and create web ACL** (Überprüfen und Web-ACL erstellen) Ihre Definitionen. Wenn Sie einen Bereich ändern möchten, wählen Sie **Edit (Bearbeiten)** für den Bereich. Dadurch kehren Sie zur Seite im Web-ACL-Assistenten zurück. Nehmen Sie alle Änderungen vor und wählen Sie dann **Next** (Weiter), bis Sie zur Seiten **Review and create web ACL** (Überprüfen und Web-ACL erstellen) zurückkehren.

1. Wählen Sie **Create web ACL** (Web-ACL erstellen) aus. Ihre neue Web-ACL ist auf der ** ACLsWebseite** aufgeführt.

------

# Bearbeiten eines Schutzpakets (Web-ACL) in AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

Dieser Abschnitt enthält Verfahren zum Bearbeiten von Protection Packs (Web ACLs) über die AWS Konsole. 

Um Regeln zu einem Protection Pack (Web-ACL) hinzuzufügen oder daraus zu entfernen oder Konfigurationseinstellungen zu ändern, greifen Sie wie auf dieser Seite beschrieben auf das Protection Pack (Web-ACL) zu. Während der Aktualisierung eines Schutzpakets (Web-ACL) AWS WAF werden die Ressourcen, die Sie mit dem Protection Pack (Web-ACL) verknüpft haben, kontinuierlich abgedeckt. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen in Ihrem Protection Pack (Web-ACL) für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**Um ein Schutzpaket (Web-ACL) zu bearbeiten**

1. Melden Sie sich bei der neuen Version an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Wählen Sie im Navigationsbereich **Resources & Protection Packs** (Web) aus. ACLs

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie bearbeiten möchten. In der Konsole kann die Haupt-Schutzpaket-Karte (Web-ACL) bearbeitet werden. Außerdem wird ein Seitenbereich mit Details geöffnet, die Sie bearbeiten können.

1. Bearbeiten Sie das Schutzpaket (Web-ACL) nach Bedarf. 

   Im Folgenden sind die Konfigurationskomponenten des editierbaren Protection Packs (Web-ACL) aufgeführt. 

   In diesem Abschnitt werden Verfahren zur Bearbeitung von Websites ACLs über die AWS Konsole beschrieben. 

   Um Regeln zu einer Web-ACL hinzuzufügen oder zu entfernen oder Konfigurationseinstellungen zu ändern, greifen Sie mit dem Verfahren auf dieser Seite auf die Web-ACL zu. Bei der Aktualisierung einer Web-ACL AWS WAF werden die Ressourcen, die Sie mit der Web-ACL verknüpft haben, kontinuierlich abgedeckt. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen an Ihrer Web-ACL für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und anpassen, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

------
#### [ Using the standard console ]

In diesem Abschnitt werden Verfahren zur Bearbeitung von Websites ACLs über die AWS Konsole beschrieben. 

Um Regeln zu einer Web-ACL hinzuzufügen oder zu entfernen oder Konfigurationseinstellungen zu ändern, greifen Sie mit dem Verfahren auf dieser Seite auf die Web-ACL zu. Bei der Aktualisierung einer Web-ACL AWS WAF werden die Ressourcen, die Sie mit der Web-ACL verknüpft haben, kontinuierlich abgedeckt. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen an Ihrer Web-ACL für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und anpassen, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**So bearbeiten Sie eine Web-ACL**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. **Wählen Sie im Navigationsbereich Web aus. ACLs**

1. Wählen Sie den Namen der Web-ACL aus, die Sie bearbeiten möchten. Über die Konsole gelangen Sie zur Beschreibung der Web-ACL. 

1. Bearbeiten Sie die Web-ACL nach Bedarf. Wählen Sie die Registerkarten für die Konfigurationsbereiche aus, die Sie interessieren, und bearbeiten Sie die veränderbaren Einstellungen. Wenn Sie für jede Einstellung, die Sie bearbeiten, auf **Speichern klicken** und zur Beschreibungsseite der Web-ACL zurückkehren, speichert die Konsole Ihre Änderungen an der Web-ACL. 

   Im Folgenden werden die Registerkarten aufgeführt, die die Web-ACL-Konfigurationskomponenten enthalten. 
   + Registerkarte „**Regeln**“
     + **In der Web-ACL definierte Regeln** — Sie können die Regeln, die Sie in der Web-ACL definiert haben, bearbeiten und verwalten, ähnlich wie Sie es bei der Erstellung der Web-ACL getan haben. 
**Anmerkung**  
Ändern Sie nicht die Namen von Regeln, die Sie Ihrer Web-ACL nicht manuell hinzugefügt haben. Wenn Sie andere Dienste verwenden, um Regeln für Sie zu verwalten, könnte eine Änderung ihrer Namen dazu führen, dass sie nicht mehr oder weniger in der Lage sind, den beabsichtigten Schutz zu bieten. AWS Shield Advanced und AWS Firewall Manager beide können Regeln in Ihrer Web-ACL erstellen. Weitere Informationen finden Sie unter [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md).
**Anmerkung**  
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, die Sie zur Definition Ihres Schutzpakets (Web-ACL) oder Ihrer Regelgruppe verwenden.

       Informationen zu Regeln und Regelgruppeneinstellungen finden Sie unter [AWS WAF Regeln](waf-rules.md) und[AWS WAF Regelgruppen](waf-rule-groups.md).
     + **Verwendete Kapazitätseinheiten für Web-ACL-Regeln** — Die aktuelle Kapazitätsnutzung für Ihre Web-ACL. Dies ist nur zur Ansicht vorgesehen. 
     + **Standard-Web-ACL-Aktion für Anfragen, die keinen Regeln entsprechen** — Informationen zu dieser Einstellung finden Sie unter[Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md). 
     + **Web-ACL-CAPTCHA- und Challenge-Konfigurationen** — Diese Immunitätszeiten bestimmen, wie lange ein CAPTCHA oder ein Challenge-Token nach dem Erwerb gültig bleibt. Sie können diese Einstellung hier nur ändern, nachdem Sie die Web-ACL erstellt haben. Weitere Informationen zu diesen Einstellungen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).
     + **Token-Domainliste** — AWS WAF akzeptiert Token für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).
   + Registerkarte „** AWS Zugeordnete Ressourcen**“
     + **Größenbeschränkung für die Inspektion von Webanfragen** — Nur für Websites enthalten ACLs , die CloudFront Distributionen schützen. Die Größenbeschränkung für die Karosserieinspektion bestimmt, welcher Teil der Karosseriekomponente AWS WAF zur Inspektion weitergeleitet wird. Weitere Informationen zu dieser Einstellung finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).
     + **Zugeordnete AWS Ressourcen** — Die Liste der Ressourcen, denen die Web-ACL derzeit zugeordnet ist und die sie schützt. Sie können nach Ressourcen suchen, die sich in derselben Region wie die Web-ACL befinden, und sie der Web-ACL zuordnen. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).
   + Registerkarte „**Benutzerdefinierte Antworttexte**“
     + Benutzerdefinierte Antworttextkörper, die von Ihren Web-ACL-Regeln verwendet werden können, für die die Aktion auf festgelegt istBlock. Weitere Informationen finden Sie unter [Senden von benutzerdefinierten Antworten für Block Aktionen](customizing-the-response-for-blocked-requests.md).
   + Registerkarte „**Protokollierung und Metriken**“
     + **Protokollierung** — Protokollierung des Datenverkehrs, den die Web-ACL auswertet. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
     + **Security Lake-Integration** — Der Status aller Datenerfassungen, die Sie für die Web-ACL in Amazon Security Lake konfiguriert haben. Weitere Informationen finden Sie unter [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
     + **Stichprobenanfragen** — Informationen zu den Regeln, die Webanfragen entsprechen. Informationen zum Anzeigen von Stichprobenanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md).
     + **Datenschutzeinstellungen** — Sie können die Schwärzung und Filterung von Web-Traffic-Daten für alle Daten konfigurieren, die für die Web-ACL verfügbar sind, und nur für die Daten, die AWS WAF an das konfigurierte Web-ACL-Protokollierungsziel gesendet werden. Hinweise zum Datenschutz finden Sie unter[Datenschutz und Protokollierung für den Traffic von AWS WAF Protection Pack (Web ACL)](waf-data-protection-and-logging.md). 
     + **CloudWatch Metriken** — Metriken für die Regeln in Ihrer Web-ACL. Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 

**Temporäre Inkonsistenzen bei Aktualisierungen**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Satz, der in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

------

# Verhalten von Regelgruppen verwalten
<a name="web-acl-rule-group-settings"></a>

In diesem Abschnitt werden Ihre Optionen zum Ändern der Verwendung einer Regelgruppe in Ihrem Protection Pack (Web-ACL) beschrieben. Diese Informationen gelten für alle Regelgruppentypen. Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, können Sie die Aktionen der einzelnen Regeln in der Regelgruppe durch Count oder durch eine andere gültige Regelaktionseinstellung überschreiben. Sie können auch die resultierende Aktion der Regelgruppe außer Kraft setzenCount, was keine Auswirkung darauf hat, wie die Regeln innerhalb der Regelgruppe ausgewertet werden. 

Weitere Informationen zu diesen Optionen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md).

## Regelaktionen in einer Regelgruppe überschreiben
<a name="web-acl-rule-group-rule-action-override"></a>

Für jede Regelgruppe in einem Schutzpaket (Web-ACL) können Sie die Aktionen der enthaltenen Regel für einige oder alle Regeln außer Kraft setzen. 

Der häufigste Anwendungsfall hierfür ist das Überschreiben der Regelaktionen, Count um neue oder aktualisierte Regeln zu testen. Wenn Sie Metriken aktiviert haben, erhalten Sie Metriken für jede Regel, die Sie überschreiben. Weitere Informationen zum Testen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

Sie können diese Änderungen vornehmen, wenn Sie dem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen, und Sie können sie an jeder Art von Regelgruppe vornehmen, wenn Sie das Protection Pack (Web-ACL) bearbeiten. Diese Anweisungen gelten für eine Regelgruppe, die dem Protection Pack (Web-ACL) bereits hinzugefügt wurde. Weitere Informationen zu dieser Option finden Sie unter[Regelgruppen-Regelaktionen überschreiben](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Um Regelaktionen in einer Regelgruppe zu überschreiben**

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie bearbeiten möchten. In der Konsole kann die Karte des Haupt-Schutzpakets (Web-ACL) bearbeitet werden. Außerdem wird ein Seitenbereich mit Details geöffnet, die Sie bearbeiten können.

1. Klicken Sie auf der Karte des Schutzpakets (Web-ACL) neben **Regeln** auf den Link **Bearbeiten**, um den Bereich **Regeln verwalten** zu öffnen.

1. Wählen **Sie im Bereich Regeln verwalten** für die Regelgruppe die verwaltete Regel aus, um die zugehörigen Aktionseinstellungen zu öffnen.
   + **Regelgruppe überschreiben** — Ändert die Regelgruppenaktion in den Zählmodus, lässt aber alle einzelnen Regelaktionen unverändert.
   + **Alle Regelaktionen außer Kraft setzen** — Wendet eine Regelaktion auf alle Regeln an und überschreibt deren aktuellen Status.
   + **Einzelne Regel überschreiben** — Wendet eine Regelaktion auf eine einzelne Regel an.

1. Wenn Sie mit Ihren Änderungen fertig sind, wählen Sie **Regel speichern**. 

------
#### [ Using the standard console ]

**Um Regelaktionen in einer Regelgruppe zu überschreiben**

1. Bearbeiten Sie die Web-ACL. 

1. Wählen Sie auf der Registerkarte **Rules** (Regeln) der Web-ACL-Seite die Regelgruppe aus und wählen Sie dann **Edit** (Bearbeiten). 

1. Verwalten Sie im Abschnitt **Regeln** für die Regelgruppe die Aktionseinstellungen nach Bedarf. 
   + **Alle Regeln** — Um eine Aktion zum Außerkraftsetzen für alle Regeln in der Regelgruppe festzulegen, öffnen Sie das Drop-down-Menü **Alle Regelaktionen überschreiben** und wählen Sie die Aktion zum Außerkraftsetzen aus. Um die Überschreibungen für alle Regeln zu entfernen, wählen Sie Alle Überschreibungen **entfernen** aus. 
   + **Einzelne Regel** — Um eine Aktion zum Außerkraftsetzen für eine einzelne Regel festzulegen, öffnen Sie das Drop-down-Menü der Regel und wählen Sie die Aktion zum Außerkraftsetzen aus. Um eine Überschreibung für eine Regel zu entfernen, öffnen Sie das Drop-down-Menü der Regel und wählen Sie Überschreibung **entfernen** aus.

1. Wenn Sie mit Ihren Änderungen fertig sind, wählen Sie **Regel speichern**. Die Einstellungen für Regelaktionen und Aktionen zum Außerkraftsetzen sind auf der Regelgruppenseite aufgeführt. 

------

Die folgende JSON-Beispielliste zeigt eine Regelgruppendeklaration in einem Schutzpaket (Web-ACL), die die Regelaktionen Count für die Regeln `CategoryVerifiedSearchEngine` und `CategoryVerifiedSocialMedia` außer Kraft setzt. In der JSON-Datei überschreiben Sie alle Regelaktionen, indem Sie für jede einzelne Regel einen `RuleActionOverrides` Eintrag angeben.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Das Auswertungsergebnis einer Regelgruppe überschreiben in Count
<a name="web-acl-rule-group-action-override"></a>

Sie können die Aktion, die sich aus einer Regelgruppenauswertung ergibt, außer Kraft setzen, ohne die Konfiguration oder Auswertung der Regeln in der Regelgruppe zu ändern. Diese Option wird nicht häufig verwendet. Wenn eine Regel in der Regelgruppe zu einer Übereinstimmung führt, legt diese Überschreibung die resultierende Aktion der Regelgruppe auf festCount.

**Anmerkung**  
Dies ist ein ungewöhnlicher Anwendungsfall. Die meisten Aktionsüberschreibungen werden auf Regelebene innerhalb der Regelgruppe vorgenommen, wie unter beschrieben[Regelaktionen in einer Regelgruppe überschreiben](#web-acl-rule-group-rule-action-override).

Sie können die resultierende Aktion der Regelgruppe im Schutzpaket (Web-ACL) überschreiben, wenn Sie die Regelgruppe hinzufügen oder bearbeiten. Öffnen Sie in der Konsole den **optionalen Bereich „Regelgruppe überschreiben“ für die Regelgruppe** und aktivieren Sie das Außerkraftsetzen. In der JSON-Datei, die `OverrideAction` in der Regelgruppenanweisung festgelegt ist, wie in der folgenden Beispielliste dargestellt: 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS
<a name="web-acl-associating-aws-resource"></a>

Sie können AWS WAF damit die folgenden Verknüpfungen zwischen Schutzpaketen (Web ACLs) und Ihren Ressourcen herstellen: 
+ Ordnen Sie einer der unten aufgeführten regionalen Ressourcen ein regionales Schutzpaket (Web-ACL) zu. Für diese Option muss sich das Protection Pack (Web-ACL) in derselben Region wie Ihre Ressource befinden. 
  + Amazon API Gateway API-Gateway-REST-API
  + Application Load Balancer
  + AWS AppSync GraphQL-API
  + Amazon-Cognito-Benutzerpool
  + AWS App Runner Dienst
  + AWS Instanz mit verifiziertem Zugriff
  + AWS Amplify
+ Ordnen Sie einer CloudFront Amazon-Distribution ein Global Protection Pack (Web-ACL) zu. Das Global Protection Pack (Web-ACL) wird über eine fest codierte Region USA Ost (Nord-Virginia) verfügen.

Sie können einer Distribution auch ein Protection Pack (Web-ACL) zuordnen, wenn Sie die CloudFront Distribution selbst erstellen oder aktualisieren. Weitere Informationen finden Sie unter [Verwendung AWS WAF zur Steuerung des Zugriffs auf Ihre Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) im *Amazon CloudFront Developer Guide*.

**Einschränkungen für mehrere Zuordnungen**  
Sie können ein einzelnes Schutzpaket (Web-ACL) mit einer oder mehreren AWS Ressourcen verknüpfen. Dabei gelten die folgenden Einschränkungen:
+ Sie können jede AWS Ressource nur einem Schutzpaket (Web-ACL) zuordnen. Die Beziehung zwischen dem Protection Pack (Web-ACL) und den AWS Ressourcen ist one-to-many. 
+ Sie können ein Protection Pack (Web-ACL) einer oder mehreren CloudFront Distributionen zuordnen. Sie können ein Protection Pack (Web-ACL), das Sie einer CloudFront Distribution zugeordnet haben, keinem anderen AWS Ressourcentyp zuordnen.

**Zusätzliche Einschränkungen**  
Die folgenden zusätzlichen Einschränkungen gelten für Protection Pack-Verknüpfungen (Web-ACL): 
+ Sie können einem darin enthaltenen AWS-Regionen Application Load Balancer nur ein Protection Pack (Web-ACL) zuordnen. Sie können beispielsweise einem eingeschalteten Application Load Balancer kein Protection Pack (Web-ACL) zuordnen. AWS Outposts
+ Sie können einen Amazon Cognito Cognito-Benutzerpool keinem Schutzpaket (Web-ACL) zuordnen, das die verwaltete Regelgruppe AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) `AWSManagedRulesACFPRuleSet` oder die verwaltete Regelgruppe AWS WAF Fraud Control Account Takeover Prevention (ATP) verwendet. `AWSManagedRulesATPRuleSet` Informationen zur Betrugsprävention bei der Kontoerstellung finden Sie unter. [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md) Informationen zur Verhinderung von Kontoübernahmen finden Sie unter[AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md). 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Ihr Protection Pack (Web-ACL) für Produktionsdatenverkehr einsetzen, sollten Sie es in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie anschließend Ihre Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

# Schutz mit einer AWS Ressource verknüpfen
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie bearbeiten möchten. In der Konsole kann die Karte des Haupt-Schutzpakets (Web-ACL) bearbeitet werden. Außerdem wird ein Seitenbereich mit Details geöffnet, die Sie bearbeiten können.

1. Klicken Sie auf der Karte des Schutzpakets (Web-ACL) neben **Ressourcen** auf den Link **Bearbeiten**, um den Bereich **Ressourcen verwalten** zu öffnen.

1. Wählen **Sie im Bereich Ressourcen verwalten** für die Regelgruppe die Option **Regionale Ressourcen hinzufügen** oder **Globale Ressourcen hinzufügen** aus.

1. Wählen Sie Ressourcen und dann **Hinzufügen** aus.

------
#### [ Using the standard console ]

Gehen Sie wie folgt vor, um einer AWS Ressource eine Web-ACL zuzuordnen.

**Um eine Web-ACL einer AWS Ressource zuzuordnen**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. **Wählen Sie im Navigationsbereich Web aus. ACLs**

1. Wählen Sie den Namen der Web-ACL, die Sie mit einer Ressource verknüpfen möchten. Die Konsole führt Sie zur Beschreibung der Web-ACL, wo Sie sie bearbeiten können.

1. Wählen Sie auf der Registerkarte ** AWS Zugeordnete Ressourcen** die Option ** AWS Ressourcen hinzufügen** aus.

1. Wenn Sie dazu aufgefordert werden, wählen Sie den Ressourcentyp aus, aktivieren Sie das Optionsfeld neben der Ressource, die Sie verknüpfen möchten, und klicken Sie dann auf **Hinzufügen**. 

------

# Aufheben der Zuordnung eines Schutzes zu einer Ressource AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie bearbeiten möchten. In der Konsole kann die Karte des Haupt-Schutzpakets (Web-ACL) bearbeitet werden. Außerdem wird ein Seitenbereich mit Details geöffnet, die Sie bearbeiten können.

1. Klicken Sie auf der Karte des Schutzpakets (Web-ACL) neben **Ressourcen** auf den Link **Bearbeiten**, um den Bereich **Ressourcen verwalten** zu öffnen.

1. **Wählen **Sie im Bereich Ressourcen verwalten** für die Regelgruppe die Ressource aus, deren Zuordnung Sie aufheben möchten, und klicken Sie dann auf Zuordnung trennen.**
**Anmerkung**  
Sie müssen die Zuordnung zu einer Ressource nach der anderen aufheben. Wählen Sie nicht mehrere Ressourcen aus. 

1. Geben Sie auf der Bestätigungsseite „Disassociate“ ein und wählen Sie dann **Disassociate** aus.

------
#### [ Using the standard console ]

Gehen Sie wie folgt vor, um eine Web-ACL von einer AWS Ressource zu trennen.

**So trennen Sie die Zuordnung einer Web-ACL zu einer Ressource AWS**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. **Wählen Sie im Navigationsbereich Web aus. ACLs**

1. Wählen Sie den Namen der Web-ACL, die Sie von Ihrer Ressource trennen möchten. Die Konsole führt Sie zur Beschreibung der Web-ACL, wo Sie sie bearbeiten können.

1. Wählen Sie auf der Registerkarte **Zugeordnete AWS Ressourcen** die Ressource aus, zu der Sie die Zuordnung zu dieser Web-ACL aufheben möchten. 
**Anmerkung**  
Sie müssen die Zuordnung zu einer Ressource nach der anderen trennen. Wählen Sie nicht mehrere Ressourcen aus. 
**Anmerkung**  
Wenn Sie Ihrer WebACL einen Application Load Balancer zuordnen möchten, ist der ** DDoS-Schutz auf Ressourcenebene aktiviert.** Weitere Informationen finden Sie unter [AWS WAF Verhinderung von Distributed Denial of Service (DDoS)](waf-anti-ddos.md).

1. Wählen Sie **Disassociate (Zuordnung aufheben)** aus. Die Konsole öffnet einen Bestätigungsdialog. Bestätigen Sie Ihre Entscheidung, die Web-ACL von der AWS Ressource zu trennen. 

------

# Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF
<a name="web-acl-processing"></a>

In diesem Abschnitt wird beschrieben, wie Schutzpakete (Web ACLs) und Web mit Regeln und Regelgruppen ACLs funktionieren.

Die Art und Weise, wie ein Protection Pack (Web-ACL) eine Webanfrage verarbeitet, hängt von folgenden Faktoren ab: 
+ Die numerischen Prioritätseinstellungen der Regeln im Protection Pack (Web-ACL) und innerhalb von Regelgruppen
+ Die Aktionseinstellungen der Regeln und des Schutzpakets (Web-ACL)
+ Alle Überschreibungen, die Sie an den Regeln in den Regelgruppen vornehmen, die Sie hinzufügen

Eine Liste der Einstellungen für Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

Sie können die Bearbeitung von Anfragen und Antworten in Ihren Regelaktionseinstellungen und den Standardeinstellungen für Aktionen des Protection Packs (Web ACL) anpassen. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

**Topics**
+ [Regelpriorität festlegen](web-acl-processing-order.md)
+ [Wie AWS WAF geht man mit Regel- und Regelgruppenaktionen um](web-acl-rule-actions.md)
+ [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md)

# Regelpriorität festlegen
<a name="web-acl-processing-order"></a>

In diesem Abschnitt wird erklärt, wie numerische Prioritätseinstellungen AWS WAF verwendet werden, um die Bewertungsreihenfolge für Regeln festzulegen.

In einem Schutzpaket (Web-ACL) und in jeder Regelgruppe legen Sie die Reihenfolge der Auswertung der Regeln anhand numerischer Prioritätseinstellungen fest. Sie müssen jeder Regel in einem Schutzpaket (Web-ACL) eine eindeutige Prioritätseinstellung innerhalb dieses Schutzpakets (Web-ACL) zuweisen, und Sie müssen jeder Regel in einer Regelgruppe eine eindeutige Prioritätseinstellung innerhalb dieser Regelgruppe zuweisen. 

**Anmerkung**  
Wenn Sie Regelgruppen verwalten, AWS WAF weisen Ihnen die Schutzpakete (Web ACLs) über die Konsole eindeutige numerische Prioritätseinstellungen zu, die auf der Reihenfolge der Regeln in der Liste basieren. AWS WAF weist der Regel oben in der Liste die niedrigste numerische Priorität und der Regel unten die höchste numerische Priorität zu. 

Bei der AWS WAF Auswertung einer Regelgruppe oder eines Schutzpakets (Web-ACL) anhand einer Webanfrage werden die Regeln von der Einstellung mit der niedrigsten numerischen Priorität bis entweder eine Übereinstimmung gefunden, die die Auswertung beendet, oder bis alle Regeln aufgebraucht sind.

Angenommen, Sie haben die folgenden Regeln und Regelgruppen in Ihrem Schutzpaket (Web-ACL), die wie folgt priorisiert sind:
+ Regel1 – Priorität 0
+ RuleGroupA — Priorität 100
  + RegelA1 – Priorität 10.000
  + RegelA2 – Priorität 20.000
+ Regel2 – Priorität 200
+ RuleGroupB — Priorität 300
  + RegelB1 – Priorität 0
  + RegelB2 – Priorität 1

AWS WAF würde die Regeln für dieses Schutzpaket (Web-ACL) in der folgenden Reihenfolge auswerten:
+ Regel 1
+ RuleGroupEine Regel A1
+ RuleGroupEine Regel A2
+ Regel 2
+ RuleGroupVon RuleB1
+ RuleGroupVon RuleB2

# Wie AWS WAF geht man mit Regel- und Regelgruppenaktionen um
<a name="web-acl-rule-actions"></a>

In diesem Abschnitt wird erklärt, wie Regeln und Regelgruppen zur Handhabung von Aktionen AWS WAF verwendet werden.

Wenn Sie Ihre Regeln und Regelgruppen konfigurieren, wählen Sie aus, wie Sie passende Webanfragen behandeln AWS WAF möchten: 
+ **Allowund Block beenden Aktionen — Allow und Block Aktionen** beenden alle anderen Verarbeitungen des Schutzpakets (Web-ACL) bei der entsprechenden Webanforderung. Wenn eine Regel in einem Schutzpaket (Web-ACL) eine Entsprechung für eine Anfrage findet und die Regelaktion Allow oder lautetBlock, bestimmt diese Übereinstimmung die endgültige Disposition der Webanfrage für das Protection Pack (Web-ACL). AWS WAF verarbeitet keine anderen Regeln im Schutzpaket (Web-ACL), die nach der entsprechenden Regel kommen. Dies gilt für Regeln, die Sie direkt zum Protection Pack (Web-ACL) hinzufügen, und für Regeln, die sich innerhalb einer hinzugefügten Regelgruppe befinden. Bei dieser Block Aktion empfängt oder verarbeitet die geschützte Ressource die Webanforderung nicht.
+ **Countist eine Aktion, die nicht beendet** wird — Wenn eine Regel mit einer Count Aktion einer Anfrage entspricht, AWS WAF zählt die Anfrage und setzt dann die Verarbeitung der Regeln fort, die im Regelsatz des Protection Packs (Web-ACL) folgen. 
+ **CAPTCHAund es Challenge kann sich um Aktionen handeln, die nicht beenden oder beenden** — Wenn eine Regel mit einer dieser Aktionen einer Anfrage entspricht, AWS WAF wird ihr Token-Status überprüft. Wenn die Anforderung über ein gültiges Token verfügt, wird die Übereinstimmung ähnlich wie eine Count Übereinstimmung AWS WAF behandelt und anschließend die Verarbeitung der Regeln fortgesetzt, die im Regelsatz des Protection Packs (Web-ACL) enthalten sind. Wenn die Anfrage kein gültiges Token hat, wird die Auswertung AWS WAF beendet und dem Client ein CAPTCHA-Rätsel oder eine Aufforderung zur Lösung einer unbeaufsichtigten Clientsitzung im Hintergrund gesendet. 

Wenn die Regelauswertung zu keiner abschließenden Aktion führt, wird die Standardaktion des Protection Packs (Web-ACL) auf die Anfrage AWS WAF angewendet. Weitere Informationen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

In Ihrem Schutzpaket (Web-ACL) können Sie die Aktionseinstellungen für Regeln innerhalb einer Regelgruppe überschreiben und Sie können die Aktion überschreiben, die von einer Regelgruppe zurückgegeben wird. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 

**Interaktion zwischen Aktionen und Prioritätseinstellungen**  
Die Aktionen, die auf eine Webanfrage AWS WAF angewendet werden, werden von den numerischen Prioritätseinstellungen der Regeln im Schutzpaket (Web-ACL) beeinflusst. Angenommen, Ihr Schutzpaket (Web-ACL) enthält eine Regel mit Allow Aktion und einer numerischen Priorität von 50 und eine weitere Regel mit Count Aktion und einer numerischen Priorität von 100. AWS WAF bewertet die Regeln in einem Schutzpaket (Web-ACL) in der Reihenfolge ihrer Priorität, beginnend mit der niedrigsten Einstellung, sodass die Zulassungsregel vor der Zählerregel ausgewertet wird. Eine Webanforderung, die beiden Regeln entspricht, entspricht zuerst der Zulassungsregel. Da Allow es sich um eine abschließende Aktion handelt, AWS WAF wird die Auswertung bei dieser Übereinstimmung gestoppt und die Anfrage nicht anhand der Zählregel bewertet. 
+ Wenn Sie nur Anfragen, die nicht der Zulassungsregel entsprechen, in Ihre Kennzahlen zur Zählregel aufnehmen möchten, dann würden die Prioritätseinstellungen der Regeln funktionieren. 
+ Wenn Sie dagegen Metriken aus der Zählregel auch für Anfragen zählen möchten, die der Zulassungsregel entsprechen, müssten Sie der Zählregel eine niedrigere numerische Priorität zuweisen als der Zulassungsregel, sodass sie zuerst ausgeführt wird. 

Weitere Informationen zu Prioritätseinstellungen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

# Regelgruppenaktionen überschreiben in AWS WAF
<a name="web-acl-rule-group-override-options"></a>

In diesem Abschnitt wird erklärt, wie Regelgruppenaktionen außer Kraft gesetzt werden können.

Wenn Sie Ihrem Protection Pack (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen außer Kraft setzen, die sie bei entsprechenden Webanfragen ausführt. Durch das Überschreiben der Aktionen für eine Regelgruppe in Ihrer Konfiguration des Schutzpakets (Web-ACL) wird die Regelgruppe selbst nicht geändert. Es ändert nur, wie die Regelgruppe im Kontext des Schutzpakets (Web-ACL) AWS WAF verwendet wird. 

## Regelgruppen-Regelaktionen überschreiben
<a name="web-acl-rule-group-override-options-rules"></a>

Sie können die Aktionen der Regeln innerhalb einer Regelgruppe durch jede gültige Regelaktion überschreiben. Wenn Sie dies tun, werden übereinstimmende Anfragen genauso behandelt, als ob die Aktion der konfigurierten Regel die Einstellung zum Außerkraftsetzen wäre. 

**Anmerkung**  
Regelaktionen können beendend oder nicht beendend sein. Eine abschließende Aktion beendet die Auswertung der Anfrage durch das Protection Pack (Web-ACL) und lässt sie entweder an Ihre geschützte Anwendung weiterleiten oder blockiert sie. 

Hier sind die Optionen für die Regelaktion: 
+ **Allow**— AWS WAF ermöglicht die Weiterleitung der Anfrage zur Bearbeitung und Beantwortung an die geschützte AWS Ressource. Dies ist eine abschließende Aktion. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anfrage einfügen, bevor Sie sie an die geschützte Ressource weiterleiten.
+ **Block**— AWS WAF blockiert die Anfrage. Dies ist eine abschließende Aktion. Standardmäßig antwortet Ihre geschützte AWS Ressource mit einem `403 (Forbidden)` HTTP-Statuscode. In Regeln, die Sie definieren, können Sie die Antwort anpassen. Wenn eine Anfrage AWS WAF blockiert wird, bestimmen die Block Aktionseinstellungen die Antwort, die die geschützte Ressource an den Client zurücksendet. 
+ **Count**— AWS WAF zählt die Anfrage, bestimmt aber nicht, ob sie zugelassen oder blockiert werden soll. Dies ist eine Aktion, die nicht beendet wird. AWS WAF setzt die Verarbeitung der verbleibenden Regeln im Schutzpaket (Web-ACL) fort. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anforderung einfügen und Labels hinzufügen, mit denen andere Regeln übereinstimmen können.
+ **CAPTCHAund Challenge** — AWS WAF verwendet CAPTCHA-Rätsel und stille Challenges, um zu überprüfen, ob die Anfrage nicht von einem Bot stammt, und AWS WAF verwendet Tokens, um die letzten erfolgreichen Kundenantworten nachzuverfolgen. 

  CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Aktion CAPTCHA oder Challenge Regel in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

  Diese Regelaktionen können abhängig vom Status des Tokens in der Anfrage beendet oder nicht beendet werden: 
  + **Nicht terminierend für ein gültiges, nicht abgelaufenes Token** — Wenn das Token gemäß dem konfigurierten CAPTCHA oder der Challenge-Immunitätszeit gültig und nicht abgelaufen ist, wird die Anfrage ähnlich wie die Aktion behandelt. AWS WAF Count AWS WAF überprüft die Webanforderung weiterhin auf der Grundlage der verbleibenden Regeln im Schutzpaket (Web-ACL). Ähnlich wie bei der Count Konfiguration können Sie in von Ihnen definierten Regeln diese Aktionen optional mit benutzerdefinierten Headern konfigurieren, die in die Anfrage eingefügt werden, und Sie können Labels hinzufügen, mit denen andere Regeln abgleichen können. 
  + **Beenden mit blockierter Anfrage für ein ungültiges oder abgelaufenes Token** — Wenn das Token ungültig ist oder der angegebene Zeitstempel abgelaufen ist, wird die Überprüfung der Webanforderung AWS WAF beendet und die Anfrage blockiert, ähnlich wie bei der Aktion. Block AWS WAF antwortet dem Client dann mit einem benutzerdefinierten Antwortcode. Denn CAPTCHA wenn der Inhalt der Anfrage darauf hindeutet, dass der Client-Browser damit umgehen kann, AWS WAF sendet er ein CAPTCHA-Puzzle in einem JavaScript Interstitial, das menschliche Kunden von Bots unterscheiden soll. Für die Challenge Aktion wird ein JavaScript Interstitial mit einer stillen Aufforderung AWS WAF gesendet, mit der normale Browser von Sitzungen unterschieden werden sollen, die von Bots ausgeführt werden. 

  Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

Informationen zur Verwendung dieser Option finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Überschreiben der Regelaktion an Count
<a name="web-acl-rule-group-override-to-count"></a>

Der häufigste Anwendungsfall für das Außerkraftsetzen von Regelaktionen ist das Überschreiben einiger oder aller RegelaktionenCount, um das Verhalten einer Regelgruppe zu testen und zu überwachen, bevor sie in Betrieb genommen wird. 

Sie können dies auch verwenden, um Fehler bei einer Regelgruppe zu beheben, die Fehlalarme generiert. Falsch positive Ergebnisse treten auf, wenn eine Regelgruppe Datenverkehr blockiert, von dem Sie nicht erwarten, dass er blockiert wird. Wenn Sie innerhalb einer Regelgruppe eine Regel identifizieren, die Anfragen blockiert, die Sie zulassen möchten, können Sie die Anzahl der Aktionen für diese Regel außer Kraft setzen, um sie von der Bearbeitung Ihrer Anfragen auszuschließen.

Weitere Informationen zur Verwendung der Überschreibung von Regelaktionen beim Testen finden Sie unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

### JSON-Auflistung: `RuleActionOverrides` ersetzt `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Wenn Sie Count in Ihrer Konfiguration des Schutzpakets (Web-ACL) vor dem 27. Oktober 2022 Regelaktionen für Regelgruppen auf festgelegt AWS WAF haben, haben Sie Ihre Überschreibungen in der JSON des Schutzpakets (Web-ACL) gespeichert als`ExcludedRules`. Die JSON-Einstellung für das Überschreiben einer Regel Count befindet sich jetzt in den `RuleActionOverrides` Einstellungen. 

Wir empfehlen Ihnen, alle `ExcludedRules` Einstellungen in Ihren JSON-Auflistungen auf `RuleActionOverrides` Einstellungen zu aktualisieren, bei denen die Aktion auf Count eingestellt ist. Die API akzeptiert beide Einstellungen, aber Sie erhalten Konsistenz in Ihren JSON-Auflistungen zwischen Ihrer Konsolenarbeit und Ihrer API-Arbeit, wenn Sie nur die neue `RuleActionOverrides` Einstellung verwenden. 

**Anmerkung**  
In der AWS WAF Konsole werden auf der Registerkarte „**Stichprobenanfragen**“ des Schutzpakets (Web-ACL) keine Beispiele für Regeln mit der alten Einstellung angezeigt. Weitere Informationen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

Wenn Sie die AWS WAF Konsole verwenden, um die vorhandenen Regelgruppeneinstellungen zu bearbeiten, konvertiert die Konsole automatisch alle `ExcludedRules` Einstellungen im JSON in `RuleActionOverrides` Einstellungen, wobei die Aktion „Überschreiben“ auf Count gesetzt ist. 
+ Beispiel für eine aktuelle Einstellung: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Beispiel für eine alte Einstellung: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## Rückgabeaktion der Regelgruppe überschreiben zu Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Sie können die Aktion, die die Regelgruppe zurückgibt, überschreiben, indem Sie sie auf festlegenCount. 

**Anmerkung**  
Dies ist keine gute Option, um die Regeln in einer Regelgruppe zu testen, da sie nichts daran ändert, wie die Regelgruppe selbst AWS WAF ausgewertet wird. Es wirkt sich nur darauf aus AWS WAF , wie mit Ergebnissen umgegangen wird, die aus der Regelgruppenauswertung an das Protection Pack (Web-ACL) zurückgegeben werden. Wenn Sie die Regeln einer Regelgruppe testen möchten, gehen Sie wie im vorherigen Abschnitt ([Regelgruppen-Regelaktionen überschreiben](#web-acl-rule-group-override-options-rules)) beschrieben vor.

Wenn Sie die Regelgruppenaktion überschreibenCount, AWS WAF verarbeitet die Regelgruppenauswertung normal. 

Wenn keine Regeln in der Regelgruppe übereinstimmen oder wenn alle übereinstimmenden Regeln eine Count Aktion haben, hat diese Überschreibung keine Auswirkung auf die Verarbeitung der Regelgruppe oder des Schutzpakets (Web-ACL).

Die erste Regel in der Regelgruppe, die einer Webanforderung entspricht und die über eine abschließende Regelaktion verfügt, führt AWS WAF dazu, dass die Auswertung der Regelgruppe beendet wird und das Ergebnis der beendenden Aktion an die Evaluierungsebene des Protection Packs (Web-ACL) zurückgegeben wird. Zu diesem Zeitpunkt, bei der Evaluierung des Schutzpakets (Web-ACL), wird diese Außerkraftsetzung wirksam. AWS WAF setzt die abschließende Aktion außer Kraft, sodass das Ergebnis der Regelgruppenauswertung nur eine Count Aktion ist. AWS WAF setzt dann die Verarbeitung der restlichen Regeln im Schutzpaket (Web-ACL) fort.

Informationen zur Verwendung dieser Option finden Sie unter [Das Auswertungsergebnis einer Regelgruppe überschreiben in Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF
<a name="web-acl-default-action"></a>

In diesem Abschnitt wird erklärt, wie die Standardaktionen des Protection Packs (Web-ACL) funktionieren.

Wenn Sie ein Schutzpaket (Web-ACL) erstellen und konfigurieren, müssen Sie die Standardaktion für das Schutzpaket (Web-ACL) festlegen. AWS WAF wendet diese Aktion auf jede Webanfrage an, die alle Regelauswertungen des Protection Packs (Web-ACL) durchläuft, ohne dass eine abschließende Aktion darauf angewendet wird. Eine abschließende Aktion beendet die Auswertung der Anfrage durch das Protection Pack (Web ACL) und lässt sie entweder an Ihre geschützte Anwendung weiterleiten oder blockiert sie. Informationen zu Regelaktionen finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

Die Standardaktion des Protection Packs (Web-ACL) muss die endgültige Bearbeitung der Webanfrage bestimmen, es handelt sich also um eine abschließende Aktion: 
+ **Allow**— Wenn Sie den meisten Benutzern den Zugriff auf Ihre Website ermöglichen möchten, Sie aber den Zugriff Allow für Angreifer blockieren möchten, deren Anfragen von bestimmten IP-Adressen stammen oder deren Anfragen bösartigen SQL-Code oder bestimmte Werte zu enthalten scheinen, wählen Sie die Standardaktion. Wenn Sie dann Ihrem Schutzpaket (Web-ACL) Regeln hinzufügen, fügen Sie Regeln hinzu, die die spezifischen Anfragen identifizieren und blockieren, die Sie blockieren möchten. Mit dieser Aktion können Sie benutzerdefinierte Header in die Anforderung einfügen, bevor Sie sie an die geschützte Ressource weiterleiten.
+ **Block**— Wenn Sie verhindern möchten, dass die meisten Benutzer auf Ihre Website zugreifen, Sie aber Benutzern Zugriff gewähren möchten, deren Anfragen von bestimmten IP-Adressen stammen oder deren Anfragen bestimmte Werte enthalten, wählen Sie Block die Standardaktion. Wenn Sie dann Ihrem Schutzpaket (Web-ACL) Regeln hinzufügen, fügen Sie Regeln hinzu, die die spezifischen Anfragen identifizieren und zulassen, die Sie zulassen möchten. Standardmäßig antwortet die AWS Ressource für die Block Aktion mit einem `403 (Forbidden)` HTTP-Statuscode, aber Sie können die Antwort anpassen. 

Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

Die Konfiguration Ihrer eigenen Regeln und Regelgruppen hängt zum Teil davon ab, ob Sie die meisten Webanforderungen zulassen oder blockieren möchten. Wenn Sie beispielsweise die meisten Anfragen *zulassen* möchten, würden Sie die Standardaktion des Schutzpakets (Web-ACL) auf festlegen und dann Regeln hinzufügenAllow, die Webanfragen identifizieren, die Sie *blockieren* möchten, wie die folgenden:
+ Anforderungen, die von IP-Adressen stammen, die eine übermäßige Anzahl von Anforderungen senden
+ Anfragen, die aus Ländern stammen, in denen Sie keine Geschäfte tätigen oder die häufige Quelle von Angriffen sind
+ Anforderungen mit gefälschten Werten im `User-agent`-Header
+ Anforderungen, die anscheinend schädlichen SQL-Code enthalten

Regeln für verwaltete Regelgruppen verwenden normalerweise die Block Aktion, aber nicht alle. Beispielsweise verwenden einige Regeln, die für die Bot-Kontrolle verwendet werden, die Challenge Aktionseinstellungen CAPTCHA und. Informationen zu verwalteten Regelgruppen finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md).

# Überlegungen zur Durchführung der Körperinspektion in AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

Bei der Größenbeschränkung für die Körperinspektion handelt es sich um die maximale Körpergröße, mit der eine Inspektion AWS WAF durchgeführt werden kann. Wenn der Hauptteil einer Webanfrage den Grenzwert überschreitet, leitet der zugrunde liegende Hostdienst nur die Inhalte, die innerhalb des Grenzwerts liegen, AWS WAF zur Inspektion weiter. 
+ Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB (8.192 Byte) festgelegt.
+ Für CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB (16.384 Byte), und Sie können das Limit für jeden Ressourcentyp um 16 KB auf bis zu 64 KB erhöhen. Die Einstellungsoptionen sind 16 KB, 32 KB, 48 KB und 64 KB. 

**Wichtig**  
AWS WAF unterstützt keine Regeln zur Inspektion von Anforderungsstellen für den gRPC-Verkehr. Wenn Sie diese Regeln im Protection Pack (Web-ACL) für eine CloudFront Distribution oder einen Application Load Balancer aktiviert haben, ignoriert jede Anfrage, die gRPC verwendet, die Regeln zur Überprüfung des Anforderungstexts. Alle anderen AWS WAF Regeln gelten weiterhin. Weitere Informationen finden Sie unter [AWS WAF Für Distributionen aktivieren](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) im *Amazon CloudFront Developer Guide*. 

**Umgang mit übergroßen Körpern**  
Wenn Ihr Web-Traffic Textkörper umfasst, die das Limit überschreiten, gilt die von Ihnen konfigurierte Handhabung übergroßer Datenmengen. Informationen zu den Optionen für die Bearbeitung von Übergrößen finden Sie unter. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

**Überlegungen zur Preisgestaltung bei einer Erhöhung des Grenzwerts**  
AWS WAF berechnet einen Basistarif für die Überprüfung des Datenverkehrs, der innerhalb des Standardlimits für den Ressourcentyp liegt. 

Wenn Sie die Limiteinstellung für CloudFront API Gateway-, Amazon Cognito-, App Runner- und Verified Access-Ressourcen erhöhen, umfasst der Datenverkehr, der untersucht AWS WAF werden kann, Körpergrößen bis zu Ihrem neuen Limit. Nur für die Prüfung von Anfragen, deren Textgröße über den standardmäßigen 16 KB liegt, wird Ihnen ein Aufpreis berechnet. Weitere Informationen über die Preise finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).

**Optionen zur Änderung der Größenbeschränkung für die Karosserieinspektion**  
Sie können die Größenbeschränkung für die Körperinspektion für CloudFront API Gateway-, Amazon Cognito-, App Runner- oder Verified Access-Ressourcen konfigurieren. 

Wenn Sie ein Protection Pack (Web-ACL) erstellen oder bearbeiten, können Sie die Größenbeschränkungen für die Körperinspektion in der Konfiguration der Ressourcenzuweisung ändern. Informationen zur API finden Sie in der Zuordnungskonfiguration des Schutzpakets (Web-ACL) unter [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). Informationen zur Konsole finden Sie in der Konfiguration auf der Seite, auf der Sie die dem Schutzpaket (Web-ACL) zugewiesenen Ressourcen angeben. Hinweise zur Konfiguration der Konsole finden Sie unter[Metriken zum Web-Traffic anzeigen in AWS WAF](web-acl-working-with.md). 

# Konfiguration von CAPTCHA, Challenge und Tokens in AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Sie können in Ihrem Schutzpaket (Web-ACL) Optionen für die Regeln konfigurieren, die die Challenge Regelaktionen CAPTCHA oder verwenden, und für die Anwendungsintegration SDKs , die unbeaufsichtigte Client-Abfragen für AWS WAF verwaltete Schutzmaßnahmen verwaltet. 

Diese Funktionen reduzieren Bot-Aktivitäten, indem sie Endbenutzer mit CAPTCHA-Rätseln herausfordern und Kundensitzungen vor unbemerkte Herausforderungen stellen. Wenn der Kunde erfolgreich reagiert, AWS WAF stellt er ihm ein Token zur Verfügung, das er in seiner Webanfrage verwenden kann. Dieser ist mit dem Zeitstempel der letzten erfolgreichen Rätsel- und Challenge-Antworten versehen. Weitere Informationen finden Sie unter [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md).

In Ihrer Protection Pack-Konfiguration (Web-ACL) können Sie konfigurieren, wie diese Token AWS WAF verwaltet werden: 
+ **CAPTCHA- und Challenge-Immunitätszeiten** — Diese geben an, wie lange ein CAPTCHA oder ein Challenge-Zeitstempel gültig bleibt. Die Einstellungen des Protection Packs (Web-ACL) werden von allen Regeln übernommen, für die keine eigenen Immunitätszeiteinstellungen konfiguriert sind, sowie von der Anwendungsintegration. SDKs Weitere Informationen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).
+ **Token-Domänen** — AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der Ressource, der das Schutzpaket (Web-ACL) zugeordnet ist. Wenn Sie eine Token-Domänenliste konfigurieren, werden Token für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource AWS WAF akzeptiert. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

# Metriken zum Web-Traffic anzeigen in AWS WAF
<a name="web-acl-working-with"></a>

In diesem Abschnitt wird erklärt, wie Sie auf Zusammenfassungen der Web-Traffic-Metriken zugreifen können.

Für jedes von Ihnen verwendete Schutzpaket (Web-ACL) können Sie auf der Seite des Schutzpakets (Web-ACL) in der AWS WAF Konsole auf der Registerkarte **Traffic-Übersicht auf Zusammenfassungen der Metriken zum Web-Traffic** zugreifen. Die Konsolen-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken, die bei der Auswertung des Web-Traffics Ihrer Anwendung AWS WAF erfasst werden. Weitere Informationen zu den Dashboards finden Sie unter. [Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)](web-acl-dashboards.md) Weitere Informationen zur Überwachung des Datenverkehrs Ihres Protection Packs (Web-ACL) finden Sie unter[Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md).

# Löschen eines Schutzpakets (Web-ACL)
<a name="web-acl-deleting"></a>

Dieser Abschnitt enthält Verfahren zum Löschen von Protection Packs (Web ACLs) über die AWS Konsole. 

**Wichtig**  
Das Löschen eines Schutzpakets (Web-ACL) ist dauerhaft und kann nicht rückgängig gemacht werden.

Um ein Protection Pack (Web-ACL) zu löschen, trennen Sie zunächst alle AWS Ressourcen vom Protection Pack (Web-ACL). Führen Sie die folgenden Schritte aus.

------
#### [ Using the new console ]

1. Melden Sie sich bei der neuen Version an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole unter [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Wählen Sie im Navigationsbereich **Resources & Protection Packs** (Web) aus. ACLs

1. Klicken Sie auf der Karte mit dem Schutzpaket (Web-ACL) neben **Ressourcen** auf den Link **Bearbeiten**, um den Bereich **Ressourcen verwalten** zu öffnen.

1. **Wählen **Sie im Bereich Ressourcen verwalten** für die Regelgruppe die Ressource aus, deren Zuordnung Sie aufheben möchten, und klicken Sie dann auf Zuordnung trennen.**
**Anmerkung**  
Sie müssen die Zuordnung zu einer Ressource nach der anderen aufheben. Wählen Sie nicht mehrere Ressourcen aus. 

1. Geben Sie auf der Bestätigungsseite „Disassociate“ ein und wählen Sie dann **Disassociate** aus. Wiederholen Sie den Vorgang, um die Zuordnung aller Ressourcen im Schutzpaket (Web-ACL) aufzuheben.

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie löschen möchten. In der Konsole kann die Karte des Haupt-Schutzpakets (Web-ACL) bearbeitet werden. Außerdem wird ein Seitenbereich mit Details geöffnet, die Sie bearbeiten können.

1. Wählen Sie im Detailbereich das Papierkorbsymbol aus.

1. Geben Sie auf der Bestätigungsseite „Löschen“ ein und wählen Sie dann **Löschen**.

------
#### [ Using the standard console ]

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. **Wählen Sie im Navigationsbereich Web aus. ACLs**

1. Wählen Sie den Namen der Web-ACL aus, die Sie löschen möchten. Die Konsole führt Sie zur Beschreibung der Web-ACL, wo Sie sie bearbeiten können.
**Anmerkung**  
Wenn Sie die Web-ACL, die Sie löschen möchten, nicht sehen, stellen Sie sicher, dass die Regionsauswahl im ACLs Webbereich korrekt ist. Alle Websites ACLs , die CloudFront Amazon-Distributionen schützen, befinden sich in **Global (CloudFront)**.

1. Wählen Sie auf der Registerkarte Zugeordnete ** AWS Ressourcen** für jede zugeordnete Ressource das Optionsfeld neben dem Ressourcennamen aus und klicken Sie dann auf Zuordnung **trennen**. Dadurch wird das Schutzpaket (Web-ACL) von Ihren AWS Ressourcen getrennt. 

1. Wählen Sie im Navigationsbereich **Web ACLs** aus.

1. Wählen Sie das Optionsfeld neben der Web-ACL, die Sie löschen möchten, und klicken Sie dann auf **Delete (Löschen)**.

------

# AWS WAF Regeln
<a name="waf-rules"></a>

In diesem Abschnitt wird erklärt, was eine AWS WAF Regel ist und wie sie funktioniert.

Eine AWS WAF Regel definiert, wie HTTP (S) -Webanfragen geprüft werden und welche Aktion bei einer Anfrage zu ergreifen ist, wenn sie den Inspektionskriterien entspricht. Sie definieren Regeln nur im Kontext einer Regelgruppe oder eines Schutzpakets (Web-ACL). 

Regeln existieren nicht für AWS WAF sich allein. Sie sind keine AWS Ressourcen und sie haben keine Amazon-Ressourcennamen (ARNs). Sie können auf eine Regel anhand des Namens in der Regelgruppe oder dem Schutzpaket (Web-ACL) zugreifen, in dem sie definiert ist. Sie können Regeln verwalten und sie in andere Schutzpakete (Web ACLs) kopieren, indem Sie die JSON-Ansicht der Regelgruppe oder des Schutzpakets (Web-ACL) verwenden, das die Regel enthält. Sie können sie auch über den AWS WAF Console Rule Builder verwalten, der für Schutzpakete (Web ACLs) und Regelgruppen verfügbar ist.

**Regelname**  
Für jede Regel ist ein Name erforderlich. Vermeiden Sie Namen, die mit Regelgruppen oder Regeln beginnen, die für Sie von anderen Diensten verwaltet werden, `AWS` und Namen, die für Sie verwendet werden. Siehe [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md). 

**Anmerkung**  
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, die Sie zur Definition Ihres Schutzpakets (Web-ACL) oder Ihrer Regelgruppe verwenden.

**Erklärung zur Regel**  
Für jede Regel ist außerdem eine Regelaussage erforderlich, die definiert, wie die Regel Webanfragen prüft. Die Regelanweisung kann je nach Regel und Anweisungstyp weitere, verschachtelte Anweisungen in beliebiger Tiefe enthalten. Einige Regelaussagen basieren auf einer Reihe von Kriterien. Sie können beispielsweise bis zu 10.000 IP-Adressen oder IP-Adressbereiche für eine IP-Set-Übereinstimmungsregel angeben.

Sie können Regeln definieren, die nach Kriterien wie den folgenden suchen: 
+ Skripts sind möglicherweise bösartig. Angreifer betten Skripts ein, die Sicherheitslücken in Webanwendungen ausnutzen. Dies wird als Cross-Site-Scripting (XSS) bezeichnet.
+ IP-Adressen oder Adressbereiche, aus denen Anforderungen stammen.
+ Land oder geografischer Standort, von dem die Anforderung stammt.
+ Länge eines angegebenen Teils der Anforderung, z. B. die Abfragezeichenfolge.
+ SQL-Code, der möglicherweise bösartig ist. Angreifer, die versuchen, Daten aus Ihrer Datenbank zu extrahieren, indem sie bösartigen SQL-Code in eine Webanforderung einbetten. Dies wird als SQL Injection bezeichnet.
+ Zeichenfolgen, die in der Anforderung angezeigt werden, z. B. Werte im `User-Agent`-Header oder Textzeichenfolgen in der Abfragezeichenfolge. Sie können auch reguläre Ausdrücke (Regex) verwenden, um diese Zeichenfolgen anzugeben.
+ Bezeichnungen, die frühere Regeln des Schutzpakets (Web-ACL) der Anfrage hinzugefügt haben.

Zusätzlich zu Anweisungen mit Prüfkriterien für Webanfragen, wie die in der obigen Liste, werden logische Anweisungen für`AND`, und AWS WAF unterstützt`OR`, `NOT` die Sie verwenden, um Anweisungen in einer Regel zu kombinieren. 

Basierend auf aktuellen Anforderungen, die Sie von einem Angreifer erhalten haben, können Sie beispielsweise eine ratenbasierte Regel mit einer verschachtelten `AND`-Regelanweisung erstellen, die die folgenden verschachtelten Anweisungen kombiniert: 
+ Die Anforderungen stammen von 192.0.2.44.
+ Sie enthalten den Wert `BadBot` im `User-Agent`-Header.
+ Sie scheinen schädlichen SQL-ähnlichen Code in die Abfragezeichenfolge einzufügen.

In diesem Fall muss die Webanforderung mit allen Anweisungen übereinstimmen, damit die oberste `AND`-Anweisung übereinstimmt. 

**Topics**
+ [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md)
+ [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md)
+ [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md)
+ [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md)
+ [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md)
+ [Verwenden von Regelgruppenregelanweisungen in AWS WAF](waf-rule-statements-rule-group.md)

# Verwenden von Regelaktionen in AWS WAF
<a name="waf-rule-action"></a>

In diesem Abschnitt wird erklärt, wie Regelaktionen funktionieren.

Die Regelaktion legt fest, AWS WAF was mit einer Webanfrage geschehen soll, wenn sie den in der Regel definierten Kriterien entspricht. Sie können jeder Regelaktion optional ein benutzerdefiniertes Verhalten hinzufügen. 

**Anmerkung**  
Regelaktionen können beendend oder nicht beendend sein. Eine abschließende Aktion beendet die Auswertung der Anfrage durch das Protection Pack (Web-ACL) und lässt sie entweder an Ihre geschützte Anwendung weiterleiten oder blockiert sie. 

Hier sind die Optionen für die Regelaktion: 
+ **Allow**— AWS WAF ermöglicht die Weiterleitung der Anfrage zur Bearbeitung und Beantwortung an die geschützte AWS Ressource. Dies ist eine abschließende Aktion. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anfrage einfügen, bevor Sie sie an die geschützte Ressource weiterleiten.
+ **Block**— AWS WAF blockiert die Anfrage. Dies ist eine abschließende Aktion. Standardmäßig antwortet Ihre geschützte AWS Ressource mit einem `403 (Forbidden)` HTTP-Statuscode. In Regeln, die Sie definieren, können Sie die Antwort anpassen. Wenn eine Anfrage AWS WAF blockiert wird, bestimmen die Block Aktionseinstellungen die Antwort, die die geschützte Ressource an den Client zurücksendet. 
+ **Count**— AWS WAF zählt die Anfrage, bestimmt aber nicht, ob sie zugelassen oder blockiert werden soll. Dies ist eine Aktion, die nicht beendet wird. AWS WAF setzt die Verarbeitung der verbleibenden Regeln im Schutzpaket (Web-ACL) fort. In von Ihnen definierten Regeln können Sie benutzerdefinierte Header in die Anforderung einfügen und Labels hinzufügen, mit denen andere Regeln übereinstimmen können.
+ **CAPTCHAund Challenge** — AWS WAF verwendet CAPTCHA-Rätsel und stille Challenges, um zu überprüfen, ob die Anfrage nicht von einem Bot stammt, und AWS WAF verwendet Tokens, um die letzten erfolgreichen Kundenantworten nachzuverfolgen. 

  CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Aktion CAPTCHA oder Challenge Regel in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

  Diese Regelaktionen können abhängig vom Status des Tokens in der Anfrage beendet oder nicht beendet werden: 
  + **Nicht terminierend für ein gültiges, nicht abgelaufenes Token** — Wenn das Token gemäß dem konfigurierten CAPTCHA oder der Challenge-Immunitätszeit gültig und nicht abgelaufen ist, wird die Anfrage ähnlich wie die Aktion behandelt. AWS WAF Count AWS WAF überprüft die Webanforderung weiterhin auf der Grundlage der verbleibenden Regeln im Schutzpaket (Web-ACL). Ähnlich wie bei der Count Konfiguration können Sie in von Ihnen definierten Regeln diese Aktionen optional mit benutzerdefinierten Headern konfigurieren, die in die Anfrage eingefügt werden, und Sie können Labels hinzufügen, mit denen andere Regeln abgleichen können. 
  + **Beenden mit blockierter Anfrage für ein ungültiges oder abgelaufenes Token** — Wenn das Token ungültig ist oder der angegebene Zeitstempel abgelaufen ist, wird die Überprüfung der Webanforderung AWS WAF beendet und die Anfrage blockiert, ähnlich wie bei der Aktion. Block AWS WAF antwortet dem Client dann mit einem benutzerdefinierten Antwortcode. Denn CAPTCHA wenn der Inhalt der Anfrage darauf hindeutet, dass der Client-Browser damit umgehen kann, AWS WAF sendet er ein CAPTCHA-Puzzle in einem JavaScript Interstitial, das menschliche Kunden von Bots unterscheiden soll. Für die Challenge Aktion wird ein JavaScript Interstitial mit einer stillen Aufforderung AWS WAF gesendet, mit der normale Browser von Sitzungen unterschieden werden sollen, die von Bots ausgeführt werden. 

  Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

Informationen zum Hinzufügen von Bezeichnungen zu übereinstimmenden Anforderungen finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

Informationen zum Zusammenspiel von Protection Pack (Web-ACL) und Regeleinstellungen finden Sie unter. [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md) 

# Verwenden von Regelanweisungen in AWS WAF
<a name="waf-rule-statements"></a>

In diesem Abschnitt wird erklärt, wie Regelanweisungen funktionieren.

Regelanweisungen sind der Teil einer Regel, der festlegt, AWS WAF wie eine Webanfrage geprüft wird. Wenn AWS WAF die Prüfkriterien in einer Webanfrage gefunden werden, sagen wir, dass die Webanforderung mit der Anweisung übereinstimmt. Jede Regelanweisung gibt je nach Anweisungstyp an, wonach und wie gesucht werden soll. 

Jede Regel AWS WAF hat eine einzige Regelanweisung auf oberster Ebene, die weitere Anweisungen enthalten kann. Regelanweisungen können sehr einfach sein. Sie könnten beispielsweise eine Anweisung haben, die eine Reihe von Ursprungsländern angibt, für die Sie Ihre Webanfragen überprüfen können, oder Sie könnten eine Regelaussage in einem Schutzpaket (Web-ACL) haben, die nur auf eine Regelgruppe verweist. Regelanweisungen können sehr komplex sein. Beispielsweise könnten Sie eine Anweisung haben, die viele andere Anweisungen mit logischen AND-, OR- und NOT-Anweisungen kombiniert. 

Bei den meisten Regeln können Sie übereinstimmenden Anfragen eine benutzerdefinierte AWS WAF Kennzeichnung hinzufügen. Die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ fügen übereinstimmenden Anfragen Labels hinzu. Die Bezeichnungen, die eine Regel hinzufügt, enthalten Informationen über die Anfrage zu Regeln, die später im Schutzpaket (Web-ACL) sowie in AWS WAF Protokollen und Metriken ausgewertet werden. Informationen zur Kennzeichnung finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md) und[Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md).

**Verschachteln von Regelanweisungen**  
AWS WAF unterstützt die Verschachtelung für viele Regelanweisungen, aber nicht für alle. Beispielsweise können Sie eine Regelgruppenanweisung nicht in einer anderen Anweisung verschachteln. Für einige Szenarien müssen Sie Verschachtelung verwenden, z. B. Eingrenzungsanweisungen und logische Anweisungen. Die folgenden Regelanweisungslisten und Regeldetails beschreiben die Verschachtelungsfunktionen und Anforderungen für jede Kategorie und Regel.

Der visuelle Editor für Regeln in der Konsole unterstützt nur eine Verschachtelungsebene für Regelanweisungen. Sie können beispielsweise viele Arten von Anweisungen innerhalb einer logischen AND oder einer OR Regel verschachteln, aber Sie können keine andere AND OR OR-Regel verschachteln, weil dafür eine zweite Verschachtelungsebene erforderlich ist. Um mehrere Verschachtelungsebenen zu implementieren, stellen Sie die Regeldefinition in JSON bereit, entweder über den JSON-Regeleditor in der Konsole oder über. APIs 

**Topics**
+ [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md)
+ [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md)
+ [Verweisen auf wiederverwendbare Entitäten in AWS WAF](waf-rule-statement-reusable-entities.md)

# Anpassen der Einstellungen für Regelanweisungen in AWS WAF
<a name="waf-rule-statement-fields"></a>

In diesem Abschnitt werden die Einstellungen beschrieben, die Sie in Regelanweisungen angeben können, die eine Komponente der Webanforderung untersuchen. Informationen zur Verwendung finden Sie in den einzelnen Regelanweisungen unter[Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md). 

Eine Teilmenge dieser Webanforderungskomponenten kann auch in ratenbasierten Regeln als benutzerdefinierte Aggregationsschlüssel für Anfragen verwendet werden. Weitere Informationen finden Sie unter [Aggregieren von ratenbasierten Regeln in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).

Für die Einstellungen der Anforderungskomponente geben Sie den Komponententyp selbst und je nach Komponententyp alle zusätzlichen Optionen an. Wenn Sie beispielsweise einen Komponententyp untersuchen, der Text enthält, können Sie Texttransformationen darauf anwenden, bevor Sie ihn untersuchen. 

**Anmerkung**  
Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, so AWS WAF bewertet, dass die Anforderung nicht den Regelkriterien entspricht.

**Contents**
+ [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md)
  + [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
  + [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
  + [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
  + [Reihenfolge der Kopfzeilen](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
  + [Cookies](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
  + [URI-Fragment](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
  + [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
  + [JA3 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
  + [JA4 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
  + [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
  + [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
  + [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
  + [Fließtext](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
  + [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md)

# Komponenten anfordern in AWS WAF
<a name="waf-rule-statement-fields-list"></a>

In diesem Abschnitt werden die Komponenten der Webanforderung beschrieben, die Sie prüfen lassen können. Sie legen die Anforderungskomponente für Übereinstimmungsregelanweisungen fest, die nach Mustern innerhalb der Webanforderung suchen. Zu diesen Anweisungstypen gehören String-Match-, Regex-Match-, Größenbeschränkungs- und SQL-Injection-Angriffsanweisungen. Informationen zur Verwendung dieser Einstellungen für Anforderungskomponenten finden Sie in den einzelnen Regelanweisungen unter [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md)

Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, AWS WAF dahingehend bewertet, dass sie den Regelkriterien nicht entspricht.

**Anmerkung**  
Sie geben für jede Regelanweisung, die eine solche erfordert, eine einzige Anforderungskomponente an. Um mehr als eine Komponente einer Anforderung zu prüfen, erstellen Sie für jede Komponente eine Regelanweisung. 

Die AWS WAF Konsole und die API-Dokumentation enthalten Anleitungen zu den Einstellungen der Anforderungskomponente an den folgenden Stellen: 
+ **Rule Builder** in der Konsole – Wählen Sie in den Einstellungen für einen regulären Regeltyp unter **Statement** (Anweisung) die zu prüfende Komponente unter **Request components** (Anforderungskomponenten) im Dialog **Inspect** (Untersuchen) aus.
+ **API-Anweisungsinhalt** – `FieldToMatch`

Der Rest dieses Abschnitts beschreibt die Optionen für den Teil der Webanforderung, der überprüft werden soll. 

**Topics**
+ [HTTP-Methode](#waf-rule-statement-request-component-http-method)
+ [Einzelner Header](#waf-rule-statement-request-component-single-header)
+ [Alle Header](#waf-rule-statement-request-component-headers)
+ [Reihenfolge der Kopfzeilen](#waf-rule-statement-request-component-header-order)
+ [Cookies](#waf-rule-statement-request-component-cookies)
+ [URI-Fragment](#waf-rule-statement-request-component-uri-fragment)
+ [URI-Pfad](#waf-rule-statement-request-component-uri-path)
+ [JA3 Fingerabdruck](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 Fingerabdruck](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Abfragezeichenfolge](#waf-rule-statement-request-component-query-string)
+ [Einzelabfrageparameter](#waf-rule-statement-request-component-single-query-param)
+ [Alle Abfrageparameter](#waf-rule-statement-request-component-all-query-params)
+ [Fließtext](#waf-rule-statement-request-component-body)
+ [JSON-Text](#waf-rule-statement-request-component-json-body)

## HTTP-Methode
<a name="waf-rule-statement-request-component-http-method"></a>

Prüft die HTTP-Methode der Anforderung. Die HTTP-Methode gibt die Art des Vorgangs an, zu dessen Ausführung die Webanforderung Ihre geschützte Ressource auffordert, z. B. `POST` oder`GET`. 

## Einzelner Header
<a name="waf-rule-statement-request-component-single-header"></a>

Prüft einen einzelnen benannten Header in der Anforderung. 

Für diese Option geben Sie den Header-Namen an, zum Beispiel `User-Agent` oder`Referer`. Bei der Zeichenfolgenabgleichung für den Namen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie wird durchgeführt, nachdem führende und nachfolgende Leerzeichen sowohl im Anforderungsheader als auch in der Regel entfernt wurden.

## Alle Header
<a name="waf-rule-statement-request-component-headers"></a>

Prüft alle Anforderungsheader, einschließlich Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Header zu überprüfen. 

Für diese Option geben Sie die folgenden Spezifikationen an: 
+ **Muster zuordnen** — Der Filter, der verwendet werden soll, um eine Teilmenge von Headern zur Überprüfung abzurufen. AWS WAF sucht in den Header-Tasten nach diesen Mustern. 

  Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein: 
  + **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Header. 
  + **Excluded headers** (Ausgeschlossene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Bei der Zeichenfolgenübereinstimmung für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
  + **Included headers** (Enthaltene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
+ **Abgleichsbereich** — Die Teile der Header, die anhand der AWS WAF Regelprüfungskriterien geprüft werden sollen. Sie können **Schlüssel**, **Werte** oder **Alle** angeben, um sowohl Schlüssel als auch Werte auf eine Übereinstimmung zu überprüfen. 

  **All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft. 
+ **Behandlung zu großer Datenmengen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten so groß sind, dass sie nicht untersucht werden können? AWS WAF AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).

## Reihenfolge der Kopfzeilen
<a name="waf-rule-statement-request-component-header-order"></a>

Untersuchen Sie eine Zeichenfolge, die die Liste der Header-Namen der Anfrage enthält, und zwar in der Reihenfolge, in der sie in der Webanforderung erscheinen, die zur AWS WAF Überprüfung eingeht. AWS WAF generiert die Zeichenfolge und verwendet sie dann als Feld, das der Komponente bei der Prüfung entspricht. AWS WAF trennt die Header-Namen in der Zeichenfolge beispielsweise `host:user-agent:accept:authorization:referer` durch Doppelpunkte und ohne zusätzliche Leerzeichen.

Für diese Option geben Sie die folgenden Spezifikationen an: 
+ **Behandlung von Übergrößen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten zahlreicher oder umfangreicher sind, als untersucht AWS WAF werden können? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können wählen, ob Sie die Überprüfung der verfügbaren Header fortsetzen oder die Überprüfung überspringen und die Anfrage als mit der Regel übereinstimmend oder nicht übereinstimmend markieren möchten. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).

## Cookies
<a name="waf-rule-statement-request-component-cookies"></a>

Prüft alle Anforderungs-Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Cookies zu überprüfen. 

Für diese Option geben Sie die folgenden Spezifikationen an: 
+ **Match patterns** (Übereinstimmungsmuster) – Der Filter, der verwendet werden soll, um eine Teilmenge von Cookies für die Prüfung zu erhalten. AWS WAF sucht nach diesen Mustern in den Header-Cookies. 

  Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein: 
  + **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Cookies. 
  + **Excluded cookies** (Ausgeschlossene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein. 
  + **Included cookies** (Enthaltene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein. 
+ **Geltungsbereich zuordnen** — Die Teile der Cookies, die anhand der Regelprüfungskriterien überprüft werden AWS WAF sollen. Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben. 

  **All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft. 
+ **Umgang mit überdimensionalen** Daten — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Cookie-Daten größer sind als AWS WAF das, was untersucht werden kann? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt kann AWS WAF bis zur ersten erreichten Grenze eingesehen werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).

## URI-Fragment
<a name="waf-rule-statement-request-component-uri-fragment"></a>

**Anmerkung**  
Die Überprüfung von URI-Fragmenten ist nur für CloudFront Distributionen und Application Load Balancers verfügbar.

Prüft den Teil einer URL, der auf das Symbol „\$1“ folgt, und liefert zusätzliche Informationen über die Ressource, z. B. \$1section2. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3). 

Wenn Sie keine Texttransformation mit dieser Option verwenden, normalisiert das URI-Fragment AWS WAF nicht und überprüft es genau so, wie es vom Client in der Anfrage empfangen wurde. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

**Anforderungen an die Regelerklärung**  
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der URI fehlt, das Fragment oder der zugehörige Dienst nicht Application Load Balancer oder ist. CloudFront Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.

## URI-Pfad
<a name="waf-rule-statement-request-component-uri-path"></a>

Prüft den Teil einer URL, der eine Ressource angibt, z. B. `/images/daily-ad.jpg`. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3). 

Wenn Sie mit dieser Option keine Texttransformation verwenden, wird der URI AWS WAF nicht normalisiert und er wird genau so geprüft, wie er ihn vom Client in der Anfrage erhält. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

## JA3 Fingerabdruck
<a name="waf-rule-statement-request-component-ja3-fingerprint"></a>

Prüft den Fingerabdruck der Anfrage. JA3 

**Anmerkung**  
JA3 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.

Der JA3 Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.

**Wie erhalte ich den JA3 Fingerabdruck eines Kunden**  
Den JA3 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).

**Anforderungen an die Regelerklärung**  
Sie können den JA3 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA3 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).

Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA3 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.

Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

## JA4 Fingerabdruck
<a name="waf-rule-statement-request-component-ja4-fingerprint"></a>

Prüft den Fingerabdruck der Anfrage. JA4 

**Anmerkung**  
JA4 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.

Der JA4 Fingerabdruck ist ein 36-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. JA4 Fingerprinting ist eine Erweiterung des JA3 Fingerabdrucks, die bei einigen Browsern zu weniger eindeutigen Fingerabdrücken führen kann. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS Client Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.

**Wie erhalte ich den JA4 Fingerabdruck eines Kunden**  
Den JA4 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).

**Anforderungen an die Regelerklärung**  
Sie können den JA4 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA4 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).

Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA4 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.

Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

## Abfragezeichenfolge
<a name="waf-rule-statement-request-component-query-string"></a>

Prüft den Teil der URL nach einem „`?`“, sofern vorhanden.

**Anmerkung**  
**Für standortübergreifende Scripting-Abgleichsanweisungen empfehlen wir, dass Sie **Alle Abfrageparameter anstelle von Abfragezeichenfolge** wählen.** Wenn Sie **Alle Abfrageparameter** wählen, werden die WCUs Grundkosten um 10% erhöht.

## Einzelabfrageparameter
<a name="waf-rule-statement-request-component-single-query-param"></a>

Prüft einen einzelnen Abfrageparameter, den Sie als Teil der Abfragezeichenfolge definiert haben. AWS WAF überprüft den Wert des von Ihnen angegebenen Parameters. 

Für diese Option geben Sie auch ein **Query argument** (Abfrageargument) an. Wenn die z. B. URL `www.xyz.com?UserName=abc&SalesRegion=seattle` lautet, können Sie für das Abfrageargument `UserName` oder `SalesRegion` angeben. Die maximale Länge des Argumentnamens beträgt 30 Zeichen. Der Name unterscheidet nicht zwischen Groß- und Kleinschreibung. Wenn Sie `UserName` angeben, stimmt AWS WAF also mit allen Varianten von `UserName` überein (einschließlich `username` und `UsERName`).

Wenn die Abfragezeichenfolge mehr als eine Instanz des von Ihnen angegebenen Abfragearguments enthält, werden AWS WAF alle Werte mithilfe OR von Logik auf eine Übereinstimmung überprüft. In der URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle` bewertet AWS WAF beispielsweise den Namen, den Sie für `boston` und `seattle` angegeben haben. Wenn eine der beiden Varianten übereinstimmt, ist die Überprüfung eine Übereinstimmung.

## Alle Abfrageparameter
<a name="waf-rule-statement-request-component-all-query-params"></a>

Prüft alle Abfrageparameter in der Anforderung. Dies ähnelt der Komponentenauswahl für einen einzelnen Abfrageparameter, AWS WAF überprüft jedoch die Werte aller Argumente innerhalb der Abfragezeichenfolge. Wenn die URL beispielsweise `www.xyz.com?UserName=abc&SalesRegion=seattle` ist, löst AWS WAF eine Übereinstimmung aus, wenn entweder der Wert von `UserName` oder `SalesRegion` den Prüfkriterien entspricht. 

Wenn Sie diese Option wählen, werden die Grundkosten WCUs um 10% erhöht.

## Fließtext
<a name="waf-rule-statement-request-component-body"></a>

Prüft den Anforderungstext, der als Klartext ausgewertet wird. Sie können den Text auch als JSON-Code auswerten, indem Sie den Inhaltstyp JSON verwenden. 

Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular. 
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **Plain text** (Klartext) auswählen. 
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `Body` an, um den Anforderungstext als Klartext zu untersuchen.

Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).

Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md). 

Sie können den Text auch als analysierten JSON-Code bewerten. Informationen zu diesem Konto finden Sie im folgenden Abschnitt. 

## JSON-Text
<a name="waf-rule-statement-request-component-json-body"></a>

Prüft den Anforderungstext, der als JSON-Code ausgewertet wird. Sie können den Text auch als Klartext auswerten. 

Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular. 
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **JSON** auswählen. 
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `JsonBody` an.

Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).

Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md). 

Wenn Sie diese Option wählen, verdoppeln sich die Grundkosten der Match-Anweisung. WCUs Wenn beispielsweise die Basiskosten der Match-Anweisung WCUs ohne JSON-Analyse 5 betragen, werden die Kosten bei Verwendung der JSON-Analyse auf 10 verdoppelt. WCUs 

Für diese Option geben Sie zusätzliche Spezifikationen an, wie im folgenden Abschnitt beschrieben.

**Wie AWS WAF geht die JSON-Bodyinspektion vor**  
Bei der AWS WAF Überprüfung des Hauptteils der Webanfrage als JSON werden Schritte ausgeführt, um den Hauptteil zu analysieren und die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF führt diese Schritte entsprechend Ihrer Konfigurationsauswahl aus. 

Im Folgenden sind die Schritte aufgeführt, die AWS WAF ausgeführt werden. 

1. **Analysieren Sie den Hauptteil** — AWS WAF analysiert den Inhalt des Hauptteils der Webanfrage, um die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF tut sein Bestes, um den gesamten Inhalt des Hauptteils zu analysieren, aber das Parsen kann aufgrund einer Vielzahl von Fehlerzuständen im Inhalt fehlschlagen. Beispiele hierfür sind ungültige Zeichen, doppelte Schlüssel, Kürzungen und Inhalte, deren Stammknoten kein Objekt oder Array ist. 

   Die Option **Fallback-Verhalten beim Parsen von Körpern** bestimmt, was passiert, wenn der JSON-Hauptteil AWS WAF nicht vollständig analysiert werden kann: 
   + **Keine (Standardverhalten)** — AWS WAF wertet den Inhalt nur bis zu dem Punkt aus, an dem ein Analysefehler aufgetreten ist. 
   + **Als Zeichenfolge auswerten** — Untersuchen Sie den Textkörper als reinen Text. AWS WAF wendet die Texttransformationen und Prüfkriterien, die Sie für die JSON-Prüfung definiert haben, auf die Texttextzeichenfolge an.
   + **Abgleichen** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
   + **No Match** (Keine Übereinstimmung) – Behandelt die Webanforderung als nicht mit der Regelanweisung übereinstimmend.
**Anmerkung**  
Dieses Fallback-Verhalten wird nur ausgelöst, wenn beim AWS WAF Parsen der JSON-Zeichenfolge ein Fehler auftritt. 

**Durch das Parsen wird das JSON nicht vollständig validiert**  
AWS WAF Beim Parsen wird die eingegebene JSON-Zeichenfolge nicht vollständig validiert, sodass das Parsen auch bei ungültigem JSON erfolgreich sein kann.

    AWS WAF Analysiert beispielsweise den folgenden ungültigen JSON-Code ohne Fehler: 
   + Fehlendes Komma: `{"key1":"value1""key2":"value2"}`
   + Fehlender Doppelpunkt: `{"key1":"value1","key2""value2"}`
   + Zusätzliche Doppelpunkte: `{"key1"::"value1","key2""value2"}`

   In Fällen wie diesen, in denen das Parsen erfolgreich ist, das Ergebnis aber kein vollständig gültiges JSON ist, kann das Ergebnis der nachfolgenden Bewertungsschritte variieren. Bei der Extraktion fehlen möglicherweise einige Elemente, oder die Regelauswertung kann zu unerwarteten Ergebnissen führen. Wir empfehlen Ihnen, den JSON-Code, den Sie in Ihrer Anwendung erhalten, zu validieren und ungültiges JSON nach Bedarf zu behandeln. 

1. **Extrahieren Sie die JSON-Elemente** — AWS WAF identifiziert die Teilmenge der JSON-Elemente, die gemäß Ihren Einstellungen untersucht werden sollen: 
   + Die Option **JSON match scope** spezifiziert die Typen von Elementen im JSON, die überprüft AWS WAF werden sollen. 

     Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben. 

     **All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft. 
   + Die Option Zu **prüfender Inhalt gibt an, wie die Elementgruppe nach der Teilmenge gefiltert werden soll, die Sie untersuchen** möchten AWS WAF . 

     Sie müssen eine der folgenden Eigenschaften angeben:
     + **Vollständiger JSON-Inhalt** — Evaluiert alle Elemente. 
     + **Nur eingeschlossene Elemente** — Wertet nur Elemente aus, deren Pfade den von Ihnen angegebenen JSON-Pointer-Kriterien entsprechen. Verwenden Sie diese Option nicht, um *alle* Pfade im JSON anzugeben. Verwenden Sie stattdessen **vollständigen JSON-Inhalt**. 

       Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScript Object Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

       Sie können beispielsweise in der Konsole Folgendes eingeben: 

       ```
       /dogs/0/name
       /dogs/1/name
       ```

       In der API oder CLI können Sie Folgendes angeben: 

       ```
       "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
       ```

   Nehmen wir beispielsweise an, dass die Einstellung **Zu prüfender Inhalt auf** **Nur eingeschlossene Elemente** und die Einstellung Eingeschlossene Elemente auf. `/a/b` 

   Für das folgende Beispiel für einen JSON-Hauptteil: 

   ```
   { 
     "a":{
       "c":"d",
       "b":{
         "e":{
           "f":"g"
         }
       }
     }
   }
   ```

   Die Elementgruppen, die nach jeder Einstellung des **JSON-Übereinstimmungsbereichs** suchen AWS WAF würden, sind unten aufgeführt. Beachten Sie, dass der Schlüssel`b`, der Teil des Pfads der eingeschlossenen Elemente ist, nicht ausgewertet wird.
   + **Alle**:`e`, `f,` und`g`.
   + **Schlüssel**: `e` und`f`.
   + **Werte**:`g`.

1. **Untersuchen Sie den JSON-Elementsatz** — AWS WAF wendet alle von Ihnen angegebenen Texttransformationen auf die extrahierten JSON-Elemente an und vergleicht dann den resultierenden Elementsatz mit den Übereinstimmungskriterien der Regelanweisung. Dies ist dasselbe Transformations- und Bewertungsverhalten wie bei anderen Webanforderungskomponenten. Wenn eines der extrahierten JSON-Elemente übereinstimmt, entspricht die Webanforderung der Regel. 

# Verwendung weitergeleiteter IP-Adressen in AWS WAF
<a name="waf-rule-statement-forwarded-ip-address"></a>

Dieser Abschnitt gilt für Regelanweisungen, die die IP-Adresse einer Webanforderung verwenden. AWS WAF Verwendet standardmäßig die IP-Adresse aus dem Ursprung der Webanfrage. Wenn eine Webanforderung jedoch einen oder mehrere Proxys oder Load Balancer durchläuft, enthält der Ursprung der Webanforderung die Adresse des letzten Proxys und nicht die Ursprungsadresse des Clients. In diesem Fall wird die ursprüngliche Clientadresse normalerweise in einem anderen HTTP-Header weitergeleitet. Dieser Header ist normalerweise `X-Forwarded-For` (XFF), es kann aber auch ein anderer sein. 

**Regelanweisungen, die IP-Adressen verwenden**  
Folgende Regelanweisungen verwenden IP-Adressen:
+ [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md) – Prüft die IP-Adresse auf eine Übereinstimmung mit den Adressen, die in einem IP-Set definiert sind.
+ [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md)- Verwendet die IP-Adresse, um das Herkunftsland und die Herkunftsregion zu bestimmen, und vergleicht das Herkunftsland mit einer Liste von Ländern.
+ [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md)- Ermittelt anhand der IP-Adresse die Autonome Systemnummer (ASN) und gleicht die ASN mit einer Liste von ab. ASNs
+ [Verwenden von ratenbasierten Regelaussagen](waf-rule-statement-type-rate-based.md)- Kann Anfragen nach ihren IP-Adressen zusammenfassen, um sicherzustellen, dass keine einzelne IP-Adresse Anfragen mit zu hoher Geschwindigkeit sendet. Sie können die IP-Adressaggregation allein oder in Kombination mit anderen Aggregationsschlüsseln verwenden. 

Sie können anweisen AWS WAF , für jede dieser Regelanweisungen eine weitergeleitete IP-Adresse zu verwenden, entweder aus dem `X-Forwarded-For` Header oder aus einem anderen HTTP-Header, anstatt den Ursprung der Webanfrage zu verwenden. Einzelheiten zur Bereitstellung der Spezifikationen finden Sie in den Empfehlungn zu den einzelnen Regelausweisungstypen.

**Anmerkung**  
Wenn ein Header fehlt, wird jede Anweisung, die diesen Header verwendet, als „Keine Übereinstimmung“ AWS WAF bewertet. Wenn Sie eine NOT-Anweisung mit dem Ergebnis „Keine Übereinstimmung“ verwenden, wird die Auswertung in „Übereinstimmung“ AWS WAF umgewandelt. Fehlende Header lösen kein Fallback-Verhalten aus, sondern nur ungültige Header-Werte.

**Fallback-Verhalten**  
Wenn Sie die weitergeleitete IP-Adresse verwenden, geben Sie den Übereinstimmungsstatus AWS WAF an, der der Webanfrage zugewiesen werden soll, falls die Anfrage an der angegebenen Position keine gültige IP-Adresse hat: 
+ **MATCH** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
+ **KEINE ÜBEREINSTIMMUNG** — Behandelt die Webanforderung so, als ob sie nicht mit der Regelanweisung übereinstimmt. 

**In AWS WAF Bot Control verwendete IP-Adressen**  
Die von Bot Control verwaltete Regelgruppe verifiziert Bots anhand der IP-Adressen von AWS WAF. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie explizit mit einer benutzerdefinierten Regel zulassen. Sie können beispielsweise eine benutzerdefinierte IP-Set-Abgleichregel konfigurieren, die Ihre verifizierten Bots anhand weitergeleiteter IP-Adressen erkennt und zulässt. Mit der Regel können Sie Ihre Bot-Verwaltung auf verschiedene Arten anpassen. Weitere Informationen und Beispiele finden Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md). 

**Allgemeine Überlegungen zur Verwendung weitergeleiteter IP-Adressen**  
Bedenken Sie Folgendes, bevor Sie eine weitergeleitete IP-Adresse verwenden: 
+ Ein Header kann auf dem Weg von Proxys geändert werden, und die Proxys behandeln den Header möglicherweise auf verschiedene Arten. 
+ Angreifer können den Inhalt des Headers ändern, um AWS WAF -Inspektionen zu umgehen. 
+ Die IP-Adresse im Header kann fehlerhaft oder ungültig sein.
+ Der von Ihnen angegebene Header ist möglicherweise überhaupt nicht in einer Anforderung vorhanden.

**Überlegungen zur Verwendung weitergeleiteter IP-Adressen mit AWS WAF**  
In der folgenden Liste werden die Anforderungen und Vorbehalte für die Verwendung weitergeleiteter IP-Adressen in AWS WAF folgenden Bereichen beschrieben:
+ Für jede einzelne Regel können Sie einen Header für die weitergeleitete IP-Adresse angeben. Bei der Header-Spezifikation wird zwischen Groß- und Kleinschreibung unterschieden.
+ Bei ratenbasierten Regelanweisungen übernehmen verschachtelte Eingrenzungsanweisungen die weitergeleitete IP-Konfiguration nicht. Geben Sie die Konfiguration für jede Anweisung an, die eine weitergeleitete IP-Adresse verwendet. 
+ Für Geo-Match-, ASN-Abgleich- und ratenbasierte Regeln wird die erste Adresse im Header AWS WAF verwendet. Wenn ein Header beispielsweise Verwendungen enthält `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF `10.1.1.1`
+ Für einen IP-Set-Abgleich geben Sie an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Wenn Sie eine angeben, werden alle AWS WAF Adressen in der Kopfzeile auf eine Übereinstimmung überprüft, bis zu 10 Adressen. Wenn die Kopfzeile mehr als 10 Adressen enthält, werden die letzten AWS WAF 10 überprüft. 
+ Bei Headern mit mehreren Adressen müssen die einzelnen Adressen durch Kommata getrennt sein. Wenn eine Anforderung ein anderes Trennzeichen als ein Komma verwendet, betrachtet AWS WAF die IP-Adressen im Header als fehlerhaft.
+ Wenn die IP-Adressen im Header fehlerhaft oder ungültig sind, bezeichnet AWS WAF die Webanforderung entsprechend dem Fallback-Verhalten, das Sie in der Konfiguration für weitergeleitete IP-Adressen angeben, als mit der Regel übereinstimmend oder nicht.
+ Wenn der von Ihnen angegebene Header in einer Anfrage nicht vorhanden ist, AWS WAF wird die Regel überhaupt nicht auf die Anfrage angewendet. Das AWS WAF bedeutet, dass die Regelaktion nicht angewendet wird und das Fallback-Verhalten nicht angewendet wird.
+ Eine Regelanweisung, die einen weitergeleiteten IP-Header für die IP-Adresse verwendet, verwendet nicht die IP-Adresse, die vom Ursprung der Webanforderung gemeldet wird.

**Bewährte Methoden für die Verwendung weitergeleiteter IP-Adressen mit AWS WAF**  
Halten Sie sich an die folgenden bewährten Methoden, wenn Sie weitergeleitete IP-Adressen verwenden: 
+ Berücksichtigen Sie sorgfältig alle möglichen Status Ihrer Anforderungsheader, bevor Sie die Konfiguration für weitergeleitete IP-Adressen aktivieren. Möglicherweise müssen Sie mehr als eine Regel verwenden, um das gewünschte Verhalten zu erhalten.
+ Verwenden Sie für jede IP-Adressquelle eine Regel, um mehrere weitergeleitete IP-Header zu überprüfen oder den Ursprung der Webanforderung und einen weitergeleiteten IP-Header zu überprüfen. 
+ Zum Blockieren der Webanforderungen mit ungültigen Headern stellen Sie die Regelaktion auf Blockieren und das Fallback-Verhalten für die Konfiguration für weitergeleitete IP-Adressen entsprechend ein. 

**Beispiel-JSON-Code für weitergeleitete IP-Adressen**  
Die folgende Geo-Übereinstimmungsanweisung stimmt nur überein, falls der `X-Forwarded-For`-Header eine IP enthält, deren Herkunftsland die `US` sind: 

```
{
  "Name": "XFFTestGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestGeo"
  },
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ],
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

Die folgende ratenbasierte Regel aggregiert Anforderungen basierend auf der ersten IP im `X-Forwarded-For`-Header. Die Regel zählt nur Anfragen, die mit der verschachtelten Geo-Match-Anweisung übereinstimmen, und blockiert nur Anfragen, die der Geo-Match-Anweisung entsprechen. Die verschachtelte Geo-Übereinstimmungsanweisung stellt außerdem anhand des `X-Forwarded-For`-Headers fest, ob die IP-Adresse aus den `US` stammt. Falls dies der Fall ist oder der Header vorhanden, aber fehlerhaft ist, gibt die Geo-Übereinstimmungsanweisung eine Übereinstimmung zurück. 

```
{
  "Name": "XFFTestRateGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestRateGeo"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": "100",
      "AggregateKeyType": "FORWARDED_IP",
      "ScopeDownStatement": {
        "GeoMatchStatement": {
          "CountryCodes": [
            "US"
          ],
          "ForwardedIPConfig": {
            "HeaderName": "x-forwarded-for",
            "FallbackBehavior": "MATCH"
          }
        }
      },
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

# Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF
<a name="waf-rule-statement-request-components-for-http2-pseudo-headers"></a>

In diesem Abschnitt wird erklärt, wie Sie AWS WAF HTTP/2-Pseudo-Header untersuchen können.

Geschützte AWS Ressourcen, die HTTP/2-Verkehr unterstützen, leiten HTTP/2-Pseudo-Header nicht AWS WAF zur Überprüfung weiter, sondern stellen den Inhalt von Pseudo-Headern in Webanforderungskomponenten bereit, die Inspektionen durchführen. AWS WAF 

Sie können diese Option verwenden AWS WAF , um nur die Pseudo-Header zu untersuchen, die in der folgenden Tabelle aufgeführt sind. 


**HTTP/2-Pseudo-Header-Inhalte, die Webanforderungskomponenten zugeordnet sind**  

| HTTP/2-Pseudo-Header | Zu inspizierende Webanforderungskomponente | Dokumentation | 
| --- | --- | --- | 
|  `:method`  |  HTTP-Methode   |  [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)  | 
|  `:authority`  |  `Host`-Header   |  [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)  [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)  | 
|  `:path`URI-Pfad  | URI-Pfad  | [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | 
|  `:path` query  |  Abfragezeichenfolge  |  [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)  | 

# Verwenden von Texttransformationen in AWS WAF
<a name="waf-rule-statement-transformation"></a>

In diesem Abschnitt wird erklärt, wie Sie Transformationen bereitstellen, die AWS WAF vor der Prüfung der Anfrage angewendet werden können.

In Anweisungen, die nach Mustern suchen oder Einschränkungen festlegen, können Sie Transformationen angeben, die angewendet werden sollen, bevor AWS WAF die Anfrage geprüft wird. Eine Transformation formatiert eine Webanforderung neu, um einige der unüblichen Formatierungen zu beseitigen, die Angreifer verwenden, um AWS WAF zu umgehen. 

Wenn Sie dies mit der Auswahl der JSON-Text-Anforderungskomponente verwenden, wendet AWS WAF Ihre Transformationen nach dem Analysieren und Extrahieren der zu prüfenden Elemente aus dem JSON-Code an. Weitere Informationen finden Sie unter [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).

Wenn Sie mehr als eine Transformation bereitstellen, legen Sie auch die Reihenfolge fest, in der AWS WAF sie anwenden soll. 

**WCUs**— Jede Texttransformation ist 10. WCUs

Die AWS WAF Konsole und die API-Dokumentation enthalten außerdem Anleitungen zu diesen Einstellungen an den folgenden Stellen: 
+ **Rule Builder** in der Konsole – **Text transformation** (Texttransformation). Diese Option ist verfügbar, wenn Sie Anforderungskomponenten verwenden. 
+ **API-Anweisungsinhalt** – `TextTransformations`Optionen für Texttransformationen

Jede Transformationsliste enthält die Konsolen- und API-Spezifikationen, gefolgt von der Beschreibung.

Base64 decode – `BASE64_DECODE`  
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge.

Base64 decode extension – `BASE64_DECODE_EXT`  
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge, verwendet jedoch eine fehlerverzeihende Implementierung, die ungültige Zeichen ignoriert. 

Command line – `CMD_LINE`  
Diese Option entschärft Situationen, in denen Angreifer möglicherweise einen Befehlszeilenbefehl des Betriebssystems eingeben und ungewöhnliche Formatierungen verwenden, um den Befehl ganz oder teilweise zu verschleiern.   
Verwenden Sie diese Option, um die folgenden Transformationen durchzuführen:  
+ Löschen der folgenden Zeichen: `\ " ' ^`
+ Löschen von Leerzeichen vor den folgenden Zeichen: `/ (`
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: `, ;`
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Großbuchstaben (`A-Z`) in Kleinbuchstaben (`a-z`) umwandeln

Compress whitespace – `COMPRESS_WHITE_SPACE`  
AWS WAF komprimiert Leerzeichen, indem mehrere Leerzeichen durch ein Leerzeichen und die folgenden Zeichen durch ein Leerzeichen (ASCII 32) ersetzt werden:  
+ Formfeed (ASCII 12)
+ Registerkarte (ASCII 9)
+ Neue Zeile (ASCII 10)
+ Wagenrückfahrt (ASCII 13)
+ Vertikaler Tabulator (ASCII 11)
+ Sicheres Leerzeichen (ASCII 160)

CSS decode – `CSS_DECODE`  
AWS WAF dekodiert Zeichen, die mit CSS 2.x-Escape-Regeln codiert wurden. `syndata.html#characters` Diese Funktion verwendet bei der DeCodierung bis zu zwei Bytes, sodass ASCII-Zeichen aufgedeckt werden können, die mit CSS-Codierung kodiert wurden und normalerweise nicht kodiert werden würden. Sie ist auch nützlich, um eine Umgehung zu verhindern, also eine Kombination aus einem Rückwärtsschrägstrich und nicht-hexadezimalen Zeichen. Beispielsweise `ja\vascript` für `javascript`.

Escape sequences decode – `ESCAPE_SEQ_DECODE`  
AWS WAF dekodiert die folgenden ANSI C-Escape-Sequenzen:`\a`,,,`\b`,`\f`,,`\n`,`\r`,, `\t` `\v``\\`, `\xHH` (hexadezimal) `\?` `\'``\"`, (oktal). `\0OOO` Ungültige Codierungen verbleiben in der Ausgabe.

Hex decode – `HEX_DECODE`  
AWS WAF dekodiert eine Folge von Hexadezimalzeichen in eine Binärdatei.

HTML entity decode – `HTML_ENTITY_DECODE`  
AWS WAF ersetzt Zeichen, die im Hexadezimalformat `&#xhhhh;` oder Dezimalformat dargestellt werden, durch die entsprechenden Zeichen. `&#nnnn;`  
AWS WAF ersetzt die folgenden HTML-codierten Zeichen durch unkodierte Zeichen. In dieser Liste wird HTML-Kodierung in Kleinbuchstaben verwendet, bei der Behandlung wird jedoch beispielsweise nicht zwischen Groß- und Kleinschreibung unterschieden und sie werden genauso behandelt. `&QuOt;` `&quot;`       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/waf-rule-statement-transformation.html)

JS decode – `JS_DECODE`  
AWS WAF dekodiert JavaScript Escape-Sequenzen. Falls sich im ASCII-Codebereich mit voller Zeichenbreite von `\uHHHH` ein `FF01-FF5E`-Code befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Wenn nicht, wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt, was zu einem möglichen Datenverlust führt.

Lowercase – `LOWERCASE`  
AWS WAF wandelt Großbuchstaben (A-Z) in Kleinbuchstaben (a-z) um.

MD5 – `MD5`  
AWS WAF berechnet einen MD5 Hash aus den Daten in der Eingabe. Der berechnete Hash liegt in einer rohen binären Form vor.

None – `NONE`  
AWS WAF überprüft die Webanforderung so, wie sie empfangen wurde, ohne Texttransformationen. 

Normalize path – `NORMALIZE_PATH`  
AWS WAF normalisiert die Eingabezeichenfolge, indem mehrere Schrägstriche, Verzeichnis-Selbstverweise und Verzeichnisrückverweise, die nicht am Anfang der Eingabe stehen, entfernt werden.

Normalize path Windows – `NORMALIZE_PATH_WIN`  
AWS WAF konvertiert Backslash-Zeichen in Schrägstriche und verarbeitet dann die resultierende Zeichenfolge mithilfe der Transformation. `NORMALIZE_PATH`

Remove nulls – `REMOVE_NULLS`  
AWS WAF entfernt alle `NULL` Byte aus der Eingabe. 

Replace comments – `REPLACE_COMMENTS`  
AWS WAF ersetzt jedes Vorkommen eines Kommentars im C-Stil (/\$1... \$1/) durch ein einzelnes Leerzeichen. Mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert. Nicht beendete Kommentare werden durch ein Leerzeichen (ASCII 0x20) ersetzt. Eigenständige Beendigungen von Kommentaren (\$1/) werdem nicht geändert.

Replace nulls – `REPLACE_NULLS`  
AWS WAF ersetzt jedes `NULL` Byte in der Eingabe durch das Leerzeichen (ASCII 0x20).

SQL hex decode – `SQL_HEX_DECODE`  
AWS WAF dekodiert SQL-Hex-Daten. AWS WAF Dekodiert beispielsweise (`0x414243`) nach (`ABC`).

URL decode – `URL_DECODE`  
AWS WAF dekodiert einen URL-codierten Wert.

URL decode Unicode – `URL_DECODE_UNI`  
Wie `URL_DECODE`, aber mit Unterstützung für Microsoft-spezifische `%u`-Kodierung. Falls sich der Code im ASCII-Codebereich mit voller Zeichenbreite von `FF01-FF5E` befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Andernfalls wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt.

UTF8 to Unicode – `UTF8_TO_UNICODE`  
AWS WAF konvertiert alle UTF-8-Zeichenfolgen nach Unicode. Dies hilft bei der Normalisierung von Eingaben und minimiert Falsch-Positives und Falsch-Negatives für nicht-englische Sprachen.

# Verwendung von Scope-Down-Aussagen in AWS WAF
<a name="waf-rule-scope-down-statements"></a>

In diesem Abschnitt wird erklärt, was eine Scope-Down-Anweisung ist und wie sie funktioniert.

Eine Scope-Down-Anweisung ist eine verschachtelbare Regelanweisung, die Sie in eine verwaltete Regelgruppenanweisung oder eine ratenbasierte Anweisung einfügen, um die Menge der Anfragen einzugrenzen, die die enthaltende Regel auswertet. Die enthaltende Regel wertet nur die Anforderungen aus, die zuerst der Scopedown-Anweisung entsprechen. 
+ Anweisung für **verwaltete Regelgruppen — Wenn Sie einer Anweisung** für verwaltete Regelgruppen eine Scope-Down-Anweisung hinzufügen, wird jede Anforderung, die nicht mit der Scope-Down-Anweisung übereinstimmt, als nicht mit der Regelgruppe übereinstimmend AWS WAF bewertet. Nur Anforderungen, die der Eingrenzungsanweisung entsprechen, werden anhand der Regelgruppe ausgewertet. Für verwaltete Regelgruppen mit Preisen, die auf der Anzahl der ausgewerteten Anforderungen basieren, können Eingrenzungsamweisungen dazu beitragen, Kosten einzudämmen. 

  Weitere Informationen zu verwalteten Regelgruppenanweisungen finden Sie unter [Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ **Ratenbasierte Regelaussage — Eine ratenbasierte Regelanweisung** ohne Angabe des Umfangs schränkt alle Anfragen ein, die von der Regel ausgewertet werden. Wenn Sie die Rate nur für eine bestimmte Kategorie von Anfragen kontrollieren möchten, fügen Sie der ratenbasierten Regel eine Angabe zum Umfang hinzu. Wenn Sie beispielsweise nur die Rate von Anfragen aus einem bestimmten geografischen Gebiet verfolgen und kontrollieren möchten, können Sie dieses geografische Gebiet in einer geographischen Zuordnung angeben und es Ihrer ratenbasierten Regel als Scopedown-Aussage hinzufügen. 

  Weitere Informationen über ratenbasierte Regelanweisungen finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).

in Eingrenzungsanweisungen können Sie jede verschachtelbare Regel verwenden. Die verfügbaren Kontoauszüge finden Sie unter und. [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md) [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md) Die WCUs Anweisungen for a scope-down sind für die Regelanweisung WCUs erforderlich, die Sie darin definieren. Für die Verwendung einer Scope-Down-Erklärung fallen keine zusätzlichen Kosten an.

Sie können eine Scope-Down-Anweisung genauso konfigurieren, wie Sie es tun, wenn Sie die Anweisung in einer regulären Regel verwenden. Sie können beispielsweise Texttransformationen auf eine Webanforderungskomponente anwenden, die Sie untersuchen, und Sie können eine weitergeleitete IP-Adresse angeben, die als IP-Adresse verwendet werden soll. Diese Konfigurationen gelten nur für die Scope-Down-Anweisung und werden nicht von der zugehörigen verwalteten Regelgruppe oder der ratenbasierten Regelanweisung übernommen. 

Wenn Sie beispielsweise Texttransformationen auf eine Abfragezeichenfolge in Ihrer Scope-Down-Anweisung anwenden, überprüft die Scope-Down-Anweisung die Abfragezeichenfolge nach der Anwendung der Transformationen. Wenn die Anforderung den Kriterien der Scope-Down-Anweisung entspricht, AWS WAF wird die Webanforderung in ihrem ursprünglichen Zustand, ohne die Transformationen der Scope-Down-Anweisung, an die enthaltende Regel übergeben. Die Regel, die die Scope-Down-Anweisung enthält, wendet möglicherweise eigene Texttransformationen an, erbt aber keine von der Scope-Down-Anweisung. 

Sie können keine Scope-Down-Anweisung verwenden, um eine Konfiguration zur Anforderungsprüfung für die Anweisung, die die Regel enthält, anzugeben. Sie können eine Scope-Down-Anweisung nicht als Präprozessor für Webanfragen für die enthaltene Regelanweisung verwenden. Die einzige Rolle einer Scope-Down-Anweisung besteht darin, zu bestimmen, welche Anfragen zur Überprüfung an die Anweisung, die die Regel enthält, weitergeleitet werden. 

# Verweisen auf wiederverwendbare Entitäten in AWS WAF
<a name="waf-rule-statement-reusable-entities"></a>

In diesem Abschnitt wird erklärt, wie wiederverwendbare Entitäten in AWS WAF funktionieren.

Einige Regeln verwenden wiederverwendbare Entitäten, die außerhalb Ihrer Website verwaltet werdenACLs, entweder von Ihnen oder einem AWS Marketplace Verkäufer. AWS Wenn die wiederverwendbare Entität aktualisiert wird, überträgt AWS WAF die Aktualisierung an Ihre Regel. Wenn Sie beispielsweise eine Regelgruppe mit AWS verwalteten Regeln in einem Schutzpaket (Web-ACL) verwenden, wird bei der AWS Aktualisierung der Regelgruppe die Änderung an Ihre Web-ACL AWS weitergegeben, um deren Verhalten zu aktualisieren. Wenn Sie eine IP-Set-Anweisung in einer Regel verwenden, wird die Änderung bei der Aktualisierung des Satzes an alle Regeln AWS WAF weitergegeben, die darauf verweisen, sodass alle Schutzpakete (Web ACLs), die diese Regeln verwenden, up-to-date zusammen mit Ihren Änderungen beibehalten werden. 

Im Folgenden finden Sie die wiederverwendbaren Entitäten, die Sie in einer Regelanweisung verwenden können. 
+ **IP-Sets** – Sie erstellen und verwalten Ihre eigenen IP-Sets. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Informationen zur Verwaltung von IP-Sets finden Sie unter [IP-Sätze und Regex-Mustersätze in AWS WAF](waf-referenced-set-managing.md). 
+ **Regex-Match-Sets** – Sie erstellen und verwalten Ihre eigenen Regex-Match-Sets. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Informationen zur Verwaltung von Regex-Mustersätzen finden Sie unter [IP-Sätze und Regex-Mustersätze in AWS WAF](waf-referenced-set-managing.md). 
+ **AWS Regelgruppen für verwaltete Regeln** — AWS verwaltet diese Regelgruppen. Auf der Konsole stehen Ihnen diese zur Verfügung, wenn Sie Ihrem Schutzpaket (Web-ACL) eine verwaltete Regelgruppe hinzufügen. Weitere Informationen dazu finden Sie unter [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md).
+ **AWS Marketplace verwaltete Regelgruppen** — AWS Marketplace Verkäufer verwalten diese Regelgruppen, und Sie können sie abonnieren, um sie zu verwenden. Um Ihre Abonnements zu verwalten, wählen Sie im Navigationsbereich der Konsole **AWS Marketplace**. Die AWS Marketplace verwalteten Regelgruppen werden aufgelistet, wenn Sie Ihrem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen. Für Regelgruppen, die Sie noch nicht abonniert haben, finden Sie AWS Marketplace auf dieser Seite auch einen Link. Weitere Informationen zu AWS Marketplace vom Verkäufer verwalteten Regelgruppen finden Sie unter[AWS Marketplace Regelgruppen](marketplace-rule-groups.md).
+ **Ihre eigenen Regelgruppen** – Sie verwalten Ihre eigenen Regelgruppen. Dies geschieht normalerweise, wenn Sie ein Verhalten benötigen, das über die verwalteten Regelgruppen nicht verfügbar ist. In der Konsole können Sie über den Navigationsbereich darauf zugreifen. Weitere Informationen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md).

**Löschen eines referenzierten Sets oder einer Regelgruppe**  
Wenn Sie eine Entität löschen, auf die verwiesen wird, wird AWS WAF überprüft, ob sie derzeit in einem Schutzpaket (Web-ACL) verwendet wird. Wenn AWS WAF festgestellt wird, dass sie verwendet wird, werden Sie gewarnt. AWS WAF kann fast immer feststellen, ob ein Schutzpaket (Web-ACL) auf eine Entität verweist. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sicher sein müssen, dass die Entität, die Sie löschen möchten, nicht verwendet wird, überprüfen Sie, ob sie in Ihrer Website vorhanden ist, ACLs bevor Sie sie löschen.

# Verwenden von Vergleichsregelanweisungen in AWS WAF
<a name="waf-rule-statements-match"></a>

In diesem Abschnitt wird erklärt, was eine Match-Anweisung ist und wie sie funktioniert.

Match-Anweisungen vergleichen die Webanfrage oder ihren Ursprung mit den von Ihnen angegebenen Kriterien. Bei vielen Anweisungen dieses Typs wird eine bestimmte Komponente der Anfrage auf übereinstimmende Inhalte AWS WAF verglichen. 

Übereinstimmungsanweisungen sind schachtelbar. Sie können jede dieser Anweisungen in logischen Regelanweisungen verschachteln und sie in Scope-Down-Anweisungen verwenden. Hinweise zu logischen Regelanweisungen finden Sie unter. [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md) Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

Diese Tabelle beschreibt die regulären Match-Anweisungen, die Sie zu einer Regel hinzufügen können, und enthält einige Richtlinien für die Berechnung der jeweiligen Kapazitätseinheiten (WCU) von Protection Packs (Web ACL). Weitere Informationen dazu finden Sie WCUs unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md). 


| Übereinstimmungsanweisung | Description | WCUs | 
| --- | --- | --- | 
| [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md) | Überprüft das Ursprungsland der Anfrage und bringt Kennzeichnungen für das Herkunftsland und die Herkunftsregion an.  | 1 | 
|  [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md)  |  Prüft die Anfrage anhand einer ASN, die IP-Adressen und Adressbereichen zugeordnet ist.  |  1  | 
|  [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md)  |  Gleicht die Anforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab.   |  1 für die meisten Fälle. Wenn Sie die Anweisung so konfigurieren, dass sie einen Header mit weitergeleiteten IP-Adressen verwendet und eine Position im Header von angebenAny, erhöhen Sie den Wert um WCUs 4.  | 
|  [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md)  |  Prüft die Anforderung auf Labels, die durch andere Regeln im selben Schutzpaket (Web-ACL) hinzugefügt wurden.  |  1   | 
| [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) | Vergleicht ein Regex-Muster mit einer bestimmten Anforderungskomponente.  | 3, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.  | 
|  [Regex-Mustersatz](waf-rule-statement-type-regex-pattern-set-match.md)  |  Vergleicht RegEx-Muster mit einer bestimmten Anforderungskomponente.   |  25 pro Mustersatz, als Basiskosten.  Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.  | 
| [Größenbeschränkung](waf-rule-statement-type-size-constraint-match.md) | Prüft Größenbeschränkungen gegen eine bestimmte Anforderungskomponente.  | 1, als Basiskosten.  Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.  | 
| [SQLiAngriff](waf-rule-statement-type-sqli-match.md) | Sucht nach schädlichem SQL-Code in einer bestimmten Anforderungskomponente.  | 20, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. | 
| [Zeichenfolgen-Übereinstimmung](waf-rule-statement-type-string-match.md) | Vergleicht eine Zeichenfolge mit einer angegebenen Anforderungskomponente.  |  Die Basiskosten hängen vom Typ der Zeichenfolgen-Übereinstimmung ab und liegen zwischen 1 und 10. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.  | 
| [XSS-Scripting-Angriff](waf-rule-statement-type-xss-match.md) | Überprüft auf Cross-Site-Scripting-Angriffe in einer bestimmten Anforderungskomponente.  | 40, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs. | 

# Anweisung für Regel zur geographischen Übereinstimmung
<a name="waf-rule-statement-type-geo-match"></a>

In diesem Abschnitt wird erklärt, was eine geografische Übereinstimmungsaussage ist und wie sie funktioniert.

Verwenden Sie geografische Angaben oder Geo-Match-Angaben, um Webanfragen nach Herkunftsland und -region zu verwalten. Eine Geo-Match-Anweisung fügt Webanfragen Labels hinzu, die das Herkunftsland und die Herkunftsregion angeben. Diese Bezeichnungen werden unabhängig davon hinzugefügt, ob die Kriterien für die Aussage mit der Anfrage übereinstimmen. Eine Geo-Match-Anweisung führt auch einen Abgleich mit dem Herkunftsland der Anfrage durch.

## Wie benutzt man die Geo-Match-Erklärung
<a name="waf-rule-statement-geo-how-to-use"></a>

Sie können die Geo-Match-Anweisung wie folgt für den Länder- oder Regionalabgleich verwenden: 
+ **Land** — Sie können eine Geo-Match-Regel als eigenständige Geo-Match-Regel verwenden, um Anfragen zu verwalten, die ausschließlich auf ihrem Herkunftsland basieren. Die Regelaussage stimmt mit den Ländercodes überein. Sie können auch einer Geo-Match-Regel mit einer Label-Match-Regel folgen, die mit dem Herkunftsland-Label übereinstimmt. 
**Anmerkung**  
Um Traffic aus Hongkong zu filtern, verwenden Sie den ISO-3166-1-Alpha-2-Ländercode `HK` in Ihrem Geo-Match-Statement.
+ **Region** — Verwenden Sie eine Geo-Match-Regel, gefolgt von einer Label-Match-Regel, um Anfragen auf der Grundlage ihrer Herkunftsregion zu verwalten. Sie können eine Geo-Match-Regel nicht allein für den Abgleich mit Regionalcodes verwenden.

Informationen zur Verwendung von Label-Abgleichsregeln finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

## So funktioniert die Geo-Match-Anweisung
<a name="waf-rule-statement-geo-how-it-works"></a>

 AWS WAF Verwaltet mit der Geo-Match-Anweisung jede Webanfrage wie folgt: 

1. **Ermittelt die Landes- und Regionalcodes der Anfrage** — AWS WAF bestimmt das Land und die Region einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können anweisen AWS WAF , eine IP-Adresse aus einem alternativen Anforderungsheader zu verwenden`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren. 

   AWS WAF bestimmt den Speicherort von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art des geistigen Eigentums variiert. Weitere Informationen MaxMind dazu finden Sie unter [MaxMind IP-Geolokalisierung](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, können Sie unter [MaxMind Correct Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data eine Korrekturanfrage an Maxmind stellen.

   AWS WAF verwendet die Alpha-2-Länder- und Regionscodes der Norm 3166 der Internationalen Organisation für Normung (ISO). Sie finden die Codes an den folgenden Stellen:
   + Auf der ISO-Website können Sie auf der [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home) nach den Ländercodes suchen. 
   + Auf Wikipedia sind die Ländercodes bei [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2) aufgeführt.

     Die Regionalcodes für ein Land sind unter der URL aufgeführt. `https://en.wikipedia.org/wiki/ISO_3166-2:<ISO country code>` [Die Regionen für die Vereinigte Staaten beispielsweise [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US) und für die Ukraine ISO 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA)

1. **Bestimmt das Landes- und Regionslabel, das der Anfrage hinzugefügt werden soll — Die** Beschriftungen geben an, ob die Geo-Match-Anweisung die Quell-IP oder eine weitergeleitete IP-Konfiguration verwendet.
   + **Herkunfts-IP** 

     Das Länderlabel ist`awswaf:clientip:geo:country:<ISO country code>`. Beispiel für die Vereinigte Staaten:`awswaf:clientip:geo:country:US`.

     Die Bezeichnung der Region lautet`awswaf:clientip:geo:region:<ISO country code>-<ISO region code>`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:clientip:geo:region:US-OR`.
   + **Weitergeleitete IP** 

     Das Länderlabel ist`awswaf:forwardedip:geo:country:<ISO country code>`. Beispiel für die Vereinigte Staaten:`awswaf:forwardedip:geo:country:US`.

     Die Bezeichnung der Region lautet`awswaf:forwardedip:geo:region:<ISO country code>-<ISO region code>`. Beispiel für Oregon in den Vereinigte Staaten:`awswaf:forwardedip:geo:region:US-OR`.

   Wenn der Landes- oder Regionalcode für die angegebene IP-Adresse einer Anfrage nicht verfügbar ist, AWS WAF wird er `XX` in den Labels anstelle des Werts verwendet. Die folgende Bezeichnung bezieht sich beispielsweise auf eine Client-IP, deren Landesvorwahl nicht verfügbar ist: `awswaf:clientip:geo:country:XX` und die folgende Bezeichnung bezieht sich auf eine weitergeleitete IP, deren Land die Vereinigte Staaten ist, deren Regionalcode jedoch nicht verfügbar ist:`awswaf:forwardedip:geo:region:US-XX`. 

1. **Prüft den Ländercode der Anfrage anhand der Regelkriterien** 

Die Geo-Match-Anweisung fügt allen Anfragen, die geprüft werden, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob eine Übereinstimmung gefunden wird. 

**Anmerkung**  
AWS WAF fügt am Ende der Auswertung der Webanforderung einer Regel alle Bezeichnungen hinzu. Aus diesem Grund muss jeder Labelabgleich, den Sie mit den Beschriftungen aus einer Geo-Match-Anweisung verwenden, in einer anderen Regel definiert werden als die Regel, die die Geo-Match-Anweisung enthält. 

Wenn Sie nur Regionswerte überprüfen möchten, können Sie eine Geo-Match-Regel mit Count Aktion und einer einzigen Übereinstimmung mit der Landesvorwahl schreiben, gefolgt von einer Label-Abgleichsregel für die Regions-Labels. Sie müssen einen Ländercode angeben, damit die Geo-Match-Regel ausgewertet werden kann, auch bei diesem Ansatz. Sie können die Anzahl von Protokollierungs- und Zählmetriken reduzieren, indem Sie ein Land angeben, von dem es sehr unwahrscheinlich ist, dass Besucher auf Ihre Website gelangen. 

## CloudFront Verteilungen und die Funktion zur CloudFront geografischen Beschränkung
<a name="cloudfront-distributions-geo-restriction"></a>

Beachten Sie bei CloudFront Verteilungen, wenn Sie die CloudFront Funktion zur geografischen Beschränkung verwenden, dass die Funktion blockierte Anfragen nicht weiterleitet. AWS WAF Zulässige Anfragen werden weitergeleitet an AWS WAF. Wenn Sie Anfragen aufgrund der geografischen Lage und anderer Kriterien, die Sie angeben können, blockieren möchten AWS WAF, verwenden Sie die AWS WAF Geo-Match-Anweisung und nicht die Funktion zur CloudFront geografischen Beschränkung. 

## Merkmale der Regelaussage
<a name="geo-match-statement-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs **— 1 ECU.

**Einstellungen** — Diese Anweisung verwendet die folgenden Einstellungen: 
+ **Ländercodes** — Eine Reihe von Ländercodes, die für einen Geo-Match verglichen werden können. Dabei muss es sich um zweistellige Ländercodes aus den ISO-Alpha-2-Ländercodes der internationalen Norm ISO 3166 handeln, zum Beispiel. `["US","CN"]` 
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um das Herkunftsland zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. AWS WAF verwendet die erste IP-Adresse im Header. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md). 

## Wo finde ich diese Regelaussage
<a name="geo-match-statement-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from a country in** (Ursprung aus einem Land in) aus.
+ **API** – [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)

## Beispiele
<a name="waf-rule-statement-geo-examples"></a>

Sie können die Geo-Match-Erklärung verwenden, um Anfragen aus bestimmten Ländern oder Regionen zu verwalten. Wenn Sie beispielsweise Anfragen aus bestimmten Ländern blockieren möchten, aber dennoch Anfragen von einer bestimmten Gruppe von IP-Adressen in diesen Ländern zulassen möchten, könnten Sie eine Regel mit der Einstellung der Aktion auf Block und den folgenden verschachtelten Anweisungen erstellen, die in Pseudocode dargestellt werden:
+ AND-Anweisung
  + Geomatch-Anweisung, die die Länder auflistet, die Sie blockieren möchten
  + NOT-Anweisung 
    + IP-Set-Anweisung, die die IP-Adressen angibt, die Sie zulassen möchten.

Oder wenn Sie einige Regionen in bestimmten Ländern blockieren, aber dennoch Anfragen aus anderen Regionen in diesen Ländern zulassen möchten, können Sie zunächst eine Geo-Match-Regel definieren, bei der die Aktion auf eingestellt ist. Count Definieren Sie dann eine Label-Match-Regel, die mit den hinzugefügten Geo-Match-Labels übereinstimmt und die Anfragen nach Bedarf bearbeitet. 

Der folgende Pseudocode beschreibt ein Beispiel für diesen Ansatz:

1. Geo-Match-Statement, in dem die Länder mit Regionen aufgeführt sind, die Sie blockieren möchten, deren Aktion jedoch auf Count gesetzt ist. Dadurch wird jede Webanfrage unabhängig vom Abgleichstatus gekennzeichnet und Sie erhalten außerdem Zählwerte für die Länder, für die Sie von Interesse sind. 

1. `AND`Anweisung mit Block-Aktion
   + Label Match-Anweisung, die die Labels für die Länder angibt, die Sie blockieren möchten
   + `NOT`-Anweisung 
     + Label Match-Anweisung, die die Bezeichnungen der Regionen in den Ländern angibt, die Sie durchlassen möchten

Die folgende JSON-Liste zeigt eine Implementierung der beiden Regeln, die im vorherigen Pseudocode beschrieben wurden. Diese Regeln blockieren den gesamten Verkehr aus den Vereinigte Staaten mit Ausnahme des Verkehrs aus Oregon und Washington. In der Geo-Match-Anweisung werden allen Anfragen, die geprüft werden, Länder- und Regionsetiketten hinzugefügt. Die Label-Match-Regel wird nach der Geo-Match-Regel ausgeführt, sodass sie mit den Land- und Regionsbezeichnungen abgeglichen werden kann, die die Geo-Match-Regel gerade hinzugefügt hat. Die Geo-Match-Anweisung verwendet eine weitergeleitete IP-Adresse, sodass beim Labelabgleich auch weitergeleitete IP-Labels angegeben werden. 

```
{
   "Name": "geoMatchForLabels",
   "Priority": 10,
   "Statement": {
     "GeoMatchStatement": {
       "CountryCodes": [
         "US"
       ],
       "ForwardedIPConfig": {
           "HeaderName": "X-Forwarded-For",
           "FallbackBehavior": "MATCH"
       }
     }
   },
   "Action": {
     "Count": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "geoMatchForLabels"
   }
},
{
   "Name": "blockUSButNotOROrWA",
   "Priority": 11,
   "Statement": {
     "AndStatement": {
       "Statements": [
         {
           "LabelMatchStatement": {
             "Scope": "LABEL",
             "Key": "awswaf:forwardedip:geo:country:US"
           }
         },
         {
           "NotStatement": {
             "Statement": {
                "OrStatement": {
                  "Statements": [
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-OR"
                       }
                    },
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-WA"
                       }
                    }
                 ]
               }
             }
           }
         }
       ]
     }
   },
   "Action": {
     "Block": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "blockUSButNotOROrWA"
   }
}
```

Als weiteres Beispiel können Sie Geo-Matching mit ratenbasierten Regeln kombinieren, um Ressourcen für Benutzer in einem bestimmten Land oder einer bestimmten Region zu priorisieren. Sie erstellen für jede Geo-Match- oder Label-Match-Aussage, die Sie zur Differenzierung Ihrer Benutzer verwenden, eine andere ratenbasierte Abrechnung. Legen Sie ein höheres Ratenlimit für Benutzer im bevorzugten Land oder der bevorzugten Region und ein niedrigeres Ratenlimit für andere Benutzer fest. 

Die folgende JSON-Liste zeigt eine Geo-Match-Regel, gefolgt von ratenbasierten Regeln, die die Verkehrsrate aus den Vereinigte Staaten begrenzen. Die Regeln ermöglichen es, dass Verkehr aus Oregon mit einer höheren Rate eingeht als Verkehr aus anderen Teilen des Landes. 

```
{
  "Name": "geoMatchForLabels",
  "Priority": 190,
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ]
    }
  },
  "Action": {
    "Count": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "geoMatchForLabels"
  }
},
{
  "Name": "rateLimitOregon",
  "Priority": 195,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 3000,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:clientip:geo:region:US-OR"
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitOregon"
  }
},
{
  "Name": "rateLimitUSNotOR",
  "Priority": 200,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:clientip:geo:country:US"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:clientip:geo:region:US-OR"
                  }
                }
              }
            }
          ]
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitUSNotOR"
  }
}
```

# IP-Set-Übereinstimmungsregelanweisung
<a name="waf-rule-statement-type-ipset-match"></a>

In diesem Abschnitt wird erklärt, was eine IP-Set-Match-Anweisung ist und wie sie funktioniert.

Die IP-Set-Übereinstimmungsanweisung gleicht die IP-Adresse einer Webanforderung mit einer Reihe von IP-Adressen und -Adressbereichen ab. Verwenden Sie diese Option, um Webanforderungen basierend auf den IP-Adressen zuzulassen oder zu blockieren, von denen die Anforderungen stammen. Standardmäßig verwendet AWS WAF die IP-Adresse aus dem Ursprung der Webanforderung, aber Sie können die Regel so konfigurieren, dass sie einen HTTP-Header wie `X-Forwarded-For` verwendet. 



AWS WAF unterstützt alle IPv4 und IPv6 CIDR-Bereiche mit Ausnahme `/0` von. Weitere Informationen zur CIDR-Notation finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Ein IP-Set kann bis zu 10.000 IP-Adressen oder IP-Adressbereiche zur Überprüfung aufnehmen.

**Anmerkung**  
Jede IP-Set-Match-Regel verweist auf ein IP-Set, das Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen IP-Satz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.   
Informationen zum Erstellen und Verwalten eines IP-Sets finden Sie unter [Einen IP-Satz erstellen und verwalten in AWS WAF](waf-ip-set-managing.md).

Wenn Sie die Regeln in Ihrer Regelgruppe oder Ihrem Schutzpaket (Web-ACL) hinzufügen oder aktualisieren, wählen Sie die Option **IP-Set** und wählen Sie den Namen des IP-Sets aus, den Sie verwenden möchten. 

## Eigenschaften der Regelaussage
<a name="ipset-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 1 WCU für die meisten. Wenn Sie die Anweisung für die Verwendung weitergeleiteter IP-Adressen konfigurieren und eine Position von angebenANY, erhöhen Sie die WCU-Nutzung um 4.

Diese Anweisung verwendet die folgenden Einstellungen: 
+ **IP-Set-Spezifikation** – Wählen Sie in der Liste das IP-Set, das Sie verwenden möchten, oder erstellen Sie ein neues. 
+ **(Optional) Weitergeleitete IP-Konfiguration** – ein alternativer weitergeleiteter IP-Header-Name, der anstelle des Anforderungsursprungs verwendet werden soll. Sie geben an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Außerdem geben Sie ein Fallback-Verhalten an, das auf eine Webanforderung mit einer fehlerhaften IP-Adresse im angegebenen Header angewendet werden soll. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md). 

## Wo finde ich diese Regelaussage
<a name="ipset-match-where-to-find"></a>

**Wo finde ich diese Regelerklärung**
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Originates from an IP address in** (Ursprung von einer IP-Adresse in) aus.
+ Seite **Add my own rules and rule groups** (Eigene Regeln und Regelgruppen hinzufügen) in der Konsole. Wählen Sie die Option **IP set** (IP-Set) aus.
+ **API** – [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)

# Anweisung zur Übereinstimmungsregel für autonome Systemnummern (ASN)
<a name="waf-rule-statement-type-asn-match"></a>

Eine ASN-Match-Rule-Anweisung in AWS WAF ermöglicht es Ihnen, den Webverkehr anhand der Autonomen Systemnummer (ASN) zu überprüfen, die der IP-Adresse der Anfrage zugeordnet ist. ASNs sind eindeutige Kennungen, die großen Internetnetzwerken zugewiesen werden, die von Organisationen wie Internetdienstanbietern, Unternehmen, Universitäten oder Regierungsbehörden verwaltet werden. Mithilfe von ASN Match Statements können Sie Datenverkehr von bestimmten Netzwerkorganisationen zulassen oder blockieren, ohne einzelne IP-Adressen verwalten zu müssen. Dieser Ansatz bietet eine stabilere und effizientere Methode zur Zugriffskontrolle als IP-basierte Regeln, da sie ASNs sich seltener ändern als IP-Bereiche. 

Der ASN-Abgleich ist besonders nützlich, wenn es darum geht, Datenverkehr aus bekannten problematischen Netzwerken zu blockieren oder den Zugriff nur über vertrauenswürdige Partnernetzwerke zuzulassen. Die ASN-Match-Anweisung bietet Flexibilität bei der Bestimmung der Client-IP-Adresse durch eine optionale Konfiguration für weitergeleitete IP-Adressen. Dadurch ist sie mit verschiedenen Netzwerkkonfigurationen kompatibel, einschließlich solcher, die Content Delivery Networks (CDNs) oder Reverse-Proxys verwenden.

**Anmerkung**  
ASN Matching ergänzt die standardmäßigen Authentifizierungs- und Autorisierungskontrollen, ersetzt sie jedoch nicht. Wir empfehlen Ihnen, Authentifizierungs- und Autorisierungsmechanismen wie IAM zu implementieren, um die Identität aller Anfragen in Ihren Anwendungen zu überprüfen.

## So funktioniert die ASN-Match-Anweisung
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF bestimmt die ASN einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können so konfigurieren AWS WAF , dass eine IP-Adresse aus einem alternativen Anforderungsheader verwendet wird`X-Forwarded-For`, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.

Die ASN Match-Anweisung vergleicht die ASN der Anfrage mit der in der Regel ASNs angegebenen Liste. Wenn die ASN mit einer in der Liste übereinstimmt, wird die Anweisung als wahr ausgewertet und die zugehörige Regelaktion wird angewendet.

### Behandlung nicht zugeordnet ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

Wenn AWS WAF keine ASN für eine gültige IP-Adresse ermittelt werden kann, wird ASN 0 zugewiesen. Sie können ASN 0 in Ihre Regel aufnehmen, um diese Fälle explizit zu behandeln.

### Fallback-Verhalten für ungültige IP-Adressen
<a name="waf-rule-statement-type-asn-match-fallback"></a>

*Wenn Sie die ASN-Match-Anweisung so konfigurieren, dass weitergeleitete IP-Adressen verwendet werden, können Sie für Anfragen mit ungültigen oder fehlenden IP-Adressen im angegebenen Header das Fallback-Verhalten „*Match“ oder „No match*“ angeben.*

## Eigenschaften der Regelanweisung
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 1 ECU

Diese Anweisung verwendet die folgenden Einstellungen:
+ **ASN-Liste** — Eine Reihe von ASN-Nummern, die im Hinblick auf eine ASN-Übereinstimmung verglichen werden sollen. Gültige Werte liegen im Bereich von 0 bis 4294967295. Sie können für jede Regel bis zu 100 ASNs angeben.
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen** — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um die ASN zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass `X-Forwarded-For` stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. Sie geben an, ob die erste, letzte oder eine beliebige Adresse im Header verwendet werden soll. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter [Weitergeleitete IP-Adressen verwenden](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).

## Wo finde ich diese Regelaussage
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ **Rule Builder** auf der Konsole — Wählen Sie für die **Option Anfrage die Option** **Stammt von ASN in aus**.
+ **API** – [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## Beispiele
<a name="waf-rule-statement-type-asn-match-examples"></a>

In diesem Beispiel werden Anfragen blockiert, die von zwei bestimmten, aus einem `X-Forwarded-For` Header ASNs abgeleiteten Anfragen stammen. Wenn die IP-Adresse im Header falsch formatiert ist, gilt das konfigurierte Fallback-Verhalten. `NO_MATCH`

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```

# Regelanweisung für Bezeichnungsübereinstimmung
<a name="waf-rule-statement-type-label-match"></a>

In diesem Abschnitt wird erklärt, was eine Label Match-Anweisung ist und wie sie funktioniert.

Die Bezeichnungs-Übereinstimmungsanweisung gleicht die Bezeichnungen, die sich in der Webanforderung befinden, mit einer Zeichenfolgenspezifikation ab. Bei den Bezeichnungen, die für eine Regel zur Überprüfung zur Verfügung stehen, handelt es sich um Bezeichnungen, die der Webanforderung bereits durch andere Regeln in derselben Evaluierung des Protection Packs (Web-ACL) hinzugefügt wurden. 

Labels bleiben außerhalb der Evaluierung des Protection Packs (Web-ACL) nicht erhalten, aber Sie können in der Konsole auf Label-Metriken zugreifen CloudWatch und in der Konsole Zusammenfassungen der Labelinformationen für jedes Schutzpaket (Web-ACL) einsehen. AWS WAF Weitere Informationen erhalten Sie unter [Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label) und [Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md). Sie können Labels auch in den Protokollen sehen. Weitere Informationen finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).

**Anmerkung**  
Eine Anweisung zur Zuordnung von Bezeichnungen kann nur Labels von Regeln anzeigen, die zu einem früheren Zeitpunkt im Protection Pack (Web-ACL) ausgewertet wurden. Informationen darüber, wie die Regeln und Regelgruppen in einem Protection Pack (Web-ACL) AWS WAF ausgewertet werden, finden Sie unter[Regelpriorität festlegen](web-acl-processing-order.md).

Weitere Informationen zum Hinzufügen und Abgleichen von Labels finden Sie unter[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

## Merkmale der Regelanweisung
<a name="label-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 1 ECU

Diese Anweisung verwendet die folgenden Einstellungen: 
+ **Übereinstimmungsumfang** – Setzen Sie das auf **Label** (Bezeichnung), um einen Abgleich mit dem Bezeichnungsnamen und optional den vorhergehenden Namespaces und dem vorhergehenden Präfix durchzuführen. Stellen Sie das auf **Namespace**, um einen Abgleich mit einigen oder allen Namespace-Spezifikationen und optional dem vorhergehenden Präfix durchzuführen. 
+ **Schlüssel** – Die Zeichenfolge, mit der Sie einen Abgleich durchführen möchten. Wenn Sie einen Namespace-Übereinstimmungsumfang angeben, sollten Sie nur Namespaces und optional das Präfix mit einem abschließenden Doppelpunkt angeben. Wenn Sie einen Bezeichnungs-Übereinstimmungsbereich angeben, muss dieser den Namen der Bezeichnung enthalten und kann optional vorhergehende Namespaces und das vorhergehende Präfix enthalten. 

Weitere Informationen zu diesen Einstellungen finden Sie unter [AWS WAF Regeln, die den Bezeichnungen entsprechen](waf-rule-label-match.md) und [AWS WAF Beispiele für Label-Matches](waf-rule-label-match-examples.md).

## Wo finde ich diese Regelerklärung
<a name="label-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Request option** (Anforderungsoption) die Option **Has label** (Hat Bezeichnung) aus.
+ **API** – [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)

# Regex-Übereinstimmungsregel-Anweisung
<a name="waf-rule-statement-type-regex-match"></a>

In diesem Abschnitt wird erklärt, was eine Regex-Match-Anweisung ist und wie sie funktioniert.

Eine Regex-Match-Anweisung weist AWS WAF an, eine Anforderungskomponente einem einzelnen regulären Ausdruck (Regex) zuzuordnen. Eine Webanforderung stimmt mit der Anweisung überein, wenn die Anforderungskomponente mit dem angegebenen regulären Ausdruck übereinstimmt. 

Dieser Anweisungstyp ist eine gute Alternative zu [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md) für Situationen, in denen Sie Ihre Übereinstimmungskriterien mit mathematischer Logik kombinieren möchten. Wenn Sie beispielsweise möchten, dass eine Anforderungskomponente einen Abgleich mit einigen regulären Ausdrücken vornimmt, aber andere ausschließt, können Sie die Regex-Übereinstimmungsanweisungen mit [AND-Regelanweisung](waf-rule-statement-type-and.md) und [NOT-Regelanweisung](waf-rule-statement-type-not.md) kombinieren. 

AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. `libpcre` Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

## Merkmale der Regelaussage
<a name="regex-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 3 WCUs, als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

## Wo finde ich diese Regelaussage
<a name="regex-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für**Match type** (Übereinstimmungstyp) die Option **Matches regular expression** (Stimmt mit regulärem Ausdruck überein) aus.
+ **API** – [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)

# Regex-Mustersatz Übereinstimmungsregelanweisung
<a name="waf-rule-statement-type-regex-pattern-set-match"></a>

In diesem Abschnitt wird erklärt, was eine Regex Pattern Set Match-Anweisung ist und wie sie funktioniert.

Die Regex-Mustersatzübereinstimmung überprüft den Teil der Webanforderung, den Sie für die regulären Ausdrucksmuster angeben, die Sie in einem Regex-Mustersatz angegeben haben.

AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

**Anmerkung**  
Jeder RegEx-Mustersatz bezieht sich auf einen RegEx-Mustersatz, den Sie unabhängig von Ihren Regeln erstellen und pflegen. Sie können einen einzelnen Regex-Mustersatz in mehreren Regeln verwenden. Wenn Sie den Satz aktualisieren, auf den verwiesen AWS WAF wird, werden automatisch alle Regeln aktualisiert, die darauf verweisen.   
Informationen zum Erstellen und Verwalten eines Regex-Mustersatzes finden Sie unter [Erstellen und Verwalten eines Regex-Musters in AWS WAF](waf-regex-pattern-set-managing.md).

Eine Regex-Patternset-Match-Anweisung weist AWS WAF an, innerhalb der von Ihnen ausgewählten Anforderungskomponente nach einem der Muster im Satz zu suchen. Eine Webanforderung stimmt mit der Regelanweisung für den Mustersatz überein, wenn die Anforderungskomponente mit einem der Muster im Satz übereinstimmt. 

Wenn Sie Ihre Regex-Musterabgleiche mit Logik kombinieren möchten, um beispielsweise einen Abgleich mit einigen regulären Ausdrücken vorzunehmen, aber andere auszuschließen, können Sie [Regex-Übereinstimmungsregel-Anweisung](waf-rule-statement-type-regex-match.md) verwenden. 

## Eigenschaften der Regelanweisung
<a name="regex-pattern-set-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 25 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

Diese Anweisung erfordert die folgenden Einstellungen: 
+ Regex-Mustersatz-Spezifikation – Wählen Sie aus der Liste den Regex-Mustersatz, den Sie verwenden möchten, oder erstellen Sie einen neuen. 

## Wo finde ich diese Regelaussage
<a name="regex-pattern-set-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) > **Matches pattern from regular expression set** (Muster aus dem Satz mit regulärem Ausdruck stimmt überein) aus.
+ **API** – [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)

# Größenbeschränkungsanweisung
<a name="waf-rule-statement-type-size-constraint-match"></a>

In diesem Abschnitt wird erklärt, was eine Größenbeschränkungsanweisung ist und wie sie funktioniert.

Eine Größenbeschränkungsanweisung vergleicht die Anzahl der Byte, die für eine Webanforderungskomponente AWS WAF empfangen werden, mit einer Zahl, die Sie angeben, und stimmt entsprechend Ihren Vergleichskriterien überein. 

Das Vergleichskriterium ist ein Operator wie größer als (>) oder kleiner als (<). Sie können beispielsweise Anfragen mit einer Abfragezeichenfolge mit einer Größe von mehr als 100 Byte abgleichen. 

Wenn Sie den URI-Pfad überprüfen, zählt jeder Eintrag `/` im Pfad als ein Zeichen. Der URI-Pfad `/logo.jpg` ist beispielsweise neun Zeichen lang.

**Anmerkung**  
Diese Anweisung überprüft nur die Größe der Webanforderungskomponente. Sie überprüft nicht den Inhalt der Komponente. 

## Eigenschaften der Regelaussage
<a name="size-constraint-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 1 WCU als Basiskosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 WCUs hinzu. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil. Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).

  Eine Größenbeschränkungsanweisung überprüft nur die Größe der Komponente, nachdem alle Transformationen angewendet wurden. Sie überprüft nicht den Inhalt der Komponente. 
+ **Optionale Texttransformationen** — Transformationen, die Sie AWS WAF an der Anforderungskomponente durchführen möchten, bevor Sie deren Größe überprüfen. Sie könnten beispielsweise Leerraum komprimieren oder HTML-Entitäten dekodieren. Wenn Sie mehr als eine Transformation angeben, AWS WAF werden diese in der angegebenen Reihenfolge verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

Zusätzlich erfordert diese Anweisung die folgenden Einstellungen: 
+ **Größenabgleichsbedingung** – Dies gibt den numerischen Vergleichsoperator an, der verwendet werden soll, um die angegebene Größe mit der von Ihnen gewählten Anforderungskomponente zu vergleichen. Wählen Sie den Operator aus der Liste aus.
+ **Größe** — Die Größeneinstellung in Byte, die für den Vergleich verwendet werden soll. 

## Wo finde ich diese Regelaussage
<a name="size-constraint-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) unter **Size Match Condition** (Größen-Übereinstimmungsbedingung) die Bedingung aus, die Sie verwenden möchten.
+ **API** – [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)

# SQL-Injection-Angriff-Regelanweisung
<a name="waf-rule-statement-type-sqli-match"></a>

In diesem Abschnitt wird erklärt, was eine SQL-Injection-Regelanweisung ist und wie sie funktioniert.

Eine SQL-Injection-Regelanweisung sucht nach bösartigem SQL-Code. Angreifer fügen bösartigen SQL-Code in Webanfragen ein, um beispielsweise Ihre Datenbank zu ändern oder Daten daraus zu extrahieren.

## Eigenschaften von Regelanweisungen
<a name="sqli-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— Die Grundkosten hängen von der Einstellung der Sensitivitätsstufe für die Regelaussage ab: Low Kosten 20 und High Kosten 30. 

Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

Darüber hinaus erfordert diese Anweisung die folgende Einstellung: 
+ **Sensitivitätsstufe** — Mit dieser Einstellung wird die Sensitivität der SQL-Injection-Übereinstimmungskriterien eingestellt. Die Optionen sind LOW und HIGH. Die Standardeinstellung lautet LOW. 

  Diese HIGH Einstellung erkennt mehr SQL-Injection-Angriffe und ist die empfohlene Einstellung. Aufgrund der höheren Empfindlichkeit generiert diese Einstellung mehr Fehlalarme, insbesondere wenn Ihre Webanfragen in der Regel ungewöhnliche Zeichenfolgen enthalten. Beim Testen und Optimieren Ihres Schutzpakets (Web-ACL) müssen Sie möglicherweise mehr tun, um Fehlalarme zu vermeiden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md). 

  Die niedrigere Einstellung sorgt für eine weniger strenge SQL-Injection-Erkennung, was auch zu weniger Fehlalarmen führt. LOWkann eine bessere Wahl für Ressourcen sein, die über andere Schutzmaßnahmen gegen SQL-Injection-Angriffe verfügen oder die eine geringe Toleranz gegenüber Fehlalarmen aufweisen. 

## Wo finde ich diese Regelaussage
<a name="sqli-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains SQL injection attacks** (Enthält SQL-Injection-Angriffe) aus.
+ **API** – [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)

# Zeichenfolgen-Übereinstimmungsanweisung
<a name="waf-rule-statement-type-string-match"></a>

In diesem Abschnitt wird erklärt, was eine String-Match-Anweisung ist und wie sie funktioniert.

Eine String-Match-Anweisung gibt an, AWS WAF nach welcher Zeichenfolge Sie in einer Anfrage suchen möchten, wo in der Anfrage gesucht werden soll und wie. Beispielsweise können Sie nach einer bestimmten Zeichenfolge am Anfang einer beliebigen Suchzeichenfolge in der Anforderung oder als genaue Übereinstimmung mit dem `User-agent`-Header der Anforderung suchen. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden. 

## Eigenschaften der Regelaussage
<a name="string-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— Die Grundkosten hängen von der Art des Spiels ab, das Sie verwenden.
+ **Stimmt genau mit Zeichenfolge überein** – 2 
+ **Beginnt mit Zeichenfolge** – 2 
+ **Endet mit Zeichenfolge** – 2 
+ **Enthält Zeichenfolge** – 10 
+ **Enthält das Wort** — 10 

Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

Zusätzlich erfordert diese Anweisung die folgenden Einstellungen: 
+ **Übereinstimmende Zeichenfolge** — Dies ist die Zeichenfolge, die Sie AWS WAF mit der angegebenen Anforderungskomponente vergleichen möchten. Normalerweise besteht die Zeichenfolge aus druckbaren ASCII-Zeichen, aber Sie können jedes beliebige Zeichen von hexadezimal 0x00 bis 0xFF (dezimal 0 bis 255) verwenden.
+ **Bedingung für übereinstimmende Zeichenfolge** — Dies gibt den Suchtyp an, den Sie ausführen AWS WAF möchten. 
  + **Exactly matches string** (Entspricht Zeichenfolge genau) – Die Zeichenfolge und der Wert der Steuerungskomponente sind identisch.
  + **Starts with string** (Beginnt mit Zeichenfolge) – Die Zeichenfolge wird am Anfang der Anforderungskomponente angezeigt. 
  + **Ends with string** (Endet mit Zeichenfolge) – Die Zeichenfolge wird am Ende der Anforderungskomponente angezeigt. 
  + **Contains string** (Enthält Zeichenfolge) – Die Zeichenfolge wird an beliebiger Stelle in der Anforderungskomponente angezeigt. 
  + **Contains word** (Enthält Wort) – Die von Ihnen angegebene Zeichenfolge muss in der Anforderungskomponente angezeigt werden. 

    Bei dieser Option darf die von Ihnen angegebene Zeichenfolge nur alphanumerische Zeichen oder Unterstriche (A-Z, a-z, 0-9 oder \$1) enthalten. 

    Eine der folgenden Bedingungen muss erfüllt sein, damit die Anforderung übereinstimmt: 
    + Die Zeichenfolge entspricht exakt dem Wert der Anforderungskomponente, z. B. dem Wert eines Headers.
    + Die Zeichenfolge steht am Anfang der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1) gefolgt, z. B. `BadBot;`.
    + Die Zeichenfolge befindet sich am Ende der Anforderungskomponente und wird von einem anderen Zeichen als einem alphanumerischen Zeichen oder Unterstrich (\$1), z. B. `;BadBot`, eingeleitet.
    + Die Zeichenfolge befindet sich in der Mitte der Anforderungskomponente und wird von anderen Zeichen als alphanumerischen Zeichen oder Unterstrichen (\$1) eingeleitet und gefolgt, z. B. `-BadBot;`.

## Wo finde ich diese Regelaussage
<a name="string-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **String Match Condition** (Zeichenfolgen-Übereinstimmungsbedingungen) aus. Geben Sie dann die Zeichenfolgen ein, mit denen Sie einen Vergleich vornehmen möchten.
+ **API** – [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)

# Cross-Site-Scripting-Angriffsregel-Anweisung
<a name="waf-rule-statement-type-xss-match"></a>

In diesem Abschnitt wird erklärt, was eine XSS-Angriffsanweisung (Cross-Site Scripting) ist und wie sie funktioniert.

Eine XSS-Angriffsanweisung untersucht eine Webanforderungskomponente auf schädliche Skripts. Bei einem XSS-Angriff nutzt der Angreifer Sicherheitslücken auf einer harmlosen Website, um bösartige Client-Site-Skripts in andere legitime Webbrowser einzuschleusen. 

## Merkmale der Regelaussage
<a name="xss-match-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— 40 WCUs, als Grundkosten. Wenn Sie die Anforderungskomponente **Alle Abfrageparameter** verwenden, fügen Sie 10 hinzu WCUs. Wenn Sie den **JSON-Hauptteil** der Anforderungskomponente verwenden, verdoppeln Sie die Grundkosten WCUs. Fügen Sie für jede **Texttransformation**, die Sie anwenden, 10 hinzu WCUs.

Dieser Anweisungstyp arbeitet mit einer Webanforderungskomponente und erfordert die folgenden Einstellungen für Anforderungskomponenten: 
+ **Anforderungskomponente** — Der Teil der Webanforderung, der überprüft werden soll, z. B. eine Abfragezeichenfolge oder der Hauptteil.
**Warnung**  
Wenn Sie die Anforderungskomponenten **Body**, **JSON-Text**, **Header** oder **Cookies untersuchen, sollten** Sie sich über die Einschränkungen informieren, mit denen der Inhalt überprüft AWS WAF werden kann. [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md) 

  Informationen über Webanforderungskomponenten finden Sie unter [Anpassen der Einstellungen für Regelanweisungen in AWS WAF](waf-rule-statement-fields.md).
+ **Optionale Texttransformationen** — Transformationen, die Sie an der Anforderungskomponente durchführen AWS WAF möchten, bevor Sie sie überprüfen. Sie könnten beispielsweise in Kleinschreibung umwandeln oder Leerzeichen normalisieren. Wenn Sie mehr als eine Transformation angeben, werden diese in der angegebenen Reihenfolge AWS WAF verarbeitet. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).

## Wo finde ich diese Regelaussage
<a name="xss-match-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Attack match conditions** (Bedingungen für Angriffsabgleich) > **Contains XSS injection attacks** (Enthält XSS-Injection-Angriffe) aus.
+ **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)

# Verwendung logischer Regelanweisungen in AWS WAF
<a name="waf-rule-statements-logical"></a>

In diesem Abschnitt wird erklärt, was eine logische Regelaussage ist und wie sie funktioniert.

Verwenden Sie Anweisungen mit logischen Regeln, um andere Anweisungen zu kombinieren oder deren Ergebnisse zu negieren. Jede logische Regelanweisung benötigt mindestens eine verschachtelte Anweisung.

Verschachteln Sie die Anweisungen unter logischen Regelanweisungen, um die Ergebnisse der Regelanweisung logisch zu kombinieren oder zu negieren. 

Logische Regelanweisungen sind verschachtelbar. Sie können sie in andere logische Regelanweisungen verschachteln und in Eingrenzungsanweisungen verwenden. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

**Anmerkung**  
Der visuelle Editor in der Konsole unterstützt eine Ebene der Verschachtelung von Regelanweisungen, die für viele Anforderungen geeignet ist. Um mehrere Ebenen zu verschachteln, bearbeiten Sie die JSON-Darstellung der Regel in der Konsole oder verwenden Sie die APIs. 

In dieser Tabelle werden die logischen Regelaussagen beschrieben und Richtlinien für die Berechnung der jeweiligen Kapazitätseinheiten (WCU) von Protection Pack (Web ACL) bereitgestellt. Weitere Informationen dazu finden Sie WCUs unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md). 


| Logische Anweisung  | Description | WCUs | 
| --- | --- | --- | 
| [AND-Logik](waf-rule-statement-type-and.md) | Kombiniert verschachtelte Anweisungen mit AND-Logik. | Basierend auf verschachtelten Anweisungen | 
|  [NOT-Logik](waf-rule-statement-type-not.md)  |  Negiert die Ergebnisse einer verschachtelten Anweisung.  |  Basierend auf einer verschachtelten Anweisung  | 
| [OR-Logik](waf-rule-statement-type-or.md) | Kombiniert verschachtelte Anweisungen mit OR-Logik. | Basierend auf verschachtelten Anweisungen | 

# AND-Regelanweisung
<a name="waf-rule-statement-type-and"></a>

Die AND-Regelanweisung kombiniert verschachtelte Anweisungen mit einer logischen AND-Verknüpfung, sodass alle verschachtelten Anweisungen übereinstimmen müssen, damit die AND-Anweisung übereinstimmt. Dies erfordert mindestens zwei verschachtelte Anweisungen. 

## Eigenschaften der Regelanweisung
<a name="and-rule-statement-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— Hängt von den verschachtelten Anweisungen ab.

## Wo finde ich diese Regelaussage
<a name="and-rule-statement-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **matches all the statements (AND)** (mit allen Anweisungen übereinstimmt (AND)) aus und füllen Sie dann die verschachtelten Anweisungen aus. 
+ **API** – [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)

## Beispiele
<a name="and-rule-statement-examples"></a>

Die folgende Liste zeigt die Verwendung von AND und NOT logische Regelanweisungen, um Fehlalarme aus den Treffern einer SQL-Injection-Angriffsanweisung zu eliminieren. Nehmen wir für dieses Beispiel an, dass wir eine Einzelbyte-Match-Anweisung schreiben können, um die Anfragen abzugleichen, die zu falsch positiven Ergebnissen führen. 

Die AND-Anweisung stimmt für Anfragen überein, die nicht mit der Byte-Match-Anweisung übereinstimmen und die der SQL-Injection-Angriffsanweisung entsprechen. 

```
{
      "Name": "SQLiExcludeFalsePositives",
      "Priority": 0,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "SearchString": "string identifying a false positive",
                    "FieldToMatch": {
                      "Body": {
                        "OversizeHandling": "MATCH"
                      }
                    },
                    "TextTransformations": [
                      {
                        "Priority": 0,
                        "Type": "NONE"
                      }
                    ],
                    "PositionalConstraint": "CONTAINS"
                  }
                }
              }
            },
            {
              "SqliMatchStatement": {
                "FieldToMatch": {
                  "Body": {
                    "OversizeHandling": "MATCH"
                  }
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "SQLiExcludeFalsePositives"
      }
    }
```

Mit dem visuellen Editor für Konsolenregeln können Sie eine unlogische Anweisung oder eine Anweisung unter einer NOT OR Oder-Anweisung verschachteln. AND Die Verschachtelung der NOT Anweisung ist im vorherigen Beispiel dargestellt. 

Mit dem visuellen Editor für Konsolenregeln können Sie die meisten verschachtelbaren Anweisungen unter einer logischen Regelanweisung verschachteln, wie sie im vorherigen Beispiel gezeigt wurde. Sie können den Visual Editor nicht zum Verschachteln OR von AND OD-Anweisungen verwenden. Um diese Art der Verschachtelung zu konfigurieren, müssen Sie Ihre Regelanweisung in JSON angeben. Die folgende JSON-Regelliste enthält beispielsweise eine Anweisung, die in einer OR Anweisung verschachtelt istAND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# NOT-Regelanweisung
<a name="waf-rule-statement-type-not"></a>

Die NOT-Regelanweisung negiert logisch die Ergebnisse einer einzelnen verschachtelten Anweisung, sodass die verschachtelten Anweisungen nicht mit der NOT-Anweisung übereinstimmen dürfen und umgekehrt. Dies erfordert eine verschachtelte Anweisung. 

Wenn Sie beispielsweise Anforderungen blockieren möchten, die nicht aus einem bestimmten Land stammen, erstellen Sie eine NOT-Anweisung mit einer Aktion, die auf Blockieren festgelegt ist, und verschachteln Sie eine geografische Match-Anweisung, die das Land angibt. 

## Eigenschaften von Regelaussagen
<a name="not-rule-statement-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— Hängt von der verschachtelten Anweisung ab.

## Wo finde ich diese Regelaussage
<a name="not-rule-statement-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **doesn't match the statement (NOT)** (nicht mit der Anweisung übereinstimmt (NOT)) aus. Füllen Sie dann die verschachtelte Anweisung aus.
+ **API** – [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)

# OR-Regelanweisung
<a name="waf-rule-statement-type-or"></a>

Die OR-Regelanweisung kombiniert verschachtelte Anweisungen mit der OR-Logik, sodass eine der verschachtelten Anweisungen übereinstimmen muss, damit die OR-Anweisung übereinstimmt. Dies erfordert mindestens zwei verschachtelte Anweisungen. 

Wenn Sie beispielsweise Anfragen blockieren möchten, die aus einem bestimmten Land kommen oder eine bestimmte Abfragezeichenfolge enthalten, könnten Sie eine Anweisung erstellen und darin eine OR Geo-Match-Anweisung für das Land und eine String-Match-Anweisung für die Abfragezeichenfolge verschachteln. 

Wenn Sie stattdessen Anfragen blockieren möchten, die *nicht* aus einem bestimmten Land stammen oder eine bestimmte Abfragezeichenfolge enthalten, würden Sie die vorherige OR Anweisung so ändern, dass die Geo-Match-Anweisung eine Ebene tiefer in einer NOT Anweisung verschachtelt wird. Diese Verschachtelungsebene erfordert die Verwendung der JSON-Formatierung, weil die Konsole nur eine Verschachtelungsebene unterstützt.

## Eigenschaften der Regelaussage
<a name="or-rule-statement-characteristics"></a>

**Verschachtelung** – Sie können diesen Anweisungstyp verschachteln. 

**WCUs**— Hängt von den verschachtelten Anweisungen ab.

## Wo finde ich diese Regelaussage
<a name="or-rule-statement-where-to-find"></a>
+ **Rule Builder** in der Konsole – Wählen Sie für **If a request** (Wenn eine Anforderung) die Option **matches at least one of the statements (OR)** (mit mindestens einer der Anweisungen übereinstimmt (OR)) aus. Füllen Sie dann die verschachtelten Anweisungen aus. 
+ **API** – [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)

**Beispiele**  
Die folgende Liste zeigt die Verwendung vonOR, um zwei andere Anweisungen zu kombinieren. Die OR Anweisung ist eine Übereinstimmung, wenn eine der verschachtelten Anweisungen übereinstimmt. 

```
{
  "Name": "neitherOfTwo",
  "Priority": 1,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "neitherOfTwo"
  },
  "Statement": {
    "OrStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "CA"
            ]
          }
        },
        {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
          }
        }
      ]
    }
  }
}
```

Mit dem visuellen Editor für Konsolenregeln können Sie die meisten verschachtelbaren Anweisungen unter einer logischen Regelanweisung verschachteln, aber Sie können den visuellen Editor nicht verwenden, um OR-Anweisungen zu verschachtelnOR. AND Um diese Art der Verschachtelung zu konfigurieren, müssen Sie Ihre Regelanweisung in JSON angeben. Die folgende JSON-Regelliste enthält beispielsweise eine Anweisung, die in einer OR Anweisung verschachtelt istAND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Verwendung ratenbasierter Regelanweisungen in AWS WAF
<a name="waf-rule-statement-type-rate-based"></a>

In diesem Abschnitt wird erklärt, was eine ratenbasierte Regelaussage ist und wie sie funktioniert.

Eine ratenbasierte Regel zählt eingehende Anfragen und begrenzt die Rate der Anfragen, wenn sie zu schnell eingehen. Die Regel aggregiert Anfragen gemäß Ihren Kriterien und zählt und begrenzt die aggregierten Gruppierungen auf der Grundlage des Bewertungsfensters, des Anforderungslimits und der Aktionseinstellungen der Regel. 

**Anmerkung**  
Sie können Webanfragen auch mit der gezielten Schutzstufe der Regelgruppe „ AWS Managed Rules“ von Bot Control einschränken. Für die Verwendung dieser verwalteten Regelgruppe fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Optionen zur Ratenbegrenzung in ratenbasierten Regeln und gezielten Bot-Kontrollregeln](waf-rate-limiting-options.md). 

AWS WAF verfolgt und verwaltet Webanfragen separat für jede Instanz einer ratenbasierten Regel, die Sie verwenden. Wenn Sie beispielsweise dieselben Einstellungen für ratenbasierte Regeln in zwei Websites angebenACLs, stellt jede der beiden Regelanweisungen eine separate Instanz der ratenbasierten Regel dar und jede erhält ihre eigene Nachverfolgung und Verwaltung durch. AWS WAF Wenn Sie eine ratenbasierte Regel innerhalb einer Regelgruppe definieren und diese Regelgruppe dann an mehreren Stellen verwenden, erstellt jede Verwendung eine separate Instanz der ratenbasierten Regel, die ihre eigene Nachverfolgung und Verwaltung erhält. AWS WAF

**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen. Sie können sie direkt in ein Schutzpaket (Web-ACL) oder eine Regelgruppe aufnehmen. 

**Scope-down-Aussage** — Dieser Regeltyp kann eine Scope-down-Aussage enthalten, um den Umfang der Anfragen, die die Regel verfolgt, einzugrenzen und die Rate zu begrenzen. Die Scope-down-Aussage kann optional oder erforderlich sein, abhängig von Ihren anderen Regelkonfigurationseinstellungen. Die Einzelheiten werden in diesem Abschnitt behandelt. Allgemeine Informationen zu Scopedown-Aussagen finden Sie unter. [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md) 

**WCUs**— 2, als Grundkosten. Fügen Sie für jeden benutzerdefinierten Aggregationsschlüssel, den Sie angeben, 30 WCUs hinzu. Wenn Sie in der Regel eine Scope-Down-Anweisung verwenden, berechnen Sie den Wert dafür und fügen Sie ihn hinzu. WCUs 

**Wo finde ich diese Regelaussage**
+ **Rule Builder** in Ihrem Schutzpaket (Web-ACL) auf der Konsole — Wählen Sie unter **Regel** für **Typ** die Option **Ratenbasierte** Regel aus.
+ **API** – [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)

**Topics**
+ [Einstellungen für ratenbasierte Regeln auf hoher Ebene in AWS WAF](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [Vorbehalte bei ratenbasierten Regeln AWS WAF](waf-rule-statement-type-rate-based-caveats.md)
+ [Aggregieren von ratenbasierten Regeln in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [Instanzen und Zählungen für die ratenbasierte Regelaggregation](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md)
+ [Beispiele für ratenbasierte Regeln in AWS WAF](waf-rule-statement-type-rate-based-examples.md)
+ [Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird](listing-managed-ips.md)

# Einstellungen für ratenbasierte Regeln auf hoher Ebene in AWS WAF
<a name="waf-rule-statement-type-rate-based-high-level-settings"></a>

Eine ratenbasierte Regelanweisung verwendet die folgenden allgemeinen Einstellungen: 
+ **Bewertungsfenster** — Der Zeitraum in Sekunden, der bei der Anzahl der Anfragen AWS WAF berücksichtigt werden soll, wenn man von der aktuellen Uhrzeit aus betrachtet. Beispiel: Bei einer Einstellung von 120 werden bei der AWS WAF Überprüfung der Rate die Anfragen für die 2 Minuten gezählt, die unmittelbar vor der aktuellen Uhrzeit liegen. Gültige Einstellungen sind 60 (1 Minute), 120 (2 Minuten), 300 (5 Minuten) und 600 (10 Minuten), und 300 (5 Minuten) ist die Standardeinstellung. 

  Diese Einstellung bestimmt nicht, wie oft die Rate AWS WAF überprüft wird, sondern wie weit sie bei jeder Überprüfung zurückblickt. AWS WAF überprüft die Rate regelmäßig, wobei der Zeitpunkt unabhängig von der Einstellung des Bewertungsfensters ist. 
+ **Ratenlimit** — Die maximale Anzahl von Anfragen, die Ihren Kriterien entsprechen und nur innerhalb des angegebenen Bewertungsfensters erfasst werden AWS WAF sollen. Die niedrigste zulässige Limiteinstellung ist 10. Wenn dieser Grenzwert überschritten wird, AWS WAF wendet die Einstellung für die Regelaktion auf weitere Anfragen an, die Ihren Kriterien entsprechen. 

  AWS WAF wendet eine Ratenbegrenzung in der Nähe des von Ihnen festgelegten Limits an, garantiert jedoch nicht, dass das Limit exakt übereinstimmt. Weitere Informationen finden Sie unter [Vorbehalte bei ratenbasierten Regeln](waf-rule-statement-type-rate-based-caveats.md). 
+ **Aggregation** von Anfragen — Die im Internet zu verwendenden Aggregationskriterien, die von der ratenbasierten Regel berücksichtigt werden, und die Ratenbegrenzungen. Das von Ihnen festgelegte Ratenlimit gilt für jede Aggregationsinstanz. Details dazu finden Sie unter [Aggregieren von ratenbasierten Regeln](waf-rule-statement-type-rate-based-aggregation-options.md) und [Aggregationsinstanzen und -zahlen](waf-rule-statement-type-rate-based-aggregation-instances.md). 
+ **Aktion** — Die Aktion, die bei Anfragen ergriffen werden soll, die von der Regelrate begrenzt werden. Sie können jede beliebige Regelaktion verwenden, außer Allow Dies wird wie üblich auf Regelebene festgelegt, weist jedoch einige Einschränkungen und Verhaltensweisen auf, die für ratenbasierte Regeln spezifisch sind. Allgemeine Informationen zu Regelaktionen finden Sie unter. [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md) Spezifische Informationen zur Ratenbegrenzung finden Sie [Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) in diesem Abschnitt.
+ **Prüfungsumfang und Gebührenbegrenzung** — Sie können den Umfang der Anfragen, die in der tarifbasierten Abrechnung erfasst werden, und die Preisbegrenzungen einschränken, indem Sie eine Erklärung zum Umfang hinzufügen. Wenn Sie eine Erklärung zum Umfang angeben, aggregiert, zählt und begrenzt die Regel nur Anfragen, die mit dem Umfang übereinstimmen. Wenn Sie die Option „**Alle zählen**“ für die Aggregation von Anfragen wählen, ist die Scope-down-Anweisung erforderlich. Weitere Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwenden von Scope-Down-Aussagen](waf-rule-scope-down-statements.md). 
+ **(Optional) Konfiguration für weitergeleitete IP-Adressen — Diese Konfiguration** wird nur verwendet, wenn Sie die **IP-Adresse im Header** Ihrer Anforderungsaggregation angeben, entweder allein oder als Teil der Einstellungen für benutzerdefinierte Schlüssel. AWS WAF ruft die erste IP-Adresse im angegebenen Header ab und verwendet diese als Aggregationswert. Ein üblicher Header für diesen Zweck ist`X-Forwarded-For`, aber Sie können einen beliebigen Header angeben. Weitere Informationen finden Sie unter [Verwendung weitergeleiteter IP-Adressen](waf-rule-statement-forwarded-ip-address.md). 

# Vorbehalte bei ratenbasierten Regeln AWS WAF
<a name="waf-rule-statement-type-rate-based-caveats"></a>

In diesem Abschnitt werden die Vorbehalte für die Verwendung tarifbasierter Regeln aufgeführt.

AWS WAF Die Ratenbegrenzung dient dazu, hohe Anforderungsraten zu kontrollieren und die Verfügbarkeit Ihrer Anwendung so effizient und effektiv wie möglich zu schützen. Es ist nicht für eine präzise Begrenzung der Anforderungsrate vorgesehen. 
+ AWS WAF schätzt die aktuelle Anforderungsrate mithilfe eines Algorithmus, der neueren Anfragen mehr Bedeutung beimisst. Aus diesem Grund AWS WAF wird eine Ratenbegrenzung in der Nähe des von Ihnen festgelegten Limits angewendet, es wird jedoch nicht garantiert, dass das Limit exakt eingehalten wird. 
+ Jedes Mal, wenn die Rate der Anfragen AWS WAF geschätzt wird, AWS WAF wird die Anzahl der Anfragen berücksichtigt, die während des konfigurierten Testfensters eingegangen sind. Aufgrund dieser und anderer Faktoren, wie etwa Verzögerungen bei der Übertragung, ist es möglich, dass Anfragen mehrere Minuten lang mit einer zu hohen Rate eingehen, bevor sie AWS WAF erkannt und durch die Rate begrenzt werden. In ähnlicher Weise kann die Anforderungsrate für einen bestimmten Zeitraum unter dem Grenzwert liegen, bevor der Rückgang AWS WAF erkannt und die Maßnahme zur Ratenbegrenzung eingestellt wird. In der Regel liegt diese Verzögerung unter 30 Sekunden.
+ Wenn Sie eine der Einstellungen für die Ratenbegrenzung in einer Regel ändern, die gerade verwendet wird, werden die Werte für die Ratenbegrenzung der Regel durch die Änderung zurückgesetzt. Dadurch können die Aktivitäten zur Ratenbegrenzung der Regel für bis zu einer Minute unterbrochen werden. Bei den Einstellungen für die Ratenbegrenzung handelt es sich um das Bewertungsfenster, das Ratenlimit, die Einstellungen für die Anforderungsaggregation, die Konfiguration der weitergeleiteten IP und den Inspektionsumfang. 

# Aggregieren von ratenbasierten Regeln in AWS WAF
<a name="waf-rule-statement-type-rate-based-aggregation-options"></a>

In diesem Abschnitt werden Ihre Optionen für die Aggregation von Anfragen erläutert.

Standardmäßig aggregiert und begrenzt eine ratenbasierte Regel Anfragen auf der Grundlage der IP-Adresse der Anfrage. Sie können die Regel so konfigurieren, dass sie verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Sie können beispielsweise auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP-Methode oder eines Abfragearguments aggregieren. Sie können auch Aggregationsschlüsselkombinationen wie IP-Adresse und HTTP-Methode oder die Werte von zwei verschiedenen Cookies angeben. 

**Anmerkung**  
Alle Anforderungskomponenten, die Sie im Aggregationsschlüssel angeben, müssen in einer Webanforderung vorhanden sein, damit die Anforderung ausgewertet oder die Rate durch die Regel begrenzt wird. 

Sie können Ihre ratenbasierte Regel mit den folgenden Aggregationsoptionen konfigurieren. 
+ **Quell-IP-Adresse** — Aggregieren Sie, indem Sie nur die IP-Adresse verwenden, aus der die Webanfrage stammt. 

  Die Quell-IP-Adresse enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys. 
+ **IP-Adresse im Header** — Aggregiert, wobei nur eine Clientadresse in einem HTTP-Header verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet. 

  Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate. Bei Übereinstimmung gruppiert die ratenbasierte Regel die Anfrage zusammen mit anderen Anfragen, deren IP-Adresse im angegebenen Header falsch formatiert ist. 

  Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet werden können und sie auch geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ **ASN** — Aggregieren Sie mithilfe einer Autonomen Systemnummer (ASN), die der Quell-IP-Adresse zugeordnet ist, als Aggregatschlüssel. Dies ist möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanforderung einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys. 

  Wenn aus der IP-Adresse keine ASN abgeleitet werden AWS WAF kann, wird die ASN als ASN 0 gezählt. Wenn Sie keine Ratenbegrenzung auf unmapped anwenden möchten, können Sie eine Scopedown-Regel erstellen ASNs, die Anfragen mit ASN 0 ausschließt.
+ **ASN im Header** — Aggregieren Sie mithilfe einer ASN, die einer Client-IP-Adresse in einem HTTP-Header zugeordnet ist. Dies wird auch als weitergeleitete IP-Adresse bezeichnet. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer ungültigen oder falsch formatierten IP-Adresse angewendet werden soll. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Wenn Sie das Fallback-Verhalten in der Konfiguration für die weitergeleitete IP-Adresse entsprechend festlegen, wird die ungültige IP-Adresse als übereinstimmender Wert AWS WAF behandelt. Auf diese Weise können AWS WAF Sie die Auswertung aller verbleibenden Teile des zusammengesetzten Schlüssels Ihrer ratenbasierten Regel fortsetzen. Wenn keine Übereinstimmung vorliegt, zählt die ratenbasierte Regel die Anfrage nicht und begrenzt sie auch nicht auf die Rate. 

  Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent verarbeitet und geändert werden können, um die Überprüfung zu umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ **Alle zählen** — Zählt und begrenzt die Rate aller Anfragen, die dem Geltungsbereich der Regel entsprechen. Für diese Option ist eine Scope-down-Aussage erforderlich. Diese Option wird in der Regel verwendet, um die Rate einer bestimmten Gruppe von Anfragen zu begrenzen, z. B. für alle Anfragen mit einer bestimmten Bezeichnung oder für alle Anfragen aus einem bestimmten geografischen Gebiet. 
+ **Benutzerdefinierte Schlüssel** — Aggregieren Sie mithilfe eines oder mehrerer benutzerdefinierter Aggregationsschlüssel. Um eine der IP-Adressoptionen mit anderen Aggregationsschlüsseln zu kombinieren, definieren Sie sie hier unter benutzerdefinierte Schlüssel. 

  Benutzerdefinierte Aggregationsschlüssel sind eine Teilmenge der unter beschriebenen Optionen für Webanforderungskomponenten. [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md)

  Die wichtigsten Optionen sind die folgenden. Sofern nicht anders angegeben, können Sie eine Option mehrfach verwenden, z. B. zwei Header oder drei Label-Namespaces.
  + **Label-Namespace** — Verwenden Sie einen Label-Namespace als Aggregationsschlüssel. Jeder eindeutige vollqualifizierte Labelname, der den angegebenen Label-Namespace hat, trägt zur Aggregationsinstanz bei. Wenn Sie nur einen Label-Namespace als Ihren benutzerdefinierten Schlüssel verwenden, definiert jeder Labelname eine Aggregationsinstanz vollständig.

    Die ratenbasierte Regel verwendet nur Labels, die der Anforderung durch Regeln hinzugefügt wurden, die zuvor im Protection Pack (Web-ACL) bewertet wurden.

    Informationen zu Label-Namespaces und Namen finden Sie unter. [Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md)
  + **Header** — Verwenden Sie einen benannten Header als Aggregationsschlüssel. Jeder eindeutige Wert im Header trägt zur Aggregationsinstanz bei. 

    Der Header benötigt eine optionale Texttransformation. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md). 
  + **Cookie** — Verwenden Sie ein benanntes Cookie als Aggregationsschlüssel. Jeder eindeutige Wert im Cookie trägt zur Aggregationsinstanz bei. 

    Das Cookie benötigt eine optionale Texttransformation. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md). 
  + **Abfrageargument** — Verwenden Sie ein einzelnes Abfrageargument in der Anfrage als Aggregatschlüssel. Jeder eindeutige Wert für das benannte Abfrageargument trägt zur Aggregationsinstanz bei. 

    Für das Abfrageargument ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md). 
  + **Abfragezeichenfolge** — Verwenden Sie die gesamte Abfragezeichenfolge in der Anfrage als Aggregatschlüssel. Jede einzelne Abfragezeichenfolge trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden. 

    Für die Abfragezeichenfolge ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md). 
  + **URI-Pfad** — Verwenden Sie den URI-Pfad in der Anfrage als Aggregatschlüssel. Jeder eindeutige URI-Pfad trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden. 

    Für den URI-Pfad ist eine optionale Texttransformation erforderlich. Siehe [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md). 
  + **JA3 Fingerabdruck** — Verwenden Sie den JA3 Fingerabdruck in der Anfrage als aggregierten Schlüssel. Jeder eindeutige JA3 Fingerabdruck trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden. 
  + **JA4 Fingerabdruck** — Verwenden Sie den JA4 Fingerabdruck in der Anfrage als aggregierten Schlüssel. Jeder eindeutige JA4 Fingerabdruck trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden. 
  + **HTTP-Methode** — Verwenden Sie die HTTP-Methode der Anfrage als Aggregatschlüssel. Jede einzelne HTTP-Methode trägt zur Aggregationsinstanz bei. Sie können diesen Schlüsseltyp einmal verwenden. 
  + **IP-Adresse** — Aggregiert mithilfe der IP-Adresse aus dem Ursprung der Webanfrage in Kombination mit anderen Schlüsseln.

    Dies enthält möglicherweise nicht die Adresse des ursprünglichen Clients. Wenn eine Webanfrage einen oder mehrere Proxys oder Load Balancer durchläuft, enthält diese die Adresse des letzten Proxys. 
  + **IP-Adresse im Header** — Aggregiert, indem die Client-Adresse in einem HTTP-Header in Kombination mit anderen Schlüsseln verwendet wird. Dies wird auch als weitergeleitete IP-Adresse bezeichnet. 

    Gehen Sie bei dieser Option vorsichtig vor, da Header von Proxys inkonsistent behandelt werden können und sie so geändert werden können, dass sie die Überprüfung umgehen. Weitere Informationen und bewährte Methoden finden Sie unter. [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)

# Instanzen und Zählungen für die ratenbasierte Regelaggregation
<a name="waf-rule-statement-type-rate-based-aggregation-instances"></a>

In diesem Abschnitt wird erklärt, wie eine ratenbasierte Regel Webanfragen auswertet.

*Wenn eine ratenbasierte Regel Webanfragen anhand Ihrer Aggregationskriterien bewertet, definiert jeder eindeutige Satz von Werten, den die Regel für die angegebenen Aggregationsschlüssel findet, eine eindeutige Aggregationsinstanz.* 
+ **Mehrere Schlüssel** — Wenn Sie mehrere benutzerdefinierte Schlüssel definiert haben, trägt der Wert für jeden Schlüssel zur Definition der Aggregationsinstanz bei. Jede eindeutige Kombination von Werten definiert eine Aggregationsinstanz. 
+ **Einzelner Schlüssel** — Wenn Sie einen einzelnen Schlüssel ausgewählt haben, entweder in den benutzerdefinierten Schlüsseln oder indem Sie eine der Singleton-IP-Adressen ausgewählt haben, definiert jeder eindeutige Wert für den Schlüssel eine Aggregationsinstanz. 
+ **Alle zählen — keine Schlüssel** — Wenn Sie die Aggregationsoption **Alle zählen ausgewählt haben, gehören alle** Anfragen, die die Regel auswertet, zu einer einzigen Aggregationsinstanz für die Regel. Für diese Auswahl ist eine Scopedown-Aussage erforderlich.

 

Eine ratenbasierte Regel zählt Webanfragen für jede Aggregationsinstanz, die sie identifiziert, separat. 

Nehmen wir beispielsweise an, eine ratenbasierte Regel wertet Webanfragen mit den folgenden IP-Adressen und HTTP-Methodenwerten aus: 
+ IP-Adresse 10.1.1.1, HTTP-Methode POST
+ IP-Adresse 10.1.1.1, HTTP-Methode GET
+ IP-Adresse 127.0.0.0, HTTP-Methode POST
+ IP-Adresse 10.1.1.1, HTTP-Methode GET

Die Regel erstellt verschiedene Aggregationsinstanzen gemäß Ihren Aggregationskriterien. 
+ Wenn es sich bei den Aggregationskriterien nur um die IP-Adresse handelt, handelt es sich bei jeder einzelnen IP-Adresse um eine Aggregationsinstanz, und die Anfragen werden für jede Adresse AWS WAF separat gezählt. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt: 
  + IP-Adresse 10.1.1.1: Anzahl 3
  + IP-Adresse 127.0.0.0: Anzahl 1
+ Wenn das Aggregationskriterium eine HTTP-Methode ist, ist jede einzelne HTTP-Methode eine Aggregationsinstanz. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt: 
  + HTTP-Methode POST: Anzahl 2
  + HTTP-Methode GET: Anzahl 2
+ Wenn es sich bei den Aggregationskriterien um IP-Adresse und HTTP-Methode handelt, würden jede IP-Adresse und jede HTTP-Methode zur kombinierten Aggregationsinstanz beitragen. In unserem Beispiel wären die Aggregationsinstanzen und die Anzahl der Anfragen wie folgt: 
  + IP-Adresse 10.1.1.1, HTTP-Methode POST: Anzahl 1
  + IP-Adresse 10.1.1.1, HTTP-Methode GET: Anzahl 2
  + IP-Adresse 127.0.0.0, HTTP-Methode POST: Anzahl 1

# Anwendung der Ratenbegrenzung auf Anfragen in AWS WAF
<a name="waf-rule-statement-type-rate-based-request-limiting"></a>

In diesem Abschnitt wird erklärt, wie das Verhalten bei ratenbasierten Regeln funktioniert.

Die Kriterien, die zur AWS WAF Festlegung von Ratenbegrenzungsanforderungen für eine ratenbasierte Regel verwendet werden, sind dieselben Kriterien, die für die Zusammenfassung von Anfragen für die Regel AWS WAF verwendet werden. Wenn Sie eine Scopedown-Aussage für die Regel definieren, werden AWS WAF nur Anfragen aggregiert, gezählt und mit Ratenbegrenzungen versehen, die der Scope-Down-Anweisung entsprechen. 

Die Übereinstimmungskriterien, die dazu führen, dass eine ratenbasierte Regel ihre Regelaktionseinstellungen auf eine bestimmte Webanforderung anwendet, lauten wie folgt: 
+ Die Webanforderung entspricht der Scope-Down-Anweisung der Regel, sofern eine definiert ist.
+ Die Webanforderung gehört zu einer Aggregationsinstanz, deren Anzahl der Anfragen derzeit den Grenzwert der Regel überschreitet. 

**Wie AWS WAF wendet die Regelaktion an**  
Wenn eine ratenbasierte Regel eine Ratenbegrenzung auf eine Anfrage anwendet, wendet sie die Regelaktion an, und wenn Sie in Ihrer Aktionsspezifikation eine benutzerdefinierte Handhabung oder Kennzeichnung definiert haben, wendet die Regel diese an. Diese Bearbeitung von Anfragen entspricht der Art und Weise, wie eine Vergleichsregel ihre Aktionseinstellungen auf passende Webanfragen anwendet. Eine ratenbasierte Regel wendet nur Bezeichnungen an oder führt andere Aktionen auf Anfragen aus, für die sie aktiv die Rate begrenzt. 

Sie können jede beliebige Regelaktion verwenden, außer Allow Allgemeine Informationen zu Regelaktionen finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

In der folgenden Liste wird beschrieben, wie die Ratenbegrenzung für die einzelnen Aktionen funktioniert.
+ **Block**— AWS WAF blockiert die Anfrage und wendet jedes benutzerdefinierte Blockierungsverhalten an, das Sie definiert haben. 
+ **Count**— AWS WAF zählt die Anfrage, wendet alle benutzerdefinierten Header oder Labels an, die Sie definiert haben, und setzt die Prüfung der Anfrage mit dem Protection Pack (Web ACL) fort. 

  Durch diese Aktion wird die Anzahl der Anfragen nicht begrenzt. Es werden nur die Anfragen gezählt, die das Limit überschreiten.
+ **CAPTCHAoder Challenge** — AWS WAF behandelt die Anfrage entweder wie eine Block oder wie eineCount, abhängig vom Status des Tokens der Anfrage. 

  Diese Aktion begrenzt nicht die Anzahl der Anfragen, die gültige Token haben. Sie begrenzt die Anzahl der Anfragen, die das Limit überschreiten und denen auch gültige Token fehlen.
  + Wenn die Anfrage kein gültiges, noch nicht abgelaufenes Token hat, blockiert die Aktion die Anfrage und sendet das CAPTCHA-Puzzle oder die Browser-Challenge zurück an den Client. 

    Wenn der Endbenutzer oder der Client-Browser erfolgreich reagiert, erhält der Client ein gültiges Token und sendet die ursprüngliche Anfrage automatisch erneut. Wenn die Ratenbegrenzung für die Aggregationsinstanz weiterhin gültig ist, wird auf diese neue Anfrage mit dem gültigen, nicht abgelaufenen Token die Aktion angewendet, wie im nächsten Aufzählungspunkt beschrieben.
  + Wenn die Anfrage über ein gültiges, noch nicht abgelaufenes Token verfügt, überprüft die Challenge Aktion CAPTCHA oder das Token und führt keine Aktion für die Anfrage aus, ähnlich wie bei der Aktion. Count Die ratenbasierte Regel gibt die Auswertung der Anfrage zurück an das Protection Pack (Web-ACL), ohne eine abschließende Aktion zu ergreifen, und das Protection Pack (Web ACL) setzt die Auswertung der Anfrage fort.

  Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

**Wenn Sie nur die IP-Adresse oder die weitergeleitete IP-Adresse einschränken**  
Wenn Sie die Regel so konfigurieren, dass nur die IP-Adresse für weitergeleitete IP-Adressen begrenzt wird, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. Wenn Sie eine Scope-Down-Anweisung verwenden, sind nur die Anfragen in der IP-Liste, die der Scope-Down-Anweisung entsprechen, die ratenlimitiert sind. Hinweise zum Abrufen der IP-Adressliste finden Sie unter. [Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird](listing-managed-ips.md)

# Beispiele für ratenbasierte Regeln in AWS WAF
<a name="waf-rule-statement-type-rate-based-examples"></a>

In diesem Abschnitt werden Beispielkonfigurationen für eine Vielzahl gängiger Anwendungsfälle für ratenbasierte Regeln beschrieben. 

Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an. 

**Anmerkung**  
Die in diesen Beispielen gezeigten JSON-Auflistungen wurden in der Konsole erstellt, indem die Regel konfiguriert und dann mit dem **Rule JSON editor** (JSON-Regel-Editor) bearbeitet wurde. 

**Topics**
+ [Ratenbegrenzung der Anfragen auf eine Anmeldeseite](waf-rate-based-example-limit-login-page.md)
+ [Ratenbegrenzung der Anfragen an eine Anmeldeseite von einer beliebigen IP-Adresse oder einem beliebigen User-Agent-Paar](waf-rate-based-example-limit-login-page-keys.md)
+ [Ratenbegrenzung der Anfragen, denen ein bestimmter Header fehlt](waf-rate-based-example-limit-missing-header.md)
+ [Ratenbegrenzung der Anfragen mit bestimmten Labels](waf-rate-based-example-limit-labels.md)
+ [Ratenbegrenzung der Anfragen für Labels, die einen bestimmten Label-Namespace haben](waf-rate-based-example-limit-label-aggregation.md)
+ [Ratenbegrenzung der Anfragen mit bestimmten ASNs](waf-rate-based-example-limit-asn.md)

# Ratenbegrenzung der Anfragen auf eine Anmeldeseite
<a name="waf-rate-based-example-limit-login-page"></a>

**Um die Anzahl der Anfragen an die Anmeldeseite auf Ihrer Website zu begrenzen, ohne die Zugriffe auf den Rest Ihrer Website zu beeinträchtigen, könnten Sie eine ratenbasierte Regel mit einer Scopedown-Aussage erstellen, die Anfragen an Ihre Anmeldeseite abgleicht, und bei der die Anforderungsaggregation auf Alle zählen gesetzt ist.** 

Die ratenbasierte Regel zählt alle Anfragen für die Anmeldeseite in einer einzigen Aggregationsinstanz und wendet die Regelaktion auf alle Anfragen an, die der Scope-Down-Anweisung entsprechen, wenn die Anfragen das Limit überschreiten.

Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration. Die Aggregationsoption „Alle zählen“ ist in der JSON-Datei als Einstellung `CONSTANT` aufgeführt. Dieses Beispiel entspricht Anmeldeseiten, die mit `/login` beginnen. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CONSTANT",
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Ratenbegrenzung der Anfragen an eine Anmeldeseite von einer beliebigen IP-Adresse oder einem beliebigen User-Agent-Paar
<a name="waf-rate-based-example-limit-login-page-keys"></a>

Um die Anzahl der Anfragen an die Anmeldeseite auf Ihrer Website für IP-Adressen und Benutzeragentenpaare, die Ihr Limit überschreiten, zu begrenzen, setzen Sie die Anforderungsaggregation auf **Benutzerdefinierte Schlüssel** und geben Sie die Aggregationskriterien an. 

Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration. In diesem Beispiel haben wir das Limit auf 100 Anfragen in einem beliebigen Zeitraum von fünf Minuten pro IP-Adresse und Benutzeragent-Paar festgelegt. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CUSTOM_KEYS",
      "CustomKeys": [
        {
          "Header": {
            "Name": "User-Agent",
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        },
        {
          "IP": {}
        }
      ],
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Ratenbegrenzung der Anfragen, denen ein bestimmter Header fehlt
<a name="waf-rate-based-example-limit-missing-header"></a>

Um die Anzahl der Anfragen zu begrenzen, denen ein bestimmter Header fehlt, können Sie die Aggregationsoption **Count all** mit einer Scope-Down-Anweisung verwenden. Konfigurieren Sie die Scope-Down-Anweisung mit einer logischen Anweisung, die eine `NOT` Anweisung enthält, die nur dann true zurückgibt, wenn der Header existiert und einen Wert hat. 

Die folgende JSON-Liste zeigt ein Beispiel für diese Regelkonfiguration. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "AggregateKeyType": "CONSTANT",
      "EvaluationWindowSec": 300,
      "ScopeDownStatement": {
        "NotStatement": {
          "Statement": {
            "SizeConstraintStatement": {
              "FieldToMatch": {
                "SingleHeader": {
                  "Name": "user-agent"
                }
              },
              "ComparisonOperator": "GT",
              "Size": 0,
              "TextTransformations": [
                {
                  "Type": "NONE",
                  "Priority": 0
                }
              ]
            }
          }
        }
      }
    }
  }
}
```

# Ratenbegrenzung der Anfragen mit bestimmten Labels
<a name="waf-rate-based-example-limit-labels"></a>

Um die Anzahl der Anfragen verschiedener Kategorien zu begrenzen, können Sie die Ratenbegrenzung mit jeder Regel oder Regelgruppe kombinieren, die Anfragen Labels hinzufügt. Zu diesem Zweck konfigurieren Sie Ihr Schutzpaket (Web-ACL) wie folgt: 
+ Fügen Sie die Regeln oder Regelgruppen hinzu, die Labels hinzufügen, und konfigurieren Sie sie so, dass sie die Anfragen, für die Sie eine Ratenbegrenzung festlegen möchten, nicht blockieren oder zulassen. Wenn Sie verwaltete Regelgruppen verwenden, müssen Sie möglicherweise einige Regelgruppenregelaktionen überschreiben, Count um dieses Verhalten zu erreichen. 
+ Fügen Sie Ihrem Schutzpaket (Web-ACL) eine ratenbasierte Regel hinzu, deren Prioritätszahl höher ist als die der Labeling-Regeln und Regelgruppen. AWS WAF wertet Regeln in numerischer Reihenfolge aus, beginnend mit der niedrigsten Zahl, sodass Ihre ratenbasierte Regel nach den Kennzeichnungsregeln ausgeführt wird. Konfigurieren Sie Ihre Ratenbegrenzung für die Labels mithilfe einer Kombination aus dem Label-Abgleich in der Scopedown-Anweisung der Regel und der Label-Aggregation. 

Im folgenden Beispiel wird die Regelgruppe AWS Managed Rules der Amazon IP-Reputationsliste verwendet. Die Regelgruppenregel `AWSManagedIPDDoSList` erkennt und kennzeichnet Anfragen, von IPs denen bekannt ist, dass sie aktiv an DDo S-Aktivitäten beteiligt sind. Die Aktion der Regel ist Count in der Regelgruppendefinition so konfiguriert. Weitere Informationen zur Regelgruppe finden Sie unter[Amazon IP-Reputationsliste](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).

Die folgende JSON-Liste des Protection Packs (Web ACL) verwendet die IP-Reputationsregelgruppe, gefolgt von einer Regel, die auf der Rate des Labelabgleichs basiert. Die ratenbasierte Regel verwendet eine Scopedown-Anweisung, um nach Anfragen zu filtern, die durch die Regelgruppenregel gekennzeichnet wurden. Die ratenbasierte Regelanweisung aggregiert die gefilterten Anfragen anhand ihrer IP-Adressen und begrenzt die Rate. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Ratenbegrenzung der Anfragen für Labels, die einen bestimmten Label-Namespace haben
<a name="waf-rate-based-example-limit-label-aggregation"></a>

**Anmerkung**  
Die allgemeinen Regeln in der verwalteten Regelgruppe Bot Control fügen Labels für Bots verschiedener Kategorien hinzu, blockieren aber nur Anfragen von nicht verifizierten Bots. Informationen zu diesen Regeln finden Sie unter[Liste der Bot-Control-Regeln](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

Wenn Sie die verwaltete Regelgruppe Bot Control verwenden, können Sie eine Ratenbegrenzung für Anfragen von einzelnen verifizierten Bots hinzufügen. Dazu fügst du eine ratenbasierte Regel hinzu, die nach der Bot Control-Regelgruppe ausgeführt wird und Anfragen nach ihren Bot-Namensbezeichnungen zusammenfasst. Sie geben den Aggregationsschlüssel des **Label-Namespaces an und setzen den Namespace-Schlüssel** auf. `awswaf:managed:aws:bot-control:bot:name:` Jedes eindeutige Label mit dem angegebenen Namespace definiert eine Aggregationsinstanz. Zum Beispiel definieren die Labels `awswaf:managed:aws:bot-control:bot:name:axios` und `awswaf:managed:aws:bot-control:bot:name:curl` jedes Label eine Aggregationsinstanz.

Die folgende JSON-Liste des Protection Packs (Web-ACL) zeigt diese Konfiguration. Die Regel in diesem Beispiel begrenzt Anfragen für eine einzelne Bot-Aggregationsinstanz auf 1.000 innerhalb von zwei Minuten. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesBotControlRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesBotControlRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesBotControlRuleSet": {
                "InspectionLevel": "COMMON"
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 1000,
          "EvaluationWindowSec": 120,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "LabelNamespace": {
                "Namespace": "awswaf:managed:aws:bot-control:bot:name:"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 82,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Ratenbegrenzung der Anfragen mit bestimmten ASNs
<a name="waf-rate-based-example-limit-asn"></a>

Um die Anzahl der Anfragen von bestimmten Autonomen Systemnummern (ASNs) auf der Grundlage der IP-Adresse der Anfragen zu begrenzen, legen Sie die Anforderungsaggregation auf *Benutzerdefinierte Schlüssel* fest und geben Sie die Aggregationskriterien an.

Die folgende JSON-Datei zeigt ein Beispiel für eine Regel, die aus ASNs weitergeleiteten IP-Adressen im Header abgeleitet wird. `X-Forwarded-For` Wenn eine ASN nicht abgeleitet werden AWS WAF kann, weil die IP-Adresse falsch formatiert ist, ist das Fallback-Verhalten auf eingestellt. `MATCH`

```
{
    "Name": "test-rbr",
    "Priority": 0,
    "Statement": {
        "RateBasedStatement": {
            "AggregateKeyType": "CUSTOM_KEYS",
            "CustomKeys": [
                {
                    "ASN": {}
                },
                {
                    "ForwardedIP": {}
                }
            ],
            "EvaluationWindowSec": 300,
            "ForwardedIPConfig": {
                "FallbackBehavior": "MATCH",
                "HeaderName": "X-Forwarded-For"
            },
            "Limit": 2000
        }
    },
    "VisibilityConfig": {
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr",
        "SampledRequestsEnabled": true
    }
}
```

# Auflisten von IP-Adressen, deren Rate durch ratenbasierte Regeln begrenzt wird
<a name="listing-managed-ips"></a>

In diesem Abschnitt wird erklärt, wie Sie mithilfe der CLI, der API oder einer der folgenden Optionen auf die Liste der IP-Adressen zugreifen, die derzeit durch eine ratenbasierte Regel ratenbegrenzt sind. SDKs 

Wenn Ihre ratenbasierte Regel nur anhand der IP-Adresse oder der weitergeleiteten IP-Adresse aggregiert wird, können Sie die Liste der IP-Adressen abrufen, für die die Regel derzeit eine Ratenbegrenzung vorsieht. AWS WAF speichert diese IP-Adressen in der Liste der verwalteten Schlüssel der Regel. 

**Anmerkung**  
Diese Option ist nur verfügbar, wenn Sie nur die IP-Adresse oder nur eine IP-Adresse in einem Header aggregieren. Wenn Sie die Anforderungsaggregation für benutzerdefinierte Schlüssel verwenden, können Sie keine Liste mit IP-Adressen mit begrenzter Geschwindigkeit abrufen, selbst wenn Sie eine der IP-Adressspezifikationen in Ihren benutzerdefinierten Schlüsseln verwenden.

Eine ratenbasierte Regel wendet ihre Regelaktion auf Anfragen aus der Liste der verwalteten Schlüssel der Regel an, die der Scopedown-Anweisung der Regel entsprechen. Wenn eine Regel keine Scopedown-Anweisung enthält, wendet sie die Aktion auf alle Anfragen von den IP-Adressen an, die in der Liste aufgeführt sind. Die Regelaktion ist Block standardmäßig, es kann sich aber auch um jede gültige Regelaktion handeln, mit Ausnahme von. Allow Die maximale Anzahl von IP-Adressen, für die AWS WAF eine Ratenbegrenzung mit einer einzigen ratenbasierten Regelinstanz möglich ist, beträgt 10.000. Wenn mehr als 10.000 Adressen das Ratenlimit überschreiten, werden die Adressen mit den höchsten Raten AWS WAF begrenzt. 

Sie können über die CLI, die API oder eine der folgenden Optionen auf die Liste der verwalteten Schlüssel einer ratenbasierten Regel zugreifen. SDKs Dieses Thema behandelt den Zugriff über die CLI und APIs. Die Konsole bietet derzeit keinen Zugriff auf die Liste. 

Für die AWS WAF API lautet der Befehl [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).

Für die AWS WAF CLI lautet der Befehl [get-rate-based-statement-managed-keys](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html). 

Im Folgenden wird die Syntax zum Abrufen der Liste der ratenbegrenzten IP-Adressen für eine ratenbasierte Regel gezeigt, die in einem Schutzpaket (Web-ACL) auf einer Amazon-Distribution verwendet wird. CloudFront 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

Im Folgenden wird die Syntax für eine regionale Anwendung, eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service oder eine AWS Verified AWS Amplify Access-Instance gezeigt. 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

AWS WAF überwacht Webanfragen und verwaltet Schlüssel unabhängig für jede einzigartige Kombination aus Schutzpaket (Web-ACL), optionaler Regelgruppe und ratenbasierter Regel. Wenn Sie beispielsweise eine ratenbasierte Regel innerhalb einer Regelgruppe definieren und die Regelgruppe dann in einem Schutzpaket (Web-ACL) verwenden, Webanfragen AWS WAF überwachen und Schlüssel für dieses Schutzpaket (Web-ACL), die Regelgruppen-Referenzerklärung und die ratenbasierte Regelinstanz verwalten. Wenn Sie dieselbe Regelgruppe in einem zweiten Schutzpaket (Web-ACL) verwenden, AWS WAF überwacht sie Webanfragen und verwaltet Schlüssel für diese zweite Verwendung völlig unabhängig von Ihrer ersten.

Für eine ratenbasierte Regel, die Sie innerhalb einer Regelgruppe definiert haben, müssen Sie in Ihrer Anfrage zusätzlich zum Namen des Schutzpakets (Web-ACL) und dem Namen der ratenbasierten Regel innerhalb der Regelgruppe den Namen der Regelgruppen-Referenzanweisung angeben. Im Folgenden wird die Syntax für eine regionale Anwendung gezeigt, bei der die ratenbasierte Regel innerhalb einer Regelgruppe definiert ist und die Regelgruppe in einem Schutzpaket (Web-ACL) verwendet wird. 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```

# Verwenden von Regelgruppenregelanweisungen in AWS WAF
<a name="waf-rule-statements-rule-group"></a>

**Anmerkung**  
Regelgruppen-Regelanweisungen sind nicht verschachtelbar. 

In diesem Abschnitt werden die Regelanweisungen für Regelgruppen beschrieben, die Sie in Ihrem Protection Pack (Web-ACL) verwenden können. Die Kapazitätseinheiten () des Regelgruppen-Schutzpakets (Web-ACLWCUs) werden vom Eigentümer der Regelgruppe bei der Erstellung festgelegt. Weitere Informationen dazu WCUs finden Sie unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md). 


| Regelgruppenanweisung | Description | WCUs | 
| --- | --- | --- | 
|  [Verwenden von verwalteten Regelgruppenanweisungen](waf-rule-statement-type-managed-rule-group.md)  |  Führt die Regeln aus, die in der angegebenen verwalteten Regelgruppe definiert sind.  Sie können den Umfang der Anfragen, die die Regelgruppe auswertet, einschränken, indem Sie eine Scopedown-Anweisung hinzufügen.  Sie können eine verwaltete Regelgruppenanweisung nicht innerhalb eines anderen Anweisungstyps verschachteln.  |  Definiert durch die Regelgruppe, zuzüglich aller zusätzlichen Regeln WCUs für eine Scope-Down-Anweisung.  | 
| [Verwenden von Regelgruppenanweisungen](waf-rule-statement-type-rule-group.md) | Führt die Regeln aus, die in einer Regelgruppe definiert sind, die Sie verwalten.  Sie können einer Regelgruppen-Referenzaussage für Ihre eigene Regelgruppe keine Scope-Down-Anweisung hinzufügen.  Sie können eine Regelgruppenanweisung nicht innerhalb eines anderen Anweisungstyps verschachteln  | Das WCU-Limit legen Sie beim Anlegen für die Regelgruppe fest. | 

# Verwendung verwalteter Regelgruppenanweisungen in AWS WAF
<a name="waf-rule-statement-type-managed-rule-group"></a>

In diesem Abschnitt wird erklärt, wie Regelanweisungen für verwaltete Regelgruppen funktionieren.

Mit der Regelanweisung für verwaltete Regelgruppen wird in der Regelliste Ihres Protection Packs (Web-ACL) ein Verweis auf eine verwaltete Regelgruppe hinzugefügt. Sie sehen diese Option nicht unter Ihren Regelanweisungen auf der Konsole, aber wenn Sie mit dem JSON-Format Ihrer Web-ACL arbeiten, werden alle verwalteten Regelgruppen, die Sie hinzugefügt haben, unter den Regeln des Protection Packs (Web-ACL) als dieser Typ angezeigt.

Eine verwaltete Regelgruppe ist entweder eine Regelgruppe mit AWS verwalteten Regeln, von denen die meisten für AWS WAF Kunden kostenlos sind, oder eine AWS Marketplace verwaltete Regelgruppe. Sie abonnieren automatisch die kostenpflichtigen Regelgruppen für AWS verwaltete Regeln, wenn Sie sie Ihrem Schutzpaket (Web-ACL) hinzufügen. Sie können AWS Marketplace verwaltete Regelgruppen über abonnieren AWS Marketplace. Weitere Informationen finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md).

Wenn Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen der Regeln in der Gruppe durch Count oder durch eine andere Regelaktion überschreiben. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md).

Sie können den Umfang der Anfragen einschränken, die anhand der Regelgruppe AWS WAF ausgewertet werden. Dazu fügen Sie eine Eingrenzungsanweisung innerhalb der Regelgruppenanweisung hinzu. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md). Das kann Ihnen helfen, zu verwalten, wie sich die Regelgruppe auf Ihren Datenverkehr auswirkt, und die mit dem Verkehrsvolumen verbundenen Kosten einzudämmen, wenn Sie die Regelgruppe verwenden. Informationen und Beispiele für die Verwendung von Scopedown-Anweisungen mit der verwalteten Regelgruppe von AWS WAF Bot Control finden Sie unter. [AWS WAF Bot-Steuerung](waf-bot-control.md)

## Eigenschaften von Regelaussagen
<a name="managed-rule-group-rule-statement-characteristics"></a>

**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen und ihn auch nicht in eine Regelgruppe aufnehmen. Sie können es direkt in ein Schutzpaket (Web-ACL) aufnehmen. 

**(Optional) Eingrenzungsanweisung** – Dieser Regeltyp benötigt eine optionale Eingrenzungsanweisung, um einzuschränken, welche Anforderungen die Regelgruppe auswertet. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

**WCUs**— Wird bei der Erstellung für die Regelgruppe festgelegt.

## Wo finde ich diese Regelaussage
<a name="managed-rule-group-rule-statement-where-to-find"></a>
+ **Konsole** — Wählen **Sie während der Erstellung eines Schutzpakets (Web-ACL) auf der Seite Regeln und Regelgruppen** hinzufügen die Option **Verwaltete Regelgruppen hinzufügen** und suchen und wählen Sie dann die Regelgruppe aus, die Sie verwenden möchten.
+ **API** – [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)

# Verwenden von Regelgruppenanweisungen in AWS WAF
<a name="waf-rule-statement-type-rule-group"></a>

In diesem Abschnitt wird erklärt, wie Regelgruppenregelanweisungen funktionieren.

Die Regelgruppen-Regelanweisung fügt einer Regelgruppe, die Sie verwalten, einen Verweis auf die Regelliste Ihres Protection Packs (Web-ACL) hinzu. Sie sehen diese Option nicht unter Ihren Regelanweisungen auf der Konsole, aber wenn Sie mit dem JSON-Format Ihres Schutzpakets (Web-ACL) arbeiten, werden alle von Ihnen hinzugefügten Regelgruppen unter den Regeln des Schutzpakets (Web-ACL) als dieser Typ angezeigt. Informationen zur Verwendung eigener Regelgruppen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md).

Wenn Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen der Regeln in der Gruppe durch Count oder durch eine andere Regelaktion überschreiben. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md).

## Merkmale der Regelanweisung
<a name="rule-group-rule-statement-characteristics"></a>

**Keine Verschachtelung** – Sie können diesen Anweisungstyp nicht in andere Anweisungen einfügen und ihn auch nicht in eine Regelgruppe aufnehmen. Sie können es direkt in ein Schutzpaket (Web-ACL) aufnehmen. 

**WCUs**— Wird bei der Erstellung für die Regelgruppe festgelegt.

## Wo finde ich diese Regelaussage
<a name="rule-group-rule-statement-where-to-find"></a>
+ **Konsole** — Wählen **Sie beim Erstellen eines Schutzpakets (Web-ACL) auf der Seite Regeln und Regelgruppen** **hinzufügen die Optionen Eigene Regeln und Regelgruppen** hinzufügen, **Regelgruppe** aus und fügen Sie dann die Regelgruppe hinzu, die Sie verwenden möchten.
+ **API** – [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)

# AWS WAF Regelgruppen
<a name="waf-rule-groups"></a>

In diesem Abschnitt wird erklärt, was eine Regelgruppe ist und wie sie funktioniert.

Eine Regelgruppe ist ein wiederverwendbarer Regelsatz, den Sie einem Schutzpaket (Web-ACL) hinzufügen können. Weitere Informationen zu Protection Packs (Web ACLs) finden Sie unter[Schutz konfigurieren in AWS WAF](web-acl.md).

Regelgruppen lassen sich in die folgenden Hauptkategorien einteilen: 
+ Ihre eigenen Regelgruppen, die Sie erstellen und verwalten. 
+ Verwaltete Regelgruppen, die von AWS Managed Rules-Teams für Sie erstellt und verwaltet werden. 
+ Verwaltete Regelgruppen, die AWS Marketplace Verkäufer für Sie erstellen und verwalten. 
+ Regelgruppen, die anderen Diensten wie Shield Advanced gehören AWS Firewall Manager und von diesen verwaltet werden.

**Unterschiede zwischen Regelgruppen und Schutzpaketen (Web ACLs)**  
Regelgruppen und Schutzpakete (Web ACLs) enthalten beide Regeln, die an beiden Stellen auf dieselbe Weise definiert sind. Regelgruppen unterscheiden sich in folgenden Punkten von Schutzpaketen (Web ACLs): 
+ Regelgruppen können keine Referenzanweisungen für Regelgruppen enthalten. 
+ Sie können eine einzelne Regelgruppe in mehreren Schutzpaketen (Web ACLs) wiederverwenden, indem Sie jedem Schutzpaket (Web-ACL) eine Regelgruppen-Referenzanweisung hinzufügen. Sie können ein Schutzpaket (Web-ACL) nicht wiederverwenden.
+ Regelgruppen haben keine Standardaktionen. In einem Schutzpaket (Web-ACL) legen Sie für jede Regel oder Regelgruppe, die Sie einbeziehen, eine Standardaktion fest. Für jede einzelne Regel innerhalb einer Regelgruppe oder eines Schutzpakets (Web-ACL) ist eine Aktion definiert. 
+ Sie verknüpfen eine Regelgruppe nicht direkt mit einer AWS Ressource. Um Ressourcen mithilfe einer Regelgruppe zu schützen, verwenden Sie die Regelgruppe in einem Schutzpaket (Web-ACL). 
+ Das System definiert für jedes Schutzpaket (Web-ACL) eine maximale Kapazität von 5.000 Kapazitätseinheiten (WCUs) für das Protection Pack (Web ACL). Jede Regelgruppe hat eine WCU-Einstellung, die beim Erstellen festgelegt werden muss. Sie können diese Einstellung verwenden, um die zusätzlichen Kapazitätsanforderungen zu berechnen, die die Verwendung einer Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen würde. Weitere Informationen zu finden WCUs Sie unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).

Informationen zu Regeln finden Sie unter [AWS WAF Regeln](waf-rules.md).

In diesem Abschnitt finden Sie Anleitungen zur Erstellung und Verwaltung eigener Regelgruppen. Außerdem erfahren Sie mehr über die verwalteten Regelgruppen, die Ihnen zur Verfügung stehen, und darüber, wie Sie diese nutzen. 

**Topics**
+ [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md)
+ [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md)
+ [AWS Marketplace Regelgruppen](marketplace-rule-groups.md)
+ [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md)

# Verwenden verwalteter Regelgruppen in AWS WAF
<a name="waf-managed-rule-groups"></a>

In diesem Abschnitt wird erklärt, was verwaltete Regelgruppen sind und wie sie funktionieren.

Verwaltete Regelgruppen sind Sammlungen vordefinierter ready-to-use Regeln, die AWS AWS Marketplace Verkäufer für Sie erstellen und verwalten. AWS WAF Die Grundpreise gelten für Ihre Nutzung jeder verwalteten Regelgruppe. AWS WAF Preisinformationen finden Sie unter [AWS WAF Preisgestaltung](https://aws.amazon.com/waf/pricing/).
+ *Die Regelgruppen mit AWS verwalteten Regeln für AWS WAF Bot-Kontrolle, AWS WAF Verhinderung von Kontoübernahmen (ATP) und AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP)* sind gegen zusätzliche Gebühren erhältlich, die über die AWS WAF Grundgebühren hinausgehen. Details zu den Preisen finden Sie unter [AWS WAF -Preise](https://aws.amazon.com/waf/pricing/). 
+ *Alle anderen Regelgruppen für AWS verwaltete Regeln* stehen AWS WAF Kunden ohne zusätzliche Kosten zur Verfügung. 
+ *AWS Marketplace Regelgruppen* sind als Abonnement über erhältlich AWS Marketplace. Jede dieser Regelgruppen gehört dem AWS Marketplace Verkäufer und wird von diesem verwaltet. Für Preisinformationen zur Verwendung einer AWS Marketplace Regelgruppe wenden Sie sich an den AWS Marketplace Verkäufer. 

Einige verwaltete Regelgruppen wurden entwickelt, um bestimmte Arten von Webanwendungen wie WordPress Joomla oder PHP zu schützen. Andere bieten einen umfassenden Schutz vor bekannten Bedrohungen oder häufigen Schwachstellen von Webanwendungen, beispielsweise einige derjenigen, die in den [OWASP Top 10](https://owasp.org/www-project-top-ten/) aufgeführt sind. Wenn Sie Vorschriften wie PCI oder HIPAA unterliegen, können Sie möglicherweise verwaltete Regelgruppen verwenden, um die entsprechenden Anforderungen an die Firewall für Webanwendungen zu erfüllen.

**Automatische Updates**  
Sich über die sich ständig ändernde Bedrohungslandschaft auf dem Laufenden zu halten, kann zeitaufwändig und teuer sein. Mit verwalteten Regelgruppen können Sie Zeit bei der Implementierung und Verwendung AWS WAF sparen. Viele AWS AWS Marketplace Anbieter aktualisieren verwaltete Regelgruppen automatisch und stellen neue Versionen von Regelgruppen bereit, wenn neue Sicherheitslücken und Bedrohungen auftauchen. 

In einigen Fällen AWS wird das Unternehmen bereits vor der Veröffentlichung über neue Sicherheitslücken informiert, was auf seine Teilnahme an einer Reihe von privaten Informationsgemeinschaften zurückzuführen ist. In diesen Fällen AWS kann die Regelgruppen für AWS verwaltete Regeln aktualisiert und für Sie bereitgestellt werden, noch bevor eine neue Bedrohung allgemein bekannt wird. 

**Eingeschränkter Zugriff auf die Regeln in einer verwalteten Regelgruppe**  
Jede verwaltete Regelgruppe bietet eine umfassende Beschreibung der Arten von Angriffen und Schwachstellen, vor denen sie schützen soll. Um das geistige Eigentum der Regelgruppenanbieter zu schützen, können Sie nicht alle Details der einzelnen Regeln innerhalb einer Regelgruppe einsehen. Diese Einschränkung hilft auch, böswillige Benutzer daran zu hindern, Bedrohungen zu entwerfen, die speziell veröffentlichte Regeln umgehen.

**Topics**
+ [Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md)
+ [Arbeiten mit verwalteten Regelgruppen](waf-using-managed-rule-groups.md)
+ [AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md)

# Verwenden von versionierten verwalteten Regelgruppen in AWS WAF
<a name="waf-managed-rule-groups-versioning"></a>

In diesem Abschnitt wird erklärt, wie die Versionsverwaltung für verwaltete Regelgruppen gehandhabt wird.

Viele Anbieter verwalteter Regelgruppen verwenden die Versionierung, um die Optionen und Funktionen einer Regelgruppe zu aktualisieren. Normalerweise ist eine bestimmte Version einer verwalteten Regelgruppe unverändert. Gelegentlich muss ein Anbieter möglicherweise einige oder alle statischen Versionen einer verwalteten Regelgruppe aktualisieren, um beispielsweise auf eine neue Sicherheitsbedrohung zu reagieren. 

Wenn Sie in Ihrem Schutzpaket (Web-ACL) eine versionierte verwaltete Regelgruppe verwenden, können Sie die Standardversion auswählen und den Anbieter verwalten lassen, welche statische Version Sie verwenden, oder Sie können eine bestimmte statische Version auswählen. 

**Sie können die gewünschte Version nicht finden?**  
Wenn Sie in der Versionsliste einer Regelgruppe keine Version sehen, ist die Version wahrscheinlich abgelaufen oder sie ist bereits abgelaufen. Wenn für eine Version ein Ablaufdatum geplant ist, können Sie sie nicht AWS WAF mehr für die Regelgruppe auswählen. 

**SNS-Benachrichtigungen für Regelgruppen mit AWS verwalteten Regeln**  
Alle Regelgruppen mit AWS verwalteten Regeln bieten Versionsverwaltungs- und SNS-Aktualisierungsbenachrichtigungen, mit Ausnahme der IP-Reputationsregelgruppen. Die Regelgruppen für AWS verwaltete Regeln, die Benachrichtigungen bereitstellen, verwenden alle dasselbe SNS-Thema Amazon Resource Name (ARN). Informationen zur Registrierung für SNS-Benachrichtigungen finden Sie unter. [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md)

**Topics**
+ [Versionslebenszyklus für verwaltete Regelgruppen](waf-managed-rule-groups-versioning-lifecycle.md)
+ [Ablauf der Version für verwaltete Regelgruppen](waf-managed-rule-groups-versioning-expiration.md)
+ [Bewährte Methoden für den Umgang mit Versionen von verwalteten Regelgruppen](waf-managed-rule-groups-best-practice.md)

# Versionslebenszyklus für verwaltete Regelgruppen
<a name="waf-managed-rule-groups-versioning-lifecycle"></a>

Anbieter behandeln die folgenden Lebenszyklusphasen einer statischen Version einer verwalteten Regelgruppe: 
+ **Veröffentlichung und Updates** — Ein Anbieter verwalteter Regelgruppen kündigt kommende und neue statische Versionen seiner verwalteten Regelgruppen durch Benachrichtigungen zu einem Amazon Simple Notification Service (Amazon SNS) -Thema an. Anbieter können das Thema auch verwenden, um andere wichtige Informationen über ihre Regelgruppen zu kommunizieren, etwa dringend erforderliche Aktualisierungen. 

  Sie können das Thema der Regelgruppe abonnieren und festlegen, wie Sie Benachrichtigungen erhalten möchten. Weitere Informationen finden Sie unter [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md).
+ **Ablaufplanung** – Ein Anbieter von verwalteten Regelgruppen plant, wann ältere Versionen einer Regelgruppe ablaufen. Eine Version, deren Ablauf geplant ist, kann nicht zu den Regeln Ihres Protection Packs (Web-ACL) hinzugefügt werden. Wenn für eine Version ein Ablauf geplant ist, AWS WAF verfolgt Amazon CloudWatch den Ablauf anhand einer Countdown-Metrik. 
+ **Ablauf der Version** — Wenn Sie ein Schutzpaket (Web-ACL) so konfiguriert haben, dass es eine abgelaufene Version einer verwalteten Regelgruppe verwendet, wird bei der Evaluierung des Schutzpakets (Web-ACL) die Standardversion der Regelgruppe AWS WAF verwendet. AWS WAF Blockiert außerdem alle Updates des Schutzpakets (Web-ACL), die weder die Regelgruppe entfernen noch ihre Version in eine Version ändern, die noch nicht abgelaufen ist.

Wenn Sie AWS Marketplace verwaltete Regelgruppen verwenden, fragen Sie den Anbieter nach weiteren Informationen zu den Versionslebenszyklen. 

# Ablauf der Version für verwaltete Regelgruppen
<a name="waf-managed-rule-groups-versioning-expiration"></a>

 In diesem Abschnitt wird erklärt, wie der Versionsablauf für eine versionierte verwaltete Regelgruppe funktioniert.

Wenn Sie eine bestimmte Version einer Regelgruppe verwenden, stellen Sie sicher, dass Sie eine Version nach ihrem Ablaufdatum nicht weiter verwenden. Sie können den Versionsablauf anhand der SNS-Benachrichtigungen der Regelgruppe und anhand von CloudWatch Amazon-Metriken überwachen. 

Wenn eine Version, die Sie in einem Schutzpaket (Web-ACL) verwenden, abgelaufen ist, werden alle Aktualisierungen des Schutzpakets (Web-ACL) AWS WAF blockiert, die nicht das Verschieben der Regelgruppe auf eine noch nicht abgelaufene Version beinhalten. Sie können die Regelgruppe auf eine verfügbare Version aktualisieren oder sie aus Ihrem Protection Pack (Web-ACL) entfernen. 

Wie eine verwaltete Regelgruppe bei einem Versionsablauf behandelt wird, hängt vom Anbieter der jeweiligen Regelgruppe ab. Bei Regelgruppen mit AWS verwalteten Regeln wird eine abgelaufene Version automatisch auf die Standardversion der Regelgruppe umgestellt. Fragen Sie bei AWS Marketplace Regelgruppen den Anbieter, wie er mit dem Ablauf umgeht.

Wenn der Anbieter eine neue Version der Regelgruppe erstellt, legt er auch die voraussichtliche Lebensdauer der Version fest. Es ist zwar nicht geplant, dass die Version abläuft, aber der CloudWatch Amazon-Wert ist auf die Einstellung für die prognostizierte Lebensdauer festgelegt, und in CloudWatch wird ein pauschaler Wert für die Metrik angezeigt. Nachdem der Anbieter den Ablauf der Metrik geplant hat, nimmt der Metrikwert jeden Tag ab, bis er am Tag des Ablaufs Null erreicht. Informationen zur Überwachung des Ablaufs finden Sie unter[Verfolgen des Versionsablaufs](waf-using-managed-rule-groups-expiration.md).

# Bewährte Methoden für den Umgang mit Versionen von verwalteten Regelgruppen
<a name="waf-managed-rule-groups-best-practice"></a>

Folgen Sie diesen bewährten Methoden für den Umgang mit der Versionsverwaltung, wenn Sie eine versionierte verwaltete Regelgruppe verwenden.

Wenn Sie eine verwaltete Regelgruppe in Ihrem Schutzpaket (Web-ACL) verwenden, können Sie wählen, ob Sie eine bestimmte, statische Version der Regelgruppe oder die Standardversion verwenden möchten: 
+ **Standardversion** — legt als Standardversion AWS WAF immer die statische Version fest, die derzeit vom Anbieter empfohlen wird. Wenn der Anbieter seine empfohlene statische Version aktualisiert, aktualisiert er AWS WAF automatisch die Standardversionseinstellung für die Regelgruppe in Ihrem Schutzpaket (Web-ACL). 

  Wenn Sie die Standardversion einer verwalteten Regelgruppe verwenden, führen Sie die folgenden Schritte aus (bewährte Methode): 
  + **Benachrichtigungen abonnieren** – Abonnieren Sie Benachrichtigungen für Änderungen an der Regelgruppe und behalten Sie diese im Auge. Die meisten Anbieter senden im Voraus Benachrichtigungen über neue statische Versionen und Änderungen der Standardversion. Damit können Sie die Auswirkungen einer neuen statischen Version überprüfen, AWS bevor Sie zur Standardversion wechseln. Weitere Informationen finden Sie unter [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md).
  + **Überprüfen Sie die Auswirkungen der statischen Versionseinstellungen und nehmen Sie gegebenenfalls Anpassungen vor, bevor Ihre Standardversion auf** eine neue statische Version festgelegt wird. Bevor Ihre Standardversion auf eine neue statische Version festgelegt wird, überprüfen Sie die Auswirkungen der statischen Version auf die Überwachung und Verwaltung Ihrer Webanfragen. Für die neue statische Version müssen möglicherweise neue Regeln überprüft werden. Suchen Sie nach falsch positiven Ergebnissen oder anderem unerwarteten Verhalten, falls Sie die Verwendung der Regelgruppe ändern müssen. Beispielsweise können Sie Regeln zum Zählen festlegen, damit sie nicht den Datenverkehr blockieren, während Sie bestimmen, wie Sie mit dem neuen Verhalten umgehen möchten. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
+ **Statische Version** – Wenn Sie eine unveränderliche Version verwenden möchten, müssen Sie die Versionseinstellung manuell aktualisieren, sobald Sie bereit sind, auf eine neue Version der Regelgruppe umzustellen. 

  Wenn Sie eine statische Version einer verwalteten Regelgruppe verwenden, führen Sie die folgenden Schritte aus (bewährte Methode): 
  + **Version immer auf dem neuesten Stand halten** – Achten Sie darauf, dass Sie immer eine möglichst neue Version Ihrer verwalteten Regelgruppe verwenden. Wenn eine neue Version veröffentlicht wird, testen Sie sie, passen Sie die Einstellungen nach Bedarf an und implementieren Sie sie zeitnah. Informationen zum Testen finden Sie unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
  + **Benachrichtigungen abonnieren** — Abonnieren Sie Benachrichtigungen über Änderungen an der Regelgruppe, damit Sie wissen, wann Ihr Anbieter neue statische Versionen veröffentlicht. Die meisten Anbieter benachrichtigen Sie im Voraus über Versionsänderungen. Darüber hinaus muss Ihr Anbieter möglicherweise die statische Version, die Sie verwenden, aktualisieren, um eine Sicherheitslücke zu schließen oder aus anderen dringenden Gründen. Wenn Sie die Benachrichtigungen des Anbieters abonniert haben, sind Sie immer auf dem aktuellen Stand. Weitere Informationen finden Sie unter [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md).
  + **Vermeiden Sie das Ablaufen von Versionen** — Lassen Sie nicht zu, dass eine statische Version abläuft, während Sie sie verwenden. Die Handhabung von abgelaufenen Versionen kann je nach Anbieter variieren. Manche Anbieter erzwingen das Upgrade auf eine verfügbare Version oder andere Änderungen, die unerwartete Folgen haben können. Verfolgen Sie die AWS WAF Ablaufmetrik und stellen Sie einen Alarm ein, der Ihnen genügend Tage zur Verfügung stellt, um erfolgreich auf eine unterstützte Version zu aktualisieren. Weitere Informationen finden Sie unter [Verfolgen des Versionsablaufs](waf-using-managed-rule-groups-expiration.md).



# Arbeiten mit verwalteten Regelgruppen
<a name="waf-using-managed-rule-groups"></a>

Dieser Abschnitt enthält Anleitungen für den Zugriff auf und die Verwaltung Ihrer verwalteten Regelgruppen. 

Wenn Sie Ihrem Schutzpaket (Web-ACL) eine verwaltete Regelgruppe hinzufügen, können Sie dieselben Konfigurationsoptionen wie Ihre eigenen Regelgruppen sowie zusätzliche Einstellungen wählen. 

Über die Konsole greifen Sie während des Hinzufügens und Bearbeitens der Regeln in Ihren Schutzpaketen (Web ACLs) auf Informationen zu verwalteten Regelgruppen zu. Über die APIs Befehlszeilenschnittstelle (CLI) können Sie direkt Informationen zu verwalteten Regelgruppen anfordern.

Wenn Sie eine verwaltete Regelgruppe in Ihrem Protection Pack (Web-ACL) verwenden, können Sie die folgenden Einstellungen bearbeiten: 
+ **Version** – Diese Einstellung ist nur verfügbar, wenn die Regelgruppe versioniert ist. Weitere Informationen finden Sie unter [Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Regelaktionen außer Kraft** setzen — Sie können die Aktionen für Regeln in der Regelgruppe durch jede Aktion außer Kraft setzen. Sie auf zu setzen, Count ist nützlich, um eine Regelgruppe zu testen, bevor Sie sie zur Verwaltung Ihrer Webanfragen verwenden. Weitere Informationen finden Sie unter [Regelgruppen-Regelaktionen überschreiben](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Scope-down statement** (Eingrenzungsanweisung) – Sie können eine Eingrenzungsanweisung hinzufügen, um Webanforderungen herauszufiltern, die Sie nicht mit der Regelgruppe auswerten möchten. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
+ **Override rule group action** (Aktion der Regelgruppe überschreiben) – Sie können die Aktion, die sich aus der Regelgruppenauswertung ergibt, überschreiben und auf Count festlegen. Diese Option wird nicht oft verwendet. Es ändert nichts daran, wie die Regeln in der Regelgruppe AWS WAF ausgewertet werden. Weitere Informationen finden Sie unter [Rückgabeaktion der Regelgruppe überschreiben zu Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).

**Um die Einstellungen der verwalteten Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu bearbeiten**
+ **Konsole** 
  + (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, können Sie **Bearbeiten** wählen, um die Einstellungen anzuzeigen und zu bearbeiten. 
  + (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie auf der Seite mit den **Schutzpaketen (Web ACLs)** das Schutzpaket (Web-ACL) aus, das Sie gerade erstellt haben. Dadurch gelangen Sie zur Bearbeitungsseite des Protection Packs (Web-ACL). 
    + Wählen Sie **Rules (Regeln)** aus. 
    + Wählen Sie die Regelgruppe aus und wählen Sie dann **Edit** (Bearbeiten), um die Einstellungen anzuzeigen und zu bearbeiten. 
+ **APIs und CLI** — Außerhalb der Konsole können Sie die Einstellungen für verwaltete Regelgruppen verwalten, wenn Sie das Protection Pack (Web-ACL) erstellen und aktualisieren. 

# Abrufen der Liste der verwalteten Regelgruppen
<a name="waf-using-managed-rule-groups-list"></a>

Sie können die Liste der verwalteten Regelgruppen abrufen, die Sie in Ihren Schutzpaketen (Web ACLs) verwenden können. Die Liste umfasst Folgendes: 
+ Alle Regelgruppen für AWS verwaltete Regeln.
+ Die AWS Marketplace Regelgruppen, die Sie abonniert haben. 
**Anmerkung**  
Informationen zum Abonnieren von AWS Marketplace Regelgruppen finden Sie unter. [AWS Marketplace Regelgruppen](marketplace-rule-groups.md)

Wenn Sie die Liste der verwalteten Regelgruppen abrufen, hängt der Inhalt der Liste davon ab, welche Schnittstelle Sie verwenden: 
+ **Konsole** — Über die Konsole können Sie alle verwalteten Regelgruppen sehen, einschließlich der AWS Marketplace Regelgruppen, die Sie noch nicht abonniert haben. Für die noch nicht abonnierten Regelgruppen finden Sie auf der Benutzeroberfläche Links, mit denen Sie sie abonnieren können. 
+ **APIs und CLI** — Außerhalb der Konsole gibt Ihre Anfrage nur die Regelgruppen zurück, die für Sie verfügbar sind. 

**So rufen Sie die Liste der verwalteten Regelgruppen ab**
+ **Konsole** – Wählen Sie während des Erstellungsprozesses einer Web-ACL auf der Seite **Add rules and rule groups** (Regeln und Regelgruppen hinzufügen) die Option **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen). Auf der obersten Ebene werden die Anbieternamen aufgelistet. Erweitern Sie die Anbieterlisten, um die Liste der verwalteten Regelgruppen anzuzeigen. Für versionierte Regelgruppen werden auf dieser Ebene die Informationen für die Standardversion angezeigt. Wenn Sie Ihrem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen, listet sie in der Konsole auf der Grundlage des Benennungsschemas auf`<Vendor Name>-<Managed Rule Group Name>`. 
+ **API** –
  +  `ListAvailableManagedRuleGroups`
+ **CLI** –
  + `aws wafv2 list-available-managed-rule-groups --scope=<CLOUDFRONT|REGIONAL>`

# Abrufen der Regeln in einer verwalteten Regelgruppe
<a name="waf-using-managed-rule-groups-rules"></a>

Sie können eine Liste der Regeln in einer verwalteten Regelgruppe abrufen. Die API- und CLI-Aufrufe geben die Regelspezifikationen zurück, auf die Sie im JSON-Modell oder über dieses verweisen können AWS CloudFormation.

**So rufen Sie die Liste der Regeln in einer verwalteten Regelgruppe ab**
+ **Konsole** 
  + (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Protection Pack (Web-ACL) hinzufügen, können Sie **Bearbeiten** auswählen, um die Regeln anzuzeigen. 
  + (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie auf der Seite mit den **Schutzpaketen (Webseite ACLs)** das Schutzpaket (Web-ACL) aus, das Sie gerade erstellt haben. Dadurch gelangen Sie zur Bearbeitungsseite des Protection Packs (Web-ACL). 
    + Wählen Sie **Rules (Regeln)** aus. 
    + Wählen Sie die Regelgruppe aus, für die Sie eine Regelliste anzeigen möchten, und klicken Sie dann auf **Bearbeiten**. AWS WAF zeigt die Liste der Regeln in der Regelgruppe an. 
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Abrufen der verfügbaren Versionen für eine verwaltete Regelgruppe
<a name="waf-using-managed-rule-groups-versions"></a>

Die verfügbaren Versionen einer verwalteten Regelgruppe sind diejenigen Versionen, deren Ablauf noch nicht geplant ist. In der Liste wird angegeben, welche Version die aktuelle Standardversion für die Regelgruppe ist.

**So rufen Sie eine Liste der verfügbaren Versionen einer verwalteten Regelgruppe ab**
+ **Konsole** 
  + (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, wählen Sie **Bearbeiten**, um die Informationen der Regelgruppe anzuzeigen. Erweitern Sie das Dropdownmenü **Version**, um die Liste der verfügbaren Versionen anzuzeigen. 
  + (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie im Schutzpaket (Web-ACL) die Option **Bearbeiten** und wählen und bearbeiten Sie dann die Regelgruppenregel. Erweitern Sie das Dropdownmenü **Version**, um die Liste der verfügbaren Versionen anzuzeigen. 
+ **API** –
  +  `ListAvailableManagedRuleGroupVersions`
+ **CLI** –
  +  `aws wafv2 list-available-managed-rule-group-versions --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole
<a name="waf-using-managed-rule-group"></a>

In diesem Abschnitt wird erklärt, wie Sie über die Konsole eine verwaltete Regelgruppe zu einem Protection Pack (Web-ACL) hinzufügen. Diese Anleitung gilt für alle Regelgruppen mit AWS verwalteten Regeln und für die AWS Marketplace Regelgruppen, die Sie abonniert haben. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen in Ihrem Protection Pack (Web-ACL) für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**Um eine verwaltete Regelgruppe über die Konsole zu einem Protection Pack (Web-ACL) hinzuzufügen**

**So fügen Sie eine verwaltete Regelgruppe über die Konsole zu einer Web-ACL hinzu**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus. 

1. Wählen Sie auf der Seite **Protection Packs (Web ACLs)** aus der Liste der Protection Packs (Web ACLs) das aus, zu dem Sie die Regelgruppe hinzufügen möchten. Dadurch gelangen Sie zur Seite für das Single Protection Pack (Web-ACL).

1. Wählen Sie auf der Seite Ihres Schutzpakets (Web-ACL) die Registerkarte **Regeln** aus. 

1. Wählen Sie im Bereich **Rules** (Regeln) die Option **Add rules** (Regeln hinzufügen) und dann die Option **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) aus. 

1. Erweitern Sie auf der Seite **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) die Auswahl für Ihren Regelgruppen-Anbieter, um die Liste der verfügbaren Regelgruppen anzuzeigen. 

1. Wählen Sie für jede Regelgruppe, die Sie hinzufügen möchten, die Option **Zum Schutzpaket hinzufügen (Web-ACL)** aus. Wenn Sie die Konfiguration des Schutzpakets (Web-ACL) für die Regelgruppe ändern möchten, wählen Sie **Bearbeiten**, nehmen Sie Ihre Änderungen vor und wählen Sie dann **Regel speichern**. Informationen zu den Optionen finden Sie in den Anleitungen zur Versionierung unter [Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md) und in der Anleitung zur Verwendung einer verwalteten Regelgruppe in einem Schutzpaket (Web-ACL) unter[Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md).

1. Wählen Sie unten auf der Seite **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) die Option **Add rules** (Regeln hinzufügen). 

1. Passen Sie auf der Seite **Set rule priority** (Regelpriorität festlegen) die Reihenfolge, in der die Regeln ausgeführt werden, nach Bedarf an und wählen Sie dann **Save** (Speichern) aus. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

Auf der Seite Ihres Schutzpakets (Web-ACL) sind die verwalteten Regelgruppen, die Sie hinzugefügt haben, auf der Registerkarte **Regeln** aufgeführt. 

Testen und optimieren Sie alle Änderungen an Ihren AWS WAF Schutzmaßnahmen, bevor Sie sie für den Produktionsdatenverkehr verwenden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Satz, der in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

# Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen einer verwalteten Regelgruppe
<a name="waf-using-managed-rule-groups-sns-topic"></a>

In diesem Abschnitt wird erklärt, wie Sie Amazon SNS SNS-Benachrichtigungen über neue Versionen und Updates erhalten.

Ein Anbieter verwalteter Regelgruppen verwendet SNS-Benachrichtigungen, um Regelgruppenänderungen wie bevorstehende neue Versionen und dringende Sicherheitsupdates anzukündigen. 

**Wie abonniere ich SNS-Benachrichtigungen**  
Um Benachrichtigungen für eine Regelgruppe zu abonnieren, erstellen Sie ein Amazon SNS-Abonnement für den Amazon SNS-Thema-ARN der Regelgruppe in der Region „USA Ost (Nord-Virginia)“ (us-east-1). 

Weitere Informationen zum Abonnieren finden Sie im [Entwicklerhandbuch zu Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**Anmerkung**  
Erstellen Sie Ihr Abonnement für das SNS-Thema nur in der Region „us-east-1“.

Die versionierten Regelgruppen für AWS verwaltete Regeln verwenden alle dasselbe SNS-Thema Amazon Resource Name (ARN). Weitere Informationen zu Benachrichtigungen über Regelgruppen mit AWS verwalteten Regeln finden Sie unter. [Benachrichtigungen über die Bereitstellung](waf-managed-rule-groups-deployments-notifications.md)

**Wo finde ich den Amazon SNS-Thema-ARN für eine verwaltete Regelgruppe?**  
AWS Regelgruppen für verwaltete Regeln verwenden einen einzigen SNS-Themen-ARN, sodass Sie den Themen-ARN aus einer der Regelgruppen abrufen und abonnieren können, um Benachrichtigungen für alle Regelgruppen mit AWS verwalteten Regeln zu erhalten, die SNS-Benachrichtigungen bereitstellen. 
+ **Konsole** 
  + (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, wählen Sie **Bearbeiten**, um die Informationen der Regelgruppe anzuzeigen, zu denen auch der Amazon SNS SNS-Themen-ARN der Regelgruppe gehört. 
  + (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie **Bearbeiten** für das Schutzpaket (Web-ACL) und wählen Sie dann die Regelgruppenregel aus und bearbeiten Sie sie, um den Amazon SNS SNS-Themen-ARN der Regelgruppe anzuzeigen. 
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

Allgemeine Informationen zu Amazon SNS-Benachrichtigungsformaten und dazu, wie Sie die eingehenden Benachrichtigungen filtern, finden Sie unter [Analysieren von Nachrichtenformaten](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) und [Filterrichtlinien für Amazon SNS-Abonnements](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) im Amazon Simple Notification Service-Entwicklerhandbuch. 

# Verfolgen des Versionsablaufs einer Regelgruppe
<a name="waf-using-managed-rule-groups-expiration"></a>

In diesem Abschnitt wird erklärt, wie Sie die Ablaufplanung für eine verwaltete Regelgruppe über Amazon überwachen können CloudWatch.

Wenn Sie eine bestimmte Version einer Regelgruppe verwenden, stellen Sie sicher, dass Sie eine Version nach ihrem Ablaufdatum nicht weiter verwenden. 

**Tipp**  
Melden Sie sich für Amazon SNS SNS-Benachrichtigungen für verwaltete Regelgruppen an und halten Sie sich über die Versionen verwalteter Regelgruppen auf dem Laufenden. Sie profitieren von den meisten up-to-date Schutzmaßnahmen der Regelgruppe und sind dem Ablauf immer einen Schritt voraus. Weitere Informationen finden Sie unter [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md).

**Um die Ablaufplanung für eine verwaltete Regelgruppe über Amazon zu überwachen CloudWatch**

1. Suchen Sie CloudWatch unter nach den Ablaufmetriken AWS WAF für Ihre verwaltete Regelgruppe. Die Metriken haben die folgenden Metriknamen und Dimensionen: 
   + Metrikname: DaysToExpiry
   + Metrikdimensionen: Region, ManagedRuleGroup, Vendor und Version

   Wenn Ihr Schutzpaket (Web-ACL) über eine verwaltete Regelgruppe verfügt, die den Datenverkehr auswertet, erhalten Sie eine Metrik dafür. Die Metrik ist für Regelgruppen, die Sie nicht verwenden, nicht verfügbar. 

1. Richten Sie einen Alarm für die Metriken ein, an denen Sie interessiert sind, sodass Sie rechtzeitig benachrichtigt werden, wenn Sie zu einer neueren Version der Regelgruppe wechseln müssen. 

Informationen zur Verwendung von CloudWatch Amazon-Metriken und zur Konfiguration von Alarmen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/). 

# Beispielkonfigurationen für verwaltete Regelgruppen in JSON und YAML
<a name="waf-using-managed-rule-groups-json-yaml"></a>

Dieser Abschnitt enthält Beispielkonfigurationen für verwaltete Regelgruppen.

Die API- und CLI-Aufrufe geben eine Liste aller Regeln in der verwalteten Regelgruppe zurück, auf die Sie im JSON-Modell oder über dieses verweisen können AWS CloudFormation.

**JSON**  
Mit JSON können Sie verwaltete Regelgruppen innerhalb einer Regelanweisung referenzieren und ändern. Die folgende Liste zeigt die Regelgruppe „ AWS Verwaltete Regeln“ im JSON-Format. `AWSManagedRulesCommonRuleSet` In der RuleActionOverrides Spezifikation ist eine Regel aufgeführt, deren Aktion überschrieben wurde. Count 

```
{
    "Name": "AWS-AWSManagedRulesCommonRuleSet",
    "Priority": 0,
    "Statement": {
      "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesCommonRuleSet",
        "RuleActionOverrides": [                                                                                                                                            
          {                                                                                                                                                                
            "ActionToUse": {                                                                                                                                              
              "Count": {}                                                                                                                                                
            },                                                                                                                                                            
            "Name": "NoUserAgent_HEADER"                                                                                                                                 
          }                                                                                                                                                                
        ],
        "ExcludedRules": []
      }
    },
    "OverrideAction": {
      "None": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSManagedRulesCommonRuleSet"
    }
}
```

**YAML**  
Sie können verwaltete Regelgruppen innerhalb einer Regelanweisung mit der CloudFormation -YAML-Vorlage referenzieren und ändern. Die folgende Liste zeigt die Regelgruppe „ AWS Verwaltete Regeln“ in CloudFormation der `AWSManagedRulesCommonRuleSet` Vorlage. In der RuleActionOverrides Spezifikation ist eine Regel aufgeführt, deren Aktion überschrieben wurde. Count 

```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
  ManagedRuleGroupStatement:
    VendorName: AWS
    Name: AWSManagedRulesCommonRuleSet
    RuleActionOverrides:
    - ActionToUse:
        Count: {}
      Name: NoUserAgent_HEADER
    ExcludedRules: []
OverrideAction:
  None: {}
VisibilityConfig:
  SampledRequestsEnabled: true
  CloudWatchMetricsEnabled: true
  MetricName: AWS-AWSManagedRulesCommonRuleSet
```

# AWS Verwaltete Regeln für AWS WAF
<a name="aws-managed-rule-groups"></a>

In diesem Abschnitt wird erklärt, wofür AWS verwaltete Regeln AWS WAF verwendet werden.

AWS Managed Rules for AWS WAF ist ein verwalteter Dienst, der Schutz vor Anwendungsschwachstellen oder anderem unerwünschten Datenverkehr bietet. Sie haben die Möglichkeit, unter AWS Verwaltete Regeln für jede Web-ACL eine oder mehrere Regelgruppen bis zur maximalen Kapazitätseinheit (WCU) des Protection Packs (Web ACL) auszuwählen. 

**Vermeidung von Fehlalarmen und Testen von Regelgruppenänderungen**  
Bevor Sie eine verwaltete Regelgruppe in der Produktion verwenden, testen Sie sie in einer Nicht-Produktionsumgebung gemäß den Anweisungen unter. [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md) Folgen Sie den Anweisungen zum Testen und Optimieren, wenn Sie Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, um eine neue Version einer Regelgruppe zu testen, und immer dann, wenn eine Regelgruppe Ihren Webverkehr nicht so verarbeitet, wie Sie es benötigen. 

**Gemeinsame Sicherheitsaufgaben**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

**Wichtig**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

# AWS Liste der Regelgruppen für verwaltete Regeln
<a name="aws-managed-rule-groups-list"></a>

Dieser Abschnitt enthält eine Liste der verfügbaren Regelgruppen für AWS verwaltete Regeln.

In diesem Abschnitt werden die neuesten Versionen der Regelgruppen für AWS verwaltete Regeln beschrieben. Sie sehen diese auf der Konsole, wenn Sie Ihrem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen. Über die API können Sie diese Liste zusammen mit den AWS Marketplace Regelgruppen abrufen, die Sie abonniert haben, indem Sie anrufen`ListAvailableManagedRuleGroups`. 

**Anmerkung**  
Informationen zum Abrufen der Versionen einer Regelgruppe mit AWS verwalteten Regeln finden Sie unter. [Abrufen der verfügbaren Versionen für eine verwaltete Regelgruppe](waf-using-managed-rule-groups-versions.md) 

Alle Regelgruppen mit AWS verwalteten Regeln unterstützen Beschriftungen, und die Regellisten in diesem Abschnitt enthalten Labelspezifikationen. Sie können die Kennzeichnungen für eine verwaltete Regelgruppe über die API abrufen, indem Sie `DescribeManagedRuleGroup` aufrufen. Die Kennzeichnungen werden in der Eigenschaft AvailableLabels in der Antwort aufgeführt. Weitere Informationen zur Kennzeichnung finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

Testen und optimieren Sie alle Änderungen an Ihren AWS WAF Schutzmaßnahmen, bevor Sie sie für den produktiven Datenverkehr verwenden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Contents**
+ [Basisregelgruppen](aws-managed-rule-groups-baseline.md)
  + [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Verwaltete Regelgruppe „Admin protection“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Anwendungsfallspezifische Regelgruppen](aws-managed-rule-groups-use-case.md)
  + [Verwaltete Regelgruppe „SQL database“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [Verwaltete Regelgruppe „Windows Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [Über PHP-Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress Von der Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [IP-Reputationsregelgruppen](aws-managed-rule-groups-ip-rep.md)
  + [Amazon IP-Reputationsliste](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [Verwaltete Regelgruppe „Anonymous IP list“](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)
  + [Überlegungen zur Verwendung dieser Regelgruppe](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Von dieser Regelgruppe hinzugefügte Bezeichnungen](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [Token-Labels](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [ACFP-Etiketten](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Liste der Regeln zur Kontoerstellung und Betrugsprävention](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md)
  + [Überlegungen zur Verwendung dieser Regelgruppe](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Von dieser Regelgruppe hinzugefügte Bezeichnungen](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [Token-Labels](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [ATP-Etiketten](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Liste der Regeln zur Verhinderung von Kontoübernahmen](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md)
  + [Schutzstufen](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Überlegungen zur Verwendung dieser Regelgruppe](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Von dieser Regelgruppe hinzugefügte Labels](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [Token-Labels](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Beschriftungen von Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Liste der Bot-Control-Regeln](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)](aws-managed-rule-groups-anti-ddos.md)
  + [Überlegungen zur Verwendung dieser Regelgruppe](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Von dieser Regelgruppe hinzugefügte Bezeichnungen](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [Token-Labels](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [DDoAnti-S-Etiketten](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Liste der DDo Anti-S-Regeln](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Basisregelgruppen
<a name="aws-managed-rule-groups-baseline"></a>

Verwalte Basisregelgruppen bieten allgemeinen Schutz vor einer Vielzahl von häufigen Bedrohungen. Wählen Sie eine oder mehrere dieser Regelgruppen aus, um einen grundlegenden Schutz für Ihre Ressourcen zu gewährleisten. 

## Verwaltete Regelgruppe „Core Rule Set“ (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Name:`AWSManagedRulesCommonRuleSet`, WCU: 700

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe Core Rule Set (CRS) enthält Regeln, die allgemein für Webanwendungen gelten. Dies bietet Schutz vor der Ausnutzung einer Vielzahl von Schwachstellen, einschließlich einiger Schwachstellen mit hohem Risiko und häufig auftretender Schwachstellen, die in OWASP-Veröffentlichungen wie [OWASP Top 10](https://owasp.org/www-project-top-ten/) beschrieben werden. Erwägen Sie, diese Regelgruppe für jeden AWS WAF Anwendungsfall zu verwenden.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Prüft auf Anfragen, denen der `User-Agent` HTTP-Header fehlt. Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Prüft auf allgemeine `User-Agent` Header-Werte, die darauf hinweisen, dass es sich bei der Anfrage um einen bösartigen Bot handelt. Beispiele für Muster sind `nessus` und `nmap`. Informationen zur Bot-Verwaltung finden Sie auch unter [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Prüft auf URI-Abfragezeichenfolgen, die mehr als 2.048 Byte lang sind.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Prüft auf Cookie-Header, die mehr als 10.240 Byte groß sind.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Sucht nach Anforderungstexten, die mehr als 8 KB (8.192 Byte) groß sind.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Prüft auf URI-Pfade, die mehr als 1.024 Byte lang sind.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Prüft auf Versuche, Amazon EC2-Metadaten aus dem Anfragetext herauszufiltern.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Prüft auf Versuche, Amazon EC2-Metadaten aus dem Anfragecookie herauszufiltern.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Prüft auf Versuche, Amazon EC2-Metadaten aus dem Pfad des Anfragen-URI herauszufiltern.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Prüft auf Versuche, Amazon EC2-Metadaten aus den Anfragenabfrageargumenten herauszufiltern.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Prüft auf das Vorhandensein von Local File Inclusion (LFI)-Exploits in den Abfrageargumenten. Beispiele sind Pfaddurchquerungsversuche mit Techniken wie `../../`.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Prüft auf das Vorhanden von Local File Inclusion (LFI)-Exploits im URI-Pfad. Beispiele sind Pfaddurchquerungsversuche mit Techniken wie `../../`.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Prüft auf das Vorhandensein Local File Inclusion (LFI)-Exploits im Anfragetext. Beispiele sind Pfaddurchquerungsversuche mit Techniken wie `../../`.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Prüft auf Anfragen, deren URI-Pfade Systemdateierweiterungen enthalten, deren Lesen oder Ausführen unsicher ist. Beispiele für Muster sind Erweiterungen wie `.log` und `.ini`.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Prüft auf Anfragen, deren Abfrageargumente Systemdateierweiterungen enthalten, deren Lesen oder Ausführen unsicher ist. Beispiele für Muster sind Erweiterungen wie `.log` und `.ini`.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Prüft die Werte aller Abfrageparameter auf Versuche, RFI (Remote File Inclusion) in Webanwendungen auszunutzen, indem Adressen eingebettet URLs werden. IPv4 Beispiele hierfür sind Muster wie`http://`,`https://`, und `ftp://` `ftps://``file://`, mit einem IPv4 Host-Header beim Exploit-Versuch.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Überprüft den Anfragetext auf Versuche, RFI (Remote File Inclusion) in Webanwendungen auszunutzen URLs , indem er Adressen einbettet. IPv4 Beispiele hierfür sind Muster wie`http://`,`https://`, und `ftp://` `ftps://``file://`, mit einem IPv4 Host-Header beim Exploit-Versuch.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Überprüft den URI-Pfad auf Versuche, RFI (Remote File Inclusion) in Webanwendungen auszunutzen, indem Adressen eingebettet URLs werden. IPv4 Beispiele hierfür sind Muster wie`http://`,`https://`, und `ftp://` `ftps://``file://`, mit einem IPv4 Host-Header beim Exploit-Versuch.  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Überprüft mithilfe der integrierten Funktionen die Werte von Cookie-Headern auf gängige Cross-Site-Scripting-Muster (XSS). AWS WAF [Cross-Site-Scripting-Angriffsregel-Anweisung](waf-rule-statement-type-xss-match.md) Beispiele für Muster sind Skripte wie `<script>alert("hello")</script>`.   Die Details zur Regelübereinstimmung in den AWS WAF Protokollen sind für Version 2.0 dieser Regelgruppe nicht aufgefüllt.   Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Überprüft die Werte von Abfrageargumenten mithilfe der integrierten Funktion auf gängige XSS-Muster (Cross-Site Scripting). AWS WAF [Cross-Site-Scripting-Angriffsregel-Anweisung](waf-rule-statement-type-xss-match.md) Beispiele für Muster sind Skripte wie `<script>alert("hello")</script>`.   Die Details zur Regelübereinstimmung in den AWS WAF Protokollen sind für Version 2.0 dieser Regelgruppe nicht aufgefüllt.   Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Überprüft den Anforderungstext mithilfe der integrierten Funktion auf gängige XSS-Muster (Cross-Site Scripting). AWS WAF [Cross-Site-Scripting-Angriffsregel-Anweisung](waf-rule-statement-type-xss-match.md) Beispiele für Muster sind Skripte wie `<script>alert("hello")</script>`.   Die Details zur Regelübereinstimmung in den AWS WAF Protokollen sind für Version 2.0 dieser Regelgruppe nicht aufgefüllt.   Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Überprüft mithilfe der integrierten Funktionen den Wert des URI-Pfads auf gängige XSS-Muster (Cross-Site Scripting). AWS WAF [Cross-Site-Scripting-Angriffsregel-Anweisung](waf-rule-statement-type-xss-match.md) Beispiele für Muster sind Skripte wie `<script>alert("hello")</script>`.   Die Details zur Regelübereinstimmung in den AWS WAF Protokollen sind für Version 2.0 dieser Regelgruppe nicht aufgefüllt.   Regelaktion: Block Label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Verwaltete Regelgruppe „Admin protection“
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Name:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „Admin Protection“ enthält Regeln, mit denen Sie den externen Zugriff auf offengelegte Verwaltungsseiten blockieren können. Dies kann nützlich sein, wenn Sie Software von Drittanbietern ausführen oder das Risiko verringern möchten, dass ein schädlicher Akteur administrativen Zugriff auf Ihre Anwendung erhält.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Sucht nach URI-Pfaden, die im Allgemeinen für die Verwaltung eines Webservers oder einer Anwendung reserviert sind. Ein Beispielmuster ist `sqlmanager`.  Regelaktion: Block Label: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Verwaltete Regelgruppe „Known Bad Inputs“
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Name:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „Known Bad Inputs“ enthält Regeln zum Blockieren von Anfragemustern, die bekanntermaßen ungültig sind und mit der Ausnutzung oder Entdeckung von Schwachstellen verbunden sind. Dies kann dazu beitragen, das Risiko zu verringern, dass ein schädlicher Akteur eine gefährdete Anwendung entdeckt.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Untersucht die Schlüssel und Werte von HTTP-Anforderungsheadern auf Muster, die auf Versuche der Remote-Command-Execution (Remote Command Execution) mit Java hinweisen, wie z. B. die Sicherheitsanfälligkeiten Spring Core und Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Ein Beispielmuster ist `(java.lang.Runtime).getRuntime().exec("whoami")`.  Diese Regel untersucht nur die ersten 8 KB der Anforderungsheader oder die ersten 200 Header, je nachdem, welcher Grenzwert zuerst erreicht wird, und verwendet die Option für die Verarbeitung übergroßer Inhalte. `Continue` Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Überprüft den Anfragetext auf Muster, die auf Versuche zur Ausführung von Remote-Command-Ausführung (Remote Command Execution) mit Java hinweisen, wie z. B. die Sicherheitsanfälligkeiten Spring Core und Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Ein Beispielmuster ist `(java.lang.Runtime).getRuntime().exec("whoami")`.  Diese Regel untersucht den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Überprüft den Anforderungs-URI auf Muster, die auf Versuche der Java-Deserialisierung mit Remote Command Execution (Remote Command Execution) hinweisen, wie z. B. die Sicherheitslücken Spring Core und Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Ein Beispielmuster ist `(java.lang.Runtime).getRuntime().exec("whoami")`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Untersucht die Anforderungsabfragezeichenfolge auf Muster, die auf Versuche zur Deserialisierung von Java mit Remote Command Execution (RCE) hinweisen, wie z. B. die Sicherheitsanfälligkeiten Spring Core und Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Ein Beispielmuster ist `(java.lang.Runtime).getRuntime().exec("whoami")`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Prüft den Host-Header in der Anfrage auf Muster, die localhost anzeigen. Ein Beispielmuster ist `localhost`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Prüft die HTTP-Methode in der Anfrage auf `PROPFIND`, eine Methode, die `HEAD` ähnlich ist, jedoch zusätzlich die Herausfilterung von XML-Objekten beabsichtigt.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Prüft den URI-Pfad auf Versuche, auf ausnutzbare Webanwendungspfade zuzugreifen. Beispiele für Muster umfassen Pfade wie `web-inf`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  Überprüft die Schlüssel und Werte von Anforderungsheadern auf das Vorhandensein der Log4j-Sicherheitslücke ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) und schützt vor Versuchen mit Remote Code Execution (RCE). Ein Beispielmuster ist `${jndi:ldap://example.com/}`.  Diese Regel untersucht nur die ersten 8 KB der Anforderungsheader oder die ersten 200 Header, je nachdem, welcher Grenzwert zuerst erreicht wird, und verwendet die Option für die Verarbeitung übergroßer Inhalte. `Continue` Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  [Überprüft die Abfragezeichenfolge auf das Vorhandensein der Log4j-Sicherheitslücke ([CVE-2021-44228, CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-44228)) und schützt vor Versuchen mit Remote Code [Execution (RCE](https://www.cve.org/CVERecord?id=CVE-2021-45046)).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Ein Beispielmuster ist `${jndi:ldap://example.com/}`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  [https://www.cve.org/CVERecord?id=CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228) Ein Beispielmuster ist `${jndi:ldap://example.com/}`.  Diese Regel untersucht den Hauptteil der Anfrage nur bis zur Körpergrößenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  [Überprüft den URI-Pfad auf das Vorhandensein der Log4j-Sicherheitslücke ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) und schützt vor Versuchen mit Remote Code Execution (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Ein Beispielmuster ist `${jndi:ldap://example.com/}`.  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Überprüft den Anfragetext auf Muster, die auf das Vorhandensein von CVE-2025-55182 hinweisen.  Diese Regel untersucht den Hauptteil der Anfrage nur bis zur Größe des Hauptteils für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und AWS Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `CONTINUE` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Anwendungsfallspezifische Regelgruppen
<a name="aws-managed-rule-groups-use-case"></a>

Anwendungsfallspezifische Regelgruppen bieten inkrementellen Schutz für viele verschiedene Anwendungsfälle. AWS WAF Wählen Sie die Regelgruppen aus, die für Ihre Anwendung gelten. 

## Verwaltete Regelgruppe „SQL database“
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Name:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „SQL Database“ enthält Regeln zum Blockieren von Anfragemustern, die mit der Nutzung von SQL-Datenbanken verbunden sind, z. B. SQL-Einschleusungsangriffe. Dies kann dazu beitragen, das Remote-Injection von nicht autorisierten Abfragen zu verhindern. Evaluieren Sie diese Regelgruppe, wenn Ihre Anwendung mit einer SQL-Datenbank verbunden ist.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Verwendet die integrierte AWS WAF [SQL-Injection-Angriff-Regelanweisung](waf-rule-statement-type-sqli-match.md) Funktion mit eingestellter Sensitivitätsstufe aufLow, um die Werte aller Abfrageparameter auf Muster zu untersuchen, die mit bösartigem SQL-Code übereinstimmen.  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Prüft die Werte aller Abfrageparameter auf Muster, die mit bösartigem SQL-Code übereinstimmen. Die Muster, nach denen diese Regel sucht, werden von der Regel `SQLi_QUERYARGUMENTS` nicht abgedeckt.  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Verwendet die integrierte Funktion AWS WAF [SQL-Injection-Angriff-Regelanweisung](waf-rule-statement-type-sqli-match.md) mit eingestellter Sensitivitätsstufe aufLow, um den Anfragetext auf Muster zu untersuchen, die mit bösartigem SQL-Code übereinstimmen.  Mit dieser Regel wird der Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp untersucht. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Prüft den Anfragetext auf Muster, die mit bösartigem SQL-Code übereinstimmen. Die Muster, nach denen diese Regel sucht, werden von der Regel nicht abgedeckt. `SQLi_BODY`  Diese Regel untersucht den Hauptteil der Anfrage nur bis zur Körpergrößenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Verwendet die integrierte Funktion AWS WAF [SQL-Injection-Angriff-Regelanweisung](waf-rule-statement-type-sqli-match.md) mit eingestellter Sensitivitätsstufe aufLow, um die Header der Anforderungs-Cookies auf Muster zu untersuchen, die mit bösartigem SQL-Code übereinstimmen.  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Verwendet die integrierten Funktionen AWS WAF [SQL-Injection-Angriff-Regelanweisung](waf-rule-statement-type-sqli-match.md) mit eingestellter Sensitivitätsstufe aufLow, um die Header der Anforderungs-Cookies auf Muster zu untersuchen, die bösartigem SQL-Code entsprechen.  Regelaktion: Block Label: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Verwaltete Regelgruppe „Linux Operating System“
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Name:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „Linux Operating System“ enthält Regeln, die mit der Ausnutzung Linux-spezifischer Schwachstellen verbundene Anfragemuster blockieren, einschließlich Linux-spezifischer Local File Inclusion (LFI)-Angriffe. Dies kann dazu beitragen, Angriffe zu verhindern, die Dateiinhalte offenlegen oder Code ausführen, auf den der Angreifer keinen Zugriff haben soll. Sie sollten diese Regelgruppe auswerten, wenn ein Teil Ihrer Anwendung unter Linux läuft. Sie sollten diese Regelgruppe in Verbindung mit der Regelgruppe [POSIX-Betriebssystem](#aws-managed-rule-groups-use-case-posix-os) verwenden.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| LFI\$1URIPATH |  Prüft den Anfragepfad auf Versuche, Local File Inclusion (LFI)-Schwachstellen in Webanwendungen auszunutzen. Beispiele für Muster umfassen Dateien wie `/proc/version`, die Angreifern Betriebssysteminformationen bereitstellen könnten.  Regelaktion: Block Label: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Prüft die Werte von querystring auf Versuche, Local File Inclusion (LFI)-Schwachstellen in Webanwendungen auszunutzen. Beispiele für Muster umfassen Dateien wie `/proc/version`, die Angreifern Betriebssysteminformationen bereitstellen könnten.  Regelaktion: Block Label: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Überprüft Anforderungsheader auf Versuche, LFI-Schwachstellen (Local File Inclusion) in Webanwendungen auszunutzen. Beispiele für Muster umfassen Dateien wie `/proc/version`, die Angreifern Betriebssysteminformationen bereitstellen könnten.  Diese Regel untersucht nur die ersten 8 KB der Anforderungsheader oder die ersten 200 Header, je nachdem, welcher Grenzwert zuerst erreicht wird, und verwendet die Option für die Behandlung übergroßer Inhalte. `Continue` Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Verwaltete Regelgruppe „POSIX Operating System“
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Name:, WCU: `AWSManagedRulesUnixRuleSet` 100

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „POSIX Operating System“ enthält Regeln, die mit der Ausnutzung POSIX-spezifischer Schwachstellen und POSIX-ähnlicher Betriebssysteme verbundene Anfragemuster blockieren, einschließlich Local File Inclusion (LFI)-Angriffen. Dies kann dazu beitragen, Angriffe zu verhindern, die Dateiinhalte offenlegen oder Code ausführen, auf den der Angreifer keinen Zugriff haben soll. Sie sollten diese Regelgruppe evaluieren, wenn ein Teil Ihrer Anwendung auf einem POSIX- oder POSIX-ähnlichen Betriebssystem ausgeführt wird, wie Linux, AIX, HP-UX, macOS, Solaris, FreeBSD und OpenBSD. 

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Überprüft die Werte der Abfragezeichenfolge auf Versuche, Sicherheitslücken wie Command Injection, LFI und Path Traversal in Webanwendungen auszunutzen, die auf Unix-Systemen ausgeführt werden. Beispiele für Muster umfassen `echo $HOME` und `echo $PATH`.  Regelaktion: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Prüft den Anfragetext auf Versuche, Schwachstellen wie Befehlseinschleusungen, LFI und Pfaddurchquerung in Webanwendungen auszunutzen, die auf Unix-Systemen ausgeführt werden. Beispiele für Muster umfassen `echo $HOME` und `echo $PATH`.  Diese Regel untersucht den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Überprüft alle Anforderungsheader auf Versuche, Sicherheitslücken wie Command Injection, LFI und Path Traversal in Webanwendungen auszunutzen, die auf Unix-Systemen ausgeführt werden. Beispiele für Muster umfassen `echo $HOME` und `echo $PATH`.  Diese Regel untersucht nur die ersten 8 KB der Anforderungsheader oder die ersten 200 Header, je nachdem, welcher Grenzwert zuerst erreicht wird, und verwendet die Option für die Behandlung übergroßer Inhalte. `Continue` Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Verwaltete Regelgruppe „Windows Operating System“
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Name:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe des Windows-Betriebssystems enthält Regeln, die Anforderungsmuster blockieren, die mit der Ausnutzung von Windows-spezifischen Sicherheitslücken wie der Fernausführung von PowerShell Befehlen in Verbindung stehen. Dadurch kann verhindert werden, dass Sicherheitslücken ausgenutzt werden, die es einem Angreifer ermöglichen, nicht autorisierte Befehle oder bösartigen Code auszuführen. Evaluieren Sie diese Regelgruppe, wenn ein Teil Ihrer Anwendung auf einem Windows-Betriebssystem läuft.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Überprüft die Header der Anforderungs-Cookies auf Versuche, WindowsShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen Befehle darWindowsShell . Zu den Beispielmustern gehören `\|\|nslookup` und`;cmd`.  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Prüft die Werte aller Abfrageparameter auf Versuche, WindowsShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen WindowsShell Befehle dar. Zu den Beispielmustern gehören `\|\|nslookup` und`;cmd`.  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Überprüft den Anforderungstext auf Versuche, WindowsShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen WindowsShell Befehle dar. Zu den Beispielmustern gehören `\|\|nslookup` und`;cmd`.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Überprüft die Header der Anforderungs-Cookies auf Versuche, PowerShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen Befehle darPowerShell . Beispiel, `Invoke-Expression`.  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Prüft die Werte aller Abfrageparameter auf Versuche, PowerShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen PowerShell Befehle dar. Beispiel, `Invoke-Expression`.  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Überprüft den Anforderungstext auf Versuche, PowerShell Befehle in Webanwendungen einzuschleusen. Die Übereinstimmungsmuster stellen PowerShell Befehle dar. Beispiel, `Invoke-Expression`.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Über PHP-Anwendung verwaltete Regelgruppe
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Name:`AWSManagedRulesPHPRuleSet`, WCU: 100

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „PHP Application“ enthält Regeln, die mit der Ausnutzung von Schwachstellen im Zusammenhang mit der Programmiersprache PHP verbundene Anfragemuster blockieren, einschließlich der Einschleusung nicht sicherer PHP-Funktionen. Dadurch kann verhindert werden, dass Sicherheitslücken ausgenutzt werden, die es einem Angreifer ermöglichen, Code oder Befehle aus der Ferne auszuführen, für die er nicht autorisiert ist. Evaluieren Sie diese Regelgruppe, wenn PHP auf einem beliebigen Server installiert ist, mit dem Ihre Anwendung verbunden ist.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Überprüft alle Header auf Versuche, PHP-Skriptcode einzuschleusen. Beispiele für Muster umfassen Funktionen wie `fsockopen` und die superglobale Variable `$_GET`.  Diese Regel untersucht nur die ersten 8 KB der Anforderungsheader oder die ersten 200 Header, je nachdem, welcher Grenzwert zuerst erreicht wird, und verwendet die Option für die `Continue` Behandlung übergroßer Inhalte. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Prüft alles, was `?` in der Anfrage-URL nach dem ersten Wort steht, und sucht nach Versuchen, PHP-Skriptcode einzuschleusen. Beispiele für Muster umfassen Funktionen wie `fsockopen` und die superglobale Variable `$_GET`.  Regelaktion: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Prüft die Werte des Anfragetexts auf Versuche, PHP-Skriptcode einzuschleusen. Beispiele für Muster umfassen Funktionen wie `fsockopen` und die superglobale Variable `$_GET`.  Diese Regel überprüft den Hauptteil der Anfrage nur bis zur Größenbeschränkung für das Schutzpaket (Web-ACL) und den Ressourcentyp. Für Application Load Balancer und AWS AppSync ist das Limit auf 8 KB festgelegt. Für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access beträgt das Standardlimit 16 KB, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Diese Regel verwendet die `Continue` Option für den Umgang mit übergroßen Inhalten. Weitere Informationen finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).  Regelaktion: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Prüft den Anforderungspfad auf Versuche, PHP-Skriptcode einzuschleusen. Beispiele für Muster umfassen Funktionen wie `fsockopen` und die superglobale Variable `$_GET`.  Regelaktion: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress Von der Anwendung verwaltete Regelgruppe
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Name:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die WordPress Regelgruppe für Programme enthält Regeln, die Anforderungsmuster blockieren, die mit der Ausnutzung von Sicherheitslücken in bestimmten WordPress Websites zusammenhängen. Sie sollten diese Regelgruppe auswerten, wenn Sie sie ausführenWordPress. Diese Regelgruppe sollte in Verbindung mit den Regelgruppen [PHP-Anwendung](#aws-managed-rule-groups-use-case-php-app) und [SQL-Datenbank](#aws-managed-rule-groups-use-case-sql-db) verwendet werden.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Protection Pack (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Überprüft die Anforderungsabfragezeichenfolge auf WordPress Befehle mit hohem Risiko, die in anfälligen Installationen oder Plug-ins ausgenutzt werden können. Beispiele für Muster sind Befehle wie `do-reset-wordpress`.  Regelaktion: Block Label: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Überprüft den URI-Pfad der Anfrage auf WordPress Dateien wie`xmlrpc.php`, von denen bekannt ist, dass sie leicht ausnutzbare Sicherheitslücken aufweisen.  Regelaktion: Block Label: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# IP-Reputationsregelgruppen
<a name="aws-managed-rule-groups-ip-rep"></a>

IP-Reputationsregelgruppen blockieren Anfragen auf der Grundlage ihrer Quell-IP-Adresse. 

**Anmerkung**  
Diese Regeln verwenden die Quell-IP-Adresse aus dem Ursprung der Webanfrage. Wenn Ihr Datenverkehr über einen oder mehrere Proxys oder Load Balancer läuft, enthält der Ursprung der Webanfrage die Adresse des letzten Proxys und nicht die ursprüngliche Adresse des Clients. 

Wählen Sie eine oder mehrere dieser Regelgruppen aus, wenn Sie die Gefährdung durch Bot-Datenverkehr oder Exploits reduzieren oder geografische Einschränkungen für Ihre Inhalte durchsetzen möchten. Informationen zur Bot-Verwaltung finden Sie auch unter [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).

Die Regelgruppen in dieser Kategorie bieten keine Versionsverwaltungs- oder SNS-Aktualisierungsbenachrichtigungen. 

## Amazon IP-Reputationsliste
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Name:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**Anmerkung**  
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe „Amazon IP Reputation List“ enthält Regeln, die auf interner Threat Intelligence von Amazon basieren. Dies ist hilfreich, wenn Sie IP-Adressen blockieren möchten, die typischerweise mit Bots oder anderen Bedrohungen verbunden sind. Das Blockieren dieser IP-Adressen kann dazu beitragen, Bots zu minimieren und das Risiko zu verringern, dass ein schädlicher Akteur eine gefährdete Anwendung entdeckt.

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die in Ihrem Schutzpaket (Web-ACL) für Regeln verfügbar sind, die nach dieser Regelgruppe ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| AWSManagedIPReputationList |  Sucht nach IP-Adressen, bei denen festgestellt wurde, dass sie aktiv an böswilligen Aktivitäten beteiligt sind. AWS WAF sammelt die IP-Adressliste aus verschiedenen Quellen, einschließlich eines Threat Intelligence-Tools MadPot, das Amazon verwendet, um Kunden vor Cyberkriminalität zu schützen. Weitere Informationen zu finden Sie MadPot unter[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Regelaktion: Block Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Sucht nach Verbindungen von IP-Adressen, die Ressourcen ausfindig machen. AWS  Regelaktion: Block Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Sucht nach IP-Adressen, bei denen festgestellt wurde, dass sie aktiv an S-Aktivitäten beteiligt sind. DDo  Regelaktion: Count Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Verwaltete Regelgruppe „Anonymous IP list“
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Name:`AWSManagedRulesAnonymousIpList`, WCU: 50

**Anmerkung**  
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die Regelgruppe Liste anonymer IP-Adressen enthält Regeln zum Blockieren von Anfragen von Diensten, die die Verschleierung der Identität des Betrachters ermöglichen. Dazu gehören Anfragen von ProxysVPNs, Tor-Knoten und Webhosting-Anbietern. Diese Regelgruppe ist nützlich, wenn Sie Betrachter herausfiltern möchten, die möglicherweise versuchen, ihre Identität vor Ihrer Anwendung zu verbergen. Das Blockieren der IP-Adressen dieser Services kann dazu beitragen, Bots und Möglichkeiten zur Umgehung geografischer Einschränkungen zu minimieren.

Diese verwaltete Regelgruppe fügt den Webanfragen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| AnonymousIPList |  Prüft auf eine Liste von IP-Adressen von Quellen, die Clientinformationen anonymisieren, wie Tor-Knoten, temporäre Proxys und andere Maskierungsdienste.  Regelaktion: Block Label: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Sucht nach einer Liste mit IP-Adressen von Webhosting- und Cloud-Anbietern, von denen die Wahrscheinlichkeit geringer ist, dass sie Endbenutzer-Traffic generieren. Die IP-Liste enthält keine AWS IP-Adressen. Regelaktion: Block Label: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung
<a name="aws-managed-rule-groups-acfp"></a>

In diesem Abschnitt wird die Funktionsweise der AWS WAF verwalteten Regelgruppe Fraud Control Account Creation Fraud Prevention (ACFP) erläutert.

VendorName:`AWS`, Name:`AWSManagedRulesACFPRuleSet`, WCU: 50

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die AWS WAF verwaltete Regelgruppe Fraud Control Account Creation Fraud Prevention (ACFP) kennzeichnet und verwaltet Anfragen, die Teil betrügerischer Kontoerstellungsversuche sein könnten. Zu diesem Zweck überprüft die Regelgruppe Anfragen zur Kontoerstellung, die Kunden an die Registrierungs- und Kontoerstellungsendpunkte Ihrer Anwendung senden. 

Die ACFP-Regelgruppe überprüft Versuche zur Kontoerstellung auf verschiedene Weise, um Ihnen Transparenz und Kontrolle über potenziell bösartige Interaktionen zu geben. Die Regelgruppe verwendet Anforderungstoken, um Informationen über den Client-Browser und den Grad der menschlichen Interaktivität bei der Erstellung der Anfrage zur Kontoerstellung zu sammeln. Die Regelgruppe erkennt und verwaltet Versuche zur Erstellung mehrerer Konten, indem sie Anfragen nach IP-Adresse und Clientsitzung aggregiert und anhand der bereitgestellten Kontoinformationen wie der physischen Adresse und Telefonnummer aggregiert. Darüber hinaus erkennt und blockiert die Regelgruppe die Erstellung neuer Konten unter Verwendung kompromittierter Anmeldeinformationen. Dies trägt zum Schutz der Sicherheitslage Ihrer Anwendung und Ihrer neuen Benutzer bei. 

## Überlegungen zur Verwendung dieser Regelgruppe
<a name="aws-managed-rule-groups-acfp-using"></a>

Diese Regelgruppe erfordert eine benutzerdefinierte Konfiguration, die die Angabe der Kontoregistrierungs- und Kontoerstellungspfade Ihrer Anwendung umfasst. Sofern nicht anders angegeben, überprüfen die Regeln in dieser Regelgruppe alle Anfragen, die Ihre Clients an diese beiden Endpunkte senden. Anleitungen zur Konfiguration und Implementierung dieser Regelgruppe finden Sie unter [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md). 

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md).

Um Ihre Kosten niedrig zu halten und sicherzustellen, dass Sie Ihren Web-Traffic nach Ihren Wünschen verwalten, verwenden Sie diese Regelgruppe gemäß den Anweisungen unter. [Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md)

Diese Regelgruppe ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar. Sie können ein Schutzpaket (Web-ACL), das diese Regelgruppe verwendet, keinem Benutzerpool zuordnen, und Sie können diese Regelgruppe nicht zu einem Schutzpaket (Web-ACL) hinzufügen, das bereits einem Benutzerpool zugeordnet ist.

## Von dieser Regelgruppe hinzugefügte Bezeichnungen
<a name="aws-managed-rule-groups-acfp-labels"></a>

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 

### Token-Labels
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen. 

Hinweise zu Token und Tokenverwaltung finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).

Informationen zu den hier beschriebenen Label-Komponenten finden Sie unter[Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md).

**Bezeichnung der Clientsitzung**  
Das Label `awswaf:managed:token:id:identifier` enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. 

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Fingerabdruck-Label des Browsers**  
Das Etikett `awswaf:managed:token:fingerprint:fingerprint-identifier` enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Token-Statusbezeichnungen: Namespace-Präfixe für Labels**  
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen. 

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe: 
+ `awswaf:managed:token:`— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden. 
+ `awswaf:managed:captcha:`— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten. 

**Token-Statusbezeichnungen: Labelnamen**  
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status: 
+ `accepted`— Das Anforderungstoken ist vorhanden und enthält Folgendes: 
  + Eine gültige Challenge oder CAPTCHA-Lösung.
  + Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
  + Eine Domainspezifikation, die für das Protection Pack (Web-ACL) gültig ist. 

  Beispiel: Das Label `awswaf:managed:token:accepted` gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
+ `rejected`— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien. 

  Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben. 
  + `rejected:not_solved`— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung. 
  + `rejected:expired`— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den konfigurierten Token-Immunitätszeiten Ihres Schutzpakets (Web-ACL) abgelaufen. 
  + `rejected:domain_mismatch`— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets (Web-ACL). 
  + `rejected:invalid`— Das angegebene Token AWS WAF konnte nicht gelesen werden. 

  Beispiel: Die beiden Bezeichnungen `awswaf:managed:captcha:rejected` deuten `awswaf:managed:captcha:rejected:expired` zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die Immunitätszeit des CAPTCHA-Tokens überschritten hat, die im Schutzpaket (Web-ACL) konfiguriert ist.
+ `absent`— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen. 

  Beispiel: Das Label `awswaf:managed:captcha:absent` gibt an, dass die Anfrage das Token nicht enthält. 

### ACFP-Etiketten
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Diese Regelgruppe generiert Labels mit dem Namespace-Präfix, `awswaf:managed:aws:acfp:` gefolgt vom benutzerdefinierten Namespace und dem Labelnamen. Die Regelgruppe kann einer Anfrage mehr als ein Label hinzufügen. 

Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufen`DescribeManagedRuleGroup`. Die Kennzeichnungen werden in der Eigenschaft `AvailableLabels` in der Antwort aufgeführt. 

## Liste der Regeln zur Kontoerstellung und Betrugsprävention
<a name="aws-managed-rule-groups-acfp-rules"></a>

In diesem Abschnitt sind die ACFP-Regeln `AWSManagedRulesACFPRuleSet` und die Bezeichnungen aufgeführt, die die Regeln der Regelgruppe Webanfragen hinzufügen.

Für alle Regeln in dieser Regelgruppe ist ein Webanforderungstoken erforderlich, mit Ausnahme der ersten beiden `UnsupportedCognitoIDP` und`AllRequests`. Eine Beschreibung der Informationen, die das Token bereitstellt, finden Sie unter[AWS WAF Token-Eigenschaften](waf-tokens-details.md). 

Sofern nicht anders angegeben, überprüfen die Regeln in dieser Regelgruppe alle Anfragen, die Ihre Kunden an die Pfade zur Kontoregistrierung und Kontoerstellung senden, die Sie in der Regelgruppenkonfiguration angeben. Informationen zur Konfiguration dieser Regelgruppe finden Sie unter[AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md). 

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, was sie benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| UnsupportedCognitoIDP |  Prüft, ob Web-Traffic an einen Amazon Cognito Cognito-Benutzerpool gesendet wird. ACFP ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar, und diese Regel trägt dazu bei, dass die anderen ACFP-Regelgruppenregeln nicht zur Auswertung des Benutzerpool-Traffics verwendet werden. Regelaktion: Block Beschriftungen: und `awswaf:managed:aws:acfp:unsupported:cognito_idp` `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Wendet die Regelaktion auf Anfragen an, die auf den Pfad der Registrierungsseite zugreifen. Sie konfigurieren den Pfad der Registrierungsseite, wenn Sie die Regelgruppe konfigurieren.  Standardmäßig gilt diese Regel für Challenge Anfragen. Durch die Anwendung dieser Aktion stellt die Regel sicher, dass der Client ein Challenge-Token erhält, bevor Anfragen von den übrigen Regeln in der Regelgruppe ausgewertet werden.  Stellen Sie sicher, dass Ihre Endbenutzer den Pfad der Registrierungsseite laden, bevor sie eine Anfrage zur Kontoerstellung einreichen.  Token werden Anfragen durch die Client-Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Für die effizienteste Token-Akquisition empfehlen wir Ihnen dringend, die Anwendungsintegration zu verwenden SDKs. Weitere Informationen finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).  Regelaktion: Challenge Beschriftungen: Keine  | 
| RiskScoreHigh |  Prüft auf Anfragen zur Kontoerstellung mit IP-Adressen oder anderen Faktoren, die als äußerst verdächtig angesehen werden. Diese Bewertung basiert in der Regel auf mehreren Faktoren, die dazu beitragen. Sie können den `risk_score` Bezeichnungen entnehmen, die die Regelgruppe der Anfrage hinzufügt. Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:risk_score:high` und `awswaf:managed:aws:acfp:RiskScoreHigh`  Die Regel kann auch Labels `medium` oder `low` Risikoeinstufungen auf die Anfrage anwenden.  Wenn die Bewertung der Risikobewertung für die Webanfrage AWS WAF nicht erfolgreich ist, fügt die Regel die Bezeichnung hinzu `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Darüber hinaus fügt die Regel dem Namespace `awswaf:managed:aws:acfp:risk_score:contributor:` Labels hinzu, die den Status der Risikobewertung und Ergebnisse für bestimmte Faktoren, die zur Risikobewertung beitragen, enthalten, z. B. Bewertungen der IP-Reputation und der Bewertung gestohlener Anmeldeinformationen.  | 
| SignalCredentialCompromised |  Durchsucht die Datenbank mit gestohlenen Anmeldeinformationen nach den Anmeldeinformationen, die in der Anfrage zur Kontoerstellung übermittelt wurden.  Diese Regel stellt sicher, dass neue Kunden ihre Konten mit einer positiven Sicherheitslage initialisieren.   Sie können eine benutzerdefinierte Blockierungsantwort hinzufügen, um Ihrem Endbenutzer das Problem zu beschreiben und ihm mitzuteilen, wie er vorgehen soll. Weitere Informationen finden Sie unter [ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen](waf-acfp-control-example-compromised-credentials.md).  Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:signal:credential_compromised` und `awswaf:managed:aws:acfp:SignalCredentialCompromised`  Die Regelgruppe wendet das folgende zugehörige Label an, unternimmt jedoch keine Maßnahmen, da nicht alle Anfragen bei der Kontoerstellung über Anmeldeinformationen verfügen: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Überprüft das Token der Anfrage zur Kontoerstellung auf Daten, die auf eine abnormale menschliche Interaktion mit der Anwendung hinweisen. Menschliche Interaktivität wird anhand von Interaktionen wie Mausbewegungen und Tastendrücken erkannt. Wenn die Seite über ein HTML-Formular verfügt, umfasst die menschliche Interaktivität Interaktionen mit dem Formular.   Diese Regel prüft nur Anfragen an den Pfad zur Kontoerstellung und wird nur ausgewertet, wenn Sie die Anwendungsintegration implementiert haben. SDKs Die SDK-Implementierungen erfassen passiv menschliche Interaktivität und speichern die Informationen im Anforderungstoken. Weitere Informationen erhalten Sie unter [AWS WAF Token-Eigenschaften](waf-tokens-details.md) und [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).  Regelaktion: CAPTCHA Beschriftungen: Keine. Die Regel bestimmt eine Übereinstimmung auf der Grundlage verschiedener Faktoren, sodass es keine individuelle Bezeichnung gibt, die für jedes mögliche Übereinstimmungsszenario gilt. Die Regelgruppe kann eine oder mehrere der folgenden Bezeichnungen auf Anfragen anwenden:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Prüft auf Anzeichen dafür, dass der Client-Browser möglicherweise automatisiert ist.  Regelaktion: Block  Beschriftungen: `awswaf:managed:aws:acfp:signal:automated_browser` und `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Überprüft das Token der Anfrage auf inkonsistente Browser-Abfragedaten. Weitere Informationen finden Sie unter [AWS WAF Token-Eigenschaften](waf-tokens-details.md). Regelaktion: CAPTCHA  `awswaf:managed:aws:acfp:signal:browser_inconsistency`Beschriftungen: und `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Prüft, ob große Mengen von Anfragen zur Kontoerstellung von einzelnen IP-Adressen gesendet werden. Ein hohes Volumen besteht aus mehr als 20 Anfragen innerhalb eines Zeitfensters von 10 Minuten.  Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einem hohen Volumen können einige Anfragen das Limit überschreiten, bevor die Regelaktion angewendet wird.  Regelaktion: CAPTCHA Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` und `awswaf:managed:aws:acfp:VolumetricIpHigh`  Die Regel wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 15 Anfragen pro 10-Minuten-Fenster) und geringem Volumen (mehr als 10 Anfragen pro 10-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` und`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Prüft auf große Mengen von Anfragen zur Kontoerstellung, die aus einzelnen Kundensitzungen gesendet wurden. Bei einem hohen Volumen handelt es sich um mehr als 10 Anfragen innerhalb eines Zeitfensters von 30 Minuten.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` und `awswaf:managed:aws:acfp:VolumetricSessionHigh`  Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` und`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Prüft auf eine hohe Anzahl von Anfragen zur Kontoerstellung aus einer einzelnen Clientsitzung, die unterschiedliche Benutzernamen verwenden. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen innerhalb von 30 Minuten.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` und `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an Anfragen zur Durchquerung von Benutzernamen an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` und. `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`  | 
| VolumetricPhoneNumberHigh |  Prüft auf große Mengen von Anfragen zur Kontoerstellung, für die dieselbe Telefonnummer verwendet wird. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen innerhalb von 30 Minuten.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` und `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` und`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Prüft auf große Mengen von Anfragen zur Kontoerstellung, die dieselbe physische Adresse verwenden. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 100 Anfragen pro 30-Minuten-Fenster.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` und `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Prüft auf geringe und mittlere Mengen von Anfragen zur Kontoerstellung, die dieselbe physische Adresse verwenden. Der Schwellenwert für eine mittlere Bewertung liegt bei mehr als 50 Anfragen pro 30-Minuten-Fenster und bei einer niedrigen Bewertung bei mehr als 10 Anfragen pro 30-Minuten-Fenster.  Die Regel wendet die Aktion entweder für mittlere oder niedrige Volumen an.  Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: CAPTCHA Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` und `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Prüft, ob eine große Anzahl erfolgreicher Anfragen zur Kontoerstellung für eine einzelne IP-Adresse vorliegt. Diese Regel fasst erfolgreiche Antworten von der geschützten Ressource auf Anfragen zur Kontoerstellung zusammen. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen pro 10-Minuten-Fenster.  Diese Regel schützt vor Versuchen, Konten massenweise zu erstellen. Sie hat einen niedrigeren Schwellenwert als die Regel`VolumetricIpHigh`, bei der nur die Anfragen gezählt werden.  Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen.  Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen von einer IP-Adresse an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche von derselben IP-Adresse aus. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Misserfolge gezählt werden.   AWS WAF wertet diese Regel nur in Schutzpaketen (Web ACLs) aus, die CloudFront Amazon-Distributionen schützen.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr erfolgreiche Versuche zur Kontoerstellung sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` und `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein Zeitfenster von 10 Minuten. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`für mehr als 5 erfolgreiche Anfragen, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` für mehr als eine erfolgreiche Anfrage, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` für mehr als 10 fehlgeschlagene Anfragen, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` für mehr als 5 fehlgeschlagene Anfragen und `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` für mehr als eine fehlgeschlagene Anfrage.   | 
| VolumetricSessionSuccessfulResponse |  Überprüft, ob die geschützte Ressource nur wenige erfolgreiche Antworten auf Anfragen zur Kontoerstellung gesendet hat, die von einer einzelnen Clientsitzung aus gesendet wurden. Dies trägt zum Schutz vor Versuchen zur Erstellung mehrerer Konten bei. Der Schwellenwert für eine niedrige Bewertung liegt bei mehr als 1 Anfrage pro 30-Minuten-Fenster.  Dies schützt vor Versuchen, Konten in großen Mengen zu erstellen. Diese Regel verwendet einen niedrigeren Schwellenwert als die Regel`VolumetricSessionHigh`, die nur die Anfragen verfolgt.  Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen.  Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen aus einer Clientsitzung an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche aus derselben Clientsitzung. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Fehlschläge gezählt werden.   AWS WAF wertet diese Regel nur in Schutzpaketen (Web ACLs) aus, die CloudFront Amazon-Distributionen schützen.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Versuche zur Kontoerstellung sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` und `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an. Alle Zählungen beziehen sich auf ein Zeitfenster von 30 Minuten. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`für mehr als 10 erfolgreiche Anfragen, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` für mehr als 5 erfolgreiche Anfragen, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` für mehr als 10 fehlgeschlagene Anfragen, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` für mehr als 5 fehlgeschlagene Anfragen und `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` für mehr als eine fehlgeschlagene Anfrage.   | 
| VolumetricSessionTokenReuseIp |  Prüft Anfragen zur Kontoerstellung auf die Verwendung eines einzelnen Tokens unter mehr als 5 verschiedenen IP-Adressen.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` und `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung
<a name="aws-managed-rule-groups-atp"></a>

In diesem Abschnitt wird erklärt, was die verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen ( AWS WAF Fraud Control Account Takeover Prevention, ATP) bewirkt.

VendorName:`AWS`, Name:`AWSManagedRulesATPRuleSet`, WCU: 50

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen ( AWS WAF Fraud Control Account Takeover Prevention, ATP) kennzeichnet und verwaltet Anfragen, die Teil böswilliger Kontoübernahmeversuche sein könnten. Zu diesem Zweck untersucht die Regelgruppe Anmeldeversuche, die Clients an den Anmeldeendpunkt Ihrer Anwendung senden. 
+ **Überprüfung von Anfragen** — ATP bietet Ihnen Transparenz und Kontrolle über ungewöhnliche Anmeldeversuche und Anmeldeversuche, bei denen gestohlene Anmeldeinformationen verwendet werden, um Kontoübernahmen zu verhindern, die zu betrügerischen Aktivitäten führen könnten. ATP überprüft E-Mail- und Passwortkombinationen anhand seiner Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue durchgesickerte Anmeldeinformationen im Dark Web gefunden werden. ATP aggregiert Daten nach IP-Adresse und Clientsitzung, um Clients zu erkennen und zu blockieren, die zu viele Anfragen verdächtiger Art senden. 
+ **Überprüfung der Antworten** — Bei CloudFront Verteilungen untersucht die ATP-Regelgruppe nicht nur eingehende Anmeldeanfragen, sondern auch die Antworten Ihrer Anwendung auf Anmeldeversuche, um Erfolgs- und Fehlschlagquoten nachzuverfolgen. Mithilfe dieser Informationen kann ATP vorübergehend Clientsitzungen oder IP-Adressen blockieren, bei denen zu viele Anmeldefehler aufgetreten sind. AWS WAF führt die Antwortprüfung asynchron durch, sodass die Latenz Ihres Webverkehrs dadurch nicht erhöht wird. 

## Überlegungen zur Verwendung dieser Regelgruppe
<a name="aws-managed-rule-groups-atp-using"></a>

Für diese Regelgruppe ist eine spezielle Konfiguration erforderlich. Anleitungen zur Konfiguration und Implementierung dieser Regelgruppe finden Sie unter [AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md). 

Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md).

**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Um Ihre Kosten niedrig zu halten und sicherzustellen, dass Sie Ihren Web-Traffic nach Ihren Wünschen verwalten, verwenden Sie diese Regelgruppe gemäß den Anweisungen unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md).

Diese Regelgruppe ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar. Sie können ein Schutzpaket (Web-ACL), das diese Regelgruppe verwendet, keinem Benutzerpool zuordnen, und Sie können diese Regelgruppe nicht zu einem Schutzpaket (Web-ACL) hinzufügen, das bereits einem Benutzerpool zugeordnet ist.

## Von dieser Regelgruppe hinzugefügte Bezeichnungen
<a name="aws-managed-rule-groups-atp-labels"></a>

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 

### Token-Labels
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen. 

Hinweise zu Token und Tokenverwaltung finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).

Informationen zu den hier beschriebenen Label-Komponenten finden Sie unter[Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md).

**Bezeichnung der Clientsitzung**  
Das Label `awswaf:managed:token:id:identifier` enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. 

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Fingerabdruck-Label des Browsers**  
Das Etikett `awswaf:managed:token:fingerprint:fingerprint-identifier` enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Token-Statusbezeichnungen: Namespace-Präfixe für Labels**  
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen. 

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe: 
+ `awswaf:managed:token:`— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden. 
+ `awswaf:managed:captcha:`— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten. 

**Token-Statusbezeichnungen: Labelnamen**  
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status: 
+ `accepted`— Das Anforderungstoken ist vorhanden und enthält Folgendes: 
  + Eine gültige Challenge oder CAPTCHA-Lösung.
  + Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
  + Eine Domainspezifikation, die für das Protection Pack (Web-ACL) gültig ist. 

  Beispiel: Das Label `awswaf:managed:token:accepted` gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
+ `rejected`— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien. 

  Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben. 
  + `rejected:not_solved`— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung. 
  + `rejected:expired`— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den konfigurierten Token-Immunitätszeiten Ihres Schutzpakets (Web-ACL) abgelaufen. 
  + `rejected:domain_mismatch`— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets (Web-ACL). 
  + `rejected:invalid`— Das angegebene Token AWS WAF konnte nicht gelesen werden. 

  Beispiel: Die beiden Bezeichnungen `awswaf:managed:captcha:rejected` deuten `awswaf:managed:captcha:rejected:expired` zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die Immunitätszeit des CAPTCHA-Tokens überschritten hat, die im Schutzpaket (Web-ACL) konfiguriert ist.
+ `absent`— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen. 

  Beispiel: Das Label `awswaf:managed:captcha:absent` gibt an, dass die Anfrage das Token nicht enthält. 

### ATP-Etiketten
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Die von ATP verwaltete Regelgruppe generiert Labels mit dem Namespace-Präfix, `awswaf:managed:aws:atp:` gefolgt vom benutzerdefinierten Namespace und dem Labelnamen. 

Die Regelgruppe kann zusätzlich zu den Bezeichnungen, die in der Regelliste aufgeführt sind, eines der folgenden Labels hinzufügen:
+ `awswaf:managed:aws:atp:signal:credential_compromised`— Zeigt an, dass sich die Anmeldeinformationen, die in der Anfrage übermittelt wurden, in der Datenbank mit gestohlenen Anmeldeinformationen befinden. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Nur für geschützte CloudFront Amazon-Distributionen verfügbar. Zeigt an, dass eine Clientsitzung mehrere Anfragen gesendet hat, bei denen ein verdächtiger TLS-Fingerabdruck verwendet wurde. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`— Weist auf die Verwendung eines einzelnen Tokens unter mehr als 5 verschiedenen IP-Adressen hin. Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor das Etikett angewendet wird. 

Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufen`DescribeManagedRuleGroup`. Die Kennzeichnungen werden in der Eigenschaft `AvailableLabels` in der Antwort aufgeführt. 

## Liste der Regeln zur Verhinderung von Kontoübernahmen
<a name="aws-managed-rule-groups-atp-rules"></a>

In diesem Abschnitt sind die ATP-Regeln `AWSManagedRulesATPRuleSet` und die Bezeichnungen aufgeführt, die die Regeln der Regelgruppe Webanfragen hinzufügen.

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Regelname | Beschreibung und Kennzeichnung | 
| --- | --- | 
| UnsupportedCognitoIDP | Prüft, ob Web-Traffic an einen Amazon Cognito Cognito-Benutzerpool gesendet wird. ATP ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar, und diese Regel trägt dazu bei, dass die anderen ATP-Regelgruppenregeln nicht zur Auswertung des Benutzerpool-Datenverkehrs verwendet werden. Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:unsupported:cognito_idp` und `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Prüft auf eine hohe Anzahl von Anforderungen, die von einzelnen IP-Adressen gesendet werden. Ein hohes Volumen bedeutet mehr als 20 Anfragen in einem 10-Minuten-Fenster.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einem hohen Volumen können einige Anfragen das Limit überschreiten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` und `awswaf:managed:aws:atp:VolumetricIpHigh`  Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 15 Anfragen pro 10-Minuten-Fenster) und geringem Volumen (mehr als 10 Anfragen pro 10-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` und`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Prüft, ob große Mengen von Anfragen aus einzelnen Clientsitzungen gesendet wurden. Der Schwellenwert liegt bei mehr als 20 Anfragen pro 30-Minuten-Fenster.  Diese Inspektion gilt nur, wenn die Webanforderung über ein Token verfügt. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).  Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:volumetric:session` und `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen und für die gestohlene Anmeldeinformationen verwendet wurden.  Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` und `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen und die Benutzernamendurchquerung verwenden.  Regelaktion: Block Labels: und `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Prüft, ob mehrere Anfragen mit demselben Benutzernamen vorhanden sind, die das Durchqueren von Passwörtern verwenden.  Regelaktion: Block Labels: und `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen, für die lang andauernde Sitzungen verwendet werden. Der Schwellenwert liegt bei mehr als 6 Stunden Traffic, bei dem alle 30 Minuten mindestens eine Anmeldeanfrage gestellt wird. Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:attribute:long_session` und `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Prüft auf Anfragen mit Tokens, die von der AWS WAF Tokenverwaltung abgelehnt wurden.  Diese Inspektion gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: Block Beschriftungen: Keine. Um zu überprüfen, ob das Token abgelehnt wurde, verwenden Sie eine Label-Abgleichsregel für den Abgleich auf dem Etikett:`awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Prüft auf Anfragen mit Anmeldeinformationen, bei denen der Benutzername oder das Passwort fehlen.  Regelaktion: Block Labels: `awswaf:managed:aws:atp:signal:missing_credential` und `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Prüft nach IP-Adressen, auf die in letzter Zeit eine zu hohe Anzahl fehlgeschlagener Anmeldeversuche zurückzuführen ist. Ein hohes Volumen besteht aus mehr als 10 fehlgeschlagenen Anmeldeanfragen von einer IP-Adresse innerhalb eines Zeitfensters von 10 Minuten.  Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen.  Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen von einer IP-Adresse an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche von derselben IP-Adresse. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Misserfolge gezählt werden.   AWS WAF wertet diese Regel nur in Schutzpaketen (Web ACLs) aus, die CloudFront Amazon-Distributionen schützen.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Anmeldeversuche sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt.   Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` und `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein Zeitfenster von 10 Minuten. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`für mehr als 5 fehlgeschlagene Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` für mehr als 1 fehlgeschlagene Anfrage, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` für mehr als 10 erfolgreiche Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` für mehr als 5 erfolgreiche Anfragen und `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` für mehr als 1 erfolgreiche Anfrage.   | 
| VolumetricSessionFailedLoginResponseHigh |  Sucht nach Clientsitzungen, die in letzter Zeit zu viele fehlgeschlagene Anmeldeversuche verursacht haben. Ein hohes Volumen besteht aus mehr als 10 fehlgeschlagenen Anmeldeanfragen aus einer Clientsitzung innerhalb eines Zeitfensters von 30 Minuten.  Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen.  Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen aus einer Clientsitzung an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche aus derselben Clientsitzung. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Fehlschläge gezählt werden.   AWS WAF wertet diese Regel nur in Schutzpaketen (Web ACLs) aus, die CloudFront Amazon-Distributionen schützen.   Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Anmeldeversuche sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt.   Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: Block Beschriftungen: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` und `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein 30-Minuten-Fenster. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`für mehr als 5 fehlgeschlagene Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` für mehr als 1 fehlgeschlagene Anfrage, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` für mehr als 10 erfolgreiche Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` für mehr als 5 erfolgreiche Anfragen und `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` für mehr als 1 erfolgreiche Anfrage.   | 

# AWS WAF Regelgruppe „Bot-Kontrolle“
<a name="aws-managed-rule-groups-bot"></a>

In diesem Abschnitt wird erklärt, was die von Bot Control verwaltete Regelgruppe tut.

VendorName:`AWS`, Name:`AWSManagedRulesBotControlRuleSet`, WCU: 50

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie eine neue Bot-Klassifizierung für die Bot-Kontrolle beantragen möchten oder zusätzliche Informationen benötigen, die hier nicht behandelt werden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/).

Die verwaltete Regelgruppe von Bot Control stellt Regeln zur Verwaltung von Anfragen von Bots bereit. Bots können überschüssige Ressourcen verbrauchen, Geschäftskennzahlen verfälschen, Ausfallzeiten verursachen und böswillige Aktivitäten ausführen. 

## Schutzstufen
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

Die von Bot Control verwaltete Regelgruppe bietet zwei Schutzstufen, aus denen Sie wählen können: 
+ **Allgemein** — Erkennt eine Vielzahl von sich selbst identifizierenden Bots, z. B. Web-Scraping-Frameworks, Suchmaschinen und automatisierte Browser. Bot-Control-Schutzmaßnahmen auf dieser Ebene identifizieren häufig auftretende Bots mithilfe herkömmlicher Bot-Erkennungstechniken, wie z. B. der Analyse statischer Anforderungsdaten. Die Regeln kennzeichnen den Traffic dieser Bots und blockieren diejenigen, die sie nicht verifizieren können. 
+ **Gezielt** — Beinhaltet Schutzmaßnahmen auf allgemeiner Ebene und bietet eine gezielte Erkennung für ausgeklügelte Bots, die sich nicht selbst identifizieren. Gezielte Schutzmaßnahmen reduzieren Bot-Aktivitäten mithilfe einer Kombination aus Ratenbegrenzung und CAPTCHA sowie Browser-Herausforderungen im Hintergrund. 
  + **`TGT_`**— Regeln, die gezielten Schutz bieten, haben Namen, die mit beginnen. `TGT_` Alle gezielten Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren. 
  + **`TGT_ML_`**— Gezielte Schutzregeln, die maschinelles Lernen verwenden, haben Namen, die mit beginnen. `TGT_ML_` Diese Regeln verwenden automatisierte, maschinelle Lernanalysen der Besucherstatistiken von Websites, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet. AWS WAF analysiert Statistiken über Ihren Website-Verkehr wie Zeitstempel, Browsereigenschaften und die zuvor besuchte URL, um das maschinelle Lernmodell von Bot Control zu verbessern. Funktionen für maschinelles Lernen sind standardmäßig aktiviert, Sie können sie jedoch in Ihrer Regelgruppenkonfiguration deaktivieren. Wenn maschinelles Lernen deaktiviert ist, werden diese Regeln AWS WAF nicht ausgewertet. 

Sowohl die angestrebte Schutzstufe als auch die AWS WAF ratenbasierte Regelaussage bieten eine Ratenbegrenzung. Einen Vergleich der beiden Optionen finden Sie unter. [Optionen zur Ratenbegrenzung in ratenbasierten Regeln und gezielten Bot-Kontrollregeln](waf-rate-limiting-options.md)

## Überlegungen zur Verwendung dieser Regelgruppe
<a name="aws-managed-rule-groups-bot-using"></a>

Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md).

**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Um Ihre Kosten niedrig zu halten und sicherzustellen, dass Sie Ihren Web-Traffic nach Ihren Wünschen verwalten, verwenden Sie diese Regelgruppe gemäß den Anweisungen unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md).

Wir aktualisieren regelmäßig unsere Modelle für maschinelles Lernen (ML) für die angestrebte Schutzstufe, um die ML-basierten Regeln zu verbessern, um die Bot-Vorhersagen zu verbessern. Die Namen der ML-basierten Regeln beginnen mit. `TGT_ML_` Wenn Sie eine plötzliche und wesentliche Änderung der Bot-Vorhersagen aufgrund dieser Regeln feststellen, kontaktieren Sie uns über Ihren Kundenbetreuer oder eröffnen Sie einen Fall im [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

## Von dieser Regelgruppe hinzugefügte Labels
<a name="aws-managed-rule-groups-bot-labels"></a>

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 

### Token-Labels
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen. 

Hinweise zu Token und Tokenverwaltung finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).

Informationen zu den hier beschriebenen Label-Komponenten finden Sie unter[Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md).

**Bezeichnung der Clientsitzung**  
Das Label `awswaf:managed:token:id:identifier` enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. 

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Fingerabdruck-Label des Browsers**  
Das Etikett `awswaf:managed:token:fingerprint:fingerprint-identifier` enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Token-Statusbezeichnungen: Namespace-Präfixe für Labels**  
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen. 

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe: 
+ `awswaf:managed:token:`— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden. 
+ `awswaf:managed:captcha:`— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten. 

**Token-Statusbezeichnungen: Labelnamen**  
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status: 
+ `accepted`— Das Anforderungstoken ist vorhanden und enthält Folgendes: 
  + Eine gültige Challenge oder CAPTCHA-Lösung.
  + Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
  + Eine Domainspezifikation, die für das Protection Pack (Web-ACL) gültig ist. 

  Beispiel: Das Label `awswaf:managed:token:accepted` gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
+ `rejected`— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien. 

  Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben. 
  + `rejected:not_solved`— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung. 
  + `rejected:expired`— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den konfigurierten Token-Immunitätszeiten Ihres Schutzpakets (Web-ACL) abgelaufen. 
  + `rejected:domain_mismatch`— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets (Web-ACL). 
  + `rejected:invalid`— Das angegebene Token AWS WAF konnte nicht gelesen werden. 

  Beispiel: Die beiden Bezeichnungen `awswaf:managed:captcha:rejected` deuten `awswaf:managed:captcha:rejected:expired` zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die im Schutzpaket (Web-ACL) konfigurierte Immunitätszeit des CAPTCHA-Tokens überschritten hat.
+ `absent`— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen. 

  Beispiel: Das Label `awswaf:managed:captcha:absent` gibt an, dass die Anfrage das Token nicht enthält. 

### Beschriftungen von Bot Control
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Die von Bot Control verwaltete Regelgruppe generiert Labels mit dem Namespace-Präfix, `awswaf:managed:aws:bot-control:` gefolgt vom benutzerdefinierten Namespace und dem Labelnamen. Die Regelgruppe kann einer Anfrage mehr als ein Label hinzufügen. 

Jedes Label spiegelt die Ergebnisse der Bot-Control-Regel wider: 
+ `awswaf:managed:aws:bot-control:bot:`— Informationen über den Bot, der mit der Anfrage verknüpft ist. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`— Der Bot-Name, falls einer verfügbar ist, z. B. die benutzerdefinierten Namespaces`bot:name:slurp`, `bot:name:googlebot` und. `bot:name:pocket_parser` 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifiziert den spezifischen Bot anhand des RFC-Produkt-Tokens aus der WBA-Signatur. Dies wird verwendet, um detaillierte benutzerdefinierte Regeln für bestimmte Bots zu erstellen. Erlauben Sie beispielsweise andere Crawler, `GoogleBot` aber setzen Sie deren Rate ein. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— Die Bot-Kategorie, wie sie beispielsweise durch AWS WAF und definiert wird. `bot:category:search_engine` `bot:category:content_fetcher` 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`— Nur für Bots, die Amazon Bedrock Agent Core verwenden. Dieses Label enthält einen undurchsichtigen Hash, der das AWS Konto, dem der Agent gehört, eindeutig identifiziert. Verwenden Sie dieses Label, um benutzerdefinierte Regeln zu erstellen, die Bots von bestimmten AWS Konten aus zulassen, blockieren oder einschränken, ohne dass Konten in Protokollen offengelegt werden. IDs 
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Wird angewendet, wenn die Validierung der Web-Bot-Authentifizierung (WBA) für eine Anfrage durchgeführt wird. Das Statussuffix gibt das Ergebnis der Überprüfung an:
    + `web_bot_auth:verified`— Die Signatur wurde erfolgreich anhand des Verzeichnisses mit öffentlichen Schlüsseln validiert
    + `web_bot_auth:invalid`— Signatur vorhanden, aber die kryptografische Validierung ist fehlgeschlagen
    + `web_bot_auth:expired`— Für die Signatur wurde ein abgelaufener kryptografischer Schlüssel verwendet
    + `web_bot_auth:unknown_bot`— Die Schlüssel-ID wurde im Schlüsselverzeichnis nicht gefunden
**Anmerkung**  
Wenn das `web_bot_auth:verified` Label vorhanden ist, stimmen die `CategoryAI` und `TGT_TokenAbsent` -Regeln nicht überein, sodass verifizierte WBA-Hosts fortfahren können.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`— Der Herausgeber des Bots, zum Beispiel. `bot:organization:google` 
  + `awswaf:managed:aws:bot-control:bot:verified`— Wird verwendet, um auf einen Bot hinzuweisen, der sich selbst identifiziert und den Bot Control verifizieren konnte. Dies wird für gängige wünschenswerte Bots verwendet und kann in Kombination mit Kategoriekennzeichnungen wie `bot:category:search_engine` oder Namenskennzeichnungen wie `bot:name:googlebot` nützlich sein. 
**Anmerkung**  
Bot Control verwendet die IP-Adresse aus der Herkunft der Webanfrage, um festzustellen, ob ein Bot verifiziert ist. Sie können es nicht so konfigurieren, dass es die AWS WAF weitergeleitete IP-Konfiguration verwendet, um eine andere IP-Adressquelle zu überprüfen. Wenn Sie Bots verifiziert haben, die über einen Proxy oder Load Balancer weiterleiten, können Sie zu diesem Zweck eine Regel hinzufügen, die vor der Regelgruppe Bot Control ausgeführt wird. Konfigurieren Sie Ihre neue Regel so, dass sie die weitergeleitete IP-Adresse verwendet und Anfragen von verifizierten Bots explizit zulässt. Informationen zur Verwendung weitergeleiteter IP-Adressen finden Sie unter[Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifiziert den Anbieter oder Betreiber eines verifizierten Bots. Derzeit nur für Agentcore verfügbar. Wird verwendet, um benutzerdefinierte Regeln zu erstellen, die bestimmte Bot-Anbieter unabhängig von den einzelnen Bot-Namen zulassen oder blockieren.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`— Wird verwendet, um auf einen Bot hinzuweisen, der einem verifizierten Bot ähnelt, der aber möglicherweise direkt von Endbenutzern aufgerufen wird. Diese Bot-Kategorie wird nach den Bot-Kontrollregeln wie ein nicht verifizierter Bot behandelt. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`— Wird verwendet, um auf einen Bot hinzuweisen, der einem verifizierten Bot ähnelt, der aber von Entwicklerplattformen für die Skripterstellung verwendet wird, beispielsweise Google Apps Script. Diese Kategorie von Bots wird nach den Bot-Kontrollregeln wie ein nicht verifizierter Bot behandelt. 
  + `awswaf:managed:aws:bot-control:bot:unverified`— Wird verwendet, um auf einen Bot hinzuweisen, der sich selbst identifiziert, sodass er benannt und kategorisiert werden kann, der aber keine Informationen veröffentlicht, anhand derer seine Identität unabhängig überprüft werden kann. Diese Arten von Bot-Signaturen können gefälscht werden und werden daher als nicht verifiziert behandelt. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `— Wird für Labels verwendet, die spezifisch für die gezielten Schutzmaßnahmen von Bot Control sind. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>`und `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> ` — Wird in einigen Situationen verwendet, um zusätzliche Informationen zur Anfrage bereitzustellen. 

  Im Folgenden finden Sie Beispiele für Signalbezeichnungen. Diese Liste ist nicht vollständig:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`— Gibt einen Clouddienstanbieter (CSP) für die Anfrage an. CSPs Beispiele hierfür sind `aws` für die Amazon Web Services Services-Infrastruktur, `gcp` für die Google Cloud Platform (GCP) -Infrastruktur, `azure` für Microsoft Azure-Cloud-Dienste und `oracle` für Oracle Cloud-Dienste. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`— Weist auf die Erkennung einer Browsererweiterung hin, die die Automatisierung unterstützt, z. B. Selenium IDE. 

    Dieses Label wird immer dann hinzugefügt, wenn ein Benutzer diese Art von Erweiterung installiert hat, auch wenn er sie nicht aktiv verwendet. Wenn Sie hierfür eine Regel zum Abgleich von Bezeichnungen implementieren, sollten Sie sich dieser Möglichkeit von Fehlalarmen in Ihrer Regellogik und Ihren Aktionseinstellungen bewusst sein. Sie könnten beispielsweise eine CAPTCHA Aktion anstelle von Label-Matches verwenden Block oder diesen Label-Abgleich mit anderen Label-Übereinstimmungen kombinieren, um Ihr Vertrauen zu erhöhen, dass Automatisierung verwendet wird.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`— Zeigt an, dass die Anfrage Hinweise darauf enthält, dass der Client-Browser möglicherweise automatisiert ist.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Weist darauf hin, dass das AWS WAF Token der Anfrage Hinweise darauf enthält, dass der Client-Browser automatisiert sein könnte.

Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufen`DescribeManagedRuleGroup`. Die Kennzeichnungen werden in der Eigenschaft `AvailableLabels` in der Antwort aufgeführt. 

Die von Bot Control verwaltete Regelgruppe wendet Kennzeichnungen auf eine Reihe verifizierbarer Bots an, die üblicherweise zulässig sind. Die Regelgruppe blockiert diese verifizierten Bots nicht. Wenn Sie möchten, können Sie sie oder einen Teil davon blockieren, indem Sie eine benutzerdefinierte Regel schreiben, die die Labels verwendet, die von der verwalteten Regelgruppe Bot Control zugewiesen wurden. Weitere Informationen und Beispiele finden Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md).

## Liste der Bot-Control-Regeln
<a name="aws-managed-rule-groups-bot-rules"></a>

In diesem Abschnitt sind die Bot-Control-Regeln aufgeführt.

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen das bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie eine neue Bot-Klassifizierung für die Bot-Kontrolle beantragen möchten oder zusätzliche Informationen benötigen, die hier nicht behandelt werden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/).


| Regelname | Description | 
| --- | --- | 
| CategoryAdvertising |  Prüft auf Bots, die zu Werbezwecken verwendet werden. Beispielsweise können Sie Werbedienste von Drittanbietern verwenden, die programmgesteuert auf Ihre Website zugreifen müssen.  Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block Labels: `awswaf:managed:aws:bot-control:bot:category:advertising` und `awswaf:managed:aws:bot-control:CategoryAdvertising`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Prüft auf Bots, die zu Archivierungszwecken verwendet werden. Diese Bots crawlen das Internet und erfassen Inhalte, um Archive zu erstellen. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:archiver` und `awswaf:managed:aws:bot-control:CategoryArchiver`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Prüft nach Bots, die die Website der Anwendung im Namen eines Benutzers besuchen, um Inhalte wie RSS-Feeds abzurufen oder Ihre Inhalte zu verifizieren oder zu validieren.  Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` und `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Sucht nach Bots, die Links in E-Mails überprüfen, die auf die Website der Anwendung verweisen. Dazu können Bots gehören, die von Unternehmen und E-Mail-Anbietern betrieben werden, um Links in E-Mails zu verifizieren und verdächtige E-Mails zu kennzeichnen. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:email_client` und `awswaf:managed:aws:bot-control:CategoryEmailClient`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Prüft auf Anfragen, die von Bots aus den HTTP-Bibliotheken verschiedener Programmiersprachen generiert wurden. Dazu können API-Anfragen gehören, die Sie zulassen oder überwachen möchten. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:http_library` und `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Prüft auf Bots, die nach defekten Links suchen.  Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:link_checker` und `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Sucht nach verschiedenen Bots, die nicht mit anderen Kategorien übereinstimmen.  Regelaktion, gilt nur für nicht verifizierte Bots: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` und `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Prüft auf Bots, die zu Überwachungszwecken verwendet werden. Sie können beispielsweise Bot-Überwachungsdienste verwenden, die regelmäßig einen Ping-Befehl an die Website Ihrer Anwendung senden, um beispielsweise Leistung und Verfügbarkeit zu überwachen. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:monitoring` und `awswaf:managed:aws:bot-control:CategoryMonitoring`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Prüft auf Bots, die Seitenvorschauen und Linkvorschauen generieren, wenn Inhalte auf Messaging-Plattformen, sozialen Medien oder Tools für die Zusammenarbeit geteilt werden. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:page_preview` und `awswaf:managed:aws:bot-control:CategoryPagePreview`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Sucht nach Bots aus Web-Scraping-Frameworks, die zum Automatisieren des Crawlens und Extrahieren von Inhalten von Websites verwendet werden.  Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` und `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Sucht nach Suchmaschinen-Bots, die Websites crawlen, um Inhalte zu indexieren und die Informationen für Suchmaschinenergebnisse verfügbar zu machen. Regelaktion, gilt nur für nicht verifizierte Bots: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:search_engine` und `awswaf:managed:aws:bot-control:CategorySearchEngine`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Prüft nach Bots, die Webanwendungen auf Sicherheitslücken scannen oder Sicherheitsüberprüfungen durchführen. Sie könnten beispielsweise einen Drittanbieter für Sicherheitslösungen beauftragen, der die Sicherheit Ihrer Webanwendung scannt, überwacht oder überprüft. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:security` und `awswaf:managed:aws:bot-control:CategorySecurity`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Prüft auf Bots, die für die Suchmaschinenoptimierung verwendet werden. Sie könnten beispielsweise Suchmaschinentools verwenden, die Ihre Website crawlen, um Ihre Platzierungen in Suchmaschinen zu verbessern.  Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:seo` und `awswaf:managed:aws:bot-control:CategorySeo`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Sucht nach Bots, die von Social-Media-Plattformen verwendet werden, um Inhaltszusammenfassungen bereitzustellen, wenn Benutzer Ihre Inhalte teilen. Regelaktion, gilt nur für nicht verifizierte Bots: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:social_media` und `awswaf:managed:aws:bot-control:CategorySocialMedia`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Prüft nach Bots, die automatische Benachrichtigungen und Datenaktualisierungen von einer Anwendung zur anderen über HTTP-Callbacks übermitteln. Regelaktion, die nur auf nicht verifizierte Bots angewendet wird: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:webhooks` und `awswaf:managed:aws:bot-control:CategoryWebhooks`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und ergreift keine Maßnahmen. Sie fügt jedoch den Bot-Namen und die Kategoriebezeichnung sowie die Bezeichnung hinzu`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Prüft nach Bots mit künstlicher Intelligenz (KI).  Diese Regel wendet die Aktion auf alle Treffer an, unabhängig davon, ob die Bots verifiziert oder nicht verifiziert sind. Regelaktion: Block  Labels: `awswaf:managed:aws:bot-control:bot:category:ai` und `awswaf:managed:aws:bot-control:CategoryAI`  Bei verifizierten Bots entspricht die Regelgruppe dieser Regel und ergreift eine Aktion. Zusätzlich werden der Bot-Name und die Kategoriekennzeichnung, die Regelbeschriftung sowie die Bezeichnung hinzugefügt`awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Überprüft Anfragen, die nicht von verifizierten Bots stammen, auf Anzeichen dafür, dass der Client-Browser möglicherweise automatisiert ist. Automatisierte Browser können zum Testen oder Scraping verwendet werden. Sie können diese Browsertypen beispielsweise verwenden, um Ihre Anwendungswebsite zu überwachen oder zu verifizieren. Regelaktion: Block  Labels: `awswaf:managed:aws:bot-control:signal:automated_browser` und `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und verwendet keine Signal- oder Regelbezeichnungen.  | 
| SignalKnownBotDataCenter |  Überprüft Anfragen, die nicht von verifizierten Bots stammen, auf Indikatoren für Rechenzentren, die normalerweise von Bots genutzt werden.  Regelaktion: Block  Labels: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` und `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und verwendet keine Signal- oder Regelbezeichnungen.  | 
| SignalNonBrowserUserAgent |  Überprüft Anfragen, die nicht von verifizierten Bots stammen, auf User-Agent-Strings, die anscheinend nicht von einem Webbrowser stammen. Diese Kategorie kann API-Anfragen beinhalten.  Regelaktion: Block  Labels: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` und `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Bei verifizierten Bots entspricht die Regelgruppe nicht dieser Regel und verwendet keine Signal- oder Regelbezeichnungen.  | 
| TGT\$1VolumetricIpTokenAbsent |  Prüft Anfragen, die nicht von verifizierten Bots stammen, mit 5 oder mehr Anfragen von einem einzelnen Client in den letzten 5 Minuten, die kein gültiges Challenge-Token enthalten. Informationen zu Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).  Es ist möglich, dass diese Regel bei einer Anfrage mit einem Token übereinstimmt, wenn bei Anfragen desselben Clients in letzter Zeit Token fehlten.  Der Schwellenwert, für den diese Regel gilt, kann aufgrund der Latenz leicht variieren.   Diese Regel behandelt fehlende Token anders als die Token-Kennzeichnung:`awswaf:managed:token:absent`. Das Token-Labeling kennzeichnet einzelne Anfragen, die kein Token haben. Diese Regel erfasst für jede Client-IP die Anzahl der Anfragen, denen ihr Token fehlt, und vergleicht sie mit Clients, die das Limit überschreiten.  Regelaktion: Challenge  Beschriftungen: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` und `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Prüft Anfragen, die nicht von verifizierten Bots stammen und kein gültiges Challenge-Token enthalten. Informationen zu Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).  Regelaktion: Count  Beschriftungen: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Prüft innerhalb von 5 Minuten nach einer ungewöhnlich hohen Anzahl von Anfragen, die nicht von verifizierten Bots stammen und aus einer einzelnen Client-Sitzung stammen. Die Bewertung basiert auf einem Vergleich mit volumetrischen Standardbasislinien, bei dem historische Verkehrsmuster verwendet werden. AWS WAF  Diese Prüfung gilt nur, wenn die Webanforderung über ein Token verfügt. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).  Es kann 5 Minuten dauern, bis diese Regel wirksam wird, nachdem Sie sie aktiviert haben. Bot Control identifiziert anomales Verhalten in Ihrem Web-Traffic, indem es den aktuellen Traffic mit den von Ihnen berechneten Traffic-Baselines vergleicht. AWS WAF   Regelaktion: CAPTCHA  `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high`Labels: und `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem und niedrigerem Volumen an, die über einem Mindestschwellenwert liegen. Für diese Stufen ergreift die Regel keine Aktion, unabhängig davon, ob der Client verifiziert ist: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` und`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Prüft innerhalb von 5 Minuten nach einer ungewöhnlich hohen Anzahl von Anfragen, die nicht von verifizierten Bots stammen und aus einer einzelnen Client-Sitzung stammen. Die Bewertung basiert auf einem Vergleich mit volumetrischen Standardbasislinien, bei dem historische Verkehrsmuster verwendet werden. AWS WAF  Diese Regel gibt das maximale Vertrauen in die Bewertung an. Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).  Es kann 5 Minuten dauern, bis diese Regel wirksam wird, nachdem Sie sie aktiviert haben. Bot Control identifiziert anomales Verhalten in Ihrem Web-Traffic, indem es den aktuellen Traffic mit den von Ihnen berechneten Traffic-Baselines vergleicht. AWS WAF   Regelaktion: Block  `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum`Labels: und `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Überprüft die Tokens von Anfragen, die nicht von verifizierten Bots stammen, auf Anzeichen dafür, dass der Client-Browser möglicherweise automatisiert ist. Weitere Informationen finden Sie unter [AWS WAF Token-Eigenschaften](waf-tokens-details.md). Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: CAPTCHA  Beschriftungen: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` und `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Prüft Anfragen, die nicht von verifizierten Bots stammen und auf das Vorhandensein einer Browsererweiterung hinweisen, die die Automatisierung unterstützt, wie z. B. Selenium IDE. Diese Regel gilt immer dann, wenn ein Benutzer diese Art von Erweiterung installiert hat, auch wenn er sie nicht aktiv verwendet.  Diese Überprüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: CAPTCHA  Beschriftungen: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` und `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Überprüft Anfragen, die nicht von verifizierten Bots stammen, auf inkonsistente Browser-Abfragedaten. Weitere Informationen finden Sie unter [AWS WAF Token-Eigenschaften](waf-tokens-details.md). Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegration SDKs und durch die Regelaktionen CAPTCHA und hinzugefügtChallenge. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Regelaktion: CAPTCHA  Beschriftungen: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` und `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Prüft Anfragen, die nicht von verifizierten Bots stammen, auf ungewöhnliches Verhalten, das mit verteilten, koordinierten Bot-Aktivitäten übereinstimmt. Die Regelstufen geben an, mit welcher Sicherheit eine Gruppe von Anfragen an einem koordinierten Angriff beteiligt ist.   Diese Regeln werden nur ausgeführt, wenn die Regelgruppe für maschinelles Lernen (ML) konfiguriert ist. Informationen zur Konfiguration dieser Auswahl finden Sie unter[Hinzufügen der von AWS WAF Bot Control verwalteten Regelgruppe zu Ihrer Web-ACL](waf-bot-control-rg-using.md).   Die Schwellenwerte, für die diese Regeln gelten, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   AWS WAF führt diese Inspektion durch maschinelles Lernen durch, indem die Besucherstatistiken der Website analysiert werden. AWS WAF analysiert den Webverkehr alle paar Minuten und optimiert die Analyse für die Erkennung von Bots mit geringer Intensität und langer Dauer, die über viele IP-Adressen verteilt sind.  Diese Regeln stimmen möglicherweise bei einer sehr kleinen Anzahl von Anfragen überein, bevor festgestellt wird, dass kein koordinierter Angriff im Gange ist. Wenn Sie also nur ein oder zwei Übereinstimmungen sehen, sind die Ergebnisse möglicherweise falsch positiv. Wenn Sie jedoch feststellen, dass viele Spiele aufgrund dieser Regeln auftreten, handelt es sich wahrscheinlich um einen koordinierten Angriff.   Es kann bis zu 24 Stunden dauern, bis diese Regeln in Kraft treten, nachdem Sie die gezielten Bot-Control-Regeln mit der ML-Option aktiviert haben. Bot Control identifiziert ungewöhnliches Verhalten in Ihrem Web-Traffic, indem es den aktuellen Traffic mit den berechneten Traffic-Baselines vergleicht. AWS WAF AWS WAF berechnet nur die Baselines, wenn Sie die gezielten Regeln von Bot Control mit der ML-Option verwenden. Die Erstellung aussagekräftiger Baselines kann bis zu 24 Stunden dauern.   Wir aktualisieren unsere Modelle für maschinelles Lernen regelmäßig für diese Regeln, um die Bot-Vorhersagen zu verbessern. Wenn Sie eine plötzliche und wesentliche Änderung der Bot-Vorhersagen, die diese Regeln enthalten, feststellen, wenden Sie sich an Ihren Kundenbetreuer oder eröffnen Sie einen Fall im [AWS Support Center](https://console.aws.amazon.com/support/home#/).  Regelaktionen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Labels: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` und `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Prüft Anfragen, die nicht von verifizierten Bots zur Verwendung eines einzelnen Tokens unter mehreren IPs in den letzten 5 Minuten stammen. Jede Stufe hat ein Limit für die Anzahl verschiedener: IPs  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Die Schwellenwerte, für die diese Regeln gelten, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktionen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Labels: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` und `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Prüft Anfragen, die nicht von verifizierten Bots zur Verwendung eines einzelnen Tokens stammen, in den letzten 5 Minuten in mehreren Ländern. Jede Stufe hat eine Obergrenze für die Anzahl der verschiedenen Länder:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Die Schwellenwerte, für die diese Regeln gelten, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktionen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Labels: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` und `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Prüft in den letzten 5 Minuten Anfragen, die nicht von verifizierten Bots für die Verwendung eines einzelnen Tokens für mehrere autonome Netzwerksystemnummern (ASNs) stammen. Jede Stufe hat ein Limit für die Anzahl verschiedener: ASNs  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Die Schwellenwerte, für die diese Regeln gelten, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird.   Regelaktionen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Labels: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` und `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)
<a name="aws-managed-rule-groups-anti-ddos"></a>

In diesem Abschnitt wird die AWS WAF verwaltete Regelgruppe zum Schutz vor Distributed Denial of Service (DDoS) -Angriffen beschrieben.

VendorName:`AWS`, Name:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Die verwaltete DDo Anti-S-Regelgruppe enthält Regeln zur Erkennung und Verwaltung von Anfragen, die an DDo S-Angriffen beteiligt sind oder wahrscheinlich daran beteiligt sind. Darüber hinaus kennzeichnet die Regelgruppe alle Anfragen, die sie während eines wahrscheinlichen Ereignisses bewertet. 

## Überlegungen zur Verwendung dieser Regelgruppe
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Diese Regelgruppe bietet sanfte und harte Abhilfemaßnahmen für Webanfragen, die an Ressourcen gesendet werden, die einem DDo S-Angriff ausgesetzt sind. Um unterschiedliche Bedrohungsstufen zu erkennen, können Sie die Empfindlichkeit beider Schutzarten auf hohe, mittlere oder niedrige Verdachtsstufen einstellen.
+ **Weiche Abwehr** — Die Regelgruppe kann als Antwort auf Anfragen, die die Herausforderung interstitiell bewältigen können, automatische Browseranfragen senden. Informationen zu den Anforderungen für die Ausführung der Herausforderung finden Sie unter. [CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md)
+ **Harte Abwehr** — Die Regelgruppe kann Anfragen vollständig blockieren. 

Weitere Informationen zur Funktionsweise und Konfiguration der Regelgruppe finden Sie unter[Erweiterter DDo Anti-S-Schutz mithilfe der verwalteten AWS WAF DDo Anti-S-Regelgruppe](waf-anti-ddos-advanced.md). 

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter [Intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections.md).

Verwenden Sie diese Regelgruppe gemäß den Richtlinien für bewährte Verfahren, um die Kosten zu minimieren und das Verkehrsmanagement zu optimieren. Siehe [Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md).

## Von dieser Regelgruppe hinzugefügte Bezeichnungen
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket (Web-ACL) ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter [Etikettierung von Webanfragen](waf-labels.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). 

### Token-Labels
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen. 

Hinweise zu Token und Tokenverwaltung finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).

Informationen zu den hier beschriebenen Label-Komponenten finden Sie unter[Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md).

**Bezeichnung der Clientsitzung**  
Das Label `awswaf:managed:token:id:identifier` enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. 

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Fingerabdruck-Label des Browsers**  
Das Etikett `awswaf:managed:token:fingerprint:fingerprint-identifier` enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Token-Statusbezeichnungen: Namespace-Präfixe für Labels**  
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen. 

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe: 
+ `awswaf:managed:token:`— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden. 
+ `awswaf:managed:captcha:`— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten. 

**Token-Statusbezeichnungen: Labelnamen**  
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status: 
+ `accepted`— Das Anforderungstoken ist vorhanden und enthält Folgendes: 
  + Eine gültige Challenge oder CAPTCHA-Lösung.
  + Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
  + Eine Domainspezifikation, die für das Protection Pack (Web-ACL) gültig ist. 

  Beispiel: Das Label `awswaf:managed:token:accepted` gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
+ `rejected`— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien. 

  Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben. 
  + `rejected:not_solved`— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung. 
  + `rejected:expired`— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den konfigurierten Token-Immunitätszeiten Ihres Schutzpakets (Web-ACL) abgelaufen. 
  + `rejected:domain_mismatch`— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets (Web-ACL). 
  + `rejected:invalid`— Das angegebene Token AWS WAF konnte nicht gelesen werden. 

  Beispiel: Die beiden Bezeichnungen `awswaf:managed:captcha:rejected` deuten `awswaf:managed:captcha:rejected:expired` zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die Immunitätszeit des CAPTCHA-Tokens überschritten hat, die im Schutzpaket (Web-ACL) konfiguriert ist.
+ `absent`— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen. 

  Beispiel: Das Label `awswaf:managed:captcha:absent` gibt an, dass die Anfrage das Token nicht enthält. 

### DDoAnti-S-Etiketten
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

Die verwaltete DDo Anti-S-Regelgruppe generiert Labels mit dem Namespace-Präfix, `awswaf:managed:aws:anti-ddos:` gefolgt von einem beliebigen benutzerdefinierten Namespace und dem Labelnamen. Jedes Etikett spiegelt einen Aspekt der Anti-S-Ergebnisse widerDDo.

Die Regelgruppe kann einer Anfrage zusätzlich zu den Bezeichnungen, die durch einzelne Regeln hinzugefügt werden, mehr als eines der folgenden Labels hinzufügen. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Zeigt an, dass die Anforderung an eine geschützte Ressource geht, für die die verwaltete Regelgruppe ein DDo S-Ereignis erkennt. Die verwaltete Regelgruppe erkennt Ereignisse, wenn der Datenverkehr zur Ressource erheblich von der Datenverkehrsbasis der Ressource abweicht. 

  Die Regelgruppe fügt dieses Label jeder Anfrage hinzu, die an die Ressource gesendet wird, während sie sich in diesem Status befindet, sodass legitimer Datenverkehr und Angriffsverkehr diese Bezeichnung erhalten. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`— Zeigt an, dass die Anfrage von einer Quelle stammt, von der vermutet wird, dass sie an einem Ereignis teilgenommen hat. 

  Zusätzlich zur allgemeinen Bezeichnung fügt die Regelgruppe die folgenden Bezeichnungen hinzu, die das Konfidenzniveau angeben. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Weist auf eine wahrscheinliche DDo S-Angriffsanforderung hin.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Weist auf eine sehr wahrscheinliche DDo S-Angriffsanforderung hin.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Weist auf eine DDo S-Angriffsanforderung mit hoher Wahrscheinlichkeit hin.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`— Zeigt an, dass der Anforderungs-URI die Challenge Aktion verarbeiten kann. Die verwaltete Regelgruppe wendet dies auf jede Anfrage an, deren URI nicht ausgenommen ist. URIs sind ausgenommen, wenn sie den regulären Ausdrücken der ausgenommenen URI der Regelgruppe entsprechen. 

  Informationen zu den Anforderungen für Anfragen, die eine automatische Browser-Anfrage annehmen können, finden Sie unter[CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md).

Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufen`DescribeManagedRuleGroup`. Die Kennzeichnungen werden in der Eigenschaft `AvailableLabels` in der Antwort aufgeführt. 

Die verwaltete DDo Anti-S-Regelgruppe wendet Labels auf Anfragen an, reagiert aber nicht immer darauf. Die Verwaltung von Anfragen hängt von der Zuverlässigkeit ab, mit der die Regelgruppe die Teilnahme an einem Angriff feststellt. Wenn Sie möchten, können Sie Anfragen verwalten, die von der Regelgruppe gekennzeichnet werden, indem Sie eine Regel für den Labelabgleich hinzufügen, die nach der Regelgruppe ausgeführt wird. Weitere Informationen und Beispiele finden Sie unter [AWS WAF Verhinderung von Distributed Denial of Service (DDoS)](waf-anti-ddos.md).

## Liste der DDo Anti-S-Regeln
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

In diesem Abschnitt sind die DDo Anti-S-Regeln aufgeführt.

 

**Anmerkung**  
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unter[AWS Änderungsprotokoll für verwaltete Regeln](aws-managed-rule-groups-changelog.md). Für Informationen zu anderen Versionen verwenden Sie den API-Befehl [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.   
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Regelname | Description | 
| --- | --- | 
| ChallengeAllDuringEvent |  Findet Anfragen, die das Label `awswaf:managed:aws:anti-ddos:challengeable-request` für eine geschützte Ressource tragen, die derzeit angegriffen wird.  Regelaktion: Challenge Sie können diese Regelaktion nur mit Allow oder überschreibenCount. Die Verwendung von Allow wird nicht empfohlen. Bei jeder Einstellung für Regelaktionen entspricht die Regel nur Anfragen, die das `challengeable-request` Label tragen. Die Konfiguration dieser Regel wirkt sich auf die Auswertung der nächsten Regel aus`ChallengeDDoSRequests`. AWS WAF wertet diese Regel nur aus, wenn für die Aktion für diese Regel in der Web-ACL-Konfiguration der verwalteten Regelgruppe Override auf gesetzt ist. Count  Wenn Ihr Workload anfällig für unerwartete Änderungen des Anforderungsvolumens ist, empfehlen wir, alle anfechtbaren Anfragen herauszufordern, indem Sie die Standardeinstellung für Aktionen beibehalten. Challenge Für weniger sensible Anwendungen können Sie die Aktion für diese Regel auf festlegen Count und dann die Sensitivität Ihrer Challenge Antworten anhand der Regel `ChallengeDDoSRequests` anpassen.  Beschriftungen: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Findet Anfragen für eine geschützte Ressource, die die von der Regelgruppe konfigurierte Einstellung zur Sensitivität von Sicherheitsbedrohungen erfüllen oder überschreiten, wenn die Ressource angegriffen wird.  Regelaktion: Challenge Sie können diese Regelaktion nur mit Allow oder überschreibenCount. Die Verwendung von Allow wird nicht empfohlen. In jedem Fall entspricht die Regel nur Anfragen, die das `challengeable-request` Label tragen. AWS WAF wertet diese Regel nur aus, wenn Sie die Aktion Count in der vorherigen Regel überschreiben. `ChallengeAllDuringEvent`  Beschriftungen: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Findet Anfragen nach einer geschützten Ressource, die die für die Regelgruppe konfigurierte Einstellung zur Blocksensitivität erfüllen oder überschreiten, wenn die Ressource angegriffen wird.  Regelaktion: Block Beschriftungen: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Bereitstellungen für versionierte Regelgruppen mit AWS verwalteten Regeln
<a name="waf-managed-rule-groups-deployments"></a>

In diesem Abschnitt wird beschrieben, wie AWS Updates für Regelgruppen mit AWS verwalteten Regeln bereitgestellt werden.

AWS implementiert Änderungen an seinen versionierten Regelgruppen für AWS verwaltete Regeln in drei Standardbereitstellungen: Release Candidate, statische Version und Standardversion. Darüber hinaus muss AWS manchmal eine Ausnahmebereitstellung freigegeben oder eine Standardversion rückgängig gemacht werden. 

**Anmerkung**  
Dieser Abschnitt gilt nur für Regelgruppen mit AWS verwalteten Regeln, die versioniert sind. Die einzigen Regelgruppen, die nicht versioniert sind, sind die IP-Reputationsregelgruppen. 

**Topics**
+ [Benachrichtigungen für Bereitstellungen von Regelgruppen mit AWS verwalteten Regeln](waf-managed-rule-groups-deployments-notifications.md)
+ [Überblick über die Standardbereitstellungen für AWS Managed Rules](waf-managed-rule-groups-deployments-standard.md)
+ [Typische Versionsstatus für AWS verwaltete Regeln](waf-managed-rule-groups-typical-version-states.md)
+ [Bereitstellungskandidaten für AWS Managed Rules veröffentlichen](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Statische Versionsbereitstellungen für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-static-version.md)
+ [Bereitstellungen von Standardversionen für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-default-version.md)
+ [Ausnahmebereitstellungen für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-exceptions.md)
+ [Standard-Bereitstellungs-Rollbacks für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Benachrichtigungen für Bereitstellungen von Regelgruppen mit AWS verwalteten Regeln
<a name="waf-managed-rule-groups-deployments-notifications"></a>

In diesem Abschnitt wird erklärt, wie Amazon SNS SNS-Benachrichtigungen mit Regelgruppen für AWS verwaltete Regeln funktionieren.

Die versionierten Regelgruppen für AWS verwaltete Regeln stellen alle SNS-Aktualisierungsbenachrichtigungen für Bereitstellungen bereit und verwenden alle dasselbe SNS-Thema Amazon Resource Name (ARN). Die einzigen Regelgruppen, die nicht versioniert sind, sind die IP-Reputationsregelgruppen. 

Für Bereitstellungen, die sich auf Ihren Schutz auswirken, wie z. B. Änderungen an der Standardversion, AWS bietet es SNS-Benachrichtigungen, um Sie über geplante Bereitstellungen zu informieren und Sie darüber zu informieren, wann eine Bereitstellung beginnt. Bei Bereitstellungen, die Ihren Schutz nicht beeinträchtigen, wie z. B. Release-Candidate-Bereitstellungen und Bereitstellungen mit statischer Version, werden Sie AWS möglicherweise benachrichtigt, nachdem die Bereitstellung gestartet oder sogar abgeschlossen wurde. Nach Abschluss der Bereitstellung einer neuen statischen Version AWS aktualisiert dieses Handbuch im Changelog unter [AWS Changelog für verwaltete Regeln](aws-managed-rule-groups-changelog.md) und auf der Seite mit dem Dokumentverlauf unter. [Dokumentverlauf](doc-history.md) 

Abonnieren Sie den RSS-Feed von einer beliebigen HTML-Seite dieses Handbuchs und abonnieren Sie das SNS-Thema für die Regelgruppen mit AWS verwalteten Regeln, um alle Updates zu erhalten, die für die Regelgruppen mit AWS verwalteten Regeln gelten. AWS Informationen zum Abonnieren der SNS-Benachrichtigungen finden Sie unter. [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen einer verwalteten Regelgruppe](waf-using-managed-rule-groups-sns-topic.md)

**Inhalt der SNS-Benachrichtigungen**  
Die Felder in den Amazon SNS SNS-Benachrichtigungen enthalten immer den Betreff, die Nachricht und MessageAttributes. Zusätzliche Felder hängen von der Art der Nachricht und der verwalteten Regelgruppe ab, für die die Benachrichtigung bestimmt ist. Im Folgenden finden Sie ein Beispiel für eine Benachrichtigungsliste für`AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Überblick über die Standardbereitstellungen für AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS führt neue Funktionen für AWS verwaltete Regeln mithilfe von drei Standardbereitstellungsphasen ein: Release Candidate, statische Version und Standardversion. 

Das folgende Diagramm zeigt diese Standardbereitstellungen. Jede davon wird in den folgenden Abschnitten ausführlicher beschrieben. 

![\[Vier vertikale Swimlanes zeigen unterschiedliche Standardeinsatzphasen. Die Swimlane ganz links zeigt die Standardversion, die auf die empfohlene statische Version 1.4 eingestellt ist. Die zweite Swimlane zeigt die Standardeinstellung, die auf eine Release-Candidate-Version (RC) zum Testen und Optimieren eingestellt ist. Die RC-Version enthält 1.4-Regeln und RC-Regeln. Ein Hinweis weist darauf hin, dass nach dem Testen die Standardversion auf die empfohlene statische Version zurückgesetzt wird. Die dritte Swimlane zeigt die Erstellung einer statischen Version 1.5 anhand der Regeln der Release-Candidate-Version. Die vierte Swimlane zeigt die Standardversion, die auf die neue empfohlene statische Version 1.5 eingestellt ist.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Typische Versionsstatus für AWS verwaltete Regeln
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalerweise hat eine versionierte verwaltete Regelgruppe eine Reihe nicht abgelaufener statischer Versionen, und die Standardversion verweist auf die statische Version, AWS die empfohlen wird. Die folgende Abbildung zeigt ein Beispiel für den typischen Satz statischer Versionen und die Standardversionseinstellung. 

![\[Die drei statischen Versionen Version_1.2, Version_1.3 und Version_1.4 sind gestapelt, wobei Version_1.4 ganz oben steht. Version_1.4 hat zwei Regeln, RuleA und RuleB, beide mit Produktionsaktion. Ein Standardversionsindikator zeigt auf Version_1.4.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


Die Produktionsaktion für die meisten Regeln in einer statischen Version istBlock, aber sie kann auf etwas anderes gesetzt sein. Ausführliche Informationen zu den Einstellungen für Regelaktionen finden Sie in den Regellisten für jede Regelgruppe unter[AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md). 

# Bereitstellungskandidaten für AWS Managed Rules veröffentlichen
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

In diesem Abschnitt wird erklärt, wie eine temporäre Bereitstellung von Release Candidate funktioniert.

Wenn AWS sich ein möglicher Regelsatz für eine verwaltete Regelgruppe ändert, werden diese in einer temporären Release-Candidate-Bereitstellung getestet. AWS bewertet die Kandidatenregeln im Zählmodus anhand des Produktionsdatenverkehrs und führt die letzten Optimierungsmaßnahmen durch, einschließlich der Minimierung von Fehlalarmen. AWS testet Release-Kandidatenregeln auf diese Weise für alle Kunden, die die Standardversion der Regelgruppe verwenden. Release-Candidate-Bereitstellungen gelten nicht für Kunden, die eine statische Version der Regelgruppe verwenden.

Wenn Sie die Standardversion verwenden, ändert eine Bereitstellung von Release Candidate nichts daran, wie Ihr Web-Traffic von der Regelgruppe verwaltet wird. Möglicherweise stellen Sie beim Testen der Kandidatenregeln Folgendes fest: 
+ Änderung des Standardversionsnamens von `Default (using Version_X.Y)` zu`Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Zusätzliche Zählmetriken bei Amazon CloudWatch mit `RC_COUNT` ihren Namen. Diese werden anhand der Release-Candidate-Regeln generiert.

AWS testet einen Release Candidate etwa eine Woche lang, entfernt ihn dann und setzt die Standardversion auf die aktuell empfohlene statische Version zurück. 

AWS führt die folgenden Schritte für die Bereitstellung eines Release Candidate durch: 

1. **Den Release Candidate erstellen** — AWS fügt einen Release Candidate hinzu, der auf der aktuell empfohlenen statischen Version basiert, also der Version, auf die die Standardversion verweist. 

   Der Name des Release Candidate ist der statische Versionsname, dem Folgendes angehängt wird. `_PLUS_RC_COUNT` Wenn beispielsweise die aktuell empfohlene statische Version ist`Version_2.1`, würde der Release-Kandidat benannt `Version_2.1_PLUS_RC_COUNT` werden.

   Der Release Candidate enthält die folgenden Regeln: 
   + Die Regeln wurden exakt aus der aktuell empfohlenen statischen Version kopiert, ohne dass die Regelkonfigurationen geändert wurden. 
   + Bieten Sie neue Regeln an, bei denen die Regelaktion auf festgelegt ist Count und deren Namen auf enden`_RC_COUNT`. 

     Die meisten Kandidatenregeln enthalten Vorschläge zur Verbesserung von Regeln, die bereits in der Regelgruppe existieren. Der Name für jede dieser Regeln ist der Name der bestehenden Regel, angehängt mit`_RC_COUNT`. 

1. **Legen Sie die Standardversion auf den Release Candidate fest und testen** Sie — AWS legt fest, dass die Standardversion auf den neuen Release Candidate verweist, um Tests anhand Ihres Produktionsdatenverkehrs durchzuführen. Das Testen dauert in der Regel etwa eine Woche.

    Sie werden feststellen, dass sich der Name der Standardversion von dem Namen, der nur die statische Version angibt, zu einem Namen`Default (using Version_1.4)`, der die statische Version und die Release-Candidate-Regeln angibt, wie `Default (using Version_1.4_PLUS_RC_COUNT)` z. Anhand dieses Benennungsschemas können Sie identifizieren, welche statische Version Sie zur Verwaltung Ihres Web-Traffics verwenden. 

   Das folgende Diagramm zeigt den aktuellen Status der Versionen der Beispielregelgruppen.   
![\[Am oberen Rand der Abbildung befinden sich drei gestapelte statische Versionen, wobei Version_1.4 ganz oben steht. Getrennt vom Stapel der statischen Versionen befindet sich die Version Version_1.4_Plus_RC_Count. Diese Version enthält die Regeln von Version_1.4 sowie zwei Release-Candidate-Regeln, RuleB_RC_Count und Rulez_RC_Count, beide mit Count-Aktion. Der Standardversionsindikator zeigt auf Version_1.4_plus_RC_Count.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Die Release-Candidate-Regeln sind immer mit Count Aktionen konfiguriert, sodass sie nichts daran ändern, wie die Regelgruppe den Web-Traffic verwaltet. 

   Die Release-Candidate-Regeln generieren CloudWatch Amazon-Zählmetriken, AWS anhand derer das Verhalten überprüft und Fehlalarme identifiziert werden. AWS nimmt bei Bedarf Anpassungen vor, um das Verhalten der Regeln für die Anzahl der Veröffentlichungskandidaten zu optimieren. 

   Die Release Candidate-Version ist keine statische Version, und Sie können sie nicht aus der Liste der statischen Regelgruppenversionen auswählen. In der Standardversionsspezifikation können Sie nur den Namen der Release Candidate-Version sehen.

1. Setzen Sie **die Standardversion auf die empfohlene statische Version zurück** — Nach dem Testen der Release-Candidate-Regeln wird die Standardversion auf die aktuell empfohlene statische Version AWS zurückgesetzt. Bei der Einstellung für den Standardversionsnamen wird die `_PLUS_RC_COUNT` Endung gelöscht, und die Regelgruppe generiert keine CloudWatch Zählmetriken mehr für die Release-Candidate-Regeln. Dies ist eine unbeaufsichtigte Änderung und nicht dasselbe wie die Bereitstellung eines Rollbacks für die Standardversion.

   Das folgende Diagramm zeigt den Status der Versionen der Beispielregelgruppen nach Abschluss der Tests des Release Candidate.   
![\[Dies ist erneut die typische Abbildung mit Versionsstatus. Drei statische Versionen Version_1.2, Version_1.3 und Version_1.4 sind gestapelt, wobei Version_1.4 ganz oben steht. Version_1.4 hat zwei Regeln, RuleA und RuleB, beide mit Produktionsaktion. Ein Standardversionsindikator zeigt auf Version_1.4.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Zeitpunkt und Benachrichtigungen**  
AWS stellt nach Bedarf Release-Kandidatenversionen bereit, um Verbesserungen an einer Regelgruppe zu testen. 
+ **SNS** — AWS sendet zu Beginn der Bereitstellung eine SNS-Benachrichtigung. Die Benachrichtigung gibt an, wie lange der Release Candidate voraussichtlich getestet wird. Wenn der Test abgeschlossen ist AWS , wird ohne weitere Benachrichtigung automatisch die Standardeinstellung auf die statische Version zurückgesetzt.
+ **Änderungsprotokoll** — aktualisiert das Änderungsprotokoll oder andere Teile dieses Handbuchs für diese Art der Bereitstellung AWS nicht.

# Statische Versionsbereitstellungen für AWS verwaltete Regeln
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Wenn AWS feststellt, dass ein Release-Kandidat wertvolle Änderungen an der Regelgruppe vornimmt, AWS wird auf der Grundlage des Release-Kandidaten eine neue statische Version für die Regelgruppe bereitgestellt. Durch diese Bereitstellung wird die Standardversion der Regelgruppe nicht geändert. 

Die neue statische Version enthält die folgenden Regeln aus dem Release Candidate: 
+ Regeln aus der vorherigen statischen Version, für die es unter den Release-Candidate-Regeln keinen Ersatzkandidaten gibt. 
+ Regeln für Release-Kandidaten mit den folgenden Änderungen: 
  + AWS ändert den Regelnamen, indem das Release Candidate-Suffix `_RC_COUNT` entfernt wird.
  + AWS ändert die Regelaktionen von Count zu ihren Produktionsregelaktionen. 

   Bei Release-Kandidatenregeln, die frühere bestehende Regeln ersetzen, ersetzt dies die Funktionalität der vorherigen Regeln in der neuen statischen Version. 

Das folgende Diagramm zeigt die Erstellung der neuen statischen Version anhand des Release Candidate. 

![\[Am oberen Rand der Abbildung befindet sich die Release-Kandidatenversion Version_1.4_Plus_RC_Count, für die dieselben Regeln gelten wie in der vorherigen Abbildung zur Bereitstellung von Release Candidate. Die Version enthält die Regeln von Version_1.4 und sie enthält auch die Release-Candidate-Regeln RuleB_RC_Count und Rulez_RC_Count, beide mit Zählaktion. Darunter, am Ende der Abbildung, befindet sich die statische Version Version_1.5, die die Regeln RuleA, RuleB und RuleZ enthält, alle mit Produktionsaktionen. Pfeile zeigen von der RC-Version auf Version_1.5, was darauf hinweist, dass RuleA aus den Regeln von Version_1.4 kopiert wurde und RuleB und RuleZ aus den Release-Candidate-Regeln kopiert wurden. Alle Regeln in Version_1.5 haben Produktionsaktionen.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Nach der Bereitstellung steht Ihnen die neue statische Version zum Testen und zur Verwendung in Ihren Schutzmaßnahmen zur Verfügung, wenn Sie möchten. Sie können neue und aktualisierte Regelaktionen und Beschreibungen in den Regellisten der Regelgruppe unter [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md) nachlesen. 

Eine statische Version ist nach der Bereitstellung unveränderlich und ändert sich nur, wenn sie AWS abläuft. Hinweise zu den Lebenszyklen von Versionen finden Sie unter[Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md).

**Zeitablauf und Benachrichtigungen**  
AWS stellt bei Bedarf eine neue statische Version bereit, um die Regelgruppenfunktionalität zu verbessern. Die Bereitstellung einer statischen Version hat keinen Einfluss auf die Standardversionseinstellung.
+ **SNS** — AWS sendet eine SNS-Benachrichtigung, wenn die Bereitstellung abgeschlossen ist.
+ **Änderungsprotokoll** — Sobald die Bereitstellung abgeschlossen ist, AWS aktualisiert er die AWS WAF Regelgruppendefinition in diesem Handbuch nach Bedarf und kündigt die Veröffentlichung anschließend im Änderungsprotokoll der Regelgruppe AWS Managed Rules und auf der Seite mit dem Dokumentationsverlauf an. 

# Bereitstellungen von Standardversionen für AWS verwaltete Regeln
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Wenn AWS feststellt, dass eine neue statische Version im Vergleich zur aktuellen Standardversion einen verbesserten Schutz für die Regelgruppe bietet, AWS aktualisiert die Standardversion auf die neue statische Version. AWS veröffentlicht möglicherweise mehrere statische Versionen, bevor eine Version zur Standardversion der Regelgruppe heraufgestuft wird. 

Das folgende Diagramm zeigt den Status der Beispielregelgruppenversionen nach dem AWS Verschieben der Standardversionseinstellung auf die neue statische Version. 

![\[Dies ähnelt der typischen Abbildung mit Versionsstatus, allerdings mit Version_1.5 an oberster Stelle im Stapel und der Standardanzeige zeigt darauf.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


 AWS Stellt vor der Implementierung dieser Änderung in der Standardversion Benachrichtigungen bereit, sodass Sie die bevorstehenden Änderungen testen und sich darauf vorbereiten können. Wenn Sie die Standardversion verwenden, können Sie keine Maßnahmen ergreifen und diese während des Updates beibehalten. Wenn Sie stattdessen den Wechsel zur neuen Version verzögern möchten, bevor die Bereitstellung der Standardversion geplant ist, können Sie Ihre Regelgruppe explizit so konfigurieren, dass sie die statische Version verwendet, auf die die Standardversion festgelegt ist. 

**Zeitpunkt und Benachrichtigungen**  
AWS aktualisiert die Standardversion, wenn sie eine andere statische Version für die Regelgruppe empfiehlt als die, die derzeit verwendet wird. 
+ **SNS** — AWS sendet mindestens eine Woche vor dem geplanten Bereitstellungstag eine SNS-Benachrichtigung und dann eine weitere am Bereitstellungstag, zu Beginn der Bereitstellung. Jede Benachrichtigung enthält den Namen der Regelgruppe, die statische Version, auf die die Standardversion aktualisiert wird, das Bereitstellungsdatum und den geplanten Zeitpunkt der Bereitstellung für jede AWS Region, in der das Update durchgeführt wird. 
+ **Änderungsprotokoll** — AWS Das Änderungsprotokoll oder andere Teile dieses Handbuchs für diese Art der Bereitstellung werden nicht aktualisiert.

# Ausnahmebereitstellungen für AWS verwaltete Regeln
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS könnten die Standardbereitstellungsphasen umgehen, um schnell Updates bereitzustellen, die kritische Sicherheitsrisiken beheben. Eine Ausnahmebereitstellung kann alle Standardbereitstellungstypen umfassen und sie kann schnell in allen AWS Regionen eingeführt werden. 

AWS informiert so früh wie möglich über Ausnahmebereitstellungen. 

**Zeitplan und Benachrichtigungen**  
AWS führt Ausnahmebereitstellungen nur bei Bedarf durch. 
+ **SNS** — AWS sendet eine SNS-Benachrichtigung so weit wie möglich vor dem geplanten Bereitstellungstag und dann eine weitere zu Beginn der Bereitstellung. Jede Benachrichtigung enthält den Namen der Regelgruppe, die vorgenommene Änderung und das Bereitstellungsdatum. 
+ **Änderungsprotokoll** — Wenn es sich um eine statische Version handelt, AWS aktualisiert die Regelgruppendefinition in diesem Handbuch nach Abschluss der Bereitstellung an allen verfügbaren Stellen nach Bedarf und kündigt die Veröffentlichung anschließend im Änderungsprotokoll der Regelgruppe für AWS verwaltete Regeln und auf der Seite mit dem Dokumentationsverlauf an. AWS WAF 

# Standard-Bereitstellungs-Rollbacks für AWS verwaltete Regeln
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Unter bestimmten Bedingungen AWS kann es sein, dass die Standardversion auf ihre vorherige Einstellung zurückgesetzt wird. Ein Rollback dauert in der Regel für alle AWS Regionen weniger als zehn Minuten.

AWS führt ein Rollback nur durch, um ein schwerwiegendes Problem in einer statischen Version zu beheben, z. B. ein unannehmbar hohes Maß an Fehlalarmen. 

Beschleunigt nach dem Rollback der Standardversionseinstellung sowohl den Ablauf der AWS statischen Version, bei der das Problem auftritt, als auch die Veröffentlichung einer neuen statischen Version, um das Problem zu beheben. 

**Zeitpunkt und Benachrichtigungen**  
AWS führt Rollbacks der Standardversion nur bei Bedarf durch. 
+ **SNS** — AWS sendet zum Zeitpunkt des Rollbacks eine einzige SNS-Benachrichtigung. Die Benachrichtigung enthält den Namen der Regelgruppe, die Version, auf die die Standardversion eingestellt ist, und das Bereitstellungsdatum. Dieser Bereitstellungstyp ist sehr schnell, sodass die Benachrichtigung keine Zeitinformationen für Regionen enthält. 
+ **Änderungsprotokoll** — AWS Das Änderungsprotokoll oder andere Teile dieses Handbuchs für diese Art der Bereitstellung werden nicht aktualisiert.

# AWS Changelog für verwaltete Regeln
<a name="aws-managed-rule-groups-changelog"></a>

In diesem Abschnitt sind die Änderungen der AWS verwalteten Regeln AWS WAF seit ihrer Veröffentlichung im November 2019 aufgeführt.

**Anmerkung**  
In diesem Changelog werden Änderungen an den Regeln und Regelgruppen in AWS Managed Rules for AWS WAF gemeldet.  
In diesem Änderungsprotokoll werden Änderungen an den Regeln und der Regelgruppe sowie signifikante Änderungen an den Quellen der von den Regeln verwendeten IP-Adresslisten gemeldet. [IP-Reputationsregelgruppen](aws-managed-rule-groups-ip-rep.md) Änderungen an den IP-Adresslisten selbst werden nicht gemeldet, da diese Listen dynamisch sind. Wenn Sie Fragen zu den IP-Adresslisten haben, wenden Sie sich an Ihren Kundenbetreuer oder eröffnen Sie einen Fall im [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Regelgruppe und Regeln | Description | Date | 
| --- | --- | --- | 
| [Über PHP-Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Die statische Version 2.2 dieser Regelgruppe wurde veröffentlicht.  Die Erkennungen wurden verbessert und eine `PHPHighRiskMethodsVariables_URIPATH` Regel hinzugefügt.  | 2026-03-24 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neue Regeln: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 5.0 dieser Regelgruppe wurde veröffentlicht. Über 400 neue Bots in mehreren Kategorien wurden hinzugefügt, darunter zwei neue Bot-Kategorien mit ihren jeweiligen Regeln: Seitenvorschau und Webhooks. **Die wichtigsten Verbesserungen** Verbesserte Genauigkeit der Bot-Erkennungssignale und generischer Bot-Musterabgleich, was zu einer genaueren Verkehrsklassifizierung führt.  Dieses Update ändert die Art und Weise, wie die verwaltete Regelgruppe der Bot-Erkennung Priorität einräumt. Spezifische, nicht verifizierte Bot-Muster werden nun vor generischen Mustern und Erkennungssignalen bewertet. Das bedeutet, dass Anfragen eher anhand ihrer spezifischsten Merkmale als anhand allgemeiner Indikatoren klassifiziert werden. **Was das für Ihren Traffic bedeutet:** Das generische Bot-Muster stimmt jetzt seltener überein. Diese Muster gelten nur, wenn noch keine spezifischere Bot-Regel den Traffic identifiziert hat. Dadurch wird eine Überklassifizierung reduziert und sichergestellt, dass Anfragen mit der genauesten verfügbaren Bot-Identifizierung gekennzeichnet werden. Erkennungssignale wie Hinweise darauf, dass eine Anfrage von einem Cloud-Dienstanbieter oder einem bekannten Bot-Rechenzentrum stammt oder einen Benutzeragenten verwendet, der kein Browser ist, werden jetzt nach den Regeln zur Bot-Identifizierung angewendet. Dadurch wird sichergestellt, dass spezifische Bot-Klassifizierungen Vorrang vor generischen Verkehrssignalen haben. **Auswirkung:** Möglicherweise finden Sie in Ihren Verkehrsprotokollen weniger Bezeichnungen für generische Bot-Muster, da Anfragen jetzt genauer nach bestimmten Bot-Regeln klassifiziert werden. Dies bietet einen klareren Einblick in die tatsächliche Natur Ihres automatisierten Datenverkehrs und reduziert Störungen, die durch einen zu weit gefassten Musterabgleich entstehen. Unverifizierte Bot-Klassifizierungen werden deutlicher und genauer angezeigt, sodass Sie automatisierte Anfragen an Ihre Anwendungen besser verstehen und verwalten können. **Hinweis:** Diese Version enthält die Aktualisierungen der `awswaf:managed:aws:bot-control:bot:web_bot_auth` Labels und Regeln von Version\$14.0, aber die `Web Bot Auth` Funktionalität ist weiterhin nur in verfügbar. CloudFront  | 2026-02-25 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Die statische Version 3.2 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für alle Regeln.  | 2026-01-15 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.25 dieser Regelgruppe wurde veröffentlicht. Das wurde aktualisiert`ReactJSRCE_BODY`, um die Erkennung zu verbessern.  | 2025-12-08 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Die statische Version 3.1 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für alle Regeln.  | 2025-12-08 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.24 dieser Regelgruppe wurde veröffentlicht. Das wurde aktualisiert`ReactJSRCE_BODY`, um die Erkennung zu verbessern.  | 2025-12-04 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neue Labels:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Umfang: CloudFront |  Die neue statische Version `AWSManagedRulesBotControlRuleSet` Version\$14.0 mit Unterstützung für die Web-Bot-Authentifizierung (WBA) für die kryptografische Bot-Verifizierung wurde bereitgestellt. Diese Version muss explizit ausgewählt werden und aktualisiert bestehende Bereitstellungen nicht automatisch mit der Standardversion. Neue Funktionen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Regelaktualisierungen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Version\$14.0 ist nur eine statische Version — das Verhalten der Standardversion wird dadurch nicht geändert. Um WBA-Funktionen zu verwenden, wählen Sie bei der Konfiguration Ihrer Web-ACL explizit Version \$14.0 aus.   | 2025-11-20 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neue verifizierte Bot-Labels:Werbung:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)ZIEL:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Inhaltsabrufer:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Soziale Medien:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Wichtigste Verbesserungen:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Regeln für Bot-Kategorien in Bot Control werden nur bei nicht verifizierten Bots ausgelöst, mit Ausnahme von CategoryAI, die auch bei verifizierten Bots ausgelöst wird. Version\$13.3 ist nur eine statische Version — sie ändert nichts am Verhalten der Standardversion.   | 2025-11-17 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.20 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die SSRF-Regeln (Server Side Request Forgery).  | 2025-10-02 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.19 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die Cross-Site-Scripting-Regeln.  | 2025-08-14 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.18 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die Cross-Site-Scripting-Regeln.  | 2025-06-18 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neue Labels: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 3.2 dieser Regelgruppe wurde veröffentlicht.  Die aufgelisteten neuen Labels wurden hinzugefügt.   | 2025-05-29 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.17 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die Cross-Site-Scripting-Regeln.  | 2025-03-03 | 
| [Verwaltete Regelgruppe „SQL database“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.3 dieser Regelgruppe wurde veröffentlicht.  Zu den aufgelisteten Regeln wurde eine doppelte `URL_DECODE_UNI` Texttransformation hinzugefügt.  | 2025-01-24 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.6 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt, um die Erkennung zu verbessern.   | 2025-01-24 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neues Bot-Namenslabel in den Bot Control-Labels: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Die statische Version 3.1 dieser Regelgruppe wurde veröffentlicht.  Das Label New York Times wurde der Liste der Bot-Namensbezeichnungen hinzugefügt.   | 2024-11-07 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.16 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die Cross-Site-Scripting-Regeln.   | 2024-10-16 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) Neue Regeln: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Gelöschte Regeln: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Neue Bezeichnungen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Zusätzliche Kennzeichnung in bestehenden Regeln.  | Die statischen Versionen 2.0 und 3.0 dieser Regelgruppe wurden veröffentlicht. Version 2.0 entspricht Version 3.0, allerdings sind die Regelaktionen für alle neuen Regeln auf gesetztCount. Dieses Handbuch dokumentiert die neueste Version jeder Regelgruppe.  Die aufgelisteten neuen Regeln wurden hinzugefügt.  Die Kennzeichnung wurde aktualisiert, sodass allen Regeln eine Bezeichnung mit dem Muster zugewiesen wird`awswaf:managed:aws:bot-control:<RuleName>`.  Den Bot Control-Signalbezeichnungen wurden Labels für Cloud-Dienstanbieter hinzugefügt.  Es wurden neue Bot-Namensbezeichnungen hinzugefügt, auf die nach Bot-Kategorieregeln geprüft wird.   | 2024-09-13 | 
| [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md) Alle Regeln  | Die statische Version 1.1 dieser Regelgruppe wurde veröffentlicht.  Die Kennzeichnung wurde aktualisiert, sodass allen Regeln eine Bezeichnung mit dem Muster zugewiesen wird`awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) Alle Regeln  | Die statische Version 1.1 dieser Regelgruppe wurde veröffentlicht.  Die Kennzeichnung wurde aktualisiert, sodass allen Regeln eine Bezeichnung mit dem Muster zugewiesen wird`awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Alle Regeln  | Die statische Version 2.5 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt, um die Erkennung zu verbessern.   | 2024-09-02 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.15 dieser Regelgruppe wurde veröffentlicht.  Verbesserte Erkennungssignaturen für die generischen LFI-Regeln.   | 2024-08-30 | 
| [Verwaltete Regelgruppe „Windows Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.3 dieser Regelgruppe wurde veröffentlicht.  Erkennungssignaturen in den aufgelisteten Regeln wurden angepasst, um Fehlalarme zu reduzieren.   | 2024-08-28 | 
| [WordPress Von der Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.3 dieser Regelgruppe wurde veröffentlicht.  Die JS\$1DECODE-Texttransformation wurde zur aufgelisteten Regel hinzugefügt.   | 2024-07-15 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.4 dieser Regelgruppe wurde veröffentlicht.  Die JS\$1DECODE-Texttransformation wurde zur aufgelisteten Regel hinzugefügt.   | 2024-07-12 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.14 dieser Regelgruppe wurde veröffentlicht.  Die JS\$1DECODE-Texttransformation wurde zu den aufgelisteten Regeln hinzugefügt.   | 2024-07-09 | 
| [Über PHP-Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.1 dieser Regelgruppe wurde veröffentlicht.  Die JS\$1DECODE-Texttransformation wurde zu den aufgelisteten Regeln hinzugefügt.   | 2024-07-03 | 
| [Verwaltete Regelgruppe „Windows Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.2 dieser Regelgruppe wurde veröffentlicht.  Die JS\$1DECODE-Texttransformation wurde zu den aufgelisteten Regeln hinzugefügt.   | 2024-07-03 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Alle Regeln  | Die statische Version 2.3 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt, um die Erkennung zu verbessern.   | 2024-06-06 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md) [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)  | Die Regelgruppen „Bot“ und „Betrug“ sind jetzt versioniert. Wenn Sie eine dieser Regelgruppen verwenden, ändert dieses Update nichts daran, wie sie mit Ihrem Web-Traffic umgehen.  Dieses Update setzt die aktuelle Regelgruppenversion auf die statische Version 1.0 und legt fest, dass die Standardversion darauf verweist.  Weitere Informationen zu versionierten verwalteten Regeln finden Sie im Folgenden:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 3.0 dieser Regelgruppe wurde veröffentlicht.  Es wurde entfernt `UNIXShellCommandsVariables_QUERYARGUMENTS` und durch ersetzt`UNIXShellCommandsVariables_QUERYSTRING`. Wenn Sie Regeln haben, die auf dem Label für übereinstimmen`UNIXShellCommandsVariables_QUERYARGUMENTS`, ändern Sie diese, wenn Sie diese Version verwenden, so, dass sie auf dem Label für übereinstimmen`UNIXShellCommandsVariables_QUERYSTRING`. Das neue Etikett ist`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Die Regel`UNIXShellCommandsVariables_HEADER`, die für alle Header gilt, wurde hinzugefügt. Alle Regeln in der verwalteten Regelgruppe wurden mit einer verbesserten Erkennungslogik aktualisiert.  Die dokumentierte Groß- und Kleinschreibung der Bezeichnung für `UNIXShellCommandsVariables_BODY` wurde korrigiert.   | 2024-05-28 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.12 dieser Regelgruppe wurde veröffentlicht.  Allen Cross-Site-Scripting-Regeln wurden Signaturen hinzugefügt, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2024-05-21 | 
| [Verwaltete Regelgruppe „SQL database“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Die statische Version 1.2 dieser Regelgruppe wurde veröffentlicht. Die `JS_DECODE` Texttransformation wurde zu den aufgelisteten Regeln hinzugefügt.   | 2024-05-14 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.22 dieser Regelgruppe wurde veröffentlicht. Die `JS_DECODE` Texttransformation wurde zu den aufgelisteten Regeln hinzugefügt.   | 2024-05-08 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Die statische Version 2.2 dieser Regelgruppe wurde veröffentlicht.  Die `JS_DECODE` Texttransformation wurde beiden Regeln hinzugefügt.   | 2024-05-08 | 
| [Verwaltete Regelgruppe „Windows Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.1 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt`PowerShellCommands_BODY`, um die Erkennung zu verbessern.   | 2024-05-03 | 
| [Amazon IP-Reputationsliste](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die Quellen der IP-Reputationsliste wurden aktualisiert, um Adressen, die aktiv böswillige Aktivitäten ausführen, besser identifizieren zu können und um Fehlalarme zu reduzieren.  Dieses Update beinhaltet keine neue Version, da diese Regelgruppe nicht versioniert ist.   | 2024-03-13 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Die statische Version 1.21 dieser Regelgruppe wurde veröffentlicht. Signaturen wurden hinzugefügt, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.   | 2023-12-16 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.20 dieser Regelgruppe wurde veröffentlicht. Die `ExploitablePaths_URIPATH` Regel wurde aktualisiert, sodass nun auch Anfragen erkannt werden, die der Sicherheitsanfälligkeit CVE-2023-22518 von Atlassian Confluence in Bezug auf unsachgemäße Autorisierung entsprechen. Diese Sicherheitslücke betrifft alle Versionen von Confluence Data Center und Server. Weitere Informationen finden Sie unter [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518).  | 2023-12-14 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.11 dieser Regelgruppe wurde veröffentlicht.  Allen Cross-Site-Scripting-Regeln wurden Signaturen hinzugefügt, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2023-12-06 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die Bezeichnung „Koordinierte Aktivität niedrig“ wurde den Bezeichnungen für die Schutzstufe „Zielgruppe“ der Regelgruppe hinzugefügt. Dieses Label ist keiner Regel zugeordnet. Diese Kennzeichnung gilt zusätzlich zu den Regeln und Bezeichnungen auf mittlerer und hoher Ebene.  | 2023-12-05 | 
| [Beschriftungen von Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Der Regelgruppe wurde eine Signalbezeichnung hinzugefügt, die darauf hinweist, dass eine Browsererweiterung erkannt wurde, die die Automatisierung unterstützt. Diese Bezeichnung ist nicht spezifisch für eine einzelne Regel.   | 2023-11-14 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.10 dieser Regelgruppe wurde veröffentlicht.  Eine Regel wurde aktualisiert, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2023-11-02 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.9 dieser Regelgruppe wurde veröffentlicht.  Die Regeln wurden aktualisiert, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2023-10-30 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.1 dieser Regelgruppe wurde veröffentlicht.  Die Regel für Abfrageargumente wurde aktualisiert, um die Erkennung zu verbessern.   | 2023-10-12 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.8 dieser Regelgruppe wurde veröffentlicht.  Die Regeln wurden aktualisiert, um die Erkennung zu verbessern.  | 2023-10-11 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Bereitstellung von Ausnahmen: Die statische Version 1.19 dieser Regelgruppe wurde veröffentlicht. Die Standardversion wurde aktualisiert, sodass sie Version 1.19 verwendet. Die `ExploitablePaths_URIPATH` Regel wurde aktualisiert, sodass nun auch Anfragen erkannt werden, die der Sicherheitslücke CVE-2023-22515 in Atlassian Confluence in Bezug auf Privilege Escalation entsprechen. Diese Sicherheitslücke betrifft einige Versionen von Atlassian Confluence. Weitere Informationen findest du unter [NIST: National Vulnerability Database: CVE-2023-22515 Detail und [Atlassian](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html) Support: Häufig gestellte Fragen zu CVE-2023-22515](https://nvd.nist.gov/vuln/detail/CVE-2023-22515). Informationen zu diesem [Ausnahmebereitstellungen für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-exceptions.md) Bereitstellungstyp findest du unter. | 2023-10-04 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Bereitstellung von Ausnahmen: Die statische Version 1.18 dieser Regelgruppe wurde veröffentlicht. Dies ist ein schneller Rollout dieser statischen Version, um der Erstellung und Einführung von Version 1.19 Rechnung zu tragen.  Die `Host_localhost_HEADER` Regel und alle Log4J- und Java-Deserialisierungsregeln wurden aktualisiert, um die Erkennung zu verbessern.  Hinweise zu diesem Bereitstellungstyp finden Sie unter. [Ausnahmebereitstellungen für AWS verwaltete Regeln](waf-managed-rule-groups-deployments-exceptions.md) | 2023-10-04 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Regeln wurden der Regelgruppe mit Aktion hinzugefügt. Count  Die IP-Regel zur Wiederverwendung von Token erkennt und zählt die gemeinsame Nutzung von Token über IP-Adressen hinweg.  Die Regeln für koordinierte Aktivitäten verwenden eine automatisierte Analyse des Webseitenverkehrs durch maschinelles Lernen (ML), um Aktivitäten im Zusammenhang mit Bots zu erkennen. In Ihrer Regelgruppenkonfiguration können Sie die Verwendung von ML deaktivieren. Mit dieser Version haben sich Kunden, die derzeit die angestrebte Schutzstufe verwenden, für die Verwendung von ML entschieden. Wenn Sie sich abmelden, werden die Regeln für koordinierte Aktivitäten deaktiviert.  | 2023-09-06 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Hinzufügung der Regel `CategoryAI` zur Regelgruppe.  | 2023-08-30 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.7 dieser Regelgruppe wurde veröffentlicht.  Eingeschränkte Erweiterungen und SSRF-Regeln für EC2-Metadaten wurden aktualisiert, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2023-07-26 | 
| [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) Alle Regeln in neuer Regelgruppe  | Hinzufügung der Regelgruppe AWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.2 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt, um die Erkennung zu verbessern.   | 2023-05-22 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.6 dieser Regelgruppe wurde veröffentlicht.  Die Regeln für Cross-Site Scripting (XSS) und eingeschränkte Erweiterungen wurden aktualisiert, um die Erkennung zu verbessern und Fehlalarme zu reduzieren.  | 2023-04-28 | 
| [Über PHP-Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 2.0 dieser Regelgruppe wurde veröffentlicht.  Signaturen wurden hinzugefügt, um die Erkennung in allen Regeln zu verbessern.  Ersetzte die Regel `PHPHighRiskMethodsVariables_QUERYARGUMENTS` durch`PHPHighRiskMethodsVariables_QUERYSTRING`, die die gesamte Abfragezeichenfolge überprüft und nicht nur die Abfrageargumente.  Die Regel wurde hinzugefügt`PHPHighRiskMethodsVariables_HEADER`, um den Geltungsbereich auf alle Header auszudehnen. Die folgenden Bezeichnungen wurden aktualisiert, sodass sie der Standardkennzeichnung für AWS verwaltete Regeln entsprechen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2023-02-27 | 
| [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Es wurden Regeln zur Überprüfung von Login-Antworten zur Verwendung mit geschützten CloudFront Amazon-Distributionen hinzugefügt. Diese Regeln können neue Anmeldeversuche von IP-Adressen und Kundensitzungen blockieren, die in letzter Zeit zu viele fehlgeschlagene Anmeldeversuche verursacht haben.  | 15.02.2023 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.5 dieser Regelgruppe wurde veröffentlicht.  Die Cross Site Scripting (XSS) -Filter wurden aktualisiert, um die Erkennung zu verbessern.  | 2023-01-25 | 
| [Verwaltete Regelgruppe „Linux Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Statische Version 2.1 dieser Regelgruppe veröffentlicht.  Die Regel `LFI_COOKIE` und ihre Bezeichnung `awswaf:managed:aws:linux-os:LFI_Cookie` wurden entfernt und durch die neue Regel `LFI_HEADER` und ihre Bezeichnung ersetzt`awswaf:managed:aws:linux-os:LFI_Header`. Durch diese Änderung wird die Prüfung auf mehrere Header ausgedehnt.  Allen Regeln wurden Texttransformationen und Signaturen hinzugefügt, um die Erkennung zu verbessern.  | 15.12.2022 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.4 dieser Regelgruppe wurde veröffentlicht.  Es wurde eine Texttransformation hinzugefügt, `NoUserAgent_HEADER` um alle Null-Bytes zu entfernen. Die Filter in den Cross-Site-Scripting-Regeln wurden aktualisiert, um die Erkennung zu verbessern.  | 05.12.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.17 dieser Regelgruppe wurde veröffentlicht.  Die Java-Deserialisierungsregeln wurden aktualisiert, um die Erkennung von Anfragen hinzuzufügen, die Apache CVE-2022-42889 entsprechen, einer Sicherheitslücke in Apache Commons Text vor 1.10.0, einer Sicherheitslücke in Apache Commons Text-Versionen vor 1.10.0. Weitere Informationen finden Sie unter [NIST: National Vulnerability Database: CVE-2022-42889 Detail und [CVE-2022-42889](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om): Apache Commons Text](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) vor 1.10.0 erlaubt RCE, wenn es aufgrund unsicherer Interpolationsstandards auf nicht vertrauenswürdige Eingaben angewendet wird. Verbesserte Erkennung in. `Host_localhost_HEADER` | 20.10.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.16 dieser Regelgruppe wurde veröffentlicht.  Fehlalarme, die in Version AWS 1.15 identifiziert wurden, wurden entfernt. | 05.10.2022 | 
| [Verwaltete Regelgruppe „POSIX Operating System“](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Über PHP-Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress Von der Anwendung verwaltete Regelgruppe](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Die dokumentierten Labelnamen wurden korrigiert.   | 19.09.2022 | 
| [IP-Reputationsregelgruppen](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Diese Änderung ändert nichts daran, wie die Regelgruppe mit dem Webverkehr umgeht. Laut Amazon Threat Intelligence wurde eine neue Regel mit Count Aktionen hinzugefügt, um nach IP-Adressen zu suchen, die aktiv an DDo S-Aktivitäten beteiligt sind.  | 30.08.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Die statische Version 1.15 dieser Regelgruppe wurde veröffentlicht.  Es wurde entfernt `Log4JRCE` und durch`Log4JRCE_HEADER`,, und `Log4JRCE_QUERYSTRING``Log4JRCE_URI`, ersetzt`Log4JRCE_BODY`, um Fehlalarme genauer zu überwachen und zu verwalten.  Es wurden Signaturen hinzugefügt, um die Erkennung `PROPFIND_METHOD` und Blockierung aller `JavaDeserializationRCE*` `Log4JRCE*` Regeln zu verbessern.  Die Bezeichnungen wurden aktualisiert, um die Groß- und Kleinschreibung in `Host_localhost_HEADER` und in allen `JavaDeserializationRCE*` Regeln zu korrigieren.  Die Beschreibung von `JavaDeserializationRCE_HEADER` wurde korrigiert. | 22.08.2022 | 
| [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Es wurde eine Regel hinzugefügt, um die Verwendung der verwalteten Regelgruppe zur Verhinderung von Kontoübernahmen für den Amazon Cognito Cognito-Benutzerpool-Webverkehr zu verhindern.  | 11.08.2022 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS hat einen geplanten Ablauf der Versionen `Version_1.2` und `Version_2.0` der Regelgruppe. Die Versionen laufen am 9. September 2022 ab. Informationen zum Ablauf der Version finden Sie unter[Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md). | 09.06.2022 | 
| [Verwaltete Regelgruppe „Core Rule Set“ (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Version 1.3 dieser Regelgruppe veröffentlicht. In dieser Version werden die Spielsignaturen in den Regeln aktualisiert `GenericLFI_URIPATH` und`GenericRFI_URIPATH`, um die Erkennung zu verbessern.  | 24.05.2022 | 
| [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Hinzufügung der Regel `CategoryEmailClient` zur Regelgruppe.  | 06.04.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.14 dieser Regelgruppe. Umstellung der vier `JavaDeserializtionRCE`-Regeln auf den Block-Modus. | 31.03.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.13 dieser Regelgruppe. Aktualisierung der Texttransformation für Spring Core- und Cloud Function-RCE-Schwachstellen. Diese Regeln befinden sich im Zählmodus, um Metriken zu sammeln und übereinstimmende Muster auszuwerten. Die Kennzeichnung kann verwendet werden, um Anforderungen in einer benutzerdefinierten Regel zu blockieren. Eine nachfolgende Version wird mit diesen Regeln im Blockmodus bereitgestellt. | 31.03.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.12 dieser Regelgruppe. Hinzufügung von Signaturen für die Spring Core- und Cloud Function-RCE-Schwachstellen. Diese Regeln befinden sich im Zählmodus, um Metriken zu sammeln und übereinstimmende Muster auszuwerten. Die Kennzeichnung kann verwendet werden, um Anforderungen in einer benutzerdefinierten Regel zu blockieren. Eine nachfolgende Version wird mit diesen Regeln im Blockmodus bereitgestellt. Die Regeln`Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING``Log4JRCE_URI`, und wurden entfernt `Log4JRCE_BODY` und durch die Regel ersetzt`Log4JRCE`. | 30.03.2022 | 
| [IP-Reputationsregelgruppen](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | AWSManagedReconnaissanceList-Regel zum Ändern der Aktion von Block auf Count aktualisiert.  | 15.02.2022 | 
| [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md) Alle Regeln in neuer Regelgruppe  | Hinzufügung der Regelgruppe AWSManagedRulesATPRuleSet.  | 11.02.2022 | 
| [Verwaltete Regelgruppe „Known Bad Inputs“](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.9 dieser Regelgruppe. Entfernung der Regel `Log4JRCE` und Ersatz dieser Regel durch die Regeln `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` und `Log4JRCE_BODY`, um die Flexibilität bei der Nutzung dieser Funktionalität zu gewährleisten. Hinzufügung von Signaturen, um die Erkennung und Blockierung zu verbessern. | 28.01.2022 | 
| Core Rule Set (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Version 2.0 dieser Regelgruppe veröffentlicht. Für diese Regeln wurden Erkennungssignaturen optimiert, um Fehlalarme zu reduzieren. Ersetzung der `URL_DECODE`-Texttransformation durch die doppelte `URL_DECODE_UNI`-Texttransformation. Hinzufügung der `HTML_ENTITY_DECODE`-Texttransformation.  | 10.01.2022 | 
| Core Rule Set (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Im Rahmen der Veröffentlichung von Version 2.0 dieser Regelgruppe wurde die `URL_DECODE_UNI` Texttransformation hinzugefügt. Entfernung der `URL_DECODE`-Texttransformation aus `RestrictedExtensions_URIPATH`.  | 10.01.2022 | 
| SQL-Datenbank [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Version 2.0 dieser Regelgruppe veröffentlicht. Ersetzung der `URL_DECODE`-Texttransformation durch die doppelte `URL_DECODE_UNI`-Texttransformation und Hinzufügung der `COMPRESS_WHITE_SPACE`-Texttransformation. Hinzufügung weiterer Erkennungssignaturen zu `SQLiExtendedPatterns_QUERYARGUMENTS`. Hinzufügung der JSON-Inspektion zu `SQLi_BODY`. Hinzufügung der Regel `SQLiExtendedPatterns_BODY`. Entfernung der Regel `SQLi_URIPATH`.  | 10.01.2022 | 
| Known Bad Inputs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.8 der Regel `Log4JRCE` zur Verbesserung der Header-Inspektion und der Übereinstimmungskriterien. | 17.12.2021 | 
| Known Bad Inputs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Veröffentlichung von Version 1.4 der Regel `Log4JRCE` zur Abstimmung der Übereinstimmungskriterien und zur Prüfung zusätzlicher Header. Veröffentlichung von Version 1.5 zur Abstimmung der Übereinstimmungskriterien. | 11.12.2021 | 
| Known Bad Inputs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Hinzufügung von Version 1.2 der Regel `Log4JRCE` als Reaktion auf das kürzlich bekanntgegebene Sicherheitsproblem in Log4j. Weitere Informationen finden Sie unter [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Diese Regel prüft gängige URI-Pfade, Abfragezeichenfolgen, die ersten 8 KB des Anforderungstextes und gängige Header. Die Regel verwendet doppelte `URL_DECODE_UNI`-Texttransformationen. Veröffentlichung von Version 1.3 von `Log4JRCE` zur Abstimmung der Übereinstimmungskriterien und zur Prüfung zusätzlicher Header.  Entfernung der Regel `BadAuthToken_COOKIE_AUTHORIZATION`.  | 10.12.2021 | 

In der folgenden Tabelle sind die Änderungen aufgeführt, die vor Dezember 2021 vorgenommen wurden. 


| Regelgruppe und Regeln | Description | Date | 
| --- | --- | --- | 
| Amazon IP Reputation List | `AWSManagedReconnaissanceList` | Hinzufügung der Regel AWSManagedReconnaissanceList im Überwachungs-/Zählmodus. Diese Regel enthält IP-Adressen, die Ressourcen ausfindig machen. AWS  | 23.11.2021 | 
| Windows Operating System |  `WindowsShellCommands` `PowerShellCommands`  |  Drei neue Regeln für WindowsShell Befehle hinzugefügt: `WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`, und. `WindowsShellCommands_BODY` Eine neue PowerShell Regel wurde hinzugefügt:`PowerShellCommands_COOKIE`. Umstrukturierung der `PowerShellComands`-Regelbenennung durch Entfernen der Zeichenfolgen „\$1Set1“ und „\$1Set2“. Hinzufügung von umfassenderen Erkennungssignaturen zu `PowerShellRules`. Hinzufügung der `URL_DECODE_UNI`-Texttransformation zu allen Regeln für das Windows-Betriebssystem.  | 2021-11-23 | 
| Linux Operating System |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Doppelte `URL_DECODE` Texttransformation durch Double ersetzt. `URL_DECODE_UNI` Hinzufügung von `NORMALIZE_PATH_WIN` als zweiter Texttransformation. Ersetzung der `LFI_BODY`-Regel durch die `LFI_COOKIE`-Regel. Hinzufügung von umfassenderen Erkennungssignaturen für alle `LFI`-Regeln.  | 2021-11-23 | 
| Core Rule Set (CRS) |  `SizeRestrictions_BODY`  | Die Größenbeschränkung wurde reduziert, um Webanforderungen mit Textnutzlasten von mehr als 8 KB zu blockieren. Zuvor lag das Limit bei 10 KB.  | 27.10.2021 | 
| Core Rule Set (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Hinzufügung weiterer Erkennungssignaturen. Hinzufügung der doppelten Unicode-URL-Dekodierung zur Verbesserung des Blockierens.  | 27.10.2021 | 
| Core Rule Set (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Hinzufügung der doppelten Unicode-URL-Dekodierung zur Verbesserung des Blockierens.  | 27.10.2021 | 
| Core Rule Set (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Aktualisierung der Regelsignaturen, um falsch positive Ergebnisse zu reduzieren (basierend auf Kundenfeedback). Hinzufügung der doppelten Unicode-URL-Dekodierung zur Verbesserung des Blockierens.  | 27.10.2021 | 
| Alle | Alle Regeln | Allen Regeln, die noch keine Kennzeichnung unterstützten, wurde Unterstützung für AWS WAF Labels hinzugefügt.  | 25.10.2021 | 
| Amazon IP Reputation List | `AWSManagedIPReputationList_xxxx` | Die IP-Reputationsliste wurde neu strukturiert, Suffixe aus dem Regelnamen entfernt und Unterstützung für Labels hinzugefügt. AWS WAF  | 04.05.2021 | 
| Anonymous IP List | `AnonymousIPList` `HostingProviderList` | Unterstützung für AWS WAF Labels hinzugefügt.  | 2021-05-04 | 
| Bot-Steuerung | Alle | Hinzufügung des Regelsatzes „Bot-Steuerung“.  | 01.04.2021 | 
| Core Rule Set (CRS) | `GenericRFI_QUERYARGUMENTS`  | Hinzufügung der doppelten URL-Dekodierung.  | 03.03.2021 | 
| Core Rule Set (CRS) | `RestrictedExtensions_URIPATH`  | Verbesserung der Konfiguration der Regeln und Hinzufügung einer zusätzlichen URL-Dekodierung.  | 03.03.2021 | 
| Admin Protection | `AdminProtection_URIPATH`  | Hinzufügung der doppelten URL-Dekodierung.  | 03.03.2021 | 
| Known Bad Inputs | `ExploitablePaths_URIPATH`  | Verbesserung der Konfiguration der Regeln und Hinzufügung einer zusätzlichen URL-Dekodierung.  | 03.03.2021 | 
| Linux Operating System | `LFI_QUERYARGUMENTS`  | Verbesserung der Konfiguration der Regeln und Hinzufügung einer zusätzlichen URL-Dekodierung.  | 03.03.2021 | 
| Windows Operating System | Alle | Verbesserung der Konfiguration der Regeln.  | 23.09.2020 | 
| PHP-Anwendung | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Änderung der Texttransformation von HTML-Dekodierung in URL-Dekodierung, um Blockierung zu verbessern.  | 2020-09-16 | 
| POSIX-Betriebssystem | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Änderung der Texttransformation von HTML-Dekodierung in URL-Dekodierung, um Blockierung zu verbessern.  | 16.09.2020 | 
| Core Rule Set | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Änderung der Texttransformation von HTML-Dekodierung in URL-Dekodierung, um Blockierung zu verbessern.  | 2020-08-07 | 
| Linux Operating System | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Änderung der Texttransformation von HTML-Entitätsdekodierung in URL-Dekodierung, um Erkennung und Blockierung zu verbessern.  | 2020-05-19 | 
| Anonyme IP-Liste | Alle | Neue Regelgruppe blockiert Anfragen von Diensten[IP-Reputationsregelgruppen](aws-managed-rule-groups-ip-rep.md), die die Verschleierung der Zuschaueridentität ermöglichen, um Bots und die Umgehung geografischer Beschränkungen zu verhindern.  | 2020-03-06 | 
| WordPress Bewerbung | `WordPressExploitableCommands_QUERYSTRING`  | Neue Regel, die nach ausnutzbaren Befehlen in der Abfragezeichenfolge sucht. | 2020-03-03 | 
| Core Rule Set (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Die Größenwerteinschränkungen wurden angepasst, um die Genauigkeit zu verbessern.  | 2020-03-03 | 
| SQL-Datenbank | `SQLi_URIPATH`  | Die Regeln überprüfen jetzt den Nachrichten-URI. | 2020-01-23 | 
| SQL-Datenbank | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Aktualisierte Texttransformationen. | 2019-12-20 | 
| Core Rule Set (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Aktualisierte Texttransformationen. | 20.12.2019 | 

# Verwaltung Ihrer eigenen Regelgruppen
<a name="waf-user-created-rule-groups"></a>

Sie können eine eigene Regelgruppe erstellen, um Regelsammlungen wiederzuverwenden, die Sie entweder nicht in den verwalteten Regelgruppenangeboten finden oder die Sie lieber selbst bearbeiten. 

Regelgruppen, die Sie erstellen, enthalten Regeln wie ein Schutzpaket (Web-ACL), und Sie fügen einer Regelgruppe Regeln auf die gleiche Weise hinzu wie einem Protection Pack (Web-ACL). Wenn Sie eine eigene Regelgruppe anlegen, müssen Sie dafür eine unveränderliche Kapazitätsgrenze festlegen. 

**Topics**
+ [Erstellen einer Regelgruppe](waf-rule-group-creating.md)
+ [Regelgruppe bearbeiten](waf-rule-group-editing.md)
+ [Verwenden Ihrer Regelgruppe in einem Schutzpaket (Web-ACL)](waf-rule-group-using.md)
+ [Löschen einer Regelgruppe](waf-rule-group-deleting.md)
+ [Eine Regelgruppe teilen](waf-rule-group-sharing.md)

# Erstellen einer Regelgruppe
<a name="waf-rule-group-creating"></a>

Gehen Sie wie auf dieser Seite beschrieben vor, um eine neue Regelgruppe zu erstellen. 

**So erstellen Sie eine Regelgruppe**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Rule groups (Regelgruppen)** und dann **Create rule group (Regelgruppe erstellen)**. 

1. Geben Sie einen Namen und eine Beschreibung für die Regelgruppe ein. Sie verwenden diese, um den Regelsatz zu identifizieren, um ihn zu verwalten und zu verwenden. 

   Verwenden Sie keine Namen, die mit`AWS`, `Shield``PreFM`, oder beginnen`PostFM`. Diese Zeichenfolgen sind entweder reserviert oder könnten zu Verwechslungen mit Regelgruppen führen, die von anderen Diensten für Sie verwaltet werden. Siehe [Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md). 
**Anmerkung**  
Sie können den Namen nach dem Anlegen der Regelgruppe nicht mehr ändern.

1. Wählen Sie unter **Region** die Region, in der Sie die Regelgruppe speichern möchten. Um eine Regelgruppe in Schutzpaketen (Web ACLs) zu verwenden, die CloudFront Amazon-Distributionen schützen, müssen Sie die globale Einstellung verwenden. Sie können die globale Einstellung auch für regionale Anwendungen verwenden.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie der Regelgruppe mithilfe des **Rule Builder-Assistenten** Regeln hinzu, genau wie bei der Verwaltung von Schutzpaketen (Web-ACL). Der einzige Unterschied besteht darin, dass Sie eine Regelgruppe nicht zu einer anderen Regelgruppe hinzufügen können. 

1. Legen Sie unter **Kapazität** den Höchstwert für die Nutzung der Kapazitätseinheiten () des Protection Packs (Web ACL) durch die Regelgruppe fest. WCUs Dies ist eine unveränderliche Einstellung. Weitere Informationen zu WCUs finden Sie unter[Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md). 

   Wenn Sie Regeln zur Regelgruppe hinzufügen, zeigt der Bereich **Add rules and set capacity (Regeln hinzufügen und Kapazität festlegen)** die minimal erforderliche Kapazität an. Diese basiert auf den Regeln, die Sie bereits hinzugefügt haben. Sie können diese und Ihre zukünftigen Pläne für die Regelgruppe verwenden, um die Kapazität abzuschätzen, die die Regelgruppe benötigt. 

1. Überprüfen Sie die Einstellungen für die Regelgruppe und wählen Sie **Create (Erstellen)**.

# Regelgruppe bearbeiten
<a name="waf-rule-group-editing"></a>

Um Regeln zu einer Regelgruppe hinzuzufügen oder zu entfernen oder Konfigurationseinstellungen zu ändern, greifen Sie mit dem Verfahren auf dieser Seite auf die Regelgruppe zu. 

**Risiken rund um Produktionsdatenverkehr**  
Wenn Sie eine Regelgruppe ändern, die Sie derzeit in einem Schutzpaket (Web-ACL) verwenden, wirken sich diese Änderungen auf das Verhalten Ihres Schutzpakets (Web-ACL) aus, unabhängig davon, wo es verwendet wird. Testen und optimieren Sie alle Änderungen in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Um eine Regelgruppe zu bearbeiten**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Rule groups** (Regelgruppen).

1. Wählen Sie den Namen der Regelgruppe, die Sie bearbeiten möchten. Die Konsole leitet Sie zur Seite der Regelgruppe weiter. 
**Anmerkung**  
Wenn Sie die Regelgruppe, die Sie bearbeiten möchten, nicht sehen, überprüfen Sie die Regionsauswahl im Abschnitt **Regelgruppen**. Verwenden Sie für Regelgruppen, die zum Schutz von CloudFront Amazon-Distributionen verwendet werden, die Einstellung **Global (CloudFront)**. 

1. Bearbeiten Sie die Regelgruppe nach Bedarf. Sie können die veränderbaren Eigenschaften der Regelgruppe bearbeiten, ähnlich wie Sie es bei der Erstellung getan haben. Die Konsole speichert Ihre Änderungen während Sie arbeiten.
**Anmerkung**  
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, mit der Sie Ihr Schutzpaket (Web-ACL) oder Ihre Regelgruppe definieren.

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Satz, der in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

# Verwenden Ihrer Regelgruppe in einem Schutzpaket (Web-ACL)
<a name="waf-rule-group-using"></a>

Um eine Regelgruppe in einem Schutzpaket (Web-ACL) zu verwenden, fügen Sie sie dem Schutzpaket (Web-ACL) in einer Referenzanweisung für Regelgruppen hinzu. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Änderungen in Ihrem Schutzpaket (Web-ACL) für den Produktionsdatenverkehr implementieren, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

**Um eine Regelgruppe zu verwenden**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Rule groups** (Regelgruppen).

1. Wählen Sie den Namen der Regelgruppe, die Sie verwenden möchten.

1. Wählen **Sie Regeln hinzufügen** und dann **Meine eigenen Regeln und Regelgruppen hinzufügen** aus.

1. Wählen Sie **Regelgruppe** und wählen Sie Ihre Regelgruppe aus der Liste aus. 

In Ihrem Schutzpaket (Web-ACL) können Sie das Verhalten einer Regelgruppe und ihrer Regeln ändern, indem Sie die einzelnen Regelaktionen auf Count oder eine andere Aktion festlegen. Dies kann Ihnen verschiedene Aufgaben erleichtern, etwa das Testen einer Regelgruppe, das Erkennen von falsch positiven Ergebnissen anhand von Regeln in einer Regelgruppe und das Anpassen der Behandlung Ihrer Anforderungen durch eine verwaltete Regelgruppe. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 

Wenn Ihre Regelgruppe eine ratenbasierte Aussage enthält, verfügt jedes Schutzpaket (Web-ACL), in dem Sie die Regelgruppe verwenden, über eine eigene separate Ratenverfolgung und -verwaltung für die ratenbasierte Regel, unabhängig von allen anderen Schutzpaketen (Web-ACL), in denen Sie die Regelgruppe verwenden. Weitere Informationen finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

# Löschen einer Regelgruppe
<a name="waf-rule-group-deleting"></a>

Befolgen Sie die Anweisungen in diesem Abschnitt, um eine Regelgruppe zu löschen.

**Löschen von referenzierten Sets oder Regelgruppen**  
Wenn Sie eine Entität löschen, die Sie in einem Schutzpaket (Web-ACL) verwenden können, z. B. ein IP-Set, ein Regex-Muster-Set oder eine Regelgruppe, wird AWS WAF geprüft, ob die Entität derzeit in einem Protection Pack (Web-ACL) verwendet wird. Wenn es feststellt, dass es verwendet wird, werden Sie AWS WAF gewarnt. AWS WAF kann fast immer feststellen, ob ein Schutzpaket (Web-ACL) auf eine Entität verweist. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sichergehen möchten, dass die Entität derzeit nicht verwendet wird, suchen Sie in Ihren Schutzpaketen (Web ACLs) nach ihr, bevor Sie sie löschen. Wenn es sich bei der Entität um ein referenziertes Set handelt, stellen Sie sicher, dass keine Regelgruppen es verwenden.

**So löschen Sie eine Regelgruppe**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Rule groups** (Regelgruppen).

1. Wählen Sie die Regelgruppe, die Sie löschen möchten. Wählen Sie dann **Delete (Löschen)**.
**Anmerkung**  
Wenn Sie die Regelgruppe, die Sie löschen möchten, nicht sehen, überprüfen Sie die Regionsauswahl im Abschnitt **Regelgruppen**. Verwenden Sie für Regelgruppen, die zum Schutz von CloudFront Amazon-Distributionen verwendet werden, die Einstellung **Global (CloudFront)**. 

# Eine Regelgruppe teilen
<a name="waf-rule-group-sharing"></a>

Sie können eine Regelgruppe mit anderen Konten teilen, damit sie von diesen Konten verwendet werden können. 

**Eine Regelgruppe teilen**  
Sie können Inhalte mit einem oder mehreren bestimmten Konten teilen, und Sie können Inhalte für alle Konten in einer Organisation freigeben. 

Um eine Regelgruppe gemeinsam zu nutzen, verwenden Sie die AWS WAF API, um eine Richtlinie für die Regelgruppenfreigabe zu erstellen, die Sie möchten. Weitere Informationen finden Sie unter [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) in der *AWS WAF -API-Referenz*.

**Verwenden Sie eine Regelgruppe, die mit Ihnen geteilt wurde**  
Wenn eine Regelgruppe mit Ihrem Konto geteilt wurde, können Sie über die API darauf zugreifen und sie referenzieren, wenn Sie Ihre Schutzpakete (Web ACLs) über die API erstellen oder aktualisieren. Weitere Informationen finden Sie unter [GetRuleGroupCreateWeb](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html)[ACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) und [UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) in der *AWS WAF API-Referenz*. Regelgruppen, die mit Ihnen geteilt wurden, werden nicht in der Liste der Regelgruppen in Ihrer AWS WAF Konsole angezeigt. 

# AWS Marketplace Regelgruppen
<a name="marketplace-rule-groups"></a>

In diesem Abschnitt wird erklärt, wie AWS Marketplace Regelgruppen verwendet werden.

AWS Marketplace Regelgruppen sind als Abonnement über die AWS Marketplace Konsole unter erhältlich [AWS Marketplace](https://aws.amazon.com/marketplace). Nachdem Sie eine AWS Marketplace Regelgruppe abonniert haben, können Sie sie in verwenden AWS WAF. Um eine AWS Marketplace Regelgruppe in einer AWS Firewall Manager AWS WAF Richtlinie verwenden zu können, muss jedes Konto in Ihrer Organisation sie abonnieren. 

**Sie können verschiedene Arten von Regelgruppen abonnieren über AWS Marketplace:**
+ AWS WAF von Partnern verwaltete Regelgruppen
+ Kundenseitige Schutzmaßnahmen

Testen und optimieren Sie alle Änderungen an Ihren AWS WAF Schutzmaßnahmen, bevor Sie sie für den Produktionsdatenverkehr verwenden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**AWS Marketplace Preisgestaltung für Regelgruppen**  
AWS Marketplace Regelgruppen sind ohne langfristige Verträge und ohne Mindestverpflichtungen erhältlich. Wenn Sie eine Regelgruppe abonnieren, werden Ihnen eine monatliche Gebühr (anteilig pro Stunde) und fortlaufende Gebühren für Anfragen je nach Volumen berechnet. Die Abonnementgebühr wird Ihnen jedoch erst berechnet, wenn Sie die abonnierte Regelgruppe zu einer Web-ACL hinzufügen und mit der Nutzung beginnen. Weitere Informationen finden Sie unter [AWS WAF Preise](https://aws.amazon.com/waf/pricing/) und in der Beschreibung der einzelnen AWS Marketplace Regelgruppen unter [AWS Marketplace](https://aws.amazon.com/marketplace).

**Haben Sie Fragen zu einer AWS Marketplace Regelgruppe?**  
Wenn Sie Fragen zu einer Regelgruppe haben, die von einem AWS Marketplace Verkäufer verwaltet wird, und wenn Sie Änderungen an der Funktionalität beantragen möchten, wenden Sie sich an den Kundensupport des Anbieters. Kontaktinformationen finden Sie im Angebot des Anbieters unter [AWS Marketplace](https://aws.amazon.com/marketplace).

Der AWS Marketplace Regelgruppenanbieter legt fest, wie die Regelgruppe verwaltet wird, z. B. wie die Regelgruppe aktualisiert wird und ob die Regelgruppe versioniert ist. Der Anbieter bestimmt auch die Details der Regelgruppe, einschließlich der Regeln, Regelaktionen und aller Bezeichnungen, die die Regeln passenden Webanfragen hinzufügen. 

## AWS Marketplace Regelgruppen abonnieren
<a name="marketplace-rule-groups-subscribing"></a>

Sie können AWS Marketplace Regelgruppen auf der Konsole abonnieren und abbestellen. AWS WAF 

**Wichtig**  
Um eine AWS Marketplace Regelgruppe in einer AWS Firewall Manager Richtlinie zu verwenden, muss jedes Konto in Ihrer Organisation zuerst diese Regelgruppe abonnieren. 

**Um eine AWS Marketplace Regelgruppe zu abonnieren**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option Zusätzliche Schutzmaßnahmen aus**.**

1. Wählen Sie in **AWS Marketplace**diesem Abschnitt den Namen einer Regelgruppe aus, um die Details und Preisinformationen anzuzeigen.
**Tipp**  
Verwenden Sie die Filter, um schnell nach den Regeln zu sortieren, die Sie am meisten interessieren. Sie können beispielsweise den **Kategoriefilter** verwenden, um nur clientseitige Schutzmaßnahmen anzuzeigen.

1. Um eine Regelgruppe zu abonnieren: AWS Marketplace 

   1. Navigieren Sie zu einer Regelgruppe und wählen Sie dann **Über Marketplace abonnieren** aus.

   1. Wählen Sie auf der sich öffnenden Marketplace-Seite **Kaufoptionen anzeigen** und anschließend **Abonnieren** aus.
**Anmerkung**  
Wenn Sie sich entscheiden, die Regelgruppe nicht zu abonnieren, schließen Sie einfach das Pop-up.

Nachdem Sie eine AWS Marketplace Regelgruppe abonniert haben, verwenden Sie sie in Ihren Schutzpaketen (Web ACLs) wie andere verwaltete Regelgruppen. Weitere Informationen finden Sie unter [Erstellen eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-creating.md). 

Wenn Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzufügen, können Sie die Aktionen der Regeln in der Regelgruppe und des Regelgruppenergebnisses außer Kraft setzen. Weitere Informationen finden Sie unter [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 

## Abmeldung von Regelgruppen AWS Marketplace
<a name="marketplace-rule-groups-unsubscribing"></a>

Sie können sich auf AWS Marketplace der Konsole von Regelgruppen abmelden. AWS Marketplace 

**Wichtig**  
Um die Abonnementgebühren für eine AWS Marketplace Regelgruppe zu beenden, müssen Sie sie aus allen Schutzpaketen (Web ACLs) in AWS WAF und in allen Firewall Manager AWS WAF Manager-Richtlinien entfernen und sich zusätzlich von ihr abmelden. Wenn Sie sich von einer AWS Marketplace Regelgruppe abmelden, sie aber nicht aus Ihren Schutzpaketen (Web ACLs) entfernen, wird Ihnen das Abonnement weiterhin in Rechnung gestellt. 

**Um sich von einer AWS Marketplace Regelgruppe abzumelden**

1. Entfernen Sie die Regelgruppe aus allen Schutzpaketen (Web ACLs). Weitere Informationen finden Sie unter [Bearbeiten eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-editing.md).

1. Öffnen Sie die AWS Konsole unter [https://console.aws.amazon.com/marketplace](https://console.aws.amazon.com/marketplace).

   Die **Seite „Abonnements verwalten“ wird angezeigt**.

1. Öffnen Sie die Liste der **Versandmethoden** und wählen Sie **SaaS** aus.

1. Öffnen Sie unter **Vereinbarung** die **Liste Aktionen** und wählen Sie neben dem Namen der Regelgruppe, von der Sie sich abmelden möchten, die Option **Abonnement kündigen** aus.

1. Geben Sie im Dialogfeld **Abonnement kündigen** den Text ein **confirm** und wählen Sie dann **Ja, Abonnement kündigen** aus.

## Problembehandlung bei AWS Marketplace Regelgruppen
<a name="waf-managed-rule-group-troubleshooting"></a>

Wenn Sie feststellen, dass eine AWS Marketplace Regelgruppe legitimen Datenverkehr blockiert, können Sie das Problem beheben, indem Sie die folgenden Schritte ausführen.

**So beheben Sie Fehler bei einer AWS Marketplace Regelgruppe**

1. Überschreiben Sie die Aktionen, um die Regeln zu zählen, die legitimen Datenverkehr blockieren. Sie können anhand der AWS WAF gesampelten Anfragen oder anhand von AWS WAF Protokollen feststellen, welche Regeln bestimmte Anfragen blockieren. Sie können die Regeln identifizieren, indem Sie sich das Feld `ruleGroupId` im Protokoll oder das Feld `RuleWithinRuleGroup` in der Stichprobenanforderung ansehen. Sie können die Regel im Muster `<Seller Name>#<RuleGroup Name>#<Rule Name>` identifizieren.

1. Wenn das Problem nicht gelöst wird, indem Sie bestimmte Regeln so einrichten, dass nur Anfragen gezählt werden, können Sie alle Regelaktionen überschreiben oder die Aktion für die AWS Marketplace Regelgruppe selbst von **Keine Überschreibung auf Überschreiben** ändern, um **zu zählen**. Dadurch kann die Webanforderung unabhängig von den einzelnen Regelaktionen innerhalb der Regelgruppe durchlaufen werden. 

1. Nachdem Sie entweder die einzelne Regelaktion oder die gesamte AWS Marketplace Regelgruppenaktion außer Kraft gesetzt haben, wenden Sie sich an das Kundendienstteam des Regelgruppenanbieters, um das Problem weiter zu beheben. Kontaktinformationen finden Sie in der Regelgruppenliste auf den Produktlistenseiten auf AWS Marketplace.

### Den Support kontaktieren AWS
<a name="waf-managed-rule-group-troubleshooting-support"></a>

Bei Problemen mit AWS WAF oder einer Regelgruppe, die von verwaltet wird AWS, wenden Sie sich an AWS Support. Bei Problemen mit einer Regelgruppe, die von einem AWS Marketplace Verkäufer verwaltet wird, wenden Sie sich an den Kundensupport des Anbieters. Kontaktinformationen finden Sie im Angebot des Anbieters unter AWS Marketplace.

# Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden
<a name="waf-service-owned-rule-groups"></a>

Wenn Sie oder ein Administrator in Ihrer Organisation den Ressourcenschutz verwenden AWS Firewall Manager oder AWS Shield Advanced damit verwalten AWS WAF, werden Ihnen möglicherweise Referenzanweisungen zu Regelgruppen hinzugefügt, die den Schutzpaketen (Web ACLs) in Ihrem Konto hinzugefügt wurden. 

Die Namen dieser Regelgruppen beginnen mit den folgenden Zeichenfolgen: 
+ **`ShieldMitigationRuleGroup`**— Diese Regelgruppen werden von geschützten Ressourcen der Anwendungsschicht (Schicht DDo 7) verwaltet AWS Shield Advanced und zur automatischen Abwehr von Anwendungsschicht-S-Ressourcen verwendet. 

  Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S für eine geschützte Ressource aktivieren, fügt Shield Advanced dem Schutzpaket (Web-ACL), das Sie der Ressource zugeordnet haben, eine dieser Regelgruppen hinzu. Shield Advanced weist der Regelgruppen-Referenzanweisung eine Prioritätseinstellung von 10.000.000 zu, sodass sie nach den Regeln ausgeführt wird, die Sie im Protection Pack (Web-ACL) konfiguriert haben. Weitere Informationen zu diesen Regelgruppen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).
**Warnung**  
Versuchen Sie nicht, diese Regelgruppe in Ihrem Schutzpaket (Web-ACL) manuell zu verwalten. Löschen Sie insbesondere nicht manuell die Referenzerklärung zur `ShieldMitigationRuleGroup` Regelgruppe aus Ihrem Protection Pack (Web-ACL). Dies könnte unbeabsichtigte Folgen für alle Ressourcen haben, die mit dem Protection Pack (Web-ACL) verknüpft sind. Verwenden Sie stattdessen Shield Advanced, um die automatische Risikominderung für die Ressourcen zu deaktivieren, die dem Protection Pack (Web-ACL) zugeordnet sind. Shield Advanced entfernt die Regelgruppe für Sie, wenn sie für die automatische Schadensbegrenzung nicht benötigt wird.
+ **`PREFMManaged`und `POSTFMManaged`** — Diese Regelgruppen werden auf der AWS Firewall Manager Grundlage von Firewall Manager AWS WAF Manager-Richtlinienkonfigurationen verwaltet. Firewall Manager stellt diese Regelgruppen in Schutzpaketen (Web ACLs) bereit, die Firewall Manager verwaltet. 

  Firewall Manager erstellt Schutzpakete (Web ACLs) für Sie, deren Namen mit beginnen`FMManagedWebACLV2`. Sie können Firewall Manager so konfigurieren, dass auch Ihre vorhandenen Schutzpakete (Web ACLs) nachgerüstet werden. Für diese ist der Name des Schutzpakets (Web-ACL) derjenige, den Sie bei der Erstellung angegeben haben. In beiden Fällen fügt Firewall Manager diese Regelgruppen dem Schutzpaket (Web-ACL) hinzu. Weitere Informationen finden Sie unter [AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

# Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF
<a name="aws-waf-capacity-units"></a>

In diesem Abschnitt wird erklärt, was Web-ACL-Kapazitätseinheiten (WCUs) sind und wie sie funktionieren.

AWS WAF verwendet WCUs , um die Betriebsressourcen zu berechnen und zu steuern, die für die Ausführung Ihrer Regeln, Regelgruppen und des Webs erforderlich sind ACLs. AWS WAF erzwingt WCU-Grenzwerte, wenn Sie Ihre Regelgruppen und das Web konfigurieren. ACLs WCUs hat keinen Einfluss darauf, wie der AWS WAF Web-Traffic untersucht wird. 

AWS WAF verwaltet die Kapazität für Regeln, Regelgruppen und das Internet ACLs. 

**Regel WCUs**  
AWS WAF berechnet die Regelkapazität, wenn Sie eine Regel erstellen oder aktualisieren. AWS WAF berechnet die Kapazität für jeden Regeltyp unterschiedlich, um die relativen Kosten jeder Regel widerzuspiegeln. Einfache Regeln, deren Ausführung wenig kostet, verwenden weniger WCUs als komplexere Regeln, die mehr Rechenleistung verbrauchen. Beispielsweise verwendet eine Anweisung für eine Größenbeschränkungsregel weniger WCUs als eine Anweisung, die Anfragen anhand eines Regex-Mustersatzes untersucht. 

Die Kapazitätsanforderungen für Regeln beginnen im Allgemeinen bei den Grundkosten für den Regeltyp und nehmen mit der Komplexität zu, z. B. wenn Sie vor der Inspektion Texttransformationen hinzufügen oder wenn Sie den JSON-Text überprüfen. Informationen zu den Kapazitätsanforderungen für Regeln finden Sie in den Auflistungen der Regelanweisungen unter[Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md). 

**Regelgruppe WCUs**  
Die WCU-Anforderungen für eine Regelgruppe werden durch die Regeln bestimmt, die Sie innerhalb der Regelgruppe definieren. Die maximale Kapazität für eine Regelgruppe beträgt 5.000 WCUs. 

Jede Regelgruppe hat eine unveränderliche Kapazitätseinstellung, die der Besitzer bei der Erstellung zuweist. Dies gilt für verwaltete Regelgruppen und Regelgruppen, mit denen Sie sie erstellen. AWS WAF Wenn Sie eine Regelgruppe ändern, müssen Ihre Änderungen dafür sorgen, dass die Regelgruppe WCUs im Rahmen ihrer Kapazität bleibt. Dadurch wird sichergestellt, dass Schutzpakete (Web ACLs) oder Web ACLs , die die Regelgruppe verwenden, ihren Kapazitätsanforderungen entsprechen. 

Die in einer Regelgruppe verwendeten Werte sind WCUs die Summe der WCUs Regeln abzüglich aller Verarbeitungsoptimierungen, die AWS WAF durch die Kombination des Verhaltens der Regeln erzielt werden können. Wenn Sie beispielsweise zwei Regeln definieren, um dieselbe Webanforderungskomponente zu untersuchen, und die Regeln jeweils eine bestimmte Transformation auf die Komponente anwenden, bevor sie überprüft wird, AWS WAF kann Ihnen möglicherweise nur einmal für die Anwendung der Transformation eine Gebühr berechnet werden. Die WCU-Kosten für die Verwendung einer Regelgruppe in einem Schutzpaket (Web-ACL) entsprechen immer der festen WCU-Einstellung, die Sie bei der Erstellung der Regelgruppe definiert haben. 

Achten Sie beim Erstellen einer Regelgruppe darauf, dass die Kapazität hoch genug ist, um die Regeln zu berücksichtigen, die Sie während der gesamten Lebensdauer der Regelgruppe verwenden möchten. 

**Schutzpaket oder Web-ACL WCUs**  
Die WCU-Anforderungen für ein Protection Pack (Web-ACL) werden durch die Regeln und Regelgruppen bestimmt, die Sie innerhalb des Protection Packs (Web-ACL) verwenden. 
+ Die Kosten für die Verwendung einer Regelgruppe in einem Schutzpaket (Web-ACL) hängen von der Kapazitätseinstellung der Regelgruppe ab. 
+ Die Kosten für die Verwendung einer Regel ergeben sich aus der Berechnung der Regel WCUs abzüglich aller Verarbeitungsoptimierungen, die AWS WAF aus der Regelkombination des Protection Packs (Web-ACL) erzielt werden können. Wenn Sie beispielsweise zwei Regeln definieren, um dieselbe Webanforderungskomponente zu untersuchen, und die Regeln jeweils eine bestimmte Transformation auf die Komponente anwenden, bevor sie überprüft wird, AWS WAF kann Ihnen möglicherweise nur einmal für die Anwendung der Transformation eine Gebühr berechnet werden. 

Der Grundpreis für ein Schutzpaket (Web-ACL) beinhaltet bis zu 1.500 WCUs €. Für die Nutzung von mehr als WCUs 1.500€ fallen gemäß einem gestaffelten Preismodell zusätzliche Gebühren an. AWS WAF passt die Preise für Ihr Protection Pack (Web ACL) automatisch an, wenn sich Ihre Nutzung von Protection Pack (Web ACL) WCU ändert. Details zu den Preisen finden Sie unter [AWS WAF -Preise](https://aws.amazon.com/waf/pricing/). 

Die maximale Kapazität für ein Protection Pack (Web-ACL) beträgt 5.000. WCUs 

## Ermitteln der WCUs für eine Regelgruppe, ein Schutzpaket (Web-ACL) oder eine Web-ACL
<a name="aws-waf-capacity-units-used"></a>

Wie in den vorherigen Abschnitten erwähnt, entspricht der Gesamtwert, der in einer Regelgruppe, einem Schutzpaket (Web-ACL) oder einer Web-ACL WCUs verwendet wird, der Summe aller Regeln, die in der Regelgruppe, dem Schutzpaket (Web-ACL) *oder der WCUs Web-ACL definiert sind, oder kleiner als* die Summe aller Regeln, die in der Regelgruppe, dem Protection Pack (Web-ACL) oder der Web-ACL definiert sind.

In der AWS WAF Konsole können Sie sehen, wie viel Kapazität verbraucht wird, wenn Sie Ihrem Schutzpaket (Web-ACL), Ihrer Web-ACL oder Ihrer Regelgruppe Regeln hinzufügen. In der Konsole werden die aktuellen Kapazitätseinheiten angezeigt, die beim Hinzufügen der Regeln verwendet wurden. 

Über die API können Sie die maximalen Kapazitätsanforderungen für die Regeln überprüfen, die Sie in einem Schutzpaket (Web-ACL), einer Web-ACL oder einer Regelgruppe verwenden möchten. Geben Sie dazu die JSON-Liste der Regeln für den Check Capacity-Aufruf an. Weitere Informationen finden Sie [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)in der *AWS WAF V2-API-Referenz*.

# Übergroße Webanforderungskomponenten in AWS WAF
<a name="waf-oversize-request-components"></a>

In diesem Abschnitt wird erklärt, wie Sie die Größenbeschränkungen für die Überprüfung des Hauptteils, der Header und der darin enthaltenen Cookies für Webanfragen verwalten. AWS WAF

AWS WAF unterstützt nicht die Überprüfung sehr großer Inhalte für den Hauptteil, die Header oder die Cookies der Webanforderungskomponenten. Der zugrundeliegende Hostdienst hat Beschränkungen hinsichtlich der Anzahl und Größe der Daten, an die er zur AWS WAF Überprüfung weiterleitet. Beispielsweise sendet der Hostdienst nicht mehr als 200 Header an AWS WAF, sodass bei einer Webanfrage mit 205 Headern die letzten 5 Header nicht überprüft AWS WAF werden können. 

Wenn AWS WAF eine Webanfrage an Ihre geschützte Ressource weitergeleitet werden kann, wird die gesamte Webanforderung gesendet, einschließlich aller Inhalte, die außerhalb der Anzahl und Größe liegen, die überprüft werden AWS WAF konnte. 

**Größenbeschränkungen bei der Inspektion von Komponenten**  
Die Größenbeschränkungen für die Inspektion von Komponenten lauten wie folgt: 
+ **`Body`und `JSON Body`** — Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md). 
+ **`Headers`**— AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. 

  Diese Grenzwerte gelten, wenn Sie alle Header einer Anfrage überprüfen. Wenn Sie einen einzelnen Header untersuchen, AWS WAF können Sie den gesamten Inhalt dieses Headers ohne diese Größen- oder Zählbeschränkungen überprüfen.
+ **`Cookies`**— AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt kann AWS WAF bis zur ersten erreichten Grenze eingesehen werden. 

**Überdimensionierte Bearbeitungsoptionen für Ihre Regelaussagen**  
Wenn Sie eine Regelanweisung schreiben, die einen dieser Anforderungskomponententypen untersucht, geben Sie an, wie mit übergroßen Komponenten umgegangen werden soll. Die Behandlung von Übergrößen gibt an, AWS WAF was mit einer Webanforderung geschehen soll, wenn die von der Regel untersuchte Anforderungskomponente die Größenbeschränkungen überschreitet. 

Die Optionen für den Umgang mit übergroßen Komponenten lauten wie folgt: 
+ **Continue**— Untersuchen Sie die Anforderungskomponente normal gemäß den Regelprüfungskriterien. AWS WAF untersucht den Inhalt der Anforderungskomponente, der innerhalb der Größenbeschränkungen liegt. 
+ **Match**— Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an, ohne sie anhand der Prüfkriterien der Regel zu bewerten. 
+ **No match**— Behandelt die Webanforderung als nicht übereinstimmend mit der Regelaussage, ohne sie anhand der Prüfkriterien der Regel zu bewerten. AWS WAF setzt die Prüfung der Webanforderung fort und verwendet dabei die restlichen Regeln im Schutzpaket (Web-ACL), so wie dies bei jeder Regel der Fall wäre, die nicht übereinstimmend ist. 

In der AWS WAF Konsole müssen Sie eine dieser Behandlungsoptionen auswählen. Außerhalb der Konsole ist die StandardoptionContinue. 

Wenn Sie die Match Option in einer Regel verwenden, deren Aktion auf gesetzt istBlock, blockiert die Regel eine Anfrage, deren überprüfte Komponente zu groß ist. Bei jeder anderen Konfiguration hängt die endgültige Bearbeitung der Anfrage von verschiedenen Faktoren ab, z. B. von der Konfiguration der anderen Regeln in Ihrem Schutzpaket (Web-ACL) und der Standardaktionseinstellung des Schutzpakets (Web-ACL). 

**Umgang mit zu großen Regelgruppen in Regelgruppen, die Ihnen nicht gehören**  
Beschränkungen für die Größe und Anzahl der Komponenten gelten für alle Regeln, die Sie in Ihrem Protection Pack (Web-ACL) verwenden. Dazu gehören alle Regeln, die Sie verwenden, aber nicht verwalten, in verwalteten Regelgruppen und in Regelgruppen, die von einem anderen Konto für Sie freigegeben wurden. 

Wenn Sie eine Regelgruppe verwenden, die Sie nicht verwalten, verfügt die Regelgruppe möglicherweise über eine Regel, die eine eingeschränkte Anforderungskomponente überprüft, übergroße Inhalte jedoch nicht so behandelt, wie Sie sie benötigen. Informationen darüber, wie AWS verwaltete Regeln übergroße Komponenten verwalten, finden Sie unter. [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md) Wenden Sie sich an Ihren Regelgruppenanbieter, um Informationen zu anderen Regelgruppen zu erhalten.

**Richtlinien für die Verwaltung übergroßer Komponenten in Ihrem Protection Pack (Web-ACL)**  
Wie Sie mit übergroßen Komponenten in Ihrem Schutzpaket (Web-ACL) umgehen, kann von einer Reihe von Faktoren abhängen, z. B. von der erwarteten Größe des Inhalts Ihrer Anforderungskomponente, der standardmäßigen Anforderungsbehandlung Ihres Schutzpakets (Web-ACL) und davon, wie andere Regeln in Ihrem Schutzpaket (Web-ACL) Anfragen zuordnen und verarbeiten. 

Die allgemeinen Richtlinien für die Verwaltung überdimensionierter Komponenten für Webanfragen lauten wie folgt: 
+ Wenn Sie Anforderungen mit übergroßen Komponenteninhalten zulassen müssen, fügen Sie nach Möglichkeit Regeln hinzu, um nur diese Anforderungen explizit zuzulassen. Ordnen Sie diesen Regeln Priorität zu, sodass sie vor allen anderen Regeln im Schutzpaket (Web-ACL) ausgeführt werden, die dieselben Komponententypen überprüfen. Mit diesem Ansatz können Sie nicht den gesamten Inhalt der überdimensionierten Komponenten überprüfen, die Sie an Ihre geschützte Ressource weitergeben dürfen. AWS WAF 
+ Für alle anderen Anforderungen können Sie verhindern, dass zusätzliche Bytes übergeben werden, indem Sie Anforderungen blockieren, die das Limit überschreiten: 
  + **Ihre Regeln und Regelgruppen** — Konfigurieren Sie in Ihren Regeln zur Prüfung von Komponenten mit Größenbeschränkungen den Umgang mit überdimensionalen Komponenten so, dass Sie Anfragen blockieren, die das Limit überschreiten. Wenn Ihre Regel beispielsweise Anfragen mit bestimmten Header-Inhalten blockiert, legen Sie die Behandlung von Übergrößen so fest, dass sie auch Anfragen mit übergroßen Header-Inhalten entspricht. Wenn Ihr Schutzpaket (Web-ACL) Anfragen standardmäßig blockiert und Ihre Regel bestimmte Header-Inhalte zulässt, konfigurieren Sie die Behandlung von Übergrößen Ihrer Regel so, dass sie bei Anfragen mit übergroßen Header-Inhalten nicht übereinstimmt. 
  + **Regelgruppen, die Sie nicht verwalten** – Um zu verhindern, dass Regelgruppen, die Sie nicht verwalten, übergroße Anforderungskomponenten zulassen, können Sie eine separate Regel hinzufügen, die den Anforderungskomponententyp überprüft und Anforderungen blockiert, die Grenzwerte überschreiten. Priorisieren Sie die Regel in Ihrem Schutzpaket (Web-ACL), sodass sie vor den Regelgruppen ausgeführt wird. Sie können beispielsweise Anfragen mit übergroßem Hauptteil blockieren, bevor eine Ihrer Regeln zur Überprüfung des Hauptteils im Schutzpaket (Web-ACL) ausgeführt wird. Im folgenden Verfahren wird beschrieben, wie dieser Regeltyp hinzugefügt wird.

## Blockieren übergroßer Komponenten für Webanfragen
<a name="waf-oversize-request-components-blocking"></a>

Sie können Ihrem Schutzpaket (Web-ACL) eine Regel hinzufügen, die Anfragen mit übergroßen Komponenten blockiert. 

**So fügen Sie eine Regel hinzu, die übergroße Inhalte blockiert**

1. Wenn Sie Ihr Schutzpaket (Web-ACL) erstellen oder bearbeiten, wählen Sie in den Regeleinstellungen die Optionen **Regeln hinzufügen****, Eigene Regeln und Regelgruppen** hinzufügen, Rule **Builder** und dann **Visual Editor für Regeln** aus. Anleitungen zum Erstellen oder Bearbeiten eines Schutzpakets (Web-ACL) finden Sie unter[Metriken zum Web-Traffic anzeigen in AWS WAF](web-acl-working-with.md).

1. Geben Sie einen Namen für die Regel ein und lassen Sie die Einstellung **Type** (Typ) auf **Regular rule** (Reguläre Regel) eingestellt. 

1. Ändern Sie die folgenden Übereinstimmungseinstellungen: 

   1. Öffnen Sie unter **Statement** (Anweisung) das Drop-down-Menü für **Inspect** (Untersuchen) und wählen Sie die benötigte Webanforderungskomponente aus, also entweder **Body** (Text), **Headers** (Header) oder **Cookies**. 

   1. Wählen Sie für **Match type** (Übereinstimmungstyp) die Option **Size greater than** (Größe größer als) aus. 

   1. Geben Sie unter **Größe** eine Zahl ein, die mindestens der Mindestgröße für den Komponententyp entspricht. Geben Sie für Header und Cookies Folgendes ein`8192`. Geben `8192` Sie in Application Load Balancer oder AWS AppSync Protection Packs (Web ACLs) für Körper den Text ein. Geben `16384` Sie für Body in CloudFront API Gateway, Amazon Cognito, App Runner oder Verified Access Protection Packs (Web ACLs) Folgendes ein, wenn Sie die standardmäßige Körpergrößenbeschränkung verwenden. Geben Sie andernfalls die Körpergrößenbeschränkung ein, die Sie für Ihr Schutzpaket (Web-ACL) definiert haben. 

   1. Wählen Sie für **Oversize handling** (Handhabung zu großer Inhalte) die Option **Match** (Übereinstimmung) aus. 

1. Wählen Sie für **Action** (Aktion) die Option **Block** (Blockieren) aus.

1. Wählen Sie **Regel hinzufügen** aus.

1. Nachdem Sie die Regel hinzugefügt haben, verschieben Sie sie auf der Seite **Regelpriorität festlegen** über alle Regeln oder Regelgruppen in Ihrem Protection Pack (Web-ACL), die denselben Komponententyp untersuchen. Dadurch erhält die neue Regel eine niedrigere numerische Priorität, weshalb AWS WAF sie zuerst ausgewertet wird. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md).

# Unterstützte Syntax für reguläre Ausdrücke in AWS WAF
<a name="waf-regex-pattern-support"></a>

AWS WAF unterstützt die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax für reguläre Ausdrücke. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. 

AWS WAF unterstützt nicht alle Konstrukte der Bibliothek. Zum Beispiel unterstützt es einige Nullbreiten-Assertionen, aber nicht alle. Wir haben keine umfassende Liste der unterstützten Konstrukte. Wenn Sie jedoch ein ungültiges Regex-Muster angeben oder nicht unterstützte Konstrukte verwenden, meldet die AWS WAF API einen Fehler. 

AWS WAF unterstützt die folgenden PCRE-Muster nicht: 
+ Rückverweise und Erfassung von Teilausdrücken
+ Subroutine-Referenzen und rekursive Muster
+ Bedingungsmuster
+ Rückverfolgung von Kontrollverben
+ Die \$1C Einbyte-Richtlinie
+ Die \$1 R-Newline-Match-Richtlinie
+ Die \$1 K-Start der Match-Reset-Richtlinie
+ Callouts und eingebetteter Code
+ Atomic Grouping und possessive Quantifizierer

# IP-Sätze und Regex-Mustersätze in AWS WAF
<a name="waf-referenced-set-managing"></a>

In diesem Abschnitt werden die Themen IP-Sets und Regex-Mustersätze vorgestellt.

AWS WAF speichert einige komplexere Informationen in Gruppen, die Sie verwenden, indem Sie in Ihren Regeln auf sie verweisen. Jedes dieser Sets hat einen Namen und erhält bei der Erstellung einen Amazonen-Ressourcennamen (ARN). Sie können diese Sets aus Ihren Regelanweisungen verwalten und über die Konsolen-Navigation auf sie zugreifen und sie so verwalten. 

Sie können einen verwalteten Satz in einer Regelgruppe oder einem Schutzpaket (Web-ACL) verwenden.
+ Informationen zur Verwendung eines IP-Sets finden Sie unter[IP-Set-Übereinstimmungsregelanweisung](waf-rule-statement-type-ipset-match.md). 
+ Informationen zur Verwendung eines Regex-Mustersatzes finden Sie unter. [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md) 

**Temporäre Inkonsistenzen bei Aktualisierungen**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

**Topics**
+ [Einen IP-Satz erstellen und verwalten in AWS WAF](waf-ip-set-managing.md)
+ [Erstellen und Verwalten eines Regex-Musters in AWS WAF](waf-regex-pattern-set-managing.md)

# Einen IP-Satz erstellen und verwalten in AWS WAF
<a name="waf-ip-set-managing"></a>

Ein IP-Set stellt eine Sammlung von IP-Adressen und IP-Adressbereichen bereit, die Sie in einer Regelanweisung gemeinsam verwenden möchten. IP-Sets sind AWS Ressourcen. 

Um einen IP-Satz in einem Schutzpaket (Web-ACL) oder einer Regelgruppe zu verwenden, erstellen Sie zunächst eine AWS Ressource `IPSet` mit Ihren Adressspezifikationen. Anschließend verweisen Sie auf den Satz, wenn Sie einem Schutzpaket (Web-ACL) oder einer Regelgruppe eine IP-Set-Regelanweisung hinzufügen. 

## Erstellen eines IP-Sets
<a name="waf-ip-set-creating"></a>

Gehen Sie wie in diesem Abschnitt beschrieben vor, um ein neues IP-Set zu erstellen.

**Anmerkung**  
Zusätzlich zu dem Verfahren in diesem Abschnitt haben Sie die Möglichkeit, einen neuen IP-Satz hinzuzufügen, wenn Sie Ihrem Schutzpaket (Web-ACL) oder Ihrer Regelgruppe eine IP-Vergleichsregel hinzufügen. Wenn Sie diese Option wählen, müssen Sie dieselben Einstellungen vornehmen wie bei diesem Verfahren. 

**So erstellen Sie ein IP-Set**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **IP-Sets** und dann **Create IP set (IP-Set erstellen)**. 

1. Geben Sie einen Namen und eine Beschreibung für das IP-Set ein. Sie werden diesen verwenden, um einen Satz zu identifizieren, wenn Sie diesen verwenden möchten. 
**Anmerkung**  
Sie können den Namen nach der Erstellung des IP-Sets nicht mehr ändern.

1. Wählen Sie unter **Region** die Option Global (CloudFront) oder wählen Sie die Region aus, in der Sie den IP-Satz speichern möchten. Sie können regionale IP-Sets nur in Schutzpaketen (Web ACLs) verwenden, die regionale Ressourcen schützen. Um eine in Schutzpaketen (Web ACLs) festgelegte IP-Adresse zu verwenden, die CloudFront Amazon-Distributionen schützen, müssen Sie Global (CloudFront) verwenden. 

1. Wählen Sie für **IP-Version** die Version aus, die Sie verwenden möchten.

1. Geben Sie im Textfeld **IP-Adressen** eine IP-Adresse oder einen IP-Adressbereich pro Zeile in CIDR-Notation ein. AWS WAF unterstützt alle IPv4 und IPv6 CIDR-Bereiche mit Ausnahme von. `/0` Weitere Informationen zu CIDR-Notationen finden Sie im Wikipedia-Artikel [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

   Hier sind einige Beispiele:
   + **Um die IPv4 Adresse 192.0.2.44 anzugeben, geben Sie 192.0.2.44/32 ein.**
   + **Um die IPv6 Adresse 2620:0:2 d 0:200:0:0:0:0:0 anzugeben, geben Sie 2620:0:2 d 0:200:0:0:0:0 /128 ein.**
   + **Um den Adressbereich von 192.0.2.0 IPv4 bis 192.0.2.255 anzugeben, geben Sie 192.0.2.0/24 ein.**
   + **Um den IPv6 Adressbereich von 2620:0:2 d 0:200:0:0:0 bis 2620:0:2 d 0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2 d 0:200: :/64 ein.**

1. Überprüfen Sie die Einstellungen für das IP-Set und wählen Sie **Create IP set (IP-Set erstellen)**.

## Löschen eines IP-Sets
<a name="waf-ip-set-deleting"></a>

Befolgen Sie die Anweisungen in diesem Abschnitt, um ein referenziertes Set zu löschen.

**Löschen von referenzierten Sets oder Regelgruppen**  
Wenn Sie eine Entität löschen, die Sie in einem Schutzpaket (Web-ACL) verwenden können, z. B. ein IP-Set, ein Regex-Muster-Set oder eine Regelgruppe, wird AWS WAF geprüft, ob die Entität derzeit in einem Protection Pack (Web-ACL) verwendet wird. Wenn es feststellt, dass es verwendet wird, werden Sie AWS WAF gewarnt. AWS WAF kann fast immer feststellen, ob ein Schutzpaket (Web-ACL) auf eine Entität verweist. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sichergehen möchten, dass die Entität derzeit nicht verwendet wird, suchen Sie in Ihren Schutzpaketen (Web ACLs) nach ihr, bevor Sie sie löschen. Wenn es sich bei der Entität um ein referenziertes Set handelt, stellen Sie sicher, dass keine Regelgruppen es verwenden.

**So löschen Sie ein IP-Set**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **IP-Sets**.

1. Wählen Sie das IP-Set, das Sie löschen möchten, und wählen Sie **Delete (Löschen)**.

# Erstellen und Verwalten eines Regex-Musters in AWS WAF
<a name="waf-regex-pattern-set-managing"></a>

Ein Regex-Mustersatz stellt eine Sammlung von regulären Ausdrücken zur Verfügung, die Sie zusammen in einer Regelanweisung verwenden möchten. Regex-Mustersätze sind Ressourcen. AWS 

Um ein Regex-Muster-Set in einem Schutzpaket (Web-ACL) oder einer Regelgruppe zu verwenden, erstellen Sie zunächst eine AWS Ressource `RegexPatternSet` mit Ihren Regex-Musterspezifikationen. Anschließend verweisen Sie auf den Satz, wenn Sie einem Schutzpaket (Web-ACL) oder einer Regelgruppe eine Regex-Pattern-Set-Regelanweisung hinzufügen. Ein RegEx-Mustersatz muss mindestens ein RegEx-Muster enthalten. 

Wenn Ihr Regex-Mustersatz mehr als ein Regex-Muster enthält, wird bei dessen Verwendung in einer Regel der Musterabgleich mit einem `OR`-Logik kombiniert. Das heißt, eine Webanforderung stimmt mit der Musterregelanweisung überein, wenn die Anforderungskomponente mit einem der Muster im Satz übereinstimmt.

AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

## Löschen eines Regex-Mustersatzes
<a name="waf-regex-pattern-set-creating"></a>

Gehen Sie wie in diesem Abschnitt beschrieben vor, um einen neuen RegEx-Mustersatz zu erstellen.

**So erstellen Sie einen RegEx-Mustersatz**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Regex pattern sets (Regex-Mustersätze)** und dann **Create regex pattern set (Regex-Mustersatz erstellen)**. 

1. Geben Sie einen Namen und eine Beschreibung für den Regex-Mustersatz ein. Sie werden diesen verwenden, um einen Satz zu identifizieren, wenn Sie diesen verwenden möchten. 
**Anmerkung**  
Sie können den Namen nicht mehr ändern, nachdem Sie den RegEx-Mustersatz erstellt haben.

1. Wählen Sie für **Region** die Option Global (CloudFront) oder die Region aus, in der Sie den Regex-Mustersatz speichern möchten. Sie können regionale Regex-Mustersätze nur in Schutzpaketen (Web ACLs) verwenden, die regionale Ressourcen schützen. Um ein Regex-Muster zu verwenden, das in Schutzpaketen (Web ACLs) festgelegt ist, die CloudFront Amazon-Distributionen schützen, müssen Sie Global () verwenden. CloudFront 

1. Geben Sie im Textfeld **Regular expressions (Reguläre Ausdrücke)** ein RegEx-Muster pro Zeile ein. 

   Der reguläre Ausdruck `I[a@]mAB[a@]dRequest` entspricht beispielsweise den folgenden Zeichenfolgen: `IamABadRequest`, `IamAB@dRequest`, `I@mABadRequest` und `I@mAB@dRequest`.

   AWS WAF unterstützt mit einigen Ausnahmen die von der PCRE-Bibliothek `libpcre` verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

1. Überprüfen Sie die Einstellungen für den Regex-Mustersatz und wählen Sie **Create regex pattern set (Regex-Mustersatz erstellen)**.

## Löschen eines Regex-Mustersatzes
<a name="waf-regex-pattern-set-deleting"></a>

Befolgen Sie die Anweisungen in diesem Abschnitt, um ein referenziertes Set zu löschen.

**Löschen von referenzierten Sets oder Regelgruppen**  
Wenn Sie eine Entität löschen, die Sie in einem Schutzpaket (Web-ACL) verwenden können, z. B. ein IP-Set, ein Regex-Muster-Set oder eine Regelgruppe, wird AWS WAF geprüft, ob die Entität derzeit in einem Protection Pack (Web-ACL) verwendet wird. Wenn es feststellt, dass es verwendet wird, werden Sie AWS WAF gewarnt. AWS WAF kann fast immer feststellen, ob ein Schutzpaket (Web-ACL) auf eine Entität verweist. In seltenen Fällen ist dies jedoch nicht möglich. Wenn Sie sichergehen möchten, dass die Entität derzeit nicht verwendet wird, suchen Sie in Ihren Schutzpaketen (Web ACLs) nach ihr, bevor Sie sie löschen. Wenn es sich bei der Entität um ein referenziertes Set handelt, stellen Sie sicher, dass keine Regelgruppen es verwenden.

**So löschen Sie einen RegEx-Mustersatz**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Regex pattern sets (Regex-Mustersätze)**.

1. Wählen Sie den zu löschenden Regex-Mustersatz aus und wählen Sie **Delete (Löschen)**.

# Maßgeschneiderte Webanfragen und Antworten in AWS WAF
<a name="waf-custom-request-response"></a>

In diesem Abschnitt wird erklärt, wie Sie Ihren AWS WAF Regelaktionen und Standard-Aktionen des Protection Packs (Web-ACL) ein benutzerdefiniertes Verhalten bei der Verarbeitung von Webanfragen und Antworten hinzufügen können. Ihre benutzerdefinierten Einstellungen werden immer dann angewendet, wenn die Aktion angewendet wird, der sie zugeordnet sind. 

Sie können Webanforderungen und Antworten auf folgende Arten anpassen: 
+ Mit Challenge Aktionen AllowCount,CAPTCHA, und können Sie benutzerdefinierte Header in die Webanforderung einfügen. Wenn AWS WAF die Webanforderung an die geschützte Ressource weiterleitet, enthält die Anforderung die gesamte ursprüngliche Anforderung sowie die benutzerdefinierten Header, die Sie eingefügt haben. Wendet die Anpassung für die Challenge Aktionen CAPTCHA und AWS WAF nur an, wenn die Anfrage die CAPTCHA- oder Challenge-Token-Prüfung besteht.
+ Mit Block Aktionen können Sie eine vollständige benutzerdefinierte Antwort mit Antwortcode, Headern und Text definieren. Die geschützte Ressource beantwortet die Anfrage mit der benutzerdefinierten Antwort von AWS WAF. Ihre benutzerdefinierte Antwort ersetzt die Block Standardaktionsantwort von`403 (Forbidden)`.

**Anpassbare Aktionseinstellungen**  
Sie können eine benutzerdefinierte Anforderung oder Antwort angeben, wenn Sie die folgenden Aktionseinstellungen definieren: 
+ Regelaktion. Weitere Informationen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).
+ Standardaktion für ein Schutzpaket (Web-ACL). Weitere Informationen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

**Nicht anpassbare Aktionseinstellungen**  
Sie *können* in der Überschreibungsaktion für eine Regelgruppe, die Sie in einem Schutzpaket (Web-ACL) verwenden, keine benutzerdefinierte Anforderungsbehandlung angeben. Siehe [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md). Weitere Informationen finden Sie auch unter [Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md) und [Verwenden von Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-rule-group.md).

**Temporäre Inkonsistenzen bei Updates**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

**Beschränkungen für Ihre Verwendung von benutzerdefinierten Anforderungen und Antworten**  
AWS WAF definiert maximale Einstellungen für Ihre Verwendung von benutzerdefinierten Anfragen und Antworten. Beispielsweise eine maximale Anzahl von Anforderungsheadern pro Schutzpaket (Web-ACL) oder Regelgruppe und eine maximale Anzahl von benutzerdefinierten Headern für eine einzelne benutzerdefinierte Antwortdefinition. Weitere Informationen finden Sie unter [AWS WAF Kontingente](limits.md).

**Topics**
+ [Einfügen von benutzerdefinierten Anforderungsheadern für nicht blockierende Aktionen](customizing-the-incoming-request.md)
+ [Senden von benutzerdefinierten Antworten für Block Aktionen](customizing-the-response-for-blocked-requests.md)
+ [Unterstützte Statuscodes für benutzerdefinierte Antworten](customizing-the-response-status-codes.md)

# Einfügen von benutzerdefinierten Anforderungsheadern für nicht blockierende Aktionen
<a name="customizing-the-incoming-request"></a>

In diesem Abschnitt wird erklärt, wie Sie AWS WAF benutzerdefinierte Header in die ursprüngliche HTTP-Anfrage einfügen können, wenn eine Regelaktion die Anfrage nicht blockiert. Mit dieser Option fügen Sie der Anfrage nur etwas hinzu. Sie können keinen Teil der ursprünglichen Anforderung ändern oder ersetzen. Zu den Anwendungsfällen für das Einfügen von benutzerdefinierten Headern gehört es, einer Downstream-Anwendung zu signalisieren, die Anforderung auf der Grundlage der eingefügten Header anders zu verarbeiten, und die Anforderung zur Analyse zu kennzeichnen.

**Wichtig**  
Diese Option gilt für die RegelaktionenAllow, CountCAPTCHA, und Challenge und für die Standardaktionen des Protection Packs (Web-ACL), die auf eingestellt sindAllow. Weitere Informationen zu Regelaktionen unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). Weitere Hinweise zu den Aktionen des Standard-Schutzpakets (Web-ACL) finden Sie unter[Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

## Überlegungen zur Verwendung von benutzerdefinierten Anforderungsheader-Namen
<a name="using-custom-request-header-names"></a>

**Zu Anforderungsheadern hinzugefügte Präfixe**  
AWS WAF stellt allen eingefügten Anforderungsheadern ein Präfix vor`x-amzn-waf-`, um Verwechslungen mit den Headern zu vermeiden, die bereits in der Anfrage enthalten sind. Wenn Sie beispielsweise den Header-Namen angeben`sample`, wird der Header AWS WAF eingefügt. `x-amzn-waf-sample`

**Wichtig**  
Aus Sicherheitsgründen können Sie eine Regel zum Abgleich von Zeichenketten hinzufügen, die Anfragen blockiert, bei denen der Header bereits beginnt`x-amzn-waf-`. Dadurch werden Anfragen aus anderen AWS WAF Quellen blockiert, die die `x-amzn-waf-` Präfixzeichenfolge nachahmen, die AWS WAF bei der Verarbeitung von benutzerdefinierten Anforderungsheadern eingefügt wird.

Das folgende Beispiel zeigt eine Regel zum Abgleich von Zeichenketten, die so konfiguriert ist, dass sie Datenverkehr blockiert, bei dem das `x-amzn-waf-` Präfix nicht eingefügt wurde: AWS WAF

```
    "Rules": [
        {
          "Name": "CustomHeader",
          "Priority": 0,
          "Statement": {
            "ByteMatchStatement": {
              "SearchString": " x-amzn-waf-",
              "FieldToMatch": {
                "Headers": {
                  "MatchPattern": {
                    "All": {}
                  },
                  "MatchScope": "KEY",
                  "OversizeHandling": "MATCH"
                }
              },
              "TextTransformations": [
                {
                  "Priority": 0,
                  "Type": "NONE"
                }
              ],
              "PositionalConstraint": "STARTS_WITH"
            }
          },
          "Action": {
            "Block": {}
          },
          "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "CustomHeader"
          }
        }
      ]
```

Informationen zur Verwendung von Regeln für den Abgleich von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).

**Header mit demselben Namen**  
Wenn die Anforderung bereits über einen Header mit demselben Namen verfügt, der gerade eingefügt AWS WAF wird, wird der Header AWS WAF überschrieben. Wenn Sie also in mehreren Regeln Header mit identischen Namen definieren, wird die Kopfzeile bei der letzten Regel hinzugefügt, die die Anforderung überprüft und eine Übereinstimmung findet. Die vorherigen Regeln würden dies nicht tun. 

## Verwenden von benutzerdefinierten Headern mit nicht beendenden Regelaktionen
<a name="custom-request-header-non-terminating-rule-actions"></a>

Im Gegensatz zur Allow Aktion stoppt die Count Aktion nicht die Verarbeitung AWS WAF der Webanforderung mithilfe der übrigen Regeln im Schutzpaket (Web-ACL). Auch wenn das Anforderungstoken gültig ist CAPTCHA und Challenge festgestellt wird, dass das Anforderungstoken gültig ist, beenden AWS WAF diese Aktionen nicht die Verarbeitung der Webanfrage. Wenn Sie also benutzerdefinierte Header mithilfe einer Regel mit einer dieser Aktionen einfügen, fügen nachfolgende Regeln möglicherweise auch benutzerdefinierte Header ein. Weitere Informationen zum Verhalten von Regelaktionen finden Sie unter. [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md)

Angenommen die folgenden Regeln wurden mit der angezeigten Priorität festgelegt: 

1. RegelA mit einer Count Aktion und einem benutzerdefinierten Header namens`RuleAHeader`.

1. RuleB mit einer Allow Aktion und einem benutzerdefinierten Header namens. `RuleBHeader`

Wenn eine Anfrage sowohl mit RuleA als auch mit RuleB übereinstimmt, AWS WAF fügt die Header ein `x-amzn-waf-RuleAHeader` und `x-amzn-waf-RuleBHeader` leitet die Anfrage dann an die geschützte Ressource weiter. 

AWS WAF fügt benutzerdefinierte Header in eine Webanforderung ein, wenn die Überprüfung der Anfrage abgeschlossen ist. Wenn Sie also die benutzerdefinierte Anforderungsbehandlung mit einer Regel verwenden, für die die Aktion auf festgelegt istCount, werden die benutzerdefinierten Header, die Sie hinzufügen, nicht durch nachfolgende Regeln überprüft. 

## Beispiel für die benutzerdefinierte Bearbeitung von Anfragen
<a name="example-custom-request-handling"></a>

Sie definieren eine benutzerdefinierte Anforderungsbehandlung für die Aktion einer Regel oder für die Standardaktion eines Protection Packs (Web-ACL). Die folgende Liste zeigt das JSON für die benutzerdefinierte Behandlung, das der Standardaktion für ein Schutzpaket (Web-ACL) hinzugefügt wurde. 

```
{
 "Name": "SampleWebACL",
 "Scope": "REGIONAL",
 "DefaultAction": {
  "Allow": {
   "CustomRequestHandling": {
    "InsertHeaders": [
     {
      "Name": "fruit",
      "Value": "watermelon"
     },
     {
      "Name": "pie",
      "Value": "apple"
     }
    ]
   }
  }
 },
 "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.",
 "Rules": [],
 "VisibilityConfig": {
  "SampledRequestsEnabled": true,
  "CloudWatchMetricsEnabled": true,
  "MetricName": "SampleWebACL"
 }
}
```

# Senden von benutzerdefinierten Antworten für Block Aktionen
<a name="customizing-the-response-for-blocked-requests"></a>

In diesem Abschnitt wird erklärt, wie Sie AWS WAF eine benutzerdefinierte HTTP-Antwort für Regelaktionen oder Standardaktionen des Protection Packs (Web-ACL), die auf eingestellt sind, an Block den Client zurücksenden. Weitere Informationen zu Regelaktionen unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). Weitere Informationen zu den Aktionen des Standard-Schutzpakets (Web-ACL) finden Sie unter[Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md).

Wenn Sie eine benutzerdefinierte Antwortbehandlung für eine Block Aktion definieren, definieren Sie den Statuscode, die Header und den Antworttext. Eine Liste der Statuscodes, die Sie zusammen verwenden können AWS WAF, finden Sie im folgenden Abschnitt. [Unterstützte Statuscodes für benutzerdefinierte Antworten](customizing-the-response-status-codes.md) 

**Anwendungsfälle**  
Zu den Anwendungsfällen für benutzerdefinierte Antworten gehören: 
+ Senden eines nicht standardmäßigen Statuscodes an den Client zurück
+ Senden benutzerdefinierter Antwort-Header zurück an den Client. Sie können einen beliebigen Header-Namen angeben, mit Ausnahme `content-type` von.
+ Senden einer statischen Fehlerseite an den Client zurück
+ Umleiten des Clients auf eine andere URL Dazu geben Sie einen der `3xx`-Umleitungsstatuscodes wie `301 (Moved Permanently)` oder `302 (Found)` und dann einen neuen Header mit dem Namen `Location` mit der neuen URL an. 

**Interaktion mit Antworten, die Sie in Ihrer geschützten Ressource definieren**  
Benutzerdefinierte Antworten, die Sie für die AWS WAF Block Aktion angeben, haben Vorrang vor allen Antwortspezifikationen, die Sie in Ihrer geschützten Ressource definieren. 

Der Hostdienst für die AWS Ressource, mit der Sie schützen, ermöglicht AWS WAF möglicherweise eine benutzerdefinierte Antwortbehandlung für Webanfragen. Beispiele sind unter anderem: 
+ Bei Amazon CloudFront können Sie die Fehlerseite anhand des Statuscodes anpassen. Weitere Informationen finden Sie unter [Generieren benutzerdefinierter Fehlerantworten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) im *Amazon CloudFront Developer Guide*. 
+ Mit Amazon API Gateway können Sie den Antwort- und Statuscode für Ihr Gateway definieren. Weitere Informationen finden Sie unter [Gateway-Antworten in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) im *Entwicklerhandbuch für Amazon API Gateway*. 

Sie können AWS WAF benutzerdefinierte Antworteinstellungen nicht mit benutzerdefinierten Antworteinstellungen in der geschützten AWS Ressource kombinieren. Die Antwortspezifikation für jede einzelne Webanforderung stammt entweder vollständig von AWS WAF oder vollständig von der geschützten Ressource. 

Für AWS WAF blockierte Webanfragen ist im Folgenden die Rangfolge aufgeführt.

1. **AWS WAF benutzerdefinierte Antwort** — Wenn für die AWS WAF Block Aktion eine benutzerdefinierte Antwort aktiviert ist, sendet die geschützte Ressource die konfigurierte benutzerdefinierte Antwort zurück an den Client. Alle Antworteinstellungen, die Sie möglicherweise in der geschützten Ressource selbst definiert haben, haben keine Auswirkungen. 

1. **Benutzerdefinierte Antwort, die in der geschützten Ressource definiert ist** – Wenn für die geschützte Ressource benutzerdefinierte Antworteinstellungen angegeben wurden, verwendet die geschützte Ressource diese Einstellungen für die Antwort an den Client. 

1. **AWS WAF BlockStandardantwort** — Andernfalls antwortet die geschützte Ressource dem Client mit der AWS WAF Block Standardantwort`403 (Forbidden)`. 

Bei Webanfragen, die dies AWS WAF zulassen, bestimmt Ihre Konfiguration der geschützten Ressource die Antwort, die an den Client zurückgesendet wird. Sie können die Antworteinstellungen AWS WAF für zulässige Anfragen nicht konfigurieren. Die einzige Anpassung, die Sie AWS WAF für zulässige Anfragen konfigurieren können, ist das Einfügen von benutzerdefinierten Headern in die ursprüngliche Anfrage, bevor die Anfrage an die geschützte Ressource weitergeleitet wird. Diese Option wird im vorherigen Abschnitt ([Einfügen von benutzerdefinierten Anforderungsheadern für nicht blockierende Aktionen](customizing-the-incoming-request.md)) beschrieben. 

**Benutzerdefinierte Antwort-Header**  
Sie können einen beliebigen Header-Namen angeben, mit Ausnahme `content-type` von.

**Benutzerdefinierte Antworttexte**  
Sie definieren den Hauptteil einer benutzerdefinierten Antwort im Kontext des Schutzpakets (Web-ACL) oder der Regelgruppe, in der Sie sie verwenden möchten. Nachdem Sie einen benutzerdefinierten Antworttext definiert haben, können Sie ihn als Referenz an einer beliebigen anderen Stelle im Protection Pack (Web-ACL) oder in der Regelgruppe verwenden, in der Sie ihn erstellt haben. In den einzelnen Block Aktionseinstellungen verweisen Sie auf den benutzerdefinierten Text, den Sie verwenden möchten, und definieren den Statuscode und den Header der benutzerdefinierten Antwort. 

Wenn Sie eine benutzerdefinierte Antwort in der Konsole erstellen, können Sie aus Antworttexten auswählen, die Sie bereits definiert haben, oder Sie können einen neuen Text erstellen. Außerhalb der Konsole definieren Sie Ihre benutzerdefinierten Antworttexte auf der Ebene des Schutzpakets (Web-ACL) oder der Regelgruppe und verweisen dann in den Aktionseinstellungen innerhalb des Schutzpakets (Web-ACL) oder der Regelgruppe auf sie. Dies wird im Beispiel-JSON-Code im folgenden Abschnitt gezeigt. 

**Beispiel: Benutzerdefinierte Antwort**  
Im folgenden Beispiel wird der JSON-Code für eine Regelgruppe mit benutzerdefinierten Antworteinstellungen aufgeführt. Der benutzerdefinierte Antworttext wird für die gesamte Regelgruppe definiert und dann durch Schlüssel in der Regelaktion referenziert.

```
{
 "ARN": "test_rulegroup_arn",
 "Capacity": 1,
 
 "CustomResponseBodies": {
  "CustomResponseBodyKey1": {
   "Content": "This is a plain text response body.",
   "ContentType": "TEXT_PLAIN"
  }
 },
 
 "Description": "This is a test rule group.",
 "Id": "test_rulegroup_id",
 "Name": "TestRuleGroup",
 
 "Rules": [
  {
   "Action": {
    "Block": {
     "CustomResponse": {
      "CustomResponseBodyKey": "CustomResponseBodyKey1",
      "ResponseCode": 404,
      "ResponseHeaders": [
       {
        "Name": "BlockActionHeader1Name",
        "Value": "BlockActionHeader1Value"
       }
      ]
     }
    }
   },
   "Name": "GeoMatchRule",
   "Priority": 1,
   "Statement": {
    "GeoMatchStatement": {
     "CountryCodes": [
      "US"
     ]
    }
   },
   "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "TestRuleGroupReferenceMetric",
    "SampledRequestsEnabled": true
   }
  }
 ],
 "VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "TestRuleGroupMetric",
  "SampledRequestsEnabled": true
 }
}
```

# Unterstützte Statuscodes für benutzerdefinierte Antworten
<a name="customizing-the-response-status-codes"></a>

In diesem Abschnitt sind die Statuscodes aufgeführt, die Sie in einer benutzerdefinierten Antwort verwenden können. Ausführliche Informationen zu HTTP-Statuscodes finden Sie unter [Statuscodes](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes) der Internet Engineering Task Force (IETF) und [Liste der HTTP-Statuscodes](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes) auf Wikipedia.

Im Folgenden sind die HTTP-Statuscodes aufgeführt, die benutzerdefinierte Antworten AWS WAF unterstützen. 
+ `2xx Successful`
  + `200` – `OK`
  + `201` – `Created`
  + `202` – `Accepted` 
  + `204` – `No Content` 
  + `206` – `Partial Content`
+ `3xx Redirection `
  + `300` – `Multiple Choices`
  + `301` – `Moved Permanently`
  + `302` – `Found`
  + `303` –`See Other`
  + `304` – `Not Modified`
  + `307` – `Temporary Redirect`
  + `308` – `Permanent Redirect`
+ `4xx Client Error `
  + `400` – `Bad Request`
  + `401` – `Unauthorized`
  + `403` – `Forbidden`
  + `404` – `Not Found`
  + `405` – `Method Not Allowed`
  + `408` – `Request Timeout`
  + `409` – `Conflict`
  + `411` – `Length Required`
  + `412` – `Precondition Failed`
  + `413` – `Request Entity Too Large`
  + `414` – `Request-URI Too Long`
  + `415` – `Unsupported Media Type`
  + `416` – `Requested Range Not Satisfiable`
  + `421` – `Misdirected Request`
  + `429` – `Too Many Requests`
+ `5xx Server Error`
  + `500` – `Internal Server Error`
  + `501` – `Not Implemented`
  + `502` – `Bad Gateway`
  + `503` – `Service Unavailable`
  + `504` – `Gateway Timeout`
  + `505` – `HTTP Version Not Supported`

# Etikettierung von Webanfragen in AWS WAF
<a name="waf-labels"></a>

In diesem Abschnitt wird erklärt, was AWS WAF Labels sind.

Bei einem Label handelt es sich um Metadaten, die einer Webanforderung durch eine Regel hinzugefügt werden, wenn die Regel mit der Anfrage übereinstimmt. Nach dem Hinzufügen bleibt ein Label für die Anfrage verfügbar, bis die Evaluierung des Protection Packs (Web-ACL) abgeschlossen ist. Sie können auf Labels in Regeln zugreifen, die später in der Evaluierung des Protection Packs (Web-ACL) ausgeführt werden, indem Sie eine Label Match-Anweisung verwenden. Details hierzu finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md). 

Labels in Webanfragen generieren CloudWatch Amazon-Labelmetriken. Eine Liste der Metriken und Dimensionen finden Sie unter[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). Informationen zum Zugriff auf Metriken und Metrikzusammenfassungen über CloudWatch und über die AWS WAF Konsole finden Sie unter[Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md).

**Anwendungsfälle kennzeichnen**  
Zu den häufigsten Anwendungsfällen für AWS WAF Etiketten gehören: 
+ **Evaluierung einer Webanfrage anhand mehrerer Regelanweisungen, bevor Maßnahmen für die Anfrage** ergriffen werden — Nachdem eine Übereinstimmung mit einer Regel in einem Schutzpaket (Web-ACL) gefunden wurde, wird die Auswertung der Anfrage anhand des Schutzpakets (Web-ACL) AWS WAF fortgesetzt, sofern die Regelaktion die Evaluierung des Protection Packs (Web-ACL) nicht beendet. Sie können Labels verwenden, um Informationen aus mehreren Regeln auszuwerten und zu sammeln, bevor Sie entscheiden, die Anfrage zuzulassen oder zu blockieren. Ändern Sie dazu die Aktionen für Ihre vorhandenen Regeln in Count und konfigurieren Sie sie so, dass den entsprechenden Anfragen Labels hinzugefügt werden. Fügen Sie dann eine oder mehrere neue Regeln hinzu, die nach Ihren anderen Regeln ausgeführt werden sollen, und konfigurieren Sie sie so, dass sie die Labels auswerten und die Anfragen entsprechend den Label-Match-Kombinationen verwalten. 
+ **Verwaltung von Webanfragen nach geografischer Region** — Sie können nur die geografische Vergleichsregel verwenden, um Webanfragen nach Herkunftsland zu verwalten. Um den Standort bis auf Regionsebene zu optimieren, verwenden Sie die Geo-Match-Regel mit einer Count Aktion, gefolgt von einer Label-Abgleichsregel. Informationen zur Geo-Match-Regel finden Sie unter[Anweisung für Regel zur geographischen Übereinstimmung](waf-rule-statement-type-geo-match.md). 
+ **Wiederverwenden von Logik über mehrere Regeln hinweg** – Wenn Sie dieselbe Logik in mehreren Regeln wiederverwenden müssen, können Sie die Logik mit Hilfe von Bezeichnungen aus einer Quelle beziehen und nur die Ergebnisse testen. Wenn Sie mehrere komplexe Regeln haben, die eine gemeinsame Teilmenge von verschachtelten Regelanweisungen verwenden, kann die Duplizierung des gemeinsamen Regelsatzes für Ihre komplexen Regeln zeitaufwendig und fehleranfällig sein. Mit Bezeichnungen können Sie eine neue Regel mit dem gemeinsamen Regelteilsatz erstellen, die übereinstimmende Anforderungen zählt und ihnen eine Bezeichnung hinzufügt. Sie fügen die neue Regel Ihrem Protection Pack (Web-ACL) hinzu, sodass sie vor Ihren ursprünglichen komplexen Regeln ausgeführt wird. Dann ersetzen Sie in Ihren ursprünglichen Regeln den gemeinsamen Regelteilsatz durch eine einzelne Regel, die auf die Bezeichnung prüft. 

  Angenommen, Sie haben mehrere Regeln, die Sie nur auf Ihre Anmeldepfade anwenden möchten. Anstatt in jeder Regel dieselbe Logik zum Abgleich potenzieller Anmeldepfade anzugeben, können Sie eine einzige neue Regel implementieren, die diese Logik enthält. Die neue Regel fügt den übereinstimmenden Anforderungen eine Bezeichnung hinzu, um anzuzeigen, dass sich die Anforderung auf einem Anmeldepfad befindet. Geben Sie dieser neuen Regel in Ihrem Schutzpaket (Web-ACL) eine niedrigere numerische Priorität als Ihre ursprünglichen Regeln, sodass sie zuerst ausgeführt wird. Ersetzen Sie dann in Ihren ursprünglichen Regeln die gemeinsame Logik durch eine Überprüfung auf das Vorhandensein der Bezeichnung. Weitere Informationen zu Prioritätseinstellungen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 
+ **Erstellen von Ausnahmen von Regeln in Regelgruppen** – Diese Option ist besonders nützlich für verwaltete Regelgruppen, die Sie nicht anzeigen oder ändern können. Viele Regeln für verwaltete Regelgruppen fügen übereinstimmenden Webanfragen Labels hinzu, um anzugeben, welche Regeln zutreffen, und um möglicherweise zusätzliche Informationen über die Übereinstimmung bereitzustellen. Wenn Sie eine Regelgruppe verwenden, die Bezeichnungen zu Anfragen hinzufügt, können Sie die Regelgruppenregeln überschreiben, um Treffer zu zählen, und dann eine Regel nach der Regelgruppe ausführen, die die Webanfrage auf der Grundlage der Regelgruppenbezeichnungen bearbeitet. Alle von AWS verwalteten Regeln fügen übereinstimmenden Webanforderungen Bezeichnungen hinzu. Weitere Informationen erhalten Sie in den Regelbeschreibungen unter [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md). 
+ **Verwenden von Label-Metriken zur Überwachung von Verkehrsmustern** — Sie können auf Metriken für Labels zugreifen, die Sie über Ihre Regeln hinzufügen, und auf Metriken, die von allen verwalteten Regelgruppen hinzugefügt wurden, die Sie in Ihrem Protection Pack (Web-ACL) verwenden. Alle Regelgruppen für AWS verwaltete Regeln fügen den Webanfragen, die sie auswerten, Labels hinzu. Eine Liste der Label-Metriken und Dimensionen finden Sie unter[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label). Sie können über und über die Protection Pack-Seite (Web-ACL) in der AWS WAF Konsole auf Metriken CloudWatch und Metrikzusammenfassungen zugreifen. Weitere Informationen finden Sie unter [Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md). 

# So funktioniert die Kennzeichnung in AWS WAF
<a name="waf-rule-label-overview"></a>

In diesem Abschnitt wird erklärt, wie AWS WAF Beschriftungen funktionieren.

Wenn eine Regel mit einer Webanforderung übereinstimmt und für die Regel Labels definiert sind, werden die Labels der Anfrage am Ende der Regelauswertung AWS WAF hinzugefügt. Regeln, die nach der entsprechenden Regel im Protection Pack (Web-ACL) ausgewertet werden, können mit den Bezeichnungen übereinstimmen, die die Regel hinzugefügt hat. 

**Wer fügt Bezeichnungen zu Anfragen hinzu**  
Die Komponenten des Protection Packs (Web-ACL), die Anfragen auswerten, können den Anfragen Labels hinzufügen. 
+ Jede Regel, bei der es sich nicht um eine Regelgruppen-Referenzaussage handelt, kann den entsprechenden Webanfragen Labels hinzufügen. Die Kennzeichnungskriterien sind Teil der Regeldefinition. Wenn eine Webanforderung der Regel entspricht, werden der Anfrage die Bezeichnungen der Regel AWS WAF hinzugefügt. Weitere Informationen finden Sie unter [AWS WAF Regeln, die Labels hinzufügen](waf-rule-label-add.md).
+ Die Geo-Match-Regelanweisung fügt jeder Anfrage, die sie überprüft, Länder- und Regionskennzeichnungen hinzu, unabhängig davon, ob die Aussage zu einer Übereinstimmung führt. Weitere Informationen finden Sie unter [Anweisung für Regel zur geographischen Übereinstimmung](waf-rule-statement-type-geo-match.md).
+ Die AWS verwalteten Regeln für AWS WAF alle fügen den Anfragen, die sie prüfen, Beschriftungen hinzu. Sie fügen einige Beschriftungen hinzu, die auf Regelübereinstimmungen in der Regelgruppe basieren, und sie fügen einige hinzu, die auf AWS Prozessen basieren, die von den verwalteten Regelgruppen verwendet werden, z. B. die Token-Kennzeichnung, die hinzugefügt wird, wenn Sie eine Regelgruppe zur intelligenten Abwehr von Bedrohungen verwenden. Informationen zu den Bezeichnungen, die jede verwaltete Regelgruppe hinzufügt, finden Sie unter[AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md).

**Wie AWS WAF verwaltet man Labels**  
AWS WAF fügt die Bezeichnungen der Regel zur Anfrage hinzu, wenn die Regel die Anfrage überprüft hat. Die Kennzeichnung ist, ähnlich wie die Aktion, Teil der Abgleichsaktivitäten einer Regel. 

Labels bleiben nach Abschluss der Evaluierung des Protection Packs (Web-ACL) in der Webanfrage nicht erhalten. Damit andere Regeln mit einem von Ihrer Regel hinzugefügten Label übereinstimmen, darf Ihre Regelaktion die Auswertung der Webanfrage durch das Protection Pack (Web-ACL) nicht beenden. Die Regelaktion muss auf CountCAPTCHA, oder gesetzt seinChallenge. Wenn die Evaluierung des Schutzpakets (Web-ACL) nicht beendet wird, können nachfolgende Regeln im Schutzpaket (Web-ACL) ihre Label-Kriterien anhand der Anforderung anwenden. Weitere Informationen zu Regelaktionen unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

**Zugriff auf Labels während der Evaluierung des Protection Packs (Web ACL)**  
Nach dem Hinzufügen bleiben Labels für die Anfrage verfügbar, solange die Anfrage anhand des Schutzpakets (Web-ACL) bewertet AWS WAF wird. Jede Regel in einem Schutzpaket (Web-ACL) kann auf Labels zugreifen, die durch Regeln hinzugefügt wurden, die bereits in demselben Protection Pack (Web-ACL) ausgeführt wurden. Dazu gehören Regeln, die direkt im Schutzpaket (Web-ACL) definiert sind, und Regeln, die innerhalb von Regelgruppen definiert sind, die im Protection Pack (Web-ACL) verwendet werden. 
+ Mithilfe der Anweisung „Label Match“ können Sie einen Vergleich mit einem Label in den Kriterien für die Prüfung von Anfragen Ihrer Regel vornehmen. Sie können einen Abgleich mit jedem Etikett durchführen, das der Anfrage beigefügt ist. Details zur Anweisung finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md). 
+ Die geografische Abgleichsanweisung fügt Labels mit oder ohne Treffer hinzu. Sie sind jedoch erst verfügbar, nachdem die in der Anweisung enthaltene Regel zum Schutzpaket (Web ACL) die Prüfung der Anfrage abgeschlossen hat. 
  + Sie können nicht eine einzelne Regel, z. B. eine logische `AND` Aussage, verwenden, um eine Geo-Match-Anweisung gefolgt von einer Label-Match-Anweisung anhand der geografischen Bezeichnungen auszuführen. Sie müssen die Label-Match-Anweisung in eine separate Regel einfügen, die nach der Regel ausgeführt wird, die die Geo-Match-Anweisung enthält. 
  + Wenn Sie eine Geo-Match-Anweisung als Scopedown-Aussage innerhalb einer ratenbasierten Regelaussage oder einer Referenzaussage für verwaltete Regelgruppen verwenden, können die Bezeichnungen, die durch die Geo-Match-Anweisung hinzugefügt werden, nicht durch die Anweisung der Regel überprüft werden, die sie enthält. Wenn Sie die geografische Kennzeichnung in einer ratenbasierten Regelaussage oder einer Regelgruppe überprüfen müssen, müssen Sie die Geo-Match-Anweisung in einer separaten Regel ausführen, die zuvor ausgeführt wird. 

**Zugriff auf Labelinformationen außerhalb der Evaluierung des Protection Packs (Web ACL)**  
Labels bleiben nach Abschluss der Evaluierung des Protection Packs (Web-ACL) nicht in der Webanfrage erhalten, sondern zeichnen AWS WAF Kennzeichnungsinformationen in den Protokollen und in Metriken auf. 
+ AWS WAF speichert CloudWatch Amazon-Metriken für die ersten 100 Labels auf jeder einzelnen Anfrage. Informationen zum Zugriff auf Label-Metriken finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md) und[Kennzeichnen Sie Metriken und Dimensionen](waf-metrics.md#waf-metrics-label).
+ AWS WAF fasst die CloudWatch Label-Metriken in den Dashboards mit der Übersicht über den Datenverkehr des Protection Packs (Web-ACL) in der AWS WAF Konsole zusammen. Sie können auf jeder beliebigen Seite des Protection Packs (Web-ACL) auf die Dashboards zugreifen. Weitere Informationen finden Sie unter [Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)](web-acl-dashboards.md).
+ AWS WAF zeichnet Labels in den Protokollen für die ersten 100 Labels einer Anfrage auf. Sie können Bezeichnungen zusammen mit der Regelaktion verwenden, um die Protokolle zu filtern, die AWS WAF aufzeichnet. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

Bei der Evaluierung Ihres Protection Packs (Web-ACL) können mehr als 100 Labels auf eine Webanfrage angewendet und diese mit mehr als 100 Labels abgeglichen werden. Es werden jedoch AWS WAF nur die ersten 100 in den Protokollen und Metriken aufgezeichnet. 

# Anforderungen an Labelsyntax und Benennung in AWS WAF
<a name="waf-rule-label-requirements"></a>

In diesem Abschnitt wird erklärt, wie Sie ein AWS WAF Label konstruieren und ihm zuordnen.

Eine Bezeichnung ist eine Zeichenfolge, die aus einem Präfix, optionalen Namespaces und einem Namen besteht. Die Komponenten von Bezeichnungen werden durch Doppelpunkte voneinander abgegrenzt. Für Bezeichnungen gelten die folgenden Anforderungen und Eigenschaften:
+ Bei den Bezeichnungen muss die Groß- und Kleinschreibung beachtet werden. 
+ Jeder Bezeichnungs-Namespace oder Bezeichnungsname kann bis zu 128 Zeichen enthalten. 
+ Sie können bis zu fünf Namespaces in einer Beschriftung angeben. 
+ Komponenten von Bezeichnungen werden durch Doppelpunkte (`:`) voneinander abgegrenzt.
+ Die folgenden reservierten Zeichenfolgen können Sie in den Namespaces oder Namen, die Sie für eine Bezeichnung angeben, nicht verwenden: `awswaf`, `aws`, `waf`, `rulegroup`, `webacl`, `regexpatternset`, `ipset` und `managed`.

## Bezeichnungssyntax
<a name="waf-rule-label-syntax"></a>

Ein vollqualifiziertes Label hat ein Präfix, optionale Namespaces und einen Labelnamen. Das Präfix identifiziert den Regelgruppen- oder Schutzpaketkontext (Web-ACL) der Regel, die das Label hinzugefügt hat. Namespaces können verwendet werden, um mehr Kontext für das Label hinzuzufügen. Der Labelname bietet die niedrigste Detailebene für ein Label. Er gibt häufig die spezifische Regel an, die das Label zur Anfrage hinzugefügt hat. 

Das Bezeichnungspräfix variiert je nach Herkunft. 
+ **Ihre Labels** — Im Folgenden finden Sie die vollständige Label-Syntax für Labels, die Sie in Ihrem Protection Pack (Web-ACL) und in den Regelgruppenregeln erstellen. Die Entitätstypen sind `rulegroup` und `webacl`.

  ```
  awswaf:<entity owner account id>:<entity type>:<entity name>:<custom namespace>:...:<label name>
  ```
  + Bezeichnungs-Namespace-Präfix: `awswaf:<entity owner account id>:<entity type>:<entity name>:`
  + Benutzerdefinierte Namespace-Ergänzungen: `<custom namespace>:…:`

  Wenn Sie eine Bezeichnung für eine Regel in einer Regelgruppe oder einem Schutzpaket (Web-ACL) definieren, steuern Sie die benutzerdefinierten Namespace-Zeichenfolgen und den Labelnamen. Der Rest wird für Sie generiert von AWS WAF. AWS WAF stellt allen Bezeichnungen automatisch die Einstellungen für das Konto `awswaf` und das Schutzpaket (Web-ACL) oder die Entitätseinstellungen der Regelgruppe voran.
+ **Verwaltete Regelgruppenbezeichnungen** – Im Folgenden wird die vollständige Bezeichnungssyntax für Bezeichnungen dargestellt, die von Regeln in verwalteten Regelgruppen erstellt werden. 

  ```
  awswaf:managed:<vendor>:<rule group name>:<custom namespace>:...:<label name>
  ```
  + Bezeichnungs-Namespace-Präfix: `awswaf:managed:<vendor>:<rule group name>:`
  + Benutzerdefinierte Namespace-Ergänzungen: `<custom namespace>:…:`

  Allen Regelgruppen mit AWS verwalteten Regeln werden Labels hinzugefügt. Informationen zu verwalteten Regelgruppen finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md). 
+ **Labels aus anderen AWS Prozessen** — Diese Prozesse werden von Regelgruppen mit AWS verwalteten Regeln verwendet, sodass Sie sehen, dass sie zu Webanfragen hinzugefügt werden, die Sie mithilfe verwalteter Regelgruppen auswerten. Im Folgenden wird die vollständige Bezeichnungssyntax für Bezeichnungen dargestellt, die von Prozessen erstellt werden, die von verwalteten Regelgruppen aufgerufen werden. 

  ```
  awswaf:managed:<process>:<custom namespace>:...:<label name>
  ```
  + Bezeichnungs-Namespace-Präfix: `awswaf:managed:<process>:`
  + Benutzerdefinierte Namespace-Ergänzungen: `<custom namespace>:…:`

  Bezeichnungen dieses Typs werden für die verwalteten Regelgruppen aufgeführt, die den AWS -Prozess aufrufen. Informationen zu verwalteten Regelgruppen finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md). 

## Bezeichnungsbeispiele für Ihre Regeln
<a name="waf-rule-label-examples-rules"></a>

Die folgenden Bezeichnungsbeispiele werden durch Regeln in einer Regelgruppe mit dem Namen `testRules` definiert, die dem Konto 111122223333 angehört. 

```
awswaf:111122223333:rulegroup:testRules:testNS1:testNS2:LabelNameA
```

```
awswaf:111122223333:rulegroup:testRules:testNS1:LabelNameQ
```

```
awswaf:111122223333:rulegroup:testRules:LabelNameZ
```

Die folgende Auflistung zeigt eine beispielhafte Bezeichnungsspezifikation in JSON-Code. Diese Bezeichnungsnamen enthalten benutzerdefinierte Namespace-Zeichenfolgen vor dem endenden Bezeichnungsnamen. 

```
Rule: {
    Name: "label_rule",
    Statement: {...}
    RuleLabels: [
        Name: "header:encoding:utf8",
        Name: "header:user_agent:firefox"
    ],
    Action: { Count: {} }
}
```

**Anmerkung**  
Auf diese Art der Auflistung können Sie in der Konsole über den Regel-JSON-Editor zugreifen. 

Wenn Sie die vorangehende Regel in derselben Regelgruppe und demselben Konto wie die vorangehenden Bezeichnungsbeispiele ausführen, würden die resultierenden, voll qualifizierten Bezeichnungen wie folgt lauten: 

```
awswaf:111122223333:rulegroup:testRules:header:encoding:utf8
```

```
awswaf:111122223333:rulegroup:testRules:header:user_agent:firefox
```

## Bezeichnungsbeispiele für verwaltete Regelgruppen
<a name="waf-rule-label-examples-rule-groups"></a>

Im Folgenden finden Sie Beispiele für Labels aus Regelgruppen mit AWS verwalteten Regeln und Prozessen, die sie aufrufen.

```
awswaf:managed:aws:core-rule-set:NoUserAgent_Header
```

```
awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
```

```
awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
```

```
awswaf:managed:token:accepted
```

# AWS WAF Regeln, die Labels hinzufügen
<a name="waf-rule-label-add"></a>

In fast allen Regeln können Sie Labels definieren und AWS WAF diese auf jede passende Anfrage anwenden. 

Die folgenden Regeltypen sind die einzigen Ausnahmen: 
+ **Ratenbasierte Regeln kennzeichnen nur während der Ratenbegrenzung** — Ratenbasierte Regeln fügen Webanfragen nur Labels für eine bestimmte Aggregationsinstanz hinzu, solange für diese Instanz eine Ratenbeschränkung gilt. AWS WAF Weitere Informationen über ratenbasierte Regeln finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Kennzeichnungen sind in Referenzanweisungen für Regelgruppen nicht zulässig** — Die Konsole akzeptiert keine Bezeichnungen für Regelgruppenanweisungen oder verwaltete Regelgruppenanweisungen. Über die API führt die Angabe eines Labels für einen der Anweisungstypen zu einer Validierungsausnahme. Weitere Informationen zu diesen Anweisungstypen finden Sie unter [Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md) und [Verwenden von Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-rule-group.md).

**WCUs **— 1 WCU für jeweils 5 Labels, die Sie in Ihren Schutzpaketen (Web-ACL) oder Regelgruppenregeln definieren. 

**Wo zu finden**
+ **Rule Builder** in der Konsole – Unter den Einstellungen **Action** (Aktion) der Regel, unter **Label** (Bezeichnung). 
+ **API-Datentyp** – `Rule` `RuleLabels`

Sie definieren ein Label in einer Regel, indem Sie die benutzerdefinierten Namespace-Zeichenfolgen und den Namen angeben, die an das Label-Namespace-Präfix angehängt werden sollen. AWS WAF leitet das Präfix aus dem Kontext ab, in dem Sie die Regel definieren. Weitere Informationen dazu finden Sie in den Bezeichnungssyntaxinformationen unter [Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md). 

# AWS WAF Regeln, die den Bezeichnungen entsprechen
<a name="waf-rule-label-match"></a>

In diesem Abschnitt wird erklärt, wie Sie eine Anweisung zur Zuordnung von Bezeichnungen für Webanfragen verwenden. Sie können einen Abgleich mit einer *Bezeichnung* vornehmen, wofür der Name der Bezeichnung erforderlich ist, oder mit einem *Namespace*, wofür eine Namespace-Spezifikation erforderlich ist. Sowohl für Label als auch für Namespace können Sie optional vorangehende Namespaces und das Präfix in Ihre Spezifikation aufnehmen. Allgemeine Informationen zu dieser Anweisungsart finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md). 

Das Präfix eines Labels definiert den Kontext der Regelgruppe oder des Schutzpakets (Web-ACL), in dem die Regel des Labels definiert ist. In der Label-Match-Anweisung einer Regel wird das Präfix für die Label-Abgleichsregel AWS WAF verwendet, wenn Ihr Label- oder Namespace-Übereinstimmungsstring das Präfix nicht angibt. 
+ Bezeichnungen für Regeln, die direkt in einem Schutzpaket (Web-ACL) definiert sind, haben ein Präfix, das den Kontext des Schutzpakets (Web-ACL) angibt. 
+ Bezeichnungen für Regeln, die sich innerhalb einer Regelgruppe befinden, haben ein Präfix, das den Kontext der Regelgruppe angibt. Das kann Ihre eigene Regelgruppe sein oder eine Regelgruppe, die für Sie verwaltet wird. 

Weitere Informationen dazu finden Sie in den Bezeichnungssyntaxinformationen unter [Anforderungen an Labelsyntax und Benennung in AWS WAF](waf-rule-label-requirements.md). 

**Anmerkung**  
Einige verwaltete Regelgruppen fügen Bezeichnungen hinzu. Sie können diese über die API abrufen, indem Sie `DescribeManagedRuleGroup` aufrufen. Die Bezeichnungen werden in der Eigenschaft `AvailableLabels` in der Antwort aufgeführt.

Wenn Sie eine Regel abgleichen möchten, die sich in einem anderen Kontext befindet als der Kontext Ihrer Regel, müssen Sie das Präfix in Ihrer Abgleichszeichenfolge angeben. Wenn Sie beispielsweise einen Abgleich mit Bezeichnungen durchführen möchten, die durch Regeln in einer verwalteten Regelgruppe hinzugefügt wurden, könnten Sie Ihrem Schutzpaket (Web-ACL) eine Regel mit einer Label-Match-Anweisung hinzufügen, deren Abgleichszeichenfolge das Präfix der Regelgruppe angibt, gefolgt von Ihren zusätzlichen Übereinstimmungskriterien. 

In der Abgleichszeichenfolge für die Anweisung für den Abgleich von Bezeichnungen geben Sie entweder eine Bezeichnung oder einen Namespace an: 
+ **Bezeichnung** – Die Bezeichnungsspezifikation für einen Abgleich besteht aus dem Endteil der Bezeichnung. Sie können eine beliebige Anzahl der zusammenhängenden Namespaces angeben, die unmittelbar vor dem Bezeichnungsnamen gefolgt vom Namen liegen. Sie können die vollqualifizierte Bezeichnung auch angeben, indem Sie die Spezifikation mit dem Präfix beginnen. 

  Beispielspezifikationen:
  + `testNS1:testNS2:LabelNameA`
  + `awswaf:managed:aws:managed-rule-set:testNS1:testNS2:LabelNameA`
+ **Namespace** – Die Namespace-Spezifikation für einen Abgleich besteht aus einer zusammenhängenden Teilmenge der Bezeichnungsspezifikation mit Ausnahme des Namens. Sie können das Präfix und mindestens eine Namespace-Zeichenfolge einschließen. 

  Beispielspezifikationen: 
  + `testNS1:testNS2:`
  + `awswaf:managed:aws:managed-rule-set:testNS1:`

# AWS WAF Beispiele für Label-Matches
<a name="waf-rule-label-match-examples"></a>

Dieser Abschnitt enthält Beispiele für Abgleichsspezifikationen, für die Bezeichnungs-Abgleichsregelanweisung. 

**Anmerkung**  
Diese JSON-Auflistungen wurden in der Konsole erstellt, indem einem Schutzpaket (Web-ACL) eine Regel mit den Label-Match-Spezifikationen hinzugefügt wurde. Anschließend wurde die Regel bearbeitet und zum **JSON-Editor für Regeln** gewechselt. Sie können das JSON für eine Regelgruppe oder ein Schutzpaket (Web-ACL) auch über die Befehlszeilenschnittstelle APIs oder die Befehlszeilenschnittstelle abrufen. 

**Topics**
+ [Abgleich mit einer lokalen Bezeichnung](#waf-rule-label-match-examples-local-label)
+ [Abgleich mit einer Bezeichnung aus einem anderen Kontext](#waf-rule-label-match-examples-label)
+ [Abgleich mit einer Bezeichnung einer verwalteten Regelgruppe](#waf-rule-label-match-examples-mgd-rg-label)
+ [Abgleich mit einem lokalen Namespace](#waf-rule-label-match-examples-local-namespace)
+ [Abgleich mit einem Namespace einer verwalteten Regelgruppe](#waf-rule-label-match-examples-mgd-rg-namespace)

## Abgleich mit einer lokalen Bezeichnung
<a name="waf-rule-label-match-examples-local-label"></a>

Die folgende JSON-Auflistung zeigt eine Anweisung zum Abgleichen mit einer Bezeichnung, die der Webanforderung lokal hinzugefügt wurde, im gleichen Kontext wie diese Regel.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Wenn Sie diese Vergleichsanweisung im Konto 111122223333 in einer Regel verwenden, die Sie für das Protection Pack (Web-ACL) definieren`testWebACL`, würde sie den folgenden Bezeichnungen entsprechen. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

```
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8
```

Sie würde nicht auf die folgende Bezeichnung zutreffen, da die Zeichenfolge der Bezeichnung keine exakte Übereinstimmung darstellt.

```
awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8
```

Sie würde nicht mit der folgenden Bezeichnung übereinstimmen, da der Kontext nicht derselbe ist, sodass das Präfix nicht übereinstimmt. Dies gilt auch dann, wenn Sie die Regelgruppe `productionRules` dem Schutzpaket (Web-ACL) hinzugefügt haben`testWebACL`, in dem die Regel definiert ist. 

```
awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8
```

## Abgleich mit einer Bezeichnung aus einem anderen Kontext
<a name="waf-rule-label-match-examples-label"></a>

Die folgende JSON-Auflistung zeigt eine Regel für den Abgleich von Bezeichnungen, die einen Abgleich mit einer Bezeichnung aus einer Regel innerhalb einer vom Benutzer erstellten Regelgruppe durchführt. Das Präfix ist in der Spezifikation für alle Regeln erforderlich, die im Protection Pack (Web-ACL) ausgeführt werden und nicht Teil der genannten Regelgruppe sind. Diese Beispielspezifikation für eine Bezeichnung stimmt nur mit der genauen Bezeichnung überein. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Abgleich mit einer Bezeichnung einer verwalteten Regelgruppe
<a name="waf-rule-label-match-examples-mgd-rg-label"></a>

Dies ist ein Spezialfall des Abgleichs mit einer Bezeichnung, die aus einem anderen Kontext als dem der Abgleichsregel stammt. Die folgende JSON-Auflistung zeigt eine Anweisung zum Abgleich mit einer Bezeichnung für eine verwaltete Regelgruppe. Sie stimmt nur mit der exakten Bezeichnung überein, die in der Schlüsseleinstellung der Abgleichsanweisung angegeben ist.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Abgleich mit einem lokalen Namespace
<a name="waf-rule-label-match-examples-local-namespace"></a>

Die folgende JSON-Auflistung zeigt eine Anweisung zum Abgleich von Bezeichnungen für einen lokalen Namespace.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Ähnlich wie bei der lokalen `Label` Übereinstimmung würde diese Anweisung, wenn Sie diese Anweisung im Konto 111122223333 in einer Regel verwenden, die Sie für das Protection Pack (Web-ACL) definieren`testWebACL`, der folgenden Bezeichnung entsprechen. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

Sie würde nicht mit der folgenden Bezeichnung übereinstimmen, da das Konto nicht dasselbe ist, sodass das Präfix nicht übereinstimmt. 

```
awswaf:444455556666:webacl:testWebACL:header:encoding:utf8
```

Das Präfix stimmt auch nicht mit Bezeichnungen überein, die von verwalteten Regelgruppen angewendet werden, wie die folgende. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

## Abgleich mit einem Namespace einer verwalteten Regelgruppe
<a name="waf-rule-label-match-examples-mgd-rg-namespace"></a>

Die folgende JSON-Auflistung zeigt eine Anweisung zum Abgleich mit einem Namespace für eine verwaltete Regelgruppe. Bei einer Regelgruppe, für die Sie verantwortlich sind, müssen Sie das Präfix auch für einen Namespace angeben, der außerhalb des Regelkontexts liegt. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Diese Spezifikation stimmt mit den folgenden Beispielbezeichnungen überein. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

```
awswaf:managed:aws:managed-rule-set:header:encoding:unicode
```

Sie entspricht nicht der folgenden Bezeichnung.

```
awswaf:managed:aws:managed-rule-set:query:badstring
```

# Intelligente Bedrohungsabwehr in AWS WAF
<a name="waf-managed-protections"></a>

In diesem Abschnitt werden die verwalteten intelligenten Funktionen zur Abwehr von Bedrohungen behandelt, die von bereitgestellt werden. AWS WAF Dabei handelt es sich um fortschrittliche, spezialisierte Schutzmaßnahmen, die Sie implementieren können, um sich vor Bedrohungen wie böswilligen Bots und Kontoübernahmeversuchen zu schützen. 

**Anmerkung**  
Für die hier beschriebenen Funktionen fallen zusätzliche Kosten an, die über die Grundgebühren für die Nutzung hinausgehen. AWS WAF Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Die Anleitungen in diesem Abschnitt richten sich an Benutzer, die allgemein wissen, wie man AWS WAF WebsitesACLs, Regeln und Regelgruppen erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. 

**Topics**
+ [Optionen für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-comparison-table.md)
+ [Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md)
+ [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md)
+ [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md)
+ [AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md)
+ [AWS WAF Bot-Steuerung](waf-bot-control.md)
+ [AWS WAF Verhinderung von Distributed Denial of Service (DDoS)](waf-anti-ddos.md)
+ [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md)
+ [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md)

# Optionen für intelligente Bedrohungsabwehr in AWS WAF
<a name="waf-managed-protections-comparison-table"></a>

Dieser Abschnitt bietet einen detaillierten Vergleich der Optionen für die Implementierung intelligenter Bedrohungsabwehr. 

AWS WAF bietet die folgenden Schutzarten für intelligente Bedrohungsabwehr.
+ **AWS WAF Betrugsbekämpfung bei der Kontoerstellung und Betrugsprävention (ACFP)** — Erkennt und verwaltet böswillige Versuche, Konten auf der Anmeldeseite Ihrer Anwendung anzulegen. Die Kernfunktionalität wird von der verwalteten ACFP-Regelgruppe bereitgestellt. Weitere Informationen erhalten Sie unter [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md) und [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Verhinderung von Kontoübernahmen (ATP) bei der Betrugsbekämpfung** — Erkennt und verwaltet böswillige Übernahmeversuche auf der Anmeldeseite Ihrer Anwendung. Die Kernfunktionalität wird von der von ATP verwalteten Regelgruppe bereitgestellt. Weitere Informationen erhalten Sie unter [AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md) und [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).
+ **AWS WAF Bot-Kontrolle** — Identifiziert, kennzeichnet und verwaltet sowohl freundliche als auch bösartige Bots. Diese Funktion ermöglicht die Verwaltung gängiger Bots mit anwendungsspezifischen Signaturen sowie gezielter Bots mit anwendungsspezifischen Signaturen. Die Kernfunktionalität wird von der verwalteten Regelgruppe Bot Control bereitgestellt. Weitere Informationen erhalten Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md) und [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).
+ **Integration von Client-Anwendungen SDKs** — Validieren Sie Client-Sitzungen und Endbenutzer auf Ihren Webseiten und erwerben Sie AWS WAF Token, die Kunden für ihre Webanfragen verwenden können. Wenn Sie ACFP, ATP oder Bot Control verwenden, implementieren Sie die Anwendungsintegration nach Möglichkeit SDKs in Ihrer Client-Anwendung, um alle Funktionen der Regelgruppe optimal nutzen zu können. Wir empfehlen, diese Regelgruppen ohne SDK-Integration nur vorübergehend zu verwenden, wenn eine kritische Ressource schnell gesichert werden muss und nicht genügend Zeit für die SDK-Integration zur Verfügung steht. Informationen zur Implementierung von finden SDKs Sie unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). 
+ **Challengeund CAPTCHA Regelaktionen** — Validieren Sie Clientsitzungen und Endbenutzer und erwerben Sie AWS WAF Token, die Clients für ihre Webanfragen verwenden können. Sie können diese überall implementieren, wo Sie eine Regelaktion angeben, in Ihren Regeln und als Überschreibungen in Regelgruppen, die Sie verwenden. Diese Aktionen verwenden AWS WAF JavaScript Interstitials, um den Client oder Endbenutzer abzufragen, und sie erfordern Client-Anwendungen, die dies unterstützen. JavaScript Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

Die AWS verwalteten Regelgruppen ACFP, ATP und Bot Control zur intelligenten Abwehr von Bedrohungen verwenden Token für eine erweiterte Erkennung. Informationen zu den Funktionen, die Token in den Regelgruppen aktivieren, finden Sie unter [Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md)[Anwendungsintegration SDKs mit ATP verwenden](waf-atp-with-tokens.md), und. [Anwendungsintegration SDKs mit Bot Control verwenden](waf-bot-with-tokens.md) 

Ihre Optionen für die Implementierung intelligenter Bedrohungsabwehr reichen von der grundlegenden Verwendung von Regelaktionen zur Ausführung von Herausforderungen und zur Erzwingung der Token-Erfassung bis hin zu den erweiterten Funktionen, die die Regelgruppen für intelligente Bedrohungsabwehr mit AWS verwalteten Regeln bieten.

Die folgenden Tabellen bieten detaillierte Vergleiche der Optionen für die grundlegenden und erweiterten Funktionen. 

**Topics**
+ [Optionen für Herausforderungen und Token-Akquisition](waf-managed-protections-comparison-table-token.md)
+ [Optionen für verwaltete Regelgruppen zur intelligenten Bedrohungsabwehr](waf-managed-protections-comparison-table-rg.md)
+ [Optionen zur Ratenbegrenzung in ratenbasierten Regeln und gezielten Bot-Kontrollregeln](waf-rate-limiting-options.md)

# Optionen für Herausforderungen und Token-Akquisition
<a name="waf-managed-protections-comparison-table-token"></a>

In diesem Abschnitt werden die Optionen für das Challenge- und Token-Management verglichen.

Mithilfe der AWS WAF Anwendungsintegration SDKs oder der Regelaktionen und können Sie Herausforderungen bereitstellen Challenge und Token erwerbenCAPTCHA. Im Großen und Ganzen sind die Regelaktionen einfacher zu implementieren, sie verursachen jedoch zusätzliche Kosten, beeinträchtigen Ihr Kundenerlebnis und erfordern. JavaScript Sie SDKs erfordern eine Programmierung in Ihren Client-Anwendungen, können aber ein besseres Kundenerlebnis bieten, sie sind kostenlos und können mit JavaScript oder in Android- oder iOS-Anwendungen verwendet werden. Sie können die Anwendungsintegration nur SDKs mit Schutzpaketen (Web ACLs) verwenden, die eine der kostenpflichtigen verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr verwenden, die im folgenden Abschnitt beschrieben werden. 


**Vergleich der Optionen für Challenges und Token-Akquisition**  

|  | Challenge-Regelaktion | CAPTCHA-Regelaktion | JavaScript SDK-Herausforderung | Herausforderung für das mobile SDK | 
| --- | --- | --- | --- | --- | 
| Was es ist | Regelaktion, die den Erwerb des AWS WAF Tokens erzwingt, indem sie dem Browser-Client eine stitielle Abfrage vorlegt  | Regelaktion, die den Erwerb des AWS WAF Tokens erzwingt, indem der Client-Endbenutzer vor eine visuelle oder akustische Aufforderung gestellt wird  |  Anwendungsintegrationsebene für Clientbrowser und andere Geräte, die ausgeführt werden. JavaScript Rendert die stille Aufforderung und erwirbt ein Token  |  Anwendungsintegrationsebene für Android- und iOS-Anwendungen. Rendert die stille Herausforderung nativ und erwirbt ein Token  | 
| Gute Wahl für... | Automatische Validierung gegen Bot-Sitzungen und Durchsetzung des Token-Erwerbs für Kunden, die Support anbieten JavaScript  | Endbenutzer- und stille Validierung gegen Bot-Sitzungen und Durchsetzung des Token-Erwerbs, für Kunden, die Folgendes unterstützen JavaScript | Automatische Validierung anhand von Bot-Sitzungen und Durchsetzung des Token-Erwerbs für Kunden, die Support anbieten JavaScript.  SDKs Sie bieten die niedrigste Latenz und die beste Kontrolle darüber, wo das Challenge-Skript in der Anwendung ausgeführt wird. | Automatische Validierung gegen Bot-Sitzungen und Durchsetzung der Token-Übernahme für native mobile Anwendungen auf Android und iOS.  SDKs Sie bieten die niedrigste Latenz und die beste Kontrolle darüber, wo das Challenge-Skript in der Anwendung ausgeführt wird. | 
| Überlegungen zur Implementierung | Als Einstellung für Regelaktionen implementiert | Als Einstellung für Regelaktionen implementiert | Erfordert eine der kostenpflichtigen ACFP-, ATP- oder Bot Control-Regelgruppen aus dem Schutzpaket (Web-ACL). Erfordert Codierung in der Client-Anwendung. | Erfordert eine der kostenpflichtigen ACFP-, ATP- oder Bot Control-Regelgruppen aus dem Schutzpaket (Web-ACL). Erfordert Codierung in der Client-Anwendung. | 
| Überlegungen zur Laufzeit | Intrusiver Ablauf für Anfragen ohne gültige Token. Der Client wird zu einem AWS WAF Challenge-Interstitial umgeleitet. Fügt Netzwerk-Roundtrips hinzu und erfordert eine zweite Auswertung der Webanfrage.  | Intrusiver Flow für Anfragen ohne gültige Token. Der Client wird zu einem AWS WAF CAPTCHA-Interstitial umgeleitet. Fügt Netzwerk-Roundtrips hinzu und erfordert eine zweite Auswertung der Webanfrage.  | Kann hinter den Kulissen ausgeführt werden. Gibt dir mehr Kontrolle über das Herausforderungserlebnis.  | Kann hinter den Kulissen ausgeführt werden. Gibt dir mehr Kontrolle über das Herausforderungserlebnis.  | 
| Erfordert JavaScript | Ja | Ja | Ja | Nein | 
| Unterstützte Clients | Browser und Geräte, die Javascript ausführen | Browser und Geräte, die Javascript ausführen | Browser und Geräte, die Javascript ausführen | Android- und iOS-Geräte | 
| Unterstützt einseitige Anwendungen (SPA) | Nur Durchsetzung. Sie können die Challenge Aktion in Verbindung mit dem verwenden SDKs, um sicherzustellen, dass Anfragen über ein gültiges Challenge-Token verfügen. Sie können die Regelaktion nicht verwenden, um das Challenge-Skript an die Seite zu übermitteln.  | Nur Durchsetzung. Sie können die CAPTCHA Aktion in Verbindung mit dem verwendenSDKs, um sicherzustellen, dass Anfragen über ein gültiges CAPTCHA-Token verfügen. Sie können die Regelaktion nicht verwenden, um das CAPTCHA-Skript an die Seite zu übermitteln.  | Ja | – | 
| Zusätzliche Kosten | Ja, für Aktionseinstellungen, die Sie explizit angeben, entweder in den Regeln, die Sie definieren, oder als Regelaktionsüberschreibungen in Regelgruppen, die Sie verwenden. Nein in allen anderen Fällen.  | Ja, für Aktionseinstellungen, die Sie explizit angeben, entweder in den Regeln, die Sie definieren, oder als Regelaktionsüberschreibungen in Regelgruppen, die Sie verwenden. Nein in allen anderen Fällen.  | Nein, erfordert aber eine der kostenpflichtigen Regelgruppen ACFP, ATP oder Bot Control. | Nein, erfordert aber eine der kostenpflichtigen Regelgruppen ACFP, ATP oder Bot Control. | 

[Einzelheiten zu den mit diesen Optionen verbundenen Kosten finden Sie in den Informationen zur intelligenten Abwehr von Bedrohungen unter AWS WAF Preise.](https://aws.amazon.com/waf/pricing/)

Es kann einfacher sein, Herausforderungen auszuführen und die grundlegende Durchsetzung von Tokens zu gewährleisten, indem Sie einfach eine Regel mit einer Challenge CAPTCHA Oder-Aktion hinzufügen. Möglicherweise müssen Sie die Regelaktionen verwenden, z. B. wenn Sie keinen Zugriff auf den Anwendungscode haben. 

Wenn Sie das SDKs jedoch implementieren können, können Sie Kosten sparen und die Latenz bei der Auswertung von Client-Webanfragen durch Ihr Protection Pack (Web ACL) reduzieren, verglichen mit der Challenge Aktion: 
+ Sie können Ihre SDK-Implementierung so schreiben, dass die Herausforderung an einem beliebigen Punkt in Ihrer Anwendung ausgeführt wird. Sie können das Token im Hintergrund abrufen, bevor ein Kunde eine Webanfrage an Ihre geschützte Ressource sendet. Auf diese Weise kann das Token zusammen mit der ersten Anfrage Ihres Kunden gesendet werden. 
+ Wenn Sie stattdessen Token erwerben, indem Sie eine Regel mit der Challenge Aktion implementieren, müssen die Regel und die Aktion zusätzlich ausgewertet und verarbeitet werden, wenn der Client eine Anfrage zum ersten Mal sendet und wenn das Token abläuft. Die Challenge Aktion blockiert die Anfrage, die kein gültiges, noch nicht abgelaufenes Token hat, und sendet die Anfrage interstitial zurück an den Client. Nachdem der Client die Anfrage erfolgreich beantwortet hat, sendet das Interstitial erneut die ursprüngliche Webanforderung mit dem gültigen Token, das dann ein zweites Mal vom Protection Pack (Web-ACL) ausgewertet wird. 

# Optionen für verwaltete Regelgruppen zur intelligenten Bedrohungsabwehr
<a name="waf-managed-protections-comparison-table-rg"></a>

In diesem Abschnitt werden die Optionen für verwaltete Regelgruppen verglichen.

Die Regelgruppen „ AWS Managed Rules“ zur intelligenten Bedrohungsabwehr ermöglichen die Verwaltung grundlegender Bots, die Erkennung und Abwehr ausgeklügelter bösartiger Bots, die Erkennung und Abwehr von Kontoübernahmeversuchen sowie die Erkennung und Abwehr betrügerischer Kontoerstellungsversuche. Diese Regelgruppen bieten zusammen mit der im vorherigen Abschnitt SDKs beschriebenen Anwendungsintegration den fortschrittlichsten Schutz und die sicherste Kopplung mit Ihren Client-Anwendungen. 


**Vergleich der Gruppenoptionen für verwaltete Regeln**  

|  | ACFP  | ATP  | Bot Control auf gemeinsamer Ebene | Zielstufe von Bot Control | 
| --- | --- | --- | --- | --- | 
| Was ist es | Verwaltet Anfragen, die Teil betrügerischer Versuche zur Kontoerstellung auf den Registrierungs- und Anmeldeseiten einer Anwendung sein könnten.Verwaltet keine Bots. Siehe [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md). | Verwaltet Anfragen, die Teil böswilliger Übernahmeversuche auf der Anmeldeseite einer Anwendung sein könnten.Verwaltet keine Bots. Siehe [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md). | Verwaltet gängige Bots, die sich selbst identifizieren, mit Signaturen, die für jede Anwendung einzigartig sind.Siehe [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). | Verwaltet gezielte Bots, die sich nicht selbst identifizieren, mit anwendungsspezifischen Signaturen.Siehe [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). | 
| Gute Wahl für... | Überprüfung des Datenverkehrs bei der Kontoerstellung auf betrügerische Angriffe zur Kontoerstellung, z. B. auf Versuche bei der Erstellung von Benutzernamen und viele neue Konten, die von einer einzigen IP-Adresse aus erstellt wurden. | Überprüfung des Anmeldeverkehrs auf Angriffe zur Kontoübernahme, wie z. B. Anmeldeversuche mit Passwortüberschreitung und viele Anmeldeversuche von derselben IP-Adresse aus. Bei Verwendung mit Tokens bietet es außerdem umfassende Schutzmaßnahmen, wie z. B. die Begrenzung der Geschwindigkeit IPs und der Clientsitzungen bei einer großen Anzahl fehlgeschlagener Anmeldeversuche. | Grundlegender Bot-Schutz und Kennzeichnung von allgemeinem, automatisiertem Bot-Traffic. | Gezielter Schutz vor ausgeklügelten Bots, einschließlich Ratenbegrenzung auf der Ebene der Clientsitzung und Erkennung und Abwehr von Browser-Automatisierungstools wie Selenium und Puppeteer.  | 
| Fügt Beschriftungen hinzu, die auf Bewertungsergebnisse hinweisen | Ja | Ja | Ja | Ja | 
| Fügt Token-Labels hinzu | Ja | Ja | Ja | Ja | 
| Blockierung für Anfragen, die kein gültiges Token haben | Nicht enthalten. Siehe [Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md). | Nicht enthalten. Siehe [Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md). | Nicht enthalten. Siehe [Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md). | Blockiert Clientsitzungen, die 5 Anfragen ohne Token senden. | 
| Erfordert das AWS WAF Token aws-waf-token | Für alle Regeln erforderlich.Siehe [Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md). | Für viele Regeln erforderlich.Siehe [Anwendungsintegration SDKs mit ATP verwenden](waf-atp-with-tokens.md). | Nein | Ja | 
| Erwirbt das AWS WAF Token aws-waf-token | Ja, durch die Regel erzwungen AllRequests | Nein | Nein | Manche Regeln verwenden Challenge oder CAPTCHA regeln Aktionen, bei denen Tokens erworben werden. | 

Einzelheiten zu den mit diesen Optionen verbundenen Kosten finden Sie in den Informationen zur intelligenten Abwehr von Bedrohungen unter [AWS WAF Preise](https://aws.amazon.com/waf/pricing/).

# Optionen zur Ratenbegrenzung in ratenbasierten Regeln und gezielten Bot-Kontrollregeln
<a name="waf-rate-limiting-options"></a>

In diesem Abschnitt werden ratenbasierte Minderungsoptionen verglichen.

Sowohl die Zielstufe der AWS WAF Bot Control-Regelgruppe als auch die AWS WAF ratenbasierte Regelaussage ermöglichen eine Begrenzung der Rate von Webanfragen. In der folgenden Tabelle werden die beiden Optionen verglichen.


**Vergleich der Optionen für ratenbasierte Erkennung und Schadensbegrenzung**  

|  | AWS WAF ratenbasierte Regel | AWS WAF Gezielte Regeln von Bot Control | 
| --- | --- | --- | 
| Wie wird die Ratenbegrenzung angewendet | Geht auf Gruppen von Anfragen ein, die zu häufig eingehen. Sie können jede Aktion anwenden, mit Ausnahme vonAllow.  | Erzwingt menschenähnliche Zugriffsmuster und wendet mithilfe von Anforderungstoken eine dynamische Ratenbegrenzung an.  | 
| Basierend auf historischen Verkehrsdaten? | Nein  | Ja  | 
| Zeit, die benötigt wird, um historische Verkehrsbasislinien zu sammeln | –  | Fünf Minuten für dynamische Schwellenwerte. N/A für fehlendes Token. | 
| Verzögerung bei der Schadensbegrenzung | Normalerweise 30-50 Sekunden. Kann bis zu mehreren Minuten dauern.  | Normalerweise weniger als 10 Sekunden. Kann bis zu mehreren Minuten dauern.  | 
| Minderungsziele | Konfigurierbar. Sie können Anfragen mithilfe einer Scope-Down-Anweisung und nach einem oder mehreren Aggregationsschlüsseln wie IP-Adresse, HTTP-Methode und Abfragezeichenfolge gruppieren. | IP-Adressen und Clientsitzungen  | 
| Um Abhilfemaßnahmen auszulösen, ist die Höhe des Verkehrsaufkommens erforderlich | Mittel — kann innerhalb des angegebenen Zeitfensters nur 10 Anfragen betragen  | Niedrig — dient zur Erkennung von Client-Mustern wie langsamen Scrapern  | 
| Individuell anpassbare Schwellenwerte | Ja  | Nein  | 
| Standardmäßige Abhilfemaßnahmen | Die Standardeinstellung für die Konsole istBlock. Keine Standardeinstellung in der API; die Einstellung ist erforderlich. Sie können dies auf jede beliebige Regelaktion festlegen, außer aufAllow. | Die Einstellungen für Regelgruppenregelaktionen gelten Challenge für fehlende Token und CAPTCHA für hohen Datenverkehr aus einer einzelnen Clientsitzung. Sie können jede dieser Regeln auf eine beliebige gültige Regelaktion festlegen.  | 
| Resilienz gegen stark verteilte Angriffe | Mittel — maximal 10.000 IP-Adressen für eine alleinige IP-Adressbegrenzung | Mittel — zwischen IP-Adressen und Tokens auf insgesamt 50.000 begrenzt  | 
| [AWS WAF Preise](https://aws.amazon.com/waf/pricing/) | In den Standardgebühren für enthalten AWS WAF.  | In den Gebühren für die angestrebte Stufe der intelligenten Bedrohungsabwehr mit Bot Control enthalten.  | 
| Für weitere Informationen | [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) | 

# Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF
<a name="waf-managed-protections-best-practices"></a>

Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren. 
+ **Implementierung der Integration JavaScript und Integration mobiler Anwendungen SDKs** — Implementieren Sie die Anwendungsintegration, um den vollen Funktionsumfang von ACFP, ATP oder Bot Control so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von der bereitgestellten Token SDKs , um legitimen Client-Verkehr von unerwünschtem Datenverkehr auf Sitzungsebene zu trennen. Die Anwendungsintegration SDKs stellt sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter: 
  + [Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md)
  + [Anwendungsintegration SDKs mit ATP verwenden](waf-atp-with-tokens.md)
  + [Anwendungsintegration SDKs mit Bot Control verwenden](waf-bot-with-tokens.md)

  Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die Art und Weise anzupassen JavaScript, wie CAPTCHA-Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). 

  Wenn Sie CAPTCHA-Rätsel mithilfe der JavaScript API anpassen und die CAPTCHA Regelaktion an einer beliebigen Stelle in Ihrem Schutzpaket (Web-ACL) verwenden, folgen Sie den Anweisungen für den Umgang mit der AWS WAF CAPTCHA-Antwort in Ihrem Client unter. [Umgang mit einer CAPTCHA-Antwort von AWS WAF](waf-js-captcha-api-conditional.md) Diese Anleitung gilt für alle Regeln, die die CAPTCHA Aktion verwenden, einschließlich der Regeln in der verwalteten ACFP-Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control. 
+ **Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFP, ATP und Bot Control senden. Für die Nutzung der Regelgruppen** mit intelligenten AWS verwalteten Regeln zur Abwehr von Bedrohungen fallen zusätzliche Gebühren an. Die ACFP-Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP-Regelgruppe überprüft Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Regelgruppe Bot Control überprüft jede Anfrage, die sie im Rahmen der Evaluierung des Protection Packs (Web-ACL) erreicht. 

  Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren: 
  + Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
  + Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md) und [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md).
  + Führen Sie die Regelgruppen nach den kostengünstigeren Regeln aus. Wenn Sie andere AWS WAF Standardregeln haben, die Anfragen aus irgendeinem Grund blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unter[Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md).
  + Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie in der folgenden Reihenfolge aus, um die Kosten niedrig zu halten: Bot Control, ATP, ACFP.

  Weitere Informationen finden Sie unter [AWS WAF -Preise](https://aws.amazon.com/waf/pricing/).
+ **Beschränken Sie nicht die Anfragen, die Sie an die DDo Anti-S-Regelgruppe senden. Diese Regelgruppe** funktioniert am besten, wenn Sie sie so konfigurieren, dass sie den gesamten Web-Traffic überwacht, den Sie nicht ausdrücklich zulassen. Platzieren Sie es in Ihrer Web-ACL, damit es erst nach den Regeln mit der Allow Regelaktion und vor allen anderen Regeln ausgewertet wird. 
+ **Verwenden Sie für den Schutz vor verteiltem Denial-of-Service (DDoS) entweder Anti- DDo S- oder Shield Advanced-Automatic Application Layer DDo S** — Die anderen Regelgruppen zur intelligenten Bedrohungsabwehr bieten DDo keinen S-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

  DDoAnti-S ermöglicht Ihnen die Überwachung und Kontrolle von DDo S-Angriffen und ermöglicht so eine schnelle Reaktion und Abwehr von Bedrohungen. Shield Advanced mit automatischer DDo Application-Layer-S-Abwehr reagiert automatisch auf erkannte DDo S-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abhilfemaßnahmen erstellt, bewertet und einsetzt.

  Weitere Informationen zu Shield Advanced finden Sie [AWS Shield Advanced -Übersicht](ddos-advanced-summary.md) unter und[Schutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF](ddos-app-layer-protections.md).

  Weitere Informationen zur Verhinderung von Distributed Denial of Service (DDoS) finden Sie unter [DDoAnti-S-Regelgruppe](aws-managed-rule-groups-anti-ddos.md) und[Verhinderung von verteilter Diensteverweigerung (DDoS)](waf-anti-ddos.md).
+  **Aktivieren Sie die DDo Anti-S-Regelgruppe und die gezielte Schutzstufe der Bot Control-Regelgruppe bei normalem Webverkehr**. Diese Regelkategorien benötigen Zeit, um Basiswerte für normalen Datenverkehr festzulegen. 

   **Aktivieren Sie die gezielte Schutzstufe der Bot-Control-Regelgruppe bei normalem Web-Verkehr** — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßigen oder bösartigen Datenverkehr erkennen und darauf reagieren können. Zum Beispiel benötigen die `TGT_ML_*` Regeln bis zu 24 Stunden, um sich aufzuwärmen. 

  Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Grundlinien festzulegen, bevor Sie erwarten, dass sie angemessen reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, müssen Sie die Anti-S-Regelgruppe im DDo Zählmodus aktivieren. Wenn der Angriff abgeklungen ist, dauert es in der Regel doppelt bis dreifach so lange, bis eine Basislinie festgelegt ist, was auf die Verzerrung zurückzuführen ist, die durch den Angriffsverkehr noch verstärkt wird. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. [Liste der Regeln](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ **Verwenden Sie für den Schutz vor verteiltem Denial of Service (DDoS) die automatische Abwehr von Anwendungen auf Anwendungsebene DDo S von Shield Advanced** — Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten DDo keinen S-Schutz. ACFP schützt vor betrügerischen Versuchen, auf der Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATP schützt vor Kontoübernahmeversuchen auf Ihrer Anmeldeseite. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.

  Wenn Sie Shield Advanced mit aktivierter automatischer Abwehr auf Anwendungsebene DDo S verwenden, reagiert Shield Advanced automatisch auf erkannte DDo S-Angriffe, indem es in Ihrem Namen benutzerdefinierte AWS WAF Abhilfemaßnahmen erstellt, auswertet und einsetzt. Weitere Informationen zu Shield Advanced finden Sie [AWS Shield Advanced -Übersicht](ddos-advanced-summary.md) unter und[Schutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF](ddos-app-layer-protections.md).
+ **Verwenden Sie Produktionsdatenverkehrslasten, wenn Sie Baselines für die DDo Anti-S-Regelgruppe festlegen**. Es ist üblich, andere Regelgruppen mit künstlichem Testdatenverkehr zu testen. Wenn Sie jedoch Baselines für die DDo Anti-S-Regelgruppe testen und festlegen, empfehlen wir, Datenflüsse zu verwenden, die den Belastungen in Ihrer Produktionsumgebung entsprechen. Die Einrichtung von DDo Anti-S-Baselines anhand des typischen Datenverkehrs ist der beste Weg, um sicherzustellen, dass Ihre Ressourcen geschützt sind, wenn die Regelgruppe in einer Produktionsumgebung aktiviert ist.
+ **Feinabstimmung und Konfiguration der Token-Behandlung** — Passen Sie die Token-Behandlung des Protection Packs (Web-ACL) an, um eine optimale Benutzererfahrung zu erzielen. 
  + Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA-Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).
  + Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihr Schutzpaket (Web-ACL). Weitere Informationen finden Sie unter [Angabe von Tokendomänen und Domänenlisten in AWS WAF](waf-tokens-domains.md).
+ **Anfragen mit beliebigen Hostspezifikationen ablehnen** — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die `Host` Header in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B. `myExampleHost.com` und`www.myExampleHost.com`, aber Sie können keine beliebigen Werte für den Host akzeptieren. 
+ **Für Application Load Balancer, die Ursprünge für CloudFront Distributionen sind, konfigurieren CloudFront und AWS WAF für die korrekte Token-Behandlung** sorgen — Wenn Sie Ihr Protection Pack (Web-ACL) einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. [Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront](waf-tokens-with-alb-and-cf.md)
+ **Testen und Optimieren vor der Bereitstellung** — Bevor Sie Änderungen an Ihrem Protection Pack (Web-ACL) vornehmen, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md). Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter [Testen und Bereitstellen von ACFP](waf-acfp-deploying.md)[Testen und Bereitstellen von ATP](waf-atp-deploying.md), und[Testen und Bereitstellen von AWS WAF Bot Control](waf-bot-control-deploying.md).

# Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr
<a name="waf-tokens"></a>

In diesem Abschnitt wird erklärt, was AWS WAF Tokens bewirken.

AWS WAF Token sind ein integraler Bestandteil des verbesserten Schutzes, den AWS WAF intelligente Bedrohungsabwehr bietet. Ein Token, manchmal auch Fingerabdruck genannt, ist eine Sammlung von Informationen über eine einzelne Clientsitzung, die der Client speichert und mit jeder gesendeten Webanfrage bereitstellt. AWS WAF verwendet Token, um böswillige Clientsitzungen zu identifizieren und von legitimen Sitzungen zu trennen, selbst wenn beide von einer einzigen IP-Adresse stammen. Die Verwendung von Token verursacht Kosten, die für legitime Benutzer vernachlässigbar, für Botnets jedoch in großem Umfang teuer sind. 

AWS WAF verwendet Tokens zur Unterstützung seiner Browser- und Endbenutzer-Challenge-Funktionalität, die durch die Anwendungsintegration SDKs und die Regelaktionen bereitgestellt wird und. Challenge CAPTCHA Darüber hinaus ermöglichen Tokens Funktionen der verwalteten Regelgruppen AWS WAF Bot-Kontrolle und Verhinderung von Kontoübernahmen.

AWS WAF erstellt, aktualisiert und verschlüsselt Token für Kunden, die erfolgreich auf stille Herausforderungen und CAPTCHA-Rätsel reagieren. Wenn ein Client mit einem Token eine Webanfrage sendet, schließt er das verschlüsselte Token ein, AWS WAF entschlüsselt das Token und verifiziert seinen Inhalt. 

**Topics**
+ [Wie AWS WAF verwendet Tokens](waf-tokens-usage.md)
+ [AWS WAF Token-Eigenschaften](waf-tokens-details.md)
+ [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md)
+ [Angabe von Tokendomänen und Domänenlisten in AWS WAF](waf-tokens-domains.md)
+ [Arten von Token-Labels in AWS WAF](waf-tokens-labeling.md)
+ [Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md)
+ [Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront](waf-tokens-with-alb-and-cf.md)

# Wie AWS WAF verwendet Tokens
<a name="waf-tokens-usage"></a>

In diesem Abschnitt wird erklärt, wie Tokens AWS WAF verwendet werden.

AWS WAF verwendet Token, um die folgenden Arten der Validierung von Clientsitzungen aufzuzeichnen und zu überprüfen: 
+ **CAPTCHA — CAPTCHA-Rätsel** helfen dabei, Bots von menschlichen Benutzern zu unterscheiden. Ein CAPTCHA wird nur durch die Regelaktion ausgeführt. CAPTCHA Nach erfolgreicher Lösung des Rätsels aktualisiert das CAPTCHA-Skript den CAPTCHA-Zeitstempel des Tokens. Weitere Informationen finden Sie unter [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).
+ **Herausforderung** — Herausforderungen werden im Hintergrund ausgeführt, um reguläre Kundensitzungen von Bot-Sitzungen zu unterscheiden und den Betrieb für Bots teurer zu machen. Wenn die Herausforderung erfolgreich abgeschlossen wurde, ruft das Challenge-Skript bei AWS WAF Bedarf automatisch ein neues Token ab und aktualisiert dann den Challenge-Zeitstempel des Tokens. 

  AWS WAF führt Herausforderungen in den folgenden Situationen aus: 
  + **Anwendungsintegration SDKs** — Die Anwendungsintegration SDKs wird innerhalb Ihrer Client-Anwendungssitzungen ausgeführt und stellt sicher, dass Anmeldeversuche nur zulässig sind, nachdem der Client erfolgreich auf eine Anfrage reagiert hat. Weitere Informationen finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).
  + **ChallengeRegelaktion** — Weitere Informationen finden Sie unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**— Wenn ein CAPTCHA-Interstitial ausgeführt wird und der Client noch kein Token hat, führt das Skript automatisch zuerst eine Abfrage aus, um die Clientsitzung zu verifizieren und das Token zu initialisieren. 

Tokens sind für viele Regeln in den Regelgruppen „Intelligent Threat AWS Managed Rules“ erforderlich. Die Regeln verwenden Token, um beispielsweise zwischen Clients auf Sitzungsebene zu unterscheiden, Browsereigenschaften zu bestimmen und den Grad der menschlichen Interaktivität auf der Anwendungswebseite zu verstehen. Diese Regelgruppen rufen die AWS WAF Tokenverwaltung auf, bei der Token-Labels angewendet werden, die dann von den Regelgruppen überprüft werden. 
+ **AWS WAF Betrugskontrolle, Kontoerstellung, Betrugsprävention (ACFP)** — Die ACFP-Regeln erfordern Webanfragen mit gültigen Tokens. Weitere Informationen zu den Regeln finden Sie unter. [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)
+ **AWS WAF Verhinderung von Kontoübernahmen (ATP) bei der Betrugsbekämpfung** — Die ATP-Regeln, die umfangreiche und lang andauernde Kundensitzungen verhindern, erfordern Webanfragen, die ein gültiges Token mit einem noch nicht abgelaufenen Challenge-Zeitstempel haben. Weitere Informationen finden Sie unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).
+ **AWS WAF Bot-Kontrolle** — Die gezielten Regeln in dieser Regelgruppe begrenzen die Anzahl der Webanfragen, die ein Client ohne gültiges Token senden kann, und sie verwenden die Token-Sitzungsverfolgung für die Überwachung und Verwaltung auf Sitzungsebene. Je nach Bedarf wenden die Regeln die Aktionen an Challenge und CAPTCHA regeln die Aktionen, um die Token-Erfassung und ein gültiges Kundenverhalten durchzusetzen. Weitere Informationen finden Sie unter [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).

# AWS WAF Token-Eigenschaften
<a name="waf-tokens-details"></a>

Jedes Token hat die folgenden Eigenschaften: 
+ Das Token wird in einem Cookie mit dem Namen gespeichert`aws-waf-token`.
+ Das Token ist verschlüsselt.
+ Das Token gibt der Clientsitzung einen Fingerabdruck mit einem festen, detaillierten Bezeichner, der die folgenden Informationen enthält: 
  + Der Zeitstempel der letzten erfolgreichen Antwort des Clients auf eine unbeaufsichtigte Aufforderung. 
  + Der Zeitstempel der letzten erfolgreichen Antwort des Endbenutzers auf ein CAPTCHA. Dies ist nur vorhanden, wenn Sie CAPTCHA in Ihren Schutzmaßnahmen verwenden. 
  + Zusätzliche Informationen über den Kunden und das Verhalten des Kunden, die dazu beitragen können, Ihre legitimen Kunden vor unerwünschtem Datenverkehr zu schützen. Zu den Informationen gehören verschiedene Kundenkennungen und clientseitige Signale, die zur Erkennung automatisierter Aktivitäten verwendet werden können. Die gesammelten Informationen sind nicht eindeutig und können nicht einer einzelnen Person zugeordnet werden. 
    + Alle Token enthalten Daten aus der Abfrage des Client-Browsers, z. B. Hinweise auf Automatisierung und Inkonsistenzen bei den Browsereinstellungen. Diese Informationen werden von den Skripten abgerufen, die von der Challenge Aktion und von der Client-Anwendung ausgeführt werden. SDKs Die Skripts fragen den Browser aktiv ab und fügen die Ergebnisse in das Token ein. 
    + Wenn Sie ein SDK für die Integration von Client-Anwendungen implementieren, enthält das Token außerdem passiv gesammelte Informationen über die Interaktivität des Endbenutzers mit der Anwendungsseite. Interaktivität umfasst Mausbewegungen, Tastendrücke und Interaktionen mit beliebigen HTML-Formularen, die auf der Seite vorhanden sind. Diese Informationen helfen dabei, den Grad der menschlichen Interaktivität im Client zu AWS WAF ermitteln, um Benutzer herauszufordern, die keine Menschen zu sein scheinen. Hinweise zu clientseitigen Integrationen finden Sie unter. [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md)

Bietet aus Sicherheitsgründen AWS keine vollständige Beschreibung des AWS WAF Tokeninhalts oder detaillierte Informationen zum Token-Verschlüsselungsprozess. 

# Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF
<a name="waf-tokens-immunity-times"></a>

In diesem Abschnitt wird erklärt, wie Challenge- und CAPTCHA-Zeitstempel ablaufen.

AWS WAF verwendet Challenge- und CAPTCHA-Immunitätszeiten, um zu steuern, wie oft eine einzelne Client-Sitzung mit einer Challenge oder einem CAPTCHA konfrontiert werden kann. Nachdem ein Endbenutzer erfolgreich auf ein CAPTCHA geantwortet hat, bestimmt die CAPTCHA-Immunitätszeit, wie lange der Endbenutzer davor gefeit ist, einem weiteren CAPTCHA präsentiert zu werden. In ähnlicher Weise bestimmt die Challenge-Immunitätszeit, wie lange eine Kundensitzung davor gefeit ist, erneut herausgefordert zu werden, nachdem sie erfolgreich auf eine Aufforderung reagiert hat. 

**Wie funktionieren AWS WAF Token-Immunitätszeiten**

AWS WAF zeichnet eine erfolgreiche Antwort auf eine Aufforderung oder ein CAPTCHA auf, indem der entsprechende Zeitstempel im Token aktualisiert wird. Wenn das Token auf Challenge oder CAPTCHA AWS WAF überprüft wird, subtrahiert es den Zeitstempel von der aktuellen Uhrzeit. Wenn das Ergebnis länger als die konfigurierte Immunitätszeit ist, ist der Zeitstempel abgelaufen. 

**Konfigurierbare Aspekte der AWS WAF Token-Immunitätszeiten**

Sie können die Immunitätszeiten für Challenge und CAPTCHA im Protection Pack (Web-ACL) und auch in jeder Regel, die die Regelaktion CAPTCHA oder Challenge verwendet, konfigurieren. 
+ Die Standardeinstellung des Protection Packs (Web-ACL) für beide Immunitätszeiten beträgt 300 Sekunden. 
+ Sie können die Immunitätszeit für jede Regel angeben, die die Challenge Aktion CAPTCHA oder verwendet. Wenn Sie die Immunitätszeit für die Regel nicht angeben, erbt sie die Einstellung aus dem Schutzpaket (Web-ACL). 
+ Wenn Sie für eine Regel innerhalb einer Regelgruppe, die die Challenge Aktion CAPTCHA oder verwendet, die Immunitätszeit für die Regel nicht angeben, erbt die Regel die Einstellung von jedem Schutzpaket (Web-ACL), in dem Sie die Regelgruppe verwenden.
+ Die Anwendungsintegration SDKs verwendet die Challenge-Immunitätszeit des Schutzpakets (Web-ACL). 
+ Der Mindestwert für die Challenge-Immunitätszeit beträgt 300 Sekunden. Der Mindestwert für die CAPTCHA-Immunitätszeit beträgt 60 Sekunden. Der Höchstwert für beide Immunitätszeiten beträgt 259.200 Sekunden oder drei Tage. 

Sie können das Schutzpaket (Web-ACL) und die Einstellungen für die Immunitätszeit auf Regelebene verwenden, Challenge um die CAPTCHA Aktion oder das SDK-Challenge-Management-Verhalten zu optimieren. Sie können beispielsweise Regeln konfigurieren, die den Zugriff auf hochsensible Daten mit niedrigen Immunitätszeiten kontrollieren, und dann in Ihrem Schutzpaket (Web-ACL) höhere Immunitätszeiten für Ihre anderen Regeln und die SDKs zu erbenden Regeln festlegen. 

Insbesondere bei CAPTCHA kann die Lösung eines Rätsels das Website-Erlebnis Ihrer Kunden beeinträchtigen. Wenn Sie also die CAPTCHA-Immunitätszeit anpassen, können Sie die Auswirkungen auf das Kundenerlebnis verringern und gleichzeitig den gewünschten Schutz bieten. 

Weitere Informationen zur Einstellung der Immunitätszeiten für Ihre Verwendung der Aktionen und der Regel finden Sie unter. Challenge CAPTCHA [Bewährte Methoden für die Verwendung der Challenge Aktionen CAPTCHA und](waf-captcha-and-challenge-best-practices.md)

# Wo sollen die AWS WAF Token-Immunitätszeiten eingestellt werden
<a name="waf-tokens-immunity-times-setting"></a>

Sie können die Immunitätszeiten in Ihrem Schutzpaket (Web-ACL) und in Ihren Regeln festlegen, die die Aktionen Challenge und CAPTCHA Regeln verwenden. 

Allgemeine Informationen zur Verwaltung eines Protection Packs (Web-ACL) und seiner Regeln finden Sie unter[Metriken zum Web-Traffic anzeigen in AWS WAF](web-acl-working-with.md).

**Wo wird die Immunitätszeit für ein Protection Pack (Web-ACL) festgelegt**
+ **Konsole** — Wenn Sie das Schutzpaket (Web-ACL) bearbeiten, bearbeiten und ändern Sie auf der Registerkarte **Regeln** die Einstellungen in den Bereichen **CAPTCHA-Konfiguration des Protection Pack (Web ACL)** und **Protection Pack (Web ACL) Challenge**. In der Konsole können Sie das CAPTCHA des Schutzpakets (Web-ACL) konfigurieren und die Immunität erst dann herausfordern, wenn Sie das Schutzpaket (Web-ACL) erstellt haben.
+ **Außerhalb der Konsole — Der** Datentyp des Protection Packs (Web-ACL) verfügt über CAPTCHA- und Challenge-Konfigurationsparameter, die Sie konfigurieren und für Ihre Erstellungs- und Aktualisierungsvorgänge auf dem Protection Pack (Web-ACL) bereitstellen können. 

**Wo wird die Immunitätszeit für eine Regel festgelegt**
+ **Konsole** — Wenn Sie eine Regel erstellen oder bearbeiten und die Challenge Aktion CAPTCHA oder angeben, können Sie die Einstellung für die Immunitätszeit der Regel ändern. 
+ **Außerhalb der Konsole** — Der Regeldatentyp verfügt über CAPTCHA- und Challenge-Konfigurationsparameter, die Sie bei der Definition der Regel konfigurieren können. 

# Angabe von Tokendomänen und Domänenlisten in AWS WAF
<a name="waf-tokens-domains"></a>

In diesem Abschnitt wird erklärt, wie Sie die Domänen konfigurieren, AWS WAF die In-Token verwenden und die In-Tokens akzeptieren.

Wenn ein Token für einen Client AWS WAF erstellt wird, wird es mit einer Tokendomäne konfiguriert. Wenn AWS WAF ein Token in einer Webanforderung geprüft wird, lehnt es das Token als ungültig ab, wenn seine Domain mit keiner der Domänen übereinstimmt, die für das Protection Pack (Web-ACL) als gültig angesehen werden. 

Standardmäßig werden AWS WAF nur Token akzeptiert, deren Domäneneinstellung genau mit der Hostdomäne der Ressource übereinstimmt, die dem Protection Pack (Web-ACL) zugeordnet ist. Dies ist der Wert des `Host` Headers in der Webanforderung. In einem Browser finden Sie diese Domain in der JavaScript `window.location.hostname` Eigenschaft und in der Adresse, die Ihr Benutzer in seiner Adressleiste sieht. 

Sie können auch akzeptable Token-Domänen in Ihrer Protection Pack-Konfiguration (Web-ACL) angeben, wie im folgenden Abschnitt beschrieben. In diesem Fall AWS WAF akzeptiert sowohl exakte Übereinstimmungen mit dem Host-Header als auch Übereinstimmungen mit Domänen in der Token-Domainliste.

Sie können Token-Domänen angeben AWS WAF , die bei der Einrichtung der Domain und bei der Auswertung eines Tokens in einem Protection Pack (Web-ACL) verwendet werden sollen. Bei den Domänen, die Sie angeben, darf es sich nicht um öffentliche Suffixe handeln, wie z. `gov.au` Die Domains, die Sie nicht verwenden können, finden Sie in der Liste [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) unter Liste der [öffentlichen Suffixe](https://publicsuffix.org/list/).

## AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)
<a name="waf-tokens-domain-lists"></a>

Sie können ein Schutzpaket (Web-ACL) so konfigurieren, dass Token für mehrere geschützte Ressourcen gemeinsam genutzt werden, indem Sie eine Token-Domainliste mit den zusätzlichen Domänen bereitstellen, die Sie akzeptieren AWS WAF möchten. Nimmt bei einer Token-Domainliste AWS WAF trotzdem die Host-Domain der Ressource an. Darüber hinaus akzeptiert sie alle Domänen in der Token-Domainliste, einschließlich ihrer Subdomänen mit Präfix. 

Eine Domainspezifikation `example.com` in Ihrer Token-Domainliste entspricht beispielsweise `example.com` (von`http://example.com/`)`api.example.com`, (von`http://api.example.com/`) und `www.example.com` (von`http://www.example.com/`). Sie entspricht `example.api.com` nicht (von`http://example.api.com/`) oder `apiexample.com` (von`http://apiexample.com/`).

Sie können die Token-Domainliste in Ihrem Protection Pack (Web-ACL) konfigurieren, wenn Sie sie erstellen oder bearbeiten. Allgemeine Informationen zur Verwaltung eines Protection Packs (Web-ACL) finden Sie unter[Metriken zum Web-Traffic anzeigen in AWS WAF](web-acl-working-with.md).

## AWS WAF Einstellungen für die Token-Domäne
<a name="waf-tokens-domain-in-token"></a>

AWS WAF erstellt Token auf Anforderung der Challenge-Skripte, die von der Anwendungsintegration SDKs Challenge und den CAPTCHA Regelaktionen ausgeführt werden. 

Die Domäne, die ein Token AWS WAF eingibt, wird durch den Typ des Challenge-Skripts bestimmt, das es anfordert, und durch jede zusätzliche Token-Domänenkonfiguration, die Sie angeben. AWS WAF setzt die Domain im Token auf die kürzeste, allgemeinste Einstellung, die sie in der Konfiguration finden kann.
+ **JavaScript SDK** — Sie können das JavaScript SDK mit einer Token-Domainspezifikation konfigurieren, die eine oder mehrere Domänen umfassen kann. Bei den Domänen, die Sie konfigurieren, muss es sich um Domänen handeln, die auf der geschützten Host-Domain und der Token-Domainliste des Protection Packs (Web-ACL) basieren, die akzeptiert werden. AWS WAF 

  Wenn ein AWS WAF Token für den Client ausgestellt wird, wird die Tokendomäne auf eine Domäne gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domänen in Ihrer konfigurierten Liste. Wenn die Hostdomäne beispielsweise ist `api.example.com` und die Token-Domainliste dies hat`example.com`, AWS WAF verwendet `example.com` das Token, weil es mit der Host-Domain übereinstimmt und kürzer ist. Wenn Sie in der JavaScript API-Konfiguration keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt.

  Weitere Informationen finden Sie unter [Bereitstellung von Domains zur Verwendung in den Tokens](waf-js-challenge-api-set-token-domain.md). 
+ **Mobiles SDK** — In Ihrem Anwendungscode müssen Sie das mobile SDK mit einer Token-Domäneneigenschaft konfigurieren. Bei dieser Eigenschaft muss es sich um eine Domain handeln, die auf der geschützten Host-Domain und der Token-Domainliste des Protection Packs (Web-ACL) basiert, akzeptiert. AWS WAF 

  Bei AWS WAF der Ausgabe eines Tokens für den Client wird diese Eigenschaft als Tokendomäne verwendet. AWS WAF verwendet die Hostdomäne nicht in den Tokens, die es für den mobilen SDK-Client ausgibt. 

  Weitere Informationen finden Sie in der `WAFConfiguration` `domainName` Einstellung unter[AWS WAF SDK-Spezifikation für Mobilgeräte](waf-mobile-sdk-specification.md). 
+ **ChallengeAktion** — Wenn Sie im Protection Pack (Web-ACL) eine Token-Domainliste angeben, wird die Token-Domain auf eine Domain AWS WAF gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domains in der Liste. Wenn es sich bei der Hostdomäne um eine Hostdomäne handelt `api.example.com` und die Token-Domänenliste dies hat`example.com`, wird das Token AWS WAF verwendet`example.com`, da es mit der Hostdomäne übereinstimmt und kürzer ist. Wenn Sie im Schutzpaket (Web-ACL) keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt. 

# Arten von Token-Labels in AWS WAF
<a name="waf-tokens-labeling"></a>

In diesem Abschnitt werden die Labels beschrieben, die die AWS WAF Tokenverwaltung Webanfragen hinzufügt. Allgemeine Informationen zu Labels finden Sie unter[Etikettierung von Webanfragen in AWS WAF](waf-labels.md).

Wenn Sie eine der von AWS WAF Bot oder Fraud Control verwalteten Regelgruppen verwenden, verwenden die Regelgruppen die AWS WAF Tokenverwaltung, um die Webanforderungstoken zu überprüfen und die Anfragen mit Token-Labels zu versehen. Informationen zu den verwalteten Regelgruppen finden Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)[AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md), und[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).

**Anmerkung**  
AWS WAF wendet Token-Labels nur an, wenn Sie eine dieser verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr verwenden. 

Die Tokenverwaltung kann Webanfragen die folgenden Bezeichnungen hinzufügen.

**Bezeichnung der Clientsitzung**  
Das Label `awswaf:managed:token:id:identifier` enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. 

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Fingerabdruck-Label des Browsers**  
Das Etikett `awswaf:managed:token:fingerprint:fingerprint-identifier` enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.

**Anmerkung**  
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

**Token-Statusbezeichnungen: Namespace-Präfixe für Labels**  
Token-Statusbezeichnungen berichten über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen. 

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe: 
+ `awswaf:managed:token:`— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden. 
+ `awswaf:managed:captcha:`— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten. 

**Token-Statusbezeichnungen: Labelnamen**  
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status: 
+ `accepted`— Das Anforderungstoken ist vorhanden und enthält Folgendes: 
  + Eine gültige Challenge oder CAPTCHA-Lösung.
  + Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
  + Eine Domainspezifikation, die für das Protection Pack (Web-ACL) gültig ist. 

  Beispiel: Das Label `awswaf:managed:token:accepted` gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
+ `rejected`— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien. 

  Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben. 
  + `rejected:not_solved`— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung. 
  + `rejected:expired`— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den konfigurierten Token-Immunitätszeiten Ihres Schutzpakets (Web-ACL) abgelaufen. 
  + `rejected:domain_mismatch`— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets (Web-ACL). 
  + `rejected:invalid`— Das angegebene Token AWS WAF konnte nicht gelesen werden. 

  Beispiel: Die beiden Bezeichnungen `awswaf:managed:captcha:rejected` deuten `awswaf:managed:captcha:rejected:expired` zusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die Immunitätszeit des CAPTCHA-Tokens überschritten hat, die im Schutzpaket (Web-ACL) konfiguriert ist.
+ `absent`— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen. 

  Beispiel: Das Label `awswaf:managed:captcha:absent` gibt an, dass die Anfrage das Token nicht enthält. 

# Anfragen blockieren, die kein gültiges AWS WAF Token haben
<a name="waf-tokens-block-missing-tokens"></a>

In diesem Abschnitt wird erklärt, wie Anmeldeanfragen blockiert werden, bei denen die zugehörigen Token fehlen, wenn Sie das AWS WAF mobile SDK verwenden.

Wenn Sie die Regelgruppen „ AWS Managed Rules“`AWSManagedRulesACFPRuleSet`, `AWSManagedRulesATPRuleSet` und „Intelligent Threat“ verwenden`AWSManagedRulesBotControlRuleSet`, rufen die Regelgruppen die AWS WAF Tokenverwaltung auf, um den Status des Webanforderungstokens auszuwerten und die Anfragen entsprechend zu kennzeichnen. 

**Anmerkung**  
Die Token-Kennzeichnung wird nur auf Webanfragen angewendet, die Sie mithilfe einer dieser verwalteten Regelgruppen auswerten.

Informationen zur Kennzeichnung, die von der Tokenverwaltung angewendet wird, finden Sie im vorherigen Abschnitt,[Arten von Token-Labels in AWS WAF](waf-tokens-labeling.md). 

Die verwalteten Regelgruppen zur intelligenten Bedrohungsabwehr behandeln die Token-Anforderungen dann wie folgt:
+ Die `AWSManagedRulesACFPRuleSet` `AllRequests` Regel ist so konfiguriert, dass sie die Challenge Aktion für alle Anfragen ausführt und somit alle Anfragen blockiert, die nicht über das `accepted` Token-Label verfügen. 
+ Die `AWSManagedRulesATPRuleSet` blockiert Anfragen mit dem `rejected` Token-Label, blockiert aber keine Anfragen mit dem `absent` Token-Label. 
+ Die `AWSManagedRulesBotControlRuleSet` angestrebte Schutzstufe stellt Clients vor Herausforderungen, nachdem sie fünf Anfragen ohne `accepted` Token-Label gesendet haben. Es blockiert keine einzelne Anfrage, die kein gültiges Token hat. Die allgemeine Schutzebene der Regelgruppe verwaltet die Tokenanforderungen nicht. 

Weitere Informationen zu den Regelgruppen für intelligente Bedrohungen finden Sie [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md) und[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 

**So blockieren Sie Anfragen, bei denen Token fehlen, wenn Sie die von Bot Control oder ATP verwaltete Regelgruppe verwenden**  
Mit den Regelgruppen Bot Control und ATP ist es möglich, dass eine Anfrage ohne gültiges Token die Regelgruppen-Evaluierung beendet und weiterhin vom Protection Pack (Web-ACL) bewertet wird. 

Um alle Anfragen zu blockieren, deren Token fehlt oder deren Token abgelehnt wurde, fügen Sie eine Regel hinzu, die unmittelbar nach der verwalteten Regelgruppe ausgeführt wird, um Anfragen zu erfassen und zu blockieren, die die Regelgruppe nicht für Sie bearbeitet. 

Im Folgenden finden Sie ein Beispiel für eine JSON-Liste für ein Protection Pack (Web-ACL), das die verwaltete ATP-Regelgruppe verwendet. Dem Schutzpaket (Web-ACL) wurde eine Regel hinzugefügt, mit der das `awswaf:managed:token:absent` Label erfasst und verarbeitet wird. Die Regel schränkt ihre Auswertung auf Webanfragen ein, die an den Anmeldeendpunkt gesendet werden, um dem Geltungsbereich der ATP-Regelgruppe zu entsprechen. Die hinzugefügte Regel ist fett gedruckt. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Lesen Sie diesen Abschnitt, wenn Sie Ihr Protection Pack (Web-ACL) einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution einsetzen.

Bei dieser Architektur müssen Sie die folgende zusätzliche Konfiguration bereitstellen, damit die Token-Informationen korrekt verarbeitet werden können.
+ Konfigurieren Sie CloudFront es so, dass das `aws-waf-token` Cookie an den Application Load Balancer weitergeleitet wird. CloudFront Entfernt standardmäßig Cookies aus der Webanfrage, bevor sie an den Ursprung weitergeleitet wird. Um das Token-Cookie zusammen mit der Webanforderung beizubehalten, konfigurieren Sie das CloudFront Cache-Verhalten so, dass entweder nur das Token-Cookie oder alle Cookies enthalten sind. Informationen dazu, wie Sie dies tun können, finden Sie im *Amazon CloudFront Developer Guide* unter [Zwischenspeichern von Inhalten auf Basis von Cookies](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html).
+ Konfigurieren Sie es AWS WAF so, dass die Domain der CloudFront Distribution als gültige Token-Domain erkannt wird. CloudFront Setzt den `Host` Header standardmäßig auf den Application Load Balancer Balancer-Ursprung und AWS WAF verwendet diesen als Domäne der geschützten Ressource. Der Client-Browser betrachtet die CloudFront Distribution jedoch als Hostdomäne, und Token, die für den Client generiert werden, verwenden die CloudFront Domäne als Tokendomäne. Wenn die geschützte Ressourcendomäne mit AWS WAF der Tokendomäne verglichen wird, kommt es ohne zusätzliche Konfiguration zu einer Diskrepanz. Um dieses Problem zu beheben, fügen Sie den Namen der CloudFront Distributionsdomäne zur Liste der Tokendomänen in Ihrer Protection Pack-Konfiguration (Web-ACL) hinzu. Weitere Informationen über die entsprechende Vorgehensweise finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

# AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)
<a name="waf-acfp"></a>

In diesem Abschnitt wird erklärt, was AWS WAF die Einrichtung von Konten bei der Betrugsbekämpfung und die Betrugsprävention (ACFP) bewirkt.

Betrug bei der Kontoerstellung ist eine illegale Online-Aktivität, bei der ein Angreifer versucht, ein oder mehrere gefälschte Konten zu erstellen. Angreifer verwenden gefälschte Konten für betrügerische Aktivitäten wie den Missbrauch von Werbe- und Anmeldeboni, das Ausgeben einer anderen Person und für Cyberangriffe wie Phishing. Das Vorhandensein gefälschter Konten kann sich negativ auf Ihr Unternehmen auswirken, da es Ihren Ruf bei Kunden schädigt und der Gefahr von Finanzbetrug ausgesetzt ist. 

Sie können Betrugsversuche bei der Kontoerstellung überwachen und kontrollieren, indem Sie die ACFP-Funktion implementieren. AWS WAF bietet diese Funktion in der Regelgruppe „ AWS Verwaltete Regeln“ `AWSManagedRulesACFPRuleSet` mit integrierter Begleitanwendung an. SDKs 

Die verwaltete Regelgruppe ACFP kennzeichnet und verwaltet Anfragen, die Teil böswilliger Versuche zur Kontoerstellung sein könnten. Zu diesem Zweck untersucht die Regelgruppe Versuche zur Kontoerstellung, die Clients an den Kontoanmeldeendpunkt Ihrer Anwendung senden. 

ACFP schützt Ihre Kontoanmeldeseiten, indem es Anfragen zur Kontoregistrierung auf ungewöhnliche Aktivitäten überwacht und verdächtige Anfragen automatisch blockiert. Die Regelgruppe verwendet Anforderungskennungen, Verhaltensanalysen und maschinelles Lernen, um betrügerische Anfragen zu erkennen. 
+ **Prüfung von Anfragen** — ACFP gibt Ihnen Einblick und Kontrolle über ungewöhnliche Kontoerstellungsversuche und Versuche, bei denen gestohlene Anmeldeinformationen verwendet werden, um die Erstellung betrügerischer Konten zu verhindern. ACFP überprüft E-Mail- und Passwortkombinationen anhand seiner Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue durchgesickerte Anmeldeinformationen im Dark Web gefunden werden. ACFP bewertet die in E-Mail-Adressen verwendeten Domains und überwacht die Verwendung von Telefonnummern und Adressfeldern, um die Eingaben zu überprüfen und betrügerisches Verhalten aufzudecken. ACFP aggregiert Daten nach IP-Adresse und Clientsitzung, um Clients zu erkennen und zu blockieren, die zu viele Anfragen verdächtiger Art senden. 
+ **Überprüfung der Antworten** — Bei CloudFront Verteilungen überprüft die ACFP-Regelgruppe nicht nur eingehende Anfragen zur Kontoerstellung, sondern auch die Antworten Ihrer Anwendung auf Versuche zur Kontoerstellung, um Erfolgs- und Misserfolgsraten nachzuverfolgen. Mithilfe dieser Informationen kann ACFP vorübergehend Clientsitzungen oder IP-Adressen blockieren, bei denen zu viele Versuche fehlgeschlagen sind. AWS WAF führt die Antwortprüfung asynchron durch, sodass die Latenz Ihres Webverkehrs dadurch nicht erhöht wird. 

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

**Anmerkung**  
Die ACFP-Funktion ist für Amazon Cognito Cognito-Benutzerpools nicht verfügbar.

**Topics**
+ [AWS WAF ACFP-Komponenten](waf-acfp-components.md)
+ [Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md)
+ [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md)
+ [Testen und Bereitstellen von ACFP](waf-acfp-deploying.md)
+ [AWS WAF Beispiele für die Einrichtung von Konten bei der Betrugsbekämpfung (ACFP)](waf-acfp-control-examples.md)

# AWS WAF ACFP-Komponenten
<a name="waf-acfp-components"></a>

Die Hauptkomponenten der AWS WAF Betrugsbekämpfung bei der Kontoerstellung und Betrugsprävention (ACFP) sind die folgenden: 
+ **`AWSManagedRulesACFPRuleSet`**— Die Regeln in dieser Regelgruppe „ AWS Verwaltete Regeln“ erkennen, kennzeichnen und behandeln verschiedene Arten betrügerischer Aktivitäten bei der Kontoerstellung. Die Regelgruppe untersucht `GET` text/html HTTP-Anfragen, die Clients an den angegebenen Endpunkt für die Kontoregistrierung senden, sowie `POST` Webanfragen, die Kunden an den angegebenen Endpunkt für die Kontoregistrierung senden. Bei geschützten CloudFront Verteilungen überprüft die Regelgruppe auch die Antworten, die die Verteilung auf Anfragen zur Kontoerstellung zurücksendet. Eine Liste der Regeln dieser Regelgruppe finden Sie unter. [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) Sie nehmen diese Regelgruppe mithilfe einer Referenzerklärung für verwaltete Regelgruppen in Ihr Schutzpaket (Web-ACL) auf. Informationen zur Verwendung dieser Regelgruppe finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md). 
**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).
+ **Einzelheiten zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung** — Sie müssen Informationen zu den Seiten zur Kontoregistrierung und Kontoerstellung angeben, wenn Sie die `AWSManagedRulesACFPRuleSet` Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen. Auf diese Weise kann die Regelgruppe den Umfang der Anfragen, die sie prüft, einschränken und Webanfragen zur Kontoerstellung ordnungsgemäß validieren. Auf der Registrierungsseite müssen `GET` text/html Anfragen akzeptiert werden. Der Pfad zur Kontoerstellung muss `POST` Anfragen akzeptieren. Die ACFP-Regelgruppe arbeitet mit Benutzernamen im E-Mail-Format. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md). 
+ **Bei geschützten CloudFront Distributionen: Details darüber, wie Ihre Anwendung auf Versuche zur Kontoerstellung reagiert** — Sie geben Details zu den Antworten Ihrer Anwendung auf Versuche zur Kontoerstellung an, und die ACFP-Regelgruppe verfolgt und verwaltet Versuche zur Erstellung mehrerer Konten von einer einzelnen IP-Adresse oder einer einzelnen Clientsitzung aus. Informationen zur Konfiguration dieser Option finden Sie unter. [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md) 
+ **JavaScript und Integration mobiler Anwendungen SDKs** — Implementieren Sie AWS WAF JavaScript und Mobile SDKs zusammen mit Ihrer ACFP-Implementierung, um den vollen Funktionsumfang der Regelgruppe nutzen zu können. Viele der ACFP-Regeln verwenden die von der bereitgestellten Informationen SDKs für die Client-Überprüfung auf Sitzungsebene und die Aggregation von Verhalten, die erforderlich sind, um legitimen Client-Verkehr vom Bot-Verkehr zu trennen. Weitere Informationen zu den SDKs finden Sie unter. [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md)

Sie können Ihre ACFP-Implementierung mit den folgenden Komponenten kombinieren, um Ihre Schutzmaßnahmen zu überwachen, zu optimieren und anzupassen. 
+ **Protokollierung und Metriken** — Sie können Ihren Datenverkehr überwachen und verstehen, wie sich die verwaltete ACFP-Regelgruppe darauf auswirkt, indem Sie Protokolle, Amazon Security Lake-Datenerfassung und CloudWatch Amazon-Metriken für Ihr Schutzpaket (Web-ACL) konfigurieren und aktivieren. Die Labels, die Ihren Webanfragen `AWSManagedRulesACFPRuleSet` hinzugefügt werden, sind in den Daten enthalten. Informationen zu den Optionen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md), und [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  Abhängig von Ihren Anforderungen und dem Datenverkehr, den Sie beobachten, möchten Sie Ihre `AWSManagedRulesACFPRuleSet`-Implementierung möglicherweise anpassen. Beispielsweise möchten Sie möglicherweise einige Zugriffe von der ACFP-Bewertung ausschließen, oder Sie möchten die Art und Weise ändern, wie das Unternehmen mit einigen der von ihr identifizierten Betrugsversuche bei der Kontoerstellung umgeht, und zwar mithilfe von AWS WAF Funktionen wie Scopedown-Aussagen oder Regeln für den Labelabgleich. 
+ **Bezeichnungen und Regeln zum Abgleich von Bezeichnungen** – Für jede der Regeln in `AWSManagedRulesACFPRuleSet` können Sie das Blockierverhalten auf „Zählen“ umstellen und dann mit den Bezeichnungen abgleichen, die durch die Regeln hinzugefügt wurden. Verwenden Sie diesen Ansatz, um anzupassen, wie Sie mit Webanfragen umgehen, die von der verwalteten ACFP-Regelgruppe identifiziert werden. Weitere Informationen zur Bezeichnung und zur Verwendung von Anweisungen zum Abgleich von Bezeichnungen finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und [Etikettierung von Webanfragen in AWS WAF](waf-labels.md). 
+ **Benutzerdefinierte Anforderungen und Antworten** – Sie können den Anforderungen, die Sie zulassen, benutzerdefinierte Header hinzufügen, und Sie können für blockierte Anforderungen benutzerdefinierte Antworten senden. Dazu kombinieren Sie den Bezeichnungsabgleich mit den AWS WAF -Funktionen für benutzerdefinierte Anforderungen und Antworten. Weitere Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

# Anwendungsintegration SDKs mit ACFP verwenden
<a name="waf-acfp-with-tokens"></a>

Wir empfehlen dringend, die Anwendungsintegration zu implementieren SDKs, um die ACFP-Regelgruppe so effizient wie möglich nutzen zu können. 
+ **Vollständige Regelgruppenfunktionalität** — Die ACFP-Regel funktioniert `SignalClientHumanInteractivityAbsentLow` nur mit Token, die von den Anwendungsintegrationen aufgefüllt werden. Diese Regel erkennt und verwaltet abnormale menschliche Interaktivitäten mit der Anwendungsseite. Die Anwendungsintegration SDKs kann normale menschliche Interaktivität durch Mausbewegungen, Tastendrücke und andere Messungen erkennen. Die Interstitials, die von den Regelaktionen gesendet werden CAPTCHA und diese Art von Challenge Daten nicht bereitstellen können. 
+ **Reduzierte Latenz** — Die Regelgruppenregel `AllRequests` wendet die Challenge Regelaktion auf jede Anfrage an, für die noch kein Challenge-Token vorhanden ist. In diesem Fall wird die Anfrage von der Regelgruppe zweimal ausgewertet: einmal ohne das Token und dann ein zweites Mal, nachdem das Token mithilfe der Challenge Aktion Interstitial abgerufen wurde. Ihnen werden keine zusätzlichen Gebühren berechnet, wenn Sie nur die `AllRequests` Regel verwenden, aber dieser Ansatz erhöht den Overhead Ihres Web-Traffics und erhöht die Latenz Ihrer Endbenutzererfahrung. Wenn Sie das Token clientseitig mithilfe der Anwendungsintegrationen erwerben, bevor Sie die Anfrage zur Kontoerstellung senden, wertet die ACFP-Regelgruppe die Anfrage einmal aus. 

Weitere Informationen zu den Funktionen der Regelgruppe finden Sie unter. [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)

Informationen zu den finden SDKs Sie unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu AWS WAF Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Informationen zu den Regelaktionen finden Sie unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

# Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL
<a name="waf-acfp-rg-using"></a>

In diesem Abschnitt wird erklärt, wie Sie die `AWSManagedRulesACFPRuleSet` Regelgruppe hinzufügen und konfigurieren.

Um die verwaltete ACFP-Regelgruppe so zu konfigurieren, dass sie Betrugsaktivitäten bei der Kontoerstellung in Ihrem Web-Traffic erkennt, geben Sie Informationen darüber an, wie Kunden auf Ihre Registrierungsseite zugreifen, und Anfragen zur Kontoerstellung an Ihre Anwendung senden. Für geschützte CloudFront Amazon-Distributionen geben Sie auch Informationen darüber an, wie Ihre Anwendung auf Anfragen zur Kontoerstellung reagiert. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe. 

Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unter[AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).

**Anmerkung**  
Die Datenbank mit gestohlenen ACFP-Anmeldeinformationen enthält nur Benutzernamen im E-Mail-Format.

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole](waf-using-managed-rule-group.md).

**Folgen Sie den bewährten Methoden**  
Verwenden Sie die ACFP-Regelgruppe gemäß den bewährten Methoden unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md). 

**Um die `AWSManagedRulesACFPRuleSet` Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu verwenden**

1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket (Web-ACL) hinzu und **bearbeiten Sie** die Regelgruppeneinstellungen vor dem Speichern. `AWSManagedRulesACFPRuleSet` 
**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

1. Geben Sie im Bereich **Regelgruppenkonfiguration** die Informationen ein, anhand derer die ACFP-Regelgruppe Anfragen zur Kontoerstellung prüft. 

   1. Aktivieren Sie diese Option für **Reguläre Ausdrücke in Pfaden verwenden**, wenn Sie einen Abgleich mit regulären Ausdrücken für die Pfadspezifikationen Ihrer Anmelde- und Kontoerstellungsseite durchführen möchten AWS WAF . 

      AWS WAF unterstützt `libpcre` mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

   1. Geben Sie **unter Pfad zur Registrierungsseite** den Pfad zum Endpunkt der Registrierungsseite für Ihre Anwendung an. Diese Seite muss `GET` text/html Anfragen annehmen. Die Regelgruppe untersucht nur `GET` text/html HTTP-Anfragen an den von Ihnen angegebenen Endpunkt der Registrierungsseite.
**Anmerkung**  
Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten`(?-i)`, wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. `/`

      Für die URL könnten Sie `https://example.com/web/registration` beispielsweise die Pfadangabe `/web/registration` für die Zeichenfolge angeben. Pfade auf Registrierungsseiten, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. `/web/registration`Entspricht beispielsweise den `/web/registration` Registrierungspfaden `/web/registration/``/web/registrationPage`,, und`/web/registration/thisPage`, entspricht aber nicht dem Pfad `/home/web/registration` oder`/website/registration`. 
**Anmerkung**  
Stellen Sie sicher, dass Ihre Endbenutzer die Registrierungsseite laden, bevor sie eine Anfrage zur Kontoerstellung einreichen. Dadurch wird sichergestellt, dass die Anfragen des Kunden zur Kontoerstellung gültige Token enthalten. 

   1. Geben Sie als **Pfad zur Kontoerstellung** die URI auf Ihrer Website an, die vollständige neue Benutzerdaten akzeptiert. Diese URI muss `POST` Anfragen akzeptieren.
**Anmerkung**  
Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten`(?-i)`, wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. `/`

      Für die URL könnten Sie `https://example.com/web/newaccount` beispielsweise die Pfadangabe `/web/newaccount` für die Zeichenfolge angeben. Pfade zur Kontoerstellung, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. `/web/newaccount`Entspricht beispielsweise den Pfaden zur Kontoerstellung `/web/newaccount` `/web/newaccount/``/web/newaccountPage`,`/web/newaccount/thisPage`, und, entspricht aber nicht dem Pfad `/home/web/newaccount` oder`/website/newaccount`. 

   1. Geben Sie für die **Prüfung von Anfragen** an, wie Ihre Anwendung Versuche zur Kontoerstellung akzeptiert, indem Sie den Payload-Typ der Anfrage und die Namen der Felder im Anfragetext angeben, in denen der Benutzername, das Passwort und andere Details zur Kontoerstellung angegeben werden. 
**Anmerkung**  
Geben Sie für die Felder für die primäre Adresse und die Telefonnummer die Felder in der Reihenfolge an, in der sie in der Payload der Anfrage erscheinen.

      Ihre Angabe der Feldnamen hängt vom Payload-Typ ab.
      + **JSON-Nutzdatentyp** — Geben Sie die Feldnamen in der JSON-Zeigersyntax an. Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScriptObject Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

        Für die folgende Beispiel-JSON-Nutzlast lautet die Feldspezifikation für den Benutzernamen, `/signupform/username` und die Spezifikationen für das primäre Adressfeld lauten `/signupform/addrp1``/signupform/addrp2`, und. `/signupform/addrp3`

        ```
        {
            "signupform": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD",
                "addrp1": "PRIMARY_ADDRESS_LINE_1",
                "addrp2": "PRIMARY_ADDRESS_LINE_2",
                "addrp3": "PRIMARY_ADDRESS_LINE_3",
                "phonepcode": "PRIMARY_PHONE_CODE",
                "phonepnumber": "PRIMARY_PHONE_NUMBER"
            }
        }
        ```
      + **Payload-Typ FORM\$1ENCODED** — Verwenden Sie die HTML-Formularnamen.

        Für ein HTML-Formular mit Benutzer- und Kennworteingabeelementen mit dem Namen `username1` und `password1` lautet die Feldspezifikation für den Benutzernamen `username1` und die Feldspezifikation für das Passwort. `password1`

   1. Wenn Sie CloudFront Amazon-Distributionen schützen, geben Sie unter **Überprüfung von Antworten** an, wie Ihre Anwendung bei den Antworten auf Versuche zur Kontoerstellung auf Erfolg oder Misserfolg reagiert. 
**Anmerkung**  
ACFP Response Inspection ist nur in Schutzpaketen (Web ACLs) verfügbar, die Distributionen schützen CloudFront .

      Geben Sie in der Antwort auf die Kontoerstellung eine einzelne Komponente an, die ACFP überprüfen soll. AWS WAF Kann bei den Komponententypen **Body** und **JSON** die ersten 65.536 Byte (64 KB) der Komponente untersuchen. 

      Geben Sie Ihre Prüfkriterien für den Komponententyp an, wie in der Schnittstelle angegeben. Sie müssen sowohl Erfolgs- als auch Fehlschlagskriterien angeben, nach denen die Komponente geprüft werden soll. 

      Angenommen, Ihre Anwendung gibt im Statuscode der Antwort den Status eines Versuchs zur Kontoerstellung an und verwendet ihn `200 OK` für Erfolg `401 Unauthorized` und/oder `403 Forbidden` für Fehlschlag. Sie würden den **Komponententyp** der Antwortprüfung auf **Statuscode** setzen und dann in das Textfeld **Erfolg** `200` und im Textfeld **Fehler** den Text in `401` der ersten Zeile und in `403` der zweiten Zeile eingeben.

      Die ACFP-Regelgruppe zählt nur Antworten, die Ihren Erfolgs- oder Fehlschlagprüfungskriterien entsprechen. Die Regelgruppenregeln wirken sich auf Kunden aus, deren Erfolgsquote unter den gezählten Antworten zu hoch ist, um Versuche, mehrere Konten zu erstellen, zu verhindern. Stellen Sie sicher, dass Sie vollständige Informationen zu erfolgreichen und fehlgeschlagenen Kontoerstellungsversuchen angeben, damit sich die Regelgruppenregeln korrekt verhalten. 

      Die Regeln zur Überprüfung der Antworten auf die Kontoerstellung finden Sie `VolumetricSessionSuccessfulResponse` in der Regelliste unter[AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md). `VolumetricIPSuccessfulResponse` 

1. Geben Sie jede zusätzliche Konfiguration an, die für die Regelgruppe benötigt wird. 

   Sie können den Umfang der Anforderungen, die von der Regelgruppe geprüft werden, weiter eingrenzen, indem Sie der Anweisung für die verwaltete Regelgruppe eine Eingrenzungsanweisung hinzufügen. So können Sie beispielsweise nur Anforderungen mit einem bestimmten Abfrageargument oder Cookie prüfen. Die Regelgruppe prüft nur Anfragen, die den Kriterien in Ihrer Zusammenfassung entsprechen und die an die von Ihnen in der Regelgruppenkonfiguration angegebenen Pfade zur Kontoregistrierung und Kontoerstellung gesendet werden. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

1. Speichern Sie Ihre Änderungen am Schutzpaket (Web-ACL). 

Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie im folgenden Abschnitt. 

# Testen und Bereitstellen von ACFP
<a name="waf-acfp-deploying"></a>

Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer Implementierung zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab. 

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. 

AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ACFP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie ein Testschutzpaket (Web-ACL) für die Verwendung der verwalteten ACFP-Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann mit diesen Testanmeldedaten einen Versuch durch, ein Konto zu erstellen. Sie überprüfen, ob Ihr Schutzpaket (Web-ACL) den Versuch ordnungsgemäß bewältigt hat, indem Sie die CloudWatch Amazon-Metriken für den Versuch der Kontoerstellung überprüfen. 

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. 

**So konfigurieren und testen Sie eine AWS WAF Implementierung zur Erstellung von Accounts zur Betrugsbekämpfung (Fraud Prevention, ACFP)**

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. 

**Fügen Sie die AWS WAF verwaltete Regelgruppe zur Erstellung von Fraud Control-Konten und Fraud Prevention (ACFP) im Zählmodus hinzu**
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

   Fügen Sie die Regelgruppe `AWSManagedRulesACFPRuleSet` für AWS verwaltete Regeln einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert wird. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).
   + Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor: 
     + Geben Sie im Bereich „**Konfiguration der Regelgruppe**“ die Details zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung ein. Die ACFP-Regelgruppe verwendet diese Informationen zur Überwachung der Anmeldeaktivitäten. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md).
     + Öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie aus. **Count** Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ACFP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle. 
   + Positionieren Sie die Regelgruppe so, dass sie anhand Ihrer vorhandenen Regeln im Protection Pack (Web-ACL) bewertet wird, wobei die Priorität numerisch höher ist als die aller Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

     Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie Regeln haben, die bekannten nicht bösartigen Datenverkehr zulassen, können diese Regeln diesen Datenverkehr auch weiterhin zulassen, ohne dass er von der verwalteten ACFP-Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.

1. 

**Implementieren Sie die Anwendungsintegration SDKs**

   Integrieren Sie das AWS WAF JavaScript SDK in die Kontoregistrierungs- und Kontoerstellungspfade Ihres Browsers. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu dieser Empfehlung finden Sie unter[Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md).
**Anmerkung**  
Wenn Sie die Anwendungsintegration nicht verwenden können SDKs, können Sie die ACFP-Regelgruppe testen, indem Sie sie in Ihrem Schutzpaket (Web-ACL) bearbeiten und die Überschreibung entfernen, die Sie der `AllRequests` Regel zugewiesen haben. Dadurch wird die Challenge Aktionseinstellung der Regel aktiviert, um sicherzustellen, dass Anfragen ein gültiges Challenge-Token enthalten.   
*Tun Sie dies zuerst in einer Testumgebung und dann mit größter Sorgfalt in Ihrer Produktionsumgebung.* Dieser Ansatz hat das Potenzial, Benutzer zu blockieren. Wenn der Pfad Ihrer Registrierungsseite beispielsweise keine `GET` text/html Anfragen akzeptiert, kann diese Regelkonfiguration effektiv alle Anfragen auf der Registrierungsseite blockieren. 

1. 

**Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)**

   Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ACFP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen. 
   + Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
   + Informationen zu Amazon Security Lake finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
   + Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

1. 

**Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu**

   Wenn das Schutzpaket (Web-ACL) noch keiner Testressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

1. 

**Überwachen Sie den Datenverkehr und die Übereinstimmung mit den ACFP-Regeln**

   Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete ACFP-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die ACFP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen `action` gesetzt und `ruleGroupList` mit der `overriddenAction` Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben. 

1. 

**Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen**

   Führen Sie einen Versuch zur Kontoerstellung mit manipulierten Testanmeldedaten durch und überprüfen Sie, ob die Regelgruppe erwartungsgemäß mit ihnen übereinstimmt. 

   1. Rufen Sie die Kontoregistrierungsseite Ihrer geschützten Ressource auf und versuchen Sie, ein neues Konto hinzuzufügen. Verwenden Sie das folgende Paar AWS WAF Testanmeldeinformationen und geben Sie einen beliebigen Test ein 
      + Benutzer: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Passwort: `WAF_TEST_CREDENTIAL_PASSWORD`

      Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ACFP verwaltete Regelgruppe fügt der Anfrage zur Kontoerstellung die `awswaf:managed:aws:acfp:signal:credential_compromised` Bezeichnung hinzu, die Sie in den Protokollen sehen können. 

   1. Suchen Sie in den Protokollen Ihres Schutzpakets (Web-ACL) nach der `awswaf:managed:aws:acfp:signal:credential_compromised` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Anfrage zur Erstellung eines Testkontos. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

   Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.

1. 

**Testen Sie bei CloudFront Distributionen, wie die Regelgruppe versucht, mehrere Konten gleichzeitig zu erstellen**

   Führen Sie diesen Test für jedes Erfolgskriterium aus, das Sie für die ACFP-Regelgruppe konfiguriert haben. Warten Sie zwischen den Tests mindestens 30 Minuten.

   1. Identifizieren Sie für jedes Ihrer Erfolgskriterien einen Versuch, ein Konto zu erstellen, der mit diesen Erfolgskriterien in der Antwort erfolgreich sein wird. Führen Sie dann von einer einzigen Kundensitzung aus mindestens 5 erfolgreiche Versuche zur Kontoerstellung in weniger als 30 Minuten durch. Ein Benutzer würde normalerweise nur ein einziges Konto auf Ihrer Site erstellen. 

      Nach der ersten erfolgreichen Kontoerstellung sollte die `VolumetricSessionSuccessfulResponse` Regel beginnen, sie mit den übrigen Antworten auf die Kontoerstellung abzugleichen, sie zu kennzeichnen und zu zählen, je nachdem, welche Regelaktion Sie außer Kraft gesetzt haben. Bei der Regel fehlen aufgrund der Latenz möglicherweise die ersten ein oder zwei Antworten. 

   1. Suchen Sie in den Protokollen Ihres Protection Packs (Web-ACL) nach der `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Webanfragen zur Erstellung von Testkonten. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

   Mit diesen Tests wird überprüft, ob Ihre Erfolgskriterien mit Ihren Antworten übereinstimmen, indem geprüft wird, ob die Anzahl der erfolgreichen Treffer, die nach der Regel zusammengefasst wurden, den Schwellenwert der Regel überschreitet. Wenn Sie nach Erreichen des Schwellenwerts weiterhin Anfragen zur Kontoerstellung aus derselben Sitzung senden, gilt die Regel weiterhin, bis die Erfolgsquote unter den Schwellenwert fällt. Solange der Schwellenwert überschritten ist, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Kontoerstellungsversuche von der Sitzungsadresse aus. 

1. 

**Passen Sie die Behandlung von ACFP-Webanfragen an**

   Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie ACFP-Regeln sie sonst behandeln würden. 

   Beispielsweise können Sie ACFP-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der verwalteten ACFP-Regelgruppe eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ACFP-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. Ein Beispiel finden Sie unter [ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen](waf-acfp-control-example-compromised-credentials.md). 

1. 

**Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ACFP-Regelgruppen**

   Abhängig von Ihrer Situation haben Sie sich möglicherweise dafür entschieden, einige ACFP-Regeln im Zählmodus zu belassen. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Regelgruppenkonfiguration des Protection Packs (Web-ACL). Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.

1. 

**Überwachen und Anpassen**

   Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die ACFP-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an. 

Wenn Sie das AWS WAF JavaScript SDK nach Abschluss des Tests Ihrer ACFP-Regelgruppenimplementierung noch nicht in die Seiten zur Kontoregistrierung und Kontoerstellung Ihres Browsers integriert haben, empfehlen wir Ihnen dringend, dies zu tun. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu dieser Empfehlung finden Sie unter[Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md).

# AWS WAF Beispiele für die Einrichtung von Konten bei der Betrugsbekämpfung (ACFP)
<a name="waf-acfp-control-examples"></a>

Dieser Abschnitt zeigt Beispielkonfigurationen, die den gängigen Anwendungsfällen für die Implementierung von AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) gerecht werden. 

Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an. 

**Anmerkung**  
Sie können JSON-Auflistungen wie die in diesen Beispielen gezeigten über den JSON-Download des Console Protection Pack (Web ACL) oder den JSON-Editor für Regeln oder über den `getWebACL` Vorgang in der APIs Befehlszeilenschnittstelle abrufen. 

**Topics**
+ [ACFP-Beispiel: Einfache Konfiguration](waf-acfp-control-example-basic.md)
+ [ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen](waf-acfp-control-example-compromised-credentials.md)
+ [ACFP-Beispiel: Konfiguration der Reaktionsinspektion](waf-acfp-control-example-response-inspection.md)

# ACFP-Beispiel: Einfache Konfiguration
<a name="waf-acfp-control-example-basic"></a>

Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer verwalteten Regelgruppe zur Erstellung von Fraud Control-Konten zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP). Notieren Sie sich die zusätzlichen `CreationPath` `RegistrationPagePath` Konfigurationen sowie den Payload-Typ und die Informationen, die benötigt werden, um neue Kontoinformationen in der Payload zu finden und diese zu verifizieren. Die Regelgruppe verwendet diese Informationen, um Ihre Anfragen zur Kontoerstellung zu überwachen und zu verwalten. Dieses JSON enthält die automatisch generierten Einstellungen des Schutzpakets (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Schutzpakets (Web-ACL).

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```

# ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen
<a name="waf-acfp-control-example-compromised-credentials"></a>

Standardmäßig `AWSManagedRulesACFPRuleSet` behandelt die Überprüfung der Anmeldeinformationen, die von der Regelgruppe durchgeführt wird, kompromittierte Anmeldeinformationen, indem sie die Anfrage kennzeichnet und blockiert. Weitere Informationen zur Regelgruppe und zum Regelverhalten finden Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).

Um den Benutzer darüber zu informieren, dass die von ihm angegebenen Kontoanmeldeinformationen kompromittiert wurden, können Sie wie folgt vorgehen: 
+ **`SignalCredentialCompromised`Regel überschreiben auf Count** — Dadurch zählt und kennzeichnet die Regel nur übereinstimmende Anfragen.
+ **Fügen Sie eine Label-Abgleichsregel mit benutzerdefinierter Behandlung** hinzu — Konfigurieren Sie diese Regel so, dass sie mit dem ACFP-Label übereinstimmt und Ihre benutzerdefinierte Behandlung durchführt. 

Die folgenden Auflistungen des Protection Packs (Web-ACL) zeigen die von ACFP verwaltete Regelgruppe aus dem vorherigen Beispiel, wobei die `SignalCredentialCompromised` Regelaktion auf Anzahl überschrieben wurde. Wenn diese Regelgruppe bei dieser Konfiguration jede Webanfrage auswertet, die kompromittierte Anmeldeinformationen verwendet, kennzeichnet sie die Anfrage, blockiert sie jedoch nicht. 

Darüber hinaus enthält das Schutzpaket (Web-ACL) jetzt eine benutzerdefinierte Antwort mit dem Namen `aws-waf-credential-compromised` und eine neue Regel mit dem Namen. `AccountSignupCompromisedCredentialsHandling` Bei der Regelpriorität handelt es sich um eine höhere numerische Einstellung als bei der Regelgruppe. Sie wird also nach der Auswertung der Regelgruppe im Schutzpaket (Web-ACL) ausgeführt. Die neue Regel gleicht alle Anfragen ab, die das Label „Kompromittierte Anmeldeinformationen“ der Regelgruppe aufweisen. Wenn die Regel eine Übereinstimmung findet, wendet sie die Block Aktion auf die Anfrage mit dem benutzerdefinierten Antworttext an. Der benutzerdefinierte Antworttext informiert den Endbenutzer darüber, dass seine Anmeldeinformationen kompromittiert wurden, und schlägt eine zu ergreifende Maßnahme vor. 

```
{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}
```

# ACFP-Beispiel: Konfiguration der Reaktionsinspektion
<a name="waf-acfp-control-example-response-inspection"></a>

Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer von AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) verwalteten Regelgruppe, die so konfiguriert ist, dass sie die ursprünglichen Antworten überprüft. Beachten Sie die Konfiguration der Antwortprüfung, in der die Erfolgs- und Antwortstatuscodes angegeben sind. Sie können Erfolgs- und Antworteinstellungen auch auf der Grundlage von JSON-Übereinstimmungen in Header, Body und Body konfigurieren. Dieses JSON enthält die automatisch generierten Einstellungen des Schutzpakets (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Schutzpakets (Web-ACL).

**Anmerkung**  
Die ATP-Antwortprüfung ist nur in Schutzpaketen (Web ACLs) verfügbar, die CloudFront Distributionen schützen.

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401
                    ]
                  }
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
  }
```

# AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)
<a name="waf-atp"></a>

In diesem Abschnitt wird erklärt, was die Verhinderung von Kontoübernahmen (ATP) bei AWS WAF Fraud Control bewirkt.

Kontoübernahmen sind eine illegale Online-Aktivität, bei der sich ein Angreifer unbefugten Zugriff auf das Konto einer anderen Person verschafft. Der Angreifer kann dies auf verschiedene Weise tun, z. B. mit gestohlenen Anmeldeinformationen oder indem er das Passwort des Opfers durch eine Reihe von Versuchen errät. Wenn sich der Angreifer Zugang verschafft, kann er Geld, Informationen oder Dienste des Opfers stehlen. Der Angreifer könnte sich als das Opfer ausgeben, um Zugang zu anderen Konten zu erhalten, die dem Opfer gehören, oder um Zugang zu den Konten anderer Personen oder Organisationen zu erhalten. Außerdem könnten sie versuchen, das Passwort des Benutzers zu ändern, um das Opfer aus seinen eigenen Konten auszusperren. 

Sie können Versuche zur Kontoübernahme überwachen und kontrollieren, indem Sie die ATP-Funktion implementieren. AWS WAF bietet diese Funktion in der Regelgruppe „ AWS Verwaltete Regeln“ `AWSManagedRulesATPRuleSet` und in der zugehörigen Anwendungsintegration an SDKs. 

Die von ATP verwaltete Regelgruppe kennzeichnet und verwaltet Anfragen, die Teil böswilliger Kontoübernahmeversuche sein könnten. Zu diesem Zweck untersucht die Regelgruppe Anmeldeversuche, die Clients an den Anmeldeendpunkt Ihrer Anwendung senden. 
+ **Überprüfung von Anfragen** — ATP bietet Ihnen Transparenz und Kontrolle über ungewöhnliche Anmeldeversuche und Anmeldeversuche, bei denen gestohlene Anmeldeinformationen verwendet werden, um Kontoübernahmen zu verhindern, die zu betrügerischen Aktivitäten führen könnten. ATP überprüft E-Mail- und Passwortkombinationen anhand seiner Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue durchgesickerte Anmeldeinformationen im Dark Web gefunden werden. ATP aggregiert Daten nach IP-Adresse und Clientsitzung, um Clients zu erkennen und zu blockieren, die zu viele Anfragen verdächtiger Art senden. 
+ **Überprüfung der Antworten** — Bei CloudFront Verteilungen untersucht die ATP-Regelgruppe nicht nur eingehende Anmeldeanfragen, sondern auch die Antworten Ihrer Anwendung auf Anmeldeversuche, um Erfolgs- und Fehlschlagquoten nachzuverfolgen. Mithilfe dieser Informationen kann ATP vorübergehend Clientsitzungen oder IP-Adressen blockieren, bei denen zu viele Anmeldefehler aufgetreten sind. AWS WAF führt die Antwortprüfung asynchron durch, sodass die Latenz Ihres Webverkehrs dadurch nicht erhöht wird. 

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

**Anmerkung**  
Die ATP-Funktion ist für Amazon Cognito Cognito-Benutzerpools nicht verfügbar.

**Topics**
+ [AWS WAF ATP-Komponenten](waf-atp-components.md)
+ [Anwendungsintegration SDKs mit ATP verwenden](waf-atp-with-tokens.md)
+ [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md)
+ [Testen und Bereitstellen von ATP](waf-atp-deploying.md)
+ [AWS WAF Beispiele zur Verhinderung von Kontoübernahmen (ATP) bei der Betrugsbekämpfung](waf-atp-control-examples.md)

# AWS WAF ATP-Komponenten
<a name="waf-atp-components"></a>

Die wichtigsten Komponenten von AWS WAF Fraud Control Account Takeover Prevention (ATP) sind die folgenden: 
+ **`AWSManagedRulesATPRuleSet`**— Die Regeln in dieser Regelgruppe „ AWS Verwaltete Regeln“ erkennen, kennzeichnen und behandeln verschiedene Arten von Kontoübernahmeaktivitäten. Die Regelgruppe untersucht `POST` HTTP-Webanfragen, die Clients an den angegebenen Anmeldeendpunkt senden. Bei geschützten CloudFront Verteilungen überprüft die Regelgruppe auch die Antworten, die die Verteilung auf diese Anfragen zurücksendet. Eine Liste der Regeln der Regelgruppe finden Sie unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md). Sie nehmen diese Regelgruppe mithilfe einer Referenzanweisung für verwaltete Regelgruppen in Ihr Schutzpaket (Web-ACL) auf. Informationen zur Verwendung dieser Regelgruppe finden Sie unter [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md). 
**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).
+ **Details zur Anmeldeseite Ihrer Anwendung** — Sie müssen Informationen zu Ihrer Anmeldeseite angeben, wenn Sie die `AWSManagedRulesATPRuleSet` Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen. Auf diese Weise kann die Regelgruppe den Umfang der Anfragen, die sie überprüft, einschränken und die Verwendung von Anmeldeinformationen in Webanfragen ordnungsgemäß überprüfen. Die ATP-Regelgruppe arbeitet mit Benutzernamen im E-Mail-Format. Weitere Informationen finden Sie unter [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md). 
+ **Bei geschützten CloudFront Distributionen: Details darüber, wie Ihre Anwendung auf Anmeldeversuche reagiert — Sie geben Details zu** den Antworten Ihrer Anwendung auf Anmeldeversuche an, und die Regelgruppe verfolgt und verwaltet Clients, die zu viele fehlgeschlagene Anmeldeversuche senden. Informationen zur Konfiguration dieser Option finden Sie unter[Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md). 
+ **JavaScript und Integration mobiler Anwendungen SDKs** — Implementieren Sie AWS WAF JavaScript und Mobile SDKs zusammen mit Ihrer ATP-Implementierung, um alle Funktionen zu nutzen, die die Regelgruppe bietet. Viele der ATP-Regeln verwenden die von der bereitgestellten Informationen SDKs für die Client-Überprüfung auf Sitzungsebene und die Aggregation von Verhalten, die erforderlich sind, um legitimen Client-Verkehr vom Bot-Verkehr zu trennen. Weitere Informationen zu den finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).

Sie können Ihre ATP-Implementierung mit den folgenden Funktionen kombinieren, um Ihre Schutzmaßnahmen zu überwachen, zu optimieren und anzupassen. 
+ **Protokollierung und Metriken** — Sie können Ihren Datenverkehr überwachen und verstehen, wie sich die verwaltete ACFP-Regelgruppe darauf auswirkt, indem Sie Protokolle, Amazon Security Lake-Datenerfassung und CloudWatch Amazon-Metriken für Ihr Schutzpaket (Web-ACL) konfigurieren und aktivieren. Die Labels, die Ihren Webanfragen `AWSManagedRulesATPRuleSet` hinzugefügt werden, sind in den Daten enthalten. Informationen zu den Optionen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md), und [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  Abhängig von Ihren Anforderungen und dem Datenverkehr, den Sie beobachten, möchten Sie Ihre `AWSManagedRulesATPRuleSet`-Implementierung möglicherweise anpassen. Beispielsweise möchten Sie möglicherweise einen Teil des Datenverkehrs von der ATP-Bewertung ausschließen oder die Art und Weise ändern, wie ATP mit einigen der von ihr identifizierten Kontoübernahmeversuche umgeht, indem Sie AWS WAF Funktionen wie Scope-down-Aussagen oder Regeln für den Label-Abgleich verwenden. 
+ **Bezeichnungen und Regeln zum Abgleich von Bezeichnungen** – Für jede der Regeln in `AWSManagedRulesATPRuleSet` können Sie das Blockierverhalten auf „Zählen“ umstellen und dann mit den Bezeichnungen abgleichen, die durch die Regeln hinzugefügt wurden. Verwenden Sie diesen Ansatz, um anzupassen, wie Sie mit Webanfragen umgehen, die von der ATP-verwalteten Regelgruppe identifiziert werden. Weitere Informationen zur Bezeichnung und zur Verwendung von Anweisungen zum Abgleich von Bezeichnungen finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und [Etikettierung von Webanfragen in AWS WAF](waf-labels.md). 
+ **Benutzerdefinierte Anforderungen und Antworten** – Sie können den Anforderungen, die Sie zulassen, benutzerdefinierte Header hinzufügen, und Sie können für blockierte Anforderungen benutzerdefinierte Antworten senden. Dazu kombinieren Sie den Bezeichnungsabgleich mit den AWS WAF -Funktionen für benutzerdefinierte Anforderungen und Antworten. Weitere Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

# Anwendungsintegration SDKs mit ATP verwenden
<a name="waf-atp-with-tokens"></a>

In diesem Abschnitt wird erklärt, wie die Anwendungsintegration SDKs mit ATP verwendet wird.

Die von ATP verwaltete Regelgruppe benötigt die Challenge-Token, die von der Anwendungsintegration SDKs generiert werden. Die Token ermöglichen den vollständigen Schutz, den die Regelgruppe bietet. 

Wir empfehlen dringend, die Anwendungsintegration zu implementieren SDKs, um die ATP-Regelgruppe am effektivsten nutzen zu können. Das Challenge-Skript muss vor der ATP-Regelgruppe ausgeführt werden, damit die Regelgruppe von den Tokens, die das Skript erhält, profitieren kann. Dies geschieht automatisch bei der Anwendungsintegration SDKs. Wenn Sie das nicht verwenden können SDKs, können Sie Ihr Schutzpaket (Web-ACL) alternativ so konfigurieren, dass es die CAPTCHA Regelaktion Challenge oder für alle Anfragen ausführt, die von der ATP-Regelgruppe geprüft werden. Für die Verwendung der CAPTCHA Regelaktion Challenge oder können zusätzliche Gebühren anfallen. Details zu den Preisen finden Sie unter [AWS WAF -Preise](https://aws.amazon.com/waf/pricing/). 

**Funktionen der ATP-Regelgruppe, für die kein Token erforderlich ist**  
Wenn Webanfragen kein Token haben, kann die von ATP verwaltete Regelgruppe die folgenden Arten von Datenverkehr blockieren:
+ Einzelne IP-Adressen, die viele Anmeldeanfragen stellen. 
+ Einzelne IP-Adressen, die in kurzer Zeit viele fehlgeschlagene Anmeldeanfragen stellen. 
+ Anmeldeversuche mit Passwort-Traversal, wobei derselbe Benutzername verwendet wird, aber Passwörter geändert werden. 

**Funktionen der ATP-Regelgruppe, für die ein Token erforderlich ist**  
Die im Challenge-Token enthaltenen Informationen erweitern die Funktionen der Regelgruppe und die allgemeine Sicherheit Ihrer Client-Anwendung. 

Das Token stellt bei jeder Webanforderung Client-Informationen bereit, die es der ATP-Regelgruppe ermöglichen, legitime Clientsitzungen von schlecht funktionierenden Clientsitzungen zu trennen, selbst wenn beide von einer einzigen IP-Adresse stammen. Die Regelgruppe verwendet die Informationen in den Tokens, um das Verhalten von Clientsitzungsanfragen zu aggregieren und so die Erkennung und Abwehr zu optimieren. 

Wenn das Token in Webanfragen verfügbar ist, kann die ATP-Regelgruppe die folgenden zusätzlichen Kategorien von Clients auf Sitzungsebene erkennen und blockieren: 
+ Clientsitzungen, die die von SDKs ihnen verwaltete unbeaufsichtigte Anfrage nicht bestehen. 
+ Clientsitzungen, bei denen Benutzernamen oder Passwörter ausgetauscht werden. Dies wird auch als Credential Stuffing bezeichnet.
+ Clientsitzungen, bei denen wiederholt gestohlene Anmeldeinformationen für die Anmeldung verwendet werden.
+ Clientsitzungen, bei denen lange versucht wird, sich anzumelden. 
+ Kundensitzungen, bei denen viele Anmeldeanfragen gestellt werden. Die ATP-Regelgruppe bietet eine bessere Client-Isolierung als die AWS WAF ratenbasierte Regel, mit der Clients anhand ihrer IP-Adresse blockiert werden können. Die ATP-Regelgruppe verwendet auch einen niedrigeren Schwellenwert. 
+ Client-Sitzungen, die in kurzer Zeit viele fehlgeschlagene Anmeldeanfragen stellen. Diese Funktion ist für geschützte CloudFront Amazon-Distributionen verfügbar.

Weitere Informationen zu den Funktionen von Regelgruppen finden Sie unter[AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).

Informationen zu den finden SDKs Sie unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu AWS WAF Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Informationen zu den Regelaktionen finden Sie unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

# Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)
<a name="waf-atp-rg-using"></a>

In diesem Abschnitt wird erklärt, wie Sie die `AWSManagedRulesATPRuleSet` Regelgruppe hinzufügen und konfigurieren.

Um die von ATP verwaltete Regelgruppe so zu konfigurieren, dass sie Kontoübernahmeaktivitäten in Ihrem Web-Traffic erkennt, geben Sie Informationen darüber an, wie Clients Anmeldeanfragen an Ihre Anwendung senden. Für geschützte CloudFront Amazon-Distributionen geben Sie auch Informationen darüber an, wie Ihre Anwendung auf Anmeldeanfragen reagiert. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe. 

Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unter[AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).

**Anmerkung**  
Die ATP-Datenbank mit gestohlenen Anmeldeinformationen enthält nur Benutzernamen im E-Mail-Format.

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole](waf-using-managed-rule-group.md).

**Folgen Sie den bewährten Methoden**  
Verwenden Sie die ATP-Regelgruppe gemäß den bewährten Methoden unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md). 

**Um die `AWSManagedRulesATPRuleSet` Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu verwenden**

1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket (Web-ACL) hinzu und **bearbeiten Sie** die Regelgruppeneinstellungen vor dem Speichern. `AWSManagedRulesATPRuleSet` 
**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

1. Geben Sie im Bereich **Regelgruppenkonfiguration** die Informationen ein, die die ATP-Regelgruppe zur Prüfung von Anmeldeanfragen verwendet. 

   1. Aktivieren Sie diese Option für **Reguläre Ausdrücke in Pfaden verwenden**, wenn Sie einen Abgleich mit regulären Ausdrücken für die Pfadspezifikationen Ihrer Anmeldeseite durchführen möchten AWS WAF . 

      AWS WAF unterstützt `libpcre` mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

   1. Geben **Sie unter Anmeldepfad** den Pfad des Anmeldeendpunkts für Ihre Anwendung an. Die Regelgruppe untersucht nur HTTP-`POST`-Webanforderungen an den von Ihnen angegebenen Anmelde-Endpunkt.
**Anmerkung**  
Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten`(?-i)`, wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. `/`

      Für die URL könnten Sie `https://example.com/web/login` beispielsweise die Pfadangabe `/web/login` für die Zeichenfolge angeben. Anmeldepfade, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. `/web/login`Entspricht beispielsweise den Anmeldepfaden `/web/login``/web/login/`,`/web/loginPage`, und`/web/login/thisPage`, entspricht aber nicht dem Anmeldepfad `/home/web/login` oder`/website/login`. 

   1. Geben Sie für die **Überprüfung von Anfragen** an, wie Ihre Anwendung Anmeldeversuche akzeptiert, indem Sie den Payload-Typ der Anfrage und die Namen der Felder im Anfragetext angeben, in denen der Benutzername und das Passwort angegeben werden. Ihre Angabe der Feldnamen hängt vom Payload-Typ ab.
      + **JSON-Nutzdatentyp** — Geben Sie die Feldnamen in der JSON-Zeigersyntax an. Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScriptObject Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

        Für die folgende Beispiel-JSON-Nutzlast lautet die Feldspezifikation für den Benutzernamen `/login/username` und die Feldspezifikation für das Passwort. `/login/password`

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **Payload-Typ FORM\$1ENCODED** — Verwenden Sie die HTML-Formularnamen.

        Für ein HTML-Formular mit Eingabeelementen mit dem Namen `username1` und lautet `username1` die Feldspezifikation für den Benutzernamen und `password1` die Feldspezifikation für das Passwort. `password1`

   1. Wenn Sie CloudFront Amazon-Distributionen schützen, geben Sie unter **Antwortprüfung** an, wie Ihre Anwendung bei den Antworten auf Anmeldeversuche auf Erfolg oder Misserfolg hinweist. 
**Anmerkung**  
ATP Response Inspection ist nur in Schutzpaketen (Web ACLs) verfügbar, die CloudFront Distributionen schützen.

      Geben Sie eine einzelne Komponente in der Anmeldeantwort an, die ATP überprüfen soll. AWS WAF Kann bei den Komponententypen **Body** und **JSON** die ersten 65.536 Byte (64 KB) der Komponente untersuchen. 

      Geben Sie Ihre Prüfkriterien für den Komponententyp an, wie in der Schnittstelle angegeben. Sie müssen sowohl Erfolgs- als auch Fehlschlagskriterien angeben, nach denen die Komponente geprüft werden soll. 

      Nehmen wir zum Beispiel an, Ihre Anwendung gibt den Status eines Anmeldeversuchs im Statuscode der Antwort an und verwendet ihn `200 OK` für Erfolg `401 Unauthorized` und/oder `403 Forbidden` für Fehlschlag. Sie würden den **Komponententyp** der Antwortprüfung auf **Statuscode** setzen und dann in das Textfeld **Erfolg** `200` und im Textfeld **Fehler** den Text in `401` der ersten Zeile und in `403` der zweiten Zeile eingeben.

      Die ATP-Regelgruppe zählt nur Antworten, die Ihren Erfolgs- oder Fehlschlagprüfungskriterien entsprechen. Die Regelgruppenregeln gelten für Clients, bei denen die Anzahl der gezählten Antworten zu hoch ist. Stellen Sie sicher, dass Sie vollständige Informationen zu erfolgreichen und fehlgeschlagenen Anmeldeversuchen angeben, damit sich die Regelgruppenregeln korrekt verhalten. 

      Die Regeln zur Überprüfung von Login-Antworten finden Sie `VolumetricSessionFailedLoginResponseHigh` in der Regelliste unter[AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md). `VolumetricIpFailedLoginResponseHigh` 

1. Geben Sie jede zusätzliche Konfiguration an, die für die Regelgruppe benötigt wird. 

   Sie können den Umfang der Anforderungen, die von der Regelgruppe geprüft werden, weiter eingrenzen, indem Sie der Anweisung für die verwaltete Regelgruppe eine Eingrenzungsanweisung hinzufügen. So können Sie beispielsweise nur Anforderungen mit einem bestimmten Abfrageargument oder Cookie prüfen. Die Regelgruppe untersucht nur `POST` HTTP-Anfragen an Ihren angegebenen Anmeldeendpunkt, die den Kriterien in Ihrer Scope-down-Erklärung entsprechen. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

1. Speichern Sie Ihre Änderungen am Schutzpaket (Web-ACL). 

Bevor Sie Ihre ATP-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Weitere Informationen finden Sie im folgenden Abschnitt. 

# Testen und Bereitstellen von ATP
<a name="waf-atp-deploying"></a>

Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer ATP-Implementierung ( AWS WAF Fraud Control Account Takeover Prevention) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab. 

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren, die Sie unter finden[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Ihre ATP-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. 

AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ATP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie ein Testschutzpaket (Web-ACL) für die Verwendung der von ATP verwalteten Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann einen Anmeldeversuch mit diesen Testanmeldedaten durch. Sie überprüfen, ob Ihre Web-ACL den Versuch ordnungsgemäß verwaltet hat, indem Sie die CloudWatch Amazon-Metriken für den Anmeldeversuch überprüfen. 

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. 

**Um eine ATP-Implementierung ( AWS WAF Fraud Control Account Takeover Prevention) zu konfigurieren und zu testen**

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. 

**Fügen Sie die verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen ( AWS WAF Fraud Control Account Takeover Prevention, ATP) im Zählmodus hinzu**
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

   Fügen Sie die Regelgruppe `AWSManagedRulesATPRuleSet` für AWS verwaltete Regeln einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert wird. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).
   + Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor: 
     + Geben Sie im Bereich **Rule group configuration** (Regelgruppenkonfiguration) die Details der Anmeldeseite Ihrer Anwendung an. Die ATP-Regelgruppe verwendet diese Informationen, um Anmeldeaktivitäten zu überwachen. Weitere Informationen finden Sie unter [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md).
     + Öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie **Count**. Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ATP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle. 
   + Positionieren Sie die Regelgruppe so, dass sie anhand Ihrer vorhandenen Regeln im Protection Pack (Web-ACL) bewertet wird, wobei die Priorität numerisch höher ist als die aller Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

     Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie über Regeln verfügen, die bekannten nicht böswilligen Datenverkehr zulassen, lassen diese derartigen Datenverkehr weiterhin zu, ohne dass er von der durch ATP verwalteten Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.

1. 

**Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)**

   Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ATP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen. 
   + Weitere Informationen zum Konfigurieren und Verwenden der Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
   + Informationen zu Amazon Security Lake finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
   + Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

1. 

**Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu**

   Wenn das Schutzpaket (Web-ACL) noch keiner Testressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

1. 

**Überwachen des Datenverkehrs und der ATP-Regelübereinstimmungen**

   Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass durch die Regeln der durch ATP verwalteten Regelgruppe Bezeichnungen zu übereinstimmenden Webanforderungen hinzugefügt werden. Sie können die Labels in den Protokollen und die ATP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, im Feld mit auf Anzahl `action` gesetzt und `ruleGroupList` mit der `overriddenAction` Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben. 

1. 

**Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen**

   Führen Sie einen Anmeldeversuch durch, bei dem Sie kompromittierte Anmeldeinformationen testen, und überprüfen Sie, ob die Regelgruppe wie erwartet mit ihnen übereinstimmt. 

   1. Melden Sie sich mit dem folgenden AWS WAF Test-Anmeldeinformationspaar auf der Anmeldeseite Ihrer geschützten Ressource an: 
      + Benutzer: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Passwort: `WAF_TEST_CREDENTIAL_PASSWORD`

      Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ATP verwaltete Regelgruppe fügt der Anmeldeanforderung die `awswaf:managed:aws:atp:signal:credential_compromised` Bezeichnung hinzu, die Sie in den Protokollen sehen können. 

   1. Suchen Sie in den Protokollen Ihres Protection Packs (Web-ACL) nach der `awswaf:managed:aws:atp:signal:credential_compromised` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Webanfragen zur Testanmeldung. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

   Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.

1. 

**Testen Sie bei CloudFront Distributionen die Verwaltung von Anmeldefehlern durch die Regelgruppe**

   

   1. Führen Sie für jedes Fehlerreaktionskriterium, das Sie für die ATP-Regelgruppe konfiguriert haben, einen Test durch. Warten Sie zwischen den Tests mindestens 10 Minuten.

      Um ein einzelnes Fehlschlagkriterium zu testen, identifizieren Sie in der Antwort einen Anmeldeversuch, der mit diesen Kriterien fehlschlagen wird. Führen Sie dann von einer einzigen Client-IP-Adresse aus mindestens 10 fehlgeschlagene Anmeldeversuche in weniger als 10 Minuten durch.

      Nach den ersten 6 Fehlschlägen sollte die Regel für volumetrische fehlgeschlagene Anmeldeversuche mit den übrigen Versuchen vergleichen und diese kennzeichnen und zählen. Aufgrund der Latenz kann es sein, dass die Regel die ersten ein oder zwei nicht berücksichtigt. 

   1. Suchen Sie in den Protokollen Ihres Protection Packs (Web-ACL) nach der `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Webanfragen zur Testanmeldung. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

   Diese Tests überprüfen, ob Ihre Fehlerkriterien Ihren Antworten entsprechen, indem geprüft wird, ob die Anzahl der fehlgeschlagenen Anmeldungen die Schwellenwerte für die Regel überschreitet. `VolumetricIpFailedLoginResponseHigh` Wenn Sie nach Erreichen der Schwellenwerte weiterhin Anmeldeanfragen von derselben IP-Adresse senden, gilt die Regel weiterhin, bis die Ausfallrate unter den Schwellenwert fällt. Solange die Schwellenwerte überschritten werden, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen von der IP-Adresse aus. 

1. 

**Anpassen der Bearbeitung von ATP-Webanforderungen**

   Fügen Sie bei Bedarf Ihre eigenen Regeln hinzu, die Anforderungen explizit zulassen oder blockieren. Dadurch ändern Sie, wie ATP-Regeln andernfalls damit umgehen würden. 

   Sie können beispielsweise ATP-Bezeichnungen verwenden, um Anforderungen zuzulassen oder zu blockieren oder die Anforderungsbehandlung anzupassen. Sie können nach der durch ATP verwalteten Regelgruppe eine Übereinstimmungsregel für die Bezeichnung hinzufügen, um entsprechend bezeichnete Anforderungen für die Behandlung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ATP-Regeln im Zählmodus und die Entscheidungen zur Anforderungsbehandlung in Ihrer benutzerdefinierten Regel. Ein Beispiel finden Sie unter [ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen](waf-atp-control-example-user-agent-exception.md). 

1. 

**Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ATP-Regelgruppen**

   Abhängig von Ihrer Situation haben Sie möglicherweise entschieden, dass Sie einige ATP-Regeln im Zählmodus belassen möchten. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Regelgruppenkonfiguration des Protection Packs (Web-ACL). Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.

1. 

**Überwachen und Anpassen**

   Damit Webanforderungen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau überwachen, nachdem Sie die gewünschte ATP-Funktionalität aktiviert haben. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an. 

Wenn Sie mit dem Testen Ihrer ATP-Regelgruppenimplementierung fertig sind, empfehlen wir Ihnen dringend, das AWS WAF JavaScript SDK in Ihre Browser-Anmeldeseite zu integrieren, falls Sie dies noch nicht getan haben, um die Erkennungsmöglichkeiten zu verbessern. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu dieser Empfehlung finden Sie unter[Anwendungsintegration SDKs mit ATP verwenden](waf-atp-with-tokens.md).

# AWS WAF Beispiele zur Verhinderung von Kontoübernahmen (ATP) bei der Betrugsbekämpfung
<a name="waf-atp-control-examples"></a>

In diesem Abschnitt finden Sie Beispielkonfigurationen für häufige Anwendungsfälle für Implementierungen der Verhinderung der Kontoübernahme (ATP) zur Betrugskontrolle mit AWS WAF . 

Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an. 

**Anmerkung**  
Sie können JSON-Auflistungen wie die in diesen Beispielen gezeigten über den JSON-Download des Console Protection Pack (Web ACL) oder den `getWebACL` JSON-Editor für Regeln oder über die APIs Befehlszeilenschnittstelle abrufen. 

**Topics**
+ [ATP-Beispiel: Einfache Konfiguration](waf-atp-control-example-basic.md)
+ [ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen](waf-atp-control-example-user-agent-exception.md)
+ [ATP-Beispiel: Konfiguration der Reaktionsinspektion](waf-atp-control-example-response-inspection.md)

# ATP-Beispiel: Einfache Konfiguration
<a name="waf-atp-control-example-basic"></a>

Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer verwalteten Regelgruppe zur Verhinderung von Benutzerkonten ( AWS WAF Fraud Control Account Takeover Prevention, ATP). Beachten Sie die zusätzliche Konfiguration der Anmeldeseite, die der Regelgruppe die Informationen gibt, die sie zur Überwachung und Verwaltung Ihrer Anmeldeanfragen benötigt. Dieses JSON enthält die automatisch generierten Einstellungen des Schutzpakets (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Schutzpakets (Web-ACL).

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen
<a name="waf-atp-control-example-user-agent-exception"></a>

Standardmäßig werden bei den Anmeldeüberprüfungen, die von der Regelgruppe `AWSManagedRulesATPRuleSet` durchgeführt werden, Webanforderungen wie folgt behandelt: 
+ **Fehlende Anmeldeinformationen**: Anforderung wird beschriftet und blockiert.
+ **Kompromittierte Anmeldeinformationen**: Anforderung wird beschriftet, aber nicht blockiert oder gezählt.

Weitere Informationen zur Regelgruppe und zum Regelverhalten finden Sie unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).

Sie können eine benutzerdefinierte Behandlung für Webanforderungen mit fehlenden oder kompromittierten Anmeldeinformationen hinzufügen, indem Sie wie folgt vorgehen: 
+ **`MissingCredential`Regel überschreiben bis Count** — Diese Regelaktionsüberschreibung bewirkt, dass die Regel nur übereinstimmende Anfragen zählt und kennzeichnet.
+ **Fügen Sie eine Regel zur Zuordnung von Bezeichnungen mit benutzerdefinierter Behandlung** hinzu — Konfigurieren Sie diese Regel so, dass sie mit beiden ATP-Bezeichnungen übereinstimmt und Ihre benutzerdefinierte Behandlung durchführt. Beispielsweise können Sie den Kunden auf Ihre Anmeldeseite umleiten.

Die folgende Regel zeigt die von ATP verwaltete Regelgruppe aus dem vorherigen Beispiel, wobei die `MissingCredential` Regelaktion überschrieben wurde, sodass sie zählt. Dadurch wendet die Regel ihre Bezeichnung auf übereinstimmende Anfragen an und zählt dann nur die Anfragen, anstatt sie zu blockieren. 

```
"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                  {
                    "AWSManagedRulesATPRuleSet": {
                      "LoginPath": "/web/login",
                      "RequestInspection": {
                        "PayloadType": "JSON",
                        "UsernameField": {
                          "Identifier": "/form/username"
                        },
                        "PasswordField": {
                          "Identifier": "/form/password"
                        }
                      },
                      "EnableRegexInPath": false
                    }
                  }
                ]
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "RuleActionOverrides": [
                  {
                    "ActionToUse": {
                      "Count": {}
                    },
                    "Name": "MissingCredential"
                  }
                ],
                "ExcludedRules": []
            }
        }
    }
],
```

Wenn die Regelgruppe mit dieser Konfiguration eine Webanforderung mit fehlenden oder kompromittierten Anmeldeinformationen auswertet, beschriftet sie die Anforderung, blockiert sie aber nicht. 

Die Priorität der folgenden Regel ist numerisch höher als die der vorherigen Regelgruppe. AWS WAF wertet Regeln in numerischer Reihenfolge aus, beginnend mit der niedrigsten Zahl, sodass diese Regel erst nach der Regelgruppenauswertung ausgewertet wird. Die Regel ist so konfiguriert, dass sie mit einer der Bezeichnungen der Anmeldeinformationen übereinstimmt und bei entsprechenden Anfragen eine benutzerdefinierte Antwort sendet. 

```
"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }
```

# ATP-Beispiel: Konfiguration der Reaktionsinspektion
<a name="waf-atp-control-example-response-inspection"></a>

Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer verwalteten ATP-Regelgruppe ( AWS WAF Fraud Control Account Takeover Prevention), die so konfiguriert ist, dass sie die ursprünglichen Antworten überprüft. Beachten Sie die Konfiguration der Antwortprüfung, in der Erfolgs- und Antwortstatuscodes angegeben sind. Sie können Erfolgs- und Antworteinstellungen auch auf der Grundlage von JSON-Übereinstimmungen in Header, Body und Body konfigurieren. Dieses JSON enthält die automatisch generierten Einstellungen des Protection Packs (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Protection Packs (Web-ACL).

**Anmerkung**  
Die ATP-Antwortprüfung ist nur in Schutzpaketen (Web ACLs) verfügbar, die CloudFront Distributionen schützen.

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "ResponseInspection": {
                                "StatusCode": {
                                  "SuccessCodes": [
                                    200
                                  ],
                                  "FailureCodes": [
                                    401
                                  ]
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# AWS WAF Bot-Steuerung
<a name="waf-bot-control"></a>

In diesem Abschnitt wird erklärt, was Bot Control macht.

Mit Bot Control können Sie Bots wie Scraper, Scanner, Crawler, Statusmonitore und Suchmaschinen auf einfache Weise überwachen, blockieren oder die Geschwindigkeit einschränken. Wenn Sie die gezielte Inspektionsebene der Regelgruppe verwenden, können Sie auch Bots herausfordern, die sich nicht selbst identifizieren, wodurch es für bösartige Bots schwieriger und teurer wird, gegen Ihre Website vorzugehen. Sie können Ihre Anwendungen allein mit der verwalteten Regelgruppe Bot Control oder in Kombination mit anderen Regelgruppen für AWS verwaltete Regeln und Ihren eigenen benutzerdefinierten AWS WAF Regeln schützen. 

Bot Control umfasst ein Konsolen-Dashboard, das anhand des Samplings von Webanforderungen anzeigt, wie viel von Ihrem aktuellen Datenverkehr von Bots stammt. Wenn Sie Ihrem Schutzpaket (Web-ACL) die verwaltete Regelgruppe von Bot Control hinzugefügt haben, können Sie Maßnahmen gegen Bot-Verkehr ergreifen und in Echtzeit detaillierte Informationen über den allgemeinen Bot-Verkehr erhalten, der zu Ihren Anwendungen gelangt. 

**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Die verwaltete Regelgruppe Bot Control bietet eine grundlegende, gemeinsame Schutzebene, die selbstidentifizierende Bots kennzeichnet, allgemein erwünschte Bots verifiziert und Bot-Signaturen mit hoher Zuverlässigkeit erkennt. Auf diese Weise können Sie gängige Kategorien von Bot-Traffic überwachen und kontrollieren. 

Die Regelgruppe Bot Control bietet außerdem eine gezielte Schutzstufe, die die Erkennung komplexer Bots, die sich nicht selbst identifizieren, ermöglicht. Gezielte Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren. Darüber hinaus bieten gezielte Schutzmaßnahmen eine optionale automatisierte, maschinelle Lernanalyse der Besucherstatistiken auf Websites, um Aktivitäten im Zusammenhang mit Bots zu erkennen. Wenn Sie maschinelles Lernen aktivieren, AWS WAF verwendet es Statistiken über den Webseitenverkehr wie Zeitstempel, Browsereigenschaften und zuvor besuchte URLs, um das maschinelle Lernmodell von Bot Control zu verbessern. 

Wenn eine Webanfrage anhand der von Bot Control verwalteten Regelgruppe AWS WAF bewertet wird, fügt die Regelgruppe den Anfragen, die sie als bot-bezogen erkennt, Labels hinzu, z. B. die Bot-Kategorie und den Bot-Namen. Sie können diese Bezeichnungen in Ihren eigenen AWS WAF Regeln abgleichen, um die Handhabung anzupassen. Die Labels, die von der verwalteten Regelgruppe Bot Control generiert werden, sind in den CloudWatch Amazon-Metriken und Ihren Protection Pack-Protokollen (Web-ACL) enthalten. 

Sie können AWS Firewall Manager AWS WAF Richtlinien auch verwenden, um die von Bot Control verwaltete Regelgruppe für Ihre Anwendungen in mehreren Konten bereitzustellen, die Teil Ihrer Organisation sind AWS Organizations.

Weitere Informationen zur verwalteten Regelgruppe von Bot Control finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 

## Web-Bot-Authentifizierung für KI-Agenten
<a name="waf-bot-ai-agents"></a>

AWS WAF Bot Control unterstützt jetzt die Web-Bot-Authentifizierung (WBA) als kryptografische Überprüfungsmethode für Bots und KI-Agenten, die auf Ihre CloudFront Distributionen zugreifen. Mit dieser Funktion können legitime KI-Crawler und -Agenten ihre Identität nachweisen, ohne dass herkömmliche Challenge-Response-Mechanismen erforderlich sind.

Versionsanforderung: Version\$14.0 oder höher`AWSManagedRulesBotControlRuleSet`. (Die statische Version muss explizit ausgewählt werden.) Eine ausführliche Taxonomie von Bezeichnungen und das Verhalten von Regeln finden Sie unter: 
+ [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md)
+ [Etikettierung von Webanfragen in AWS WAF](waf-labels.md)
+ [AWS Changelog für verwaltete Regeln](aws-managed-rule-groups-changelog.md)

# AWS WAF Bot Control-Komponenten
<a name="waf-bot-control-components"></a>

Die Hauptkomponenten einer Bot-Control-Implementierung sind die folgenden:
+ **`AWSManagedRulesBotControlRuleSet`**— Die von Bot Control verwaltete Regelgruppe, deren Regeln verschiedene Kategorien von Bots erkennen und behandeln. Diese Regelgruppe fügt den Webanforderungen, die sie als Bot-Datenverkehr erkennt, Bezeichnungen hinzu. 
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Die verwaltete Regelgruppe von Bot Control bietet zwei Schutzstufen, aus denen Sie wählen können: 
  + **Allgemein** — Erkennt eine Vielzahl von sich selbst identifizierenden Bots, z. B. Web-Scraping-Frameworks, Suchmaschinen und automatisierte Browser. Bot-Control-Schutzmaßnahmen auf dieser Ebene identifizieren häufig auftretende Bots mithilfe herkömmlicher Bot-Erkennungstechniken, wie z. B. der Analyse statischer Anforderungsdaten. Die Regeln kennzeichnen den Traffic dieser Bots und blockieren diejenigen, die sie nicht verifizieren können. 
  + **Gezielt** — Beinhaltet Schutzmaßnahmen auf allgemeiner Ebene und bietet eine gezielte Erkennung für ausgeklügelte Bots, die sich nicht selbst identifizieren. Gezielte Schutzmaßnahmen reduzieren Bot-Aktivitäten mithilfe einer Kombination aus Ratenbegrenzung und CAPTCHA sowie Browser-Herausforderungen im Hintergrund. 
    + **`TGT_`**— Regeln, die gezielten Schutz bieten, haben Namen, die mit beginnen. `TGT_` Alle gezielten Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren. 
    + **`TGT_ML_`**— Gezielte Schutzregeln, die maschinelles Lernen verwenden, haben Namen, die mit beginnen. `TGT_ML_` Diese Regeln verwenden automatisierte, maschinelle Lernanalysen der Besucherstatistiken von Websites, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet. AWS WAF analysiert Statistiken über Ihren Website-Verkehr wie Zeitstempel, Browsereigenschaften und die zuvor besuchte URL, um das maschinelle Lernmodell von Bot Control zu verbessern. Funktionen für maschinelles Lernen sind standardmäßig aktiviert, Sie können sie jedoch in Ihrer Regelgruppenkonfiguration deaktivieren. Wenn maschinelles Lernen deaktiviert ist, werden diese Regeln AWS WAF nicht ausgewertet. 

  Einzelheiten, einschließlich Informationen zu den Regeln der Regelgruppe, finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 

  Sie nehmen diese Regelgruppe mithilfe einer Referenzerklärung für verwaltete Regelgruppen in Ihr Schutzpaket (Web-ACL) auf und geben die Inspektionsebene an, die Sie verwenden möchten. Für die Zielstufe geben Sie auch an, ob maschinelles Lernen aktiviert werden soll. Weitere Informationen zum Hinzufügen dieser verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen der von AWS WAF Bot Control verwalteten Regelgruppe zu Ihrer Web-ACL](waf-bot-control-rg-using.md). 
+ **Bot Control-Dashboard** — Das Bot-Monitoring-Dashboard für Ihr Schutzpaket (Web-ACL), das auf der Registerkarte Bot-Kontrolle des Schutzpakets (Web-ACL) verfügbar ist. Verwenden Sie dieses Dashboard, um Ihren Datenverkehr zu überwachen und zu ermitteln, wie viel davon von den verschiedenen Arten von Bots stammt. Dies kann ein Ausgangspunkt für die Anpassung Ihres Bot-Managements sein, wie in diesem Thema beschrieben. Sie können es auch verwenden, um Ihre Änderungen zu überprüfen und die Aktivität verschiedener Bots und Bot-Kategorien zu überwachen. 
+ **Dashboard zur KI-Verkehrsanalyse** — Spezialisiertes Dashboard für detaillierte Analysen der Aktivitäten von KI-Bot und Agenten, verfügbar auf der Registerkarte KI Traffic Analysis im Protection Pack (Web-ACL). Bietet erweiterte Einblicke in KI-spezifische Verkehrsmuster, Bot-Absichten und Zugriffsverhalten, die über die Standardmetriken von Bot Control hinausgehen.
+ **JavaScript und Integration mobiler Anwendungen SDKs** — Sie sollten die AWS WAF JavaScript und mobile Version implementieren, SDKs wenn Sie die gezielte Schutzstufe der Regelgruppe Bot Control verwenden. Die gezielten Regeln verwenden Informationen, die SDKs in den Client-Token enthalten sind, um die Erkennung bösartiger Bots zu verbessern. Weitere Informationen zu den finden SDKs Sie unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).
+ **Protokollierung und Metriken** — Sie können Ihren Bot-Verkehr überwachen und verstehen, wie die von Bot Control verwaltete Regelgruppe Ihren Datenverkehr bewertet und verarbeitet, indem Sie die Daten untersuchen, die für Ihr Protection Pack (Web ACL) anhand von AWS WAF Protokollen, Amazon Security Lake und Amazon CloudWatch gesammelt wurden. Die Labels, die Bot Control Ihren Webanfragen hinzufügt, sind in den Daten enthalten. Informationen zu diesen Optionen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md), und [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) . 

  Abhängig von Ihren Anforderungen und dem Datenverkehr, den Sie beobachten, möchten Sie Ihre Bot-Control-Implementierung möglicherweise anpassen. Im Folgenden sind einige der am häufigsten verwendeten Optionen aufgeführt.
+ **Scope-down-Aussagen** — Sie können einen Teil des Datenverkehrs von den Webanfragen ausschließen, die von der von Bot Control verwalteten Regelgruppe ausgewertet werden, indem Sie der Referenzanweisung für die verwaltete Regelgruppe von Bot Control eine Scopedown-Anweisung hinzufügen. Jede verschachtelbare Regelanweisung kann eine Eingrenzungsanweisung sein. Wenn eine Anfrage nicht mit der Scopedown-Aussage übereinstimmt, wird sie als nicht mit der Regelgruppen-Referenzaussage übereinstimmend AWS WAF bewertet, ohne sie anhand der Regelgruppe auszuwerten. Weitere Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

  Ihre Kosten für die Verwendung der von Bot Control verwalteten Regelgruppe steigen mit der Anzahl der Webanfragen, die AWS WAF anhand dieser Regelgruppe ausgewertet werden. Sie können dazu beitragen, diese Kosten zu senken, indem Sie eine Scopedown-Erklärung verwenden, um die Anfragen, die die Regelgruppe auswertet, einzuschränken. Sie könnten beispielsweise zulassen, dass Ihre Homepage für alle geladen wird, auch für Bots, und dann die Regelgruppenregeln auf Anfragen anwenden, die an Ihre Anwendung gehen APIs oder einen bestimmten Inhaltstyp enthalten. 
+ **Labels und Regeln für den Label-Abgleich** — Sie können anpassen, wie die Regelgruppe Bot Control mit einem Teil des Bot-Traffics umgeht, den sie anhand der AWS WAF Label-Match-Rule-Anweisung identifiziert. Die Regelgruppe Bot Control fügt Ihren Webanfragen Labels hinzu. Sie können nach der Bot-Control-Regelgruppe Regeln für den Label-Abgleich hinzufügen, die den Bezeichnungen von Bot Control entsprechen, und die Behandlung anwenden, die Sie benötigen. Weitere Informationen zur Bezeichnung und zur Verwendung von Anweisungen zum Abgleich von Bezeichnungen finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und [Etikettierung von Webanfragen in AWS WAF](waf-labels.md). 
+ **Benutzerdefinierte Anfragen und Antworten** — Sie können benutzerdefinierte Header zu Anfragen hinzufügen, die Sie zulassen, und Sie können benutzerdefinierte Antworten auf Anfragen senden, die Sie blockieren, indem Sie den Label-Abgleich mit den Funktionen für AWS WAF benutzerdefinierte Anfragen und Antworten kombinieren. Weitere Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

# Anwendungsintegration SDKs mit Bot Control verwenden
<a name="waf-bot-with-tokens"></a>

In diesem Abschnitt wird erklärt, wie die Anwendungsintegration SDKs mit Bot Control verwendet wird.

Die meisten gezielten Schutzmaßnahmen der von Bot Control verwalteten Regelgruppe erfordern die Challenge-Token, die von der Anwendungsintegration SDKs generiert werden. Bei den Regeln, für die bei der Anfrage kein Challenge-Token erforderlich ist, handelt es sich um die allgemeinen Schutzmaßnahmen von Bot Control und die Regeln für maschinelles Lernen auf zielgerichteter Ebene. Eine Beschreibung der Schutzstufen und Regeln in der Regelgruppe finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 

Wir empfehlen dringend, die Anwendungsintegration zu implementieren SDKs, um die Bot-Control-Regelgruppe am effektivsten nutzen zu können. Das Challenge-Skript muss vor der Bot Control-Regelgruppe ausgeführt werden, damit die Regelgruppe von den Tokens, die das Skript erhält, profitieren kann. 
+ Bei der Anwendungsintegration SDKs wird das Skript automatisch ausgeführt.
+ Wenn Sie das nicht verwenden können SDKs, können Sie Ihr Schutzpaket (Web-ACL) so konfigurieren, dass es die CAPTCHA Regelaktion Challenge oder für alle Anfragen ausführt, die von der Bot Control-Regelgruppe geprüft werden. Für die Verwendung der CAPTCHA Regelaktion Challenge oder können zusätzliche Gebühren anfallen. Details zu den Preisen finden Sie unter [AWS WAF -Preise](https://aws.amazon.com/waf/pricing/). 

Wenn Sie die Anwendungsintegration SDKs in Ihren Clients implementieren oder eine der Regelaktionen verwenden, die das Challenge-Skript ausführt, erweitern Sie die Funktionen der Regelgruppe und die allgemeine Sicherheit Ihrer Client-Anwendung. 

Tokens stellen bei jeder Webanforderung Client-Informationen bereit. Diese zusätzlichen Informationen ermöglichen es der Regelgruppe Bot Control, legitime Clientsitzungen von Clientsitzungen mit schlechtem Verhalten zu trennen, selbst wenn beide von einer einzigen IP-Adresse stammen. Die Regelgruppe verwendet die Informationen in den Tokens, um das Verhalten von Client-Sitzungsanfragen zu aggregieren und so die Erkennung und Abwehr zu optimieren, die die angestrebte Schutzstufe bietet. 

Informationen zu den finden Sie unter. SDKs [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md) Informationen zu AWS WAF Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Informationen zu den Regelaktionen finden Sie unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).

# Hinzufügen der von AWS WAF Bot Control verwalteten Regelgruppe zu Ihrer Web-ACL
<a name="waf-bot-control-rg-using"></a>

In diesem Abschnitt wird erklärt, wie Sie die `AWSManagedRulesBotControlRuleSet` Regelgruppe hinzufügen und konfigurieren.

Für die von Bot Control verwaltete Regelgruppe `AWSManagedRulesBotControlRuleSet` ist eine zusätzliche Konfiguration erforderlich, um die Schutzstufe zu identifizieren, die Sie implementieren möchten. 

Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole](waf-using-managed-rule-group.md).

**Folgen Sie den bewährten Methoden**  
Verwenden Sie die Regelgruppe Bot Control gemäß den bewährten Methoden unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md). 

**Um die `AWSManagedRulesBotControlRuleSet` Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu verwenden**

1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket (Web-ACL) hinzu. `AWSManagedRulesBotControlRuleSet` Die vollständige Beschreibung der Regelgruppe finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

   Wenn Sie die Regelgruppe hinzufügen, bearbeiten Sie sie, um die Konfigurationsseite für die Regelgruppe zu öffnen. 

1. Wählen Sie auf der Konfigurationsseite der Regelgruppe im Bereich **Inspektionsebene** die Inspektionsebene aus, die Sie verwenden möchten. 
   + **Häufig** — Erkennt eine Vielzahl von sich selbst identifizierenden Bots, z. B. Web-Scraping-Frameworks, Suchmaschinen und automatisierte Browser. Bot-Control-Schutzmaßnahmen auf dieser Ebene identifizieren häufig auftretende Bots mithilfe herkömmlicher Bot-Erkennungstechniken, wie z. B. der Analyse statischer Anforderungsdaten. Die Regeln kennzeichnen den Traffic dieser Bots und blockieren diejenigen, die sie nicht verifizieren können. 
   + **Gezielt** — Beinhaltet Schutzmaßnahmen auf allgemeiner Ebene und bietet eine gezielte Erkennung für ausgeklügelte Bots, die sich nicht selbst identifizieren. Gezielte Schutzmaßnahmen reduzieren Bot-Aktivitäten mithilfe einer Kombination aus Ratenbegrenzung und CAPTCHA sowie Browser-Herausforderungen im Hintergrund. 
     + **`TGT_`**— Regeln, die gezielten Schutz bieten, haben Namen, die mit beginnen. `TGT_` Alle gezielten Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren. 
     + **`TGT_ML_`**— Gezielte Schutzregeln, die maschinelles Lernen verwenden, haben Namen, die mit beginnen. `TGT_ML_` Diese Regeln verwenden automatisierte, maschinelle Lernanalysen der Besucherstatistiken von Websites, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet. AWS WAF analysiert Statistiken über Ihren Website-Verkehr wie Zeitstempel, Browsereigenschaften und die zuvor besuchte URL, um das maschinelle Lernmodell von Bot Control zu verbessern. Funktionen für maschinelles Lernen sind standardmäßig aktiviert, Sie können sie jedoch in Ihrer Regelgruppenkonfiguration deaktivieren. Wenn maschinelles Lernen deaktiviert ist, werden diese Regeln AWS WAF nicht ausgewertet. 

1. Wenn Sie die gezielte Schutzstufe verwenden und maschinelles Lernen (ML) nicht verwenden möchten, AWS WAF um den Webverkehr auf verteilte, koordinierte Bot-Aktivitäten hin zu analysieren, deaktivieren Sie die Option für maschinelles Lernen. Maschinelles Lernen ist für die Bot-Kontrollregeln erforderlich, deren Namen mit beginnen`TGT_ML_`. Einzelheiten zu diesen Regeln finden Sie unter[Liste der Bot-Control-Regeln](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

1. Fügen Sie eine Erklärung zum Umfang der Regelgruppe hinzu, in der die Kosten für deren Verwendung aufgeführt sind. Eine Scope-down-Erklärung schränkt die Anzahl der Anfragen ein, die die Regelgruppe prüft. Beginnen Sie beispielsweise bei Anwendungsfällen mit und. [Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden](waf-bot-control-example-scope-down-login.md) [Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte](waf-bot-control-example-scope-down-dynamic-content.md) 

1. Geben Sie alle zusätzlichen Konfigurationen an, die Sie für die Regelgruppe benötigen. 

1. Speichern Sie Ihre Änderungen am Protection Pack (Web-ACL). 

Bevor Sie Ihre Bot-Control-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie in den folgenden Abschnitten. 

# Beispielszenarien für Fehlalarme mit AWS WAF Bot Control
<a name="waf-bot-control-false-positives"></a>

 Dieser Abschnitt enthält Beispielsituationen, in denen Sie bei AWS WAF Bot Control auf Fehlalarme stoßen könnten.

Wir haben die Regeln in der von AWS WAF Bot Control verwalteten Regelgruppe sorgfältig ausgewählt, um Fehlalarme zu minimieren. Wir testen die Regeln anhand des weltweiten Datenverkehrs und beobachten ihre Auswirkungen auf die Test-Schutzpakete (Web ACLs). Es ist jedoch immer noch möglich, aufgrund von Änderungen der Verkehrsmuster Fehlalarme zu erhalten. Darüber hinaus ist bekannt, dass einige Anwendungsfälle zu Fehlalarmen führen und eine Anpassung an Ihren Web-Traffic erfordern. 

Zu den Situationen, in denen Sie möglicherweise auf Fehlalarme stoßen, gehören die folgenden: 
+ Mobile Apps verfügen in der Regel über Benutzeragenten, die keine Browser sind. Diese werden von der `SignalNonBrowserUserAgent` Regel standardmäßig blockiert. Wenn Sie Traffic von mobilen Apps oder anderen legitimen Traffic mit Benutzeragenten erwarten, die keine Browser sind, müssen Sie eine Ausnahme hinzufügen, um dies zuzulassen. 
+ Möglicherweise sind Sie auf einen bestimmten Bot-Datenverkehr angewiesen, z. B. für die Überwachung der Betriebszeit, Integrationstests oder Marketing-Tools. Wenn Bot Control den Bot-Datenverkehr, den Sie zulassen möchten, identifiziert und blockiert, müssen Sie dies ändern, indem Sie eigene Regeln hinzufügen. Dies ist zwar nicht für alle Kunden ein falsch-positives Szenario, aber wenn es für Sie gilt, müssen Sie es genauso behandeln wie bei einem falsch positiven Szenario. 
+ Die von Bot Control verwaltete Regelgruppe verifiziert Bots anhand der IP-Adressen von AWS WAF. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie ggf. explizit mit einer benutzerdefinierten Regel zulassen. Informationen zum Erstellen einer benutzerdefinierten Regel dieses Typs finden Sie unter [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md). 
+ Eine Bot-Control-Regel mit einer niedrigen globalen Falsch-Positiv-Rate kann sich stark auf bestimmte Geräte oder Anwendungen auswirken. Bei den Tests und der Validierung wurden beispielsweise Anforderungen von Anwendungen mit geringem Datenverkehrsaufkommen oder von weniger verbreiteten Browsern oder Geräten möglicherweise nicht berücksichtigt. 
+ Eine Bot-Control-Regel mit einer historisch niedrigen Falsch-Positiv-Rate könnte die Zahl der Falschmeldungen bei gültigem Traffic erhöht haben. Dies könnte auf neue Datenverkehrsmuster oder Anforderungsattribute zurückzuführen sein, die mit gültigem Datenverkehr auftauchen und dazu führen, dass eine Übereinstimmung mit der Regel vorliegt, wo dies vorher nicht der Fall war. Solche Veränderungen können auf Situationen wie folgende zurückzuführen sein:
  + Details des Datenverkehrs, die sich ändern, wenn der Datenverkehr durch Netzwerkanwendungen wie Load Balancer oder Content Distribution Networks (CDN) fließt
  + Neue Veränderungen an den Datenverkehrsdaten, z. B. neue Browser oder neue Versionen von bestehenden Browsern

Informationen zum Umgang mit Fehlalarmen, die Sie möglicherweise von der verwalteten Regelgruppe „ AWS WAF Bot Control“ erhalten, finden Sie in den Anleitungen im folgenden Abschnitt[Testen und Bereitstellen von AWS WAF Bot Control](waf-bot-control-deploying.md).

# Testen und Bereitstellen von AWS WAF Bot Control
<a name="waf-bot-control-deploying"></a>

Dieser Abschnitt enthält allgemeine Anleitungen zum Konfigurieren und Testen einer AWS WAF Bot Control-Implementierung für Ihre Site. Die spezifischen Schritte, die Sie befolgen, hängen von Ihren Bedürfnissen, Ressourcen und den Webanfragen ab, die Sie erhalten. 

Diese Informationen sind zusätzlich zu den allgemeinen Informationen zum Testen und Optimieren verfügbar, die Sie unter finden[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie Ihre Bot-Control-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. 

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. 

**So konfigurieren und testen Sie eine Bot-Control-Implementierung**

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. 

**Hinzugen der verwalteten Bot-Control-Regelgruppe**
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

   Fügen Sie die verwaltete AWS Regelgruppe `AWSManagedRulesBotControlRuleSet` einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass es das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert. 
   + Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor: 
     + Wählen Sie im Bereich **Inspektionsebene** die Inspektionsebene aus, die Sie verwenden möchten. 
       + **Häufig** — Erkennt eine Vielzahl von sich selbst identifizierenden Bots, z. B. Web-Scraping-Frameworks, Suchmaschinen und automatisierte Browser. Bot-Control-Schutzmaßnahmen auf dieser Ebene identifizieren häufig auftretende Bots mithilfe herkömmlicher Bot-Erkennungstechniken, wie z. B. der Analyse statischer Anforderungsdaten. Die Regeln kennzeichnen den Traffic dieser Bots und blockieren diejenigen, die sie nicht verifizieren können. 
       + **Gezielt** — Beinhaltet Schutzmaßnahmen auf allgemeiner Ebene und bietet eine gezielte Erkennung für ausgeklügelte Bots, die sich nicht selbst identifizieren. Gezielte Schutzmaßnahmen reduzieren Bot-Aktivitäten mithilfe einer Kombination aus Ratenbegrenzung und CAPTCHA sowie Browser-Herausforderungen im Hintergrund. 
         + **`TGT_`**— Regeln, die gezielten Schutz bieten, haben Namen, die mit beginnen. `TGT_` Alle gezielten Schutzmaßnahmen verwenden Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren. 
         + **`TGT_ML_`**— Gezielte Schutzregeln, die maschinelles Lernen verwenden, haben Namen, die mit beginnen. `TGT_ML_` Diese Regeln verwenden automatisierte, maschinelle Lernanalysen der Besucherstatistiken von Websites, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet. AWS WAF analysiert Statistiken über Ihren Website-Verkehr wie Zeitstempel, Browsereigenschaften und die zuvor besuchte URL, um das maschinelle Lernmodell von Bot Control zu verbessern. Funktionen für maschinelles Lernen sind standardmäßig aktiviert, Sie können sie jedoch in Ihrer Regelgruppenkonfiguration deaktivieren. Wenn maschinelles Lernen deaktiviert ist, werden diese Regeln AWS WAF nicht ausgewertet. 

       Weitere Informationen zu dieser Option finden Sie unter[AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md). 
     + Öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie aus **Count**. Bei dieser Konfiguration werden Anfragen anhand aller Regeln in der Regelgruppe AWS WAF ausgewertet und nur die Treffer gezählt, die sich daraus ergeben, wobei Anfragen trotzdem Labels hinzugefügt werden. Weitere Informationen finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Mit dieser Überschreibung können Sie die potenziellen Auswirkungen der Bot-Kontrollregeln auf Ihren Traffic überwachen und so bestimmen, ob Sie Ausnahmen für Dinge wie interne Anwendungsfälle oder gewünschte Bots hinzufügen möchten. 
   + Positionieren Sie die Regelgruppe so, dass sie im Schutzpaket (Web-ACL) an letzter Stelle bewertet wird, und zwar mit einer Prioritätseinstellung, die numerisch höher ist als die aller anderen Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

     Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injection oder Cross-Site-Scripting erkennen, werden diese Anfragen weiterhin erkannt und protokolliert. Wenn Sie über Regeln verfügen, die bekannten nicht böswilligen Datenverkehr zulassen, lassen diese derartigen Datenverkehr weiterhin zu, ohne dass er von der durch Bot Control verwalteten Regelgruppe blockiert wird. Möglicherweise möchten Sie die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anpassen, aber das ist ein guter Anfang.

1. 

**Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)**

   Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von Bot Control verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen. 
   + Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
   + Informationen zu Amazon Security Lake finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
   + Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

1. 

**Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu**

   Wenn das Schutzpaket (Web-ACL) noch keiner Ressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

1. 

**Überwachung von Datenverkehr und Bot-Control-Regelübereinstimmungen**

   Stellen Sie sicher, dass Datenverkehr fließt und dass durch die Regeln der durch Bot Control verwalteten Regelgruppe Bezeichnungen zu übereinstimmenden Webanforderungen hinzugefügt werden. Sie können die Labels in den Protokollen und die Bot- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen `action` gesetzt und `ruleGroupList` mit der `overriddenAction` Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.
**Anmerkung**  
Die verwaltete Bot-Control-Regelgruppe überprüft Bots, die die IP-Adressen von AWS WAF verwenden. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie ggf. explizit mit einer benutzerdefinierten Regel zulassen. Informationen zum Erstellen einer benutzerdefinierten Regel finden Sie unter [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md). Informationen darüber, wie Sie die Regel verwenden können, um die Behandlung von Webanforderungen durch Bot Control anzupassen, finden Sie im nächsten Schritt. 

   Überprüfen Sie die Verarbeitung von Webanfragen sorgfältig auf Fehlalarme, die Sie möglicherweise durch eine benutzerdefinierte Behandlung abmildern müssen. Beispiele für falsch positive Ergebnisse finden Sie unter[Beispielszenarien für Fehlalarme mit AWS WAF Bot Control](waf-bot-control-false-positives.md).

1. 

**Anpassen der Behandlung von Webanforderungen durch Bot Control**

   Fügen Sie bei Bedarf Ihre eigenen Regeln hinzu, die Anforderungen explizit zulassen oder blockieren. Dadurch ändern Sie, wie Bot-Control-Regeln andernfalls damit umgehen würden. 

   Wie Sie dies tun, hängt von Ihrem Anwendungsfall ab, aber die folgenden Lösungen sind üblich:
   + Erlauben Sie Anforderungen explizit mit einer Regel, die Sie vor der verwalteten Bot-Control-Regelgruppe hinzufügen. Auf diese Weise gelangen die zugelassenen Anforderungen niemals zur Auswertung durch die Regelgruppe. Dies kann dazu beitragen, die Kosten für die Verwendung der verwalteten Bot-Control-Regelgruppe einzudämmen. 
   + Schließen Sie Anfragen von der Bewertung durch Bot Control aus, indem Sie der Anweisung für verwaltete Regelgruppen von Bot Control eine Scopedown-Aussage hinzufügen. Das funktioniert genauso wie die vorherige Option. Dadurch können Sie die Kosten für die Verwendung der verwalteten Bot-Control-Regelgruppe eindämmen, da die Anforderungen, die nicht der Eingrenzungsanweisung entsprechen, nie zur Auswertung durch die Regelgruppe gelangen. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md). 

     -Beispiele finden Sie nachfolgend. 
     + [IP-Bereich von der Bot-Verwaltung ausschließen](waf-bot-control-example-scope-down-ip.md)
     + [Traffic von einem Bot zulassen, den Sie kontrollieren](waf-bot-control-example-scope-down-your-bot.md)
   + Verwenden Sie Bot Control-Bezeichnungen bei der Behandlung von Anforderungen, um Anforderungen zuzulassen oder zu blockieren. Fügen Sie nach der verwalteten Bot-Control-Regelgruppe eine Regel für einen Bezeichnungsabgleich hinzu, um Anforderungen mit Bezeichnungen, die Sie zulassen möchten, von denen zu trennen, die Sie blockieren möchten. 

     Behalten Sie nach dem Testen die zugehörigen Bot-Control-Regeln im Zählmodus und die Entscheidungen zur Anforderungsbehandlung in Ihrer benutzerdefinierten Regel. Informationen zu Anweisungen für Bezeichnungsabgleiche finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md). 

     Beispiele für diese Art der Anpassung finden Sie im Folgenden: 
     + [Eine Ausnahme für einen blockierten Benutzeragenten erstellen](waf-bot-control-example-user-agent-exception.md)
     + [Einen bestimmten blockierten Bot zulassen](waf-bot-control-example-allow-blocked-bot.md)
     + [Verifizierte Bots blockieren](waf-bot-control-example-block-verified-bots.md)

   Weitere Beispiele finden Sie unter [AWS WAF Beispiele für Bot-Kontrolle](waf-bot-control-examples.md).

1. 

**Aktivieren Sie bei Bedarf die Einstellungen der verwalteten Bot-Control-Regelgruppe**

   Abhängig von Ihrer Situation haben Sie sich möglicherweise dafür entschieden, einige Bot-Kontrollregeln im Zählmodus oder mit einer anderen Aktionsüberschreibung zu belassen. Aktivieren Sie für die Regeln, die Sie so ausführen lassen möchten, wie sie innerhalb der Regelgruppe konfiguriert sind, die reguläre Regelkonfiguration. Bearbeiten Sie dazu die Regelgruppenanweisung in Ihrem Schutzpaket (Web-ACL) und nehmen Sie Ihre Änderungen im Bereich **Regeln** vor. 

# AWS WAF Beispiele für Bot-Kontrolle
<a name="waf-bot-control-examples"></a>

Dieser Abschnitt zeigt Beispielkonfigurationen, die eine Vielzahl gängiger Anwendungsfälle für AWS WAF Bot Control-Implementierungen erfüllen. 

Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an. 

**Anmerkung**  
Die in diesen Beispielen gezeigten JSON-Auflistungen wurden in der Konsole erstellt, indem die Regel konfiguriert und dann mit dem **Rule JSON editor** (JSON-Regel-Editor) bearbeitet wurde. 

**Topics**
+ [Beispiel Bot Control: Einfache Konfiguration](waf-bot-control-example-basic.md)
+ [Beispiel für Bot-Kontrolle: Verifizierte Bots explizit zulassen](waf-bot-control-example-allow-verified-bots.md)
+ [Beispiel für Bot-Kontrolle: Verifizierte Bots blockieren](waf-bot-control-example-block-verified-bots.md)
+ [Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen](waf-bot-control-example-allow-blocked-bot.md)
+ [Beispiel für Bot Control: Eine Ausnahme für einen blockierten Benutzeragenten erstellen](waf-bot-control-example-user-agent-exception.md)
+ [Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden](waf-bot-control-example-scope-down-login.md)
+ [Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Beispiel für Bot-Kontrolle: IP-Bereich von der Bot-Verwaltung ausschließen](waf-bot-control-example-scope-down-ip.md)
+ [Beispiel für Bot-Kontrolle: Traffic von einem Bot zulassen, den Sie kontrollieren](waf-bot-control-example-scope-down-your-bot.md)
+ [Beispiel für Bot-Kontrolle: Aktivierung einer gezielten Inspektionsstufe](waf-bot-control-example-targeted-inspection-level.md)
+ [Beispiel für Bot-Kontrolle: Verwendung von zwei Anweisungen, um die Verwendung der angestrebten Inspektionsebene einzuschränken](waf-bot-control-example-common-and-targeted-inspection-level.md)

# Beispiel Bot Control: Einfache Konfiguration
<a name="waf-bot-control-example-basic"></a>

Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer von AWS WAF Bot Control verwalteten Regelgruppe. Beachten Sie die Sichtbarkeitskonfiguration, die AWS WAF dazu führt, dass Anforderungsmuster und Metriken zu Überwachungszwecken gespeichert werden. 

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
         "Name": "AWS-AWSBotControl-Example",
         "Priority": 5,
         "Statement": {
            "ManagedRuleGroupStatement": {
               "VendorName": "AWS",
               "Name": "AWSManagedRulesBotControlRuleSet",
               "ManagedRuleGroupConfigs": [
                 {
                   "AWSManagedRulesBotControlRuleSet": {
                     "InspectionLevel": "COMMON"
                   }
                 }
               ],
               "RuleActionOverrides": [],
               "ExcludedRules": []
            },
            "VisibilityConfig": {
               "SampledRequestsEnabled": true,
               "CloudWatchMetricsEnabled": true,
               "MetricName": "AWS-AWSBotControl-Example"
             }
          }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# Beispiel für Bot-Kontrolle: Verifizierte Bots explizit zulassen
<a name="waf-bot-control-example-allow-verified-bots"></a>

AWS WAF Bot Control blockiert keine Bots, von denen bekannt ist, dass AWS sie häufig vorkommen und verifizierbar sind. Wenn Bot Control eine Webanforderung als von einem verifizierten Bot stammend identifiziert, fügt es eine Bezeichnung hinzu, die den Bot benennt, sowie eine Bezeichnung, die angibt, dass es sich um einen verifizierten Bot handelt. Bot Control fügt keine anderen Bezeichnungen hinzu, wie z. B. Signalbezeichnungen, um zu verhindern, dass bekannte gute Bots blockiert werden.

Möglicherweise haben Sie andere AWS WAF Regeln, die verifizierte Bots blockieren. Wenn Sie sicherstellen möchten, dass verifizierte Bots zugelassen werden, fügen Sie eine benutzerdefinierte Regel hinzu, um sie auf der Grundlage der Bezeichnungen von Bot Control zuzulassen. Die neue Regel muss nach der verwalteten Bot-Control-Regelgruppe ausgeführt werden, damit die Bezeichnungen für den Abgleich verfügbar sind. 

Die folgende Regel erlaubt explizit verifizierte Bots.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Allow": {}
    }
}
```

# Beispiel für Bot-Kontrolle: Verifizierte Bots blockieren
<a name="waf-bot-control-example-block-verified-bots"></a>

Zum Blockieren verifizierter Bots müssen Sie eine Regel hinzufügen, die nach der verwalteten AWS WAF -Bot-Control-Regelgruppe ausgeführt wird, um sie zu blockieren. Identifizieren Sie dazu die Namen der Bots, die Sie blockieren möchten, und verwenden Sie eine Anweisung für den Bezeichnungsabgleich, um sie zu identifizieren und zu blockieren. Wenn Sie nur alle verifizierten Bots blockieren möchten, können Sie den Abgleich mit der `bot:name:`-Bezeichnung weglassen. 

Die folgende Regel blockiert nur den verifizierten Bot `bingbot`. Diese Regel muss nach der verwalteten Bot-Control-Regelgruppe ausgeführt werden.

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
            }
          },
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:verified"
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
  }
```

Die folgende Regel blockiert alle verifizierten Bots.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
}
```

# Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen
<a name="waf-bot-control-example-allow-blocked-bot"></a>

Es ist möglich, dass ein Bot durch mehr als eine der Bot-Control-Regeln blockiert wird. Führen Sie für jede Blockierungsregel die folgenden Schritte aus. 

Wenn eine AWS WAF Bot-Kontrollregel einen Bot blockiert, den Sie nicht blockieren möchten, gehen Sie wie folgt vor:

1. Identifizieren Sie die Bot-Control-Regel, die den Bot blockiert, in den Protokollen. Die Blockierungsregel wird in den Protokollen in den Feldern angegeben, deren Namen mit `terminatingRule` beginnen. Hinweise zu den Protokollen des Protection Packs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). Merken Sie sich die Bezeichnung, die die Regel den Anforderungen hinzufügt. 

1. Setzen Sie in Ihrem Schutzpaket (Web-ACL) die Aktion der Blockierungsregel außer Kraft, um sie zu zählen. Bearbeiten Sie dazu in der Konsole die Regelgruppenregel im Schutzpaket (Web-ACL) und wählen Sie Count für die Regel eine Regelaktion außer Kraft setzen. Dadurch wird sichergestellt, dass der Bot nicht durch die Regel blockiert wird, aber die Regel wendet ihre Bezeichnung trotzdem auf übereinstimmende Anfragen an. 

1. Fügen Sie Ihrem Schutzpaket (Web-ACL) nach der verwalteten Regelgruppe von Bot Control eine Regel für den Label-Abgleich hinzu. Konfigurieren Sie die Regel so, dass sie mit der Bezeichnung der überschriebenen Regel übereinstimmt und alle passenden Anfragen blockiert werden, mit Ausnahme des Bots, den Sie nicht blockieren möchten. 

   Ihr Schutzpaket (Web-ACL) ist jetzt so konfiguriert, dass der Bot, den Sie zulassen möchten, nicht mehr durch die Blockierungsregel blockiert wird, die Sie in den Protokollen identifiziert haben. 

Überprüfen Sie den Datenverkehr und die Protokolle erneut, um sicherzugehen, dass der Bot durchgelassen wird. Sollte das nicht der Fall sein, führen Sie die oben genannten Schritte erneut durch.

Angenommen, Sie möchten alle Überwachungs-Bots mit Ausnahme von `pingdom` blockieren. In diesem Fall überschreiben Sie die `CategoryMonitoring` Regel, um zu zählen, und schreiben dann eine Regel, um alle Überwachungs-Bots mit Ausnahme der Bots mit dem Bot-Namenslabel zu blockieren`pingdom`. 

Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, setzt jedoch die Regelaktion für `CategoryMonitoring` das Zählen außer Kraft. Die Kategorieüberwachungsregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

Die folgende Regel führt einen Abgleich mit der Bezeichung für die Kategorieüberwachung durch, die die vorangehende Regel `CategoryMonitoring` zu passenden Webanforderungen hinzufügt. Unter den Anforderungen der Kategorieüberwachung blockiert diese Regel alle bis auf diejenigen, die eine Bezeichnung für den Botnamen `pingdom` haben. 

Die folgende Regel muss nach der vorherigen verwalteten Regelgruppe von Bot Control in der Verarbeitungsreihenfolge des Schutzpakets (Web-ACL) ausgeführt werden. 

```
{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}
```

# Beispiel für Bot Control: Eine Ausnahme für einen blockierten Benutzeragenten erstellen
<a name="waf-bot-control-example-user-agent-exception"></a>

Wenn der Datenverkehr von Benutzeragenten, die keine Browser sind, fälschlicherweise blockiert wird, können Sie eine Ausnahme erstellen, indem Sie die betreffende AWS WAF Bot-Kontrollregel `SignalNonBrowserUserAgent` auf Count setzen und dann die Bezeichnung der Regel mit Ihren Ausnahmekriterien kombinieren. 

**Anmerkung**  
Mobile Apps verfügen in der Regel über Benutzeragenten, die keine Browser sind. Diese werden von der `SignalNonBrowserUserAgent` Regel standardmäßig blockiert. 

Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, überschreibt jedoch die Regelaktion für `SignalNonBrowserUserAgent` To Count. Die Signalregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "SignalNonBrowserUserAgent"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

Die folgende Regel entspricht der Signalbezeichnung, die die `SignalNonBrowserUserAgent` Bot-Control-Regel ihren entsprechenden Webanfragen hinzufügt. Unter den Signalanfragen blockiert diese Regel alle bis auf diejenigen, die den Benutzeragenten haben, den wir zulassen möchten. 

Die folgende Regel muss nach der vorherigen verwalteten Regelgruppe von Bot Control in der Verarbeitungsreihenfolge des Schutzpakets (Web-ACL) ausgeführt werden. 

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
            }
          },
          {
            "NotStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "SingleHeader": {
                      "Name": "user-agent"
                    }
                  },
                  "PositionalConstraint": "EXACTLY",
                  "SearchString": "PostmanRuntime/7.29.2",
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ]
                }
              }
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "match_rule"
    }
}
```

# Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden
<a name="waf-bot-control-example-scope-down-login"></a>

Das folgende Beispiel verwendet eine Scopedown-Anweisung, um AWS WAF Bot Control nur auf Traffic anzuwenden, der auf die Anmeldeseite einer Website gelangt, die durch den URI-Pfad identifiziert wird. `login` Der URI-Pfad zu Ihrer Anmeldeseite kann sich je nach Anwendung und Umgebung von diesem Beispiel unterscheiden.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "ByteMatchStatement": {
        "SearchString": "login",
        "FieldToMatch": {
          "UriPath": {}
        },
        "TextTransformations": [
          {
            "Priority": 0,
            "Type": "NONE"
          }
        ],
        "PositionalConstraint": "CONTAINS"
      }
    }
  }
}
```

# Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte
<a name="waf-bot-control-example-scope-down-dynamic-content"></a>

In diesem Beispiel wird eine Scopedown-Anweisung verwendet, um AWS WAF Bot Control nur auf dynamische Inhalte anzuwenden. 

Die Eingrenzungsanweisung schließt statische Inhalte aus, indem sie die Abgleichsergebnisse für einen Regex-Mustersatz negiert: 
+ Der Regex-Mustersatz ist so konfiguriert, dass er auf Erweiterungen von *statischen Inhalten* passt. Die Spezifikation des Regex-Mustersatzes könnte zum Beispiel `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$` sein. Informationen zu Regex-Mustersätzen und -anweisungen finden Sie unter [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md). 
+ In der Eingrenzungsanweisung wird der übereinstimmende statische Inhalt ausgeschlossen, indem die Regex-Mustersatzanweisung in eine `NOT`-Anweisung geschachtelt wird. Informationen zu dieser `NOT`-Anweisung finden Sie unter [NOT-Regelanweisung](waf-rule-statement-type-not.md).

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "RegexPatternSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
            "FieldToMatch": {
              "UriPath": {}
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        }
      }
    }
  }
}
```

# Beispiel für Bot-Kontrolle: IP-Bereich von der Bot-Verwaltung ausschließen
<a name="waf-bot-control-example-scope-down-ip"></a>

Wenn Sie eine Teilmenge des Web-Traffics aus der Verwaltung von AWS WAF Bot Control ausschließen möchten und Sie diese Teilmenge anhand einer Regelanweisung identifizieren können, schließen Sie sie aus, indem Sie Ihrer von Bot Control verwalteten Regelgruppe eine Scopedown-Anweisung hinzufügen. 

Die folgende Regel führt die normale Bot-Control-Verwaltung für den gesamten Webdatenverkehr durch, mit Ausnahme von Webanforderungen, die von einem bestimmten IP-Adressbereich stammen.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
          }
        }
      }
    }
  }
}
```

# Beispiel für Bot-Kontrolle: Traffic von einem Bot zulassen, den Sie kontrollieren
<a name="waf-bot-control-example-scope-down-your-bot"></a>

Sie können einige Website-Überwachungsbots und benutzerdefinierte Bots so konfigurieren, dass sie benutzerdefinierte Header senden. Wenn Sie Traffic von diesen Arten von Bots zulassen möchten, können Sie sie so konfigurieren, dass sie einem Header ein gemeinsames Geheimnis hinzufügen. Anschließend können Sie Nachrichten mit dem Header ausschließen, indem Sie der Anweisung für verwaltete Regelgruppen von AWS WAF Bot Control eine Scopedown-Anweisung hinzufügen. 

Die folgende Beispielregel schließt Datenverkehr mit einem geheimen Header von der Prüfung durch Bot Control aus.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "ByteMatchStatement": {
            "SearchString": "YSBzZWNyZXQ=",
            "FieldToMatch": {
              "SingleHeader": {
                "Name": "x-bypass-secret"
              }
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ],
            "PositionalConstraint": "EXACTLY"
          }
        }
      }
    }
  }
}
```

# Beispiel für Bot-Kontrolle: Aktivierung einer gezielten Inspektionsstufe
<a name="waf-bot-control-example-targeted-inspection-level"></a>

Für ein erweitertes Schutzniveau können Sie die gezielte Inspektionsstufe in Ihrer verwalteten Regelgruppe von AWS WAF Bot Control aktivieren.

Im folgenden Beispiel sind Funktionen für maschinelles Lernen aktiviert. Sie können dieses Verhalten deaktivieren, indem Sie `EnableMachineLearning` auf einstellen`false`.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "TARGETED",
            "EnableMachineLearning": true
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    }
  }
}
```

# Beispiel für Bot-Kontrolle: Verwendung von zwei Anweisungen, um die Verwendung der angestrebten Inspektionsebene einzuschränken
<a name="waf-bot-control-example-common-and-targeted-inspection-level"></a>

Zur Kostenoptimierung können Sie in Ihrem Schutzpaket (Web-ACL) zwei von AWS WAF Bot Control verwaltete Regelgruppenanweisungen mit unterschiedlichen Inspektionsebenen und Geltungsbereichen verwenden. Sie könnten beispielsweise die Anweisung zur Zielinspektionsebene nur auf sensiblere Anwendungsendpunkte beschränken.

Die beiden Aussagen im folgenden Beispiel schließen sich gegenseitig aus. Ohne diese Konfiguration könnte eine Anfrage zu zwei Bot Control-Evaluierungen führen, die in Rechnung gestellt werden.

**Anmerkung**  
Die Referenzierung `AWSManagedRulesBotControlRuleSet` mehrerer Anweisungen wird im Visual Editor in der Konsole nicht unterstützt. Verwenden Sie stattdessen den JSON-Editor.

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
       "Name": "AWS-AWSBotControl-Common",
       "Priority": 5,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "COMMON"
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Common"
           },
           "ScopeDownStatement": {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "FieldToMatch": {
                      "UriPath": {}
                    },
                    "PositionalConstraint": "STARTS_WITH",
                    "SearchString": "/sensitive-endpoint",
                    "TextTransformations": [
                      {
                        "Type": "NONE",
                        "Priority": 0
                      }
                    ]
                  }
                }
              }
            }
        }
      },
      {
       "Name": "AWS-AWSBotControl-Targeted",
       "Priority": 6,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "TARGETED",
                   "EnableMachineLearning": true
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Targeted"
           },
           "ScopeDownStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "PositionalConstraint": "STARTS_WITH",
                  "SearchString": "/sensitive-endpoint",
                  "TextTransformations": [
                    {
                      "Type": "NONE",
                      "Priority": 0
                    }
                  ]
                }
              }
            }
        }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# AWS WAF Verhinderung von Distributed Denial of Service (DDoS)
<a name="waf-anti-ddos"></a>

AWS WAF bietet ausgeklügelten und anpassbaren Schutz vor DDo S-Angriffen auf Ihre AWS Ressourcen. Sehen Sie sich die in diesem Abschnitt beschriebenen Optionen an und wählen Sie die Stufe des Anti-S-Schutzes aus, die Ihren Sicherheits- DDo und Geschäftsanforderungen entspricht.

Sie können zwischen zwei DDo S-Schutzstufen wählen AWS WAF:

S-Schutz auf Ressourcenebene DDo  
Die Standardstufe dient innerhalb von Application Load Balancers zum Schutz vor bekannten bösartigen Quellen durch On-Host-Filterung. Sie können das Schutzverhalten so konfigurieren, dass es optimal auf potenzielle DDo S-Ereignisse reagiert.  
S-Schutz auf Ressourcenebene DDo:  
+ Überwacht Ihre Verkehrsmuster automatisch.
+ Aktualisiert Bedrohungsinformationen in Echtzeit.
+ Schützt vor bekannten bösartigen Quellen.
**Um die Kosten für Web-ACL-Anfragen für Ihren Application Load Balancer zu optimieren**  
Sie müssen Ihrem Application Load Balancer eine Web-ACL zuordnen, um den Schutz auf Ressourcenebene zu aktivieren. Wenn Ihr Application Load Balancer mit einer Web-ACL verknüpft ist, die nicht konfiguriert ist, fallen für Sie keine Gebühren für AWS WAF Anfragen an. Sie AWS WAF werden jedoch keine Beispielanfragen bereitstellen oder den Application Load Balancer in Form von Metriken auswerten. CloudWatch Sie können die folgenden Maßnahmen ergreifen, um Observability-Funktionen für den Application Load Balancer zu aktivieren:  
+ Verwenden Sie die `Block` Aktion oder `Allow` Aktion mit benutzerdefinierten Anforderungsheadern in. `DefaultAction` Weitere Informationen finden Sie unter [Einfügen von benutzerdefinierten Anforderungsheadern für nicht blockierende Aktionen](customizing-the-incoming-request.md).
+ Fügen Sie der Web-ACL alle Regeln hinzu. Weitere Informationen finden Sie unter [AWS WAF Regeln](waf-rules.md).
+ Aktivieren Sie ein Logging-Ziel. Weitere Informationen finden Sie unter [Konfiguration der Protokollierung für ein Protection Pack (Web-ACL)](logging-management-configure.md).
+ Ordnen Sie die Web-ACL einer AWS Firewall Manager Richtlinie zu. Weitere Informationen finden Sie unter [Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF stellt ohne diese Konfigurationen keine Musteranfragen bereit und veröffentlicht keine CloudWatch Metriken.

AWS verwalteter DDo Regelgruppe-S-Schutz  
Die erweiterte Schutzstufe DDo S wird über die `AWSManagedRulesAntiDDoSRuleSet` angeboten. Die verwaltete Regelgruppe ergänzt die Schutzebene auf Ressourcenebene mit den folgenden wesentlichen Unterschieden:  
+ Der Schutz erstreckt sich sowohl auf Application Load Balancer als auch auf Distributionen CloudFront 
+ Für Ihre geschützten Ressourcen werden Datenverkehrs-Baselines erstellt, um die Erkennung neuartiger Angriffsmuster zu verbessern.
+ Das Schutzverhalten wird entsprechend den von Ihnen ausgewählten Empfindlichkeitsstufen aktiviert.
+ Verwaltet und kennzeichnet Anfragen an geschützte Ressourcen bei wahrscheinlichen DDo S-Ereignissen.
Eine umfassende Liste der enthaltenen Regeln und Funktionen finden Sie unter[AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)](aws-managed-rule-groups-anti-ddos.md).

**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF - Preise](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [DDoS-Schutz auf Ressourcenebene für Application Load Balancer](waf-anti-ddos-alb.md)
+ [Erweiterter DDo Anti-S-Schutz mithilfe der verwalteten AWS WAF DDo Anti-S-Regelgruppe](waf-anti-ddos-advanced.md)

# DDoS-Schutz auf Ressourcenebene für Application Load Balancer
<a name="waf-anti-ddos-alb"></a>

Der **Resource Level DDo S-Schutz** bietet Application Load Balancers sofortigen Schutz, ohne dass Kosten für die Bereitstellung AWS WAF verwalteter Regelgruppen anfallen. Diese Standardstufe des DDo Anti-S-Schutzes nutzt AWS Bedrohungsinformationen und Datenverkehrsmusteranalysen, um Application Load Balancer zu schützen. Um bekannte bösartige Quellen zu identifizieren, filtert der Anti-S-Schutz sowohl direkte Client-IP-Adressen als auch X-Forwarded-For (XFF-DDo) Header auf dem Host. Nachdem eine bekannte bösartige Quelle identifiziert wurde, wird der Schutz in einem von zwei Modi aktiviert:

**Aktiv unter DDo S** ist der Standardschutzmodus und wird für die meisten Anwendungsfälle empfohlen. 

Dieser Modus:
+ Aktiviert den Schutz automatisch, wenn Hochlastbedingungen oder potenzielle DDo S-Ereignisse erkannt werden
+ Die Rate schränkt den Datenverkehr aus bekannten bösartigen Quellen nur unter Angriffsbedingungen ein
+ Minimiert die Beeinträchtigung des legitimen Datenverkehrs bei normalem Betrieb
+ Verwendet Integritätsmetriken und AWS WAF Reaktionsdaten des Application Load Balancer, um zu bestimmen, wann der Schutz aktiviert werden muss

**Always on** ist ein optionaler Modus, der nach seiner Aktivierung immer aktiv ist.

Dieser Modus: 
+ Sorgt für kontinuierlichen Schutz vor bekannten bösartigen Quellen
+ Beschränkt den Datenverkehr aus bekannten bösartigen Quellen in Echtzeit
+ Wendet Schutz sowohl auf direkte Verbindungen als auch auf Anfragen mit bösartigen Inhalten in IPs XFF-Headern an
+ Kann sich stärker auf legitimen Datenverkehr auswirken, bietet aber maximale Sicherheit

Anfragen, die durch DDo S-Schutz auf Ressourcenebene blockiert werden, werden in CloudWatch Protokollen entweder als Metriken `LowReputationPacketsDropped` oder `LowReputationRequestsDenied` aufgezeichnet. Weitere Informationen finden Sie unter [AWS WAF Kernmetriken und Dimensionen](waf-metrics.md#waf-metrics-general).

## Aktivieren Sie den DDo Standard-S-Schutz auf einer vorhandenen WebACL
<a name="enabling-protection-alb"></a>

Sie können DDo S-Schutz aktivieren, wenn Sie eine Web-ACL erstellen oder eine bestehende Web-ACL aktualisieren, die dem Application Load Balancer zugeordnet ist.

**Anmerkung**  
Wenn Sie bereits über eine Web-ACL verfügen, die mit einem Application Load Balancer verknüpft ist, ist der DDo Anti-S-Schutz standardmäßig im Modus **Aktiv unter DDo S** aktiviert.

**Um den DDo Anti-S-Schutz in der AWS WAF Konsole zu aktivieren**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie ACLs im Navigationsbereich **Web** aus, und öffnen Sie dann eine beliebige Web-ACL, die einem Application Load Balancer zugeordnet ist.

1. Wählen Sie **Zugeordnete AWS Ressourcen** aus.

1. Wählen Sie unter **Schutz auf Ressourcenebene DDo S** die Option **Bearbeiten** aus.

1. Wählen Sie einen der folgenden Schutzmodi aus:
   + **Aktiv unter DDo S** (empfohlen) — Der Schutz wird nur bei hoher Last aktiviert
   + **Immer aktiv** — Ständig aktiver Schutz vor bekannten bösartigen Quellen

1. Wählen Sie **Änderungen speichern ** aus.

**Anmerkung**  
Informationen zum Erstellen einer Web-ACL finden Sie unter. [Erstellen eines Schutzpakets (Web-ACL) in AWS WAF](web-acl-creating.md)

**Um die Kosten für Web-ACL-Anfragen für Ihren Application Load Balancer zu optimieren**  
Sie müssen Ihrem Application Load Balancer eine Web-ACL zuordnen, um den Schutz auf Ressourcenebene zu aktivieren. Wenn Ihr Application Load Balancer mit einer Web-ACL verknüpft ist, die nicht konfiguriert ist, fallen für Sie keine Gebühren für AWS WAF Anfragen an. Sie AWS WAF werden jedoch keine Beispielanfragen bereitstellen oder den Application Load Balancer in Form von Metriken auswerten. CloudWatch Sie können die folgenden Maßnahmen ergreifen, um Observability-Funktionen für den Application Load Balancer zu aktivieren:  
Verwenden Sie die `Block` Aktion oder `Allow` Aktion mit benutzerdefinierten Anforderungsheadern in. `DefaultAction` Weitere Informationen finden Sie unter [Einfügen von benutzerdefinierten Anforderungsheadern für nicht blockierende Aktionen](customizing-the-incoming-request.md).
Fügen Sie der Web-ACL alle Regeln hinzu. Weitere Informationen finden Sie unter [AWS WAF Regeln](waf-rules.md).
Aktivieren Sie ein Logging-Ziel. Weitere Informationen finden Sie unter [Konfiguration der Protokollierung für ein Protection Pack (Web-ACL)](logging-management-configure.md).
Ordnen Sie die Web-ACL einer AWS Firewall Manager Richtlinie zu. Weitere Informationen finden Sie unter [Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF stellt ohne diese Konfigurationen keine Musteranfragen bereit und veröffentlicht keine CloudWatch Metriken.

# Erweiterter DDo Anti-S-Schutz mithilfe der verwalteten AWS WAF DDo Anti-S-Regelgruppe
<a name="waf-anti-ddos-advanced"></a>

Die `AWSManagedRulesAntiDDoSRuleSet` verwaltete Regelgruppe ist die fortschrittlichste Stufe des Anti-S-Schutzes, die in AWS WAF verfügbar DDo ist.

**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

## AWS WAF Komponenten des DDo Anti-S-Schutzes
<a name="waf-anti-ddos-components"></a>

Zu den wichtigsten Komponenten für die Implementierung eines fortschrittlichen DDo Anti-S-Schutzes AWS WAF gehören:

**`AWSManagedRulesAntiDDoSRuleSet`**— Erkennt, kennzeichnet und blockiert Anfragen, die wahrscheinlich Teil eines DDo S-Angriffs sind. Außerdem kennzeichnet es alle Anfragen an eine geschützte Ressource während eines Ereignisses. Einzelheiten zu den Regeln und Bezeichnungen der Regelgruppe finden Sie unter[AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)](aws-managed-rule-groups-anti-ddos.md). Um diese Regelgruppe zu verwenden, nehmen Sie sie mithilfe einer Referenzerklärung für verwaltete Regelgruppen in Ihr Schutzpaket (Web-ACL) auf. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-anti-ddos-rg-using.md).
+ **Dashboards zur Übersicht über den Web-ACL-Verkehr** — ermöglichen die Überwachung von DDo S-Aktivitäten und DDo Anti-S-Reaktionen in der Konsole. Weitere Informationen finden Sie unter [Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)](web-acl-dashboards.md).
+ **Protokollierung und Metriken** — Ermöglicht es Ihnen, den Datenverkehr zu überwachen und die Auswirkungen des DDo Anti-S-Schutzes nachzuvollziehen. Konfigurieren Sie Protokolle, Amazon Security Lake-Datenerfassung und CloudWatch Amazon-Metriken für Ihr Schutzpaket (Web-ACL). Informationen zu diesen Optionen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md), und [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Bezeichnungen und Regeln für den Labelabgleich** — Mit dieser Option können Sie die Behandlung von Webanfragen anpassen, die von der verwalteten DDo Anti-S-Regelgruppe identifiziert wurden. Für jede eingegebene Regel können Sie in `AWSManagedRulesAntiDDoSRuleSet` den Zählmodus wechseln und den hinzugefügten Labels den Abgleich vornehmen. Weitere Informationen erhalten Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
+ **Benutzerdefinierte Anfragen und Antworten** — Ermöglicht es Ihnen, benutzerdefinierte Header zu zulässigen Anfragen hinzuzufügen und benutzerdefinierte Antworten auf blockierte Anfragen zu senden. Kombinieren Sie den Labelabgleich mit AWS WAF benutzerdefinierten Anfrage- und Antwortfunktionen. Weitere Informationen finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

# Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack (Web-ACL)
<a name="waf-anti-ddos-rg-using"></a>

In diesem Abschnitt wird erklärt, wie Sie die `AWSManagedRulesAntiDDoSRuleSet` Regelgruppe hinzufügen und konfigurieren.

Um die verwaltete DDo Anti-S-Regelgruppe zu konfigurieren, geben Sie Einstellungen an, die angeben, wie empfindlich die Regelgruppe gegenüber DDo S-Angriffen ist und welche Aktionen sie bei Anfragen ergreift, die an den Angriffen beteiligt sind oder sein könnten. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe. 

Eine Beschreibung der Regelgruppe und die Liste der Regeln und Bezeichnungen finden Sie unter[AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Internet ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole](waf-using-managed-rule-group.md).

**Folgen Sie den bewährten Methoden**  
Verwenden Sie die DDo Anti-S-Regelgruppe gemäß den bewährten Verfahren unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md). 

**Um die `AWSManagedRulesAntiDDoSRuleSet` Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu verwenden**

1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket (Web-ACL) hinzu und **bearbeiten Sie** die Regelgruppeneinstellungen vor dem Speichern. `AWSManagedRulesAntiDDoSRuleSet` 
**Anmerkung**  
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

1. Geben Sie im Bereich **Regelgruppenkonfiguration** eine beliebige benutzerdefinierte Konfiguration für die `AWSManagedRulesAntiDDoSRuleSet` Regelgruppe ein. 

   1. Geben Sie unter **Vertraulichkeitsstufe blockieren** an, wie sensibel die Regel sein `DDoSRequests` soll, wenn eine Übereinstimmung mit der DDo S-Verdachtsbeschriftung der Regelgruppe gefunden wird. Je höher die Sensitivität, desto niedriger sind die Kennzeichnungsebenen, denen die Regel entspricht: 
      + Niedrige Sensitivität ist weniger sensibel, was dazu führt, dass die Regel nur für die offensichtlichsten Teilnehmer eines Angriffs gilt, bei denen der Verdacht hoch ist`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + Mittlere Sensitivität führt dazu, dass die Regel für die Kategorien „Mittlerer Verdacht“ und „Hoch verdächtig“ gilt.
      + Hohe Sensitivität führt dazu, dass die Regel auf allen Verdachtskennzeichnungen zutrifft: Niedrig, Mittel und Hoch.

      Diese Regel bietet die strengste Behandlung von Webanfragen, bei denen der Verdacht besteht, dass sie an DDo S-Angriffen beteiligt sind. 

   1. Wählen Sie für **Enable Challenge** aus, ob die Regeln aktiviert werden sollen `ChallengeDDoSRequests` und `ChallengeAllDuringEvent` welche die Challenge Aktion standardmäßig auf entsprechende Anfragen anwenden. 

      Diese Regeln ermöglichen die Bearbeitung von Anfragen, sodass legitime Benutzer ihre Anfragen bearbeiten können, während Teilnehmer am DDo S-Angriff blockiert werden. Sie können ihre Aktionseinstellungen außer Kraft setzen Allow Count oder ihre Verwendung vollständig deaktivieren.

      Wenn Sie diese Regeln aktivieren, geben Sie jede weitere Konfiguration an, die Sie möchten: 
      + Geben Sie **unter Sensitivitätsstufe für Herausforderungen** an, wie sensibel die Regel sein `ChallengeDDoSRequests` soll. 

        Je höher die Sensitivität, desto niedriger sind die Kennzeichnungsebenen, denen die Regel entspricht: 
        + Niedrige Sensitivität ist weniger sensibel, was dazu führt, dass die Regel nur für die offensichtlichsten Teilnehmer eines Angriffs gilt, bei denen der Verdacht hoch ist`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + Mittlere Sensitivität führt dazu, dass die Regel für die Kategorien „Mittlerer Verdacht“ und „Hoch verdächtig“ gilt.
        + Hohe Sensitivität führt dazu, dass die Regel auf allen Verdachtskennzeichnungen zutrifft: Niedrig, Mittel und Hoch.
      + Geben Sie **für reguläre Ausdrücke vom Typ „Exempt URI**“ einen regulären Ausdruck an, der mit URIs Webanfragen übereinstimmt, die eine automatische Browserabfrage nicht verarbeiten können. Durch die Challenge Aktion werden Anfragen von Personen URIs , denen das Challenge-Token fehlt, effektiv blockiert, es sei denn, sie können die automatische Browser-Anfrage bewältigen. 

        Die Challenge Aktion kann nur von einem Client ordnungsgemäß ausgeführt werden, der HTML-Inhalt erwartet. Weitere Informationen zur Funktionsweise der Aktion finden Sie unter[CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md). 

        Überprüfen Sie den regulären Standardausdruck und aktualisieren Sie ihn nach Bedarf. Die Regeln verwenden den angegebenen regulären Ausdruck, um Anfragen zu identifizieren URIs , die die Challenge Aktion nicht verarbeiten können, und um zu verhindern, dass die Regeln eine Anfrage zurücksenden. Anfragen, die Sie auf diese Weise ausschließen, können nur von der Regelgruppe blockiert werden, für die die Regel gilt`DDoSRequests`. 

        Der in der Konsole bereitgestellte Standardausdruck deckt die meisten Anwendungsfälle ab, Sie sollten ihn jedoch überprüfen und für Ihre Anwendung anpassen. 

        AWS WAF unterstützt die von der PCRE-Bibliothek verwendete Mustersyntax `libpcre` mit einigen Ausnahmen. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).

1. Geben Sie die gewünschte zusätzliche Konfiguration für die Regelgruppe ein und speichern Sie die Regel. 
**Anmerkung**  
AWS empfiehlt, für diese verwaltete Regelgruppe keine Scopedown-Anweisung zu verwenden. Die Scope-down-Anweisung schränkt die Anfragen ein, die von der Regelgruppe beobachtet werden, und kann daher zu einer ungenauen Datenverkehrsbasis und einer verminderten Erkennung von S-Ereignissen führen. DDo Die Option Scope-Down-Anweisung ist für alle verwalteten Regelgruppenanweisungen verfügbar, sollte aber nicht für diese verwendet werden. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).

1. Verschieben Sie auf der Seite **Regelpriorität festlegen** die neue Regel für verwaltete DDo Anti-S-Regeln nach oben, sodass sie erst nach allen vorhandenen Allow Aktionsregeln und vor allen anderen Regeln ausgeführt wird. Auf diese Weise kann die Regelgruppe den meisten Traffic für den DDo Anti-S-Schutz nachverfolgen. 

1. Speichern Sie Ihre Änderungen am Schutzpaket (Web-ACL). 

Bevor Sie Ihre Anti-S-Implementierung für Produktionsdatenverkehr einsetzen, sollten Sie sie in einer Staging- DDo oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Weitere Informationen finden Sie im folgenden Abschnitt. 

# Testen und Bereitstellen von Anti- DDo S
<a name="waf-anti-ddos-deploying"></a>

Sie sollten die AWS WAF Distributed Denial of Service (DDoS) -Prävention konfigurieren und testen, bevor Sie die Funktion einsetzen. Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen. Welche spezifischen Schritte Sie befolgen, hängt jedoch von Ihren Anforderungen, Ressourcen und Webanfragen ab, die Sie erhalten. 

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).

**Anmerkung**  
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind. 

**Risiken rund um Produktionsdatenverkehr**  
Testen und optimieren Sie Ihre Anti-S-Implementierung in einer Staging- DDo oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Traffic zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. 

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. 

**Um eine Implementierung zur Verhinderung von AWS WAF Distributed Denial of Service (DDoS) zu konfigurieren und zu testen**

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. 

**Fügen Sie die verwaltete Regelgruppe zur Verhinderung von AWS WAF Distributed Denial of Service (DDoS) im Zählmodus hinzu**
**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

   Fügen Sie die Regelgruppe `AWSManagedRulesAntiDDoSRuleSet` für AWS verwaltete Regeln einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert wird. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter [AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor: 
     + Geben Sie im Bereich zur **Konfiguration der Regelgruppe** die Details ein, die für die Durchführung von DDo Anti-S-Aktivitäten für Ihren Web-Traffic erforderlich sind. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-anti-ddos-rg-using.md).
     + Öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie **Count**. Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der verwalteten DDo Anti-S-Regeln überwachen und entscheiden, ob Sie Änderungen vornehmen möchten, wie z. B. die Erweiterung der Regex für diejenigen, URIs die eine automatische Browserabfrage nicht bewältigen können. 
   + Positionieren Sie die Regelgruppe so, dass sie so früh wie möglich bewertet wird, unmittelbar nach allen Regeln, die Datenverkehr zulassen. Regeln werden in aufsteigender numerischer Prioritätsreihenfolge ausgewertet. Die Konsole legt die Reihenfolge für Sie fest und beginnt ganz oben in Ihrer Regelliste. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md). 

1. 

**Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)**

   Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der verwalteten DDo Anti-S-Regelgruppe mit Ihrem Datenverkehr zu überwachen. 
   + Weitere Informationen zum Konfigurieren und Verwenden der Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
   + Informationen zu Amazon Security Lake finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
   + Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

1. 

**Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu**

   Wenn das Schutzpaket (Web-ACL) noch keiner Testressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

1. 

**Überwachen Sie den Datenverkehr und die Übereinstimmung mit den DDo Anti-S-Regeln**

   Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete DDo Anti-S-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die DDo Anti-S- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen `action` gesetzt und `ruleGroupList` mit der `overriddenAction` Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben. 

1. 

**Passen Sie die Behandlung von DDo Anti-S-Webanfragen an**

   Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie DDo Anti-S-Regeln sie sonst behandeln würden. 

   Sie können beispielsweise DDo Anti-S-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der Gruppe mit verwalteten DDo Anti-S-Regeln eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen DDo Anti-S-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. 

1. 

**Entfernen Sie die Testregeln und konfigurieren Sie die DDo Anti-S-Einstellungen**

   Überprüfen Sie Ihre Testergebnisse, um zu bestimmen, welche DDo Anti-S-Regeln Sie nur zur Überwachung im Zählmodus behalten möchten. Deaktivieren Sie für alle Regeln, die Sie mit aktivem Schutz ausführen möchten, den Zählmodus in der Regelgruppenkonfiguration des Protection Packs (Web ACL), damit sie ihre konfigurierten Aktionen ausführen können. Wenn Sie diese Einstellungen abgeschlossen haben, entfernen Sie alle temporären Testlabel-Vergleichsregeln und behalten Sie dabei alle benutzerdefinierten Regeln bei, die Sie für den Produktionsgebrauch erstellt haben. Weitere Überlegungen zur DDo Anti-S-Konfiguration finden Sie unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Überwachen und Anpassen**

   Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die DDo Anti-S-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an. 

# Bewährte Methoden für DDo Anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Schutz während normaler Datenverkehrsperioden aktivieren** — Auf diese Weise kann der Schutz grundlegende Datenverkehrsmuster ermitteln, bevor er auf Angriffe reagiert. Fügen Sie Schutz hinzu, wenn Sie nicht von einem Angriff betroffen sind, und lassen Sie Zeit für die grundlegende Einrichtung.
+ **Regelmäßige Überwachung der Messwerte** — Überprüfen Sie die CloudWatch Kennzahlen, um mehr über die Verkehrsmuster und die Wirksamkeit des Schutzes zu erfahren.
+ **Erwägen Sie den proaktiven Modus für kritische Anwendungen** — Der reaktive Modus wird zwar für die meisten Anwendungsfälle empfohlen, erwägen Sie jedoch, den proaktiven Modus für Anwendungen zu verwenden, die kontinuierlichen Schutz vor bekannten Bedrohungen benötigen.
+ **Testen Sie in Staging-Umgebungen** — Bevor Sie den Schutz in der Produktion aktivieren, sollten Sie die Einstellungen in einer Staging-Umgebung testen und anpassen, um die Auswirkungen auf legitimen Datenverkehr zu verstehen.

# Integrationen von Client-Anwendungen in AWS WAF
<a name="waf-application-integration"></a>

In diesem Abschnitt wird erklärt, wie Sie die intelligente Bedrohungsintegration APIs und die JavaScript CAPTCHA-Integrations-API mit Ihren Funktionen verwenden können. AWS WAF 

Verwenden Sie die AWS WAF Client-Anwendungsintegration APIs , um clientseitige Schutzmaßnahmen mit Ihren AWS serverseitigen Schutzpaketen (Web-ACL) zu verknüpfen. So können Sie sicherstellen, dass es sich bei den Client-Anwendungen, die Webanfragen an Ihre geschützten Ressourcen senden, um die vorgesehenen Clients handelt und dass es sich bei Ihren Endbenutzern um Menschen handelt. 

Verwenden Sie die Client-Integrationen, um Browser-Herausforderungen und CAPTCHA-Rätsel im Hintergrund zu bewältigen, Tokens mit dem Nachweis erfolgreicher Browser- und Endbenutzerantworten zu erhalten und diese Token in Anfragen an Ihre geschützten Endgeräte aufzunehmen. Allgemeine Informationen AWS WAF zu Tokens finden Sie unter. [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md) 

Kombinieren Sie Ihre Client-Integrationen mit Schutzpaketen (Web ACL), die gültige Token für den Zugriff auf Ihre Ressourcen erfordern. Sie können Regelgruppen verwenden, die Challenge-Token prüfen und überwachen, wie sie im nächsten Abschnitt unter aufgeführt sind[Intelligente Bedrohungsintegration und AWS verwaltete Regeln](waf-application-integration-with-AMRs.md), und Sie können die Aktionen CAPTCHA und Challenge Regeln zur Überprüfung verwenden, wie unter beschrieben. [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md) 

AWS WAF bietet zwei Integrationsebenen für JavaScript Anwendungen und eine für mobile Anwendungen: 
+ **Intelligente Integration von Bedrohungen** — Verifizierung der Client-Anwendung und Bereitstellung von AWS Token-Erfassung und -Verwaltung. Dies ähnelt der Funktionalität, die durch die AWS WAF Challenge Regelaktion bereitgestellt wird. Diese Funktionalität integriert Ihre Client-Anwendung vollständig in die `AWSManagedRulesACFPRuleSet` verwaltete Regelgruppe, die `AWSManagedRulesATPRuleSet` verwaltete Regelgruppe und die Zielschutzebene der `AWSManagedRulesBotControlRuleSet` verwalteten Regelgruppe. 

  Die intelligente Bedrohungsintegration stellt APIs mithilfe der AWS WAF Silent Browser Challenge sicher, dass Anmeldeversuche und andere Aufrufe Ihrer geschützten Ressource erst zulässig sind, nachdem der Client ein gültiges Token erworben hat. APIs Sie verwalten die Token-Autorisierung für Ihre Client-Anwendungssitzungen und sammeln Informationen über den Client, um festzustellen, ob er von einem Bot oder von einem Menschen betrieben wird. 
**Anmerkung**  
Dies ist für JavaScript und für mobile Android- und iOS-Anwendungen verfügbar. 
+ **CAPTCHA-Integration** — Verifizieren Sie Endbenutzer mit einem maßgeschneiderten CAPTCHA-Puzzle, das Sie in Ihrer Anwendung verwalten. Dies ähnelt der Funktionalität, die durch die AWS WAF CAPTCHA Regelaktion bereitgestellt wird, bietet jedoch zusätzliche Kontrolle über die Platzierung und das Verhalten der Rätsel. 

  Diese Integration nutzt die JavaScript intelligente Bedrohungsintegration, um Herausforderungen im Hintergrund auszuführen und AWS WAF Tokens auf der Kundenseite bereitzustellen. 
**Anmerkung**  
Dies ist für JavaScript Anwendungen verfügbar. 

**Topics**
+ [Intelligente Bedrohungsintegration und AWS verwaltete Regeln](waf-application-integration-with-AMRs.md)
+ [Zugreifen auf die Integration der AWS WAF Client-Anwendung APIs](waf-application-integration-location-in-console.md)
+ [AWS WAF JavaScript Integrationen](waf-javascript-api.md)
+ [AWS WAF Integration mobiler Anwendungen](waf-mobile-sdk.md)

# Intelligente Bedrohungsintegration und AWS verwaltete Regeln
<a name="waf-application-integration-with-AMRs"></a>

In diesem Abschnitt wird erklärt, wie die intelligente Bedrohungsintegration mit den Regelgruppen für AWS verwaltete Regeln APIs funktioniert.

Die intelligente Bedrohungsintegration APIs arbeitet mit Schutzpaketen (Web ACLs) zusammen, die die Regelgruppen für intelligente Bedrohungen verwenden, um die volle Funktionalität dieser erweiterten verwalteten Regelgruppen zu ermöglichen. 
+ AWS WAF Verwaltete Regelgruppe `AWSManagedRulesACFPRuleSet` zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP). 

  Betrug bei der Kontoerstellung ist eine illegale Online-Aktivität, bei der ein Angreifer ungültige Konten in Ihrer Anwendung erstellt, um beispielsweise Anmeldeboni zu erhalten oder sich als jemand auszugeben. Die verwaltete ACFP-Regelgruppe bietet Regeln zum Blockieren, Kennzeichnen und Verwalten von Anfragen, die Teil betrügerischer Kontoerstellungsversuche sein könnten. Sie APIs ermöglichen eine fein abgestimmte Überprüfung des Client-Browsers und Informationen zur Benutzerinteraktivität, anhand derer die ACFP-Regeln gültigen Client-Verkehr von bösartigem Datenverkehr trennen.

  Weitere Informationen erhalten Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) und [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md).
+ AWS WAF Von Fraud Control verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen (ATP). `AWSManagedRulesATPRuleSet` 

  Kontoübernahmen sind eine illegale Online-Aktivität, bei der sich ein Angreifer unbefugten Zugriff auf das Konto einer anderen Person verschafft. Die von ATP verwaltete Regelgruppe bietet Regeln zum Blockieren, Kennzeichnen und Verwalten von Anfragen, die Teil böswilliger Kontoübernahmeversuche sein könnten. Sie APIs ermöglichen eine fein abgestimmte Client-Überprüfung und Verhaltensaggregation, anhand derer die ATP-Regeln gültigen Client-Verkehr von bösartigem Datenverkehr trennen.

  Weitere Informationen erhalten Sie unter [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md) und [AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md).
+ Gezielte Schutzstufe der von AWS WAF Bot Control verwalteten Regelgruppe. `AWSManagedRulesBotControlRuleSet` 

  Die Palette der Bots reicht von selbstidentifizierenden und nützlichen Bots, wie die meisten Suchmaschinen und Crawler, bis hin zu bösartigen Bots, die Ihre Website angreifen und sich nicht selbst identifizieren. Die verwaltete Regelgruppe von Bot Control bietet Regeln zur Überwachung, Kennzeichnung und Verwaltung der Bot-Aktivitäten in Ihrem Web-Traffic. Wenn Sie die gezielte Schutzstufe dieser Regelgruppe verwenden, verwenden die gezielten Regeln die von ihnen APIs bereitgestellten Client-Sitzungsinformationen, um böswillige Bots besser erkennen zu können. 

  Weitere Informationen erhalten Sie unter [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md) und [AWS WAF Bot-Steuerung](waf-bot-control.md).

Informationen zum Hinzufügen einer dieser verwalteten Regelgruppen zu Ihrem Schutzpaket (Web-ACL) finden Sie in den Verfahren [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md)[Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md), und[Hinzufügen der von AWS WAF Bot Control verwalteten Regelgruppe zu Ihrer Web-ACL](waf-bot-control-rg-using.md).

**Anmerkung**  
Die verwalteten Regelgruppen blockieren derzeit keine Anfragen, denen Token fehlen. Um Anfragen zu blockieren, bei denen Token fehlen, folgen Sie nach der Implementierung Ihrer Anwendungsintegration APIs den Anweisungen unter[Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md). 

# Zugreifen auf die Integration der AWS WAF Client-Anwendung APIs
<a name="waf-application-integration-location-in-console"></a>

In diesem Abschnitt wird erklärt, wo die Anwendungsintegration APIs in der AWS WAF Konsole zu finden ist.

Die JavaScript Integration APIs ist allgemein verfügbar, und Sie können sie für Ihre Browser und andere Geräte verwenden, die ausgeführt werden JavaScript. 

AWS WAF bietet maßgeschneiderte intelligente Bedrohungsintegration SDKs für mobile Android- und iOS-Apps. 
+ Für Android-Apps und TV-Apps SDKs funktionieren sie für Android-API-Version 23 (Android-Version 6) und höher. Informationen zu Android-Versionen finden Sie in den [Versionshinweisen zur SDK-Plattform](https://developer.android.com/tools/releases/platforms).
+ Für mobile iOS-Apps SDKs funktionieren sie für iOS-Version 13 und höher. Informationen zu iOS-Versionen findest du in den [Versionshinweisen zu iOS und iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Apple TV-Apps SDKs funktionieren für tvOS Version 14 oder höher. Informationen zu tvOS-Versionen finden Sie in den [tvOS-Versionshinweisen](https://developer.apple.com/documentation/tvos-release-notes).

**So greifen Sie über die Konsole auf die Integration APIs zu**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Anwendungsintegration** und dann die Registerkarte aus, an der Sie interessiert sind.
   + Die **intelligente Bedrohungsintegration** ist für JavaScript mobile Anwendungen verfügbar. 

     Die Registerkarte enthält Folgendes:
     + Eine Liste der Schutzpakete (Web ACLs), die für die Integration intelligenter Bedrohungsanwendungen aktiviert sind. Die Liste enthält jedes Schutzpaket (Web-ACL), das die `AWSManagedRulesACFPRuleSet` verwaltete Regelgruppe, die `AWSManagedRulesATPRuleSet` verwaltete Regelgruppe oder die gezielte Schutzebene der `AWSManagedRulesBotControlRuleSet` verwalteten Regelgruppe verwendet. Wenn Sie die intelligente Bedrohung implementieren APIs, verwenden Sie die Integrations-URL für das Schutzpaket (Web-ACL), in das Sie integrieren möchten.
     + Die APIs , auf die Sie Zugriff haben. Die JavaScript APIs sind immer verfügbar. Für den Zugriff auf das Handy wenden Sie SDKs sich an den Support unter [Kontakt AWS](https://aws.amazon.com/contact-us).
   + Die **CAPTCHA-Integration** ist für JavaScript Anwendungen verfügbar. 

     Die Registerkarte enthält Folgendes: 
     + Die Integrations-URL zur Verwendung in Ihrer Integration. 
     + Die API-Schlüssel, die Sie für Ihre Client-Anwendungsdomänen erstellt haben. Ihre Verwendung der CAPTCHA-API erfordert einen verschlüsselten API-Schlüssel, der Kunden das Recht gibt, von ihren Domains aus auf AWS WAF CAPTCHA zuzugreifen. Verwenden Sie für jeden Client, mit dem Sie eine Integration durchführen, einen API-Schlüssel, der die Domain des Kunden enthält. Weitere Informationen zu diesen Anforderungen und zur Verwaltung dieser Schlüssel finden Sie unter[Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API](waf-js-captcha-api-key.md).

# AWS WAF JavaScript Integrationen
<a name="waf-javascript-api"></a>

In diesem Abschnitt wird erklärt, wie die AWS WAF JavaScript Integrationen verwendet werden.

Sie können die JavaScript Integration verwenden APIs , um AWS WAF Anwendungsintegrationen in Ihren Browsern und anderen Geräten zu implementieren, die ausgeführt werden. JavaScript 

CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 
+ Die intelligente Bedrohung ermöglicht APIs es Ihnen, die Token-Autorisierung durch eine stille clientseitige Browser-Abfrage zu verwalten und die Token in die Anfragen aufzunehmen, die Sie an Ihre geschützten Ressourcen senden. 
+ Die CAPTCHA-Integrations-API ergänzt die intelligente Bedrohung und ermöglicht es Ihnen APIs, die Platzierung und die Eigenschaften des CAPTCHA-Puzzles in Ihren Client-Anwendungen anzupassen. Diese API nutzt die intelligente Bedrohung, um AWS WAF Token für die Verwendung auf der Seite APIs zu erwerben, nachdem der Endbenutzer das CAPTCHA-Puzzle erfolgreich gelöst hat. 

Durch die Verwendung dieser Integrationen stellen Sie sicher, dass die Remote-Prozedur-Aufrufe Ihres Clients ein gültiges Token enthalten. Wenn diese Integrationen auf den Seiten Ihrer Anwendung vorhanden APIs sind, können Sie in Ihrem Schutzpaket (Web-ACL) Regeln zur Risikominderung implementieren, z. B. das Blockieren von Anfragen, die kein gültiges Token enthalten. Sie können auch Regeln implementieren, die die Verwendung der Token, die Ihre Client-Anwendungen erhalten, erzwingen, indem Sie die CAPTCHA Aktionen Challenge oder in Ihren Regeln verwenden. 

**Beispiel für die Implementierung einer intelligenten Bedrohung APIs**  
Die folgende Liste zeigt die grundlegenden Komponenten einer typischen Implementierung der intelligenten Bedrohung auf APIs einer Webanwendungsseite. 

```
<head>
<script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js" defer></script>
</head>
<script>
const login_response = await AwsWafIntegration.fetch(login_url, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: login_body
  });
</script>
```

**Beispiel für eine Implementierung der CAPTCHA-API JavaScript**  
Mit der CAPTCHA-Integrations-API können Sie das CAPTCHA-Puzzle-Erlebnis Ihrer Endbenutzer individuell anpassen. Die CAPTCHA-Integration nutzt die JavaScript intelligente Bedrohungsintegration für die Browserverifizierung und die Tokenverwaltung und fügt eine Funktion zur Konfiguration und Darstellung des CAPTCHA-Puzzles hinzu. 

Die folgende Liste zeigt die grundlegenden Komponenten einer typischen Implementierung der JavaScript CAPTCHA-API auf einer Webanwendungsseite. 

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            ...
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Topics**
+ [Bereitstellung von Domains zur Verwendung in den Tokens](waf-js-challenge-api-set-token-domain.md)
+ [Verwenden der JavaScript API mit Inhaltssicherheitsrichtlinien](waf-javascript-api-csp.md)
+ [Verwendung der Intelligent Threat JavaScript API](waf-js-challenge-api.md)
+ [Verwenden der CAPTCHA-API JavaScript](waf-js-captcha-api.md)

# Bereitstellung von Domains zur Verwendung in den Tokens
<a name="waf-js-challenge-api-set-token-domain"></a>

In diesem Abschnitt wird erklärt, wie zusätzliche Domänen für Token bereitgestellt werden.

Bei der Erstellung eines AWS WAF Tokens wird standardmäßig die Hostdomäne der Ressource verwendet, die dem Schutzpaket (Web-ACL) zugeordnet ist. Sie können zusätzliche Domänen für die Token bereitstellen, die für den AWS WAF erstellt JavaScript APIs werden. Konfigurieren Sie dazu die globale Variable `window.awsWafCookieDomainList` mit einer oder mehreren Tokendomänen. 

Bei AWS WAF der Erstellung eines Tokens wird die geeignetste, kürzeste Domain aus der Kombination der Domänen in `window.awsWafCookieDomainList` und der Hostdomäne der Ressource verwendet, die dem Protection Pack (Web-ACL) zugeordnet ist. 

Beispieleinstellungen: 

```
window.awsWafCookieDomainList = ['.aws.amazon.com']
```

```
window.awsWafCookieDomainList = ['.aws.amazon.com', 'abc.aws.amazon.com']
```

Sie können in dieser Liste keine öffentlichen Suffixe verwenden. Beispielsweise können Sie `gov.au` oder nicht `co.uk` als Tokendomänen in der Liste verwenden.

Die Domänen, die Sie in dieser Liste angeben, müssen mit Ihren anderen Domänen und Domänenkonfigurationen kompatibel sein: 
+ Bei den Domains muss es sich um solche handeln, die auf der geschützten Host-Domain und der Token-Domainliste basieren, die für das Protection Pack (Web-ACL) konfiguriert ist. AWS WAF Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists). 
+ Wenn Sie die JavaScript CAPTCHA-API verwenden, muss mindestens eine Domain in Ihrem CAPTCHA-API-Schlüssel exakt mit einer der Token-Domains in übereinstimmen `window.awsWafCookieDomainList` oder es muss sich um die Apex-Domain einer dieser Token-Domains handeln. 

  Für die Token-Domain `mySubdomain.myApex.com` stimmt der API-Schlüssel beispielsweise exakt überein und der API-Schlüssel `mySubdomain.myApex.com` entspricht der Apex-Domain. `myApex.com` Jeder Schlüssel entspricht der Token-Domain. 

  Weitere Informationen zu den API-Schlüsseln finden Sie unter[Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API](waf-js-captcha-api-key.md). 

Wenn Sie die `AWSManagedRulesACFPRuleSet` verwaltete Regelgruppe verwenden, können Sie eine Domäne konfigurieren, die mit der Domäne im Kontoerstellungspfad übereinstimmt, den Sie für die Regelgruppenkonfiguration angegeben haben. Weitere Informationen zu dieser Konfiguration finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md).

Wenn Sie die `AWSManagedRulesATPRuleSet` verwaltete Regelgruppe verwenden, können Sie eine Domäne konfigurieren, die mit der Domäne im Anmeldepfad übereinstimmt, die Sie für die Regelgruppenkonfiguration angegeben haben. Weitere Informationen zu dieser Konfiguration finden Sie unter [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md).

# Verwenden der JavaScript API mit Inhaltssicherheitsrichtlinien
<a name="waf-javascript-api-csp"></a>

Dieser Abschnitt enthält eine Beispielkonfiguration für die Zulassungsliste der AWS WAF Apex-Domain.

Wenn Sie Inhaltssicherheitsrichtlinien (CSP) auf Ihre Ressourcen anwenden, müssen Sie die Apex-Domain auf eine Zulassungsliste setzen, damit Ihre JavaScript Implementierung funktioniert. AWS WAF `awswaf.com` JavaScript SDKs Sie richten Aufrufe an verschiedene AWS WAF Endpunkte, sodass diese Domain auf eine Zulassungsliste gesetzt wird, um die Berechtigungen zu erhalten, die für den Betrieb erforderlich sind. SDKs 

Im Folgenden wird eine Beispielkonfiguration für die Zulassungsliste für die Apex-Domäne gezeigt: AWS WAF 

```
connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;
```

Wenn Sie versuchen, die JavaScript SDKs mit Ressourcen zu verwenden, die CSP verwenden, und Sie die AWS WAF Domain nicht auf die Zulassungsliste gesetzt haben, erhalten Sie Fehlermeldungen wie die folgenden: 

```
Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’
```

# Verwendung der Intelligent Threat JavaScript API
<a name="waf-js-challenge-api"></a>

Dieser Abschnitt enthält Anweisungen zur Verwendung der Intelligent Threat JavaScript API in Ihrer Client-Anwendung.

Die intelligenten Bedrohungen APIs bieten Operationen für die Ausführung von Anfragen im Hintergrund gegen den Browser des Benutzers und für den Umgang mit AWS WAF Tokens, die den Nachweis erfolgreicher Abfragen und CAPTCHA-Antworten liefern. 

Implementieren Sie die JavaScript Integration zunächst in einer Testumgebung und dann in der Produktion. Weitere Anleitungen zur Codierung finden Sie in den folgenden Abschnitten. 

 

**Um die intelligente Bedrohung zu nutzen APIs**

1. **Installieren Sie das APIs** 

   Wenn Sie die CAPTCHA-API verwenden, können Sie diesen Schritt überspringen. Wenn Sie die CAPTCHA-API installieren, installiert das Skript automatisch die intelligente Bedrohung. APIs

   1. [Melden Sie sich bei homev2 an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/homev2) 

   1. Wählen Sie im Navigationsbereich **Application integration** (Anwendungsintegration) aus. Auf der Seite **zur Anwendungsintegration** finden Sie Optionen in Registerkarten. 

   1. Wählen Sie **Intelligente Bedrohungsintegration**

   1. Wählen Sie auf der Registerkarte das Schutzpaket (Web-ACL) aus, in das Sie integrieren möchten. Die Liste der Schutzpakete (Web-ACL) enthält nur Schutzpakete (Web ACLs), die die `AWSManagedRulesACFPRuleSet` verwaltete Regelgruppe, die `AWSManagedRulesATPRuleSet` verwaltete Regelgruppe oder die gezielte Schutzstufe der `AWSManagedRulesBotControlRuleSet` verwalteten Regelgruppe verwenden. 

   1. Öffnen Sie den **JavaScript SDK-Bereich** und kopieren Sie das Skript-Tag zur Verwendung in Ihrer Integration. 

   1. Fügen Sie im Seitencode Ihrer Anwendung im `<head>` Abschnitt das Skript-Tag ein, das Sie für das Protection Pack (Web-ACL) kopiert haben. Diese Einbeziehung bewirkt, dass Ihre Clientanwendung beim Laden der Seite automatisch ein Token im Hintergrund abruft. 

      ```
      <head>
          <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
      <head>
      ```

      Diese `<script>`-Auflistung wird mit dem `defer`-Attribut konfiguriert, doch Sie können die Einstellung in `async` ändern, wenn sich die Seite auf andere Weise verhalten soll. 

1. **(Optional) Fügen Sie die Domänenkonfiguration für die Token des Clients** hinzu — Beim AWS WAF Erstellen eines Tokens wird standardmäßig die Hostdomäne der Ressource verwendet, die dem Protection Pack (Web-ACL) zugeordnet ist. Folgen Sie den Anweisungen unter JavaScript APIs, um zusätzliche Domänen für bereitzustellen[Bereitstellung von Domains zur Verwendung in den Tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Codieren Sie Ihre intelligente Bedrohungsintegration** — Verfassen Sie Ihren Code, um sicherzustellen, dass der Token-Abruf abgeschlossen ist, bevor der Client seine Anfragen an Ihre geschützten Endgeräte sendet. Wenn Sie für den Aufruf bereits die `fetch`-API verwenden, können Sie den `fetch`-Wrapper der AWS WAF -Integration ersetzen. Wenn Sie die `fetch` API nicht verwenden, können Sie stattdessen den AWS WAF `getToken` Integrationsvorgang verwenden. In den folgenden Abschnitten finden Sie weitere Code-Anweisungen. 

1. **Fügen Sie Ihrem Schutzpaket (Web-ACL) eine Token-Verifizierung** hinzu — Fügen Sie Ihrem Schutzpaket (Web-ACL) mindestens eine Regel hinzu, die in den Webanfragen, die Ihr Client sendet, nach einem gültigen Challenge-Token sucht. Sie können Regelgruppen verwenden, die Challenge-Token überprüfen und überwachen, z. B. die Zielebene der verwalteten Regelgruppe von Bot Control, und Sie können die Challenge Regelaktion zur Überprüfung verwenden, wie unter beschrieben[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md). 

   Die Ergänzungen des Protection Packs (Web-ACL) stellen sicher, dass Anfragen an Ihre geschützten Endgeräte das Token enthalten, das Sie in Ihrer Client-Integration erworben haben. Anfragen, die ein gültiges, noch nicht abgelaufenes Token enthalten, bestehen die Challenge Prüfung und stellen keine weitere unbemerkte Aufforderung an Ihren Kunden dar. 

1. **(Optional) Blockieren von Anfragen, bei denen Token fehlen** — Wenn Sie die APIs mit der von ACFP verwalteten Regelgruppe, die von ATP verwaltete Regelgruppe oder die gezielten Regeln der Bot Control-Regelgruppe verwenden, blockieren diese Regeln keine Anfragen, bei denen Token fehlen. Folgen Sie den Anweisungen unter, um Anfragen zu blockieren, bei [Anfragen blockieren, die kein gültiges AWS WAF Token haben](waf-tokens-block-missing-tokens.md) denen Token fehlen. 

**Topics**
+ [API-Spezifikation für intelligente Bedrohungen](waf-js-challenge-api-specification.md)
+ [Wie benutzt man den Integration `fetch` Wrapper](waf-js-challenge-api-fetch-wrapper.md)
+ [Wie benutzt man die Integration `getToken`](waf-js-challenge-api-get-token.md)

# API-Spezifikation für intelligente Bedrohungen
<a name="waf-js-challenge-api-specification"></a>

In diesem Abschnitt sind die Spezifikationen für die Methoden und Eigenschaften der intelligenten Bedrohungsabwehr JavaScript APIs aufgeführt. Verwenden Sie diese APIs für intelligente Bedrohungs- und CAPTCHA-Integrationen.

**`AwsWafIntegration.fetch()`**  
Sendet die `fetch` HTTP-Anfrage mithilfe der Integrationsimplementierung an den AWS WAF Server. 

**`AwsWafIntegration.getToken()`**  
Ruft das gespeicherte AWS WAF Token ab und speichert es in einem Cookie auf der aktuellen Seite mit dem Namen `aws-waf-token` und dem auf den Tokenwert gesetzten Wert. 

**`AwsWafIntegration.hasToken()`**  
Gibt einen booleschen Wert zurück, der angibt, ob das `aws-waf-token` Cookie derzeit ein nicht abgelaufenes Token enthält. 

Wenn Sie auch die CAPTCHA-Integration verwenden, finden Sie die entsprechende Spezifikation unter. [JavaScript CAPTCHA-API-Spezifikation](waf-js-captcha-api-specification.md)

# Wie benutzt man den Integration `fetch` Wrapper
<a name="waf-js-challenge-api-fetch-wrapper"></a>

Dieser Abschnitt enthält Anweisungen zur Verwendung des `fetch` Integrations-Wrappers.

Sie verwenden den AWS WAF `fetch`-Wrapper, indem Sie Ihre regulären `fetch`-Aufrufe in die `fetch`-API unter dem `AwsWafIntegration`-Namespace ändern. Der AWS WAF Wrapper unterstützt dieselben Optionen wie der JavaScript `fetch` Standard-API-Aufruf und fügt die Token-Behandlung für die Integration hinzu. Dieser Ansatz ist im Allgemeinen die einfachste Möglichkeit, Ihre Anwendung zu integrieren. 

**Vor der Wrapper-Implementierung**  
Die folgende Beispielliste zeigt Standardcode vor der Implementierung des `AwsWafIntegration`-`fetch`-Wrapper.

```
const login_response = await fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

**Nach der Wrapper-Implementierung**  
Die folgende Auflistung zeigt den gleichen Code wie bei der Implementierung des `AwsWafIntegration`-`fetch`-Wrapper.

```
const login_response = await AwsWafIntegration.fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

# Wie benutzt man die Integration `getToken`
<a name="waf-js-challenge-api-get-token"></a>

In diesem Abschnitt wird erklärt, wie die `getToken` Operation verwendet wird.

AWS WAF erfordert, dass Ihre Anfragen an geschützte Endpunkte das Cookie enthalten, das `aws-waf-token` mit dem Wert Ihres aktuellen Tokens benannt ist. 

Bei der `getToken` Operation handelt es sich um einen asynchronen API-Aufruf, der das AWS WAF Token abruft und es in einem Cookie auf der aktuellen Seite speichert`aws-waf-token`, wobei der Name und der Wert auf den Tokenwert gesetzt sind. Sie können dieses Token-Cookie nach Bedarf auf Ihrer Seite verwenden. 

Wenn Sie `getToken` aufrufen, geschieht Folgendes: 
+ Wenn ein nicht abgelaufenes Token bereits verfügbar ist, gibt der Aufruf es sofort zurück.
+ Andernfalls wird ein neues Token aus dem -Token-Anbieter aufgerufen. Wird der Workflow für den Token-Erwerb nicht innerhalb von 2 Sekunden abgeschlossen, tritt eine Zeitüberschreitung ein. Wenn die Zeitüberschreitung eingetreten ist, wird ein Fehler ausgelöst, der von Ihrem Aufrufcode behoben werden muss. 

Der `getToken`-Betrieb verfügt über den begleitenden `hasToken`-Betrieb, der angibt, ob das `aws-waf-token`-Cookie derzeit ein nicht abgelaufenes Token enthält. 

`AwsWafIntegration.getToken()`ruft ein gültiges Token ab und speichert es als Cookie. Bei den meisten Client-Aufrufen wird dieses Cookie automatisch angehängt, bei einigen jedoch nicht. Bei Aufrufen über Host-Domains hinweg wird das Cookie beispielsweise nicht angehängt. In den folgenden Implementierungsdetails zeigen wir, wie Sie mit beiden Arten von Client-Aufrufen arbeiten können. 

**Grundlegende `getToken` Implementierung für Aufrufe, die das `aws-waf-token` Cookie anhängen**  
Die folgende Beispielliste zeigt Standardcode für die Implementierung des `getToken` Vorgangs mit einer Anmeldeanforderung.

```
const login_response = await AwsWafIntegration.getToken()
	    .catch(e => {
	        // Implement error handling logic for your use case
	    })
	    // The getToken call returns the token, and doesn't typically require special handling
	    .then(token => {
	        return loginToMyPage()
	    })
	
	async function loginToMyPage() {
	    // Your existing login code
	}
```

**Senden Sie das Formular erst ab, wenn das Token unter `getToken` verfügbar ist.**  
Die folgende Auflistung zeigt, wie Sie einen Ereignis-Listener registrieren, um Formularübermittlungen abzufangen, bis ein gültiges Token zur Verwendung verfügbar ist. 

```
<body>
	  <h1>Login</h1>
	  <p></p>
	  <form id="login-form" action="/web/login" method="POST" enctype="application/x-www-form-urlencoded">
	    <label for="input_username">USERNAME</label>
	    <input type="text" name="input_username" id="input_username"><br>
	    <label for="input_password">PASSWORD</label>
	    <input type="password" name="input_password" id="input_password"><br>
	    <button type="submit">Submit<button>
	  </form>
	
	<script>
	  const form = document.querySelector("#login-form");
	
	  // Register an event listener to intercept form submissions
	  form.addEventListener("submit", (e) => {
	      // Submit the form only after a token is available 
	      if (!AwsWafIntegration.hasToken()) {
	          e.preventDefault();
	          AwsWafIntegration.getToken().then(() => {
	              e.target.submit();
	          }, (reason) => { console.log("Error:"+reason) });
	        }
	    });
	</script>
	</body>
```

**Anhängen des Tokens, wenn Ihr Client das `aws-waf-token` Cookie nicht standardmäßig anhängt**  
`AwsWafIntegration.getToken()`ruft ein gültiges Token ab und speichert es als Cookie, aber nicht alle Client-Aufrufe hängen dieses Cookie standardmäßig an. Beispielsweise hängen Aufrufe über Hostdomänen hinweg das Cookie nicht an. 

Der `fetch` Wrapper behandelt diese Fälle automatisch, aber wenn Sie den `fetch` Wrapper nicht verwenden können, können Sie dies mithilfe eines benutzerdefinierten `x-aws-waf-token` Headers handhaben. AWS WAF liest Token aus diesem Header und liest sie zusätzlich aus dem `aws-waf-token` Cookie. Der folgende Code zeigt ein Beispiel für das Setzen des Headers. 

```
const token = await AwsWafIntegration.getToken();
const result = await fetch('/url', {
    headers: {
        'x-aws-waf-token': token,
    },
});
```

Akzeptiert standardmäßig AWS WAF nur Token, die dieselbe Domain wie die angeforderte Host-Domain enthalten. Für alle domänenübergreifenden Token sind entsprechende Einträge in der Token-Domainliste des Protection Packs (Web ACL) erforderlich. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists). 

Weitere Informationen zur domänenübergreifenden Verwendung von Token finden Sie unter [aws-waf-bot-controlaws-samples/](https://github.com/aws-samples/aws-waf-bot-control-api-protection-with-captcha) -. api-protection-with-captcha

# Verwenden der CAPTCHA-API JavaScript
<a name="waf-js-captcha-api"></a>

Dieser Abschnitt enthält Anweisungen zur Verwendung der CAPTCHA-Integrations-API.

Mit der JavaScript CAPTCHA-API können Sie das CAPTCHA-Puzzle konfigurieren und an der gewünschten Stelle in Ihrer Client-Anwendung platzieren. Diese API nutzt die Funktionen der intelligenten Bedrohung, um AWS WAF Token JavaScript APIs zu erwerben und zu verwenden, nachdem ein Endbenutzer ein CAPTCHA-Puzzle erfolgreich gelöst hat. 

Implementieren Sie die JavaScript Integration zunächst in einer Testumgebung und dann in der Produktion. Weitere Anleitungen zur Codierung finden Sie in den folgenden Abschnitten. 

**Um die CAPTCHA-Integrations-API zu verwenden**

1. **Installieren Sie die API**

   1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

   1. Wählen Sie im Navigationsbereich **Application integration** (Anwendungsintegration) aus. Auf der Seite **zur Anwendungsintegration** finden Sie Optionen in Registerkarten. 

   1. Wählen Sie **CAPTCHA-Integration** aus.

   1. Kopieren Sie das aufgelistete JavaScript Integrationsskript-Tag zur Verwendung in Ihrer Integration.

   1. Fügen Sie im Code Ihrer Anwendungsseite im `<head>` Abschnitt das Skript-Tag ein, das Sie kopiert haben. Durch diese Aufnahme steht das CAPTCHA-Puzzle zur Konfiguration und Verwendung zur Verfügung. 

      ```
      <head>
          <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
      </head>
      ```

      Diese `<script>`-Auflistung wird mit dem `defer`-Attribut konfiguriert, doch Sie können die Einstellung in `async` ändern, wenn sich die Seite auf andere Weise verhalten soll. 

      Das CAPTCHA-Skript lädt auch automatisch das intelligente Threat-Integrationsskript, falls es noch nicht vorhanden ist. Das Skript zur intelligenten Bedrohungsintegration veranlasst Ihre Client-Anwendung, beim Laden der Seite automatisch ein Token im Hintergrund abzurufen, und bietet weitere Funktionen zur Tokenverwaltung, die Sie für die Verwendung der CAPTCHA-API benötigen. 

1. **(Optional) Fügen Sie die Domänenkonfiguration für die Token des Clients** hinzu — Standardmäßig AWS WAF wird bei der Erstellung eines Tokens die Hostdomäne der Ressource verwendet, die dem Protection Pack (Web-ACL) zugeordnet ist. Folgen Sie den Anweisungen unter JavaScript APIs, um zusätzliche Domänen für bereitzustellen[Bereitstellung von Domains zur Verwendung in den Tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Holen Sie sich den verschlüsselten API-Schlüssel für den Client** — Die CAPTCHA-API benötigt einen verschlüsselten API-Schlüssel, der eine Liste gültiger Kundendomänen enthält. AWS WAF verwendet diesen Schlüssel, um zu überprüfen, ob die Client-Domain, die Sie mit der Integration verwenden, für die Verwendung AWS WAF von CAPTCHA zugelassen ist. Folgen Sie den Anweisungen unter, um Ihren API-Schlüssel zu generieren. [Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API](waf-js-captcha-api-key.md)

1. **Codieren Sie Ihre CAPTCHA-Widget-Implementierung** — Implementieren Sie den `renderCaptcha()` API-Aufruf auf Ihrer Seite an der Stelle, an der Sie ihn verwenden möchten. Informationen zur Konfiguration und Verwendung dieser Funktion finden Sie in den folgenden Abschnitten und. [JavaScript CAPTCHA-API-Spezifikation](waf-js-captcha-api-specification.md) [Wie rendert man das CAPTCHA-Puzzle](waf-js-captcha-api-render.md) 

   Die CAPTCHA-Implementierung integriert sich in die intelligente Bedrohungsintegration APIs für die Tokenverwaltung und die Ausführung von Abruf-Aufrufen, die die Token verwenden. AWS WAF Anleitungen zu deren APIs Verwendung finden Sie unter. [Verwendung der Intelligent Threat JavaScript API](waf-js-challenge-api.md)

1. **Fügen Sie Ihrem Schutzpaket (Web-ACL) eine Token-Verifizierung** hinzu — Fügen Sie Ihrem Schutzpaket (Web-ACL) mindestens eine Regel hinzu, die überprüft, ob in den von Ihrem Client gesendeten Webanfragen ein gültiges CAPTCHA-Token vorhanden ist. Sie können die CAPTCHA Regelaktion zur Überprüfung verwenden, wie unter beschrieben. [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md) 

   Die Ergänzungen des Protection Packs (Web-ACL) stellen sicher, dass Anfragen, die an Ihre geschützten Endgeräte gesendet werden, das Token enthalten, das Sie in Ihrer Client-Integration erworben haben. Anfragen, die ein gültiges, noch nicht abgelaufenes CAPTCHA-Token enthalten, bestehen die Prüfung der CAPTCHA Regelaktion und stellen Ihren Endbenutzer nicht vor ein weiteres CAPTCHA-Rätsel. 

Nachdem Sie die JavaScript API implementiert haben, können Sie die CloudWatch Metriken für CAPTCHA-Rätselversuche und -lösungen überprüfen. Einzelheiten zu Metriken und Dimensionen finden Sie unter. [Kennzahlen und Dimensionen Ihres Kontos](waf-metrics.md#waf-metrics-account)

**Topics**
+ [JavaScript CAPTCHA-API-Spezifikation](waf-js-captcha-api-specification.md)
+ [Wie rendert man das CAPTCHA-Puzzle](waf-js-captcha-api-render.md)
+ [Umgang mit einer CAPTCHA-Antwort von AWS WAF](waf-js-captcha-api-conditional.md)
+ [Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API](waf-js-captcha-api-key.md)

# JavaScript CAPTCHA-API-Spezifikation
<a name="waf-js-captcha-api-specification"></a>

In diesem Abschnitt sind die Spezifikationen für die Methoden und Eigenschaften des CAPTCHA aufgeführt. JavaScript APIs Verwenden Sie das CAPTCHA, JavaScript APIs um benutzerdefinierte CAPTCHA-Rätsel in Ihren Client-Anwendungen auszuführen. 

Diese API basiert auf der intelligenten Bedrohung APIs, mit der Sie die Erfassung und Verwendung von AWS WAF Token konfigurieren und verwalten. Siehe[API-Spezifikation für intelligente Bedrohungen](waf-js-challenge-api-specification.md).

**`AwsWafCaptcha.renderCaptcha(container, configuration)`**  
Präsentiert dem Endbenutzer ein AWS WAF CAPTCHA-Puzzle und aktualisiert bei Erfolg das Client-Token mit der CAPTCHA-Validierung. Dies ist nur mit der CAPTCHA-Integration verfügbar. Verwenden Sie diesen Anruf zusammen mit der intelligenten Bedrohung APIs , um den Token-Abruf zu verwalten und das Token in Ihren Anrufen bereitzustellen. `fetch` Die intelligente Bedrohung finden Sie APIs unter. [API-Spezifikation für intelligente Bedrohungen](waf-js-challenge-api-specification.md)  
Im Gegensatz zum CAPTCHA-Interstitial, das AWS WAF gesendet wird, zeigt das mit dieser Methode gerenderte CAPTCHA-Puzzle das Rätsel sofort an, ohne dass ein anfänglicher Titelbildschirm angezeigt wird.     
**`container`**  
Das `Element` Objekt für das Zielcontainerelement auf der Seite. Dies wird üblicherweise durch Aufrufen von `document.getElementById()` oder abgerufen`document.querySelector()`.  
Erforderlich: Ja  
Typ: `Element`  
**Konfiguration**  
Ein Objekt, das CAPTCHA-Konfigurationseinstellungen wie folgt enthält: ****    
**`apiKey`**   
Der verschlüsselte API-Schlüssel, der Berechtigungen für die Domäne des Kunden aktiviert. Verwenden Sie die AWS WAF Konsole, um Ihre API-Schlüssel für Ihre Kundendomänen zu generieren. Sie können einen Schlüssel für bis zu fünf Domains verwenden. Weitere Informationen finden Sie unter [Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API](waf-js-captcha-api-key.md).   
Erforderlich: Ja  
Typ: `string`  
**`onSuccess: (wafToken: string) => void;`**   
Wird mit einem gültigen AWS WAF Token aufgerufen, wenn der Endbenutzer ein CAPTCHA-Rätsel erfolgreich gelöst hat. Verwenden Sie das Token in den Anfragen, die Sie an die Endgeräte senden, die Sie mit einem AWS WAF Schutzpaket (Web-ACL) schützen. Das Token liefert den Nachweis und den Zeitstempel für die letzte erfolgreiche Lösung des Rätsels.   
Erforderlich: Ja  
**`onError?: (error: CaptchaError) => void;`**   
Wird mit einem Fehlerobjekt aufgerufen, wenn während der CAPTCHA-Operation ein Fehler auftritt.   
Erforderlich: Nein  
**`CaptchaError`Klassendefinition** — Der `onError` Handler liefert einen Fehlertyp mit der folgenden Klassendefinition.   

```
CaptchaError extends Error {
    kind: "internal_error" | "network_error" | "token_error" | "client_error";
    statusCode?: number;
}
```
+ `kind`— Die Art des zurückgegebenen Fehlers. 
+ `statusCode`— Der HTTP-Statuscode, falls verfügbar. Dieser wird verwendet, `network_error` wenn der Fehler auf einen HTTP-Fehler zurückzuführen ist.  
**`onLoad?: () => void;`**   
Wird aufgerufen, wenn ein neues CAPTCHA-Rätsel geladen wird.  
Erforderlich: Nein  
**`onPuzzleTimeout?: () => void;`**   
Wird aufgerufen, wenn ein CAPTCHA-Rätsel nicht gelöst wird, bevor es abläuft.  
Erforderlich: Nein  
**`onPuzzleCorrect?: () => void;`**   
Wird aufgerufen, wenn eine richtige Antwort auf ein CAPTCHA-Rätsel gegeben wurde.  
Erforderlich: Nein  
**`onPuzzleIncorrect?: () => void;`**   
Wird aufgerufen, wenn eine falsche Antwort auf ein CAPTCHA-Rätsel gegeben wird.  
Erforderlich: Nein  
**`defaultLocale`**   
Das Standard-Gebietsschema, das für das CAPTCHA-Rätsel verwendet werden soll. Die schriftlichen Anweisungen für CAPTCHA-Rätsel sind in Arabisch (ar-SA), vereinfachtem Chinesisch (zh-CN), Niederländisch (nl-NL), Englisch (en-US), Französisch (fr-FR), Deutsch (de-DE), Italienisch (it-IT), Japanisch (ja-JP), Portugiesisch (pt-BR), Spanisch (es-ES) und Türkisch (tr-TR) verfügbar. Audioanweisungen sind für alle Schriftsprachen verfügbar, mit Ausnahme von Chinesisch und Japanisch, für die standardmäßig Englisch verwendet wird. Um die Standardsprache zu ändern, geben Sie die internationale Sprache und den Ländercode an, `ar-SA` z. B.  
Standard: Die Sprache, die derzeit im Browser des Endbenutzers verwendet wird  
Erforderlich: Nein  
Typ: `string`  
**`disableLanguageSelector`**   
Wenn auf gesetzt`true`, verbirgt das CAPTCHA-Puzzle die Sprachauswahl.   
Standard: `false`  
Erforderlich: Nein  
Typ: `boolean`  
**`dynamicWidth`**   
Wenn auf gesetzt`true`, ändert das CAPTCHA-Puzzle aus Gründen der Kompatibilität mit der Breite des Browserfensters seine Breite.   
Standard: `false`  
Erforderlich: Nein  
Typ: `boolean`  
**`skipTitle`**   
**Wenn diese Option auf gesetzt ist`true`, zeigt das CAPTCHA-Puzzle nicht die Überschrift Löse das Rätsel an.**   
Standard: `false`  
Erforderlich: Nein  
Typ: `boolean`

# Wie rendert man das CAPTCHA-Puzzle
<a name="waf-js-captcha-api-render"></a>

Dieser Abschnitt enthält eine `renderCaptcha` Beispielimplementierung.

Sie können den AWS WAF `renderCaptcha` Aufruf an der gewünschten Stelle in Ihrer Client-Schnittstelle verwenden. Der Aufruf ruft ein CAPTCHA-Puzzle ab AWS WAF, rendert es und sendet die Ergebnisse zur Überprüfung an. AWS WAF Wenn Sie den Aufruf tätigen, geben Sie die Konfiguration für das Rendern von Rätseln und die Callbacks an, die Sie ausführen möchten, wenn Ihre Endbenutzer das Rätsel gelöst haben. Einzelheiten zu den Optionen finden Sie im vorherigen Abschnitt,[JavaScript CAPTCHA-API-Spezifikation](waf-js-captcha-api-specification.md).

Verwenden Sie diesen Aufruf in Verbindung mit der Token-Management-Funktionalität der Intelligent Threat Integration APIs. Durch diesen Aufruf erhält Ihr Kunde ein Token, das den erfolgreichen Abschluss des CAPTCHA-Rätsels bestätigt. Verwenden Sie die intelligente Bedrohungsintegration APIs , um das Token zu verwalten und das Token in den Aufrufen Ihres Kunden an die Endgeräte bereitzustellen, die mit AWS WAF Schutzpaketen geschützt sind (Web). ACLs Informationen zur intelligenten Bedrohung finden Sie APIs unter[Verwendung der Intelligent Threat JavaScript API](waf-js-challenge-api.md).

**Beispielimplementierung**  
Die folgende Beispielliste zeigt eine standardmäßige CAPTCHA-Implementierung, einschließlich der Platzierung der AWS WAF Integrations-URL im `<head>` Abschnitt. 

In dieser Auflistung wird die `renderCaptcha` Funktion mit einem erfolgreichen Callback konfiguriert, der den `AwsWafIntegration.fetch` Wrapper der Intelligent Threat Integration verwendet. APIs Hinweise zu dieser Funktion finden Sie unter. [Wie benutzt man den Integration `fetch` Wrapper](waf-js-challenge-api-fetch-wrapper.md)

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Captcha completed. wafToken contains a valid WAF token. Store it for
        // use later or call AwsWafIntegration.fetch() to use it easily.
        // It will expire after a time, so calling AwsWafIntegration.getToken()
        // again is advised if the token is needed later on, outside of using the
        // fetch wrapper.
        
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            headers: {
                "Content-Type": "application/json",
            },
            body: "{ ... }" /* body content */
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Beispiel für Konfigurationseinstellungen**  
Die folgende Beispielliste zeigt die Optionen `renderCaptcha` mit nicht standardmäßigen Einstellungen für die Breite und den Titel. 

```
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            dynamicWidth: true, 
            skipTitle: true
        });
```

Vollständige Informationen zu den Konfigurationsoptionen finden Sie unter[JavaScript CAPTCHA-API-Spezifikation](waf-js-captcha-api-specification.md).

# Umgang mit einer CAPTCHA-Antwort von AWS WAF
<a name="waf-js-captcha-api-conditional"></a>

Dieser Abschnitt enthält ein Beispiel für den Umgang mit einer CAPTCHA-Antwort.

Eine AWS WAF Regel mit einer CAPTCHA Aktion beendet die Auswertung einer passenden Webanfrage, wenn die Anfrage kein Token mit einem gültigen CAPTCHA-Zeitstempel hat. Handelt es sich bei der Anfrage um einen `GET` text/html Anruf, wird dem Client durch die CAPTCHA Aktion ein Interstitial mit einem CAPTCHA-Rätsel angezeigt. Wenn Sie die JavaScript CAPTCHA-API nicht integrieren, führt das Interstitial das Rätsel aus. Wenn der Endbenutzer es erfolgreich löst, wird die Anfrage automatisch erneut gesendet. 

Wenn Sie die JavaScript CAPTCHA-API integrieren und Ihre CAPTCHA-Handhabung anpassen, müssen Sie die abschließende CAPTCHA-Antwort erkennen, Ihr benutzerdefiniertes CAPTCHA bereitstellen und dann, wenn der Endbenutzer das Rätsel erfolgreich löst, die Webanfrage des Kunden erneut einreichen. 

Das folgende Codebeispiel veranschaulicht, wie dazu vorgegangen wird. 

**Anmerkung**  
Die AWS WAF CAPTCHA Aktionsantwort hat den Statuscode HTTP 405, anhand dessen wir die Antwort in diesem Code erkennen. CAPTCHA Wenn Ihr geschützter Endpunkt einen HTTP 405-Statuscode verwendet, um eine andere Art von Antwort für denselben Anruf zu übermitteln, wird mit diesem Beispielcode auch für diese Antworten ein CAPTCHA-Rätsel erstellt. 

```
<!DOCTYPE html>
<html>
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>
<body>
    <div id="my-captcha-box"></div>
    <div id="my-output-box"></div>

    <script type="text/javascript">
    async function loadData() {
        // Attempt to fetch a resource that's configured to trigger a CAPTCHA
        // action if the rule matches. The CAPTCHA response has status=HTTP 405.
        const result = await AwsWafIntegration.fetch("/protected-resource");

        // If the action was CAPTCHA, render the CAPTCHA and return

        // NOTE: If the endpoint you're calling in the fetch call responds with HTTP 405
        // as an expected response status code, then this check won't be able to tell the
        // difference between that and the CAPTCHA rule action response.

        if (result.status === 405) {
            const container = document.querySelector("#my-captcha-box");
            AwsWafCaptcha.renderCaptcha(container, {
                apiKey: "...API key goes here...",
                onSuccess() {
                    // Try loading again, now that there is a valid CAPTCHA token
                    loadData();
                },
            });
            return;
        }

        const container = document.querySelector("#my-output-box");
        const response = await result.text();
        container.innerHTML = response;
    }

    window.addEventListener("load", () => {
        loadData();
    });
    </script>
</body>
</html>
```

# Verwaltung von API-Schlüsseln für die JS-CAPTCHA-API
<a name="waf-js-captcha-api-key"></a>

Dieser Abschnitt enthält Anweisungen zum Generieren und Löschen von API-Schlüsseln.

Um AWS WAF CAPTCHA mit der JavaScript API in eine Client-Anwendung zu integrieren, benötigen Sie das API-Integrations-Tag und den verschlüsselten JavaScript API-Schlüssel für die Client-Domain, in der Sie Ihr CAPTCHA-Puzzle ausführen möchten. 

Die CAPTCHA-Anwendungsintegration für JavaScript verwendet die verschlüsselten API-Schlüssel, um zu überprüfen, ob die Domäne der Client-Anwendung berechtigt ist, die CAPTCHA-API zu verwenden. AWS WAF Wenn Sie die CAPTCHA-API von Ihrem JavaScript Client aus aufrufen, geben Sie einen API-Schlüssel mit einer Domainliste an, die eine Domain für den aktuellen Client enthält. Sie können bis zu 5 Domains in einem einzigen verschlüsselten Schlüssel auflisten. 

**Anforderungen an API-Schlüssel**  
Der API-Schlüssel, den Sie in Ihrer CAPTCHA-Integration verwenden, muss eine Domain enthalten, die für den Client gilt, auf dem Sie den Schlüssel verwenden. 
+ Wenn Sie `window.awsWafCookieDomainList` in der intelligenten Bedrohungsintegration Ihres Kunden eine angeben, muss mindestens eine Domain in Ihrem API-Schlüssel exakt mit einer der Token-Domains in übereinstimmen `window.awsWafCookieDomainList` oder es muss sich um die Apex-Domain einer dieser Token-Domains handeln. 

  Für die Token-Domain `mySubdomain.myApex.com` entspricht der API-Schlüssel `mySubdomain.myApex.com` beispielsweise exakt und der API-Schlüssel `myApex.com` der Apex-Domain. Jeder Schlüssel entspricht der Token-Domain. 

  Hinweise zur Einstellung der Tokendomänenliste finden Sie unter[Bereitstellung von Domains zur Verwendung in den Tokens](waf-js-challenge-api-set-token-domain.md).
+ Andernfalls muss die aktuelle Domain im API-Schlüssel enthalten sein. Die aktuelle Domain ist die Domain, die Sie in der Adressleiste des Browsers sehen können. 

Basierend auf der geschützten Host-Domain und der Token-Domainliste, die für die Web-ACL konfiguriert ist, müssen die verwendeten Domains akzeptiert werden. AWS WAF Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

**Wie wählen Sie die Region für Ihren API-Schlüssel**  
AWS WAF kann CAPTCHA-API-Schlüssel in jeder Region generieren, in der sie verfügbar AWS WAF sind. 

In der Regel sollten Sie für Ihren CAPTCHA-API-Schlüssel dieselbe Region verwenden wie für Ihr Schutzpaket (Web-ACL). Wenn Sie jedoch erwarten, dass ein regionales Schutzpaket (Web-ACL) von einem globalen Publikum verwendet wird, können Sie ein JavaScript CAPTCHA-Integrations-Tag mit Gültigkeitsbereich CloudFront und einen API-Schlüssel mit Gültigkeitsbereich abrufen und diese zusammen mit einem regionalen Schutzpaket (Web-ACL) verwenden. CloudFront Dieser Ansatz ermöglicht es Kunden, ein CAPTCHA-Puzzle aus der Region zu laden, die ihnen am nächsten ist, wodurch die Latenz reduziert wird. 

CAPTCHA-API-Schlüssel, die auf andere Regionen beschränkt sind, werden nicht für die Verwendung in CloudFront mehreren Regionen unterstützt. Sie können nur in der Region verwendet werden, auf die sie beschränkt sind. 

**Um einen API-Schlüssel für Ihre Kundendomänen zu generieren**  
Um die Integrations-URL abzurufen und die API-Schlüssel über die Konsole zu generieren und abzurufen. 

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Application integration** (Anwendungsintegration) aus. 

1. Wählen Sie im Bereich **Schutzpakete (Web ACLs), die für die Anwendungsintegration aktiviert sind**, die Region aus, die Sie für Ihren API-Schlüssel verwenden möchten. Sie können die Region auch im Bereich **API-Schlüssel** auf der Registerkarte **CAPTCHA-Integration** auswählen.

1. Wählen Sie den Tab **CAPTCHA-Integration**. Auf dieser Registerkarte finden Sie das JavaScript CAPTCHA-Integrations-Tag, das Sie in Ihrer Integration verwenden können, sowie die Liste der API-Schlüssel. Beide sind auf die ausgewählte Region beschränkt.

1. Wählen Sie im Bereich **API-Schlüssel** die Option Schlüssel **generieren** aus. Der Dialog zur Schlüsselgenerierung wird angezeigt. 

1. Geben Sie die Client-Domänen ein, die Sie in den Schlüssel aufnehmen möchten. Sie können bis zu 5 eingeben. Wenn Sie fertig sind, wählen Sie **Schlüssel generieren**. Die Benutzeroberfläche kehrt zur Registerkarte CAPTCHA-Integration zurück, auf der Ihr neuer Schlüssel aufgeführt ist. 

   Einmal erstellt, ist ein API-Schlüssel unveränderlich. Wenn Sie Änderungen an einem Schlüssel vornehmen müssen, generieren Sie einen neuen Schlüssel und verwenden Sie ihn stattdessen. 

1. (Optional) Kopieren Sie den neu generierten Schlüssel zur Verwendung in Ihrer Integration. 

Sie können AWS SDKs für diese Arbeit auch den REST APIs oder eine der sprachspezifischen Sprachen verwenden. [Die REST-API-Aufrufe lauten [Create APIKey und List](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateAPIKey.html). APIKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListAPIKeys.html) 

**So löschen Sie einen API-Schlüssel**  
Um einen API-Schlüssel zu löschen, müssen Sie die REST-API oder eine der sprachspezifischen APIs verwenden AWS SDKs. Der REST-API-Aufruf lautet [Delete APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteAPIKey.html). Sie können die Konsole nicht verwenden, um einen Schlüssel zu löschen. 

Nachdem Sie einen Schlüssel gelöscht haben, kann es bis zu 24 Stunden dauern, AWS WAF bis die Verwendung des Schlüssels in allen Regionen nicht mehr zulässig ist. 

# AWS WAF Integration mobiler Anwendungen
<a name="waf-mobile-sdk"></a>

In diesem Abschnitt wird das Thema der Verwendung von AWS WAF Mobiltelefonen SDKs zur Implementierung AWS WAF intelligenter Bedrohungsintegration SDKs für Android- und iOS-Mobil- und TV-Apps vorgestellt. TV-Apps SDKs sind mit den wichtigsten Smart-TV-Plattformen kompatibel, darunter Android TV und Apple TV.
+ Für Android-Apps und TV-Apps SDKs funktionieren sie für Android-API-Version 23 (Android-Version 6) und höher. Informationen zu Android-Versionen finden Sie in den [Versionshinweisen zur SDK-Plattform](https://developer.android.com/tools/releases/platforms).
+ Für mobile iOS-Apps SDKs funktionieren sie für iOS-Version 13 und höher. Informationen zu iOS-Versionen findest du in den [Versionshinweisen zu iOS und iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Apple TV-Apps SDKs funktionieren für tvOS Version 14 oder höher. Informationen zu tvOS-Versionen finden Sie in den [tvOS-Versionshinweisen](https://developer.apple.com/documentation/tvos-release-notes).

Mit dem AWS WAF SDK für Mobilgeräte können Sie die Token-Autorisierung verwalten und die Tokens in die Anfragen aufnehmen, die Sie an Ihre geschützten Ressourcen senden. Durch die Verwendung von stellen Sie sicher SDKs, dass diese Remote-Prozedur-Aufrufe durch Ihren Client ein gültiges Token enthalten. Wenn diese Integration auf den Seiten Ihrer Anwendung eingerichtet ist, können Sie außerdem Regeln zur Risikominderung in Ihrem Schutzpaket (Web-ACL) implementieren, z. B. das Blockieren von Anfragen, die kein gültiges Token enthalten.

Wenden Sie sich für den Zugriff auf das Handy SDKs an den Support unter [Kontakt AWS](https://aws.amazon.com/contact-us).

**Anmerkung**  
Die AWS WAF Mobiltelefone SDKs sind nicht für die CAPTCHA-Anpassung verfügbar.

Der grundlegende Ansatz für die Verwendung des SDK besteht darin, mithilfe eines Konfigurationsobjekts einen Token-Anbieter zu erstellen und dann den Token-Anbieter zum Abrufen von Tokens zu verwenden. AWS WAF Standardmäßig schließt der Token-Anbieter die abgerufenen Token in die Webanforderungen an Ihre geschützte Ressource ein. 

Im Folgenden finden Sie eine unvollständige Auflistung einer SDK-Implementierung, die die Hauptkomponenten zeigt. Weitere detaillierte Beispiele finden Sie unter [Codebeispiele für das AWS WAF mobile SDK](waf-mobile-sdk-coding-examples.md).

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
	let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
	let tokenProvider = WAFTokenProvider(configuration)
	let token = tokenProvider.getToken()
```

------
#### [ Android ]

```
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");
	String domainName = "Domain name";
	WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
	WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);
	WAFToken token = tokenProvider.getToken();
```

------

# Installation des SDK AWS WAF für Mobilgeräte
<a name="waf-mobile-sdk-installing"></a>

Dieser Abschnitt enthält Anweisungen zur Installation des SDK für AWS WAF Mobilgeräte.

Für den Zugriff auf das Handy wenden Sie SDKs sich an den Support unter [Kontakt AWS](https://aws.amazon.com/contact-us).

Implementieren Sie das SDK für Mobilgeräte zuerst in einer Testumgebung und dann in der Produktion.

**Um das SDK für AWS WAF Mobilgeräte zu installieren**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich **Application integration** (Anwendungsintegration) aus. 

1. Gehen Sie auf der Registerkarte **Intelligente Bedrohungsintegrationen** wie folgt vor: 

   1. Suchen Sie im Bereich **Schutzpakete (Web ACLs), die für die Anwendungsintegration aktiviert sind**, das Schutzpaket (Web-ACL), in das Sie integrieren möchten. Kopieren und speichern Sie die Integrations-URL des Protection Packs (Web-ACL) zur Verwendung in Ihrer Implementierung. Sie können diese URL auch über den API-Aufruf `GetWebACL` abrufen.

   1. Wählen Sie den Typ und die Version des Mobilgeräts und dann die Option **Download** (Herunterladen) aus. Sie können eine beliebige Version wählen, wir empfehlen jedoch, die neueste Version zu verwenden. AWS WAF lädt die `zip` Datei für Ihr Gerät an Ihren Standard-Download-Speicherort herunter.

1. Entpacken Sie die Datei in Ihrer App-Entwicklungsumgebung an einem Speicherort Ihrer Wahl. Suchen und öffnen Sie im Verzeichnis der ZIP-Datei die `README`-Datei. Folgen Sie den Anweisungen in der `README` Datei, um das AWS WAF mobile SDK zur Verwendung in Ihrem mobilen App-Code zu installieren. 

1. Programmieren Sie Ihre App gemäß den Anweisungen in den folgenden Abschnitten.

# AWS WAF SDK-Spezifikation für Mobilgeräte
<a name="waf-mobile-sdk-specification"></a>

In diesem Abschnitt werden die SDK-Objekte, -Operationen und -Konfigurationseinstellungen für die neueste verfügbare Version des SDK für AWS WAF Mobilgeräte aufgeführt. Ausführliche Informationen darüber, wie der Token-Anbieter und die Operationen für die verschiedenen Kombinationen von Konfigurationseinstellungen funktionieren, finden Sie unter [So funktioniert das SDK AWS WAF für Mobilgeräte](waf-mobile-sdk-how-it-works.md). 

**`WAFToken`**  
Enthält ein AWS WAF Token.    
**`getValue()`**  
Ruft die `String`-Darstellung des `WAFToken` auf. 

**`WAFTokenProvider`**  
Verwaltet Token in Ihrer mobilen App. Implementieren Sie dies mit einem `WAFConfiguration`-Objekt.    
**`getToken()`**  
Wenn die Hintergrundaktualisierung aktiviert ist, wird das zwischengespeicherte Token zurückgegeben. Wenn die Aktualisierung im Hintergrund deaktiviert ist, wird ein synchroner, blockierender Aufruf AWS WAF zum Abrufen eines neuen Tokens ausgeführt.   
**`loadTokenIntoProvider(WAFToken)`**  
Lädt das angegebene Token in das `WAFTokenProvider` und ersetzt dabei alle Token, die der Anbieter verwaltet hat. Der Token-Anbieter übernimmt den Besitz des neuen Tokens und kümmert sich um dessen zukünftige Aktualisierung. Dieser Vorgang aktualisiert auch das Token im Cookie-Speicher, sofern `setTokenCookie` es im aktiviert ist`WAFConfiguration`.  
**`onTokenReady(WAFTokenResultCallback)`**  
Dadurch wird der Token-Anbieter angewiesen, das Token zu aktualisieren und das bereitgestellte Callback aufzurufen, wenn ein aktives Token bereit ist. Der Token-Anbieter ruft das Callback in einem Hintergrund-Thread auf, wenn das Token zwischengespeichert und bereit ist. Rufen Sie dies auf, wenn Ihre App zum ersten Mal geladen wird und wenn sie wieder in einen aktiven Zustand zurückversetzt wird. Weitere Informationen zum Zurückversetzen in einen aktiven Zustand finden Sie unter [Abrufen eines Tokens nach App-Inaktivität](waf-mobile-sdk-how-it-works.md#waf-mobile-sdk-how-back-from-inactive).   
Für Android- oder iOS-Apps können Sie `WAFTokenResultCallback` auf die Operation festlegen, die der Token-Anbieter ausführen soll, wenn ein angefordertes Token bereit ist. Bei Ihrer Implementierung von `WAFTokenResultCallback` müssen die Parameter `WAFToken` und `SdkError` übernommen werden. Für iOS-Apps können Sie alternativ eine Inline-Funktion erstellen.   
**`storeTokenInCookieStorage(WAFToken)`**  
Weist den `WAFTokenProvider` an, das angegebene AWS WAF Token im Cookie-Manager des SDK zu speichern. Standardmäßig wird das Token dem Cookie-Speicher nur hinzugefügt, wenn es zum ersten Mal abgerufen und aktualisiert wird. Wenn die Anwendung den gemeinsamen Cookie-Speicher aus irgendeinem Grund löscht, fügt das SDK das AWS WAF Token erst bei der nächsten Aktualisierung automatisch wieder hinzu. 

**`WAFConfiguration`**  
Enthält die Konfiguration für die Implementierung des `WAFTokenProvider`. Wenn Sie dies implementieren, geben Sie die Integrations-URL Ihres Schutzpakets (Web-ACL), den Domainnamen, der im Token verwendet werden soll, und alle nicht standardmäßigen Einstellungen an, die der Token-Anbieter verwenden soll.   
In der folgenden Liste sind die Konfigurationseinstellungen aufgeführt, die Sie im `WAFConfiguration`-Objekt verwalten.    
**`applicationIntegrationUrl`**   
Die URL der Anwendungsintegration. Rufen Sie dies von der AWS WAF Konsole oder über den `getWebACL` API-Aufruf ab.  
Erforderlich: Ja  
Typ: App-spezifische URL. Informationen zu iOS finden Sie unter [iOS URL](https://developer.apple.com/documentation/foundation/url) (iOS-URL). Informationen zu Android finden Sie unter [java.net URL](https://docs.oracle.com/javase/7/docs/api/java/net/URL.html) (java.net-URL).   
**`backgroundRefreshEnabled`**   
Gibt an, ob der Token-Anbieter das Token im Hintergrund aktualisieren soll. Wenn Sie dies festlegen, aktualisiert der Token-Anbieter im Hintergrund Ihre Token gemäß den Konfigurationseinstellungen, die die Aktivitäten zur automatischen Token-Aktualisierung regeln.   
Erforderlich: Nein  
Typ: `Boolean`  
Standardwert: `TRUE`  
**`domainName`**   
Die im Token zu verwendende Domain, die bei der Token-Erfassung und Speicherung von Cookies verwendet wird. Zum Beispiel `example.com` oder `aws.amazon.com`. Dies ist normalerweise die Hostdomäne Ihrer Ressource, die dem Protection Pack (Web-ACL) zugeordnet ist, an das Sie Webanfragen senden werden. Bei der verwalteten ACFP-Regelgruppe handelt `AWSManagedRulesACFPRuleSet` es sich in der Regel um eine einzelne Domäne, die mit der Domäne im Kontoerstellungspfad übereinstimmt, den Sie in der Regelgruppenkonfiguration angegeben haben. Bei der von ATP verwalteten Regelgruppe `AWSManagedRulesATPRuleSet` handelt es sich in der Regel um eine einzelne Domäne, die der Domäne in dem Anmeldepfad entspricht, den Sie in der Regelgruppenkonfiguration angegeben haben.   
Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie `gov.au` oder nicht `co.uk` als Token-Domain verwenden.  
Basierend auf der geschützten Host-Domain und der Token-Domainliste des Protection Packs (Web-ACL) muss es sich um eine Domain handeln, die akzeptiert AWS WAF wird. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).  
Erforderlich: Ja  
Typ: `String`   
**`maxErrorTokenRefreshDelayMsec`**   
Maximale Wartezeit in Millisekunden, bevor eine Token-Aktualisierung nach einem fehlgeschlagenen Versuch wiederholt wird. Für jede automatische Wiederholung eines fehlgeschlagenen Versuchs wird ein exponentieller Backoff bis zur angegebenen Eingabeverzögerungszeit hinzugefügt. Dieser Wert wird verwendet, nachdem der Token-Abruf fehlgeschlagen ist und `maxRetryCount`-mal erneut versucht wurde.   
Erforderlich: Nein  
Typ: `Integer`  
Standardwert: `5000` (5 Sekunden)  
Zulässiger Mindestwert: `1` (1 Millisekunde)  
Zulässiger Höchstwert: `30000` (30 Sekunden)  
**`maxRetryCount`**   
Die maximale Anzahl von Wiederholungen, die mit exponentiellem Backoff ausgeführt werden sollen, wenn ein Token angefordert wird.   
Erforderlich: Nein  
Typ: `Integer`  
Standardwert: `Infinity`  
Zulässiger Mindestwert: `0`  
Zulässiger Höchstwert: `100`  
**`setTokenCookie`**   
Gibt an, ob der Cookie-Manager des SDK ein Token-Cookie zu Anfragen und anderen Bereichen hinzufügen soll.   
Mit einem `TRUE` Wert:   
+ Der Cookie-Manager fügt allen Anfragen, deren Pfad unter dem in angegebenen Pfad liegt, ein Token-Cookie hinzu`tokenCookiePath`. 
+ Der `WAFTokenProvider` Vorgang `loadTokenIntoProvider()` aktualisiert das Token im Cookie-Speicher und lädt es zusätzlich in den Token-Anbieter.
Erforderlich: Nein  
Typ: `Boolean`  
Standardwert: `TRUE`  
**`tokenCookiePath`**   
Wird verwendet wenn `setTokenCookie` `TRUE` ist. Gibt den obersten Pfad an, auf dem der Cookie-Manager des SDK ein Token-Cookie hinzufügen soll. Der Manager fügt allen Anforderungen, die Sie an diesen Pfad und an alle untergeordneten Pfade senden, ein Token-Cookie hinzu.   
Wenn Sie hierfür beispielsweise `/web/login` festlegen, schließt der Manager das Token-Cookie für alles ein, was an `/web/login` und sämtliche untergeordneten Pfade, etwa `/web/login/help`, gesendet wird. Nicht enthalten ist das Token für Anforderungen, die an andere Pfade gesendet werden, etwa `/`, `/web` oder `/web/order`.   
Erforderlich: Nein  
Typ: `String`  
Standardwert: `/`  
**`tokenRefreshDelaySec`**   
Wird für die Hintergrundaktualisierung verwendet. Die maximale Zeitspanne in Sekunden zwischen den Hintergrundaktualisierungen des Tokens wird angezeigt.  
Erforderlich: Nein  
Typ: `Integer`  
Standardwert: `88`  
Zulässiger Mindestwert: `88`  
Zulässiger Höchstwert: `300` (5 Minuten)

## AWS WAF SDK-Fehler für Mobilgeräte
<a name="waf-mobile-sdk-errors"></a>

In diesem Abschnitt werden die möglichen Fehler für die aktuelle AWS WAF mobile SDK-Version aufgeführt.

**`SdkError`**  
Der Fehlertyp, der zurückgegeben wurde, wenn ein Token nicht abgerufen werden konnte. Das Android- und das iOS-SDK haben dieselben Fehlertypen.  
Das SDK AWS WAF für Mobilgeräte weist die folgenden Fehlertypen auf:    
**`invalidChallenge`**  
Dieser Fehler wird zurückgegeben, wenn der Token-Server ungültige Challenge-Daten zurückgibt oder der Antwort-Blob von einem Angreifer mutiert wurde.  
**`errorInvokingGetChallengeEndpoint`**  
Dieser Fehler wird zurückgegeben, wenn der Token-Server einen fehlgeschlagenen Antwortcode an den Client zurücksendet oder wenn ein Netzwerkfehler auftritt.  
**`invalidVerifyChallengeResponse`**  
Dieser Fehler wird zurückgegeben, wenn beim Abrufen der `aws-waf-token` Bestätigungsantwort des AWS WAF Servers ein Fehler auftritt oder wenn die Serverantwort manipuliert wurde.  
**`errorInvokingVerifyEndpoint`**  
Dieser Fehler wird zurückgegeben, wenn der Client eine schlechte Antwort vom AWS WAF Server erhält oder wenn bei der Überprüfung der gelösten Anfrage ein Netzwerkfehler aufgetreten ist.  
**`internalError`**  
Dieser Fehler wird bei allen anderen Fehlern zurückgegeben, die im SDK selbst auftreten können.

**`socketTimeoutException`**  
Dieser Fehler wird häufig zurückgegeben, wenn beim Abrufen von Token Netzwerkfehler auftreten.  
Dieser Fehler kann folgende Ursachen haben:  
+ Niedrige Netzwerkbandbreite: Bestätigen Sie Ihre Netzwerkverbindungseinstellungen
+ Mutierte URL für die Anwendungsintegration: Stellen Sie sicher, dass die Integrations-URL nicht an die auf der AWS WAF Konsole angezeigte URL angepasst wurde

# So funktioniert das SDK AWS WAF für Mobilgeräte
<a name="waf-mobile-sdk-how-it-works"></a>

In diesem Abschnitt wird erklärt, wie die Klassen, Eigenschaften und Operationen des AWS WAF mobilen SDK zusammenarbeiten.

Das Handy SDKs bietet Ihnen einen konfigurierbaren Token-Anbieter, den Sie zum Abrufen und Verwenden von Token verwenden können. Der Token-Anbieter überprüft, ob die von Ihnen zugelassenen Anforderungen von legitimen Kunden stammen. Wenn Sie Anfragen an die AWS Ressourcen senden, mit denen Sie sich schützen AWS WAF, fügen Sie das Token in ein Cookie ein, um die Anfrage zu validieren. Sie können das Token-Cookie manuell bearbeiten oder die Bearbeitung dem Token-Anbieter überlassen.

In diesem Abschnitt werden die Interaktionen zwischen den Klassen, Eigenschaften und Methoden behandelt, die im mobilen SDK enthalten sind. Informationen zur SDK-Spezifikation finden Sie unter [AWS WAF SDK-Spezifikation für Mobilgeräte](waf-mobile-sdk-specification.md). 

## Abrufen und Caching von Token
<a name="waf-mobile-sdk-how-token-basics"></a>

Wenn Sie die Instance des Token-Anbieters in Ihrer mobilen App erstellen, konfigurieren Sie, wie Sie Token und den Abruf von Token verwalten möchten. In erster Linie müssen Sie festlegen, wie gültige, nicht abgelaufene Token für die Verwendung in den Webanforderungen Ihrer App gepflegt werden sollen:
+ **Hintergrundaktualisierung aktiviert**: Das ist die Standardeinstellung. Der Token-Anbieter aktualisiert das Token automatisch im Hintergrund und speichert es im Cache. Bei aktivierter Hintergrundaktualisierung wird das zwischengespeicherte Token abgerufen, wenn Sie `getToken()` aufrufen. 

  Der Token-Anbieter führt die Token-Aktualisierung in konfigurierbaren Intervallen durch, sodass ein nicht abgelaufenes Token immer im Cache verfügbar ist, während die Anwendung aktiv ist. Die Hintergrundaktualisierung wird angehalten, während sich Ihre Anwendung in einem inaktiven Zustand befindet. Weitere Informationen hierzu finden Sie unter [Abrufen eines Tokens nach App-Inaktivität](#waf-mobile-sdk-how-back-from-inactive).
+ **Hintergrundaktualisierung deaktiviert**: Sie können die Hintergrundaktualisierung von Token deaktivieren und Token nur bei Bedarf abrufen. Bei Bedarf abgerufene Token werden nicht zwischengespeichert und Sie können mehrere abrufen, falls gewünscht. Jedes Token ist unabhängig von anderen abgerufenen Token und verfügt jeweils über einen eigenen Zeitstempel, der zur Berechnung des Ablaufs verwendet wird.

  Sie haben die folgenden Möglichkeiten für den Token-Abruf, wenn die Hintergrundaktualisierung deaktiviert ist: 
  + **`getToken()`**— Wenn Sie bei deaktivierter Aktualisierung im Hintergrund aufrufen`getToken()`, ruft der Aufruf synchron ein neues Token von ab. AWS WAF Dies ist ein potenziell blockierender Anruf, der sich auf die Reaktionsfähigkeit der App auswirken kann, wenn Sie ihn im Haupt-Thread aufrufen. 
  + **`onTokenReady(WAFTokenResultCallback)`**: Bei diesem Aufruf wird asynchron ein neues Token abgerufen. Das bereitgestellte Ergebnis-Callback wird dann in einem Hintergrund-Thread aufgerufen, wenn ein Token bereit ist. 

### Wiederholen fehlgeschlagener Token-Abrufe durch den Token-Anbieter
<a name="waf-mobile-sdk-how-token-retrieval-retries"></a>

Der Token-Anbieter wiederholt den Token-Abruf automatisch erneut, wenn er fehlgeschlagen ist. Wiederholungen werden zunächst mit exponentiellem Backoff mit einer Wartezeit von 100 ms durchgeführt. Hinweise zu exponentiellen Wiederholungen finden Sie unter [Fehlerwiederholungen](https://docs.aws.amazon.com/general/latest/gr/api-retries.html) und exponentielles Backoff in. AWS

Wenn die Anzahl der Wiederholungen die konfigurierte `maxRetryCount` erreicht, stellt der Token-Anbieter die Versuche entweder ein oder versucht es ab sofort alle `maxErrorTokenRefreshDelayMsec` Millisekunden, abhängig von der Art des Token-Abrufs: 
+ **`onTokenReady()`**: Der Token-Anbieter wartet ab sofort `maxErrorTokenRefreshDelayMsec` Millisekunden zwischen den einzelnen Versuchen und versucht weiterhin, das Token abzurufen. 
+ **Hintergrundaktualisierung**: Der Token-Anbieter wartet ab sofort `maxErrorTokenRefreshDelayMsec` Millisekunden zwischen den einzelnen Versuchen und versucht weiterhin, das Token abzurufen. 
+ **On-Demand-`getToken()`-Aufrufe, wenn die Hintergrundaktualisierung deaktiviert ist**: Der Token-Anbieter versucht nicht mehr, ein Token abzurufen, und gibt den Wert des vorherigen Tokens oder einen Nullwert zurück, wenn kein vorheriges Token vorhanden ist. 

## Szenarien für den Abruf und die Wiederholung von Token
<a name="waf-mobile-sdk-how-token-retrieval-retry-scenarios"></a>

Wenn der Token-Anbieter versucht, ein Token abzurufen, kann dies zu automatischen Wiederholungen führen, je nachdem, wo der Token-Abruf im Token-Akquisitionsablauf fehlschlägt. In diesem Abschnitt sind die möglichen Stellen aufgeführt, an denen möglicherweise eine automatische Wiederholung angezeigt wird.
+ **Abrufen oder Verifizieren der AWS WAF Challenge über /inputs oder /verify:**
  + Wenn eine Anfrage zum Abrufen und Überprüfen einer Anfrage AWS WAF gestellt wird und fehlschlägt, kann dies zu einer automatischen Wiederholung führen.
  + Möglicherweise stellen Sie hier automatische Wiederholungen zusammen mit einem `socketTimeoutException` Fehler fest. Dies kann mehrere Ursachen haben, darunter:
    + Niedrige Netzwerkbandbreite: Bestätigen Sie Ihre Netzwerkverbindungseinstellungen
    + Mutierte URL für die Anwendungsintegration: Stellen Sie sicher, dass die Integrations-URL nicht an die auf der AWS WAF Konsole angezeigte URL angepasst wurde
  + Die Anzahl der automatischen Wiederholungen ist mit der Funktion konfigurierbar `maxRetryCount()`
+ **Das Token aktualisieren:**
  + Wenn eine Anforderung zur Aktualisierung des Tokens über den Token-Handler gestellt wird, kann dies zu einer automatischen Wiederholung führen.
  + Die Anzahl der automatischen Wiederholungen ist hier mit der `maxRetryCount()` Funktion konfigurierbar.

Eine Konfiguration ohne automatische Wiederholungen ist per Einstellung möglich. `maxRetryCount(0)`

## Token-Immunitätszeit und Aktualisierung im Hintergrund
<a name="waf-mobile-sdk-how-token-immunity"></a>

Die Token-Immunitätszeit, die Sie in der Web-ACL konfigurieren, ist unabhängig vom Token-Aktualisierungsintervall, das Sie im SDK für AWS WAF Mobilgeräte festgelegt haben. Wenn Sie die Aktualisierung im Hintergrund aktivieren, aktualisiert das SDK das Token in dem von Ihnen angegebenen `tokenRefreshDelaySec()` Intervall. Dies kann dazu führen, dass mehrere gültige Token gleichzeitig existieren, abhängig von Ihrer konfigurierten Immunitätszeit.

Um zu verhindern, dass mehrere gültige Token vorhanden sind, können Sie die Aktualisierung im Hintergrund deaktivieren und die `getToken()` Funktion verwenden, um den Token-Lebenszyklus in Ihrer mobilen App zu verwalten.

## Abrufen eines Tokens nach App-Inaktivität
<a name="waf-mobile-sdk-how-back-from-inactive"></a>

Die Hintergrundaktualisierung wird nur durchgeführt, während Ihre App für Ihren App-Typ als aktiv gilt: 
+ **iOS**: Die Hintergrundaktualisierung wird durchgeführt, wenn sich die App im Vordergrund befindet.
+ **Android**: Die Hintergrundaktualisierung wird durchgeführt, wenn die App nicht geschlossen wird, unabhängig davon, ob sie sich im Vordergrund oder im Hintergrund befindet.

Wenn Ihre App in einem Zustand verbleibt, der die Hintergrundaktualisierung länger als die konfigurierten `tokenRefreshDelaySec` Sekunden nicht unterstützt, unterbricht der Token-Anbieter die Hintergrundaktualisierung. Wenn beispielsweise für eine iOS-App die `tokenRefreshDelaySec` 300 beträgt und die App geschlossen wird oder länger als 300 Sekunden in den Hintergrund versetzt wird, aktualisiert der Token-Anbieter das Token nicht mehr. Wenn die App in einen aktiven Zustand zurückkehrt, startet der Token-Anbieter die Hintergrundaktualisierung automatisch neu. 

Wenn Ihre App wieder in einen aktiven Zustand zurückkehrt, rufen Sie `onTokenReady()` auf, um benachrichtigt zu werden, wenn der Token-Anbieter ein neues Token abgerufen und zwischengespeichert hat. Rufen Sie nicht einfach an`getToken()`, da der Cache möglicherweise noch kein aktuelles, gültiges Token enthält. 

## URL zur Anwendungsintegration
<a name="waf-mobile-sdk-application-integration-url"></a>

Die URL zur Integration der AWS WAF mobilen SDK-Anwendung verweist auf eine Web-ACL, die Sie für die Anwendungsintegration aktiviert haben. Diese URL leitet Anfragen an den richtigen Backend-Server weiter und ordnet sie Ihrem Kunden zu. Sie dient nicht als strenge Sicherheitskontrolle, sodass die Offenlegung einer Integrations-URL kein Sicherheitsrisiko darstellt.

Sie können die angegebene Integrations-URL technisch ändern und trotzdem ein Token erhalten. Wir empfehlen dies jedoch nicht, da Sie möglicherweise den Überblick über die Anzahl der Problemlösungen verlieren oder `socketTimeoutException` Fehler beim Abrufen von Token auftreten könnten.

## Abhängigkeiten
<a name="waf-mobile-sdk-dependencies"></a>

Jedes herunterladbare SDK für AWS WAF Mobilgeräte enthält eine README-Datei, in der die Abhängigkeiten für die jeweilige Version des SDK aufgeführt sind. Die Abhängigkeiten für Ihre Version des SDK für Mobilgeräte finden Sie in der README-Datei.

## Verschleierung/ (ProGuard nur Android-SDK)
<a name="waf-mobile-sdk-obfuscation"></a>

Wenn Sie ein Produkt wie Verschleierung oder Minimierung verwenden, müssen Sie möglicherweise bestimmte Namespaces ausschließen ProGuard, um sicherzustellen, dass das SDK für Mobilgeräte ordnungsgemäß funktioniert. Die Liste der Namespaces und Ausschlussregeln finden Sie in der README-Datei für Ihre Version des SDK für Mobilgeräte.

# Codebeispiele für das AWS WAF mobile SDK
<a name="waf-mobile-sdk-coding-examples"></a>

Dieser Abschnitt enthält Beispiele für die Verwendung des SDK für Mobilgeräte. 

## Initialisieren des Token-Anbieters und Abrufen von Token
<a name="waf-mobile-sdk-coding-basic"></a>

Sie initiieren die Instance des Token-Anbieters mit einem Konfigurationsobjekt. Dann können Sie Token mit den verfügbaren Operationen abrufen. Im Folgenden finden Sie die grundlegenden Benutzeroberflächenkomponenten des erforderlichen Codes.

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
let tokenProvider = WAFTokenProvider(configuration)

//onTokenReady can be add as an observer for UIApplication.willEnterForegroundNotification
self.tokenProvider.onTokenReady() { token, error in
	if let token = token {
	//token available
	}

	if let error = error {
	//error occurred after exhausting all retries
	}
}

//getToken()
let token = tokenProvider.getToken()
```

------
#### [ Android ]

Java-Beispiel:

```
String applicationIntegrationURL = "protection pack (web ACL) integration URL";
//Or
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");

String domainName = "Domain name";

WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);

// implement a token result callback
WAFTokenResultCallback callback = (wafToken, error) -> {
	if (wafToken != null) {
	// token available
	} else {  
	// error occurred in token refresh  
	}
};

// Add this callback to application creation or activity creation where token will be used
tokenProvider.onTokenReady(callback);

// Once you have token in token result callback
// if background refresh is enabled you can call getToken() from same tokenprovider object
// if background refresh is disabled you can directly call getToken()(blocking call) for new token
WAFToken token = tokenProvider.getToken();
```

Kotlin-Beispiel:

```
import com.amazonaws.waf.mobilesdk.token.WAFConfiguration
import com.amazonaws.waf.mobilesdk.token.WAFTokenProvider

private lateinit var wafConfiguration: WAFConfiguration
private lateinit var wafTokenProvider: WAFTokenProvider

private val WAF_INTEGRATION_URL = "protection pack (web ACL) integration URL"
private val WAF_DOMAIN_NAME = "Domain name"

fun initWaf() {
	// Initialize the tokenprovider instance
	val applicationIntegrationURL = URL(WAF_INTEGRATION_URL)
	wafConfiguration =
		WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL)
			.domainName(WAF_DOMAIN_NAME).backgroundRefreshEnabled(true).build()
	wafTokenProvider = WAFTokenProvider(getApplication(), wafConfiguration)
	
		// getToken from tokenprovider object
		println("WAF: "+ wafTokenProvider.token.value)
	
		// implement callback for where token will be used
		wafTokenProvider.onTokenReady {
			wafToken, sdkError ->
		run {
			println("WAF Token:" + wafToken.value)
		}
	}
}
```

------

## Zulassen, dass das SDK das Token-Cookie in Ihren HTTP-Anforderungen bereitstellt
<a name="waf-mobile-sdk-coding-auto-token-cookie"></a>

Wenn `setTokenCookie` `TRUE` ist, stellt der Token-Anbieter das Token-Cookie in Ihren Webanforderungen an allen Standorten unter dem Pfad bereit, der in `tokenCookiePath` angegeben wurde. Standardmäßig ist `setTokenCookie` `TRUE` und `tokenCookiePath` ist `/`. 

Sie schränken den Umfang der Anforderungen, die ein Token-Cookie enthalten, ein, indem Sie den Token-Cookie-Pfad angeben, zum Beispiel `/web/login`. Wenn Sie dies tun, stellen Sie sicher, dass Ihre AWS WAF Regeln in den Anfragen, die Sie an andere Pfade senden, nicht nach Tokens suchen. Wenn Sie die `AWSManagedRulesACFPRuleSet` Regelgruppe verwenden, konfigurieren Sie die Pfade zur Kontoregistrierung und Kontoerstellung, und die Regelgruppe sucht in Anfragen, die an diese Pfade gesendet werden, nach Tokens. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md). Wenn Sie die `AWSManagedRulesATPRuleSet` Regelgruppe verwenden, konfigurieren Sie auf ähnliche Weise den Anmeldepfad, und die Regelgruppe sucht in Anfragen, die an diesen Pfad gesendet werden, nach Tokens. Weitere Informationen finden Sie unter [Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL)](waf-atp-rg-using.md). 

------
#### [ iOS ]

Wenn `setTokenCookie` ja`TRUE`, speichert der Token-Anbieter das AWS WAF Token in einer `HTTPCookieStorage.shared` und nimmt das Cookie automatisch in Anfragen an die Domain auf, in der Sie angegeben haben`WAFConfiguration`.

```
let request = URLRequest(url: URL(string: domainEndpointUrl)!)
//The token cookie is set automatically as cookie header
let task = URLSession.shared.dataTask(with: request) { data, urlResponse, error  in
}.resume()
```

------
#### [ Android ]

In `setTokenCookie` diesem `TRUE` Fall speichert der Token-Anbieter das AWS WAF Token in einer `CookieHandler` Instanz, die für die gesamte Anwendung gemeinsam genutzt wird. Der Token-Anbieter schließt das Cookie automatisch in Anforderungen an die Domäne ein, die Sie in der `WAFConfiguration` angegeben haben.

Java-Beispiel:

```
URL url = new URL("Domain name");
//The token cookie is set automatically as cookie header
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.getResponseCode();
```

Kotlin-Beispiel:

```
val url = URL("Domain name")
//The token cookie is set automatically as cookie header
val connection = (url.openConnection() as HttpsURLConnection)
connection.responseCode
```

Wenn Sie die `CookieHandler`-Standard-Instance bereits initialisiert haben, nutzt der Token-Anbieter diese zur Verwaltung von Cookies. Wenn nicht, initialisiert der Token-Anbieter eine neue `CookieManager` Instanz mit dem AWS WAF Token `CookiePolicy.ACCEPT_ORIGINAL_SERVER` und legt diese neue Instanz dann als Standardinstanz in `CookieHandler` fest.

Der folgende Code zeigt, wie das SDK den Cookie-Manager und den Cookie-Handler initialisiert, wenn diese in Ihrer App nicht verfügbar sind. 

Java-Beispiel:

```
CookieManager cookieManager = (CookieManager) CookieHandler.getDefault();
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = new CookieManager();
	CookieHandler.setDefault(cookieManager);
}
```

Kotlin-Beispiel:

```
var cookieManager = CookieHandler.getDefault() as? CookieManager
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = CookieManager()
	CookieHandler.setDefault(cookieManager)
}
```

------

## Manuelles Bereitstellen des Token-Cookies in Ihren HTTP–Anforderungen
<a name="waf-mobile-sdk-coding-manual-token-cookie"></a>

Wenn Sie `setTokenCookie` auf `FALSE` festlegen, müssen Sie das Token-Cookie manuell als Cookie-HTTP-Anforderungsheader in den Anforderungen an Ihren geschützten Endpunkt bereitstellen. Der folgende Code veranschaulicht, wie dazu vorgegangen wird.

------
#### [ iOS ]

```
var request = URLRequest(url: wafProtectedEndpoint)
request.setValue("aws-waf-token=token from token provider", forHTTPHeaderField: "Cookie")
request.httpShouldHandleCookies = true
URLSession.shared.dataTask(with: request) { data, response, error in }
```

------
#### [ Android ]

Java-Beispiel:

```
URL url = new URL("Domain name");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
String wafTokenCookie = "aws-waf-token=token from token provider";
connection.setRequestProperty("Cookie", wafTokenCookie);
connection.getInputStream();
```

Kotlin-Beispiel:

```
val url = URL("Domain name")
val connection = (url.openConnection() as HttpsURLConnection)
val wafTokenCookie = "aws-waf-token=token from token provider"
connection.setRequestProperty("Cookie", wafTokenCookie)
connection.inputStream
```

------

# CAPTCHAund Challenge in AWS WAF
<a name="waf-captcha-and-challenge"></a>

In diesem Abschnitt wird erklärt, wie CAPTCHA und wie Sie damit Challenge arbeiten. AWS WAF

Sie können Ihre AWS WAF Regeln so konfigurieren, dass eine CAPTCHA Challenge Oder-Aktion gegen Webanfragen ausgeführt wird, die den Prüfkriterien Ihrer Regel entsprechen. Sie können Ihre JavaScript Client-Anwendungen auch so programmieren, dass sie CAPTCHA-Rätsel und Browser-Herausforderungen lokal ausführen. 

CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 
+ **CAPTCHA**— Erfordert, dass der Endbenutzer ein CAPTCHA-Rätsel löst, um zu beweisen, dass ein Mensch die Anfrage sendet. CAPTCHA-Rätsel sollen für Menschen relativ einfach und schnell erfolgreich zu lösen sein und für Computer schwierig sein, entweder erfolgreich oder nach dem Zufallsprinzip mit einer nennenswerten Erfolgsquote zu lösen. 

  In den Regeln für Schutzpakete (Web-ACL) wird CAPTCHA häufig verwendet, wenn durch eine Block Aktion zu viele legitime Anfragen gestoppt werden würden, aber wenn der gesamte Datenverkehr durchgelassen würde, würde dies zu einer inakzeptabel hohen Anzahl unerwünschter Anfragen, z. B. von Bots, führen. Hinweise zum Verhalten von Regelaktionen finden Sie unter. [So funktionieren die Aktionen AWS WAF CAPTCHA und Challenge Regeln](waf-captcha-and-challenge-how-it-works.md)

  Sie können auch eine CAPTCHA-Puzzle-Implementierung in Ihre Client-Anwendungsintegration programmieren. APIs Wenn Sie dies tun, können Sie das Verhalten und die Platzierung des Puzzles in Ihrer Client-Anwendung anpassen. Weitere Informationen finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). 
+ **Challenge**— Führt eine unbeaufsichtigte Aufforderung aus, bei der in der Clientsitzung überprüft werden muss, ob es sich um einen Browser und nicht um einen Bot handelt. Die Überprüfung läuft im Hintergrund, ohne dass der Endbenutzer involviert ist. Dies ist eine gute Option, um Kunden zu verifizieren, von denen Sie vermuten, dass sie ungültig sind, ohne die Endbenutzererfahrung mit einem CAPTCHA-Puzzle negativ zu beeinflussen. Informationen zum Verhalten von Regelaktionen finden Sie unter. [So funktionieren die Aktionen AWS WAF CAPTCHA und Challenge Regeln](waf-captcha-and-challenge-how-it-works.md)

  Die Challenge Regelaktion ähnelt der von der Client Intelligent Threat Integration ausgeführten Herausforderung APIs, die unter beschrieben wird[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md).

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Challenge Regelaktion CAPTCHA oder in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

Eine Beschreibung aller Aktionsoptionen für Regeln finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

**Topics**
+ [AWS WAF CAPTCHA-Rätsel](waf-captcha-puzzle.md)
+ [So funktionieren die Aktionen AWS WAF CAPTCHA und Challenge Regeln](waf-captcha-and-challenge-how-it-works.md)
+ [Bewährte Methoden für die Verwendung der Challenge Aktionen CAPTCHA und](waf-captcha-and-challenge-best-practices.md)

# AWS WAF CAPTCHA-Rätsel
<a name="waf-captcha-puzzle"></a>

In diesem Abschnitt werden die Merkmale und Funktionen des AWS WAF CAPTCHA-Puzzles erklärt.

AWS WAF bietet standardmäßige CAPTCHA-Funktionen, bei denen Benutzer bestätigen müssen, dass sie Menschen sind. CAPTCHA steht für Completely Automated Public Turing Test to tell Computers and Human Apart. CAPTCHA-Rätsel dienen dazu, zu überprüfen, ob ein Mensch Anfragen sendet, und Aktivitäten wie Web-Scraping, Credential-Stuffing und Spam zu verhindern. CAPTCHA-Rätsel können nicht alle unerwünschten Anfragen aussortieren. Viele Rätsel wurden mithilfe von maschinellem Lernen und künstlicher Intelligenz gelöst. In dem Bemühen, CAPTCHA zu umgehen, ergänzen einige Organisationen automatisierte Techniken durch menschliches Eingreifen. Trotzdem ist CAPTCHA nach wie vor ein nützliches Instrument, um weniger ausgeklügelten Bot-Traffic zu verhindern und den Ressourcenbedarf für groß angelegte Operationen zu erhöhen. 

AWS WAF generiert seine CAPTCHA-Rätsel nach dem Zufallsprinzip und durchläuft sie abwechselnd, um sicherzustellen, dass die Benutzer vor einzigartige Herausforderungen gestellt werden. AWS WAF fügt regelmäßig neue Arten und Stile von Rätseln hinzu, um gegen Automatisierungstechniken effektiv zu sein. Zusätzlich zu den Rätseln sammelt das AWS WAF CAPTCHA-Skript Daten über den Client, um sicherzustellen, dass die Aufgabe von einem Menschen erledigt wird, und um Wiederholungsangriffe zu verhindern. 

Jedes CAPTCHA-Puzzle enthält eine Standardsteuerung, mit der der Endbenutzer ein neues Rätsel anfordern, zwischen Audio- und Videorätseln wechseln, auf zusätzliche Anweisungen zugreifen und eine Rätsellösung einreichen kann. Alle Rätsel bieten Unterstützung für Screenreader, Tastatursteuerung und kontrastierende Farben. 

Die AWS WAF CAPTCHA-Rätsel erfüllen die Anforderungen der Web Content Accessibility Guidelines (WCAG). Weitere Informationen finden Sie unter [Web Content Accessibility Guidelines (WCAG) Overview](https://www.w3.org/WAI/standards-guidelines/wcag/) (Übersicht über die Zugänglichkeitsrichtlinien für Webinhalte (WCAG)) auf der Website des World Wide Web Consortium (W3C).

**Topics**
+ [Unterstützung für CAPTCHA-Puzzlesprachen](waf-captcha-puzzle-language-support.md)
+ [Beispiele für CAPTCHA-Rätsel](waf-captcha-puzzle-examples.md)

# Unterstützung für CAPTCHA-Puzzlesprachen
<a name="waf-captcha-puzzle-language-support"></a>

In diesem Abschnitt wird aufgeführt, welche Sprachen in AWS WAF CAPTCHA-Rätseln unterstützt werden.

Das CAPTCHA-Puzzle beginnt mit schriftlichen Anweisungen in der Browsersprache des Clients oder, falls die Browsersprache nicht unterstützt wird, in Englisch. Das Rätsel bietet alternative Sprachoptionen über ein Drop-down-Menü.

Der Benutzer kann zu den Audioanweisungen wechseln, indem er das Kopfhörersymbol unten auf der Seite auswählt. Die Audioversion des Puzzles enthält gesprochene Anweisungen zu Text, den der Benutzer in ein Textfeld eingeben soll, wobei Hintergrundgeräusche überlagert werden. 

In der folgenden Tabelle sind die Sprachen aufgeführt, die Sie für die schriftlichen Anweisungen in einem CAPTCHA-Puzzle auswählen können, sowie die Audiounterstützung für jede Auswahl. 


**AWS WAF Unterstützte Sprachen für das CAPTCHA-Puzzle**  

| Unterstützung für schriftliche Anweisungen | Ländercode | Unterstützung für Audioanweisungen | 
| --- | --- | --- | 
|  Arabisch  |  ar-SA  |  Arabisch  | 
|  Vereinfachtes Chinesisch  |  zh-CN  |  Audio auf Englisch  | 
|  Niederländisch  |  nl-NL  |  Niederländisch  | 
|  Englisch  |  en-US  |  Englisch  | 
|  Französisch  |  fr-FR  |  Französisch  | 
|  Deutsch  |  de-DE  |  Deutsch  | 
|  Italienisch  |  it-IT  |  Italienisch  | 
|  Japanisch  |  ja-JP  |  Audio auf Englisch  | 
|  Brasilianisches Portugiesisch  |  pt-BR  |  Brasilianisches Portugiesisch  | 
|  Spanisch  |  es-ES  |  Spanisch  | 
|  Türkisch  |  tr-TR  |  Türkisch  | 

# Beispiele für CAPTCHA-Rätsel
<a name="waf-captcha-puzzle-examples"></a>

Ein typisches visuelles CAPTCHA-Puzzle erfordert Interaktion, um zu zeigen, dass der Benutzer ein oder mehrere Bilder verstehen und mit ihnen interagieren kann. 

Der folgende Screenshot zeigt ein Beispiel für ein Bildraster-Puzzle. Bei diesem Rätsel müssen Sie alle Bilder im Raster auswählen, die einen bestimmten Objekttyp enthalten. 

![\[Ein Bildschirm enthält den Titel „Lassen Sie uns bestätigen, dass Sie ein Mensch sind“ und den Text „Wählen Sie alle Stühle“. Unter dem Text befindet sich ein 3x3-Raster mit Bildern, von denen einige Stühle und andere Objekte enthalten, die keine Stühle sind, wie Betten und Fenster. Am unteren Bildschirmrand befinden sich Optionen, mit denen Sie ein anderes Rätsel laden, das Informationsfeld ein- und ausschalten, zu einem Audiopuzzle wechseln und die Sprache ändern können. Ebenfalls unten befindet sich die Schaltfläche „Bestätigen“.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


Ein Audiopuzzle bietet Hintergrundgeräusche, die von gesprochenen Anweisungen zu Text überlagert werden, den der Benutzer in ein Textfeld eingeben soll.

Im folgenden Screenshot sehen Sie das Display für die Audio-Rätsel-Auswahl. 

![\[Ein Bildschirm enthält den Titel „Solve the puzzle“ (Lösen Sie das Rätsel) und den Text „Click play to listen to instructions“ (Klicken Sie auf Play, um die Anweisungen anzuhören). Unter dem Text befindet sich ein Bild, das einen Wiedergabe-Button zeigt. Unter dem Bild befindet sich der Text „Keyboard audio toggle: alt + space“ (Audioumschaltung per Tastatur: Alt + Leertaste). Darunter steht der Titel „Enter your response“ (Geben Sie Ihre Antwort ein) mit einem Texteingabefeld darunter. Ein geöffnetes Informationsfeld enthält den Text „Solve by listening to the recording and typing your answer into the text box“ (Lösen Sie das Rätsel, indem Sie sich die Aufzeichnung anhören und Ihre Antwort in das Textfeld eingeben). Am unteren Bildschirmrand finden Sie Optionen zum Laden eines anderen Rätsels, zum Ein- und Ausblenden des Informationsfeldes und zum Wechseln zu einem visuellen Rätsel. Unten befindet sich auch der Button „Submit“ (Absenden).\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# So funktionieren die Aktionen AWS WAF CAPTCHA und Challenge Regeln
<a name="waf-captcha-and-challenge-how-it-works"></a>

In diesem Abschnitt wird erklärt, wie CAPTCHA und wie es Challenge funktioniert.

AWS WAF CAPTCHAund Challenge sind Standardregelaktionen, sodass sie relativ einfach zu implementieren sind. Um eine von beiden zu verwenden, erstellen Sie die Prüfkriterien für Ihre Regel, die die Anfragen identifiziert, die Sie überprüfen möchten, und geben dann eine der beiden Regelaktionen an. Allgemeine Informationen zu den Optionen für die Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

Sie können nicht nur stille Herausforderungen und CAPTCHA-Rätsel serverseitig implementieren, sondern auch stille Herausforderungen in Ihre iOS JavaScript - und Android-Client-Anwendungen integrieren und CAPTCHA-Rätsel in Ihren Clients rendern. JavaScript Diese Integrationen ermöglichen es Ihnen, Ihren Endbenutzern eine bessere Leistung und bessere CAPTCHA-Rätselerlebnisse zu bieten. Außerdem können sie die Kosten senken, die mit der Verwendung der Regelaktionen und der intelligenten Regelgruppen zur Bedrohungsabwehr verbunden sind. Weitere Informationen zu diesen Optionen finden Sie unter [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Preisinformationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md)
+ [CAPTCHAund Challenge Aktionen in den Protokollen und Metriken](waf-captcha-and-challenge-logs-metrics.md)

# CAPTCHAund Challenge Handlungsverhalten
<a name="waf-captcha-and-challenge-actions"></a>

In diesem Abschnitt wird erklärt, was die Challenge Aktionen CAPTCHA und bewirken.

Wenn eine Webanforderung den Prüfkriterien einer Regel mit CAPTCHA oder einer Challenge Aktion entspricht, AWS WAF wird anhand des Status des Tokens und der Konfiguration der Immunitätszeit festgelegt, wie die Anfrage behandelt werden soll. AWS WAF berücksichtigt auch, ob die Anfrage die CAPTCHA-Puzzle- oder Challenge-Skriptinterstitials verarbeiten kann. Die Skripts sind so konzipiert, dass sie als HTML-Inhalt behandelt werden können, und sie können nur von einem Client korrekt verarbeitet werden, der HTML-Inhalt erwartet. 

**Anmerkung**  
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie die Challenge Regelaktion CAPTCHA oder in einer Ihrer Regeln oder als Überschreibung von Regelaktionen in einer Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/).

**Wie die Aktion mit der Webanfrage umgeht**  
AWS WAF wendet die Challenge Aktion CAPTCHA oder wie folgt auf eine Webanforderung an:
+ **Gültiges Token** — AWS WAF behandelt dies ähnlich wie eine Count Aktion. AWS WAF wendet alle Labels an und fordert Anpassungen an, die Sie für die Regelaktion konfiguriert haben, und setzt dann die Auswertung der Anfrage anhand der verbleibenden Regeln im Protection Pack (Web-ACL) fort. 
+ **Fehlendes, ungültiges oder abgelaufenes Token** — AWS WAF beendet die Auswertung der Anfrage durch das Protection Pack (Web-ACL) und verhindert, dass sie an das vorgesehene Ziel weitergeleitet wird. 

  AWS WAF generiert eine Antwort, die entsprechend dem Aktionstyp der Regel an den Client zurückgesendet wird: 
  + **Challenge**— AWS WAF schließt Folgendes in die Antwort ein:
    + Den Header `x-amzn-waf-action` mit einem Wert von `challenge`.
**Anmerkung**  
Für Javascript-Anwendungen, die im Clientbrowser ausgeführt werden, ist dieser Header nur innerhalb der Domäne der Anwendung verfügbar. Der Header ist nicht für den domänenübergreifenden Abruf verfügbar. Einzelheiten finden Sie im folgenden Abschnitt.
    + Den HTTP-Statuscode `202 Request Accepted`.
    + Wenn die Anfrage einen `Accept` Header mit dem Wert von enthält`text/html`, enthält die Antwort ein JavaScript Seiteninterstitial mit einem Challenge-Skript.
  + **CAPTCHA**— AWS WAF beinhaltet Folgendes in der Antwort:
    + Den Header `x-amzn-waf-action` mit einem Wert von `captcha`.
**Anmerkung**  
Für Javascript-Anwendungen, die im Clientbrowser ausgeführt werden, ist dieser Header nur innerhalb der Domäne der Anwendung verfügbar. Der Header ist nicht für den domänenübergreifenden Abruf verfügbar. Einzelheiten finden Sie im folgenden Abschnitt.
    + Den HTTP-Statuscode `405 Method Not Allowed`.
    + Wenn die Anfrage einen `Accept` Header mit dem Wert von enthält`text/html`, enthält die Antwort ein JavaScript Seiteninterstitial mit einem CAPTCHA-Skript. 

Informationen zur Konfiguration des Ablaufs des Tokens auf Ebene des Schutzpakets (Web-ACL) oder der Regel finden Sie unter. [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md)

**Header sind für JavaScript Anwendungen, die im Clientbrowser ausgeführt werden, nicht verfügbar**  
Wenn AWS WAF auf eine Client-Anfrage mit einem CAPTCHA oder einer Challenge-Antwort geantwortet wird, sind keine CORS-Header (Cross-Origin Resource Sharing) enthalten. CORS-Header sind eine Reihe von Zugriffskontroll-Headern, die dem Client-Webbrowser mitteilen, welche Domänen, HTTP-Methoden und HTTP-Header von Anwendungen verwendet werden können. JavaScript Ohne CORS-Header erhalten JavaScript Anwendungen, die in einem Clientbrowser ausgeführt werden, keinen Zugriff auf HTTP-Header und können daher den in den Antworten und angegebenen `x-amzn-waf-action` Header nicht lesen. CAPTCHA Challenge 

**Was bewirken die Challenge und die CAPTCHA-Interstitials**  
Wenn ein Challenge-Interstitial ausgeführt wird, nachdem der Client erfolgreich geantwortet hat und er noch kein Token hat, initialisiert das Interstitial eines dafür. Dann aktualisiert es das Token mit dem Zeitstempel für die Problemlösung.

Wenn ein CAPTCHA-Interstitial ausgeführt wird und der Client noch kein Token hat, ruft das CAPTCHA-Interstitial zuerst das Challenge-Skript auf, um den Browser herauszufordern und das Token zu initialisieren. Dann führt das Interstitial sein CAPTCHA-Puzzle aus. Wenn der Endbenutzer das Rätsel erfolgreich gelöst hat, aktualisiert das Interstitial das Token mit dem CAPTCHA-Lösungszeitstempel. 

In beiden Fällen sendet das Skript, nachdem der Client erfolgreich geantwortet hat und das Skript das Token aktualisiert hat, die ursprüngliche Webanfrage unter Verwendung des aktualisierten Tokens erneut. 

Sie können konfigurieren, wie mit Tokens AWS WAF umgegangen wird. Weitere Informationen finden Sie unter [Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md).

# CAPTCHAund Challenge Aktionen in den Protokollen und Metriken
<a name="waf-captcha-and-challenge-logs-metrics"></a>

In diesem Abschnitt wird erklärt, wie AWS WAF mit der Protokollierung und den Metriken für die Challenge Aktionen CAPTCHA und umgegangen wird.

Die Challenge Aktionen CAPTCHA und können nicht terminierend sein, ähnlich, oder beendendCount, ähnlich. Block Das Ergebnis hängt davon ab, ob die Anfrage ein gültiges Token mit einem nicht abgelaufenen Zeitstempel für den Aktionstyp enthält. 
+ **Gültiges Token** — Wenn die Aktion ein gültiges Token findet und die Anfrage nicht blockiert, werden Metriken und Protokolle wie folgt AWS WAF erfasst:
  + Inkrementiert die Metriken für entweder `CaptchaRequests` und `RequestsWithValidCaptchaToken` oder `ChallengeRequests` und`RequestsWithValidChallengeToken`. 
  + Protokolliert den Treffer als `nonTerminatingMatchingRules` Eintrag mit der Aktion CAPTCHA oderChallenge. Die folgende Liste zeigt den Abschnitt eines Protokolls für diesen Übereinstimmungstyp mit der CAPTCHA Aktion.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Fehlendes, ungültiges oder abgelaufenes Token** — Wenn die Aktion die Anfrage aufgrund eines fehlenden oder ungültigen Tokens blockiert, werden Metriken und Protokolle wie folgt AWS WAF erfasst:
  + Inkrementiert die Metrik für `CaptchaRequests` oder`ChallengeRequests`. 
  + Protokolliert den Treffer als `CaptchaResponse` Eintrag mit `405` HTTP-Statuscode oder als `ChallengeResponse` Eintrag mit `202` HTTP-Statuscode. Das Protokoll gibt an, ob bei der Anfrage das Token fehlte oder ob der Zeitstempel abgelaufen war. Aus dem Protokoll geht auch hervor, ob eine CAPTCHA-Zwischenseite an den Client oder eine unbeaufsichtigte Aufforderung an den Client-Browser AWS WAF gesendet wurde. Die folgende Liste zeigt die Abschnitte eines Protokolls für diesen Typ von Übereinstimmung mit der Aktion. CAPTCHA

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Informationen zu den AWS WAF Protokollen finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

Informationen zu AWS WAF Metriken finden Sie unter[AWS WAF Metriken und Dimensionen](waf-metrics.md).

Allgemeine Informationen zu den Optionen für die Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

**Anfragen ohne Token scheinen zweimal in Protokollen und Metriken aufzutauchen**  
Auf der Grundlage der [CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md) in diesem Abschnitt beschriebenen Protokollierung und Metriken wird eine Anfrage ohne Token in der Regel zweimal in den Protokollen und Metriken dargestellt. Das liegt daran, dass die eine beabsichtigte Anfrage tatsächlich zweimal vom Client gesendet wird.
+ Die erste Anfrage ohne Token erhält die oben beschriebene Protokollierung und Metrikverarbeitung für fehlende, ungültige oder abgelaufene Token. Die Challenge Aktion CAPTCHA oder beendet diese erste Anfrage und antwortet dem Client dann entweder mit einer stillen Aufforderung oder einem CAPTCHA-Rätsel. 
+ Der Client bewertet die Herausforderung oder das Rätsel und sendet, wenn der Client-Browser oder der Endbenutzer erfolgreich reagiert, die Anfrage ein zweites Mal mit dem neu erworbenen Token. Diese zweite Anfrage erhält die oben für eine Anfrage mit einem gültigen Token beschriebene Protokollierung und Metrikverarbeitung. 

# Bewährte Methoden für die Verwendung der Challenge Aktionen CAPTCHA und
<a name="waf-captcha-and-challenge-best-practices"></a>

Folgen Sie den Anweisungen in diesem Abschnitt, um AWS WAF CAPTCHA oder Challenge zu planen und zu implementieren.

**Plane dein CAPTCHA und fordere die Implementierung heraus**  
Entscheiden Sie anhand der Nutzung Ihrer Website, der Vertraulichkeit der zu schützenden Daten und der Art der Anfragen, wo Sie CAPTCHA-Rätsel oder stille Herausforderungen platzieren möchten. Wählen Sie die Anfragen aus, bei denen Sie CAPTCHA anwenden möchten, sodass Sie die Rätsel nach Bedarf präsentieren. Vermeiden Sie es jedoch, sie dort zu präsentieren, wo sie nicht nützlich wären und die Benutzererfahrung beeinträchtigen könnten. Verwenden Sie die Challenge Aktion, um Anfragen im Hintergrund auszuführen, die weniger Auswirkungen auf den Endbenutzer haben, aber dennoch sicherstellen, dass die Anfrage von einem JavaScript aktivierten Browser stammt. 

CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten. 

**Entscheiden Sie, wo Sie CAPTCHA-Rätsel und stille Herausforderungen bei Ihren Clients ausführen möchten**  
Identifizieren Sie Anfragen, die Sie nicht durch CAPTCHA beeinflussen lassen möchten, z. B. Anfragen nach CSS oder Bildern. Verwenden Sie CAPTCHA nur bei Bedarf. Wenn Sie beispielsweise eine CAPTCHA-Prüfung bei der Anmeldung planen und der Benutzer immer direkt von der Anmeldung zu einem anderen Bildschirm weitergeleitet wird, wäre eine CAPTCHA-Prüfung auf dem zweiten Bildschirm wahrscheinlich nicht erforderlich, was Ihre Endbenutzererfahrung beeinträchtigen könnte. 

Konfiguriere dein Challenge und CAPTCHA verwende es so, dass AWS WAF nur CAPTCHA-Rätsel und stille Herausforderungen als Antwort auf Anfragen gesendet werden. `GET` `text/html` Sie können weder das Rätsel noch die Herausforderung als Antwort auf `POST` Anfragen, CORS-Preflight-Anfragen (Cross-Origin Resource Sharing) oder andere Typen ausführen, die keine `OPTIONS` Anfragen sind. `GET` Das Browserverhalten für andere Anforderungstypen kann variieren und kann die Interstitials möglicherweise nicht richtig verarbeiten. 

Es ist möglich, dass ein Client HTML akzeptiert, aber trotzdem nicht in der Lage ist, mit dem CAPTCHA oder dem Challenge-Interstitial umzugehen. Beispielsweise akzeptiert ein Widget auf einer Webseite mit einem kleinen iFrame möglicherweise HTML, ist aber nicht in der Lage, ein CAPTCHA anzuzeigen oder zu verarbeiten. Vermeiden Sie es, die Regelaktionen für diese Art von Anfragen zu platzieren, genauso wie für Anfragen, die kein HTML akzeptieren.

**Verwenden Sie CAPTCHA oderChallenge, um den vorherigen Token-Erwerb zu überprüfen**  
Sie können die Regelaktionen ausschließlich dazu verwenden, das Vorhandensein eines gültigen Tokens zu überprüfen, und zwar an Orten, an denen legitime Benutzer immer über eines verfügen sollten. In diesen Situationen spielt es keine Rolle, ob die Anfrage die Interstitials verarbeiten kann. 

Wenn Sie beispielsweise die CAPTCHA-API der JavaScript Client-Anwendung implementieren und das CAPTCHA-Puzzle unmittelbar vor dem Senden der ersten Anfrage an Ihren geschützten Endpunkt auf dem Client ausführen, sollte Ihre erste Anfrage immer ein Token enthalten, das sowohl für Challenge als auch für CAPTCHA gültig ist. Informationen JavaScript zur Integration von Client-Anwendungen finden Sie unter. [AWS WAF JavaScript Integrationen](waf-javascript-api.md) 

In diesem Fall können Sie Ihrem Schutzpaket (Web-ACL) eine Regel hinzufügen, die mit diesem ersten Aufruf übereinstimmt, und sie mit der CAPTCHA Regelaktion Challenge oder konfigurieren. Wenn die Regel für einen legitimen Endbenutzer und einen legitimen Browser zutrifft, findet die Aktion ein gültiges Token, sodass die Anfrage nicht blockiert wird und keine Aufforderung oder ein CAPTCHA-Rätsel als Antwort gesendet wird. Weitere Informationen zur Funktionsweise der Regelaktionen finden Sie unter. [CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md)

**Schützen Sie Ihre sensiblen Nicht-HTML-Daten mit und CAPTCHA Challenge**  
Sie können CAPTCHA und Challenge Schutzmaßnahmen für sensible Nicht-HTML-Daten verwendenAPIs, z. B. mit dem folgenden Ansatz. 

1. Identifizieren Sie Anforderungen, die HTML-Antworten akzeptieren und die in unmittelbarer Nähe der Anforderungen für Ihre sensiblen, nicht HTML-Daten ausgeführt werden. 

1. Schreiben Sie CAPTCHA Challenge Regeln, die mit den HTML-Anfragen und den Anfragen nach Ihren vertraulichen Daten übereinstimmen. 

1. Passen Sie Ihre Einstellungen CAPTCHA und die Challenge Immunitätszeit so an, dass bei normalen Benutzerinteraktionen die Token, die Kunden aus den HTML-Anfragen erhalten, verfügbar sind und nicht in ihren Anfragen nach Ihren sensiblen Daten abgelaufen sind. Informationen zur Optimierung finden Sie unter[Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).

Wenn eine Anfrage für Ihre sensiblen Daten einer CAPTCHA Challenge OR-Regel entspricht, wird sie nicht blockiert, sofern der Kunde noch über ein gültiges Token aus dem vorherigen Rätsel oder der vorherigen Herausforderung verfügt. Wenn das Token nicht verfügbar ist oder der Zeitstempel abgelaufen ist, schlägt die Anfrage zum Zugriff auf Ihre sensiblen Daten fehl. Weitere Informationen zur Funktionsweise der Regelaktionen finden Sie unter[CAPTCHAund Challenge Handlungsverhalten](waf-captcha-and-challenge-actions.md).

**Verwenden Sie CAPTCHA und passen Sie Ihre bestehenden Regeln Challenge an**  
Überprüfen Sie Ihre bestehenden Regeln, um zu sehen, ob Sie sie ändern oder ergänzen möchten. Im Folgenden werden einige gängige Szenarien vorgestellt. 
+ Wenn Sie eine ratenbasierte Regel haben, die den Datenverkehr blockiert, Sie das Ratenlimit jedoch relativ hoch halten, um zu verhindern, dass legitime Benutzer blockiert werden, sollten Sie erwägen, nach der Sperrregel eine zweite ratenbasierte Regel hinzuzufügen. Geben Sie der zweiten Regel ein niedrigeres Limit als der Blockierungsregel und legen Sie die Regelaktion auf oder fest. CAPTCHA Challenge Die Blockierungsregel blockiert weiterhin Anfragen, die mit einer zu hohen Rate eingehen, und die neue Regel blockiert den größten Teil des automatisierten Datenverkehrs mit einer noch niedrigeren Rate. Weitere Informationen über ratenbasierte Regeln finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).
+ Wenn Sie über eine verwaltete Regelgruppe verfügen, die Anfragen blockiert, können Sie das Verhalten einiger oder aller Regeln von Block auf CAPTCHA oder ändernChallenge. Überschreiben Sie dazu in der Konfiguration der verwalteten Regelgruppe die Einstellung für die Regelaktion. Informationen zum Außerkraftsetzen von Regelaktionen finden Sie unter[Regelgruppen-Regelaktionen überschreiben](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Testen Sie Ihre CAPTCHA- und Challenge-Implementierungen, bevor Sie sie bereitstellen**  
Bezüglich aller neuen Funktionen folgen Sie den Anweisungen unter. [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md)

Überprüfen Sie während des Tests die Ablaufanforderungen für den Token-Zeitstempel und richten Sie Ihre Web-ACL- und Immunitätszeitkonfigurationen auf Regelebene so ein, dass Sie ein ausgewogenes Verhältnis zwischen der Kontrolle des Zugriffs auf Ihre Website und der Bereitstellung eines guten Benutzererlebnisses für Ihre Kunden erreichen. Weitere Informationen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md).

# Datenschutz und Protokollierung für den Traffic von AWS WAF Protection Pack (Web ACL)
<a name="waf-data-protection-and-logging"></a>

In diesem Abschnitt werden die Optionen zur Datenprotokollierung, Datenerfassung und zum Schutz erläutert, die Sie mit verwenden können AWS WAF. Es gibt die folgenden Optionen: 
+ **Protokollierung** — Sie können Ihr Protection Pack (Web-ACL) so konfigurieren, dass Protokolle für den Datenverkehr von Webanfragen an ein Protokollierungsziel Ihrer Wahl gesendet werden. Sie können die Schwärzung und Filterung von Feldern für diese Auswahl konfigurieren. Bei der Protokollierung werden die Daten verwendet, die verfügbar sind, nachdem alle Datenschutzeinstellungen angewendet wurden. 

  Weitere Informationen zu dieser Option finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
+ **Abtastung von Anfragen** — Sie können Ihr Protection Pack (Web-ACL) so konfigurieren, dass es Stichproben der von ihm ausgewerteten Webanfragen erstellt, um sich ein Bild von der Art des Datenverkehrs zu machen, den Ihre Anwendung empfängt. Beim Anforderungssampling werden die Daten verwendet, die verfügbar sind, nachdem alle Datenschutzeinstellungen angewendet wurden. 

  Weitere Informationen zu dieser Option finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 
+ **Amazon Security Lake** — Sie können Security Lake so konfigurieren, dass Schutzpaket-Daten (Web-ACL) gesammelt werden. Security Lake sammelt Protokoll- und Ereignisdaten aus verschiedenen AWS Quellen zur Normalisierung, Analyse und Verwaltung. Security Lake sammelt Daten aus den Daten, die verfügbar sind, nachdem alle Datenschutzeinstellungen angewendet wurden. 

  Informationen zu dieser Option finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 

  AWS WAF berechnet Ihnen keine Gebühren für die Nutzung dieser Option. Preisinformationen finden Sie unter [Security Lake-Preise](https://aws.amazon.com/security-lake/pricing/) und [Wie die Security Lake-Preise festgelegt werden](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) im *Amazon Security Lake-Benutzerhandbuch*.
+ **Datenschutz** — Sie können den Datenschutz für Web-Traffic-Daten auf zwei Ebenen konfigurieren: 
  + **Datenschutz für das Schutzpaket (Web-ACL)** — Sie können den Datenschutz für jedes Schutzpaket (Web-ACL) konfigurieren, sodass Sie bestimmte Webverkehrsdaten durch statische Zeichenfolgen oder kryptografisches Hashing ersetzen können. Der Datenschutz auf dieser Ebene kann zentral konfiguriert werden und gilt für alle Protokollierungs- und Datenerfassungsoptionen.

    Weitere Informationen zu dieser Option finden Sie unter [Datenschutz](data-protection-masking.md). 
  + **Protokollierung, Schwärzung und Filterung** — Nur für die Protokollierung können Sie einige der Web-Traffic-Daten so konfigurieren, dass sie aus den Protokollen geschwärzt werden, und Sie können die Daten, die Sie protokollieren, filtern. Diese Option gilt zusätzlich zu allen von Ihnen konfigurierten Datenschutzeinstellungen und wirkt sich nur auf die Daten aus, die an das konfigurierte Protokollierungsziel AWS WAF gesendet werden. 

**Topics**
+ [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)
+ [Datenschutz](data-protection-masking.md)

# Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)
<a name="logging"></a>

In diesem Abschnitt werden die Protokollierungsoptionen für Ihre AWS WAF Protection Packs (Web ACLs) erläutert. 

Sie können die Protokollierung aktivieren, um detaillierte Informationen über den Traffic zu erhalten, der von Ihrer Web-ACL analysiert wird. Zu den protokollierten Informationen gehören die Uhrzeit, zu der eine Webanfrage von Ihrer AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und Details zu den Regeln, denen die Anfrage entsprach. Sie können Protection Pack-Protokolle (Web-ACL) an eine Amazon CloudWatch Logs-Protokollgruppe, einen Amazon Simple Storage Service (Amazon S3) -Bucket oder einen Amazon Data Firehose-Lieferstream senden.

Zusätzlich zu den Protokollen, die Sie für Ihre Schutzpakete (Web ACLs) aktivieren können, werden AWS auch Serviceprotokolle des Website- oder Anwendungsverkehrs verwendet, der von verarbeitet wird AWS WAF , um Support für AWS Kunden und Dienste bereitzustellen und deren Sicherheit zu gewährleisten.

**Anmerkung**  
Die Protokollierungskonfiguration des Protection Packs (Web-ACL) wirkt sich nur auf die AWS WAF Protokolle aus. Insbesondere die Konfiguration der geschwärzten Felder für die Protokollierung hat keine Auswirkungen auf das Sampling von Anfragen oder die Datenerfassung in Security Lake. Sie können Felder von der Erfassung oder Stichprobenerhebung ausschließen, indem Sie den Datenschutz im Protection Pack (Web ACL) konfigurieren. Abgesehen vom Datenschutz wird die Datenerfassung in Security Lake vollständig über den Security Lake-Dienst konfiguriert. 

**Topics**
+ [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md)
+ [AWS WAF Ziele protokollieren](logging-destinations.md)
+ [Konfiguration der Protokollierung für ein Protection Pack (Web-ACL)](logging-management-configure.md)
+ [Suchen nach Ihren Protection Pack-Einträgen (Web-ACL)](logging-management.md)
+ [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md)
+ [Protokollbeispiele für Traffic mit Schutzpaketen (Web-ACL)](logging-examples.md)

**Andere Optionen zur Datenerfassung und -analyse**  
Zusätzlich zur Protokollierung können Sie die folgenden Optionen für die Datenerfassung und -analyse aktivieren: 
+ **Amazon Security Lake** — Sie können Security Lake so konfigurieren, dass Schutzpaket-Daten (Web-ACL) gesammelt werden. Security Lake sammelt Protokoll- und Ereignisdaten aus verschiedenen Quellen zur Normalisierung, Analyse und Verwaltung. Informationen zu dieser Option finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 

  AWS WAF berechnet Ihnen keine Gebühren für die Nutzung dieser Option. Preisinformationen finden Sie unter [Security Lake-Preise](https://aws.amazon.com/security-lake/pricing/) und [Wie die Security Lake-Preise festgelegt werden](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) im *Amazon Security Lake-Benutzerhandbuch*. 
+ **Sampling von Anfragen** — Sie können Ihr Protection Pack (Web-ACL) so konfigurieren, dass es Stichproben der Webanfragen nimmt, die es auswertet, um sich ein Bild von der Art des Datenverkehrs zu machen, den Ihre Anwendung empfängt. Weitere Informationen zu dieser Option finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

# Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)
<a name="logging-pricing"></a>

In diesem Abschnitt werden die Preisüberlegungen für die Verwendung von Traffic Logs aus dem Protection Pack (Web ACL) erläutert.

Die Protokollierung der Verkehrsinformationen des Protection Pack (Web ACL) wird Ihnen entsprechend den mit den einzelnen Protokollzieltypen verbundenen Kosten in Rechnung gestellt. Diese Gebühren gelten zusätzlich zu den Gebühren für die Verwendung von AWS WAF. Die Kosten hängen von Faktoren wie dem gewählten Zielort und der Menge der aufgezeichneten Daten ab. 

Nachfolgend finden Sie Links zu den Preisinformationen für die einzelnen Zieltypen der Protokollierung:
+ **CloudWatch Logs** — Die Gebühren beziehen sich auf den Versand von Logs. Weitere Informationen finden Sie unter [Amazon CloudWatch Logs-Preise](https://aws.amazon.com/cloudwatch/pricing/). Wählen Sie unter **Bezahltes Kontingent** den Tab **Logs** und dann unter **Vended Logs** die Informationen für **Delivery to CloudWatch Logs**.
+ **Amazon S3-Buckets** — Die Amazon S3 S3-Gebühren sind die kombinierten Gebühren für die Lieferung von CloudWatch Logs an die Amazon S3 S3-Buckets und für die Nutzung von Amazon S3. 
  + Weitere Informationen zu Amazon S3 finden Sie unter [Amazon S3 Pricing](https://aws.amazon.com/s3/pricing/) (Preise für Amazon S3). 
  + Informationen zur Lieferung von CloudWatch Logs an Amazon S3 finden Sie unter [Amazon CloudWatch Logs-Preise](https://aws.amazon.com/cloudwatch/pricing/). Wählen Sie unter **Paid Tier** (Kostenpflichtiges Kontingent) die Registerkarte **Logs** (Protokolle). Unter **Vended Logs** (Vended-Protokolle) finden Sie die Informationen zu **Delivery to S3** (Lieferung an S3).
+ **Firehose** — Sehen Sie sich die [Amazon Data Firehose-Preise](https://aws.amazon.com/kinesis/data-firehose/pricing/) an.

[Informationen zur AWS WAF Preisgestaltung finden Sie unter AWS WAF Preise.](https://aws.amazon.com/waf/pricing/) 

# AWS WAF Ziele protokollieren
<a name="logging-destinations"></a>

In diesem Abschnitt werden die Protokollierungsoptionen beschrieben, aus denen Sie für Ihre AWS WAF Protokolle wählen können. Jeder Abschnitt enthält Anleitungen zur Konfiguration der Protokollierung, einschließlich Informationen zu jeglichem Verhalten, das für den Zieltyp spezifisch ist. Nachdem Sie das Protokollierungsziel konfiguriert haben, können Sie dessen Spezifikationen in die Protokollierungskonfiguration Ihres Protection Packs (Web-ACL) eingeben, um mit der Protokollierung zu beginnen.

**Topics**
+ [CloudWatch Logs](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehose](logging-kinesis.md)

# Traffic Logs von Protection Pack (Web ACL) an eine Amazon CloudWatch Logs-Protokollgruppe senden
<a name="logging-cw-logs"></a>

Dieses Thema enthält Informationen zum Senden der Verkehrsprotokolle Ihres Protection Packs (Web-ACL) an eine CloudWatch Logs-Protokollgruppe. 

**Anmerkung**  
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md).

Um Protokolle an Amazon CloudWatch Logs zu senden, erstellen Sie eine CloudWatch Logs-Protokollgruppe. Wenn Sie die Anmeldung aktivieren AWS WAF, geben Sie den ARN der Protokollgruppe an. Nachdem Sie die Protokollierung für Ihr Protection Pack (Web-ACL) aktiviert haben, AWS WAF werden die Protokolle in Protokolldatenströmen an die Protokollgruppe CloudWatch Logs übermittelt. 

Wenn Sie CloudWatch Logs verwenden, können Sie sich die Logs für Ihr Protection Pack (Web-ACL) in der AWS WAF Konsole ansehen. Wählen Sie auf Ihrer Seite mit dem Protection Pack (Web-ACL) den Tab **Logging Insights** aus. Diese Option ist eine Ergänzung zu den Protokollierungsergebnissen, die für CloudWatch Logs über die CloudWatch Konsole bereitgestellt werden. 

Konfigurieren Sie die Protokollgruppe für die Protokolle des AWS WAF Protection Packs (Web-ACL) in derselben Region wie das Protection Pack (Web-ACL) und verwenden Sie dasselbe Konto, das Sie für die Verwaltung des Protection Packs (Web-ACL) verwenden. Informationen zur Konfiguration einer CloudWatch Logs-Log-Gruppe finden Sie unter [Arbeiten mit Protokollgruppen und Log-Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).

## Kontingente für CloudWatch Log-Log-Gruppen
<a name="logging-cw-logs-quotas"></a>

CloudWatch Logs hat standardmäßig ein maximales Kontingent für den Durchsatz, das auf alle Protokollgruppen innerhalb einer Region aufgeteilt wird und dessen Erhöhung Sie beantragen können. Wenn Ihre Protokollierungsanforderungen für die aktuelle Durchsatzeinstellung zu hoch sind, werden Ihnen Drosselungskennzahlen `PutLogEvents` für Ihr Konto angezeigt. Informationen zum Limit in der Konsole für Service Quotas und zur Beantragung einer Erhöhung finden Sie unter [CloudWatch PutLogEvents Protokollkontingent](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).

## Benennung von Protokollgruppen
<a name="logging-cw-logs-naming"></a>

Die Namen Ihrer Protokollgruppen müssen mit `aws-waf-logs-` beginnen und können mit einem beliebigen Suffix enden, z. B. `aws-waf-logs-testLogGroup2`.

Das resultierende ARN-Format lautet folgendermaßen: 

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

Die Protokollstreams haben das folgende Benennungsformat: 

```
Region_web-acl-name_log-stream-number
```

Im Folgenden wird ein Beispiel für einen Protokollstream für das Protection Pack (Web-ACL) `TestWebACL` in Region gezeigt`us-east-1`. 

```
us-east-1_TestWebACL_0
```

## Zum Veröffentlichen von Protokollen in Logs sind Berechtigungen erforderlich CloudWatch
<a name="logging-cw-logs-permissions"></a>

Für die Konfiguration der Datenverkehrsprotokollierung mit dem Protection Pack (Web-ACL) für eine CloudWatch Logs-Protokollgruppe sind die in diesem Abschnitt beschriebenen Berechtigungseinstellungen erforderlich. Die Berechtigungen werden für Sie festgelegt, wenn Sie eine der verwalteten Richtlinien AWS WAF mit vollem Zugriff verwenden, `AWSWAFConsoleFullAccess` oder`AWSWAFFullAccess`. Wenn Sie den Zugriff auf Ihre Protokollierung und AWS WAF Ressourcen detaillierter verwalten möchten, können Sie die Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter [Zugriffsverwaltung für AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu durch AWS WAF verwalteten Richtlinien finden Sie unter [AWS verwaltete Richtlinien für AWS WAF](security-iam-awsmanpol.md). 

Mit diesen Berechtigungen können Sie die Protokollierungskonfiguration des Protection Packs (Web-ACL) ändern, die Protokollzustellung für CloudWatch Protokolle konfigurieren und Informationen über Ihre Protokollgruppe abrufen. Diese Berechtigungen müssen an den Benutzer angehängt werden, den Sie zur Verwaltung von AWS WAF verwenden. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie mit der `"Resource"` Einstellung von angegeben`"*"`. Das bedeutet, dass die Aktionen für alle AWS Ressourcen zulässig sind*, die jede Aktion unterstützt*. Die Aktion `wafv2:PutLoggingConfiguration` wird beispielsweise nur für `wafv2`-Protokollkonfigurationsressourcen unterstützt. 

# Senden von Traffic Logs aus dem Protection Pack (Web ACL) an einen Amazon Simple Storage Service-Bucket
<a name="logging-s3"></a>

Dieses Thema enthält Informationen zum Senden Ihrer Traffic Logs aus dem Protection Pack (Web ACL) an einen Amazon S3 S3-Bucket. 

**Anmerkung**  
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md).

Um Ihre Datenverkehrsprotokolle (Web-ACL) an Amazon S3 zu senden, richten Sie einen Amazon S3 S3-Bucket von demselben Konto aus ein, mit dem Sie das Protection Pack (Web-ACL) verwalten, und geben dem Bucket einen Namen, der mit beginnt`aws-waf-logs-`. Wenn Sie die Anmeldung aktivieren AWS WAF, geben Sie den Bucket-Namen an. Informationen zum Erstellen eines Logging-Buckets finden [Sie unter Create a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Mit dem interaktiven Abfrageservice von Amazon Athena können Sie auf Ihre Amazon S3-Protokolle zugreifen und diese analysieren. Athena macht es einfach, Daten mit Standard-SQL direkt in Amazon S3 zu analysieren. Mit einigen Aktionen in der können Sie Athena auf Daten verweisen AWS-Managementkonsole, die in Amazon S3 gespeichert sind, und schnell beginnen, Standard-SQL zu verwenden, um Ad-hoc-Abfragen auszuführen und Ergebnisse zu erhalten. Weitere Informationen finden Sie unter [Abfragen von AWS WAF Protokollen](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) im *Amazon Athena Athena-Benutzerhandbuch*. Weitere Amazon Athena Athena-Beispielabfragen finden Sie auf der Website unter [aws-samples/ waf-log-sample-athena](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries. GitHub 

**Anmerkung**  
AWS WAF unterstützt die Verschlüsselung mit Amazon S3 S3-Buckets für den Schlüsseltyp Amazon S3 S3-Schlüssel (SSE-S3) und für AWS Key Management Service (SSE-KMS). AWS KMS keys AWS WAF unterstützt keine Verschlüsselung für AWS Key Management Service Schlüssel, die von verwaltet werden. AWS

Protokolldateien aus Ihrem Protection Pack (Web-ACL) werden in Intervallen von 5 Minuten im Amazon S3 S3-Bucket veröffentlicht. Jede Protokolldatei enthält Aufzeichnungen über den Datenverkehr der letzten 5 Minuten.

Die maximale Dateigröße für eine Protokolldatei beträgt 75 MB. Wenn die Protokolldatei die Dateigrößenbeschränkung innerhalb des 5-Minuten-Zeitraums erreicht, fügt das Protokoll keine weiteren Protokollsätze hinzu, sondern veröffentlicht sie im Amazon-S3-Bucket und erstellt dann eine neue Protokolldatei.

Die Protokolldateien werden komprimiert. Wenn Sie die Dateien über die Amazon-S3-Konsole öffnen, dekomprimiert Amazon S3 die Protokollsätze und zeigt sie an. Wenn Sie die Protokolldateien herunterladen, müssen Sie sie dekomprimieren, um die Datensätze anzuzeigen.

Eine einzelne Protokolldatei enthält verschachtelte Einträge mit mehreren Datensätzen. Um alle Protokolldateien für ein Schutzpaket (Web-ACL) zu sehen, suchen Sie nach Einträgen, die nach dem Namen des Schutzpakets (Web-ACL), der Region und Ihrer Konto-ID zusammengefasst sind.

## Benennungsanforderungen und Syntax
<a name="logging-s3-naming"></a>

Bucket-Namen für die AWS WAF Protokollierung müssen mit einem beliebigen Suffix beginnen `aws-waf-logs-` und können mit einem beliebigen Suffix enden. Beispiel, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. 

**Standort des Buckets**  
Die Speicherorte der Buckets verwenden die folgende Syntax: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```

**Bucket-ARN**  
Das Format des Buckets „Amazon-Ressourcenname (ARN)“ lautet wie folgt: 

```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```

**Bucket-Standorte mit Präfixen**  
Wenn Sie Präfixe in Ihrem Objektschlüsselnamen verwenden, um die Daten zu organisieren, die Sie in Ihren Buckets speichern, können Sie Ihre Präfixe in Ihren Logging-Bucket-Namen angeben.

**Anmerkung**  
Diese Option ist nicht über die Konsole verfügbar. Verwenden Sie AWS WAF APIs die CLI oder AWS CloudFormation.

Informationen zur Verwendung von Präfixen in Amazon S3 finden Sie unter [Objekte mithilfe von Präfixen organisieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. 

Die Bucket-Standorte mit Präfixen verwenden die folgende Syntax: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```

**Bucket-Ordner und Dateinamen**  
In Ihren Buckets und nach allen von Ihnen angegebenen Präfixen werden Ihre AWS WAF Logs in eine Ordnerstruktur geschrieben, die durch Ihre Konto-ID, die Region, den Namen des Protection Packs (Web-ACL) sowie Datum und Uhrzeit bestimmt wird. 

```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```

Innerhalb der Ordner folgen die Namen der Protokolldateien einem ähnlichen Format: 

```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```

Die in der Ordnerstruktur und im Namen der Protokolldatei verwendeten Zeitangaben entsprechen der Spezifikation des Zeitstempelformats `YYYYMMddTHHmmZ`.

Das folgende Beispiel zeigt eine Protokolldatei in einem Amazon-S3-Bucket für einen Bucket mit dem Namen `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. Das AWS-Konto ist. `11111111111` Das Schutzpaket (Web-ACL) ist `TEST-WEBACL` und die Region ist`us-east-1`.

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```

**Anmerkung**  
Ihre Bucket-Namen für die AWS WAF Protokollierung müssen mit einem beliebigen Suffix beginnen `aws-waf-logs-` und können mit einem beliebigen Suffix enden. 

## Zum Veröffentlichen von Protokollen auf Amazon S3 sind Berechtigungen erforderlich
<a name="logging-s3-permissions"></a>

Für die Konfiguration der Datenverkehrsprotokollierung mit dem Protection Pack (Web ACL) für einen Amazon S3 S3-Bucket sind die folgenden Berechtigungseinstellungen erforderlich. Diese Berechtigungen werden für Sie festgelegt, wenn Sie eine der verwalteten AWS WAF -Richtlinien mit vollem Zugriff, `AWSWAFConsoleFullAccess` oder `AWSWAFFullAccess` verwenden. Wenn Sie den Zugriff auf Ihre Protokollierung und AWS WAF Ressourcen weiter verwalten möchten, können Sie diese Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter [Zugriffsverwaltung für AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*. Informationen zu den AWS WAF verwalteten Richtlinien finden Sie unter[AWS verwaltete Richtlinien für AWS WAF](security-iam-awsmanpol.md). 

Mit den folgenden Berechtigungen können Sie die Protokollierungskonfiguration des Protection Packs (Web ACL) ändern und die Protokollzustellung an Ihren Amazon S3 S3-Bucket konfigurieren. Diese Berechtigungen müssen an den Benutzer angehängt werden, den Sie zur Verwaltung von AWS WAF verwenden. 

**Anmerkung**  
Wenn Sie die unten aufgeführten Berechtigungen festlegen, werden in Ihren AWS CloudTrail Protokollen möglicherweise Fehler angezeigt, die darauf hinweisen, dass der Zugriff verweigert wurde, die Berechtigungen für die AWS WAF Protokollierung jedoch korrekt sind. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
         "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
         ],
         "Effect":"Allow"
      }
   ]
}
```

------

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie mit der `"Resource"` Einstellung von angegeben`"*"`. Das bedeutet, dass die Aktionen für alle AWS Ressourcen zulässig sind*, die jede Aktion unterstützt*. Die Aktion `wafv2:PutLoggingConfiguration` wird beispielsweise nur für `wafv2`-Protokollkonfigurationsressourcen unterstützt. 

Standardmäßig sind Amazon-S3-Buckets und die darin enthaltenen Objekte privat. Nur der Bucket-Besitzer kann auf den Bucket und die darin gespeicherten Objekte zugreifen. Der Bucket-Besitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Wenn der Benutzer, der das Protokoll erstellt, den Bucket besitzt, fügt der Service automatisch die folgende Richtlinie an den Bucket an, um dem Protokoll die Berechtigung zum Veröffentlichen von Protokollen darin zu erteilen. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    }
  ]
}
```

------

**Anmerkung**  
Ihre Bucket-Namen für die AWS WAF Protokollierung müssen mit einem beliebigen Suffix beginnen `aws-waf-logs-` und können mit einem beliebigen Suffix enden. 

Wenn der Benutzer, der das Protokoll erstellt, nicht Eigentümer des Buckets ist, hat er keine `GetBucketPolicy`- und `PutBucketPolicy`-Berechtigungen für den Bucket und das Protokoll kann nicht erstellt werden. In diesem Fall muss der Bucket-Eigentümer dem Bucket die vorherige Richtlinie manuell hinzufügen und die AWS-Konto -ID des Erstellers des Protokolls angeben. Weitere Informationen erhalten Sie unter [Wie füge ich einen S3 Bucket hinzu?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*. Wenn der Bucket Protokolle von mehreren Konten erhält, fügen Sie der `AWSLogDeliveryWrite`-Richtlinienanweisung für jedes Konto einen `Resource`-Elementeintrag hinzu. 

Die folgende Bucket-Richtlinie ermöglicht beispielsweise die Veröffentlichung von Logs AWS-Konto `111122223333` in einem Bucket mit dem Namen`aws-waf-logs-LOGGING-BUCKET-SUFFIX`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}
```

------

**Anmerkung**  
Manchmal werden in AWS CloudTrail unter Umständen Fehler vom Typ `AccessDenied` angezeigt, wenn `delivery.logs.amazonaws.com` nicht die Berechtigung `s3:ListBucket` erteilt wurde. Um diese Fehler in Ihren CloudTrail Protokollen zu vermeiden, müssen Sie die `s3:ListBucket` Erlaubnis erteilen `delivery.logs.amazonaws.com` und die angegebenen `Condition` Parameter mit den in der vorherigen Bucket-Richtlinie festgelegten `s3:GetBucketAcl ` Berechtigungen angeben. Um dies zu vereinfachen, können Sie das Objekt direkt aktualisieren`Statement`, anstatt ein neues `AWSLogDeliveryAclCheck` zu erstellen`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.

## Berechtigungen für die Verwendung AWS Key Management Service mit einem KMS-Schlüssel
<a name="logging-s3-permissions-encrypt-kms"></a>

Wenn Ihr Protokollierungsziel serverseitige Verschlüsselung mit Schlüsseln verwendet, die in AWS Key Management Service (SSE-KMS) gespeichert sind, und Sie einen vom Kunden verwalteten Schlüssel (KMS-Schlüssel) verwenden, müssen Sie die AWS WAF Erlaubnis zur Verwendung Ihres KMS-Schlüssels erteilen. Dazu fügen Sie dem KMS-Schlüssel für das von Ihnen gewählte Ziel eine Schlüsselrichtlinie hinzu. Auf diese Weise kann die AWS WAF Protokollierung Ihre Protokolldateien an Ihr Ziel schreiben. 

Fügen Sie Ihrem KMS-Schlüssel die folgende Schlüsselrichtlinie hinzu, damit Sie AWS WAF sich bei Ihrem Amazon S3-Bucket anmelden können.

```
{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}
```

## Für den Zugriff auf Amazon S3 S3-Protokolldateien sind Berechtigungen erforderlich
<a name="logging-s3-log-file-access"></a>

Amazon S3 verwendet Zugriffskontrolllisten (ACLs), um den Zugriff auf die von einem Protokoll erstellten AWS WAF Protokolldateien zu verwalten. Standardmäßig hat der Bucket-Eigentümer `FULL_CONTROL`-Berechtigungen für jede Protokolldatei. Der Protokollbereitstellungseigentümer hat keine Berechtigungen, wenn er nicht gleichzeitig der Bucket-Eigentümer ist. Das Konto für die Protokollbereitstellung hat `READ`- und `WRITE`-Berechtigungen. Weitere Informationen finden Sie unter [Zugriffskontrollliste (ACL) – Übersicht](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.

# Senden von Traffic Logs aus dem Protection Pack (Web ACL) an einen Amazon Data Firehose-Lieferstream
<a name="logging-kinesis"></a>

Dieser Abschnitt enthält Informationen zum Senden der Verkehrsprotokolle Ihres Protection Packs (Web ACL) an einen Amazon Data Firehose-Lieferstream. 

**Anmerkung**  
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md).

Um Protokolle an Amazon Data Firehose zu senden, senden Sie Protokolle von Ihrem Protection Pack (Web-ACL) an einen Amazon Data Firehose-Lieferstream, den Sie in Firehose konfigurieren. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden Protokolle über den HTTPS-Endpunkt von Firehose an Ihr Speicherziel gesendet. 

Ein AWS WAF Protokoll entspricht einem Firehose-Datensatz. Wenn Sie in der Regel 10.000 Anfragen pro Sekunde erhalten und vollständige Protokolle aktivieren, sollten Sie in Firehose eine Einstellung von 10.000 Datensätzen pro Sekunde haben. Wenn Sie Firehose nicht richtig konfigurieren, AWS WAF werden nicht alle Protokolle aufgezeichnet. Weitere Informationen finden Sie unter [Amazon Kinesis Data Firehose-Kontingente.](https://docs.aws.amazon.com/firehose/latest/dev/limits.html) 

Informationen dazu, wie Sie einen Amazon Data Firehose-Lieferstream erstellen und Ihre gespeicherten Protokolle überprüfen, finden Sie unter [Was ist Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)? 

Weitere Informationen zum Erstellen eines Bereitstellungsdatenstroms finden Sie unter [Erstellen eines Bereitstellungsdatenstroms für Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Konfiguration eines Amazon Data Firehose-Lieferdatenstroms für Ihr Schutzpaket (Web-ACL)
<a name="logging-kinesis-configuration"></a>

Konfigurieren Sie wie folgt einen Amazon Firehose Firehose-Lieferstream für Ihr Protection Pack (Web-ACL).
+ Erstellen Sie es mit demselben Konto, das Sie für die Verwaltung des Schutzpakets (Web-ACL) verwenden.
+ Erstellen Sie es in derselben Region wie das Protection Pack (Web-ACL). Wenn Sie Logs für Amazon erfassen CloudFront, erstellen Sie die Firehose in der Region USA Ost (Nord-Virginia),`us-east-1`.
+ Geben Sie dem Data Firehose einen Namen, der mit dem Präfix `aws-waf-logs-` beginnt. Beispiel, `aws-waf-logs-us-east-2-analytics`.
+ Konfigurieren Sie ihn für Direct Put, sodass Anwendungen direkt auf den Bereitstellungsstrom zugreifen können. Wählen Sie in der [Amazon Data Firehose-Konsole](https://console.aws.amazon.com/firehose) für die Einstellung Delivery Stream **Source** die Option **Direct PUT oder andere Quellen aus**. Legen Sie über die API die Eigenschaft `DeliveryStreamType` des Bereitstellungsstroms auf `DirectPut` fest.
**Anmerkung**  
Verwenden Sie keinen `Kinesis stream` als Ihre Quelle.

## Zum Veröffentlichen von Protokollen in einem Amazon Data Firehose-Lieferstream sind Berechtigungen erforderlich
<a name="logging-kinesis-permissions"></a>

Informationen zu den für Ihre Kinesis-Data-Firehose-Konfiguration erforderlichen Berechtigungen finden Sie unter [Controlling Access with Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html) (Zugriff mit Amazon Kinesis Data Firehose steuern).

Sie müssen über die folgenden Berechtigungen verfügen, um die Protokollierung von Protection Pack (Web ACL) mit einem Amazon Data Firehose-Lieferstream erfolgreich zu aktivieren.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Weitere Informationen zu serviceverknüpften Rollen und zur `iam:CreateServiceLinkedRole`-Berechtigung finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md).

# Konfiguration der Protokollierung für ein Protection Pack (Web-ACL)
<a name="logging-management-configure"></a>

Dieser Abschnitt enthält Anweisungen zur Konfiguration des Datenschutzes für ein Protection Pack (Web-ACL).

**Anmerkung**  
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md).

Um die Protokollierung für ein Protection Pack (Web-ACL) zu aktivieren, müssen Sie das zu verwendende Protokollierungsziel bereits konfiguriert haben. Informationen über Ihre Zielauswahl und die jeweiligen Anforderungen finden Sie unter [AWS WAF Ziele protokollieren](logging-destinations.md).

**So konfigurieren Sie die Protokollierung für ein Protection Pack (Web-ACL)**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus.

1. Wählen Sie den Namen des Schutzpakets (Web-ACL), für das Sie die Protokollierung aktivieren möchten. Über die Konsole gelangen Sie zur Beschreibung des Schutzpakets (Web-ACL), wo Sie es bearbeiten können.

1. Wählen Sie auf der Registerkarte **Protokollierung und Metriken** die Option **Protokollierung aktivieren** aus.

1. Wählen Sie den Protokollierzieltyp und dann das konfigurierte Protokollierungsziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit `aws-waf-logs-` beginnt.

1. (Optional) Wenn Sie nicht möchten, dass einige Felder in den Protokollen enthalten sind, redigieren Sie sie. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf **Add (Hinzufügen)**. Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Geschwärzte Felder werden in den Protokollen als angezeigt. `xxx`
**Anmerkung**  
Diese Einstellung hat keine Auswirkungen auf das Sampling von Anfragen. Sie können Felder vom Anforderungssampling ausschließen, indem Sie den Datenschutz des Protection Packs (Web ACL) konfigurieren oder das Sampling für das Protection Pack (Web ACL) deaktivieren. 

1. (Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter **Filter logs** (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, **Add filter** (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das **Standardprotokollierungsverhalten**. 
**Anmerkung**  
Wenn Sie mehrere Filter hinzufügen, werden diese von oben beginnend AWS WAF ausgewertet.

1. Wählen Sie **Enable logging (Protokollierung aktivieren)** aus.
**Anmerkung**  
Wenn Sie die Protokollierung erfolgreich aktivieren, AWS WAF wird eine dienstbezogene Rolle mit den erforderlichen Berechtigungen zum Schreiben von Protokollen an das Protokollierungsziel erstellt. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md).

# Suchen nach Ihren Protection Pack-Einträgen (Web-ACL)
<a name="logging-management"></a>

In diesem Abschnitt wird erklärt, wie Sie die Einträge Ihres Protection Packs (Web-ACL) finden.

**Anmerkung**  
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter [Preise für die Protokollierung von Verkehrsinformationen aus dem Protection Pack (Web ACL)](logging-pricing.md).

**Wenn Sie in Ihren Protokollen keinen Protokolleintrag finden können**  
In seltenen Fällen ist es möglich, dass die AWS WAF Protokollzustellung unter 100% fällt, wobei die Protokolle nach bestem Wissen und Gewissen geliefert werden. Die AWS WAF Architektur räumt der Sicherheit Ihrer Anwendungen Vorrang vor allen anderen Überlegungen ein. In einigen Situationen, z. B. wenn bei Protokollierungsabläufen der Datenverkehr eingeschränkt wird, kann dies dazu führen, dass Datensätze gelöscht werden. Dies sollte sich nicht auf mehr als ein paar Datensätze auswirken. Wenn Sie feststellen, dass mehrere Protokolleinträge fehlen, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/).

In der Protokollierungskonfiguration für Ihr Protection Pack (Web-ACL) können Sie anpassen, was AWS WAF an die Protokolle gesendet wird.
+ **Schwärzung von** Feldern — Sie können die folgenden Felder aus den Protokolldatensätzen für die Regeln, die die entsprechenden Übereinstimmungseinstellungen verwenden, unkenntlich machen: **URI-Pfad**, **Abfragezeichenfolge**, **Einzelner Header** und **HTTP-Methode**. Die unkenntlich gemachten Felder werden in den Protokollen als `REDACTED` angezeigt. Wenn Sie beispielsweise das Feld **Abfragezeichenfolge** schwärzen, wird es in den Protokollen wie `REDACTED` bei allen Regeln aufgeführt, die die Komponenteneinstellung **Abfragezeichenfolge abgleichen** verwenden. **Schwärzen bezieht sich nur auf die Anforderungskomponente, die Sie in der Regel für den Abgleich angeben. Daher gilt die Schwärzung der Komponente **Einzelner Header** nicht für Regeln, die auf Kopfzeilen übereinstimmen.** Eine Liste der Protokollfelder finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anmerkung**  
Diese Einstellung hat keine Auswirkungen auf das Sampling von Anfragen. Sie können Felder vom Anforderungssampling ausschließen, indem Sie den Datenschutz des Protection Packs (Web ACL) konfigurieren oder das Sampling für das Protection Pack (Web ACL) deaktivieren. 
+ **Filtern von Protokollen**: Sie können Filter hinzufügen, um anzugeben, welche Webanforderungen in den Protokollen gespeichert und welche gelöscht werden. Sie filtern nach den Einstellungen, die bei der Auswertung der Webanfrage AWS WAF gelten. Sie können nach den folgenden Einstellungen filtern: 
  + **Vollqualifiziertes Label** — Vollqualifizierte Labels haben ein Präfix, optionale Namespaces und einen Labelnamen. Das Präfix identifiziert den Regelgruppen- oder Schutzpaketkontext (Web-ACL) der Regel, die das Label hinzugefügt hat. Weitere Informationen zu Bezeichnungen finden Sie unter [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
  + **Regelaktion** — Sie können nach jeder normalen Regelaktionseinstellung und auch nach der älteren Option zum `EXCLUDED_AS_COUNT` Überschreiben von Regelgruppenregeln filtern. Weitere Informationen zu Einstellungen für Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). Informationen zu aktuellen und älteren Regelaktionsüberschreibungen für Regelgruppenregeln finden Sie unter[Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md). 
    + Die normalen Regelaktionsfilter gelten für Aktionen, die in Regeln konfiguriert sind, sowie für Aktionen, die mithilfe der aktuellen Option zum Überschreiben einer Regelgruppenregelaktion konfiguriert wurden. 
    + Der `EXCLUDED_AS_COUNT` Protokollfilter überschneidet sich mit dem `Count` Aktionsprotokollfilter. `EXCLUDED_AS_COUNT`filtert sowohl die aktuellen als auch die älteren Optionen zum Überschreiben einer Regelgruppenregelaktion auf. Count 

# Protokollfelder für den Traffic des Protection Packs (Web-ACL)
<a name="logging-fields"></a>

In der folgenden Liste werden die wichtigsten Protokollfelder beschrieben. 

**action**  
Die abschließende Aktion, die für die Anfrage AWS WAF galt. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Herausforderung“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.

**args**  
Die Abfragezeichenfolge.

**captchaResponse**  
Der CAPTCHA-Aktionsstatus für die Anfrage, der ausgefüllt wird, wenn eine CAPTCHA Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede CAPTCHA Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die CAPTCHA Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.   
Die CAPTCHA Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die CAPTCHA Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. `failureReason`

**cfDistributionTenantID**  
Der Bezeichner für den CloudFront Distributionsmandanten, der der Webanforderung zugeordnet ist. Dieses Feld ist optional und gilt nur für Schutzpakete (Web ACLs), die CloudFront Distributionsmandanten zugeordnet sind.

**ChallengeResponse**  
Der Status der Challenge-Aktion für die Anfrage, der aufgefüllt wird, wenn eine Challenge Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede Challenge Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die Challenge Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.   
Die Challenge Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die Challenge Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. `failureReason`

**Client-ASN**  
Die autonome Systemnummer (ASN), die der IP-Adresse zugeordnet ist, aus der die Webanfrage stammt.  
**ClientASN** wird nur dann in den AWS WAF Protokollen protokolliert, wenn eine ASN-Match-Anweisung verwendet wird. Andernfalls wird dieses Feld nicht protokolliert.

**clientIp**  
Die IP-Adresse des Clients, der die Anforderung sendet.

**country**  
Das Quellland der Anforderung. Wenn AWS WAF das Herkunftsland nicht bestimmt werden kann, wird dieses Feld auf gesetzt`-`. 

**country**  
Das Quellland der Anforderung. Wenn AWS WAF das Herkunftsland nicht bestimmt werden kann, wird dieses Feld auf gesetzt`-`. 

**excludedRules**  
Wird nur für Regelgruppenregeln verwendet. Die Liste der Regeln in der Regelgruppe, die von Ihnen ausgeschlossen wurden. Die Aktion für diese Regeln ist auf eingestelltCount.   
Wenn Sie mit der Aktionsoption „Regel überschreiben“ eine Regel so überschreiben, dass sie zählt, werden Treffer hier nicht aufgeführt. Sie werden als Aktionspaare `action` und aufgeführt`overriddenAction`.    
exclusionType  
Ein Typ, der angibt, dass die ausgeschlossene Regel die Aktion hatCount.  
ruleId  
Die ID der Regel innerhalb der Regelgruppe, die ausgeschlossen ist.

**formatVersion**  
Die Formatversion für das Protokoll.

**ASN weitergeleitet**  
Die autonome Systemnummer (ASN), die der IP-Adresse der Entität zugeordnet ist, die die Webanforderung weitergeleitet hat.

**Header**  
Die Liste der Header.

**httpMethod**  
Die HTTP-Methode in der Anforderung.

**httpRequest**  
Die Metadaten zu der Anforderung.

**httpSourceId**  
Die ID der zugehörigen Ressource:   
+ Für eine CloudFront Amazon-Distribution ist die ID `distribution-id` in der ARN-Syntax wie folgt: 

  `arn:partitioncloudfront::account-id:distribution/distribution-id` 
+ Für einen Application Load Balancer entspricht die ID `load-balancer-id` in der ARN-Syntax: 

  `arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id`
+ Für eine Amazon API Gateway Gateway-REST-API entspricht die ID `api-id` in der ARN-Syntax: 

  `arn:partition:apigateway:region::/restapis/api-id/stages/stage-name`
+ Für eine AWS AppSync GraphQL-API ist die ID `GraphQLApiId` in der ARN-Syntax: 

  `arn:partition:appsync:region:account-id:apis/GraphQLApiId`
+ Für einen Amazon Cognito Cognito-Benutzerpool ist die ID `user-pool-id` in der ARN-Syntax: 

  `arn:partition:cognito-idp:region:account-id:userpool/user-pool-id`
+ Für einen AWS App Runner Dienst ist die ID `apprunner-service-id` in der ARN-Syntax: 

  `arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id`

**httpSourceName**  
Die Quelle der Anforderung. Mögliche Werte: `CF` für Amazon CloudFront, `APIGW` für Amazon API Gateway, `ALB` für Application Load Balancer, `APPSYNC` für AWS AppSync, `COGNITOIDP` für Amazon Cognito, `APPRUNNER` für App Runner und `VERIFIED_ACCESS` für Verified Access.

**httpVersion**  
Die HTTP-Version.

**JA3-Fingerabdruck**  
Der JA3 Fingerabdruck der Anfrage.  
JA3 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA3 Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält.   
Sie geben diesen Wert an, wenn Sie in Ihren Protection Pack-Regeln (Web-ACL) einen JA3 Fingerabdruckabgleich konfigurieren. Informationen zum Erstellen eines Abgleichs mit dem JA3 Fingerabdruck finden Sie [JA3 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) in der Anweisung [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md) Für eine Regel.

**JA4-Fingerabdruck**  
Der JA4 Fingerabdruck der Anfrage.  
JA4 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA4 Fingerabdruck ist ein 36-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält.   
Sie geben diesen Wert an, wenn Sie in Ihren Protection Pack-Regeln (Web-ACL) einen JA4 Fingerabdruckabgleich konfigurieren. Informationen zum Erstellen eines Abgleichs mit dem JA4 Fingerabdruck finden Sie [JA4 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) in der Anweisung [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md) Für eine Regel.

**labels**  
Die Bezeichnungen in der Webanforderung. Diese Bezeichnungen wurden durch Regeln zugewiesen, die zur Auswertung der Anfrage verwendet wurden. AWS WAF protokolliert die ersten 100 Labels. 

**nonTerminatingMatchingRegeln**  
Die Liste der nicht abschließenden Regeln, die der Anfrage entsprachen. Jeder Eintrag in der Liste enthält die folgenden Informationen.     
action  
Die Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies gibt entweder Anzahl, CAPTCHA oder Herausforderung an. Die CAPTCHA und Challenge enden nicht, wenn die Webanforderung ein gültiges Token enthält.  
ruleId  
Die ID der Regel, die mit der Anforderung übereinstimmt und nicht beendend war.   
ruleMatchDetails  
Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt. 
Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“ `challengeResponse` wird beispielsweise das „`captchaResponse`Oder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. `overriddenAction` 

**oversizeFields**  
Die Liste der Felder in der Webanforderung, die vom Protection Pack (Web-ACL) geprüft wurden und deren AWS WAF Inspektionslimit überschritten wurde. Wenn ein Feld zu groß ist, es aber vom Schutzpaket (Web-ACL) nicht überprüft wird, wird es hier nicht aufgeführt.   
Diese Liste kann null oder mehr der folgenden Werte enthalten: `REQUEST_BODY`, `REQUEST_JSON_BODY`, `REQUEST_HEADERS` und `REQUEST_COOKIES`. Weitere Informationen zu übergroßen Feldern finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).

**rateBasedRuleListe**  
Die Liste der ratenbasierten Regeln, die auf die Anforderung reagiert haben. Weitere Informationen über ratenbasierte Regeln finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).    
rateBasedRuleID  
Die ID der ratenbasierten Regel, die auf die Anforderung reagiert hat. Wenn die Anforderung hierdurch beendet wurde, ist die ID für `rateBasedRuleId` mit der ID für `terminatingRuleId` identisch.  
rateBasedRuleName  
Der Name der ratenbasierten Regel, die auf die Anforderung reagiert hat.   
limitKey  
Die Art der Aggregation, die die Regel verwendet. Mögliche Werte sind `IP` für den Ursprung der Webanfrage, `FORWARDED_IP` für eine IP, die in einem Header der Anfrage weitergeleitet wird, `CUSTOMKEYS` für benutzerdefinierte Aggregatschlüsseleinstellungen und `CONSTANT` für das Zusammenzählen aller Anfragen ohne Aggregation.   
limitValue  
Wird nur bei der Ratenbegrenzung durch einen einzigen IP-Adresstyp verwendet. Wenn eine Anforderung eine ungültige IP-Adresse enthält, ist der `limitvalue` `INVALID`.  
maxRateAllowed  
Die maximale Anzahl von Anfragen, die im angegebenen Zeitfenster für eine bestimmte Aggregationsinstanz zulässig sind. Die Aggregationsinstanz wird durch die `limitKey` und alle zusätzlichen Schlüsselspezifikationen definiert, die Sie in der ratenbasierten Regelkonfiguration angegeben haben.   
evaluationWindowSec  
Die Zeit, die in der Anfrage AWS WAF enthalten ist, wird in Sekunden gezählt.   
Benutzerdefinierte Werte  
Eindeutige Werte, die durch die ratenbasierte Regel in der Anfrage identifiziert werden. Bei Zeichenkettenwerten geben die Protokolle die ersten 32 Zeichen des Zeichenfolgenwerts aus. Je nach Schlüsseltyp können diese Werte nur für einen Schlüssel gelten, z. B. für eine HTTP-Methode oder eine Abfragezeichenfolge, oder sie können für einen Schlüssel und einen Namen gelten, z. B. für den Header und den Headernamen. 

**requestHeadersInserted**  
Die Liste der Kopfzeilen, die für die benutzerdefinierte Bearbeitung von Anforderungen eingefügt werden.

**requestId**  
Die ID der Anforderung, die vom zugrunde liegenden Host-Service generiert wird. Bei Application Load Balancer ist dies die Ablaufverfolgungs-ID. Bei allen anderen ist dies die Anforderungs-ID. 

**responseCodeSent**  
Der Antwortcode, der mit einer benutzerdefinierten Antwort gesendet wird.

**ruleGroupId**  
Die ID der Regelgruppe. Wenn die Regel die Anforderung blockiert hat, ist die ID für `ruleGroupID` mit der ID für `terminatingRuleId` identisch. 

**ruleGroupList**  
Die Liste der Regelgruppen, die auf diese Anfrage reagiert haben, mit Übereinstimmungsinformationen.

**terminatingRule**  
Die Regel, die die Anforderung beendet. Falls diese vorhanden ist, enthält sie die folgenden Informationen.     
action  
Die abschließende Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Herausforderung“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.  
ruleId  
Die ID der Regel, die der Anfrage entsprach.   
ruleMatchDetails  
Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt. 
Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“ `challengeResponse` wird beispielsweise das „`captchaResponse`Oder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. `overriddenAction` 

**terminatingRuleId**  
Die ID der Regel, die die Anforderung beendet. Wenn nichts zur Beendigung der Anforderung führt, ist der Wert `Default_Action`.

**terminatingRuleMatchEinzelheiten**  
Detaillierte Informationen zur Beendigungsregel, die mit der Anforderung übereingestimmt hat. Eine Beendigungsregel verfügt über eine Aktion, die den Inspektionsprozess für eine Webanforderung beendet. Zu den möglichen Aktionen für eine abschließende Regel gehörenAllow, BlockCAPTCHA, undChallenge. Bei der Überprüfung einer Webanforderung wird die Prüfung bei der ersten Regel, die der Anforderung entspricht und die eine abschließende Aktion enthält, AWS WAF beendet und die Aktion angewendet. Die Webanfrage kann zusätzlich zu der Bedrohung, die im Protokoll für die entsprechende Beendungsregel aufgeführt ist, weitere Bedrohungen enthalten.  
Dies wird nur für SQL-Injection und Cross-Site Scripting (XSS) -Übereinstimmungsregelanweisungen aufgefüllt. Die Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt. 

**terminatingRuleType**  
Der Typ der Regel, die die Anforderung beendet. Mögliche Werte: RATE\$1BASED, REGULAR, GROUP und MANAGED\$1RULE\$1GROUP.

**Zeitstempel**  
Der Zeitstempel in Millisekunden.

**uri**  
Der URI der Anforderung. 

**fragment**  
Der Teil einer URL, der auf das Symbol „\$1“ folgt und zusätzliche Informationen über die Ressource bereitstellt, z. B. \$1section2.

**webaclId**  
Die GUID des Schutzpakets (Web-ACL).

# Protokollbeispiele für Traffic mit Schutzpaketen (Web-ACL)
<a name="logging-examples"></a>

Dieser Abschnitt enthält Beispiele für die Protokollierung des Traffic durch das Protection Pack (Web ACL).

**Example Ratenbasierte Regel 1: Regelkonfiguration mit einem Schlüssel, eingestellt auf `Header:dogname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Ratenbasierte Regel 1: Protokolleintrag für eine Anfrage, die durch eine ratenbasierte Regel blockiert wurde**  

```
{
   "timestamp":1683355579981,
   "formatVersion":1,
   "webaclId": ...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId": ...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.45",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.45"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"RateBasedRuleTestKoipOneKeyModulePV2"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"Ed0AiHF_CGYF-DA="
   }
}
```

**Example Ratenbasierte Regel 2: Regelkonfiguration mit zwei Schlüsseln, eingestellt auf und `Header:dogname` `Header:catname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            },
            {
              "Header": {
                "Name": "catname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Ratenbasierte Regel 2: Protokolleintrag für eine Anfrage, die durch eine ratenbasierte Regel blockiert wurde**  

```
{
   "timestamp":1633322211194,
   "formatVersion":1,
   "webaclId":...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId":...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            },
            {
               "key":"HEADER",
               "name":"catname",
               "value":"goofie"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.35",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.35"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"23llbyn8v3.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-64556629-17ac754c2ed9f0620e0f2a0c"
         },
         {
            "name":"catname",
            "value":"goofie"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"Apache-HttpClient/UNAVAILABLE (Java/11.0.19)"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"EdzmlH5OCGYF1vQ="
   }
}
```

**Example Protokollausgabe für eine Regel, die bei Entdeckung ausgelöst wurde (beendet) SQLi**  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:111122223333:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "HEADER",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "-",
    "httpSourceId": "-",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [
            {
                "name": "Host",
                "value": "localhost:1989"
            },
            {
                "name": "User-Agent",
                "value": "curl/7.61.1"
            },
            {
                "name": "Accept",
                "value": "*/*"
            },
            {
                "name": "x-stm-test",
                "value": "10 AND 1=1"
            }
        ],
        "uri": "/myUri",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Protokollausgabe für eine Regel, die bei SQLi Entdeckung ausgelöst wurde (nicht terminierend)**  

```
{
    "timestamp":1592357192516
    ,"formatVersion":1
    ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"Default_Action"
    ,"terminatingRuleType":"REGULAR"
    ,"action":"ALLOW"
    ,"terminatingRuleMatchDetails":[]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":[]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":
    [{
        "ruleId":"TestRule"
        ,"action":"COUNT"
        ,"ruleMatchDetails":
        [{
            "conditionType":"SQL_INJECTION"
            ,"sensitivityLevel": "HIGH"
            ,"location":"HEADER"
            ,"matchedData":[
                "10"
                ,"and"
                ,"1"]
            }]
    }]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":[
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader","myValue":"10 AND 1=1"}
            ]
            ,"uri":"/myUri","args":""
            ,"httpVersion":"HTTP/1.1"
            ,"httpMethod":"GET"
            ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Protokollausgabe für mehrere Regeln, die innerhalb einer Regelgruppe ausgelöst wurden (RuleA-XSS ist beendend und Rule-B ist nicht beendend)**  

```
{
    "timestamp":1592361810888,
    "formatVersion":1,
    "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"RG-Reference"
    ,"terminatingRuleType":"GROUP"
    ,"action":"BLOCK",
    "terminatingRuleMatchDetails":
    [{
        "conditionType":"XSS"
        ,"location":"HEADER"
        ,"matchedData":["<","frameset"]
    }]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":
    [{
        "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b"
        ,"terminatingRule":{
            "ruleId":"RuleA-XSS"
            ,"action":"BLOCK"
            ,"ruleMatchDetails":null
            }
        ,"nonTerminatingMatchingRules":
        [{
            "ruleId":"RuleB-SQLi"
            ,"action":"COUNT"
            ,"ruleMatchDetails":
            [{
                "conditionType":"SQL_INJECTION"
                ,"sensitivityLevel": "LOW"
                ,"location":"HEADER"
                ,"matchedData":[
                    "10"
                    ,"and"
                    ,"1"]
            }]
        }]
        ,"excludedRules":null
    }]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":[]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":
        [
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader1","value":"<frameset onload=alert(1)>"}
            ,{"name":"myHeader2","value":"10 AND 1=1"}
            ]
        ,"uri":"/myUri"
        ,"args":""
        ,"httpVersion":"HTTP/1.1"
        ,"httpMethod":"GET"
        ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Protokollausgabe für eine Regel, die die Prüfung des Anforderungstextes mit Inhaltstyp JSON ausgelöst hat**  
AWS WAF meldet derzeit den Standort für die JSON-Bodyinspektion als. `UNKNOWN`  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:123456789012:regional/webacl/test/111",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "LOW",
            "location": "UNKNOWN",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "ALB",
    "httpSourceId": "alb",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted":null,
    "responseCodeSent":null,
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [],
        "uri": "",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "POST",
        "requestId": "null"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Protokollausgabe für eine CAPTCHA-Regel anhand einer Webanforderung mit einem gültigen, noch nicht abgelaufenen CAPTCHA-Token**  
Die folgende Protokollliste bezieht sich auf eine Webanforderung, die mit einer Regel mit CAPTCHA-Aktion übereinstimmt. Die Webanforderung hat ein gültiges und nicht abgelaufenes CAPTCHA-Token und wird nur von als CAPTCHA-Übereinstimmung vermerkt, ähnlich dem Verhalten für die Aktion. AWS WAFCount Dieser CAPTCHA-Abgleich ist unter vermerkt. `nonTerminatingMatchingRules`  

```
{
  "timestamp": 1632420429309,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "Default_Action",
  "terminatingRuleType": "REGULAR",
  "action": "ALLOW",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [
    {
      "ruleId": "captcha-rule",
      "action": "CAPTCHA",
      "ruleMatchDetails": [],
      "captchaResponse": {
        "responseCode": 0,
        "solveTimestamp": 1632420429
      }
    }
  ],
  "requestHeadersInserted": [
    {
      "name": "x-amzn-waf-test-header-name",
      "value": "test-header-value"
    }
  ],
  "responseCodeSent": null,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc24d-5ad89a09181910c43917a888"
      },
      {
        "name": "cache-control",
        "value": "max-age=0"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "same-origin"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "referer",
        "value": "https://b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com/pen-test/pets"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      },
      {
        "name": "cookie",
        "value": "aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINMHHUgoAMFxug="
  }
}
```

**Example Protokollausgabe für eine CAPTCHA-Regel für eine Webanfrage, die kein CAPTCHA-Token hat**  
Die folgende Protokollliste bezieht sich auf eine Webanforderung, die mit einer Regel mit CAPTCHA-Aktion übereinstimmt. Die Webanfrage hatte kein CAPTCHA-Token und wurde von blockiert. AWS WAF  

```
{
  "timestamp": 1632420416512,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "captcha-rule",
  "terminatingRuleType": "REGULAR",
  "action": "CAPTCHA",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [],
  "requestHeadersInserted": null,
  "responseCodeSent": 405,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc240-18b57ff33c10e5c016b508c5"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "cross-site"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINKHEssoAMFsrg="
  },
  "captchaResponse": {
    "responseCode": 405,
    "solveTimestamp": 0,
    "failureReason": "TOKEN_MISSING"
  }
}
```

# Datenschutz
<a name="data-protection-masking"></a>

AWS WAF Mit den Datenschutzeinstellungen können Sie einen individuellen und detaillierten Schutz vertraulicher Informationen (Passwörter, API-Schlüssel, Authentifizierungstoken und andere vertrauliche Daten) in bestimmten Datenfeldern wie Headern, Parametern und Textinhalten implementieren.

Sie können den Datenschutz an einer der folgenden Stellen konfigurieren:
+ Die Schutzpaket-Ebene (Web-ACL), die für alle Ausgabeziele gilt.
+ Nur Protokollierung, was sich nur auf die Daten auswirkt, die AWS WAF an das konfigurierte Protokollierungsziel gesendet werden. 

Datenschutz kann entweder als Ersatz oder als Hashing angegeben werden. 

Substitution bezieht sich auf das Ersetzen von Inhalten durch das Wort. `REDACTED` 

 Hashing bezieht sich auf das Ersetzen von Inhalten, von einer Zeichenfolge über eine SHA-256-Binärdatei bis hin zu Base64:

1. Zunächst erstellt der Algorithmus eine Zeichenfolge aus Kontonummer und Inhalt.

1. Anschließend wendet er SHA-256 an, um einen binären Hash zu erzeugen.

1. Schließlich codiert es diese Bytes mit Base64.

**Tipp**  
 Sie sollten die Eigenschaften von SHA-256-Hashing überprüfen, um festzustellen, ob es Ihren Anforderungen entspricht, bevor Sie die geeignete Datenschutzmethode auswählen. Wir empfehlen nicht, sich auf SHA-256-Hashing zu verlassen, wenn Sie ein Ergebnis erzielen möchten, das der Verschlüsselung oder Tokenisierung entspricht.

**Topics**
+ [Aktivierung des Datenschutzes](enable-protection.md)
+ [Ausnahmen im Bereich Datenschutz](data-protection-exceptions.md)
+ [Einschränkungen des Datenschutzes](data-protection-limitations.md)
+ [Beispiele für Datenschutz](data-protection-examples.md)
+ [Konfiguration des Datenschutzes für ein Schutzpaket (Web-ACL)](data-protection-configure.md)

# Aktivierung des Datenschutzes
<a name="enable-protection"></a>

In diesem Abschnitt werden die Datenschutz- und Protokollkonfigurationsoptionen erläutert, die Sie in der Konsole auswählen können. Sie können Daten schützen, die in Protokollen erscheinen, indem Sie den Datenschutz für bestimmte Felder aktivieren. Der Datenschutz kann angewendet werden, um vertrauliche Informationen in verschiedene Arten von Ausgaben umzuwandeln, darunter vollständige Protokolle, Musteranfragen und Security Lake.

**Um den Datenschutz in der AWS WAF Konsole zu aktivieren**

Navigieren Sie in der Konsole zur Seite mit den **Schutzpaketen (Webseite ACLs)**, um die **Schutzeinstellungen zu aktivieren**. Um den Datenschutz für Ihre Protokolle zu aktivieren, wählen Sie aus, ob er auf alle Protokolle oder auf ein bestimmtes Protokollierungsziel angewendet werden soll. Weitere Informationen finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).

**Anmerkung**  
Sie müssen die Protokollierung nicht aktivieren, um den Datenschutz auf die gesamte Protokollierung anzuwenden. Der Datenschutz wird auf alle Ausgabeziele angewendet, unabhängig davon, ob die Protokollierung aktiviert ist. 

Wählen Sie unten auf der Seite **Schutzeinstellungen aktivieren** im Bereich **Datenschutzfelder** die Schaltfläche **Feld hinzufügen** aus. Wählen Sie den Feldtyp aus dem Dropdownmenü aus. Informationen darüber, wie die Daten der einzelnen Felder datenschutzrechtlich geschützt sind, finden Sie in der folgenden Tabelle.


| Feldtyp | Details | 
| --- | --- | 
|  `Single header`  |  Transformiert den angegebenen Header-Schlüsselwert dauerhaft entsprechend der angegebenen Option (Hashing oder Substitution). Der transformierte Wert wird auch in vollständigen Protokollen wiedergegeben.  | 
|  `Body`  |  Transformiert den Körperwert dauerhaft. Gilt nur für `RuleMatchDetails` im Protokoll.  | 
|  `Query string`  |  Transformiert die Abfragezeichenfolge dauerhaft entsprechend der angegebenen Option (Hashing oder Substitution). Der transformierte Wert wird auch in vollständigen Protokollen wiedergegeben.  | 
|  `Single query argument`  |  Transformiert den angegebenen Abfrage-Argumentwert dauerhaft entsprechend der angegebenen Option (Hashing oder Substitution). Der transformierte Wert wird auch in vollständigen Protokollen wiedergegeben.  | 
|  `Single cookie`  |  Transformieren Sie den Cookie-Wert dauerhaft entsprechend der angegebenen Option (Hashing oder Substitution). Der transformierte Wert wird auch in vollständigen Protokollen wiedergegeben.  | 

# Ausnahmen im Bereich Datenschutz
<a name="data-protection-exceptions"></a>

Wenn diese Option aktiviert ist, gilt der Datenschutz für die Felder, für die er aktiviert ist, einschließlich `RuleMatchDetails` und`rateBasedRuleList`. Es gibt jedoch Fälle, in denen Sie die geschützten Daten und Inhalte möglicherweise in und aus Gründen der Problembehandlung `RuleMatchDetails` und `rateBasedRuleList` zur besseren Sichtbarkeit hinzufügen möchten. In diesen Szenarien können Sie Ausnahmen vom Datenschutz für dieses Feld angeben.
+ **`ExcludeRuleMatchDetails`**: Wenn Sie diese Ausnahme für ein bestimmtes Feld angeben, `RuleMatchDetails` wird der Wert des Felds angezeigt und fällt nicht unter den Datenschutz. 
+ **`ExcludeRateBasedDetails`**: Wenn Sie diese Ausnahme für ein bestimmtes Feld angeben, `rateBasedRuleList` wird der Wert des Felds angezeigt und fällt nicht unter den Datenschutz.

  Beispiel: Die `ExcludeRateBasedDetails` Regel ist für **SINGLE\$1HEADER und **HEADER\$1NAME**** für „dogname“ aktiviert.

  Wenn keine Ausnahme auf die Regel angewendet wird, wird der Wert für „dogname“ als angezeigt. `REDACTED`

  ```
  "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"REDACTED" } ] } ]
  ```

  Wenn für die Regel eine Ausnahme aktiviert ist, erscheint der Wert „Dogname“ im Protokoll.

  ```
   "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"ELLA" } ] } ]
  ```

**Warnung**  
Die Datenschutzfunktion kann sich möglicherweise auf die AWS WAF Problembehandlungsmöglichkeiten auswirken. Diese Einstellungen können zu unerwartetem Erkennungs- und Schadensbegrenzungsverhalten führen. Beschränken Sie den Datenschutz für bestimmte Parameter auf diejenigen, die unbedingt erforderlich sind.

# Einschränkungen des Datenschutzes
<a name="data-protection-limitations"></a>

Im Folgenden finden Sie Einschränkungen, die Sie bei der Verwendung von Datenschutz berücksichtigen sollten.

## QueryString und SingleQueryArg
<a name="queries"></a>

**QueryString Schutz**
+ Datenschutz aktiviert `QueryString` gilt für alle Abfrageargumente, substituting/hashing sowohl für Schlüssel als auch für Werte, entsprechend den angegebenen Einstellungen.

**QueryString in `RuleMatch` Details und `RateBased` Regellisten**
+ Wenn Datenschutz auf ein einzelnes Abfrageargument angewendet wird, befindet sich die gesamte Abfragezeichenfolge substituted/hashed in den vollständigen Protokollen im `RateBasedRule` Abschnitt `RuleMatchDetails` und.
+ Wenn in mehreren Einzelabfrageargumenten unterschiedliche Schutzmethoden (Substitution und Hashing) angegeben sind, wird die strengere Methode, Substitution, auf die gesamte Abfragezeichenfolge im Abschnitt und in den `RuleMatchDetails` vollständigen Protokollen angewendet. `RateBasedRule`

## Cookies
<a name="cookies"></a>

**Anmerkung**  
 Der Datenschutz gilt nur für die Werte des Cookies, wenn das Single-Header-Cookie geschützt ist. 

**Einzelner Cookie in `RuleMatchDetails` und `RateBasedRule` Listen**
+ Wenn der Datenschutz auf ein einzelnes Cookie angewendet wird, befindet sich der gesamte Cookie-Header substituted/hashed in den vollständigen Protokollen im `RateBasedRule` Abschnitt `RuleMatchDetails` und.
+ Wenn verschiedene Schutzmethoden angegeben sind (Substitution und Hashing), wird die strengere Methode, die Substitution, auf das gesamte Cookie im `RateBasedRule` Abschnitt `RuleMatchDetails` und in den vollständigen Protokollen angewendet.

# Beispiele für Datenschutz
<a name="data-protection-examples"></a>

Dieser Abschnitt enthält Protokollbeispiele für die Datenschutzprotokollierung des Datenverkehrs mit dem Protection Pack (Web ACL).

## DataProtection Hashing
<a name="dataprotection-hashing"></a>

Webacl-Konfiguration

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Beispiel für DataProtection Hashing: Logeintrag mit geschütztem SingleQuery Argument „hoppy“.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## DataProtection Substitution
<a name="dataprotection-substitution"></a>

Webacl-Konfiguration

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "SUBSTITUTION",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Beispiel für DataProtection eine Substitution: Logeintrag mit geschütztem Einzelabfrageargument „hoppy“

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": []
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=REDACTED&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Aufbewahrung von Daten in RuleMatchDetails
<a name="rulematchdetails-retain-data"></a>

Webacl-Konfiguration

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": true,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Beispiel für die Aufbewahrung von Daten in RuleMatchDetails: Protokolleintrag, bei dem ein einzelnes `Header` „hoppy“ -Zeichen geschützt ist, der Wert jedoch nur in gespeichert wird. `RuleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "HEADER",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "hoppy",
        "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }, {
        "name": "hoppy",
        "value": "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM="
    }],
    "uri": "/CanaryTest",
    "args": "happy=true",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Aufbewahrung von Daten in rateBasedRule
<a name="ratebasedrule-retain-data"></a>

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": true
                }
             ]
           }
```

Beispiel für die Aufbewahrung von Daten in einer rateBasedRule Liste: Protokolleintrag, bei dem die Single `Header` „hoppy“ geschützt ist, aber der Wert wird nur in gespeichert `rateBasedRuleList`

```
{
    "timestamp": 1683355579981,
    "formatVersion": 1,
    "webaclId": ...,
    "terminatingRuleId": "RateBasedRule",
    "terminatingRuleType": "RATE_BASED",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "EXAMPLE11:rjvegx5guh:CanaryTest",
    "ruleGroupList": [],
    "rateBasedRuleList": [{
        "rateBasedRuleId": ...,
        "rateBasedRuleName": "RateBasedRule",
        "limitKey": "CUSTOMKEYS",
        "maxRateAllowed": 100,
        "evaluationWindowSec": "120",
        "customValues": [{
            "key": "HEADER",
            "name": "hoppy",
            "value": "ella"
        }]
    }],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "52.46.82.45",
        "country": "FR",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "52.46.82.45"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
        }, {
            "name": "hoppy",
            "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
        }, {
            "name": "User-Agent",
            "value": "RateBasedRuleTestKoipOneKeyModulePV2"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip,deflate"
        }],
        "uri": "/CanaryTest",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "Ed0AiHF_CGYF-DA="
    }
}
```

## Datenschutz für Body
<a name="dataprotection-body"></a>

AWS WAF loggt nur Teilmengen von Body ein. `RuleMatchDetails`

Webacl-Konfiguration

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "BODY"
                    },
                    "action": "SUBSTITUTE",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Beispiel DataProtection für Body: Protokolleintrag, bei dem der Text ersetzt wurde. `ruleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIBody",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "BODY",
            "matchedData": ["REDACTED"]
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Datenschutz für `SINGLE_COOKIE`
<a name="single-cookie-data-protection"></a>

Webacl-Konfiguration

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_COOKIE",
                        "field_keys": [
                            "MILO"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Beispiel DataProtection für`SINGLE_COOKIE`: Logeintrag mit geschütztem `SINGLE_COOKIE` Namen „MILO“.

Das vollständige Protokoll zeigt, dass das Cookie mit dem Namen MILO geschützt ist `ruleMatchDetails` und der Cookie-Header. Nur Cookie-Werte sind geschützt und Schlüsselnamen sind ausgeschlossen.

**Anmerkung**  
Bei allen geschützten Feldern (Einzelheader, Cookie, Query-Argument) wird nicht zwischen Groß- und Kleinschreibung unterschieden. In diesem Beispiel entspricht „MILO“ also „milo“.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "COOKIE",
            "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
            "matchedFieldName": "milo"
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;milo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Datenschutz für alle Cookies
<a name="all-cookies-data-protection"></a>

Sie können den Datenschutz für Cookies konfigurieren, indem Sie`SINGLE_HEADER`. Nur Cookie-Werte sind geschützt und Schlüsselnamen sind ausgeschlossen.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_HEADER",
                "FieldKeys": ["cookie"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Beispiel DataProtection für das `header ` „COOKIE“: Logeintrag mit geschütztem Cookie-Header.

**Anmerkung**  
Der Cookie-Name `AWS-WAF-TOKEN` liegt außerhalb des Datenschutzes.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=REDACTED;milo=REDACTED;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=xyz=&hoppy-query=abc&x-hoppy-extra=abc",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Datenschutz für einzelne Abfrageargumente
<a name="single-query-argument"></a>

Sie können den Datenschutz für eine Abfragezeichenfolge konfigurieren, indem Sie`SINGLE_QUERY_ARGUMENT`. Dies wirkt sich auf die Schlüssel und Werte aller Abfrageargumente aus. Für die folgenden Beispiele lautete `baloo=10 AND 1=1&hoppy=10 AND 1=1&x-hoppy-extra=generic-%3Cwords` die ursprüngliche Abfragezeichenfolge.

Webacl-Konfiguration

```
"DataProtectionConfig": {
   "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Beispiel DataProtection für`SINGLE_QUERY_ARGUEMENT`: Protokolleintrag mit einer durch Substitution geschützten Abfragezeichenfolge „hoppy“.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "FullQueryStringInspectionWhichDetectsTheFirstFieldWithSQLi_Baloo_IsAlsoMaskedMasked",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "baloo"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=10 AND 1=1&hoppy=REDACTED&x-hoppy-extra=generic-%3Cwords",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Datenschutz für Abfragezeichenfolgen
<a name="data-protection-query-string"></a>

Sie können den Datenschutz für eine Abfragezeichenfolge konfigurieren, indem Sie`QUERY_STRING`. Dies wirkt sich auf die Schlüssel und Werte aller Abfrageargumente aus. Für die folgenden Beispiele lautete `baloo=10 AND 1=1&hoppy-query=10 AND 1=1&x-hoppy-extra=generic-%3Cwords` die ursprüngliche Abfragezeichenfolge.

Webacl-Konfiguration

```
"DataProtectionConfig": {
 "DataProtections": [
 {
 "Field": {
 "FieldType": "QUERY_STRING"
 },
 "Action": "SUBSTITUTION",
 "ExcludeRuleMatchDetails": false,
 "ExcludeRateBasedDetails": false
 }
 ]
}
```

Beispiel DataProtection für`QUERY_STRING`: Protokolleintrag mit durch Substitution geschützter Abfragezeichenfolge.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_STRING",
                "matchedData": ["REDACTED"]
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "REDACTED" ],
                "matchedFieldName": "REDACTED"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "REDACTED",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Datenschutz für mehrere Abfrageargumente
<a name="data-protection-multiple-query-arguments"></a>

Sie können den Datenschutz für einzelne Abfrageargumente konfigurieren, indem Sie`SINGLE_QUERY_ARGUMENT`. Bei der Meldung lokaler Informationen verwenden wir lokale Schutzmaßnahmen. Für Zeichenfolgen, die in der Abfragezeichenfolge und im Cookie-Header übereinstimmen, gibt es jedoch viele Schutzkonfigurationen, die zutreffen könnten. Der Einfachheit halber `RuleMatchDetails` wird der strengste Schutz für angewendet, auch wenn er sich nicht mit dem entsprechenden Datenbereich überschneidet.

In den folgenden Beispielen lautete `baloo=is_a_good_boy&hoppy=likes_to_sleep&x-hoppy-extra=10 AND 1=1` die ursprüngliche Abfragezeichenfolge.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        },
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["baloo"]
            },
            "Action": "HASH",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Beispiel DataProtection für mehrere Abfrageargumente.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
                "matchedFieldName": "baloo"
            }]
      },
      {
        "ruleId": "FullQueryStringDetects_x-hoppy-extra_IsSubstituted",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],  // Harshest of Protection Config
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=&hoppy=REDACTED&x-hoppy-extra=10 AND 1=1",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

**Anmerkung**  
Sie können nicht sowohl **QueryString Masking** als auch **Single Query Arg Masking** in derselben WebACL angeben.

# Konfiguration des Datenschutzes für ein Schutzpaket (Web-ACL)
<a name="data-protection-configure"></a>

Dieser Abschnitt enthält Anweisungen zur Konfiguration des Datenschutzes für ein Protection Pack (Web-ACL).

**So konfigurieren Sie den Datenschutz für ein Protection Pack (Web-ACL)**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus.

1. Wählen Sie den Namen des Schutzpakets (Web-ACL) aus, für das Sie den Datenschutz aktivieren möchten. Über die Konsole gelangen Sie zur Beschreibung des Schutzpakets (Web-ACL), wo Sie es bearbeiten können.

1. Wählen Sie auf der Registerkarte **Protokollierung und Metriken** im Bereich **Datenschutzeinstellungen** die Option **Aktivieren** oder **Bearbeiten** aus.

1. Wählen Sie den Bereich **Global** und treffen Sie dann Ihre Felddatenschutzeinstellungen. Für jede Felddatenschutzkonfiguration können Sie auch Ausnahmen angeben, die vom Schutzverhalten ausgeschlossen werden sollen. 

1. Wenn Sie Ihre Auswahl abgeschlossen haben, wählen Sie **Speichern**. Die Benutzeroberfläche kehrt zur Registerkarte **Protokollierung und Metriken** zurück, auf der Ihre Auswahl zusammengefasst ist.

# Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen
<a name="web-acl-testing"></a>

Dieser Abschnitt enthält Anleitungen zum Testen und Optimieren Ihrer AWS WAF Schutzpakete (Web ACLs), Regeln, Regelgruppen, IP-Sets und Regex-Pattern-Sets.

Wir empfehlen Ihnen, alle Änderungen an Ihrem AWS WAF Schutzpaket (Web-ACL) zu testen und zu optimieren, bevor Sie sie auf den Traffic Ihrer Website oder Webanwendung anwenden. 

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie die Implementierung Ihres Protection Packs (Web-ACL) für Produktionsdatenverkehr einsetzen, sollten Sie es in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. 

Dieser Abschnitt enthält auch allgemeine Hinweise zum Testen der Verwendung von Regelgruppen, die von einer anderen Person verwaltet werden. Dazu gehören Regelgruppen für AWS verwaltete Regeln, AWS Marketplace verwaltete Regelgruppen und Regelgruppen, die von einem anderen Konto für Sie gemeinsam genutzt werden. Folgen Sie für diese Regelgruppen auch den Anweisungen, die Sie vom Regelgruppenanbieter erhalten.
+ Informationen zur Regelgruppe „ AWS Verwaltete Regeln von Bot Control“ finden Sie auch unter[Testen und Bereitstellen von AWS WAF Bot Control](waf-bot-control-deploying.md). 
+ Informationen zur Regelgruppe „ AWS Verwaltete Regeln zur Verhinderung von Kontoübernahmen“ finden Sie auch unter[Testen und Bereitstellen von ATP](waf-atp-deploying.md). 
+ Informationen zur Regelgruppe „ AWS Verwaltete Regeln zur Verhinderung von Betrug bei der Kontoerstellung“ finden Sie auch unter[Testen und Bereitstellen von ACFP](waf-acfp-deploying.md). 

**Vorübergehende Inkonsistenzen bei Aktualisierungen**  
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. 

Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen: 
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist. 
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion. 
+ Nachdem Sie einem IP-Set, das in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.

# Testen und Optimieren von Schritten auf hoher Ebene
<a name="web-acl-testing-high-level"></a>

Dieser Abschnitt enthält eine Checkliste der Schritte zum Testen von Änderungen an Ihrer Web-ACL, einschließlich aller Regeln oder Regelgruppen, die sie verwendet. 

**Anmerkung**  
Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

**Um Ihr Protection Pack (Web-ACL) zu testen und zu optimieren**

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. 

**Bereiten Sie sich auf das Testen vor**

   Bereiten Sie Ihre Überwachungsumgebung vor, schalten Sie Ihre neuen AWS WAF Schutzmaßnahmen zum Testen in den Zählmodus und erstellen Sie alle benötigten Ressourcenzuordnungen. 

   Siehe [Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen](web-acl-testing-prep.md). 

1. 

**Überwachen und optimieren Sie Test- und Produktionsumgebungen**

   Überwachen und passen Sie Ihre AWS WAF Schutzmaßnahmen zunächst in einer Test- oder Staging-Umgebung und dann in der Produktion an, bis Sie überzeugt sind, dass sie den Datenverkehr so bewältigen können, wie Sie es benötigen. 

   Siehe [Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing-activities.md). 

1. 

**Aktivieren Sie Ihre Schutzmaßnahmen in der Produktion**

   Wenn Sie mit Ihren Testschutzmaßnahmen zufrieden sind, schalten Sie sie in den Produktionsmodus um, bereinigen Sie alle unnötigen Testartefakte und setzen Sie die Überwachung fort.

   Siehe [Aktivierung Ihres Schutzes in der Produktion](web-acl-testing-enable-production.md). 

Nachdem Sie die Implementierung Ihrer Änderungen abgeschlossen haben, überwachen Sie weiterhin Ihren Web-Traffic und Ihre Schutzmaßnahmen in der Produktion, um sicherzustellen, dass sie wie gewünscht funktionieren. Die Muster des Webverkehrs können sich im Laufe der Zeit ändern, sodass Sie die Schutzmaßnahmen möglicherweise gelegentlich anpassen müssen.

# Bereiten Sie sich darauf vor, Ihre AWS WAF Schutzmaßnahmen zu testen
<a name="web-acl-testing-prep"></a>

In diesem Abschnitt wird beschrieben, wie Sie sich einrichten, um Ihre AWS WAF Schutzmaßnahmen zu testen und zu optimieren. 

**Anmerkung**  
Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

**Um sich auf den Test vorzubereiten**

1. 

**Aktivieren Sie die Protokollierung des Protection Packs (Web ACL), CloudWatch Amazon-Metriken und das Sampling von Webanfragen für das Protection Pack (Web-ACL)**

   Verwenden Sie Protokollierung, Metriken und Sampling, um die Interaktion der Regeln des Protection Packs (Web-ACL) mit Ihrem Web-Traffic zu überwachen. 
   + **Protokollierung** — Sie können so konfigurieren AWS WAF , dass die Webanfragen protokolliert werden, die ein Protection Pack (Web-ACL) auswertet. Sie können CloudWatch Protokolle an Logs, einen Amazon S3 S3-Bucket oder einen Amazon Data Firehose-Lieferstream senden. Sie können Felder unkenntlich machen und Filter anwenden. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 
   + **Amazon Security Lake** — Sie können Security Lake so konfigurieren, dass Schutzpaket-Daten (Web-ACL) gesammelt werden. Security Lake sammelt Protokoll- und Ereignisdaten aus verschiedenen Quellen zur Normalisierung, Analyse und Verwaltung. Informationen zu dieser Option finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*. 
   + ** CloudWatch Amazon-Metriken** — Geben Sie in Ihrer Protection Pack-Konfiguration (Web-ACL) Metrikspezifikationen für alles an, was Sie überwachen möchten. Sie können Metriken über die CloudWatch Konsolen AWS WAF und anzeigen. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
   + **Stichprobe von Webanfragen** — Sie können sich ein Beispiel aller Webanfragen ansehen, die Ihr Protection Pack (Web-ACL) auswertet. Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 

1. 

**Stellen Sie Ihren Schutz auf Modus Count**

   Schalten Sie in der Konfiguration Ihres Schutzpakets (Web-ACL) alles, was Sie testen möchten, in den Zählmodus um. Dadurch zeichnet der Testschutz Übereinstimmungen mit Webanfragen auf, ohne die Art und Weise zu ändern, wie die Anfragen behandelt werden. Sie können die Treffer in Ihren Metriken, Protokollen und Stichprobenanfragen sehen, um die Übereinstimmungskriterien zu überprüfen und zu verstehen, welche Auswirkungen dies auf Ihren Web-Traffic haben könnte. Regeln, die übereinstimmenden Anfragen Labels hinzufügen, fügen unabhängig von der Regelaktion Labels hinzu. 
   + **Im Schutzpaket definierte Regel (Web-ACL)** — Bearbeiten Sie die Regeln im Schutzpaket (Web-ACL) und legen Sie ihre Aktionen auf festCount. 
   + **Regelgruppe** — Bearbeiten Sie in der Konfiguration Ihres Schutzpakets (Web-ACL) die Regelaussage für die Regelgruppe und öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie aus **Count**. Wenn Sie das Schutzpaket (Web-ACL) in JSON verwalten, fügen Sie die Regeln zu den `RuleActionOverrides` Einstellungen in der Referenzerklärung zur Regelgruppe hinzu, wobei der Wert auf `ActionToUse` Count gesetzt ist. Die folgende Beispielliste zeigt Überschreibungen für zwei Regeln in der Regelgruppe „`AWSManagedRulesAnonymousIpList` AWS Verwaltete Regeln“. 

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     Weitere Informationen über das Außerkraftsetzen von Regelaktionen finden Sie unter. [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)

     Ändern Sie für Ihre eigene Regelgruppe nicht die Regelaktionen in der Regelgruppe selbst. Regelgruppenregeln mit Count Aktion generieren nicht die Metriken oder anderen Artefakte, die Sie für Ihre Tests benötigen. Darüber hinaus wirkt sich die Änderung einer Regelgruppe auf alle Schutzpakete (Web ACLs) aus, die sie verwenden, während sich die Änderungen in der Konfiguration des Schutzpakets (Web-ACL) nur auf das einzelne Schutzpaket (Web-ACL) auswirken. 
   + **Schutzpaket (Web-ACL)** — Wenn Sie ein neues Schutzpaket (Web-ACL) testen, legen Sie die Standardaktion für das Schutzpaket (Web-ACL) so fest, dass Anfragen zugelassen werden. Auf diese Weise können Sie die Web-ACL ausprobieren, ohne den Datenverkehr in irgendeiner Weise zu beeinträchtigen. 

   Im Allgemeinen generiert der Zählmodus mehr Treffer als der Produktionsmodus. Das liegt daran, dass eine Regel, die Anfragen zählt, die Auswertung der Anfrage durch das Schutzpaket (Web-ACL) nicht unterbricht, sodass Regeln, die später im Schutzpaket (Web-ACL) ausgeführt werden, möglicherweise auch der Anfrage entsprechen. Wenn Sie Ihre Regelaktionen an ihre Produktionseinstellungen anpassen, beenden Regeln, die Anfragen zulassen oder blockieren, die Auswertung der Anfragen, denen sie entsprechen. Das hat zur Folge, dass übereinstimmende Anfragen in der Regel durch weniger Regeln im Schutzpaket (Web-ACL) überprüft werden. Weitere Informationen zu den Auswirkungen von Regelaktionen auf die Gesamtbewertung einer Webanfrage finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md). 

   Mit diesen Einstellungen wirken sich Ihre neuen Schutzmaßnahmen nicht auf den Web-Traffic aus, sondern generieren Übereinstimmungsinformationen in Metriken, Protection-Pack-Protokollen (Web-ACL) und Anforderungsbeispielen. 

1. 

**Ordnen Sie das Schutzpaket (Web-ACL) einer Ressource zu**

   Wenn das Schutzpaket (Web-ACL) der Ressource noch nicht zugeordnet ist, ordnen Sie es zu. 

   Siehe [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

Sie sind jetzt bereit, Ihr Schutzpaket (Web-ACL) zu überwachen und zu optimieren. 

# Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen
<a name="web-acl-testing-activities"></a>

Überwachen und optimieren Sie Ihren AWS WAF Schutz.

**Anmerkung**  
Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Überwachen Sie den Webverkehr und die Regelübereinstimmungen, um das Verhalten des Schutzpakets (Web-ACL) zu überprüfen. Wenn Sie Probleme feststellen, passen Sie Ihre Regeln an, um sie zu korrigieren, und überwachen Sie dann, um die Anpassungen zu überprüfen. 

Wiederholen Sie das folgende Verfahren, bis das Protection Pack (Web-ACL) Ihren Webverkehr so verwaltet, wie Sie es benötigen. 

**Zur Überwachung und Feinabstimmung**

1. 

**Überwachen Sie den Datenverkehr und die Regelübereinstimmungen**

   Stellen Sie sicher, dass der Datenverkehr fließt und dass Ihre Testregeln übereinstimmende Anfragen finden. 

   Suchen Sie nach den folgenden Informationen für die Schutzmaßnahmen, die Sie testen: 
   + **Protokolle** — Greifen Sie auf Informationen zu den Regeln zu, die einer Webanfrage entsprechen: 
     + **Ihre Regeln** — Regeln im Schutzpaket (Web-ACL), die Count aktiv sind, sind unter aufgeführt`nonTerminatingMatchingRules`. Regeln mit Allow oder Block werden als aufgeführt`terminatingRule`. Regeln mit CAPTCHA oder Challenge können entweder beendend oder nicht beendend sein und werden daher je nach Ergebnis des Regelabgleichs in einer der beiden Kategorien aufgeführt.
     + **Regelgruppen** — Regelgruppen werden im `ruleGroupId` Feld identifiziert, wobei ihre Regelübereinstimmungen genauso kategorisiert werden wie bei eigenständigen Regeln. 
     + **Labels** — Labels, die Regeln auf die Anfrage angewendet haben, werden in dem `Labels` Feld aufgeführt.

     Weitere Informationen finden Sie unter [Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
   + ** CloudWatch Amazon-Metriken** — Sie können auf die folgenden Metriken für die Bewertung Ihrer Anfrage zum Protection Pack (Web ACL) zugreifen. 
     + **Ihre Regeln** — Die Metriken sind nach der Regelaktion gruppiert. Wenn Sie beispielsweise eine Regel im Count Modus testen, werden ihre Treffer als `Count` Metriken für das Protection Pack (Web-ACL) aufgeführt. 
     + **Ihre Regelgruppen** — Die Metriken für Ihre Regelgruppen sind unter den Regelgruppen-Metriken aufgeführt. 
     + **Regelgruppen, die einem anderen Konto gehören** — Regelgruppen-Metriken sind in der Regel nur für den Eigentümer der Regelgruppe sichtbar. Wenn Sie jedoch die Regelaktion für eine Regel außer Kraft setzen, werden die Metriken für diese Regel unter den Metriken Ihres Protection Packs (Web-ACL) aufgeführt. Darüber hinaus werden Labels, die von einer Regelgruppe hinzugefügt wurden, in den Metriken Ihres Protection Packs (Web-ACL) aufgeführt. 

       Regeln für Zählaktionen in Regelgruppen geben KEINE Metriken der Web-ACL-Dimension aus, sondern nur die Dimensionen Regel RuleGroup, und Region. Dies gilt auch dann, wenn auf die Regelgruppe in einer Web-ACL verwiesen wird.

       Regelgruppen in dieser Kategorie sind[AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md), [AWS Marketplace Regelgruppen](marketplace-rule-groups.md)[Erkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden](waf-service-owned-rule-groups.md), und Regelgruppen, die von einem anderen Konto mit Ihnen geteilt werden. Wenn ein Schutzpaket (Web-ACL) über Firewall Manager bereitgestellt wird, zeigen alle Regeln innerhalb der WebACL, die über die Aktion Count verfügen, ihre Metriken nicht im Mitgliedskonto an.
     + **Labels** — Labels, die einer Webanfrage während der Evaluierung hinzugefügt wurden, werden in den Label-Metriken des Protection Packs (Web-ACL) aufgeführt. Sie können auf die Metriken für alle Labels zugreifen, unabhängig davon, ob sie durch Ihre Regeln und Regelgruppen oder durch Regeln in einer Regelgruppe hinzugefügt wurden, die einem anderen Konto gehört. 

     Weitere Informationen finden Sie unter [Metriken für Ihre Web-ACL anzeigen](web-acl-testing-view-metrics.md).
   + **Dashboards zur Traffic-Übersicht über das Protection Pack (Web ACL)** — Rufen Sie Zusammenfassungen des Web-Traffics auf, den ein Protection Pack (Web ACL) ausgewertet hat. Rufen Sie dazu in der AWS WAF Konsole die Seite des Protection Packs (Web ACL) auf und öffnen Sie dort die Registerkarte **Traffic Overview**. 

     Die Traffic-Übersichts-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken, die bei der Auswertung des Web-Traffics Ihrer Anwendung AWS WAF erfasst werden. 

     Weitere Informationen finden Sie unter [Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)](web-acl-dashboards.md).
   + **Stichproben von Webanfragen** — Greifen Sie auf Informationen zu den Regeln zu, die einer Stichprobe der Webanfragen entsprechen. Die Beispielinformationen identifizieren übereinstimmende Regeln anhand des Metriknamens für die Regel im Schutzpaket (Web-ACL). Bei Regelgruppen identifiziert die Metrik die Referenzanweisung für die Regelgruppe. Für Regeln innerhalb von Regelgruppen listet das Beispiel den entsprechenden Regelnamen in auf`RuleWithinRuleGroup`. 

     Weitere Informationen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md).

1. 

**Konfigurieren Sie Abhilfemaßnahmen, um Fehlalarme zu beheben**

   Wenn Sie feststellen, dass eine Regel Fehlalarme generiert, indem sie Webanfragen abgleicht, obwohl dies nicht der Fall sein sollte, können Ihnen die folgenden Optionen dabei helfen, Ihre Schutzmaßnahmen mit dem Protection Pack (Web-ACL) so zu optimieren, dass die Abschwächung verhindert wird. 

**Korrektur der Kriterien für die Überprüfung von Regeln**  
Für Ihre eigenen Regeln müssen Sie oft nur die Einstellungen anpassen, die Sie zur Überprüfung von Webanfragen verwenden. Beispiele hierfür sind das Ändern der Spezifikationen in einem Regex-Mustersatz, das Anpassen der Texttransformationen, die Sie vor der Überprüfung auf eine Anforderungskomponente anwenden, oder die Umstellung auf die Verwendung einer weitergeleiteten IP-Adresse. Die Anleitungen für den Regeltyp, der Probleme verursacht, finden Sie unter. [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md) 

**Korrigieren komplexerer Probleme**  
Bei Prüfkriterien, die Sie nicht kontrollieren können, und bei einigen komplexen Regeln müssen Sie möglicherweise weitere Änderungen vornehmen, z. B. Regeln hinzufügen, die Anfragen explizit zulassen oder blockieren oder die Anfragen anhand der problematischen Regel von der Bewertung ausschließen. Für verwaltete Regelgruppen ist diese Art von Schadensbegrenzung am häufigsten erforderlich, aber auch für andere Regeln ist dies möglich. Beispiele hierfür sind die ratenbasierte Regelanweisung und die SQL-Injection-Angriffsregelanweisung. 

   Was Sie tun, um Fehlalarme zu vermeiden, hängt von Ihrem Anwendungsfall ab. Die folgenden Ansätze sind gebräuchlich:
   + **Schadensbegrenzungsregel** hinzufügen — Fügen Sie eine Regel hinzu, die vor der neuen Regel ausgeführt wird und Anfragen, die zu Fehlalarmen führen, ausdrücklich zulässt. Informationen zur Reihenfolge der Regelauswertung in einer Web-ACL finden Sie unter[Regelpriorität festlegen](web-acl-processing-order.md).

     Bei diesem Ansatz werden die zulässigen Anfragen an die geschützte Ressource gesendet, sodass sie nie die neue Regel zur Auswertung erreichen. Wenn es sich bei der neuen Regel um eine kostenpflichtige verwaltete Regelgruppe handelt, kann dieser Ansatz auch dazu beitragen, die Kosten für die Nutzung der Regelgruppe einzudämmen. 
   + **Eine logische Regel mit einer Schadensbegrenzungsregel hinzufügen** — Verwenden Sie logische Regelanweisungen, um die neue Regel mit einer Regel zu kombinieren, die Fehlalarme ausschließt. Weitere Informationen finden Sie unter [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md).

     Angenommen, Sie fügen eine SQL-Injection-Abgleichsanweisung hinzu, die Falschmeldungen für eine Kategorie von Anfragen generiert. Erstellen Sie eine Regel, die diesen Anforderungen entspricht, und kombinieren Sie die Regeln dann mithilfe logischer Regelanweisungen, sodass Sie nur bei Anfragen einen Treffer erzielen, die sowohl nicht den Kriterien für falsch positive Ergebnisse als auch den Kriterien für SQL-Injection-Angriffe entsprechen. 
   + **Eine Scopedown-Aussage hinzufügen** — Schließen Sie bei ratenbasierten Aussagen und Referenzanweisungen für verwaltete Regelgruppen Anfragen, die zu falsch positiven Ergebnissen führen, von der Auswertung aus, indem Sie der Hauptanweisung eine Scopedown-Aussage hinzufügen. 

     Eine Anfrage, die nicht mit der Scopedown-Aussage übereinstimmt, erreicht niemals die regelgruppen- oder ratenbasierte Bewertung. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md). Ein Beispiel finden Sie unter [IP-Bereich von der Bot-Verwaltung ausschließen](waf-bot-control-example-scope-down-ip.md). 
   + **Eine Regel zum Abgleich von Bezeichnungen hinzufügen** — Identifizieren Sie für Regelgruppen, die Labels verwenden, die Bezeichnung, die die problematische Regel auf Anfragen anwendet. Möglicherweise müssen Sie die Regelgruppenregeln zuerst im Zählmodus einrichten, falls Sie das noch nicht getan haben. Fügen Sie eine Regel für die Zuordnung von Bezeichnungen hinzu, die so positioniert ist, dass sie hinter der Regelgruppe ausgeführt wird und mit der Bezeichnung übereinstimmt, die durch die problematische Regel hinzugefügt wurde. In der Regel für die Zuordnung von Bezeichnungen können Sie die Anfragen, die Sie zulassen möchten, von den Anfragen, die Sie blockieren möchten, filtern. 

     Wenn Sie diesen Ansatz verwenden, behalten Sie nach Abschluss des Tests die problematische Regel in der Regelgruppe im Zählmodus und behalten Sie Ihre benutzerdefinierte Regel für den Labelabgleich bei. Informationen zu Anweisungen für Bezeichnungsabgleiche finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md). Beispiele finden Sie unter [Einen bestimmten blockierten Bot zulassen](waf-bot-control-example-allow-blocked-bot.md) und [ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen](waf-atp-control-example-user-agent-exception.md). 
   + **Ändern Sie die Version einer verwalteten Regelgruppe** — Ändern Sie bei versionierten verwalteten Regelgruppen die Version, die Sie verwenden. Sie könnten beispielsweise zur letzten statischen Version zurückkehren, die Sie erfolgreich verwendet haben. 

     Dies ist normalerweise eine vorübergehende Lösung. Sie können die Version für Ihren Produktionsdatenverkehr ändern, während Sie die neueste Version in Ihrer Test- oder Staging-Umgebung weiter testen oder während Sie auf eine kompatiblere Version des Anbieters warten. Informationen zu Versionen verwalteter Regelgruppen finden Sie unter[Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md).

Wenn Sie überzeugt sind, dass die neuen Regeln den Anforderungen wie gewünscht entsprechen, fahren Sie mit der nächsten Testphase fort und wiederholen Sie dieses Verfahren. Führen Sie die letzte Phase der Tests und Optimierungen in Ihrer Produktionsumgebung durch.

# Metriken für Ihre Web-ACL anzeigen
<a name="web-acl-testing-view-metrics"></a>

In diesem Abschnitt wird beschrieben, wie Sie die Metriken für Ihr Protection Pack (Web-ACL) anzeigen können.

Nachdem Sie ein Protection Pack (Web-ACL) mit einer oder mehreren AWS Ressourcen verknüpft haben, können Sie die resultierenden Metriken für die Zuordnung in einem CloudWatch Amazon-Diagramm anzeigen. 

Informationen zu AWS WAF Metriken finden Sie unter[AWS WAF Metriken und Dimensionen](waf-metrics.md). Informationen zu CloudWatch Metriken finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Sie CloudWatch können für jede Ihrer Regeln in einem Schutzpaket (Web-ACL) und für alle Anfragen, an die eine zugehörige Ressource AWS WAF für ein Schutzpaket (Web-ACL) weiterleitet, Folgendes tun:
+ Daten für die vorangegangene Stunde oder die letzten drei Stunden anzeigen.
+ Ändern Sie das Intervall zwischen Datenpunkten.
+ Ändern Sie die Berechnung, CloudWatch die für die Daten ausgeführt wird, z. B. Maximum, Minimum, Durchschnitt oder Summe.

**Anmerkung**  
AWS WAF with CloudFront ist ein globaler Service, und Metriken sind nur verfügbar, wenn Sie die Region **USA Ost (Nord-Virginia)** in der auswählen AWS-Managementkonsole. Wenn Sie eine andere Region wählen, werden keine AWS WAF Metriken in der CloudWatch Konsole angezeigt.

**Um Daten für die Regeln in einem Schutzpaket (Web-ACL) anzuzeigen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Ändern Sie bei Bedarf die Region in die Region, in der sich Ihre AWS Ressourcen befinden. Wählen Sie für CloudFront die Region USA Ost (Nord-Virginia) aus.

1. Wählen Sie im Navigationsbereich unter **Metriken** die Option **Alle Metriken** aus und suchen Sie dann auf der Registerkarte **Durchsuchen** nach`AWS::WAFV2`. 

1. Aktivieren Sie das Kontrollkästchen für das Schutzpaket (Web-ACL), für das Sie Daten anzeigen möchten.

1. Ändern Sie die geltenden Einstellungen:  
**Statistik**  
Wählen Sie die Berechnung CloudWatch aus, die mit den Daten durchgeführt wird.  
**Zeitraum**  
Wählen Sie aus, ob die Daten für die letzte Stunde oder für die letzten drei Stunden angezeigt werden sollen.  
**Zeitraum**  
Wählen Sie das Intervall zwischen den Datenpunkten in der Grafik aus.  
**Regeln**  
Wählen Sie die Regeln aus, für die Sie Daten anzeigen möchten.  
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, die Sie zur Definition Ihres Schutzpakets (Web-ACL) oder Ihrer Regelgruppe verwenden.

   Beachten Sie Folgendes:
   + Wenn Sie kürzlich ein Schutzpaket (Web-ACL) mit einer AWS Ressource verknüpft haben, müssen Sie möglicherweise einige Minuten warten, bis Daten im Diagramm und die Metrik für das Protection Pack (Web-ACL) in der Liste der verfügbaren Metriken angezeigt wird.
   + Wenn Sie einem Schutzpaket (Web-ACL) mehr als eine Ressource zuordnen, enthalten die CloudWatch Daten Anfragen für alle Ressourcen.
   + Sie können den Mauszeiger über einen Datenpunkt bewegen, um weitere Informationen zu erhalten.
   + Die Grafik wird nicht automatisch aktualisiert. Wählen Sie zum Aktualisieren der Anzeige das Symbol ![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/cloudwatch-refresh-icon.png).

Weitere Informationen zu CloudWatch Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 

# Dashboards zur Verkehrsübersicht für Schutzpakete (Web ACLs)
<a name="web-acl-dashboards"></a>

In diesem Abschnitt werden die Dashboards mit der Übersicht über den Traffic in der Konsole mit dem Protection Pack (Web-ACL) beschrieben. AWS WAF Nachdem Sie ein Protection Pack (Web-ACL) mit einer oder mehreren AWS Ressourcen verknüpft und Metriken für das Protection Pack (Web-ACL) aktiviert haben, können Sie auf Zusammenfassungen des Web-Traffics zugreifen, den das Protection Pack (Web ACL) auswertet, indem Sie in der Konsole die Registerkarte **Traffic Overview** des Protection Packs (Web ACL) aufrufen. AWS WAF Die Dashboards enthalten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken, die bei der Auswertung des Web-Traffics Ihrer Anwendung AWS WAF erfasst werden, einschließlich spezieller KI-Bot- und Agentenaktivitätsanalysen.

**Anmerkung**  
Wenn Sie in den Dashboards nichts sehen, stellen Sie sicher, dass Sie die Metriken für das Protection Pack (Web-ACL) aktiviert haben. 

Die Registerkarte **Traffic Overview** des Protection Packs (Web-ACL) enthält Dashboards mit Registerkarten mit den folgenden Informationskategorien: 
+ **Erstklassige Einblicke in die Sicherheit** — Einblicke in Ihre AWS WAF Schutzmaßnahmen, die Sie durch AWS WAF direktes Abfragen der Amazon-Protokolle erhalten. CloudWatch Der Rest des Dashboards verwendet die Metriken. CloudWatch Diese Erkenntnisse bieten umfassendere Informationen, verursachen jedoch zusätzliche Kosten für das Abfragen der Protokolle. CloudWatch Informationen zu den zusätzlichen Kosten finden Sie unter [Amazon CloudWatch Logs Pricing](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Analyse des KI-Datenverkehrs** — Webanfragen wurden im Hinblick auf Aktivitäten von KI-Bot und -Agenten analysiert, einschließlich der Identifizierung von Bots, der Klassifizierung von Absichten, Zugriffsmustern und zeitlichen Trends. Diese Registerkarte ist verfügbar, wenn Ihr Protection Pack (Web-ACL) AI-Bot-Traffic empfängt
+ **Gesamter Verkehr** — Alle Webanfragen, die das Protection Pack (Web-ACL) auswertet. 

  Der Schwerpunkt des Dashboards liegt auf dem Beenden von Aktionen, aber Sie können die Treffer für Zählregeln an den folgenden Stellen einsehen: 
  + Bereich mit den **10 wichtigsten Regeln** dieses Dashboards. Schalten Sie „**Zur Zählung wechseln“ um, um** Übereinstimmungen mit der Zählregel anzuzeigen. 
  + Registerkarte mit **Stichproben für Anfragen** auf der Seite mit dem Protection Pack (Web-ACL). Diese neue Registerkarte enthält eine grafische Darstellung aller Regelübereinstimmungen. Weitere Informationen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md). 
+ **Anti- DDo S** — Webanfragen, die das Protection Pack (Web-ACL) mithilfe der verwalteten `AntiDDoSRuleSet` DDo Anti-S-Regelgruppe auswertet.

  Diese Registerkarte ist nur verfügbar, wenn Sie diese Regelgruppe in Ihrem Schutzpaket (Web-ACL) verwenden.
+ **Bot Control** — Webanfragen, die das Protection Pack (Web-ACL) mithilfe der von Bot Control verwalteten Regelgruppe auswertet. 
+ Wenn Sie diese Regelgruppe nicht in Ihrem Schutzpaket (Web-ACL) verwenden, werden auf dieser Registerkarte die Ergebnisse der Auswertung einer Stichprobe Ihres Webverkehrs anhand der Bot-Control-Regeln angezeigt. Auf diese Weise erhalten Sie eine Vorstellung vom Bot-Traffic, den Ihre Anwendung empfängt, und der Vorgang ist kostenlos. 

  Diese Regelgruppe ist Teil der intelligenten Optionen zur Abwehr von Bedrohungen, die es AWS WAF bietet. Weitere Informationen erhalten Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md) und [AWS WAF Regelgruppe „Bot-Kontrolle“](aws-managed-rule-groups-bot.md).
+ **Verhinderung von Kontoübernahmen** — Webanfragen, die das Protection Pack (Web-ACL) mithilfe der verwalteten Regelgruppe AWS WAF Fraud Control Account Takeover Prevention (ATP) auswertet. Diese Registerkarte ist nur verfügbar, wenn Sie diese Regelgruppe in Ihrem Protection Pack (Web-ACL) verwenden. 

  Die ATP-Regelgruppe ist Teil der AWS WAF intelligenten Angebote zur Abwehr von Bedrohungen. Weitere Informationen erhalten Sie unter [AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP)](waf-atp.md) und [AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung](aws-managed-rule-groups-atp.md).
+ **Betrugsprävention bei der Kontoerstellung** — Webanfragen, die das Protection Pack (Web-ACL) mithilfe der verwalteten Regelgruppe AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) auswertet. Diese Registerkarte ist nur verfügbar, wenn Sie diese Regelgruppe in Ihrem Schutzpaket (Web-ACL) verwenden. 

  Die ACFP-Regelgruppe ist Teil der AWS WAF intelligenten Angebote zur Abwehr von Bedrohungen. Weitere Informationen erhalten Sie unter [AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)](waf-acfp.md) und [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).

Die Dashboards basieren auf den Metriken des Protection Packs (Web-ACL), und die Grafiken bieten Zugriff auf die entsprechenden CloudWatch Metriken in. CloudWatch Bei Dashboards zur intelligenten Bedrohungsabwehr, wie Bot Control, handelt es sich bei den verwendeten Metriken hauptsächlich um Label-Metriken. 
+ Eine Liste der bereitgestellten Metriken finden Sie AWS WAF unter. [AWS WAF Metriken und Dimensionen](waf-metrics.md)
+ Informationen zu CloudWatch Metriken finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Die Dashboards bieten Zusammenfassungen Ihrer Verkehrsmuster für die von Ihnen ausgewählten Abschlussaktionen und den von Ihnen ausgewählten Zeitraum. Die intelligenten Dashboards zur Bedrohungsabwehr enthalten Anfragen, die von der entsprechenden verwalteten Regelgruppe bewertet wurden, unabhängig davon, ob die verwaltete Regelgruppe selbst die beendende Aktion angewendet hat. Wenn diese Option beispielsweise ausgewählt Block ist, enthält das Dashboard **zur Verhinderung von Kontoübernahmen** Informationen zu allen Webanfragen, die sowohl von der verwalteten ATP-Regelgruppe bewertet als auch irgendwann während der Evaluierung des Protection Packs (Web ACL) blockiert wurden. Die Anfragen können durch die von ATP verwaltete Regelgruppe, durch eine Regel, die nach der Regelgruppe im Schutzpaket (Web-ACL) ausgeführt wurde, oder durch die Standardaktion des Protection Packs (Web-ACL) blockiert werden. 

# Dashboards für ein Protection Pack (Web-ACL) anzeigen
<a name="web-acl-dashboards-accessing"></a>

Gehen Sie wie in diesem Abschnitt beschrieben vor, um auf die Dashboards des Protection Packs (Web-ACL) zuzugreifen und die Datenfilterkriterien festzulegen. Wenn Sie kürzlich ein Protection Pack (Web-ACL) mit einer AWS Ressource verknüpft haben, müssen Sie möglicherweise einige Minuten warten, bis Daten in den Dashboards verfügbar sind.

Die Dashboards enthalten die Anfragen für alle Ressourcen, die Sie dem Protection Pack (Web-ACL) zugeordnet haben. 

**So zeigen Sie die Dashboards mit der **Übersicht über den Datenverkehr** für ein Protection Pack (Web-ACL) an**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus und suchen Sie dann nach der Web-ACL, an der Sie interessiert sind. 

1. Wählen Sie das Schutzpaket (Web-ACL) aus. Über die Konsole gelangen Sie zur Seite des Schutzpakets (Web-ACL). Die Registerkarte „**Übersicht über den Datenverkehr**“ ist standardmäßig ausgewählt.

1. Ändern Sie die **Datenfiltereinstellungen** nach Bedarf. 
   + **Regelaktionen beenden — Wählen Sie die beendenden Aktionen** aus, die in die Dashboards aufgenommen werden sollen. In den Dashboards werden die Metriken für die Webanfragen zusammengefasst, bei denen eine der ausgewählten Aktionen im Rahmen der Evaluierung des Protection Packs (Web ACL) angewendet wurde. Wenn Sie alle verfügbaren Aktionen auswählen, enthalten die Dashboards alle bewerteten Webanfragen. Informationen zu den Aktionen finden Sie unter[Wie AWS WAF geht man mit Regel- und Regelgruppenaktionen um](web-acl-rule-actions.md). 
   + **Zeitraum** — Wählen Sie das Zeitintervall aus, das in den Dashboards angezeigt werden soll. Sie können wählen, ob ein Zeitrahmen relativ zum aktuellen Zeitpunkt angezeigt werden soll, z. B. die letzten 3 Stunden oder die letzte Woche, und Sie können einen absoluten Zeitraum aus einem Kalender auswählen. 
   + **Zeitzone** — Diese Einstellung gilt, wenn Sie einen absoluten Zeitraum angeben. Sie können die lokale Zeitzone Ihres Browsers oder UTC (Coordinated Universal Time) verwenden. 

Überprüfen Sie die Informationen auf den Tabs, die Sie interessieren. Die Datenfilterauswahl gilt für alle Dashboards. In den Grafikfenstern können Sie den Mauszeiger über einen Datenpunkt oder einen Bereich bewegen, um weitere Details anzuzeigen. 

**CountAktionsregeln**  
Sie können Informationen zur Anzahl von Action-Matches an einer von zwei Stellen einsehen. 
+ Suchen Sie auf dieser Registerkarte „**Verkehrsübersicht**“ im Dashboard „**Gesamter Traffic**“ nach dem Bereich „Die **10 wichtigsten Regeln**“ und aktivieren Sie die Option „**Zur Zählung wechseln“.** Wenn dieser Schalter aktiviert ist, wird im Bereich die Anzahl der Übereinstimmungen mit den Regeln angezeigt, anstatt dass die Regelübereinstimmungen beendet werden.
+ Auf der Registerkarte **Stichprobenanfragen** des Schutzpakets (Web-ACL) wird eine grafische Darstellung aller Regelübereinstimmungen und Aktionen für den Zeitraum angezeigt, den Sie auf der Registerkarte **Traffic-Übersicht** festgelegt haben. Informationen zur Registerkarte **Stichprobenanfragen** finden Sie unter. [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md) 

**CloudWatch Amazon-Metriken**  
In den Diagrammbereichen des Dashboards können Sie auf die CloudWatch Metriken für die grafisch dargestellten Daten zugreifen. Wählen Sie die Option oben im Grafikfenster oder aus dem **Drop-down-Menü** (vertikale Ellipse) innerhalb des Bereichs. 

**Aktualisierung der Dashboards**  
Die Dashboards werden nicht automatisch aktualisiert. Um die Anzeige zu aktualisieren, wählen Sie das ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/cloudwatch-refresh-icon.png) Aktualisierungssymbol.

# Beispiele für die Traffic-Übersichts-Dashboards für Protection Packs (Web ACLs)
<a name="web-acl-dashboards-screenshots"></a>

In diesem Abschnitt werden Beispielbildschirme der Dashboards mit Verkehrsüberblick für Protection Packs (Web ACLs) angezeigt. 

**Anmerkung**  
Wenn Sie Ihre Anwendungsressourcen bereits AWS WAF zum Schutz verwenden, können Sie die Dashboards für jedes Ihrer Schutzpakete (Web ACLs) auf der entsprechenden Seite in der AWS WAF Konsole einsehen. Weitere Informationen finden Sie unter [Dashboards für ein Protection Pack (Web-ACL) anzeigen](web-acl-dashboards-accessing.md).

**Beispielbildschirm: Datenfilter und Anzahl der Aktionen im Dashboard „**Gesamter Traffic**“**  
Der folgende Screenshot zeigt die Verkehrsübersicht für ein Schutzpaket (Web-ACL), bei dem die Registerkarte **Gesamter Datenverkehr** ausgewählt ist. Die Datenfilter sind auf die Standardwerte eingestellt: alle beendeten Aktionen der letzten drei Stunden. 

Im Dashboard für den gesamten Verkehr befinden sich die Gesamtwerte der Aktionen für die verschiedenen beendenden Aktionen. In jedem Bereich ist die Anzahl der Anfragen aufgeführt und es wird ein up/down Pfeil angezeigt, der die Änderung seit den letzten drei Stunden anzeigt. 

![\[In der AWS WAF Konsole wird auf der Seite mit dem Protection Pack (Web-ACL) die Registerkarte Traffic Overview mit den ausgewählten Standard-Datenfiltern angezeigt. Die Aktionsoptionen zur Beendigung der Regel lautenBlock, AllowCAPTCHA, undChallenge. Unter dem Abschnitt mit den Datenfiltern befinden sich Registerkarten für den gesamten Datenverkehr, Bot-Kontrolle und Verhinderung von Kontoübernahmen.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**Beispielbildschirm: Anzahl der Aktionen im **Bot Control-Dashboard****  
Der folgende Screenshot zeigt die Anzahl der Aktionen für das Bot Control-Dashboard. Hier werden dieselben Summenbereiche für den Zeitraum angezeigt, aber die Anzahl bezieht sich nur auf Anfragen, die von der Bot Control-Regelgruppe ausgewertet wurden. Weiter unten, im Bereich **Aktionssummen**, können Sie die Anzahl der Aktionen im angegebenen Zeitraum von drei Stunden sehen. Für diesen Zeitraum wurde die CAPTCHA Aktion auf keine der Anfragen angewendet, die von der Regelgruppe ausgewertet wurden.

![\[Die AWS WAF Konsole zeigt den oberen Teil des Bot Control-Dashboards mit den Gesamtwerten der Aktionen für den Zeitraum und den Gesamtwerten der Aktionen im gesamten Zeitraum.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**Beispielbildschirm: Anzahl der Aktionen im **Dashboard zur KI-Verkehrsanalyse****  
Der folgende Screenshot zeigt das AI Traffic Analysis-Dashboard für ein Schutzpaket (Web-ACL). Das Dashboard zeigt die AI-Bot-Aktivitäten über den ausgewählten Zeitraum mit Filtern nach Bot-Organisation, Absichtstyp und Bestätigungsstatus.

![\[Die AWS WAF Konsole zeigt den oberen Teil des AI Traffic Analysis-Dashboards mit den wichtigsten Crawlern und Top-Pfaden für den Zeitraum und die Gesamtanzahl der Aktionen im gesamten Zeitraum.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


Das Dashboard umfasst:
+ **Bereich „Bot-Identität“** — Listet erkannte KI-Bots mit Namen und Organisationen auf
+ **Klassifizierung von Absichten** — Kategorisiert die Zwecke von Bots (Crawling, Indexierung, Recherche usw.)
+ **Zugriffsmuster** — Die URLs am häufigsten von KI-Agenten aufgerufenen Zugriffe anhand der Anzahl der Anfragen
+ **Zeitliche Analyse** — Stündliche und tägliche Aktivitätstrends mit 14-tägiger historischer Ansicht
+ **Aufschlüsselung der Organisation** — Verkehrsaufkommen nach Organisation, die den Bot-Besitzer besitzt

**Beispielbildschirm: Übersichtsdiagramme zum Token-Status im **Bot Control-Dashboard****  
Der folgende Screenshot zeigt zwei der Übersichtsgrafiken, die im Bot Control-Dashboard verfügbar sind. Im Bereich **Token-Status** werden die Zählungen für die verschiedenen Token-Statusbezeichnungen zusammen mit der Regelaktion angezeigt, die auf die Anfrage angewendet wurde. Im Bereich **Schwellenwerte für fehlende IP-Token** werden Daten für Anfragen angezeigt IPs , die zu viele Anfragen ohne Token gesendet haben. 

Wenn Sie den Mauszeiger über einen beliebigen Bereich im Diagramm bewegen, werden die verfügbaren Informationen angezeigt. Im Bereich **Token-Status** in diesem Screenshot bewegt sich die Maus über einem bestimmten Zeitpunkt, ohne sich auf einer Grafiklinie zu befinden, sodass in der Konsole die Daten für alle Linien zu diesem Zeitpunkt angezeigt werden. 

![\[Die AWS WAF Konsole zeigt zwei Bereiche für Schwellenwerte für Token-Status und IP-Token ohne IP-Tokens mit ähnlichen grafischen Linien für blockierte und angefochtene Anfragen in jedem Bereich. Der Bereich „Token-Status“ enthält auch ein Diagramm für zulässige Anfragen.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


In diesem Abschnitt werden nur einige der Zusammenfassungen des Datenverkehrs dargestellt, die in den Dashboards mit der Übersicht über den Traffic des Protection Pack (Web ACL) zur Verfügung gestellt werden. Um die Dashboards für eines Ihrer Schutzpakete (Web ACLs) zu sehen, öffnen Sie die Seite des Schutzpakets (Web-ACL) in der Konsole. Informationen dazu finden Sie in der Anleitung unter[Dashboards für ein Protection Pack (Web-ACL) anzeigen](web-acl-dashboards-accessing.md).

# Anzeigen einer Stichprobe von Webanforderungen
<a name="web-acl-testing-view-sample"></a>

In diesem Abschnitt wird die Registerkarte „**Stichprobenanfragen**“ für das Protection Pack (Web-ACL) in der AWS WAF Konsole beschrieben. Auf dieser Registerkarte können Sie ein Diagramm aller Regelübereinstimmungen für Webanfragen anzeigen, die überprüft AWS WAF wurden. Wenn Sie das Anforderungssampling für das Protection Pack (Web-ACL) aktiviert haben, können Sie außerdem eine tabellarische Ansicht mit einer Stichprobe von Webanfragen sehen, die geprüft AWS WAF wurden. Über den API-Aufruf `GetSampledRequests` können Sie auch Informationen zu gesampelten Anfragen abrufen.

Die Stichprobe von Anfragen enthält bis zu 100 Anfragen, die den Kriterien für eine Regel im Schutzpaket (Web-ACL) entsprachen, und weitere 100 Anfragen für Anfragen, die keiner Regel entsprachen und auf die die Standardaktion des Schutzpakets (Web-ACL) angewendet wurde. Die Anfragen im Beispiel stammen von allen geschützten Ressourcen, die in den letzten drei Stunden Anfragen für Ihre Inhalte erhalten haben. 

Wenn eine Webanforderung den Kriterien in einer Regel entspricht und die Aktion für diese Regel die Auswertung der Anfrage nicht beendet, AWS WAF wird die Überprüfung der Webanforderung anhand der nachfolgenden Regeln im Protection Pack (Web-ACL) fortgesetzt. Aus diesem Grund kann eine Webanfrage mehrfach erscheinen. Informationen zum Verhalten von Regelaktionen finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

**Um das Diagramm mit allen Regeln und die Anzahl der Anfragen in Stichproben anzuzeigen**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus.

1. Wählen Sie den Namen des Schutzpakets (Web-ACL), für das Sie Anfragen anzeigen möchten. Über die Konsole gelangen Sie zur Beschreibung des Schutzpakets (Web-ACL), wo Sie es bearbeiten können.

1. Auf der Registerkarte „**Gesampelte Anfragen**“ sehen Sie Folgendes: 
   + **Diagramm „Alle Regeln**“ — Dieses Diagramm zeigt die passenden Regeln und Regelaktionen für alle Evaluierungen von Webanfragen, die im angegebenen Zeitraum durchgeführt wurden. 
**Anmerkung**  
Der Zeitraum für dieses Diagramm wird auf der Registerkarte **Verkehrsübersicht** des Schutzpakets (Web-ACL) im Abschnitt **Datenfilter** festgelegt. Weitere Informationen finden Sie unter [Dashboards für ein Protection Pack (Web-ACL) anzeigen](web-acl-dashboards-accessing.md). 
   + **Tabelle mit Stichprobenanfragen** — In dieser Tabelle werden Stichprobendaten der letzten 3 Stunden angezeigt. 
**Anmerkung**  
Wenn Sie nicht die Beispiele sehen, die Sie für eine verwaltete Regelgruppe erwarten, lesen Sie den Abschnitt unter diesem Verfahren. 

     Für jeden Eintrag werden in der Tabelle die folgenden Daten angezeigt:  
**Metrikname**  
Der CloudWatch Metrikname für die Regel im Schutzpaket (Web-ACL), die der Anfrage entsprach. Wenn eine Webanforderung keiner Regel im Protection Pack (Web-ACL) entspricht, ist dieser Wert **Standard**.  
Wenn Sie den Namen einer Regel ändern und möchten, dass der Metrikname der Regel die Änderung widerspiegelt, müssen Sie auch den Metriknamen aktualisieren. AWS WAF aktualisiert den Metriknamen für eine Regel nicht automatisch, wenn Sie den Regelnamen ändern. Sie können den Metriknamen ändern, wenn Sie die Regel in der Konsole bearbeiten, indem Sie den JSON-Editor für Regeln verwenden. Sie können beide Namen auch über die APIs und in jeder JSON-Liste ändern, mit der Sie Ihr Schutzpaket (Web-ACL) oder Ihre Regelgruppe definieren.  
**Quell-IP**  
Entweder die IP-Adresse, von der die Anforderung stammt, oder – falls das Anzeigeprogramm zum Senden der Anforderung einen HTTP-Proxy oder einen Application Load Balancer verwendet hat – die IP-Adresse des Proxys oder des Application Load Balancer.   
**URI**  
Der Teil einer URL, der eine Ressource angibt, z. B. `/images/daily-ad.jpg`.  
**Regel innerhalb der Regelgruppe**  
Wenn der Metrikname eine Referenzanweisung für eine Regelgruppe identifiziert, identifiziert dies die Regel innerhalb der Regelgruppe, die der Anforderung entsprach.   
**Action**  
Zeigt die Aktion für die entsprechende Regel an. Informationen zu den möglichen Regelaktionen finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).  
Musteranfragen für Regeln mit der Aktion Count in Regelgruppen sind in der Web-ACL-Ansicht nicht verfügbar. Zählmetriken und Stichprobenanfragen für Regelgruppenregeln sind nur für den Eigentümer der Regelgruppe sichtbar.  
**Zeit**  
Die Uhrzeit, zu der die Anfrage von der geschützten Ressource AWS WAF empfangen wurde. 

     Um zusätzliche Informationen zu den Komponenten einer Webanfrage anzuzeigen, wählen Sie den Namen des URI in der Zeile der Anfrage.

**Beispiele für Anfragen nach Regeln in verwalteten Regelgruppen**  
Die Konsole zeigt Metriken für Regelgruppen an, wobei „Regel innerhalb der Regelgruppe“ die Regel angibt, die ausgelöst wurde. Sie können Metriken für standardmäßige Aktionsregelsätze und Regeln mit der neuesten `RuleActionOverrides` Einstellung anzeigen. Wählen Sie für Regeln, die die ältere `ExcludedRules` Einstellung verwenden, die spezifische Regel aus dem Regelsatz aus dem Dropdownmenü Metrikregel für **gesampelte Anfragen** aus.

Wenn Sie die älteren Einstellungen sehen, ersetzen Sie sie durch die neuen Einstellungen, um die gesampelten Anfragen über die Konsole verfügbar zu machen. Sie können dies über die Konsole tun, indem Sie die verwaltete Regelgruppe im Protection Pack (Web-ACL) bearbeiten und speichern. AWS WAF ersetzt automatisch alle älteren Einstellungen durch die `RuleActionOverrides` Einstellungen und legt die Überschreibung der Regelaktion auf festCount. Weitere Informationen zu diesen beiden Einstellungen finden Sie unter[JSON-Auflistung: `RuleActionOverrides` ersetzt `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude).

Sie können über die AWS WAF REST-API oder die Befehlszeile auf Beispielanfragen für eine Regel zugreifen SDKs, für die die alte Außerkraftsetzung aktiviert ist. Weitere Informationen finden Sie [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)in der *AWS WAF API-Referenz.*

Im Folgenden wird die Syntax für die Befehlszeilenanforderung dargestellt: 

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# Aktivierung Ihres Schutzes in der Produktion
<a name="web-acl-testing-enable-production"></a>

Dieser Abschnitt enthält Anweisungen zur Aktivierung Ihres maßgeschneiderten Schutzes in der Produktion.

Wenn Sie die letzte Phase der Tests und Optimierungen in Ihrer Produktionsumgebung abgeschlossen haben, aktivieren Sie Ihre Schutzmaßnahmen im Produktionsmodus.

**Risiken rund um Produktionsdatenverkehr**  
Bevor Sie die Implementierung Ihres Protection Packs (Web ACL) für den Produktionsdatenverkehr einsetzen, sollten Sie es in einer Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie es außerdem im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie Ihre Schutzmaßnahmen für den Produktionsdatenverkehr aktivieren. 

**Anmerkung**  
Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Führen Sie diese Schritte zuerst in Ihrer Testumgebung und dann in der Produktion durch.

**Aktivieren Sie Ihre AWS WAF Schutzmaßnahmen in der Produktion**

1. 

**Wechseln Sie zu Ihren Produktionsschutzmaßnahmen**

   Aktualisieren Sie Ihr Schutzpaket (Web-ACL) und ändern Sie Ihre Einstellungen für die Produktion. 

   1. 

**Entfernen Sie alle Testregeln, die Sie nicht benötigen**

      Wenn Sie Testregeln hinzugefügt haben, die Sie in der Produktion nicht benötigen, entfernen Sie sie. Wenn Sie Regeln für den Labelabgleich verwenden, um die Ergebnisse verwalteter Regelgruppenregeln zu filtern, achten Sie darauf, dass diese unverändert bleiben. 

   1. 

**Wechseln Sie zu Produktionsaktionen**

      Ändern Sie die Aktionseinstellungen für Ihre neuen Regeln auf die vorgesehenen Produktionseinstellungen. 
      + **Im Schutzpaket definierte Regel (Web-ACL)** — Bearbeiten Sie die Regeln im Schutzpaket (Web-ACL) und ändern Sie ihre Aktionen von Count zu ihren Produktionsaktionen. 
      + **Regelgruppe** — Ändern Sie in der Konfiguration der Regelgruppe in Ihrem Schutzpaket (Web-ACL) die Regeln entsprechend den Ergebnissen Ihrer Test- und Optimierungsaktivitäten so, dass sie ihre eigenen Aktionen verwenden, oder belassen Sie sie bei der Count Aktionsüberschreibung. Wenn Sie eine Regel zum Abgleich von Bezeichnungen verwenden, um die Ergebnisse einer Regelgruppenregel zu filtern, achten Sie darauf, die Überschreibung für diese Regel beizubehalten. 

        Um zur Verwendung der Aktion einer Regel zu wechseln, bearbeiten Sie in Ihrer Protection Pack-Konfiguration (Web-ACL) die Regelanweisung für die Regelgruppe und entfernen Sie die Count Außerkraftsetzung für die Regel. Wenn Sie das Schutzpaket (Web-ACL) in JSON verwalten, entfernen Sie in der Regelgruppen-Referenzanweisung den Eintrag für die Regel aus der `RuleActionOverrides` Liste. 
      + **Schutzpaket (Web-ACL)** — Wenn Sie die Standardaktion des Schutzpakets (Web-ACL) für Ihre Tests geändert haben, stellen Sie sie auf die Produktionseinstellung um. 

      Mit diesen Einstellungen verwalten Ihre neuen Schutzmaßnahmen den Web-Traffic so, wie Sie es möchten. 

   Wenn Sie Ihr Schutzpaket (Web-ACL) speichern, verwenden die Ressourcen, denen es zugeordnet ist, Ihre Produktionseinstellungen. 

1. 

**Überwachen und Anpassen**

   Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die neue Funktion aktiviert haben. Sie werden die Messwerte und Protokolle für die Aktionen Ihrer Produktionsregeln überwachen und nicht die Anzahl der Aktionen, auf die Sie bei der Optimierung geachtet haben. Überwachen Sie weiter und passen Sie das Verhalten nach Bedarf an, um es an Änderungen in Ihrem Web-Traffic anzupassen. 

# Verwendung AWS WAF mit Amazon CloudFront
<a name="cloudfront-features"></a>

Erfahren Sie, wie Sie die CloudFront Funktionen von Amazon verwenden AWS WAF können.

Wenn Sie ein Schutzpaket (Web-ACL) erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie überprüfen AWS WAF möchten. CloudFront unterstützt zwei Arten von Verteilungen: Standardverteilungen, die einzelne Mandanten schützen, und Mehrmandantenverteilungen, die mehrere Mandanten über eine einzige, gemeinsam genutzte Konfigurationsvorlage schützen. AWS WAF überprüft Webanfragen für beide Verteilungstypen auf der Grundlage der Regeln, die Sie in Ihren Schutzpaketen (Web ACLs) definieren, mit unterschiedlichen Implementierungsmustern für jeden Typ.

**Topics**
+ [Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen](#cloudfront-features-distribution-types)
+ [Verwendung AWS WAF mit CloudFront Pauschalpreisen](#waf-cf-pricing-plans)
+ [Häufige Anwendungsfälle für den Schutz von CloudFront Distributionen mit AWS WAF](cloudfront-waf-use-cases.md)

## Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen
<a name="cloudfront-features-distribution-types"></a>

### Verteilungstypen
<a name="distribution-types-overview"></a>

AWS WAF bietet Firewall-Funktionen für Webanwendungen sowohl für Standard- als auch für Mehrmandantenverteilungen. CloudFront 

#### Standardverteilungen
<a name="standard-distribution-overview"></a>

Fügt bei Standardverteilungen Schutz AWS WAF hinzu, indem für jede Distribution ein einziges Schutzpaket (Web-ACL) verwendet wird. Sie können diesen Schutz aktivieren, indem Sie ein vorhandenes Schutzpaket (Web-ACL) einer CloudFront Distribution zuordnen oder indem Sie den Ein-Klick-Schutz in der Konsole verwenden. CloudFront Auf diese Weise können Sie die Sicherheitskontrollen für jede Ihrer Distributionen unabhängig voneinander verwalten, da sich alle Änderungen an einem Schutzpaket (Web-ACL) nur auf die zugehörige Distribution auswirken.

Diese einfache Methode zum Schutz von CloudFront Distributionen ist optimal, um einzelnen Domänen mit einem einzigen Schutzpaket (Web-ACL) spezifische Schutzmaßnahmen zu bieten.

##### Überlegungen zur Standardverteilung
<a name="standard-waf-considerations"></a>
+ Änderungen an einem Schutzpaket (Web-ACL) wirken sich nur auf die zugehörige Distribution aus
+ Für jede Distribution ist eine unabhängige Konfiguration des Protection Packs (Web-ACL) erforderlich
+ Regeln und Regelgruppen werden für jede Distribution separat verwaltet

#### Distributionen für mehrere Mandanten
<a name="tenant-distribution-overview"></a>

 AWS WAF Fügt bei Distributionen mit mehreren Mandanten mithilfe eines einzigen Schutzpakets (Web-ACL) Schutz für mehrere Domänen hinzu. Domänen, die von Mehrmandantenverteilungen verwaltet werden, werden als Verteilungsmandanten bezeichnet. Sie können den AWS WAF Schutz für Mehrmandantenverteilungen nur in der CloudFront Konsole aktivieren, entweder während oder nach der Erstellung der Mehrmandantenverteilung. Änderungen an einem Schutzpaket (Web-ACL) werden jedoch weiterhin über die AWS WAF Konsole oder API verwaltet. 

Distributionen mit mehreren Mandanten bieten die Flexibilität, AWS WAF Schutzmaßnahmen auf zwei Ebenen zu aktivieren:
+ **Mehrinstanzenfähige Verteilungsebene** — Die zugehörigen Schutzpakete (Web ACLs) bieten grundlegende Sicherheitskontrollen, die für alle Anwendungen gelten, die diese Distribution gemeinsam nutzen
+ **Verteilungsmandantenebene** — Einzelne Mandanten innerhalb einer Mehrmandanten-Distribution können über eigene Schutzpakete (Web ACLs) verfügen, um zusätzliche Sicherheitskontrollen zu implementieren oder die Einstellungen für die Mehrmandantenverteilung außer Kraft zu setzen

Durch diese beiden Stufen eignen sich Mehrmandantenverteilungen optimal für die gemeinsame Nutzung von AWS WAF Schutzmaßnahmen über mehrere Domänen hinweg, ohne dass die Möglichkeit verloren geht, die Sicherheit für eine einzelne Verteilung individuell anzupassen. 

#### Überlegungen zur Verteilung über mehrere Mandanten
<a name="tenant-waf-considerations"></a>
+ Einzelne Distributionsmandanten übernehmen Änderungen, die an Schutzpaketen (Web ACLs) vorgenommen wurden und die entsprechenden Distributionen mit mehreren Mandanten zugeordnet sind
+ Die Schutzpakete (Web ACLs), die bestimmten Distributionsmandanten zugeordnet sind, können Einstellungen außer Kraft setzen, die auf der Ebene des Multi-Tenant Protection Packs (Web-ACL) konfiguriert wurden
+ Verwaltete Regelgruppen können sowohl auf Verteilungs- als auch auf Verteilungsmandantenebene implementiert werden
+ Anwendungskennungen können in Protokollen gespeichert werden, um Sicherheitsereignisse nach Verteilung nachzuverfolgen

### AWS WAF Funktionen nach Verteilungstyp
<a name="distribution-types-comparison"></a>


**Vergleichen Sie die Implementierungen des Protection Packs (Web-ACL)**  

| AWS WAF Funktion | Standardverteilungen | Distributionen für mehrere Mandanten | 
| --- | --- | --- | 
| Schutzpakete zuordnen (Web) ACLs | Ein Schutzpaket (Web-ACL) pro Distribution | Sie können Schutzpakete (Web ACLs) mandantenübergreifend gemeinsam nutzen, mit optionalen mandantenspezifischen Schutzpaketen (Web) ACLs | 
| Verwaltung von Regeln | Regeln wirken sich auf eine einzelne Verteilung aus | Verteilungsregeln für mehrere Mandanten wirken sich auf alle zugehörigen Mandanten aus. Verteilungsmandantenspezifische Regeln wirken sich nur auf diesen Mandanten aus | 
| Verwaltete Regelgruppen | Wird auf einzelne Verteilungen angewendet | Kann auf Verteilungsebene für mehrere Mandanten für alle Mandanten oder auf Mandantenebene für bestimmte Anwendungen angewendet werden | 
| Protokollierung | Standardprotokolle AWS WAF  | Die Protokolle enthalten Mandantenkennungen für die Zuordnung von Sicherheitsereignissen | 

## Verwendung AWS WAF mit CloudFront Pauschalpreisen
<a name="waf-cf-pricing-plans"></a>

CloudFront Pauschalpreise kombinieren das Amazon CloudFront Global Content Delivery Network (CDN) mit mehreren AWS-Services Funktionen zu einem monatlichen Preis ohne Mehrkosten, unabhängig von Traffic-Spitzen oder Angriffen.

Flatrate-Preispläne beinhalten Folgendes AWS-Services und Funktionen zu einem einfachen monatlichen Preis:
+ CloudFront CDN
+ AWS WAF und DDo S-Schutz
+ Bot-Management und Analytik
+ Amazon Route 53 DNS
+ Amazon CloudWatch protokolliert die Aufnahme
+ TLS-Zertifikat
+ Serverloses Edge-Computing
+ Amazon S3 S3-Speicherguthaben pro Monat

Die Tarife sind in den Tarifen Free, Pro, Business und Premium erhältlich, um den Anforderungen Ihrer Anwendung gerecht zu werden. Für die Tarife ist kein jährliches Abonnement erforderlich, um die besten verfügbaren Tarife zu erhalten. Beginnen Sie mit dem kostenlosen Tarif und führen Sie ein Upgrade durch, um auf mehr Funktionen und größere Nutzungsrechte zuzugreifen.

Weitere Informationen und eine vollständige Liste der Pläne und Funktionen finden Sie unter [CloudFront Pauschalpreise](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) im *Amazon CloudFront Developer Guide*.

**Wichtig**  
Wenn Sie einen beliebigen Preisplan verwenden, muss Ihrer CloudFront Distribution weiterhin ein gültiges AWS WAF Schutzpaket (Web-ACL) zugeordnet sein. Sie können die Zuordnung zum Schutzpaket (Web-ACL) nicht entfernen, es sei denn, Sie kehren zur pay-as-you-go Preisgestaltung zurück.  
Eine AWS WAF Web-ACL muss zwar mit Ihrer Distribution verknüpft bleiben, Sie behalten jedoch die volle Kontrolle über Ihre Sicherheitskonfiguration. Sie können Ihren Schutz individuell anpassen, indem Sie anpassen, welche Regeln in Ihrer Web-ACL aktiviert oder deaktiviert sind, und die Regeleinstellungen an Ihre Sicherheitsanforderungen anpassen. Informationen zur Verwaltung von Web-ACL-Regeln finden Sie unter [AWS WAF Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Häufige Anwendungsfälle für den Schutz von CloudFront Distributionen mit AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Die folgenden AWS WAF Funktionen funktionieren für alle CloudFront Distributionen auf die gleiche Weise. Überlegungen zu Verteilungen mit mehreren Mandanten sind im Anschluss an jedes Feature-Szenario aufgeführt.

## Verwendung AWS WAF mit CloudFront benutzerdefinierten Fehlerseiten
<a name="cloudfront-features-custom-error-pages"></a>

Wenn eine Webanforderung auf der Grundlage der von Ihnen angegebenen Kriterien AWS WAF blockiert wird, wird standardmäßig der HTTP-Statuscode `403 (Forbidden)` an CloudFront CloudFront zurückgegeben und dieser Statuscode wird an den Betrachter zurückgegeben. Dieser zeigt dann eine kurze und kaum formatierte Standardnachricht an, ähnlich wie diese:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Sie können dieses Verhalten in den Regeln Ihres AWS WAF Protection Packs (Web-ACL) außer Kraft setzen, indem Sie benutzerdefinierte Antworten definieren. Weitere Informationen zum Anpassen des Antwortverhaltens mithilfe von AWS WAF Regeln finden Sie unter[Senden von benutzerdefinierten Antworten für Block Aktionen](customizing-the-response-for-blocked-requests.md).

**Anmerkung**  
Antworten, die Sie mithilfe von AWS WAF Regeln anpassen, haben Vorrang vor allen Antwortspezifikationen, die Sie auf CloudFront benutzerdefinierten Fehlerseiten definieren.

Wenn Sie lieber eine benutzerdefinierte Fehlermeldung anzeigen und dabei möglicherweise dieselbe Formatierung wie der Rest Ihrer Website verwenden möchten CloudFront, können Sie so konfigurieren CloudFront , dass ein Objekt (z. B. eine HTML-Datei), das Ihre benutzerdefinierte Fehlermeldung enthält, an den Betrachter zurückgegeben wird.

**Anmerkung**  
CloudFront kann nicht zwischen einem HTTP-Statuscode 403, der von Ihrem Ursprung zurückgegeben wird, und einem, der zurückgegeben wird, AWS WAF wenn eine Anfrage blockiert wird, unterscheiden. Das heißt, Sie können keine unterschiedlichen benutzerdefinierten Fehlerseiten basierend auf den verschiedenen Ursachen für den HTTP-Statuscode 403 zurückgeben.

Weitere Informationen zu CloudFront benutzerdefinierten Fehlerseiten finden Sie unter [Generieren benutzerdefinierter Fehlerantworten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) im *Amazon CloudFront Developer Guide*.

### Benutzerdefinierte Fehlerseiten in Distributionen mit mehreren Mandanten
<a name="custom-error-pages-template-distributions"></a>

Bei Distributionen mit CloudFront mehreren Mandanten können Sie benutzerdefinierte Fehlerseiten auf folgende Weise konfigurieren:
+ Auf Mehrmandantenebene — Diese Einstellungen gelten für alle Mandantenverteilungen, die die Verteilungsvorlage für mehrere Mandanten verwenden
+ Mithilfe von AWS WAF Regeln — Benutzerdefinierte Antworten, die in Schutzpaketen (Web ACLs) definiert sind, haben Vorrang vor der Verteilung über mehrere Mandanten und den benutzerdefinierten Fehlerseiten auf Mandantenebene

## Verwenden Sie AWS WAF with CloudFront für Anwendungen, die auf Ihrem eigenen HTTP-Server ausgeführt werden
<a name="cloudfront-features-your-own-http-server"></a>

Wenn Sie AWS WAF mit verwenden CloudFront, können Sie Ihre Anwendungen schützen, die auf jedem HTTP-Webserver ausgeführt werden, unabhängig davon, ob es sich um einen Webserver handelt, der in Amazon Elastic Compute Cloud (Amazon EC2) läuft, oder um einen Webserver, den Sie privat verwalten. Sie können auch so konfigurieren CloudFront , dass HTTPS zwischen CloudFront und Ihrem eigenen Webserver sowie zwischen Viewern und erforderlich ist. CloudFront

**HTTPS zwischen CloudFront und Ihrem eigenen Webserver erforderlich**  
Um HTTPS zwischen CloudFront und Ihrem eigenen Webserver zu verlangen, können Sie die CloudFront benutzerdefinierte Origin-Funktion verwenden und die **Origin-Protokollrichtlinie und die **Origin-Domainnamen-Einstellungen**** für bestimmte Ursprünge konfigurieren. In Ihrer CloudFront Konfiguration können Sie den DNS-Namen des Servers zusammen mit dem Port und dem Protokoll angeben, das Sie beim Abrufen von Objekten von Ihrem Ursprung verwenden CloudFront möchten. Sie sollten auch sicherstellen, dass das SSL/TLS Zertifikat auf Ihrem benutzerdefinierten Ursprungsserver mit dem von Ihnen konfigurierten Ursprungsdomänennamen übereinstimmt. Wenn Sie Ihren eigenen HTTP-Webserver außerhalb von verwenden AWS, müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters, z. B. Comodo oder Symantec, signiert wurde. DigiCert Weitere Informationen darüber, wie HTTPS für die Kommunikation zwischen Ihrem eigenen Webserver CloudFront und Ihrem eigenen Webserver [erforderlich ist, finden Sie im *Amazon CloudFront Developer Guide* unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) erforderlich.

**HTTPS zwischen einem Betrachter erforderlich und CloudFront**  
Um HTTPS zwischen Zuschauern und vorzuschreiben CloudFront, können Sie die **Viewer-Protokollrichtlinie** für ein oder mehrere Cache-Verhaltensweisen in Ihrer CloudFront Distribution ändern. Weitere Informationen zur Verwendung von HTTPS zwischen Zuschauern und CloudFront finden Sie im Thema [HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) im *Amazon CloudFront Developer Guide*. Sie können auch Ihr eigenes SSL-Zertifikat mitbringen, damit sich Zuschauer beispielsweise mit Ihrem eigenen Domainnamen über HTTPS mit Ihrer CloudFront Distribution verbinden können *https://www.mysite.com*. Weitere Informationen finden Sie im Thema [Konfiguration alternativer Domainnamen und HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) im *Amazon CloudFront Developer Guide*.

Bei Distributionen mit mehreren Mandanten folgen die HTTP-Methodenkonfigurationen dieser Hierarchie:
+ Einstellungen auf Vorlagenebene definieren die grundlegenden HTTP-Methoden, die für alle Mandantenverteilungen zulässig sind
+ Mandantenverteilungen können diese Einstellungen überschreiben, um:
  + Es sind weniger Methoden zulässig als bei der Mehrmandantenverteilung (Verwendung von AWS WAF Regeln zum Blockieren zusätzlicher Methoden)
  + Lassen Sie mehr Methoden zu, wenn die Mehrmandantenverteilung so konfiguriert ist, dass sie sie unterstützt
+ AWS WAF Regeln sowohl auf Mehrmandantenverteilungs- als auch auf Mandantenebene können HTTP-Methoden unabhängig von der Konfiguration weiter einschränken CloudFront 

## Auswahl der HTTP-Methoden, die CloudFront auf
<a name="cloudfront-features-allowed-http-methods"></a>

Wenn Sie eine CloudFront Amazon-Webdistribution erstellen, wählen Sie die HTTP-Methoden aus, die Sie verarbeiten und CloudFront an Ihren Ursprung weiterleiten möchten. Sie können aus den folgenden Optionen wählen:
+ **`GET`, `HEAD`** — Sie können es CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen oder um Objekt-Header abzurufen.
+ **`GET`,`HEAD`, `OPTIONS`** — Sie können CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen, Objekt-Header abzurufen oder eine Liste der Optionen abzurufen, die Ihr Original-Server unterstützt.
+ **`GET`,`HEAD`,`OPTIONS`, `PUT``POST`,`PATCH`, `DELETE`** — Sie können CloudFront Objekte abrufen, hinzufügen, aktualisieren und löschen sowie Objekt-Header abrufen. Darüber hinaus können Sie andere `POST`-Vorgänge wie das Senden von Daten aus einem Webformular ausführen.

Sie können auch AWS WAF Byte-Match-Regelanweisungen verwenden, um Anfragen, die auf der HTTP-Methode basieren, zuzulassen oder zu blockieren, wie unter beschrieben[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md). Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. `GET` und`HEAD`, müssen Sie die Konfiguration nicht so konfigurieren AWS WAF , dass Anfragen blockiert werden, die die anderen Methoden verwenden. Wenn Sie eine Kombination von Methoden zulassen möchten, die CloudFront nicht unterstützt werden, z. B.`GET`, und `HEAD``POST`, können Sie so konfigurieren CloudFront , dass auf alle Methoden reagiert wird, und dann Anfragen blockieren, die andere Methoden verwenden. AWS WAF 

Weitere Informationen zur Auswahl der Methoden, CloudFront auf die reagiert, finden Sie unter [Zulässige HTTP-Methoden](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) im Thema [Werte, die Sie beim Erstellen oder Aktualisieren einer Web-Distribution angeben](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) im *Amazon CloudFront Developer Guide*.

**Zulässige HTTP-Methodenkonfigurationen in Multi-Tenant-Distributionen**  
Bei Mehrmandantenverteilungen gelten HTTP-Methodenkonfigurationen, die auf der Mehrmandanten-Verteilungsebene festgelegt wurden, standardmäßig für alle Mandantenverteilungen. Mandantenverteilungen können diese Einstellungen bei Bedarf überschreiben.
+ Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. `GET` und`HEAD`, müssen Sie die Konfiguration nicht so konfigurieren AWS WAF , dass Anfragen blockiert werden, die andere Methoden verwenden.
+ Wenn Sie eine Kombination von Methoden zulassen möchten, die standardmäßig CloudFront nicht unterstützt werden, z. B.`GET`, und `HEAD``POST`, können Sie so konfigurieren CloudFront , dass auf alle Methoden reagiert wird, und dann Anfragen blockieren, die andere Methoden verwenden. AWS WAF 

Beachten Sie bei der Implementierung von Sicherheitsheadern in Distributionen mit mehreren Mandanten Folgendes:
+ Sicherheitsheader auf Vorlagenebene bieten grundlegenden Schutz für alle Mandantenverteilungen
+ Tenant-Distributionen können:
  + Neue Sicherheitsheader hinzufügen, die in der Mehrmandantenverteilung nicht definiert sind
  + Ändern Sie Werte für mandantenspezifische Header
  + Sicherheitsheader, die auf der Mehrmandanten-Verteilungsebene festgelegt wurden, können nicht entfernt oder überschrieben werden
+ Erwägen Sie die Verwendung von mehrinstanzenfähigen Headern auf Verteilungsebene für wichtige Sicherheitskontrollen, die für alle Mandanten gelten sollten

## Überlegungen zur Protokollierung
<a name="cloudfront-features-logging"></a>

Sowohl Standard- als auch Multi-Tenant-Distributionen unterstützen die AWS WAF Protokollierung, es gibt jedoch wichtige Unterschiede in der Struktur und Verwaltung von Protokollen:


**Vergleich der Protokollierung**  

| Standardverteilungen | Distributionen für mehrere Mandanten | 
| --- | --- | 
| Eine Protokollkonfiguration pro Verteilung | Optionen für die Protokollierung auf Vorlagen- und Mandantenebene | 
| Standard-Protokollfelder | Zusätzliche Felder zur Mandanten-ID | 
| Ein Ziel pro Verteilung | Separate Ziele für die Verteilung über mehrere Mandanten und für Mandantenprotokolle möglich | 

## Weitere Ressourcen
<a name="cloudfront-saas-additional-resources"></a>
+ Weitere Informationen zu Multi-Tenant-Distributionen finden [Sie unter Distributionen konfigurieren](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) im *Amazon CloudFront * Developer Guide.
+ Weitere Informationen zur Verwendung AWS WAF mit CloudFront finden Sie unter [AWS WAF Schutz verwenden](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) im *Amazon CloudFront Developer Guide*.
+ Weitere Informationen zu AWS WAF Protokollen finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).

# Sicherheit bei der Nutzung des AWS WAF Dienstes
<a name="security"></a>

In diesem Abschnitt wird erklärt, wie das Modell der gemeinsamen Verantwortung gilt für AWS WAF.

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

**Anmerkung**  
Dieser Abschnitt enthält AWS Standard-Sicherheitsrichtlinien für die Nutzung des AWS WAF Dienstes und seiner AWS Ressourcen, wie AWS WAF Schutzpakete (Web ACLs) und Regelgruppen.   
Informationen zum Schutz Ihrer AWS Ressourcen mithilfe von Cookies AWS WAF finden Sie im Rest des AWS WAF Handbuchs. 

Sicherheit ist eine gemeinsame Verantwortung zwischen Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für gelten AWS WAF, finden Sie unter [AWS Services in Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS WAF. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS WAF , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS WAF Ressourcen unterstützen. 

**Topics**
+ [Schutz Ihrer Daten in AWS WAF](data-protection.md)
+ [Verwenden von IAM mit AWS WAF](security-iam.md)
+ [Einloggen und Überwachen AWS WAF](waf-incident-response.md)
+ [Überprüfung der Einhaltung von AWS WAF](waf-compliance.md)
+ [Stärkung der Widerstandsfähigkeit in AWS WAF](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS WAF](infrastructure-security.md)

# Schutz Ihrer Daten in AWS WAF
<a name="data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS WAF. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der AWS WAF API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

AWS WAF Entitäten — wie Schutzpakete (Web ACLs), Regelgruppen und IP-Sets — werden im Ruhezustand verschlüsselt, außer in bestimmten Regionen, in denen Verschlüsselung nicht verfügbar ist, darunter China (Peking) und China (Ningxia). Eindeutige Verschlüsselungsschlüssel werden für jede Region verwendet. 

## Ressourcen werden gelöscht AWS WAF
<a name="deleting-resources"></a>

Sie können die Ressourcen löschen, die Sie in AWS WAF erstellen. In den folgenden Abschnitten finden Sie Anleitungen für die verschiedenen Ressourcentypen.
+ [Löschen eines Schutzpakets (Web-ACL)](web-acl-deleting.md)
+ [Löschen einer Regelgruppe](waf-rule-group-deleting.md)
+ [Löschen eines IP-Sets](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Löschen eines Regex-Mustersatzes](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Verwenden von IAM mit AWS WAF
<a name="security-iam"></a>

In diesem Abschnitt wird erklärt, wie Sie IAM mit verwenden. AWS WAF



AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS WAF IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS WAF](security-iam-awsmanpol.md)
+ [Problembehandlung bei AWS WAF Identität und Zugriff](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS WAF Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)).

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### Verbundidentität
<a name="security_iam_authentication-federated"></a>

Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.

Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.

Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# Wie AWS WAF funktioniert mit IAM
<a name="security_iam_service-with-iam"></a>

In diesem Abschnitt wird erklärt, wie Sie die Funktionen von IAM mit verwenden. AWS WAF

Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS WAF, sollten Sie sich darüber informieren, mit welchen IAM-Funktionen Sie arbeiten können. AWS WAF






**IAM-Funktionen, die Sie mit verwenden können AWS WAF**  

| IAM-Feature | AWS WAF Unterstützung | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)  |   Ja  | 
|  [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources)  |   Ja  | 
|  [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ja  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags)  |   Teilweise  | 
|  [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds)  |   Ja  | 
|  [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ja  | 
|  [Servicerollen](#security_iam_service-with-iam-roles-service)  |   Ja  | 
|  [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked)  |   Ja  | 

Einen allgemeinen Überblick darüber, wie AWS WAF und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## Ressourcenbasierte Richtlinien finden Sie in AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Ja

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

AWS WAF verwendet ressourcenbasierte Richtlinien, um die gemeinsame Nutzung von Regelgruppen zwischen Konten zu unterstützen. Sie teilen eine Regelgruppe, die Sie besitzen, mit einem anderen AWS Konto, indem Sie die ressourcenbasierten Richtlinieneinstellungen für den AWS WAF API-Aufruf `PutPermissionPolicy` oder einen entsprechenden CLI- oder SDK-Aufruf bereitstellen. Weitere Informationen, einschließlich Beispielen und Links zur Dokumentation für die anderen verfügbaren Sprachen, finden Sie [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)in der AWS WAF API-Referenz. Diese Funktionalität ist nicht auf andere Weise verfügbar, z. B. über die Konsole oder CloudFormation. 

## Politische Maßnahmen für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.



Eine Liste der AWS WAF Aktionen und Berechtigungen für die einzelnen Aktionen finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) in der *Serviceautorisierungsreferenz*.

Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS WAF verwendet:

```
wafv2
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Um beispielsweise alle Aktionen anzugeben, die mit beginnen AWS WAF `List`, schließen Sie die folgende Aktion ein:

```
"Action": "wafv2:List*"
```

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

### Aktionen, für die zusätzliche Berechtigungseinstellungen erforderlich sind
<a name="security_iam_action-additions"></a>

Für einige Aktionen sind Berechtigungen erforderlich, die im Abschnitt [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) in der *Service Authorization Reference* nicht vollständig beschrieben werden können. Dieser Abschnitt enthält zusätzliche Informationen zu Berechtigungen.

**Topics**
+ [Berechtigungen für `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Berechtigungen für `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Berechtigungen für `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Berechtigungen für `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Berechtigungen für `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um einer Ressource mithilfe der AWS WAF Aktion ein Protection Pack (Web-ACL) zuzuordnen`AssociateWebACL`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`UpdateDistribution`. Weitere Informationen finden Sie [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway API-Gateway-REST-API**  
Erfordert die Erlaubnis, API Gateway für `SetWebACL` den REST-API-Ressourcentyp AWS WAF `AssociateWebACL` aufzurufen und ein Protection Pack (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Erfordert die Berechtigung, `elasticloadbalancing:SetWebACL` Aktionen für den Application Load Balancer Balancer-Ressourcentyp AWS WAF `AssociateWebACL` aufzurufen und ein Schutzpaket (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis, AWS AppSync `SetWebACL` den GraphQL-API-Ressourcentyp und ein Protection Pack (Web-ACL) aufzurufen AWS WAF `AssociateWebACL`. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `AssociateWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools AWS WAF `AssociateWebACL` aufzurufen und ein Schutzpaket (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `AssociateWebACL` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und eine Web-ACL AWS WAF `AssociateWebACL` aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:AssociateVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und eine Web-ACL AWS WAF `AssociateWebACL` aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um mithilfe der AWS WAF Aktion `DisassociateWebACL` die Zuordnung eines Protection Packs (Web-ACL) zu einer Ressource zu trennen. 

Verwenden Sie für CloudFront Amazon-Distributionen anstelle dieser Aktion die CloudFront Aktion `UpdateDistribution` mit einer leeren Protection Pack (Web ACL) -ID. Weitere Informationen finden Sie [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway API-Gateway-REST-API**  
Erfordert die Erlaubnis, API Gateway für `SetWebACL` den REST-API-Ressourcentyp aufzurufen. Erfordert keine Anruferlaubnis AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Erfordert die Erlaubnis, die `elasticloadbalancing:SetWebACL` Aktion für den Application Load Balancer Balancer-Ressourcentyp aufzurufen. Erfordert keine AWS WAF `DisassociateWebACL` Anruferlaubnis.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis, AWS AppSync `SetWebACL` den GraphQL-API-Ressourcentyp aufzurufen. Erfordert keine Erlaubnis zum Aufrufen. AWS WAF `DisassociateWebACL`

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `DisassociateWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `DisassociateWebACL` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:DisassociateVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um mithilfe der AWS WAF Aktion das Schutzpaket (Web-ACL) für eine geschützte Ressource abzurufen`GetWebACLForResource`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`GetDistributionConfig`. Weitere Informationen finden Sie [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)in der *Amazon CloudFront API-Referenz*. 

**Anmerkung**  
`GetWebACLForResource`benötigt die Erlaubnis zum Aufrufen`GetWebACL`. Wird in diesem Zusammenhang `GetWebACL` nur AWS WAF verwendet, um zu überprüfen, ob Ihr Konto über die erforderlichen Berechtigungen für den Zugriff auf das `GetWebACLForResource` zurückgesendete Schutzpaket (Web-ACL) verfügt. Wenn Sie anrufen`GetWebACLForResource`, wird möglicherweise eine Fehlermeldung angezeigt, die darauf hinweist, dass Ihr Konto nicht autorisiert ist, `wafv2:GetWebACL` auf der Ressource zu arbeiten. AWS WAF fügt diese Art von Fehler nicht zum AWS CloudTrail Ereignisverlauf hinzu. 

**Amazon API Gateway, REST-API, Application Load Balancer und AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis zum Aufrufen AWS WAF `GetWebACLForResource` und `GetWebACL` Abrufen eines Schutzpakets (Web-ACL). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `GetWebACLForResource` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und und aufzurufen AWS WAF `GetWebACLForResource`. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `DescribeWebAclForService` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und AWS WAF `GetWebACLForResource` und aufzurufen`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:GetVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und AWS WAF `GetWebACLForResource` und aufzurufen`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um die Liste der geschützten Ressourcen für ein Protection Pack (Web-ACL) mithilfe der AWS WAF Aktion abzurufen`ListResourcesForWebACL`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`ListDistributionsByWebACLId`. Weitere Informationen finden Sie [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway, REST-API, Application Load Balancer und AWS AppSync GraphQL-API**  
Erfordern Sie die Erlaubnis, eine AWS WAF `ListResourcesForWebACL` Web-ACL aufzurufen. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `ListResourcesForWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `ListAssociatedServicesForWebAcl` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Politische Ressourcen für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Eine Liste der AWS WAF Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von AWS WAF V2 definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions). Um den Zugriff auf eine Teilmenge von AWS WAF Ressourcen zu erlauben oder zu verweigern, nehmen Sie den ARN der Ressource in das `resource` Element Ihrer Richtlinie auf.

Die ARNs AWS WAF `wafv2` Ressourcen haben das folgende Format:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Allgemeine Informationen zu ARN-Spezifikationen finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der Allgemeine Amazon Web Services-Referenz. 

Im Folgenden sind die Anforderungen aufgeführt, die für die ARNs einzelnen `wafv2` Ressourcen spezifisch sind: 
+ *region*: Für AWS WAF Ressourcen, die Sie zum Schutz von CloudFront Amazon-Distributionen verwenden, setzen Sie diesen Wert auf`us-east-1`. Andernfalls legen Sie hier die Region fest, die Sie mit Ihren geschützten regionalen Ressourcen verwenden. 
+ *scope*: Legen Sie den Geltungsbereich auf `global` für die Verwendung mit einer CloudFront Amazon-Distribution oder `regional` für die Verwendung mit einer der regionalen Ressourcen fest, die dies AWS WAF unterstützen. Bei den regionalen Ressourcen handelt es sich um eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service und eine AWS Verified Access-Instance. 
+ *resource-type*: Geben Sie einen der folgenden Werte an:`webacl`,, `rulegroup``ipset`, `regexpatternset` oder. `managedruleset`
+ *resource-name*: Geben Sie den Namen an, den Sie der AWS WAF Ressource gegeben haben, oder geben Sie einen Platzhalter (`*`) an, um alle Ressourcen anzugeben, die die anderen Spezifikationen im ARN erfüllen. Sie müssen entweder den Ressourcennamen und die Ressourcen-ID oder einen Platzhalter für beide angeben. 
+ *resource-id*: Geben Sie die ID der AWS WAF Ressource an, oder geben Sie einen Platzhalter (`*`) an, um alle Ressourcen anzugeben, die die anderen Spezifikationen im ARN erfüllen. Sie müssen entweder den Ressourcennamen und die Ressourcen-ID oder für beide einen Platzhalter angeben.

Der folgende ARN spezifiziert beispielsweise alle Schutzpakete (Web ACLs) mit regionalem Geltungsbereich für das Konto `111122223333` in Region`us-west-1`:

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

Der folgende ARN gibt die Regelgruppe `MyIPManagementRuleGroup` mit dem globalen Geltungsbereich für das Konto `111122223333` in Region an`us-east-1`:

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## Bedingungsschlüssel für Richtlinien für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

 AWS WAF Unterstützt außerdem die folgenden Bedingungsschlüssel, mit denen Sie Ihre IAM-Richtlinien detailliert filtern können:
+ **wafv2: LogDestinationResource**

  Dieser Bedingungsschlüssel verwendet eine Amazon Resource Name (ARN) -Spezifikation für das Protokollierungsziel. Dies ist der ARN, den Sie für das Protokollierungsziel angeben, wenn Sie den REST-API-Aufruf verwenden`PutLoggingConfiguration`. 

  Sie können explizit einen ARN angeben und Sie können die Filterung für den ARN angeben. Das folgende Beispiel spezifiziert die Filterung nach Amazon S3 S3-Buckets ARNs , die einen bestimmten Standort und ein bestimmtes Präfix haben. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Dieser Bedingungsschlüssel definiert die Quelle der Protokollierungskonfiguration in einer Zeichenfolge. Derzeit ist dies immer auf den Standardwert von gesetzt`Customer`, was darauf hinweist, dass das Protokollierungsziel Ihnen gehört und von Ihnen verwaltet wird. 

Eine Liste der AWS WAF Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Teilweise

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Verwenden temporärer Anmeldeinformationen mit AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Zugriffssitzungen für den Service weiterleiten AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Unterstützt Servicerollen:** Ja

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Das Ändern der Berechtigungen für eine Servicerolle kann zu AWS WAF Funktionseinschränkungen führen. Bearbeiten Sie Servicerollen nur, AWS WAF wenn Sie dazu eine Anleitung erhalten.

## Dienstbezogene Rollen für AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Einzelheiten zum Erstellen oder Verwalten von AWS WAF dienstbezogenen Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md)

# Beispiele für identitätsbasierte Richtlinien für AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien für. AWS WAF

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS WAF -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS WAF, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) in der *Service Authorization Reference*.

**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS WAF](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Gewähren Sie schreibgeschützten Zugriff auf, und AWS WAF CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Gewähren Sie vollen Zugriff auf AWS WAF CloudFront, und CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Gewähren Sie Zugriff auf ein einzelnes AWS-Konto](#security_iam_id-based-policy-examples-access-to-account)
+ [Gewähren Sie Zugriff auf ein einzelnes Schutzpaket (Web-ACL)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Erteilen Sie CLI-Zugriff auf ein Schutzpaket (Web-ACL) und eine Regelgruppe](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand AWS WAF Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Konsole AWS WAF
<a name="security_iam_id-based-policy-examples-console"></a>

Um auf die AWS WAF Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS WAF Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS WAF Konsole verwenden können, fügen Sie den Entitäten außerdem mindestens die AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS verwaltete Richtlinie hinzu. Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWS verwaltete Richtlinie: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Weitere Informationen zum Anhängen einer verwalteten Richtlinie an einen Benutzer finden Sie unter [Hinzufügen von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Gewähren Sie schreibgeschützten Zugriff auf, und AWS WAF CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

Die folgende Richtlinie gewährt Benutzern nur Lesezugriff auf AWS WAF Ressourcen, CloudFront Amazon-Webverteilungen und Amazon-Metriken. CloudWatch Es ist nützlich für Benutzer, die die Erlaubnis benötigen, die Einstellungen in AWS WAF Bedingungen, Regeln und Schutzpaketen (Web ACLs) einzusehen, um zu sehen, welche Distribution mit einem Schutzpaket (Web-ACL) verknüpft ist, und um Metriken und eine Stichprobe von Anfragen in zu überwachen. CloudWatch Diese Benutzer können AWS WAF -Ressourcen nicht erstellen, aktualisieren oder löschen.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Gewähren Sie vollen Zugriff auf AWS WAF CloudFront, und CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang und jeden beliebigen Vorgang auf CloudFront Webverteilungen ausführen sowie Messwerte und eine Stichprobe von Anfragen in CloudWatch überwachen. Sie ist nützlich für Benutzer, die AWS WAF Administratoren sind.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Es wird dringend empfohlen, dass Sie die Multi-Factor Authentication (MFA, Multifaktor-Authentifizierung) für Benutzer mit Administrator-Berechtigungen konfigurieren. Weitere Informationen finden Sie unter [Using Multi-Factor Authentication (MFA) -Geräte mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) im *IAM-Benutzerhandbuch*. 

## Gewähren Sie Zugriff auf ein einzelnes AWS-Konto
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Diese Richtlinie erteilt die folgenden Berechtigungen für das Konto 444455556666:
+ Voller Zugriff auf alle AWS WAF Abläufe und Ressourcen.
+ Lese- und Aktualisierungszugriff auf alle CloudFront Distributionen, sodass Sie Schutzpakete (Web ACLs) und CloudFront Distributionen zuordnen können.
+ Lesezugriff auf alle CloudWatch Metriken und Metrikstatistiken, sodass Sie CloudWatch Daten und eine Stichprobe von Anfragen in der AWS WAF Konsole einsehen können. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Gewähren Sie Zugriff auf ein einzelnes Schutzpaket (Web-ACL)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang über die Konsole mit einem bestimmten Schutzpaket (Web-ACL) im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Erteilen Sie CLI-Zugriff auf ein Schutzpaket (Web-ACL) und eine Regelgruppe
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

Mit der folgenden Richtlinie können Benutzer alle AWS WAF Vorgänge über die CLI für ein bestimmtes Schutzpaket (Web-ACL) und eine bestimmte Regelgruppe im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang über die Konsole mit einem bestimmten Schutzpaket (Web-ACL) im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS verwaltete Richtlinien für AWS WAF
<a name="security-iam-awsmanpol"></a>

In diesem Abschnitt wird erklärt, wie AWS verwaltete Richtlinien für verwendet AWS WAF werden.

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer auf AWS WAF Ressourcen und Ressourcen für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito, AWS AppSync,, Amazon und AWS App Runner Verified Access zugreifen können. AWS Amplify CloudWatch AWS Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: Zugriff AWSWAFFull
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen und Ressourcen für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, AWS AppSync Amazon Cognito,, AWS App Runner AWS Amplify CloudWatch, Amazon und AWS Verified Access. Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) in der IAM-Konsole.

## AWS verwaltete Richtlinie: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Diese Richtlinie gewährt der AWS WAF Konsole, die Ressourcen für AWS WAF und für integrierte Dienste wie Amazon, Amazon API Gateway, Application Load Balancer CloudFront, Amazon Cognito,, Amazon und AWS AppSync Verified Access umfasst AWS App Runner AWS Amplify, nur Leseberechtigungen. CloudWatch AWS Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Diese Richtlinie gewährt vollen Zugriff auf die AWS WAF Konsole, die Ressourcen für AWS WAF und für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito AWS AppSync,, AWS App Runner AWS Amplify CloudWatch, Amazon und AWS Verified Access umfasst. Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Diese Richtlinie ermöglicht AWS WAF das Schreiben von Protokollen in Amazon Data Firehose. Diese Richtlinie wird nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Diese Richtlinie ist mit der `AWSServiceRoleForWAFV2Logging` dienstverknüpften Rolle verbunden. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md). 

Einzelheiten zu dieser Richtlinie finden Sie unter [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)In der IAM-Konsole.

## AWS WAF Aktualisierungen der AWS verwalteten Richtlinien
<a name="security-iam-awsmanpol-updates"></a>



Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien AWS WAF seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem AWS WAF Dokumentenverlauf unter[Dokumentverlauf](doc-history.md).




| Richtlinie | Beschreibung der Änderung | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen für CloudFront Preispläne wurden hinzugefügt. Weitere Einzelheiten finden Sie unter [Verwendung AWS WAF mit CloudFront Pauschalpreisen](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18  | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen für CloudFront Preispläne wurden hinzugefügt. Weitere Einzelheiten finden Sie unter [Verwendung AWS WAF mit CloudFront Pauschalpreisen](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden aktualisiert:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden aktualisiert:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Die Berechtigungen AssociateWeb ACL, ACL, GetWeb ACLFor Resource und DisassociateWeb ListResourcesForWeb ACL, für AWS Amplify die erforderlich sind, wurden hinzugefügt.  | 2025-05-05 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole. |  Die erforderlichen Berechtigungen GetWeb ACLFor Resource und ListResourcesForWeb ACL wurden hinzugefügt. AWS Amplify  | 2025-05-05 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Diese Richtlinie ermöglicht AWS WAF das Schreiben von Protokollen in Amazon Data Firehose. Sie wird nur verwendet, wenn Sie die Protokollierung aktivieren.  Details in der IAM-Konsole: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  Statement IDs (Sids) wurde zu den Berechtigungseinstellungen in der dienstbezogenen Rolle hinzugefügt, mit der diese Richtlinie verknüpft ist.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Diese dienstbezogene Rolle stellt Berechtigungsrichtlinien bereit, die das Schreiben von Protokollen in Amazon Data Firehose ermöglichen AWS WAF .  [Einzelheiten in der IAM-Konsole: Protokollierung. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging) |  Statement IDs (Sids) wurde zu den Berechtigungseinstellungen hinzugefügt.   | 2024-06-03 | 
|  AWS WAF Ergänzungen zur Änderungsnachverfolgung  |  AWS WAF hat mit der Nachverfolgung von Änderungen für die verwaltete Richtlinie `WAFV2LoggingServiceRolePolicy` und die dienstbezogene Rolle `AWSServiceRoleForWAFV2Logging` begonnen.   | 2024-06-03 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Die Berechtigungseinstellungen für die Protokollzustellung für Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs wurden korrigiert. Diese Änderung behebt Zugriffsverweigerungsfehler, die während der Protokollierungskonfiguration auftraten. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 11.01.2022 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die Berechtigungseinstellungen für die Protokollzustellung für Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs wurden korrigiert. Diese Änderung behebt Zugriffsfehler, die während der Protokollierungskonfiguration aufgetreten sind. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 11.01.2022 | 
|  `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Neue Berechtigungen für erweiterte Protokollierungsoptionen wurden hinzugefügt. Diese Änderung ermöglicht den AWS WAF Zugriff auf die zusätzlichen Protokollierungsziele Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Neue Berechtigungen für erweiterte Protokollierungsoptionen wurden hinzugefügt. Diese Änderung ermöglicht den AWS WAF Zugriff auf die zusätzlichen Protokollierungsziele Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 2021-11-15 | 
|  AWS WAF hat begonnen, Änderungen zu verfolgen  |  AWS WAF hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.  | 2021-3-01 | 

# Problembehandlung bei AWS WAF Identität und Zugriff
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS WAF und IAM auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `wafv2:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `wafv2:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam auszuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS WAFübergeben zu können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS WAF auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS WAF unterstützt werden, finden Sie unter. [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

# Verwenden von serviceverknüpften Rollen für AWS WAF
<a name="using-service-linked-roles"></a>

In diesem Abschnitt wird erklärt, wie Sie dienstbezogene Rollen verwenden, um AWS WAF Zugriff auf Ressourcen in Ihrem AWS Konto zu gewähren.

AWS WAF verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS WAF Mit Diensten verknüpfte Rollen sind vordefiniert AWS WAF und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle AWS WAF erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS WAF kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS WAF
<a name="slr-permissions"></a>

AWS WAF verwendet die serviceverknüpfte Rolle`AWSServiceRoleForWAFV2Logging`, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rolle wird nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

Diese dienstbezogene Rolle ist der AWS verwalteten Richtlinie `WAFV2LoggingServiceRolePolicy` zugeordnet. Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

Die serviceverknüpfte Rolle `AWSServiceRoleForWAFV2Logging` vertraut dem Service `wafv2.amazonaws.com`, sodass dieser die Rolle annehmen kann. 

Die Berechtigungsrichtlinien der Rolle ermöglichen es AWS WAF , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Amazon Data Firehose-Aktionen: `PutRecord` und `PutRecordBatch` auf Firehose-Datenstream-Ressourcen mit einem Namen, der mit beginnt. `aws-waf-logs-` Beispiel, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations Aktion: `DescribeOrganization` zu den Ressourcen von Organizations, Organisationen. 

[Die vollständige dienstbezogene Rolle finden Sie in der IAM-Konsole: AWSService RoleFor WAFV2 Protokollierung.](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Eine serviceverknüpfte Rolle erstellen für AWS WAF
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF AWS-Managementkonsole Anmeldung am aktivieren oder eine `PutLoggingConfiguration` Anfrage in der AWS WAF CLI oder der AWS WAF API stellen, AWS WAF wird die serviceverknüpfte Rolle für Sie erstellt. 

Sie müssen über die `iam:CreateServiceLinkedRole`-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF Protokollierung aktivieren, AWS WAF wird die dienstbezogene Rolle erneut für Sie erstellt. 

## Bearbeitung einer serviceverknüpften Rolle für AWS WAF
<a name="edit-slr"></a>

AWS WAF erlaubt es Ihnen nicht, die `AWSServiceRoleForWAFV2Logging` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für AWS WAF
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Wenn der AWS WAF Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS WAF Ressourcen zu löschen, die verwendet werden von `AWSServiceRoleForWAFV2Logging`**

1. Entfernen Sie auf der AWS WAF Konsole die Protokollierung aus jeder Web-ACL. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

1. Senden Sie über die API oder CLI eine `DeleteLoggingConfiguration`-Anforderung für jede Web-ACL, für die die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter [AWS WAF -API-Referenz](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die `AWSServiceRoleForWAFV2Logging`-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

## Unterstützte Regionen für AWS WAF serviceverknüpfte Rollen
<a name="slr-regions"></a>

AWS WAF unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS WAF -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Einloggen und Überwachen AWS WAF
<a name="waf-incident-response"></a>

In diesem Abschnitt wird erläutert, wie Sie AWS Tools zur Überwachung und Reaktion auf Ereignisse in verwenden AWS WAF.

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit AWS WAF und Leistung Ihrer AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet mehrere Tools zur Überwachung Ihrer AWS WAF Ressourcen und zur Reaktion auf potenzielle Ereignisse:

** CloudWatch Amazon-Alarme**  
Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen festgelegten Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, CloudWatch sendet eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail protokolliert**  
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS WAF. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, an die die Anfrage gestellt wurde AWS WAF, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen ermitteln. Weitere Informationen finden Sie unter [Protokollierung von AWS CloudTrail-API-Aufrufen mit](logging-using-cloudtrail.md). 

**AWS WAF Protokollierung des Datenverkehrs durch das Protection Pack (Web-ACL)**  
AWS WAF bietet die Protokollierung des Datenverkehrs, den Ihre Protection Packs (Web ACLs) analysieren. Die Protokolle enthalten Informationen wie den Zeitpunkt, zu dem die Anfrage von Ihrer geschützten AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und die Aktionseinstellung für die Regel, der die Anfrage entsprach. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

# Überprüfung der Einhaltung von AWS WAF
<a name="waf-compliance"></a>

In diesem Abschnitt wird Ihre Verantwortung für die Einhaltung der Vorschriften bei der Verwendung von erläutert AWS WAF.

Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).

# Stärkung der Widerstandsfähigkeit in AWS WAF
<a name="disaster-recovery-resiliency"></a>

In diesem Abschnitt wird erklärt, wie die AWS Architektur Datenredundanz für unterstützt. AWS WAF

Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. 

Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.

# Infrastruktursicherheit in AWS WAF
<a name="infrastructure-security"></a>

In diesem Abschnitt wird erklärt, wie der AWS WAF Dienstverkehr isoliert wird.

Als verwalteter Dienst AWS WAF ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS WAF über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# AWS WAF Kontingente
<a name="limits"></a>

**Anmerkung**  
Dies ist die neueste Version von AWS WAF. Informationen zu AWS WAF Classic finden Sie unter[AWS WAF Klassisch](classic-waf-chapter.md).

AWS WAF unterliegt den folgenden Kontingenten (früher als Beschränkungen bezeichnet). Diese Kontingente sind für alle Regionen, in denen verfügbar AWS WAF ist, gleich. Für jede Region gelten diese Kontingente einzeln, die Kontingente können nicht über die Regionen kumuliert werden.

AWS WAF hat Standardkontingente für die maximale Anzahl von Entitäten, die Sie pro Konto haben können. Sie können [eine Erhöhung dieser Kontingente beantragen](https://console.aws.amazon.com/servicequotas/home/services/wafv2/quotas).


| Ressource | Standardkontingent pro Konto und Region | 
| --- | --- | 
|  Maximale Anzahl von Schutzpaketen (Web ACLs)  |  100  | 
|  Maximale Anzahl von Regelgruppen   |  100  | 
| Maximale Anzahl von IP-Sätzen  |  100  | 
| Maximale Anzahl von Anfragen pro Sekunde pro Schutzpaket (Web-ACL)  |  100 000  | 
| Maximale Anzahl von benutzerdefinierten Anforderungsheadern pro Schutzpaket (Web-ACL) oder Regelgruppe | 100 | 
| Maximale Anzahl benutzerdefinierter Antwortheader pro Schutzpaket (Web-ACL) oder Regelgruppe | 100 | 
| Maximale Anzahl von benutzerdefinierten Antworttexten pro Schutzpaket (Web-ACL) oder Regelgruppe | 50 | 
| Maximale Anzahl von Tokendomänen in einer Token-Domänenliste für Schutzpakete (Web-ACL) | 10 | 
| Maximale Anzahl von Regex-Mustersätzen  |  10  | 
| Maximale Anzahl von Application Load Balancer Balancer-Zuordnungen pro Schutzpaket (Web-ACL) | 100  | 

Die maximal zulässige Anzahl von Anfragen pro Sekunde (RPS) CloudFront wird AWS WAF im Developer Guide festgelegt CloudFront und im [CloudFront Developer](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html) Guide beschrieben.

AWS WAF hat feste Kontingente für die folgenden Entitätseinstellungen pro Konto und Region. Diese Kontingente können nicht geändert werden.


| Ressource | Kontingente pro Konto und Region | 
| --- | --- | 
|  Maximale Kapazität des Schutzpakets (Web-ACLWCUs) pro Schutzpaket (Web-ACL) \$1  |  5,000  | 
| Höchstwert WCUs pro Regelgruppe |  5,000  | 
| Maximale Anzahl von Referenzanweisungen pro Regelgruppe. In einer Regelgruppe kann eine Referenzanweisung auf einen IP-Satz oder einen Regex-Mustersatz verweisen. |  50  | 
| Maximale Anzahl von Referenzanweisungen pro Schutzpaket (Web-ACL). In einem Protection Pack (Web-ACL) kann eine Referenzanweisung auf eine Regelgruppe, einen IP-Satz oder einen Regex-Mustersatz verweisen. |  50  | 
| Maximale Anzahl von IP-Adressen in CIDR-Notation pro IP-Satz |  10.000  | 
| Maximale Anzahl ratenbasierter Regeln pro Schutzpaket (Web-ACL)  |  10  | 
| Maximale Anzahl von ratenbasierten Regeln pro Regelgruppe |  4  | 
| Mindestanforderungsrate, die für eine ratebasierte Regel definiert werden kann |  10  | 
| Maximale Anzahl eindeutiger IP-Adressen, deren Rate pro ratenbasierter Regel begrenzt werden kann |  10.000  | 
| Maximale Anzahl der Zeichen für eine Zeichenfolgen-Übereinstimmungsanweisung |  200  | 
| Maximale Anzahl der Zeichen in jedem RegEx-Muster |  200  | 
| Maximale Anzahl eindeutiger Regex-Muster pro Regex-Mustersatz |  10  | 
| Maximale Größe eines Webanforderungstexts, der auf Application Load Balancer und AWS AppSync Schutzmaßnahmen überprüft werden kann |  8 KB  | 
| Maximale Größe eines Webanfragetextes, auf den geprüft werden kann CloudFront, Schutzmaßnahmen für API Gateway, Amazon Cognito, App Runner und Verified Access\$1\$1 |  64 KB  | 
| Maximale Anzahl von Texttransformationen pro Regelanweisung |  10  | 
| Maximale Größe des benutzerdefinierten Antworttextes für eine einzelne benutzerdefinierte Antwortdefinition |  4 KB  | 
| Maximale Anzahl an benutzerdefinierten Kopfzeilen für eine einzelne benutzerdefinierte Antwortdefinition |  10  | 
| Maximale Anzahl an benutzerdefinierten Kopfzeilen für eine einzelne benutzerdefinierte Anforderungsdefinition |  10  | 
| Maximale Gesamtgröße aller Inhalte des Antworttextes für eine einzelne Regelgruppe oder ein einzelnes Schutzpaket (Web-ACL) |  50 KB  | 
| Maximale Anzahl von Geo-Match-Ländercodes innerhalb einer einzigen Regel  |  50  | 

\$1Bei Verwendung von mehr als 1.500 Stück WCUs in einem Schutzpaket (Web-ACL) fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).

\$1\$1Standardmäßig ist das Body Inspection-Limit für API Gateway-CloudFront, Amazon Cognito-, App Runner- und Verified Access-Ressourcen auf 16 KB festgelegt. Sie können dieses Limit für jede dieser Ressourcen in Ihrer Protection Pack (Web ACL) -Konfiguration jedoch bis zum angegebenen Maximum erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).

AWS WAF hat die folgenden festen Kontingente für Anrufe pro Konto und Region. Diese Kontingente gelten für die Gesamtzahl der Aufrufe des Dienstes über alle verfügbaren Mittel, einschließlich der Konsole, der CLI AWS CloudFormation, der REST-API und der SDKs. Diese Kontingente können nicht geändert werden.


| Art des Anrufs | Kontingente pro Konto und Region | 
| --- | --- | 
| Maximale Anzahl von Aufrufen an AssociateWebACL |  Eine einzelne Anfrage alle 2 Sekunden   | 
| Maximale Anzahl von Aufrufen an DisassociateWebACL |  Eine einzelne Anfrage alle 2 Sekunden   | 
| Maximale Anzahl von Aufrufen an GetWebACLForResource  |  Eine einzelne Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen an ListResourcesForWebACL |  Eine einzelne Anfrage pro Sekunde  | 
| Maximale Anzahl von Aufrufen an GetDecryptedAPIKey |  Eine einzelne Anfrage alle 2 Sekunden  | 
| Maximale Anzahl von Aufrufen einer einzelnen Get- oder List-Aktion, wenn kein anderes Kontingent dafür definiert ist  |  Fünf Anforderungen pro Sekunde  | 
| Maximale Anzahl von Aufrufen einer einzelnen Create-, Put- oder Update-Aktion, wenn kein anderes Kontingent dafür definiert ist  |  Eine einzelne Anfrage pro Sekunde  | 

AWS WAF hat die folgenden festen Kontingente für Aufrufe durch alle Konten in einer einzigen Organisation in AWS Organizations. Diese Kontingente gelten für die Gesamtzahl der Aufrufe des Dienstes über alle verfügbaren Mittel, einschließlich der Konsole, der CLI AWS CloudFormation, der REST-API und der SDKs. Diese Kontingente können nicht geändert werden.


| Art des Anrufs | Kontingent pro Organisation in einer einzelnen Region | 
| --- | --- | 
| Maximale Anzahl von Anrufen aller Konten in einer Organisation in eine einzelne Region für die Regionen USA Ost (Nord-Virginia) (us-east-1), US West (Oregon) (us-west-2) oder Europa (Irland) (eu-west-1). ListResourcesForWebACL  |  12 Anfragen pro Sekunde  | 
| Maximale Anzahl von Anrufen aller Konten in einer Organisation in einer RegionListResourcesForWebACL, für die in dieser Tabelle kein anderes Kontingent aufgeführt ist.  |  6 Anfragen pro Sekunde  | 

# Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF
<a name="waf-migrating-from-classic"></a>

**Warnung**  
AWS WAF Classic durchläuft derzeit einen geplanten end-of-life Prozess. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.

**Anmerkung**  
Dies ist die **AWS WAF**-Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unter[Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF](#waf-migrating-from-classic).  
**Die neueste Version von** finden AWS WAF Sie unter[AWS WAF](waf-chapter.md). 

Dieser Abschnitt enthält Anleitungen für die Migration Ihrer Regeln und Schutzpakete (Web ACLs) von AWS WAF Classic auf AWS WAF. AWS WAF wurde im November 2019 veröffentlicht. Wenn Sie Ressourcen wie Regeln und Schutzpakete (Web ACLs) mit AWS WAF Classic erstellt haben, müssen Sie sie entweder mit AWS WAF Classic bearbeiten oder sie auf diese neueste Version migrieren. 

**Warnung**  
AWS WAF Der Classic-Support endet am 30. September 2025. 

Bevor Sie mit der Migration beginnen, sollten Sie sich damit vertraut machen, AWS WAF indem Sie es durchlesen[AWS WAF](waf-chapter.md).

**Topics**
+ [Warum zu migrieren AWS WAF?](waf-migrating-why-migrate.md)
+ [Migrationsvorbehalte und -beschränkungen](waf-migrating-caveats.md)
+ [So funktioniert die Migration](waf-migrating-how-it-works.md)
+ [Migration eines Schutzpakets (Web-ACL) von AWS WAF Classic zu AWS WAF](waf-migrating-procedure.md)

# Warum zu migrieren AWS WAF?
<a name="waf-migrating-why-migrate"></a>

Die neueste Version von AWS WAF bietet viele Verbesserungen gegenüber der Vorgängerversion und behält gleichzeitig die meisten Konzepte und Terminologie bei, an die Sie gewöhnt sind. 

Die folgende Liste beschreibt die wichtigsten Änderungen in der letzten AWS WAF. Bevor Sie mit der Migration fortfahren, nehmen Sie sich bitte etwas Zeit, um diese Liste zu lesen und sich mit dem Rest des AWS WAF Handbuchs vertraut zu machen. 
+ **Der Support für AWS WAF Classic endet am 30. September 2025.** 
+ **AWS Verwaltete Regeln für AWS WAF** — Die Regelgruppen, die jetzt über AWS Managed Rules verfügbar sind, bieten Schutz vor gängigen Internet-Bedrohungen. Die meisten dieser Regelgruppen sind kostenlos in enthalten AWS WAF. Weitere Informationen finden Sie unter [AWS Liste der Regelgruppen für verwaltete Regeln](aws-managed-rule-groups-list.md) und im Blogbeitrag [Ankündigung AWS verwalteter Regeln für AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/).
+ **Neue AWS WAF API** — Mit der neuen API können Sie alle Ihre AWS WAF Ressourcen mit einem einzigen Satz von APIs konfigurieren. Um zwischen regionalen und globalen Anwendungen zu unterscheiden, enthält die neue API eine `scope`-Einstellung. Weitere Informationen zur API finden Sie unter [AWS WAFV2 Aktionen](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html) und [AWS WAFV2 Datentypen](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html).

  Im APIs, SDKs CLIs AWS CloudFormation, und behält AWS WAF Classic seine Benennungsschemata bei, und auf diese neueste Version von AWS WAF wird je nach Kontext mit einem hinzugefügten `V2` oder `v2` verwiesen.
+ **Vereinfachte Dienstkontingente (Limits)** — ermöglicht AWS WAF jetzt mehr Regeln pro Schutzpaket (Web-ACL) und ermöglicht es Ihnen, längere Regex-Muster auszudrücken. Weitere Informationen finden Sie unter [AWS WAF Kontingente](limits.md).
+ **Rechenanforderungen bestimmen die Kapazitätsgrenzen** — Die Grenzwerte für Protection Packs (Web ACLs) basieren jetzt auf den Kapazitätseinheiten () des Protection Packs (Web ACL). WCUs AWS WAF berechnet eine Regel WCUs anhand der erforderlichen Betriebskapazität. Die Summe WCUs für ein Schutzpaket (Web-ACL) entspricht der Summe WCUs aller Regeln und Regelgruppen.

  Allgemeine Informationen zu WCUs finden Sie unter [Wie AWS WAF funktioniert](how-aws-waf-works.md). Weitere Informationen zur WCU-Verwendung der einzelnen Regeln finden Sie unter [Verwenden von Regelanweisungen in AWS WAF](waf-rule-statements.md).
+ **Dokumentbasiertes Schreiben** von Regeln — Sie können jetzt Regeln, Regelgruppen und Schutzpakete (Web ACLs) im JSON-Format schreiben und ausdrücken. Sie müssen keine einzelnen API-Aufrufe mehr verwenden, um andere Bedingungen zu erstellen und dann die Bedingungen einer Regel zuzuordnen. Dies vereinfacht erheblich, wie Sie Ihren Code schreiben und pflegen. Sie können über die Konsole auf ein JSON-Format Ihrer Schutzpakete (Web ACLs) zugreifen, wenn Sie das Schutzpaket (Web-ACL) aufrufen, indem **Sie Schutzpaket (Web-ACL) als JSON herunterladen** wählen. Wenn Sie eine eigene Regel erstellen, können Sie auf ihre JSON-Darstellung zugreifen, indem Sie den **Rule JSON editor (Regel-JSON-Editor)** auswählen.
+ **Regelverschachtelung und vollständige Unterstützung für logische Vorgänge**: Sie können komplexe kombinierte Regeln schreiben, indem Sie logische Regelanweisungen verwenden und verschachteln. Sie können Anweisungen wie `[A AND NOT(B OR C)]` erstellen. Weitere Informationen finden Sie unter [Verwendung logischer Regelanweisungen in AWS WAF](waf-rule-statements-logical.md).
+ **Verbesserte ratenbasierte Regeln** — In der neuesten Version von können Sie das Zeitfenster AWS WAF, in dem die Regel auswertet, und die Art und Weise, wie die Regel Anfragen aggregiert, anpassen. Sie können die Aggregation mithilfe von Kombinationen verschiedener Merkmale von Webanfragen anpassen. Darüber hinaus reagieren die neuesten ratenbasierten Regeln schneller auf Verkehrsänderungen. Weitere Informationen finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Unterstützung variabler CIDR-Bereiche für IP-Set**: IP-Set-Spezifikationen bieten jetzt mehr Flexibilität in den IP-Bereichen. Für IPv4, AWS WAF unterstützt `/1` bis. `/32` Für IPv6, AWS WAF unterstützt `/1` bis`/128`. Weitere Informationen zu IP-Sets finden Sie unter [IP-Set-Übereinstimmungsregelanweisung](waf-rule-statement-type-ipset-match.md).
+ **Verkettbare Texttransformationen** — Sie AWS WAF können mehrere Texttransformationen für den Inhalt von Webanfragen durchführen, bevor dieser überprüft wird. Weitere Informationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
+ **Verbessertes Konsolenerlebnis** — Die neue AWS WAF Konsole bietet einen visuellen Regelgenerator und ein benutzerfreundlicheres Konsolendesign. 
+ **Erweiterte Optionen für Firewall Manager AWS WAF Manager-Richtlinien** — In der Firewall Manager Manager-Verwaltung von AWS WAF Schutzpaketen (Web ACLs) können Sie jetzt eine Reihe von Regelgruppen erstellen, die zuerst AWS WAF verarbeitet werden, und eine Reihe von Regelgruppen, die zuletzt AWS WAF verarbeitet werden. Nachdem Sie die AWS WAF Richtlinie angewendet haben, können lokale Kontoinhaber ihre eigenen Regelgruppen hinzufügen, die zwischen diesen beiden Gruppen AWS WAF verarbeitet werden. Weitere Informationen zu AWS WAF -Richtlinien in Firewall Manager finden Sie unter [AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md). 
+ **AWS CloudFormation Unterstützung für alle Arten von Regelanweisungen — AWS WAF AWS CloudFormation unterstützt alle Arten** von Regelanweisungen, die von der AWS WAF Konsole und der API unterstützt werden. Darüber hinaus können Sie die Regeln, die Sie im JSON-Format schreiben, einfach in das YAML-Format konvertieren. 



# Migrationsvorbehalte und -beschränkungen
<a name="waf-migrating-caveats"></a>

Bei der Migration werden nur die Konfigurationen des Protection Packs (Web ACL) behandelt, und bei der Migration des Protection Packs (Web ACL) werden nicht alle Einstellungen genau so übernommen, wie Sie sie in AWS WAF Classic haben. Einige Konfigurationselemente erfordern eine manuelle Konfiguration in AWS WAF (v2). Einige Dinge stimmen nicht exakt zwischen den beiden Versionen überein, und Sie müssen entscheiden, wie Sie die Funktionalität in AWS WAF (v2) konfigurieren möchten. Einige Einstellungen, wie die Verknüpfungen des Protection Packs (Web-ACL) mit AWS Ressourcen, sind in der neuen Version zunächst deaktiviert, sodass Sie sie hinzufügen können, wenn Sie bereit sind. 

In der folgenden Liste werden die Vorbehalte der Migration und alle Schritte beschrieben, die Sie als Reaktion ausführen möchten. Verwenden Sie diese Übersicht, um Ihre Migration zu planen. Die detaillierten Migrationsschritte führen Sie später durch die empfohlenen Risikominderungsschritte. 
+ **Migration eines einzelnen Kontos** — Sie können nur AWS WAF Classic-Ressourcen für jedes Konto zu AWS WAF Ressourcen für dasselbe Konto migrieren. 
+ **Nur Protection Pack-Konfigurationen (Web-ACL)** — Bei der Migration werden nur Protection Packs (Web ACLs) und Ressourcen migriert, die von den Protection Packs (Web ACLs) verwendet werden. Um eine Ressource, z. B. eine Regelgruppe oder einen IP-Satz, zu migrieren, die von keiner migrierten Web-ACL verwendet wird, erstellen Sie die Ressource manuell in AWS WAF (v2).
+ **Keine AWS Marketplace verwalteten Regeln** — Bei der Migration werden keine verwalteten Regeln von AWS Marketplace Verkäufern übernommen. Einige AWS Marketplace Verkäufer haben entsprechende verwaltete Regeln AWS WAF , für die Sie erneut ein Abonnement abschließen können. Bevor Sie dies tun, lesen Sie sich die AWS verwalteten Regeln durch, die in der neuesten Version von enthalten sind AWS WAF. Die meisten davon sind für AWS WAF Benutzer kostenlos. Weitere Informationen zu verwalteten Regeln finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md). 
+ **Keine Verknüpfungen zwischen dem Schutzpaket (Web-ACL)** — Bei der Migration werden keine Verknüpfungen zwischen dem Schutzpaket (Web-ACL) und geschützten Ressourcen hergestellt. Dies ist Absicht, um eine Beeinträchtigung Ihres Produktions-Workloads zu vermeiden. Nachdem Sie sich vergewissert haben, dass alles korrekt migriert wurde, ordnen Sie das neue Schutzpaket (Web-ACL) Ihren Ressourcen zu.
+ **Protokollierung deaktiviert** — Die Protokollierung für das migrierte Protection Pack (Web-ACL) ist standardmäßig deaktiviert. Dies ist beabsichtigt. Aktivieren Sie die Protokollierung, wenn Sie bereit sind, von AWS WAF Classic zu zu AWS WAF wechseln.
+ **Keine AWS Firewall Manager Regelgruppen** — Die Migration behandelt keine Regelgruppen, die von Firewall Manager verwaltet werden. Sie können ein Schutzpaket (Web-ACL) migrieren, das von Firewall Manager verwaltet wird, aber die Regelgruppe wird bei der Migration nicht übernommen. Anstatt das Migrationstool für diese Schutzpakete (Web ACLs) zu verwenden, erstellen Sie die Richtlinie für das neue AWS WAF in Firewall Manager neu. 
**Anmerkung**  
Die Regelgruppen, die Firewall Manager für AWS WAF Classic verwaltete, waren Firewall Manager Manager-Regelgruppen. In der neuen Version von AWS WAF sind die Regelgruppen AWS WAF Regelgruppen. Funktionell sind sie gleich. 
+ **AWS WAF Vorbehalt bei Sicherheitsautomatisierungen** — Versuchen Sie nicht, AWS WAF Sicherheitsautomatisierungen zu migrieren. Die Migration konvertiert keine Lambda-Funktionen, die möglicherweise von den Automatisierungen verwendet werden. Erwägen Sie stattdessen, die Automatisierungen für die neueste Version bereitzustellen. Weitere Informationen finden Sie unter [AWS WAF Sicherheitsautomatisierungen](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# So funktioniert die Migration
<a name="waf-migrating-how-it-works"></a>

Sie können Ihr Web mit verschiedenen Methoden ACLs von AWS WAF Classic zu AWS WAF v2 migrieren. Folgen Sie diesen Schritten, um Ihre Migration abzuschließen.

**Um von zu AWS WAF v2 AWS WAF Classic zu migrieren**

1. Identifizieren Sie Ihr AWS WAF Classic Web ACLs:
   + Sehen Sie sich ACLs im AWS Health Dashboard eine Liste Ihres Webs an.
   + Verwenden Sie das [AWS WAF Classic Web-ACL-Cleanup-Skript](         https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup          ), um eine Liste all Ihrer Websites ACLs und ihrer Verknüpfungen abzurufen. Auf diese Weise können Sie feststellen, ACLs welche Websites aktiv Ressourcen schützen, und Sie können ungenutzte Websites ACLs löschen.

1. Migrieren Sie einzelne Websites ACLs:
   + Folgen Sie dem Migrationsprozess im [AWS WAF Developer Guide](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html).
   + Verwenden Sie den Migrationsassistenten, um Ihre AWS WAF Classic Web-ACL zu analysieren und eine AWS CloudFormation Vorlage zu generieren.
   + Verwenden Sie die generierte Vorlage, um eine entsprechende AWS WAF v2-Web-ACL zu erstellen und die Migration abzuschließen.

1. Für mehrere geeignete Websites ACLs:
   + Verwenden Sie das [AWS WAF Massenmigrationsskript](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration          ), um mehrere geeignete AWS WAF Classic Websites ACLs gleichzeitig zu migrieren.

1. Für Websites, die ACLs verwaltet werden von AWS Firewall Manager:
   + Firewall Manager Manager-Richtlinien verwenden AWS WAF Classic Web ACLs mit AWS WAF Classic Richtlinien. Für Shield Advanced-Richtlinien, die vor Januar 2022 erstellt wurden, verwendet Firewall Manager auch AWS WAF Classic Web ACLs. Sie müssen diese Richtlinien migrieren, um AWS WAF v2 Web verwenden zu können ACLs.

     Folgen Sie den Anweisungen unter [AWS WAF Classic Web ACLs in Firewall Manager migrieren](migrate-waf-classic-fms.md).

**Wichtig**  
Wir empfehlen, jedes migrierte Web zu überprüfen, ACLto um sicherzustellen, dass es Ihren Sicherheitsanforderungen entspricht, bevor Sie es Ihren Ressourcen zuordnen.

# Migration eines Schutzpakets (Web-ACL) von AWS WAF Classic zu AWS WAF
<a name="waf-migrating-procedure"></a>

Bei der automatisierten Migration wird der Großteil Ihrer AWS WAF Classic Protection Pack (Web ACL) -Konfiguration übernommen, sodass einige Dinge übrig bleiben, die Sie manuell erledigen müssen.

**Anmerkung**  
Einige Schutzkonfigurationen können nicht automatisch migriert werden und erfordern eine manuelle Konfiguration in AWS WAF (v2). Die Liste finden Sie unter. [Migrationsvorbehalte und -beschränkungen](waf-migrating-caveats.md)

Im Folgenden sind die allgemeinen Schritte für die Migration eines Protection Packs (Web-ACL) aufgeführt. 

1. Bei der automatisierten Migration wird alles gelesen, was mit Ihrem vorhandenen Protection Pack (Web-ACL) zu tun hat, ohne dass etwas in AWS WAF Classic geändert oder gelöscht wird. Es erstellt eine Darstellung der Web-ACL und der zugehörigen Ressourcen, die kompatibel mit ist AWS WAF. Es generiert eine CloudFormation Vorlage für das neue Schutzpaket (Web-ACL) und speichert sie in einem Amazon S3 S3-Bucket. 

1. Sie stellen die Vorlage in bereit CloudFormation, um das Schutzpaket (Web-ACL) und die zugehörigen Ressourcen in AWS WAF neu zu erstellen. 

1. Sie überprüfen das Schutzpaket (Web-ACL) und schließen die Migration manuell ab. Dabei stellen Sie sicher, dass Ihr neues Schutzpaket (Web-ACL) die Funktionen der neuesten Version AWS WAF voll ausnutzt. 

1. Sie stellen Ihre geschützten Ressourcen manuell auf das neue Protection Pack (Web-ACL) um. 

**Topics**
+ [Migration eines Schutzpakets (Web-ACL): automatisierte Migration](waf-migrating-procedure-automatic.md)
+ [Migration eines Schutzpakets (Web-ACL): manuelle Nachverfolgung](waf-migrating-procedure-manual-finish.md)
+ [Migration eines Schutzpakets (Web-ACL): weitere Überlegungen](waf-migrating-procedure-additional.md)
+ [Migration eines Schutzpakets (Web-ACL): Switchover](waf-migrating-procedure-switchover.md)

# Migration eines Schutzpakets (Web-ACL): automatisierte Migration
<a name="waf-migrating-procedure-automatic"></a>

**Um eine Protection Pack-Konfiguration (Web-ACL) automatisch von AWS WAF Classic zu migrieren AWS WAF**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Wählen Sie **Zu AWS WAF Classic wechseln** und überprüfen Sie Ihre Konfigurationseinstellungen für das Protection Pack (Web-ACL). Notieren Sie sich die Einstellungen unter Berücksichtigung der im vorhergehenden Abschnitt ([Migrationsvorbehalte und -beschränkungen](waf-migrating-caveats.md)) beschriebenen Einschränkungen und Einschränkungen.

1. Suchen Sie im Informationsdialog oben den Satz, der mit **Migrate Protection Packs (Web ACLs)** beginnt, und wählen Sie den Link zum **Migrationsassistenten**. Dadurch wird der Migrationsassistent gestartet.

   Wenn Sie den Informationsdialog nicht sehen, haben Sie ihn möglicherweise geschlossen, seit Sie die AWS WAF Classic-Konsole gestartet haben. Wählen Sie in der Navigationsleiste **Zu neuer Version wechseln** und AWS WAF dann **Zu AWS WAF Classic wechseln** aus. Der Informationsdialog sollte wieder angezeigt werden.

1. Wählen Sie das Schutzpaket (Web-ACL) aus, das Sie migrieren möchten. 

1. Geben Sie für die **Migration configuration** (Migrationskonfiguration) einen Amazon-S3-Bucket an, der für die Vorlage verwendet werden soll. Sie benötigen einen Amazon S3 S3-Bucket, der ordnungsgemäß für die Migrations-API konfiguriert ist, um die von ihr generierte AWS CloudFormation Vorlage zu speichern. 
   + Wenn der Bucket verschlüsselt ist, muss die Verschlüsselung Amazon S3 (SSE-S3)-Schlüssel verwenden. Die Migration unterstützt keine Verschlüsselung mit AWS Key Management Service (SSE-KMS-) Schlüsseln.
   + Der Bucket-Name muss mit `aws-waf-migration-` beginnen. Beispiel, `aws-waf-migration-my-web-acl`.
   + Der Bucket muss sich in der Region befinden, in der Sie die Vorlage bereitstellen. Für ein Schutzpaket (Web-ACL) müssen Sie `us-west-2` beispielsweise einen Amazon S3 S3-Bucket in verwenden `us-west-2` und den Vorlagen-Stack für bereitstellen`us-west-2`. 

1. Als **S3 bucket policy (S3-Bucket-Richtlinie)**, wird empfohlen, die **Auto apply the bucket policy required for migration (Für die Migration erforderliche Bucket-Richtlinie automatisch anwenden)** auszuwählen. Wenn Sie den Bucket selbst verwalten möchten, müssen Sie die folgende Bucket-Richtlinie manuell anwenden: 
   + Für globale CloudFront Amazon-Anwendungen (`waf`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------
   + Für regionale Amazon API Gateway- oder Application Load Balancer-Anwendungen (`waf-regional`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf-regional.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------

1. Wählen Sie bei **Choose how to handle rules that cannot be migrated (Auswählen, wie Regeln behandelt werden, die nicht migriert werden können)** entweder aus, die Regeln, die nicht migriert werden können, auszuschließen, oder die Migration zu beenden. Weitere Informationen zu Regeln, die nicht migriert werden können, finden Sie unter [Migrationsvorbehalte und -beschränkungen](waf-migrating-caveats.md). 

1. Wählen Sie **Weiter** aus. 

1. Überprüfen Sie unter ** CloudFormation Vorlage erstellen** Ihre Einstellungen und wählen Sie dann ** CloudFormation Vorlage erstellen aus, um den Migrationsprozess zu starten**. Dies kann je nach Komplexität Ihres Schutzpakets (Web-ACL) einige Minuten dauern.

1. Unter ** CloudFormation Stack erstellen und ausführen, um die Migration abzuschließen**, können Sie wählen, ob Sie in der AWS CloudFormation Konsole einen Stack aus der Vorlage erstellen und das neue Schutzpaket (Web-ACL) und die zugehörigen Ressourcen erstellen möchten. Wählen Sie dazu ** CloudFormation Stack erstellen** aus. 

Nachdem der automatische Migrationsprozess abgeschlossen ist, können Sie mit den nachfolgenden manuellen Schritten fortfahren. Siehe [Migration eines Schutzpakets (Web-ACL): manuelle Nachverfolgung](waf-migrating-procedure-manual-finish.md).

# Migration eines Schutzpakets (Web-ACL): manuelle Nachverfolgung
<a name="waf-migrating-procedure-manual-finish"></a>

Überprüfen Sie nach Abschluss der automatisierten Migration das neu erstellte Schutzpaket (Web-ACL) und geben Sie die Komponenten ein, die die Migration nicht für Sie übernimmt. Das folgende Verfahren behandelt die Aspekte der Verwaltung des Protection Packs (Web-ACL), die bei der Migration nicht berücksichtigt werden. Die Liste finden Sie unter [Migrationsvorbehalte und -beschränkungen](waf-migrating-caveats.md).

**Abschluss der grundlegenden Migration – manuelle Schritte**

1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole. 

1. Die Konsole sollte automatisch die neueste Version von verwenden. AWS WAF Um dies zu überprüfen, überprüfen Sie, ob im Navigationsbereich die Option **Zu AWS WAF Classic wechseln** angezeigt wird. Wenn die **Option Zur neuen Version wechseln** angezeigt wird AWS WAF, wählen Sie diese Option aus, um zur neuesten Version zu wechseln. 

1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus. 

1. Suchen Sie auf der Seite **Protection Packs (Web ACLs)** Ihr neues Protection Pack (Web-ACL) in der Liste für die Region, in der Sie es erstellt haben. Wählen Sie den Namen des Schutzpakets (Web-ACL), um die Einstellungen für das Schutzpaket (Web-ACL) aufzurufen. 

1. Vergleichen Sie alle Einstellungen für das neue Schutzpaket (Web-ACL) mit Ihrer vorherigen AWS WAF Classic-Web-ACL. Standardmäßig sind Protokollierung und geschützte Ressourcenzuordnungen deaktiviert. Sie aktivieren diese, wenn Sie zur Umstellung bereit sind. 

1. Wenn Ihr AWS WAF Classic-Schutzpaket (Web-ACL) über eine verwaltete Regelgruppe verfügte, wurde die Einbeziehung der Regelgruppe bei der Migration nicht übernommen. Sie können verwaltete Regelgruppen zum neuen Schutzpaket (Web-ACL) hinzufügen. Die Informationen zu verwalteten Regelgruppen, einschließlich der Liste der AWS verwalteten Regeln, die in der neuen Version von verfügbar sind AWS WAF, finden Sie unter[Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md). Gehen Sie wie folgt vor, um eine verwaltete Regelgruppe hinzuzufügen:

   1. Wählen Sie auf der Einstellungsseite Ihres Protection Packs (Web-ACL) die Registerkarte **Regeln** für das Protection Pack (Web-ACL). 

   1. Wählen Sie **Add rules (Regeln hinzufügen)**, und dann **Add managed rule groups (Verwaltete Regelgruppen hinzufügen)** aus.

   1. Erweitern Sie das Verzeichnis für den Lieferanten Ihrer Wahl und wählen Sie die Regelgruppen aus, die Sie hinzufügen möchten. AWS Marketplace Verkäufer müssen möglicherweise die Regelgruppen abonnieren. Weitere Informationen zur Verwendung verwalteter Regelgruppen in Ihrem Protection Pack (Web-ACL) finden Sie unter [Verwenden verwalteter Regelgruppen in AWS WAF](waf-managed-rule-groups.md) und[Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md).

Nachdem Sie die grundlegende Migration abgeschlossen haben, empfehlen wir Ihnen, Ihre Anforderungen zu überprüfen und zusätzliche Optionen in Betracht zu ziehen, um sicherzustellen, dass die neue Konfiguration so effizient wie möglich ist und die neuesten verfügbaren Sicherheitsoptionen verwendet. Siehe [Migration eines Schutzpakets (Web-ACL): weitere Überlegungen](waf-migrating-procedure-additional.md).

# Migration eines Schutzpakets (Web-ACL): weitere Überlegungen
<a name="waf-migrating-procedure-additional"></a>

Prüfen Sie Ihr neues Schutzpaket (Web-ACL) und ziehen Sie die Optionen in Betracht, die Ihnen im neuen Paket zur Verfügung stehen, AWS WAF um sicherzustellen, dass die Konfiguration so effizient wie möglich ist und dass die neuesten verfügbaren Sicherheitsoptionen verwendet werden. 

**Zusätzliche AWS verwaltete Regeln**  
Erwägen Sie die Implementierung zusätzlicher AWS verwalteter Regeln in Ihrem Schutzpaket (Web-ACL), um den Sicherheitsstatus Ihrer Anwendung zu erhöhen. Diese sind ohne zusätzliche Kosten AWS WAF im Lieferumfang enthalten. AWS Verwaltete Regeln umfassen die folgenden Arten von Regelgruppen: 
+ Baseline-Regelgruppen bieten allgemeinen Schutz vor einer Vielzahl gängiger Bedrohungen, z. B. verhindern, dass bekannte fehlerhafte Eingaben in Ihre Anwendung gelangen, und den Zugriff auf Administratorseiten verhindern. 
+ Anwendungsfallspezifische Regelgruppen bieten inkrementellen Schutz für viele verschiedene Anwendungsfälle und Umgebungen.
+ IP-Reputationslisten bieten Bedrohungsinformationen basierend auf der Quell-IP des Clients.

Weitere Informationen finden Sie unter [AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md).

**Regeloptimierung und -bereinigung**  
Überprüfen Sie Ihre alten Regeln und ziehen Sie eine Optimierung in Betracht, indem Sie sie neu schreiben oder veraltete entfernen. Wenn Sie beispielsweise in der Vergangenheit eine AWS CloudFormation Vorlage aus dem technischen Dokument für OWASP Top 10 Web Application Vulnerabilities, Prepare for the OWASP Top 10 Web Application Vulnerabilities [Using AWS WAF und Our New White Paper](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/) bereitgestellt haben, sollten Sie erwägen, diese Vorlage durch Managed Rules zu ersetzen. AWS Das in diesem Dokument enthaltene Konzept ist zwar weiterhin gültig und kann Ihnen beim Schreiben Ihrer eigenen Regeln helfen, aber die mit der Vorlage erstellten Regeln wurden weitgehend durch verwaltete Regeln ersetzt. AWS 

**CloudWatch Amazon-Metriken und Alarme**  
Überprüfen Sie Ihre CloudWatch Amazon-Metriken erneut und richten Sie bei Bedarf Alarme ein. Bei der Migration werden keine CloudWatch -Alarme übertragen, und es ist möglich, dass Ihre Metriknamen nicht Ihren Wünschen entsprechen. 

**Bewertung mit Ihrem Antragsteam**  
Arbeiten Sie mit Ihrem Anwendungsteam zusammen und überprüfen Sie Ihre Sicherheitslage. Finden Sie heraus, welche Felder häufig von der Anwendung analysiert werden, und fügen Sie Regeln hinzu, um die Eingabe entsprechend zu bereinigen. Überprüfen Sie, ob Edge-Fälle vorhanden sind, und fügen Sie Regeln hinzu, um diese Fälle abzufangen, wenn die Geschäftslogik der Anwendung diese nicht verarbeitet. 

**Planen der Umstellung**  
Planen Sie den Zeitpunkt der Umstellung mit Ihrem Anwendungsteam. Der Wechsel von der alten Protection Pack (Web ACL) -Zuordnung zur neuen kann einige Zeit in Anspruch nehmen, bis er sich auf alle Bereiche ausbreitet, in denen Ihre Ressourcen gespeichert sind. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. Während dieser Zeit werden einige Anfragen mit dem alten Schutzpaket (Web-ACL) und andere mit dem neuen Schutzpaket (Web-ACL) bearbeitet. Ihre Ressourcen werden während der gesamten Umstellung geschützt, aber während der Umstellung stellen Sie möglicherweise Inkonsistenzen bei der Bearbeitung von Anfragen fest. 

Wenn Sie bereit sind, umzuschalten, folgen Sie dem Verfahren unter [Migration eines Schutzpakets (Web-ACL): Switchover](waf-migrating-procedure-switchover.md).

# Migration eines Schutzpakets (Web-ACL): Switchover
<a name="waf-migrating-procedure-switchover"></a>

Nachdem Sie die Einstellungen Ihres neuen Protection Packs (Web-ACL) überprüft haben, können Sie damit beginnen, es anstelle Ihres AWS WAF Classic-Schutzpakets (Web-ACL) zu verwenden. 

**Um mit der Verwendung Ihres neuen AWS WAF Schutzpakets (Web-ACL) zu beginnen**

1. Ordnen Sie das AWS WAF Schutzpaket (Web-ACL) den Ressourcen zu, die Sie schützen möchten. Folgen Sie dabei den Anweisungen unter[Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md). Dadurch werden die Ressourcen automatisch vom alten Schutzpaket (Web-ACL) getrennt. 

   Die Übertragung des Switches kann einige Sekunden bis mehrere Minuten dauern. Während dieser Zeit werden einige Anfragen möglicherweise vom alten Schutzpaket (Web-ACL) und andere vom neuen Schutzpaket (Web-ACL) verarbeitet. Ihre Ressourcen werden während des gesamten Switches geschützt, aber Sie werden möglicherweise Inkonsistenzen bei der Bearbeitung von Anfragen feststellen, bis der Vorgang abgeschlossen ist. 

1. Konfigurieren Sie die Protokollierung für das neue Schutzpaket (Web-ACL). Folgen Sie dabei den Anweisungen unter. [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md) 

1. (Optional) Wenn Ihr AWS WAF Classic-Schutzpaket (Web-ACL) keinen Ressourcen mehr zugeordnet ist, sollten Sie erwägen, es vollständig aus AWS WAF Classic zu entfernen. Weitere Informationen finden Sie unter [Löschen einer Web-ACL](classic-web-acl-deleting.md).