Gestion du comportement d'un groupe de règles dans une liste ACL web - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion du comportement d'un groupe de règles dans une liste ACL web

Cette section décrit vos options pour modifier la façon dont vous utilisez un groupe de règles dans votre liste ACL web. Ces informations s'appliquent à tous les types de groupe de règles. Après avoir ajouté un groupe de règles à une ACL Web, vous pouvez remplacer les actions des règles individuelles du groupe de règles par tout autre paramètre Count d'action de règle valide. Vous pouvez également annuler l'action résultante du groupe de règlesCount, ce qui n'a aucun effet sur la manière dont les règles sont évaluées au sein du groupe de règles.

Pour de plus amples informations sur ces options, consultez Remplacer les actions du groupe de règles dans AWS WAF.

Remplacer les actions des règles dans un groupe de règles

Pour chaque groupe de règles d'une ACL Web, vous pouvez remplacer les actions de la règle contenue pour certaines ou toutes les règles.

Le cas d'utilisation le plus courant consiste à remplacer les actions des règles pour Count tester des règles nouvelles ou mises à jour. Si les métriques sont activées, vous recevez des métriques pour chaque règle que vous remplacez. Pour plus d’informations sur les tests, consultez Tester et régler votre AWS WAF protections.

Pour annuler les actions des règles dans un groupe de règles

Vous pouvez apporter ces modifications lorsque vous ajoutez un groupe de règles géré à l'ACL Web, et vous pouvez les appliquer à n'importe quel type de groupe de règles lorsque vous modifiez l'ACL Web. Ces instructions concernent un groupe de règles qui a déjà été ajouté à l'ACL Web. Consultez des informations supplémentaires sur cette option à l'adresseLes actions des règles du groupe de règles remplacent les actions.

  1. Modifiez l'ACL Web.

  2. Dans l'onglet Règles de la page Web ACL, sélectionnez le groupe de règles, puis choisissez Modifier.

  3. Dans la section Règles du groupe de règles, gérez les paramètres d'action selon vos besoins.

    • Toutes les règles : pour définir une action de dérogation pour toutes les règles du groupe de règles, ouvrez le menu déroulant Annuler toutes les actions de règles et sélectionnez l'action de dérogation. Pour supprimer les dérogations pour toutes les règles, sélectionnez Supprimer toutes les dérogations.

    • Règle unique : pour définir une action de dérogation pour une seule règle, ouvrez le menu déroulant de la règle et sélectionnez l'action de dérogation. Pour supprimer une dérogation pour une règle, ouvrez le menu déroulant de la règle et sélectionnez Supprimer la dérogation.

  4. Lorsque vous avez terminé d'apporter vos modifications, choisissez Enregistrer la règle. Les paramètres d'action de règle et d'action de remplacement sont répertoriés sur la page du groupe de règles.

L'exemple de liste JSON suivant montre une déclaration de groupe de règles dans une ACL Web qui remplace les actions des règles par Count pour les règles CategoryVerifiedSearchEngine etCategoryVerifiedSocialMedia. Dans le JSON, vous pouvez annuler toutes les actions des règles en fournissant une RuleActionOverrides entrée pour chaque règle individuelle.

{ "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSearchEngine" }, { "ActionToUse": { "Count": {} }, "Name": "CategoryVerifiedSocialMedia" } ], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } }

Remplacer le résultat de l'évaluation d'un groupe de règles par Count

Vous pouvez annuler l'action qui résulte de l'évaluation d'un groupe de règles, sans modifier la façon dont les règles du groupe de règles sont configurées ou évaluées. Cette option n'est pas couramment utilisée. Si l'une des règles du groupe de règles aboutit à une correspondance, cette dérogation définit l'action résultante du groupe de règles surCount.

Note

Il s'agit d'un cas d'utilisation peu courant. La plupart des remplacements d'actions sont effectués au niveau de la règle, au sein du groupe de règles, comme décrit dansRemplacer les actions des règles dans un groupe de règles.

Vous pouvez annuler l'action résultante du groupe de règles dans l'ACL Web lorsque vous ajoutez ou modifiez le groupe de règles. Dans la console, ouvrez le volet facultatif de l'action Remplacer le groupe de règles du groupe de règles et activez le remplacement. Dans le JSON défini OverrideAction dans l'instruction du groupe de règles, comme indiqué dans l'exemple de liste suivant :

{ "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet" } }, "OverrideAction": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } }