Options et clés d'agrégation de règles basées sur le taux - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options et clés d'agrégation de règles basées sur le taux

Par défaut, une règle basée sur le débit agrège et limite les demandes en fonction de l'adresse IP de la demande. Vous pouvez configurer la règle pour utiliser diverses autres clés d'agrégation et combinaisons de touches. Par exemple, vous pouvez agréger en fonction d'une adresse IP transférée, de la méthode HTTP ou d'un argument de requête. Vous pouvez également spécifier des combinaisons de clés d'agrégation, telles que l'adresse IP et la méthode HTTP, ou les valeurs de deux cookies différents.

Note

Tous les composants de demande que vous spécifiez dans la clé d'agrégation doivent être présents dans une requête Web pour que la demande soit évaluée ou que le taux soit limité par la règle.

Vous pouvez configurer votre règle basée sur le taux avec les options d'agrégation suivantes.

  • Adresse IP source : agrégée en utilisant uniquement l'adresse IP de l'origine de la requête Web.

    L'adresse IP source peut ne pas contenir l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy.

  • Adresse IP dans l'en-tête : agrégation en utilisant uniquement une adresse client dans un en-tête HTTP. Cette adresse est également appelée adresse IP transférée.

    Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. En cas d'absence de correspondance, la règle basée sur le taux ne compte pas ou ne limite pas le taux de la demande. Pour la correspondance, la règle basée sur le taux regroupe la demande avec les autres demandes dont l'adresse IP est mal formée dans l'en-tête spécifié.

    Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent également être modifiés pour contourner l'inspection. Pour plus d'informations et les meilleures pratiques, consultezAdresse IP transférée.

  • Tout compter : comptez et limitez le débit de toutes les demandes qui correspondent à l'énoncé de portée réduite de la règle. Cette option nécessite une instruction scope-down. Ceci est généralement utilisé pour limiter le débit d'un ensemble spécifique de demandes, telles que toutes les demandes portant une étiquette spécifique ou toutes les demandes provenant d'une zone géographique spécifique.

  • Clés personnalisées : agrégation à l'aide d'une ou de plusieurs clés d'agrégation personnalisées. Pour combiner l'une des options d'adresse IP avec d'autres clés d'agrégation, définissez-les ici sous Clés personnalisées.

    Les clés d'agrégation personnalisées sont un sous-ensemble des options des composants de demande Web décrites surOptions de composants de demande.

    Les principales options sont les suivantes. Sauf indication contraire, vous pouvez utiliser une option plusieurs fois, par exemple deux en-têtes ou trois espaces de noms d'étiquettes.

    • Espace de noms d'étiquettes : utilisez un espace de noms d'étiquettes comme clé d'agrégation. Chaque nom d'étiquette complet distinct qui possède l'espace de noms d'étiquette spécifié contribue à l'instance d'agrégation. Si vous utilisez un seul espace de noms d'étiquette comme clé personnalisée, chaque nom d'étiquette définit entièrement une instance d'agrégation.

      La règle basée sur le taux utilise uniquement les étiquettes qui ont été ajoutées à la demande par des règles préalablement évaluées dans l'ACL Web.

      Pour plus d'informations sur les espaces de noms et les noms d'étiquettes, consultezAWS WAF syntaxe des étiquettes et exigences de dénomination.

    • En-tête : utilisez un en-tête nommé comme clé d'agrégation. Chaque valeur distincte de l'en-tête contribue à l'instance d'agrégation.

      L'en-tête nécessite une transformation de texte facultative. veuillez consulter Options de transformation du texte.

    • Cookie : utilisez un cookie nommé comme clé d'agrégation. Chaque valeur distincte du cookie contribue à l'instance d'agrégation.

      Le cookie effectue une transformation de texte facultative. veuillez consulter Options de transformation du texte.

    • Argument de requête : utilisez un seul argument de requête dans la demande comme clé d'agrégation. Chaque valeur distincte pour l'argument de requête nommé contribue à l'instance d'agrégation.

      L'argument Query accepte une transformation de texte facultative. veuillez consulter Options de transformation du texte.

    • Chaîne de requête : utilisez l'intégralité de la chaîne de requête de la demande comme clé agrégée. Chaque chaîne de requête distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

      La chaîne de requête accepte une transformation de texte facultative. veuillez consulter Options de transformation du texte.

    • Chemin de l'URI — Utilisez le chemin de l'URI dans la demande comme clé agrégée. Chaque chemin d'URI distinct contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

      Le chemin de l'URI effectue une transformation de texte facultative. veuillez consulter Options de transformation du texte.

    • Méthode HTTP : utilisez la méthode HTTP de la demande comme clé d'agrégation. Chaque méthode HTTP distincte contribue à l'instance d'agrégation. Vous ne pouvez utiliser ce type de clé qu'une seule fois.

    • Adresse IP : agrégation à l'aide de l'adresse IP provenant de l'origine de la demande Web en combinaison avec d'autres clés.

      Il se peut qu'il ne contienne pas l'adresse du client d'origine. Si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, celle-ci contiendra l'adresse du dernier proxy.

    • Adresse IP dans l'en-tête — Agrégez en utilisant l'adresse du client dans un en-tête HTTP en combinaison avec d'autres clés. Cette adresse est également appelée adresse IP transférée.

      Soyez prudent avec cette option, car les en-têtes peuvent être gérés de manière incohérente par les proxys et ils peuvent être modifiés pour contourner l'inspection. Pour plus d'informations et les meilleures pratiques, consultezAdresse IP transférée.