Types d'étiquettes à jetons dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types d'étiquettes à jetons dans AWS WAF

Cette section décrit les libellés que la gestion des AWS WAF jetons ajoute aux requêtes Web. Pour des informations générales sur les étiquettes, voirÉtiquetage des requêtes Web dans AWS WAF.

Lorsque vous utilisez l'un des AWS WAF robots ou des groupes de règles gérés par le contrôle de la fraude, les groupes de règles utilisent la gestion des AWS WAF jetons pour inspecter les jetons de requête Web et appliquer un étiquetage de jeton aux demandes. Pour plus d'informations sur les groupes de règles gérés, reportez-vous aux AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP) sectionsAWS WAF Groupe de règles de prévention des fraudes (ACFP) pour la création de comptes et la prévention des fraudes, etAWS WAF Groupe de règles Bot Control.

Note

AWS WAF applique des étiquettes de jetons uniquement lorsque vous utilisez l'un de ces groupes de règles gérés d'atténuation intelligente des menaces.

La gestion des jetons peut ajouter les libellés suivants aux requêtes Web.

Libellé de session client

L'étiquette awswaf:managed:token:id:identifier contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquette d'empreinte digitale du navigateur

L'étiquette awswaf:managed:token:fingerprint:fingerprint-identifier contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes

Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient.

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants :

  • awswaf:managed:token:— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton.

  • awswaf:managed:captcha:— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton.

Étiquettes d'état des jetons : noms des étiquettes

Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton :

  • accepted— Le jeton de demande est présent et contient les éléments suivants :

    • Un défi ou une solution CAPTCHA valide.

    • Un défi ou un horodatage CAPTCHA non expiré.

    • Spécification de domaine valide pour l'ACL Web.

    Exemple : L'étiquette awswaf:managed:token:accepted indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.

  • rejected— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation.

    Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison.

    • rejected:not_solved— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton.

    • rejected:expired— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre ACL Web.

    • rejected:domain_mismatch— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre ACL Web.

    • rejected:invalid— AWS WAF n'a pas pu lire le jeton indiqué.

    Exemple : awswaf:managed:captcha:rejected:expired ensemble, les awswaf:managed:captcha:rejected libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans l'ACL Web.

  • absent— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire.

    Exemple : L'étiquette awswaf:managed:captcha:absent indique que la demande ne contient pas le jeton.