

**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF
<a name="web-acl-processing"></a>

Cette section explique comment les packs de protection (Web ACLs) et Web ACLs fonctionnent avec les règles et les groupes de règles.

La façon dont un pack de protection (ACL Web) gère une requête Web dépend des éléments suivants : 
+ Les paramètres de priorité numérique des règles du pack de protection (ACL Web) et des groupes de règles internes
+ Les paramètres d'action sur les règles et le pack de protection (ACL Web)
+ Toutes les dérogations que vous apportez aux règles des groupes de règles que vous ajoutez

Pour obtenir la liste des paramètres d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md). 

Vous pouvez personnaliser le traitement des demandes et des réponses dans les paramètres d'action de vos règles et dans les paramètres d'action du pack de protection par défaut (Web ACL). Pour plus d'informations, consultez [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

**Topics**
+ [Définition de la priorité des règles](web-acl-processing-order.md)
+ [Comment AWS WAF gère les actions des règles et des groupes de règles](web-acl-rule-actions.md)
+ [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md)

# Définition de la priorité des règles
<a name="web-acl-processing-order"></a>

Cette section explique comment AWS WAF utiliser les paramètres de priorité numériques pour définir l'ordre d'évaluation des règles.

Dans un pack de protection (ACL Web) et au sein de n'importe quel groupe de règles, vous déterminez l'ordre d'évaluation des règles à l'aide de paramètres de priorité numériques. Vous devez attribuer à chaque règle d'un pack de protection (ACL Web) un paramètre de priorité unique au sein de ce pack de protection (ACL Web), et vous devez attribuer à chaque règle d'un groupe de règles un paramètre de priorité unique au sein de ce groupe de règles. 

**Note**  
Lorsque vous gérez des groupes de règles, les packs de protection (Web ACLs) via la console vous AWS WAF attribuent des paramètres de priorité numériques uniques en fonction de l'ordre des règles dans la liste. AWS WAF assigne la priorité numérique la plus faible à la règle en haut de la liste et la priorité numérique la plus élevée à la règle en bas. 

Lorsqu'il AWS WAF évalue un groupe de règles, le pack de protection (ACL Web) par rapport à une requête Web, il évalue les règles à partir du paramètre de priorité numérique le plus bas jusqu'à ce qu'il trouve une correspondance mettant fin à l'évaluation ou épuisant toutes les règles.

Supposons, par exemple, que votre pack de protection (ACL Web) comporte les règles et groupes de règles suivants, classés par ordre de priorité comme indiqué ci-dessous :
+ Règle 1 — priorité 0
+ RuleGroupA — priorité 100
  + Règle A1 — priorité 10 000
  + Règle A2 — priorité 20 000
+ Règle 2 — priorité 200
+ RuleGroupB — priorité 300
  + Règle B1 — priorité 0
  + Règle B2 — priorité 1

AWS WAF évaluerait les règles de ce pack de protection (ACL Web) dans l'ordre suivant :
+ Règle 1
+ RuleGroupA. Règle A1
+ RuleGroupA. Règle A2
+ Règle 2
+ RuleGroupPar RuleB1
+ RuleGroupPar RuleB2

# Comment AWS WAF gère les actions des règles et des groupes de règles
<a name="web-acl-rule-actions"></a>

Cette section explique comment AWS WAF utiliser les règles et les groupes de règles pour gérer les actions.

Lorsque vous configurez vos règles et vos groupes de règles, vous choisissez la manière dont vous AWS WAF souhaitez gérer les requêtes Web correspondantes : 
+ **Allowet Block mettent fin à des actions**, Allow et les Block actions arrêtent tout autre traitement du pack de protection (ACL Web) sur la requête Web correspondante. Si une règle d'un pack de protection (ACL Web) trouve une correspondance pour une demande et que l'action de la règle est Allow ou Block que cette correspondance détermine la disposition finale de la demande Web pour le pack de protection (ACL Web). AWS WAF ne traite aucune autre règle du pack de protection (ACL Web) qui vient après celle correspondante. Cela est vrai pour les règles que vous ajoutez directement au pack de protection (ACL Web) et pour les règles qui se trouvent dans un groupe de règles ajouté. Avec cette Block action, la ressource protégée ne reçoit ni ne traite la demande Web.
+ **Countest une action sans fin :** lorsqu'une règle comportant une Count action correspond à une demande, AWS WAF compte la demande, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web). 
+ **CAPTCHAet il Challenge peut s'agir d'actions non résiliantes ou résilientes** : lorsqu'une règle comportant l'une de ces actions correspond à une demande, AWS WAF vérifie le statut de son jeton. Si la demande contient un jeton valide, AWS WAF traite la correspondance comme une Count correspondance, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web). Si la demande ne contient pas de jeton valide, AWS WAF met fin à l'évaluation et envoie au client un casse-tête CAPTCHA ou un défi de session client en arrière-plan silencieux à résoudre. 

Si l'évaluation des règles n'entraîne aucune action de résiliation, AWS WAF applique l'action par défaut du pack de protection (ACL Web) à la demande. Pour plus d'informations, consultez [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).

Dans votre pack de protection (ACL Web), vous pouvez remplacer les paramètres d'action des règles au sein d'un groupe de règles et vous pouvez annuler l'action renvoyée par un groupe de règles. Pour plus d'informations, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md). 

**Interaction entre les actions et les paramètres de priorité**  
Les actions qui AWS WAF s'appliquent à une requête Web sont affectées par les paramètres de priorité numérique des règles du pack de protection (ACL Web). Supposons, par exemple, que votre pack de protection (ACL Web) comporte une règle comportant une Allow action et une priorité numérique de 50 et une autre règle comportant une Count action et une priorité numérique de 100. AWS WAF évalue les règles d'un pack de protection (ACL Web) dans l'ordre de leur priorité, en commençant par le paramètre le plus bas, afin d'évaluer la règle d'autorisation avant la règle de décompte. Une requête Web qui correspond aux deux règles correspondra d'abord à la règle d'autorisation. Comme Allow il s'agit d'une action terminale, elle AWS WAF arrêtera l'évaluation à cette correspondance et n'évaluera pas la demande par rapport à la règle du décompte. 
+ Si vous souhaitez uniquement inclure les demandes qui ne correspondent pas à la règle d'autorisation dans les statistiques de vos règles de comptage, les paramètres de priorité des règles fonctionneront. 
+ D'autre part, si vous souhaitez que les mesures de comptage soient issues de la règle de comptage, même pour les demandes correspondant à la règle d'autorisation, vous devez attribuer à la règle de comptage un paramètre de priorité numérique inférieur à celui de la règle d'autorisation, afin qu'elle s'exécute en premier. 

Pour plus d'informations sur les paramètres de priorité, consultez[Définition de la priorité des règles](web-acl-processing-order.md). 

# Remplacer les actions du groupe de règles dans AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Cette section explique comment annuler les actions des groupes de règles.

Lorsque vous ajoutez un groupe de règles à votre pack de protection (ACL Web), vous pouvez annuler les actions qu'il effectue sur les requêtes Web correspondantes. Le fait de remplacer les actions d'un groupe de règles dans la configuration de votre pack de protection (ACL Web) ne modifie pas le groupe de règles lui-même. Cela modifie uniquement la manière dont le groupe de règles est AWS WAF utilisé dans le contexte du pack de protection (ACL Web). 

## Les actions des règles du groupe de règles remplacent les actions
<a name="web-acl-rule-group-override-options-rules"></a>

Vous pouvez remplacer les actions des règles au sein d'un groupe de règles par n'importe quelle action de règle valide. Dans ce cas, les demandes correspondantes sont traitées exactement comme si l'action de la règle configurée était le paramètre de remplacement. 

**Note**  
Les actions relatives aux règles peuvent être terminales ou non. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque. 

Voici les options d'action de la règle : 
+ **Allow**— AWS WAF permet à la demande d'être transmise à la AWS ressource protégée pour traitement et réponse. Il s'agit d'une action terminale. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— AWS WAF bloque la demande. Il s'agit d'une action terminale. Par défaut, votre AWS ressource protégée répond par un code d'`403 (Forbidden)`état HTTP. Dans les règles que vous définissez, vous pouvez personnaliser la réponse. En cas de AWS WAF blocage d'une demande, les paramètres Block d'action déterminent la réponse que la ressource protégée renvoie au client. 
+ **Count**— AWS WAF compte la demande mais ne détermine pas s'il faut l'autoriser ou la bloquer. Il s'agit d'une action sans fin. AWS WAF poursuit le traitement des règles restantes du pack de protection (ACL Web). Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande et ajouter des libellés auxquels d'autres règles peuvent correspondre.
+ **CAPTCHAet Challenge** — AWS WAF utilise des puzzles CAPTCHA et des défis silencieux pour vérifier que la demande ne provient pas d'un bot, et AWS WAF utilise des jetons pour suivre les récentes réponses positives des clients. 

  Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

  Ces actions de règles peuvent être terminales ou non, selon l'état du jeton dans la demande : 
  + **Non résiliable pour un jeton valide et non expiré : si le jeton** est valide et non expiré conformément au CAPTCHA configuré ou à la durée d'immunité au défi, AWS WAF gère la demande de la même manière que l'action. Count AWS WAF continue d'inspecter la requête Web en fonction des règles restantes du pack de protection (ACL Web). Comme pour la Count configuration, dans les règles que vous définissez, vous pouvez éventuellement configurer ces actions avec des en-têtes personnalisés à insérer dans la demande, et vous pouvez ajouter des étiquettes auxquelles d'autres règles peuvent correspondre. 
  + **Terminer par une demande bloquée pour un jeton non valide ou expiré** — Si le jeton n'est pas valide ou si l'horodatage indiqué est expiré, AWS WAF met fin à l'inspection de la requête Web et bloque la demande, comme dans le cas de l'action. Block AWS WAF répond ensuite au client avec un code de réponse personnalisé. En CAPTCHA effet, si le contenu de la demande indique que le navigateur client peut la gérer, AWS WAF envoie un casse-tête CAPTCHA dans un JavaScript interstitiel, conçu pour distinguer les clients humains des robots. Pour l'Challengeaction, AWS WAF envoie un JavaScript interstitiel avec un défi silencieux conçu pour distinguer les navigateurs normaux des sessions exécutées par des robots. 

  Pour plus d’informations, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).

Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Remplacer l'action de la règle par Count
<a name="web-acl-rule-group-override-to-count"></a>

Le cas d'utilisation le plus courant des dérogations aux actions des règles est le remplacement de certaines ou de toutes les actions des règles afin Count de tester et de surveiller le comportement d'un groupe de règles avant de le mettre en production. 

Vous pouvez également l'utiliser pour résoudre les problèmes liés à un groupe de règles qui génère des faux positifs. Les faux positifs se produisent lorsqu'un groupe de règles bloque le trafic que vous ne vous attendez pas à ce qu'il bloque. Si vous identifiez une règle au sein d'un groupe de règles susceptible de bloquer les demandes que vous souhaitez autoriser, vous pouvez maintenir le nombre d'actions annulées sur cette règle, afin de l'empêcher de donner suite à vos demandes.

Pour plus d'informations sur l'utilisation du remplacement des actions des règles dans le cadre des tests, consultez[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

### Liste JSON : `RuleActionOverrides` remplace `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Si vous avez défini les actions des règles de groupe de règles sur Count dans la configuration de votre pack de protection (ACL Web) avant le 27 octobre 2022, vous AWS WAF avez enregistré vos dérogations dans le code JSON du pack de protection (ACL Web) sous `ExcludedRules` le nom de. Désormais, le paramètre JSON permettant de remplacer une règle se Count trouve dans les `RuleActionOverrides` paramètres. 

Nous vous recommandons de mettre à jour tous les `ExcludedRules` paramètres de vos listes JSON vers des `RuleActionOverrides` paramètres dont l'action est définie surCount. L'API accepte l'un ou l'autre paramètre, mais vous obtiendrez une cohérence dans vos listes JSON, entre votre travail sur console et votre travail sur API, si vous utilisez uniquement le nouveau `RuleActionOverrides` paramètre. 

**Note**  
Dans la AWS WAF console, l'onglet **Demandes échantillonnées** du pack de protection (ACL Web) n'affiche aucun exemple de règles utilisant l'ancien paramètre. Pour de plus amples informations, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

Lorsque vous utilisez la AWS WAF console pour modifier les paramètres du groupe de règles existant, la console convertit automatiquement tous `ExcludedRules` les paramètres du JSON en `RuleActionOverrides` paramètres, l'action de remplacement étant définie sur. Count 
+ Exemple de réglage actuel : 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Ancien exemple de réglage : 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## L'action de retour du groupe de règles est remplacée par Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Vous pouvez annuler l'action renvoyée par le groupe de règles en lui attribuant la valeur. Count 

**Note**  
Il ne s'agit pas d'une bonne option pour tester les règles d'un groupe de règles, car elle ne modifie pas la façon dont le groupe AWS WAF de règles est évalué lui-même. Cela n'affecte que le mode AWS WAF de gestion des résultats renvoyés au pack de protection (ACL Web) à la suite de l'évaluation du groupe de règles. Si vous souhaitez tester les règles dans un groupe de règles, utilisez l'option décrite dans la section précédente,[Les actions des règles du groupe de règles remplacent les actions](#web-acl-rule-group-override-options-rules).

Lorsque vous remplacez l'action du groupe de règles parCount, AWS WAF traite l'évaluation du groupe de règles normalement. 

Si aucune règle du groupe de règles ne correspond ou si toutes les règles correspondantes comportent une Count action, cette dérogation n'a aucun effet sur le traitement du groupe de règles ou du pack de protection (ACL Web).

La première règle du groupe de règles qui correspond à une requête Web et qui comporte une action de fin de règle entraîne AWS WAF l'arrêt de l'évaluation du groupe de règles et renvoie le résultat de l'action de fin au niveau d'évaluation du pack de protection (ACL Web). À ce stade, lors de l'évaluation du pack de protection (ACL Web), cette dérogation prend effet. AWS WAF remplace l'action finale afin que le résultat de l'évaluation du groupe de règles ne soit qu'une Count action. AWS WAF poursuit ensuite le traitement du reste des règles du pack de protection (ACL Web).

Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer le résultat de l'évaluation d'un groupe de règles par Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).