**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de la protection dans AWS WAF
Cette page explique ce que sont les packs de protection (Web ACLs) et comment ils fonctionnent.
Un pack de protection (ACL Web) vous permet de contrôler avec précision toutes les requêtes Web HTTP (S) auxquelles répond votre ressource protégée. Vous pouvez protéger les ressources Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon AWS et Verified Access.
Vous pouvez utiliser des critères tels que les suivants pour autoriser ou bloquer les demandes :
+ Origine de l'adresse IP de la demande
+ Pays d'origine de la demande
+ Correspondance de chaîne ou expression régulière (regex) dans une partie de la demande
+ Taille d'une partie particulière de la demande
+ Détection de code SQL ou scripts malveillants
Vous pouvez également tester n'importe quelle combinaison de ces conditions. Vous pouvez bloquer ou compter les requêtes Web qui non seulement répondent aux conditions spécifiées, mais qui dépassent également un certain nombre de demandes en une minute. Vous pouvez combiner des conditions à l'aide d'opérateurs logiques. Vous pouvez également exécuter des puzzles CAPTCHA et des défis de session client silencieux en réponse à des demandes.
Vous indiquez vos critères de correspondance et les mesures à prendre en cas de correspondance dans les déclarations de AWS WAF règles. Vous pouvez définir des instructions de règles directement dans votre pack de protection (ACL Web) et dans les groupes de règles réutilisables que vous utilisez dans votre pack de protection (ACL Web). Pour une liste complète des options, reportez-vous aux sections [Utilisation d'instructions de règle dans AWS WAF](waf-rule-statements.md) et[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).
Lorsque vous créez un pack de protection (ACL Web), vous spécifiez les types de ressources avec lesquels vous souhaitez l'utiliser. Pour plus d'informations, consultez [Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md). Après avoir défini un pack de protection (ACL Web), vous pouvez l'associer à vos ressources pour commencer à les protéger. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).
**Note**
Dans certains cas, une erreur interne AWS WAF peut retarder la réponse aux AWS ressources associées quant à l'autorisation ou au blocage d'une demande. Dans ces cas, il autorise CloudFront généralement la demande ou diffuse le contenu, tandis que les services régionaux refusent généralement la demande et ne diffusent pas le contenu.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Incohérences temporaires lors des mises à jour**
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes.
Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications :
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible.
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Après avoir modifié un paramètre d'action d'une règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres.
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.
**Topics**
+ [Création d'un pack de protection (ACL Web) dans AWS WAF](web-acl-creating.md)
+ [Modification d'un pack de protection (ACL Web) dans AWS WAF](web-acl-editing.md)
+ [Gestion du comportement des groupes de règles](web-acl-rule-group-settings.md)
+ [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md)
+ [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md)
+ [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md)
+ [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [Configuration du CAPTCHA, du défi et des jetons dans AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md)
+ [Supprimer un pack de protection (ACL Web)](web-acl-deleting.md)
# Création d'un pack de protection (ACL Web) dans AWS WAF
------
#### [ Using the new console ]
Cette section décrit les procédures de création de packs de protection (Web ACLs) via la nouvelle AWS console.
Pour créer un nouveau pack de protection (ACL Web), utilisez l'assistant de création du pack de protection (ACL Web) en suivant la procédure décrite sur cette page.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
1. Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro)
1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.
1. Sur la page **Ressources et packs de protection (Web ACLs)**, choisissez **Ajouter un pack de protection (ACL Web)**.
1. Sous **Parlez-nous de votre application**, dans **Catégorie d'applications**, sélectionnez une ou plusieurs catégories d'applications.
1. Pour **Source de trafic**, choisissez le type de trafic avec lequel l'application interagit : **API**, **Web** ou **API et Web à la fois**.
1. Sous **Ressources à protéger,** choisissez **Ajouter des ressources**.
1. Choisissez la catégorie de AWS ressource que vous souhaitez associer à ce pack de protection (ACL Web), qu'il s'agisse de CloudFront distributions Amazon ou de ressources régionales. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).
1. Sous **Choisir les protections initiales,** sélectionnez votre niveau de protection préféré : **recommandé**, **essentiel** ou **vous le créez**.
1. (Facultatif) Si vous choisissez **Vous le créez**, établissez vos règles.
1. (Facultatif) Si vous souhaitez ajouter votre propre règle, sur la page **Ajouter des règles**, sélectionnez **Règle personnalisée**, puis **Suivant**.
1. Choisissez le type de règle.
1. Dans **Action**, sélectionnez l'action que la règle doit effectuer lorsqu'elle correspond à une demande web. Pour de plus amples informations sur vos choix, veuillez consulter [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md) et [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).
Si vous utilisez l'**Challenge**action **CAPTCHA**ou, ajustez la configuration du **temps d'immunité** en fonction des besoins de la règle. Si vous ne spécifiez pas le paramètre, la règle hérite du pack de protection (ACL Web). Pour modifier les paramètres de durée d'immunité du pack de protection (ACL Web), modifiez le pack de protection (ACL Web) après l'avoir créé. Pour plus d'informations sur les durées d'immunité, consultez[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
**Note**
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
Si vous souhaitez personnaliser la demande ou la réponse, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
Si vous souhaitez que votre règle ajoute des étiquettes aux requêtes Web correspondantes, choisissez les options correspondantes et renseignez les détails de votre étiquette. Pour de plus amples informations, veuillez consulter [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).
1. Dans la zone **Nom**, entrez le nom que vous souhaitez utiliser pour identifier cette règle. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services.
1. Entrez la définition de votre règle, en fonction de vos besoins. Vous pouvez combiner des règles dans des instructions logiques `AND` et des instructions de `OR` règles. L'Assistant vous guide à travers les options de chaque règle, en fonction du contexte. Pour de plus amples informations sur les options de vos règles, reportez-vous à la section [AWS WAF règles](waf-rules.md).
1. Choisissez **Créer une règle**.
**Note**
Si vous ajoutez plusieurs règles à un pack de protection (ACL Web), AWS WAF évalue les règles dans l'ordre dans lequel elles sont répertoriées pour le pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).
1. (Facultatif) Si vous souhaitez ajouter des groupes de règles gérés, sur la page **Ajouter des règles**, choisissez **AWS-managed rule group** ou **AWS Marketplace rule group**, puis choisissez **Next**. Pour chaque groupe de règles gérées que vous souhaitez ajouter, procédez comme suit :
1. Sur la page **Ajouter des règles**, développez la liste pour les groupes de règles AWS gérés ou pour le AWS Marketplace vendeur.
1. Choisissez la version du groupe de règles.
1. Pour personnaliser la façon dont votre pack de protection (ACL Web) utilise le groupe de règles, choisissez **Modifier**. Les paramètres de personnalisation courants sont les suivants :
+ **Réduisez la portée des requêtes Web inspectées par le groupe de règles en ajoutant une instruction scope-down dans la section Inspection.** Pour de plus amples informations sur cette option, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
+ Remplacez les actions des règles pour certaines ou toutes les règles dans **Rule overrides**. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour de plus amples informations sur cette option, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).
+ Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez[AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md).
1. Choisissez **Suivant**.
1. (Facultatif) Si vous souhaitez ajouter votre propre groupe de règles, sur la page **Ajouter des règles**, choisissez **Groupe de règles personnalisé**, puis **Suivant**. Pour chaque groupe de règles que vous souhaitez ajouter, procédez comme suit :
1. Dans **Nom**, entrez le nom que vous souhaitez utiliser pour la règle du groupe de règles dans ce pack de protection (ACL Web). N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md).
1. Choisissez votre groupe de règles dans la liste.
1. (Facultatif) Sous **Configuration des règles**, choisissez une **dérogation aux règles**. Vous pouvez remplacer les actions des règles par n'importe quel paramètre d'action valide, comme vous pouvez le faire pour les groupes de règles gérés.
1. (Facultatif) Sous **Ajouter des étiquettes**, choisissez **Ajouter une étiquette**, puis entrez les étiquettes que vous souhaitez ajouter aux demandes conformes à la règle. Les règles qui sont évaluées ultérieurement dans le même pack de protection (ACL Web) peuvent faire référence aux étiquettes ajoutées par cette règle.
1. Choisissez **Créer une règle**.
1. Sous **Nom et description**, entrez le nom de votre pack de protection (ACL Web). Entrez éventuellement une description.
**Note**
Vous ne pouvez pas modifier le nom après avoir créé le pack de protection (ACL Web).
1. (Facultatif) Sous **Personnaliser le pack de protection (ACL Web)**, configurez les actions de règles par défaut, les configurations et la destination de journalisation :
1. (Facultatif) Sous **Actions de règle par défaut**, choisissez l'action par défaut pour le pack de protection (ACL Web). Il s'agit de l'action qui AWS WAF exécute une demande lorsque les règles du pack de protection (ACL Web) n'effectuent aucune action explicite. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
1. (Facultatif) Sous Configuration des règles, personnalisez les paramètres des règles du pack de protection (ACL Web) :
+ **Limites de débit par défaut** : définissez des limites de débit pour bloquer les attaques par déni de service (DoS) susceptibles d'affecter la disponibilité, de compromettre la sécurité ou de consommer des ressources excessives. Cette règle bloque les demandes par adresse IP qui dépassent le débit autorisé pour votre application. Pour de plus amples informations, consultez [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).
+ **Adresses IP** - Entrez les adresses IP à bloquer ou à autoriser. Ce paramètre remplace les autres règles.
+ **Origines spécifiques au pays** : bloquez les demandes provenant de pays spécifiques ou comptez tout le trafic.
1. Pour **Destination de journalisation**, configurez le type de destination de journalisation et l'emplacement de stockage des journaux. Pour de plus amples informations, veuillez consulter [AWS WAF destinations de journalisation](logging-destinations.md).
1. Vérifiez vos paramètres et choisissez **Ajouter un pack de protection (ACL Web)**.
------
#### [ Using the standard console ]
Cette section décrit les procédures de création de sites Web ACLs via la AWS console.
Pour créer une nouvelle ACL Web, utilisez l'assistant de création d'une ACL Web en suivant la procédure décrite sur cette page.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Pour créer une liste ACL web**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Choisissez **Web ACLs** dans le volet de navigation, puis choisissez **Create Web ACL**.
1. Dans **Nom (Nom)**, entrez le nom que vous souhaitez utiliser pour identifier cette liste ACL web.
**Note**
Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.
1. (Facultatif) Pour **Description - facultatif**, entrez une description plus longue pour la liste ACL web si vous le souhaitez.
1. Pour **CloudWatch metric name**, modifiez le nom par défaut le cas échéant. Suivez les instructions sur la console pour connaître les caractères valides. Le nom ne peut pas contenir de caractères spéciaux, d'espaces blancs ou de noms de métriques réservés AWS WAF, notamment « All » et « Default\$1Action ».
**Note**
Vous ne pouvez pas modifier le nom de la CloudWatch métrique après avoir créé l'ACL Web.
1. Sous **Type de ressource**, choisissez la catégorie de AWS ressource que vous souhaitez associer à cette ACL Web, soit les CloudFront distributions Amazon, soit les ressources régionales. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).
1. Pour **Région**, si vous avez choisi un type de ressource régional, choisissez la région dans laquelle vous AWS WAF souhaitez stocker l'ACL Web.
Vous devez uniquement choisir cette option pour les types de ressources régionaux. Pour les CloudFront distributions, la région est codée en dur pour la région de l'est des États-Unis (Virginie du Nord)`us-east-1`, pour les applications Global (CloudFront).
1. (CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access) Pour la **limite de taille d'inspection des demandes Web, facultatif**, si vous souhaitez spécifier une autre limite de taille d'inspection corporelle, sélectionnez la limite. L'inspection d'une taille corporelle supérieure à 16 Ko par défaut peut entraîner des coûts supplémentaires. Pour de plus amples informations sur cette option, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).
1. (Facultatif) Pour les ** AWS ressources associées : facultatif**. Si vous souhaitez spécifier vos ressources maintenant, choisissez **Ajouter AWS des ressources**. Dans la boîte de dialogue, choisissez les ressources que vous souhaitez associer, puis cliquez sur **Ajouter**. AWS WAF vous renvoie à la page **Describe Web ACL et aux AWS ressources associées**.
**Note**
Lorsque vous choisissez d'associer un Application Load Balancer à votre ACL Web, la protection ** DDoS au niveau des ressources** est activée. Pour de plus amples informations, veuillez consulter [AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).
1. Choisissez **Suivant**.
1. (Facultatif) Si vous souhaitez ajouter des groupes de règles gérées, dans la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, puis **Ajouter des groupes de règles gérées**. Pour chaque groupe de règles gérées que vous souhaitez ajouter, procédez comme suit :
1. Sur la page **Ajouter des groupes de règles gérés**, développez la liste des groupes de règles AWS gérés ou du AWS Marketplace vendeur de votre choix.
1. Pour le groupe de règles que vous souhaitez ajouter, dans la colonne **Action**, activez le bouton **Ajouter à l'ACL Web**.
Pour personnaliser la façon dont votre ACL Web utilise le groupe de règles, choisissez **Modifier**. Les paramètres de personnalisation courants sont les suivants :
+ Remplacez les actions des règles pour certaines ou toutes les règles. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour de plus amples informations sur cette option, veuillez consulter [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).
+ Réduisez la portée des requêtes Web inspectées par le groupe de règles en ajoutant une instruction scope-down. Pour de plus amples informations sur cette option, veuillez consulter [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md).
+ Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez[AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md).
Lorsque vous avez terminé de définir vos paramètres, choisissez **Enregistrer la règle**.
Choisissez **Ajouter des règles** pour terminer l'ajout de règles gérées et revenir à la page **Ajouter des règles et des groupes de règles**.
**Note**
Si vous ajoutez plusieurs règles à une ACL Web, AWS WAF évalue les règles dans l'ordre dans lequel elles sont répertoriées pour l'ACL Web. Pour de plus amples informations, veuillez consulter [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).
1. (Facultatif) Si vous souhaitez ajouter votre propre groupe de règles, sur la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, puis **Ajouter mes propres règles et groupes de règles**. Pour chaque groupe de règles que vous souhaitez ajouter, procédez comme suit :
1. Sur la page **Ajouter mes propres règles et groupes de règles** choisissez **Groupe de règles**.
1. Dans **Nom**, entrez le nom que vous souhaitez utiliser pour la règle de groupe de règles dans cette ACL Web. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services. Consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md).
1. Choisissez votre groupe de règles dans la liste.
**Note**
Si vous souhaitez annuler les actions des règles pour un groupe de règles qui vous est propre, enregistrez-le d'abord dans l'ACL Web, puis modifiez l'ACL Web et la déclaration de référence du groupe de règles dans la liste des règles de l'ACL Web. Vous pouvez remplacer les actions des règles par n'importe quel paramètre d'action valide, comme vous pouvez le faire pour les groupes de règles gérés.
1. Choisissez **Ajouter une règle**.
1. (Facultatif) Si vous souhaitez ajouter votre propre règle, sur la page **Ajouter des règles et des groupes de règles**, choisissez **Ajouter des règles**, **Ajouter mes propres règles et groupes de règles**, **Générateur de règles**, puis **Éditeur visuel de règles**.
**Note**
L'**éditeur visuel de règles** de la console prend en charge un niveau d'imbrication. Par exemple, vous pouvez utiliser une seule instruction logique `AND` ou une seule `OR` instruction et y imbriquer un niveau d'autres instructions, mais vous ne pouvez pas imbriquer des instructions logiques dans des instructions logiques. Pour gérer des instructions de règle plus complexes, utilisez l'**éditeur JSON de règles**. Pour de plus amples informations sur toutes les options des règles, reportez-vous à la section [AWS WAF règles](waf-rules.md).
Cette procédure couvre l'**éditeur visuel de règles**.
1. Dans la zone **Nom**, entrez le nom que vous souhaitez utiliser pour identifier cette règle. N'utilisez pas de noms commençant par `AWS``Shield`,`PreFM`, ou`PostFM`. Ces chaînes sont réservées ou peuvent prêter à confusion avec les groupes de règles gérés pour vous par d'autres services.
1. Entrez la définition de votre règle, en fonction de vos besoins. Vous pouvez combiner des règles dans des instructions logiques `AND` et des instructions de `OR` règles. L'Assistant vous guide à travers les options de chaque règle, en fonction du contexte. Pour de plus amples informations sur les options de vos règles, reportez-vous à la section [AWS WAF règles](waf-rules.md).
1. Dans **Action**, sélectionnez l'action que la règle doit effectuer lorsqu'elle correspond à une demande web. Pour de plus amples informations sur vos choix, veuillez consulter [Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md) et [Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF](web-acl-processing.md).
Si vous utilisez l'**Challenge**action **CAPTCHA**ou, ajustez la configuration du **temps d'immunité** en fonction des besoins de la règle. Si vous ne spécifiez pas le paramètre, la règle hérite de l'ACL Web. Pour modifier les paramètres de durée d'immunité de l'ACL Web, modifiez l'ACL Web après l'avoir créée. Pour plus d'informations sur les durées d'immunité, consultez[Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
**Note**
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
Si vous souhaitez personnaliser la demande ou la réponse, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
Si vous souhaitez que votre règle ajoute des étiquettes aux requêtes Web correspondantes, choisissez les options correspondantes et renseignez les détails de votre étiquette. Pour de plus amples informations, veuillez consulter [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).
1. Choisissez **Ajouter une règle**.
1. Choisissez l'action par défaut pour l'ACL Web, Block soitAllow. Il s'agit de l'action qui AWS WAF exécute une demande lorsque les règles de l'ACL Web ne l'autorisent ou ne la bloquent pas explicitement. Pour de plus amples informations, veuillez consulter [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).
Si vous souhaitez personnaliser l'action par défaut, choisissez les options correspondantes et renseignez les détails de votre personnalisation. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
1. Vous pouvez définir une **liste de domaines de jetons** pour permettre le partage de jetons entre les applications protégées. Les jetons sont utilisés par les Challenge actions CAPTCHA et par l'intégration des applications SDKs que vous implémentez lorsque vous utilisez les groupes de règles AWS gérées pour la création de comptes AWS WAF Fraud Control, la prévention des fraudes (ACFP), la prévention du rachat de comptes AWS WAF Fraud Control (ATP) et le contrôle des AWS WAF bots.
Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser `gov.au` ou en `co.uk` tant que domaine de jetons.
Par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource protégée. Si vous ajoutez des domaines de jetons dans cette liste, AWS WAF les jetons sont acceptés pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).
1. Choisissez **Suivant**.
1. Sur la page **Définir la priorité des règles**, sélectionnez et déplacez vos règles et groupes de règles dans l'ordre dans lequel vous AWS WAF souhaitez les traiter. AWS WAF traite les règles en commençant par le haut de la liste. Lorsque vous enregistrez, l'ACL Web AWS WAF attribue des paramètres de priorité numériques aux règles, dans l'ordre dans lequel vous les avez listés. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md).
1. Choisissez **Suivant**.
1. Sur la page **Configurer les métriques**, passez en revue les options et appliquez les mises à jour dont vous avez besoin. Vous pouvez combiner des métriques provenant de plusieurs sources en leur attribuant le même **nom de CloudWatch métrique**.
1. Choisissez **Suivant**.
1. Dans la page **Réviser et créer une liste ACL web**, vérifiez vos définitions. Si vous souhaitez modifier une zone, choisissez **Modifier** pour la zone. Vous êtes alors renvoyé à la page de l'Assistant ACL web. Effectuez les modifications, puis choisissez **Suivant** dans les pages jusqu'à ce que vous reveniez à la page **Réviser et créer une liste ACL web**.
1. Sélectionnez **Create web ACL**. Votre nouvelle ACL Web est répertoriée **sur la ACLs page Web**.
------
# Modification d'un pack de protection (ACL Web) dans AWS WAF
------
#### [ Using the new console ]
Cette section décrit les procédures permettant de modifier les packs de protection (Web ACLs) via la AWS console.
Pour ajouter ou supprimer des règles dans un pack de protection (ACL Web) ou modifier les paramètres de configuration, accédez au pack de protection (ACL Web) en suivant la procédure décrite sur cette page. Lors de la mise à jour d'un pack de protection (ACL Web), AWS WAF fournit une couverture continue aux ressources que vous avez associées au pack de protection (ACL Web).
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre pack de protection (ACL Web) pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Pour modifier un pack de protection (ACL Web)**
1. Connectez-vous à la nouvelle version AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro)
1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.
1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un volet latéral contenant des informations que vous pouvez modifier.
1. Modifiez le pack de protection (ACL Web) selon vos besoins.
La liste suivante répertorie les composants de configuration du pack de protection modifiable (ACL Web).
Cette section décrit les procédures permettant de modifier le Web ACLs via la AWS console.
Pour ajouter ou supprimer des règles dans une ACL Web ou modifier les paramètres de configuration, accédez à l'ACL Web en suivant la procédure décrite sur cette page. Lors de la mise à jour d'une ACL Web, AWS WAF fournit une couverture continue aux ressources que vous avez associées à l'ACL Web.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Incohérences temporaires lors des mises à jour**
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes.
Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications :
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible.
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres.
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.
------
#### [ Using the standard console ]
Cette section décrit les procédures permettant de modifier le Web ACLs via la AWS console.
Pour ajouter ou supprimer des règles dans une ACL Web ou modifier les paramètres de configuration, accédez à l'ACL Web en suivant la procédure décrite sur cette page. Lors de la mise à jour d'une ACL Web, AWS WAF fournit une couverture continue aux ressources que vous avez associées à l'ACL Web.
**Risque lié au trafic de production**
Avant de déployer des modifications dans votre ACL Web pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
**Note**
L'utilisation de plus de 1 500 unités WCUs dans un pack de protection (ACL Web) entraîne des coûts supérieurs au prix du pack de protection de base (ACL Web). Pour plus d'informations, veuillez consulter les sections [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md) et [Tarification d'AWS WAF](https://aws.amazon.com/waf/pricing/).
**Pour modifier une liste ACL web**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Dans le volet de navigation, sélectionnez **Web ACLs**.
1. Choisissez le nom de la liste ACL web que vous voulez modifier. La console vous amène à la description de l'ACL Web.
1. Modifiez l'ACL Web selon vos besoins. Sélectionnez les onglets correspondant aux zones de configuration qui vous intéressent et modifiez les paramètres modifiables. Pour chaque paramètre que vous modifiez, lorsque vous choisissez **Enregistrer** et que vous revenez à la page de description de l'ACL Web, la console enregistre vos modifications dans l'ACL Web.
Vous trouverez ci-dessous la liste des onglets contenant les composants de configuration de l'ACL Web.
+ **Onglet** Règles
+ **Règles définies dans l'ACL Web** — Vous pouvez modifier et gérer les règles que vous avez définies dans l'ACL Web, de la même manière que vous l'avez fait lors de la création de l'ACL Web.
**Note**
Ne modifiez pas le nom des règles que vous n'avez pas ajoutées manuellement à votre ACL Web. Si vous utilisez d'autres services pour gérer les règles à votre place, le fait de changer leur nom pourrait supprimer ou diminuer leur capacité à fournir les protections prévues. AWS Shield Advanced et AWS Firewall Manager les deux peuvent créer des règles dans votre ACL Web. Pour plus d'informations, consultez [Reconnaissance des groupes de règles fournis par d'autres services](waf-service-owned-rule-groups.md).
**Note**
Si vous modifiez le nom d'une règle et que vous souhaitez que le nom de la métrique de la règle reflète le changement, vous devez également mettre à jour le nom de la métrique. AWS WAF ne met pas automatiquement à jour le nom de la métrique d'une règle lorsque vous modifiez le nom de la règle. Vous pouvez modifier le nom de la métrique lorsque vous modifiez la règle dans la console, à l'aide de l'éditeur JSON de règles. Vous pouvez également modifier les deux noms via APIs et dans toute liste JSON que vous utilisez pour définir votre pack de protection (ACL Web) ou votre groupe de règles.
Pour plus d'informations sur les règles et les paramètres des groupes de règles, reportez-vous [AWS WAF règles](waf-rules.md) aux sections et[AWS WAF groupes de règles](waf-rule-groups.md).
+ **unités de capacité de la règle ACL Web utilisées** : utilisation actuelle de la capacité de votre ACL Web. Il s'agit d'une vue uniquement.
+ **Action ACL Web par défaut pour les demandes qui ne correspondent à aucune règle** — Pour plus d'informations sur ce paramètre, consultez[Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).
+ **Configurations de CAPTCHA et de défi ACL Web** : ces durées d'immunité déterminent la durée de validité d'un CAPTCHA ou d'un jeton de défi après son acquisition. Vous ne pouvez modifier ce paramètre ici qu'après avoir créé l'ACL Web. Pour plus d'informations sur ces paramètres, consultez [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
+ **Liste de domaines de jetons** : AWS WAF accepte les jetons pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).
+ ** AWS Onglet Ressources associées**
+ **Limite de taille d'inspection des requêtes Web** : incluse uniquement pour les sites Web ACLs qui protègent les CloudFront distributions. La limite de taille limite pour l'inspection de la carrosserie détermine la quantité de composant de carrosserie à AWS WAF envoyer pour inspection. Pour en savoir plus sur ce paramètre, consultez [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).
+ ** AWS Ressources associées** : liste des ressources auxquelles l'ACL Web est actuellement associée et qu'elle protège. Vous pouvez localiser des ressources situées dans la même région que l'ACL Web et les associer à l'ACL Web. Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).
+ Onglet **corps de réponse personnalisés**
+ Corps de réponse personnalisés pouvant être utilisés par vos règles ACL Web dont l'action est définie surBlock. Pour de plus amples informations, veuillez consulter [Envoi de réponses personnalisées pour les Block actions](customizing-the-response-for-blocked-requests.md).
+ **Onglet Journalisation et statistiques**
+ **Journalisation** : journalisation du trafic évalué par l'ACL Web. Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).
+ **Intégration à Security Lake** : état de toute collecte de données que vous avez configurée pour l'ACL Web dans Amazon Security Lake. Pour plus d'informations, consultez la section [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) dans le *guide de l'utilisateur d'Amazon Security Lake*.
+ **Exemples de demandes** : informations sur les règles qui correspondent aux requêtes Web. Pour plus d'informations sur l'affichage des exemples de demandes, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md).
+ **Paramètres de protection des données** — Vous pouvez configurer la rédaction et le filtrage des données de trafic Web pour toutes les données disponibles pour l'ACL Web et uniquement pour les données AWS WAF envoyées à la destination de journalisation de l'ACL Web configurée. Pour plus d'informations sur la protection des données, consultez[Protection des données et journalisation pour le trafic du pack de AWS WAF protection (ACL Web)](waf-data-protection-and-logging.md).
+ **CloudWatch métriques** — Mesures relatives aux règles de votre ACL Web. Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md).
**Incohérences temporaires lors des mises à jour**
Lorsque vous créez ou modifiez un pack de protection (ACL Web) ou d'autres AWS WAF ressources, les modifications mettent peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes.
Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications :
+ Après avoir créé un pack de protection (ACL Web), si vous essayez de l'associer à une ressource, vous pouvez obtenir une exception indiquant que le pack de protection (ACL Web) n'est pas disponible.
+ Une fois que vous avez ajouté un groupe de règles à un pack de protection (ACL Web), les nouvelles règles du groupe de règles peuvent être en vigueur dans une zone où le pack de protection (ACL Web) est utilisé et pas dans une autre.
+ Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres.
+ Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.
------
# Gestion du comportement des groupes de règles
Cette section décrit les options qui s'offrent à vous pour modifier la façon dont vous utilisez un groupe de règles dans votre pack de protection (ACL Web). Ces informations s'appliquent à tous les types de groupe de règles. Après avoir ajouté un groupe de règles à un pack de protection (ACL Web), vous pouvez remplacer les actions des règles individuelles du groupe de règles par tout autre paramètre Count d'action de règle valide. Vous pouvez également annuler l'action résultante du groupe de règlesCount, ce qui n'a aucun effet sur la manière dont les règles sont évaluées au sein du groupe de règles.
Pour de plus amples informations sur ces options, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).
## Remplacer les actions des règles dans un groupe de règles
Pour chaque groupe de règles d'un pack de protection (ACL Web), vous pouvez remplacer les actions de la règle contenue pour certaines ou toutes les règles.
Le cas d'utilisation le plus courant consiste à remplacer les actions des règles pour tester de Count nouvelles règles ou des règles mises à jour. Si les métriques sont activées, vous recevez des métriques pour chaque règle que vous remplacez. Pour plus d’informations sur les tests, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
Vous pouvez apporter ces modifications lorsque vous ajoutez un groupe de règles géré au pack de protection (ACL Web), et vous pouvez les appliquer à n'importe quel type de groupe de règles lorsque vous modifiez le pack de protection (ACL Web). Ces instructions concernent un groupe de règles qui a déjà été ajouté au pack de protection (ACL Web). Consultez des informations supplémentaires sur cette option à l'adresse[Les actions des règles du groupe de règles remplacent les actions](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
------
#### [ Using the new console ]
**Pour annuler les actions des règles dans un groupe de règles**
1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.
1. Dans la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Règles** pour ouvrir le panneau **Gérer les règles**.
1. Dans la section **Gérer les règles** du groupe de règles, choisissez la règle gérée pour ouvrir ses paramètres d'action.
+ **Remplacer le groupe de règles** : fait passer l'action du groupe de règles en mode Compte, mais toutes les actions de règles individuelles restent inchangées.
+ **Annuler toutes les actions de règle** : applique une action de règle à toutes les règles, en remplaçant leur état actuel.
+ Dérogation **d'une règle unique** : applique une action de règle à une règle individuelle.
1. Lorsque vous avez terminé d'apporter vos modifications, choisissez **Enregistrer la règle**.
------
#### [ Using the standard console ]
**Pour annuler les actions des règles dans un groupe de règles**
1. Modifiez l'ACL Web.
1. Dans l'onglet **Règles** de la page Web ACL, sélectionnez le groupe de règles, puis choisissez **Modifier**.
1. Dans la section **Règles** du groupe de règles, gérez les paramètres d'action selon vos besoins.
+ **Toutes les règles** : pour définir une action de dérogation pour toutes les règles du groupe de règles, ouvrez le menu déroulant Annuler **toutes les actions de règles et sélectionnez l'action de dérogation**. Pour supprimer les dérogations pour toutes les règles, sélectionnez **Supprimer toutes les dérogations**.
+ **Règle unique** : pour définir une action de dérogation pour une seule règle, ouvrez le menu déroulant de la règle et sélectionnez l'action de dérogation. Pour supprimer une dérogation pour une règle, ouvrez le menu déroulant de la règle et sélectionnez **Supprimer** la dérogation.
1. Lorsque vous avez terminé d'apporter vos modifications, choisissez **Enregistrer la règle**. Les paramètres d'action de règle et d'action de remplacement sont répertoriés sur la page du groupe de règles.
------
L'exemple de liste JSON suivant montre une déclaration de groupe de règles dans un pack de protection (ACL Web) qui remplace les actions des règles par Count les règles `CategoryVerifiedSearchEngine` et`CategoryVerifiedSocialMedia`. Dans le JSON, vous pouvez annuler toutes les actions des règles en fournissant une `RuleActionOverrides` entrée pour chaque règle individuelle.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSearchEngine"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSocialMedia"
}
],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
## Remplacer le résultat de l'évaluation d'un groupe de règles par Count
Vous pouvez annuler l'action qui résulte de l'évaluation d'un groupe de règles, sans modifier la façon dont les règles du groupe de règles sont configurées ou évaluées. Cette option n'est pas couramment utilisée. Si l'une des règles du groupe de règles aboutit à une correspondance, cette dérogation définit l'action résultante du groupe de règles surCount.
**Note**
Il s'agit d'un cas d'utilisation peu courant. La plupart des remplacements d'actions sont effectués au niveau de la règle, au sein du groupe de règles, comme décrit dans[Remplacer les actions des règles dans un groupe de règles](#web-acl-rule-group-rule-action-override).
Vous pouvez annuler l'action résultante du groupe de règles dans le pack de protection (ACL Web) lorsque vous ajoutez ou modifiez le groupe de règles. Dans la console, ouvrez le volet **facultatif de l'action Remplacer le groupe de règles du groupe** de règles et activez le remplacement. Dans le JSON défini `OverrideAction` dans l'instruction du groupe de règles, comme indiqué dans l'exemple de liste suivant :
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet"
}
},
"OverrideAction": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
# Associer ou dissocier une protection à une ressource AWS
Vous pouvez l'utiliser AWS WAF pour créer les associations suivantes entre les packs de protection (Web ACLs) et vos ressources :
+ Associez un pack de protection régional (ACL Web) à l'une des ressources régionales répertoriées ci-dessous. Pour cette option, le pack de protection (ACL Web) doit se trouver dans la même région que votre ressource.
+ API REST Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API GraphQL
+ Groupe d’utilisateurs Amazon Cognito
+ AWS App Runner service
+ AWS Instance d'accès vérifié
+ AWS Amplify
+ Associez un pack de protection global (ACL Web) à une CloudFront distribution Amazon. Le pack de protection mondial (ACL Web) comportera une région codée en dur pour la région de l'est des États-Unis (Virginie du Nord).
Vous pouvez également associer un pack de protection (ACL Web) à une CloudFront distribution lorsque vous créez ou mettez à jour la distribution elle-même. Pour plus d'informations, consultez la section [Utiliser AWS WAF pour contrôler l'accès à votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.
**Restrictions sur les associations multiples**
Vous pouvez associer un pack de protection unique (ACL Web) à une ou plusieurs AWS ressources, conformément aux restrictions suivantes :
+ Vous ne pouvez associer chaque AWS ressource qu'à un seul pack de protection (ACL Web). La relation entre le pack de protection (ACL Web) et AWS les ressources est one-to-many.
+ Vous pouvez associer un pack de protection (ACL Web) à une ou plusieurs CloudFront distributions. Vous ne pouvez associer un pack de protection (ACL Web) que vous avez associé à une CloudFront distribution à aucun autre type de AWS ressource.
**Restrictions supplémentaires**
Les restrictions supplémentaires suivantes s'appliquent aux associations de packs de protection (ACL Web) :
+ Vous ne pouvez associer un pack de protection (ACL Web) qu'à un Application Load Balancer qu'il contient. Régions AWS Par exemple, vous ne pouvez pas associer un pack de protection (ACL Web) à un Application Load Balancer activé. AWS Outposts
+ Vous ne pouvez pas associer un groupe d'utilisateurs Amazon Cognito à un pack de protection (ACL Web) qui utilise le groupe de règles géré AWS WAF Fraud Control pour la prévention de la fraude (ACFP) `AWSManagedRulesACFPRuleSet` ou le groupe de règles géré AWS WAF contre le rachat de comptes Fraud Control (ATP). `AWSManagedRulesATPRuleSet` Pour plus d'informations sur la prévention de la fraude lors de la création de comptes, consultez[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). Pour plus d'informations sur la prévention du piratage de compte, consultez[AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md).
**Risque lié au trafic de production**
Avant de déployer votre pack de protection (ACL Web) pour le trafic de production, testez-le et ajustez-le dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles en mode comptage avec votre trafic de production avant de les activer. Pour de plus amples informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
# Associer une protection à une AWS ressource
------
#### [ Using the new console ]
1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.
1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.
1. Dans la section **Gérer les ressources** du groupe de règles, sélectionnez **Ajouter des ressources régionales** ou **Ajouter des ressources globales**.
1. Choisissez des ressources, puis cliquez sur **Ajouter**.
------
#### [ Using the standard console ]
Pour associer une ACL Web à une AWS ressource, effectuez la procédure suivante.
**Pour associer une ACL Web à une AWS ressource**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Dans le volet de navigation, sélectionnez **Web ACLs**.
1. Choisissez le nom de l'ACL Web que vous souhaitez associer à une ressource. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.
1. Dans l'onglet ** AWS Ressources associées**, choisissez **Ajouter AWS des ressources**.
1. Lorsque vous y êtes invité, choisissez le type de ressource, sélectionnez le bouton radio à côté de la ressource que vous souhaitez associer, puis choisissez **Ajouter**.
------
# Dissociation d'une protection d'une ressource AWS
------
#### [ Using the new console ]
1. Choisissez le pack de protection (ACL Web) que vous souhaitez modifier. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.
1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.
1. Dans la section **Gérer les ressources** du groupe de règles, choisissez la ressource que vous souhaitez dissocier, puis choisissez **Dissocier**.
**Note**
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources.
1. Sur la page de confirmation, tapez « dissocier », puis choisissez **Dissocier**.
------
#### [ Using the standard console ]
Pour dissocier une ACL Web d'une AWS ressource, effectuez la procédure suivante.
**Pour dissocier une ACL Web d'une ressource AWS**
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Dans le volet de navigation, sélectionnez **Web ACLs**.
1. Choisissez le nom de l'ACL Web que vous souhaitez dissocier de votre ressource. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.
1. Dans l'onglet ** AWS Ressources associées**, sélectionnez la ressource dont vous souhaitez dissocier cette ACL Web.
**Note**
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources.
**Note**
Lorsque vous choisissez d'associer un Application Load Balancer à votre WebACL, la protection S **au niveau des ressources DDo** est activée. Pour de plus amples informations, veuillez consulter [AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).
1. Choisissez **Dissocier**. La console ouvre une boîte de dialogue de confirmation. Confirmez votre choix de dissocier l'ACL Web de la AWS ressource.
------
# Utilisation de packs de protection (Web ACLs) avec des règles et des groupes de règles dans AWS WAF
Cette section explique comment les packs de protection (Web ACLs) et Web ACLs fonctionnent avec les règles et les groupes de règles.
La façon dont un pack de protection (ACL Web) gère une requête Web dépend des éléments suivants :
+ Les paramètres de priorité numérique des règles du pack de protection (ACL Web) et des groupes de règles internes
+ Les paramètres d'action sur les règles et le pack de protection (ACL Web)
+ Toutes les dérogations que vous apportez aux règles des groupes de règles que vous ajoutez
Pour obtenir la liste des paramètres d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).
Vous pouvez personnaliser le traitement des demandes et des réponses dans les paramètres d'action de vos règles et dans les paramètres d'action du pack de protection par défaut (Web ACL). Pour plus d'informations, consultez [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
**Topics**
+ [Définition de la priorité des règles](web-acl-processing-order.md)
+ [Comment AWS WAF gère les actions des règles et des groupes de règles](web-acl-rule-actions.md)
+ [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md)
# Définition de la priorité des règles
Cette section explique comment AWS WAF utiliser les paramètres de priorité numériques pour définir l'ordre d'évaluation des règles.
Dans un pack de protection (ACL Web) et au sein de n'importe quel groupe de règles, vous déterminez l'ordre d'évaluation des règles à l'aide de paramètres de priorité numériques. Vous devez attribuer à chaque règle d'un pack de protection (ACL Web) un paramètre de priorité unique au sein de ce pack de protection (ACL Web), et vous devez attribuer à chaque règle d'un groupe de règles un paramètre de priorité unique au sein de ce groupe de règles.
**Note**
Lorsque vous gérez des groupes de règles, les packs de protection (Web ACLs) via la console vous AWS WAF attribuent des paramètres de priorité numériques uniques en fonction de l'ordre des règles dans la liste. AWS WAF assigne la priorité numérique la plus faible à la règle en haut de la liste et la priorité numérique la plus élevée à la règle en bas.
Lorsqu'il AWS WAF évalue un groupe de règles, le pack de protection (ACL Web) par rapport à une requête Web, il évalue les règles à partir du paramètre de priorité numérique le plus bas jusqu'à ce qu'il trouve une correspondance mettant fin à l'évaluation ou épuisant toutes les règles.
Supposons, par exemple, que votre pack de protection (ACL Web) comporte les règles et groupes de règles suivants, classés par ordre de priorité comme indiqué ci-dessous :
+ Règle 1 — priorité 0
+ RuleGroupA — priorité 100
+ Règle A1 — priorité 10 000
+ Règle A2 — priorité 20 000
+ Règle 2 — priorité 200
+ RuleGroupB — priorité 300
+ Règle B1 — priorité 0
+ Règle B2 — priorité 1
AWS WAF évaluerait les règles de ce pack de protection (ACL Web) dans l'ordre suivant :
+ Règle 1
+ RuleGroupA. Règle A1
+ RuleGroupA. Règle A2
+ Règle 2
+ RuleGroupPar RuleB1
+ RuleGroupPar RuleB2
# Comment AWS WAF gère les actions des règles et des groupes de règles
Cette section explique comment AWS WAF utiliser les règles et les groupes de règles pour gérer les actions.
Lorsque vous configurez vos règles et vos groupes de règles, vous choisissez la manière dont vous AWS WAF souhaitez gérer les requêtes Web correspondantes :
+ **Allowet Block mettent fin à des actions**, Allow et les Block actions arrêtent tout autre traitement du pack de protection (ACL Web) sur la requête Web correspondante. Si une règle d'un pack de protection (ACL Web) trouve une correspondance pour une demande et que l'action de la règle est Allow ou Block que cette correspondance détermine la disposition finale de la demande Web pour le pack de protection (ACL Web). AWS WAF ne traite aucune autre règle du pack de protection (ACL Web) qui vient après celle correspondante. Cela est vrai pour les règles que vous ajoutez directement au pack de protection (ACL Web) et pour les règles qui se trouvent dans un groupe de règles ajouté. Avec cette Block action, la ressource protégée ne reçoit ni ne traite la demande Web.
+ **Countest une action sans fin :** lorsqu'une règle comportant une Count action correspond à une demande, AWS WAF compte la demande, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web).
+ **CAPTCHAet il Challenge peut s'agir d'actions non résiliantes ou résilientes** : lorsqu'une règle comportant l'une de ces actions correspond à une demande, AWS WAF vérifie le statut de son jeton. Si la demande contient un jeton valide, AWS WAF traite la correspondance comme une Count correspondance, puis poursuit le traitement des règles qui suivent dans l'ensemble de règles du pack de protection (ACL Web). Si la demande ne contient pas de jeton valide, AWS WAF met fin à l'évaluation et envoie au client un casse-tête CAPTCHA ou un défi de session client en arrière-plan silencieux à résoudre.
Si l'évaluation des règles n'entraîne aucune action de résiliation, AWS WAF applique l'action par défaut du pack de protection (ACL Web) à la demande. Pour plus d'informations, consultez [Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md).
Dans votre pack de protection (ACL Web), vous pouvez remplacer les paramètres d'action des règles au sein d'un groupe de règles et vous pouvez annuler l'action renvoyée par un groupe de règles. Pour plus d'informations, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md).
**Interaction entre les actions et les paramètres de priorité**
Les actions qui AWS WAF s'appliquent à une requête Web sont affectées par les paramètres de priorité numérique des règles du pack de protection (ACL Web). Supposons, par exemple, que votre pack de protection (ACL Web) comporte une règle comportant une Allow action et une priorité numérique de 50 et une autre règle comportant une Count action et une priorité numérique de 100. AWS WAF évalue les règles d'un pack de protection (ACL Web) dans l'ordre de leur priorité, en commençant par le paramètre le plus bas, afin d'évaluer la règle d'autorisation avant la règle de décompte. Une requête Web qui correspond aux deux règles correspondra d'abord à la règle d'autorisation. Comme Allow il s'agit d'une action terminale, elle AWS WAF arrêtera l'évaluation à cette correspondance et n'évaluera pas la demande par rapport à la règle du décompte.
+ Si vous souhaitez uniquement inclure les demandes qui ne correspondent pas à la règle d'autorisation dans les statistiques de vos règles de comptage, les paramètres de priorité des règles fonctionneront.
+ D'autre part, si vous souhaitez que les mesures de comptage soient issues de la règle de comptage, même pour les demandes correspondant à la règle d'autorisation, vous devez attribuer à la règle de comptage un paramètre de priorité numérique inférieur à celui de la règle d'autorisation, afin qu'elle s'exécute en premier.
Pour plus d'informations sur les paramètres de priorité, consultez[Définition de la priorité des règles](web-acl-processing-order.md).
# Remplacer les actions du groupe de règles dans AWS WAF
Cette section explique comment annuler les actions des groupes de règles.
Lorsque vous ajoutez un groupe de règles à votre pack de protection (ACL Web), vous pouvez annuler les actions qu'il effectue sur les requêtes Web correspondantes. Le fait de remplacer les actions d'un groupe de règles dans la configuration de votre pack de protection (ACL Web) ne modifie pas le groupe de règles lui-même. Cela modifie uniquement la manière dont le groupe de règles est AWS WAF utilisé dans le contexte du pack de protection (ACL Web).
## Les actions des règles du groupe de règles remplacent les actions
Vous pouvez remplacer les actions des règles au sein d'un groupe de règles par n'importe quelle action de règle valide. Dans ce cas, les demandes correspondantes sont traitées exactement comme si l'action de la règle configurée était le paramètre de remplacement.
**Note**
Les actions relatives aux règles peuvent être terminales ou non. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque.
Voici les options d'action de la règle :
+ **Allow**— AWS WAF permet à la demande d'être transmise à la AWS ressource protégée pour traitement et réponse. Il s'agit d'une action terminale. Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— AWS WAF bloque la demande. Il s'agit d'une action terminale. Par défaut, votre AWS ressource protégée répond par un code d'`403 (Forbidden)`état HTTP. Dans les règles que vous définissez, vous pouvez personnaliser la réponse. En cas de AWS WAF blocage d'une demande, les paramètres Block d'action déterminent la réponse que la ressource protégée renvoie au client.
+ **Count**— AWS WAF compte la demande mais ne détermine pas s'il faut l'autoriser ou la bloquer. Il s'agit d'une action sans fin. AWS WAF poursuit le traitement des règles restantes du pack de protection (ACL Web). Dans les règles que vous définissez, vous pouvez insérer des en-têtes personnalisés dans la demande et ajouter des libellés auxquels d'autres règles peuvent correspondre.
+ **CAPTCHAet Challenge** — AWS WAF utilise des puzzles CAPTCHA et des défis silencieux pour vérifier que la demande ne provient pas d'un bot, et AWS WAF utilise des jetons pour suivre les récentes réponses positives des clients.
Les puzzles CAPTCHA et les défis silencieux ne peuvent être exécutés que lorsque les navigateurs accèdent à des points de terminaison HTTPS. Les clients du navigateur doivent fonctionner dans des contextes sécurisés pour acquérir des jetons.
**Note**
Des frais supplémentaires vous sont facturés lorsque vous utilisez l'action CAPTCHA ou la Challenge règle dans l'une de vos règles ou en tant que dérogation d'action de règle dans un groupe de règles. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
Ces actions de règles peuvent être terminales ou non, selon l'état du jeton dans la demande :
+ **Non résiliable pour un jeton valide et non expiré : si le jeton** est valide et non expiré conformément au CAPTCHA configuré ou à la durée d'immunité au défi, AWS WAF gère la demande de la même manière que l'action. Count AWS WAF continue d'inspecter la requête Web en fonction des règles restantes du pack de protection (ACL Web). Comme pour la Count configuration, dans les règles que vous définissez, vous pouvez éventuellement configurer ces actions avec des en-têtes personnalisés à insérer dans la demande, et vous pouvez ajouter des étiquettes auxquelles d'autres règles peuvent correspondre.
+ **Terminer par une demande bloquée pour un jeton non valide ou expiré** — Si le jeton n'est pas valide ou si l'horodatage indiqué est expiré, AWS WAF met fin à l'inspection de la requête Web et bloque la demande, comme dans le cas de l'action. Block AWS WAF répond ensuite au client avec un code de réponse personnalisé. En CAPTCHA effet, si le contenu de la demande indique que le navigateur client peut la gérer, AWS WAF envoie un casse-tête CAPTCHA dans un JavaScript interstitiel, conçu pour distinguer les clients humains des robots. Pour l'Challengeaction, AWS WAF envoie un JavaScript interstitiel avec un défi silencieux conçu pour distinguer les navigateurs normaux des sessions exécutées par des robots.
Pour plus d’informations, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).
Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
### Remplacer l'action de la règle par Count
Le cas d'utilisation le plus courant des dérogations aux actions des règles est le remplacement de certaines ou de toutes les actions des règles afin Count de tester et de surveiller le comportement d'un groupe de règles avant de le mettre en production.
Vous pouvez également l'utiliser pour résoudre les problèmes liés à un groupe de règles qui génère des faux positifs. Les faux positifs se produisent lorsqu'un groupe de règles bloque le trafic que vous ne vous attendez pas à ce qu'il bloque. Si vous identifiez une règle au sein d'un groupe de règles susceptible de bloquer les demandes que vous souhaitez autoriser, vous pouvez maintenir le nombre d'actions annulées sur cette règle, afin de l'empêcher de donner suite à vos demandes.
Pour plus d'informations sur l'utilisation du remplacement des actions des règles dans le cadre des tests, consultez[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).
### Liste JSON : `RuleActionOverrides` remplace `ExcludedRules`
Si vous avez défini les actions des règles de groupe de règles sur Count dans la configuration de votre pack de protection (ACL Web) avant le 27 octobre 2022, vous AWS WAF avez enregistré vos dérogations dans le code JSON du pack de protection (ACL Web) sous `ExcludedRules` le nom de. Désormais, le paramètre JSON permettant de remplacer une règle se Count trouve dans les `RuleActionOverrides` paramètres.
Nous vous recommandons de mettre à jour tous les `ExcludedRules` paramètres de vos listes JSON vers des `RuleActionOverrides` paramètres dont l'action est définie surCount. L'API accepte l'un ou l'autre paramètre, mais vous obtiendrez une cohérence dans vos listes JSON, entre votre travail sur console et votre travail sur API, si vous utilisez uniquement le nouveau `RuleActionOverrides` paramètre.
**Note**
Dans la AWS WAF console, l'onglet **Demandes échantillonnées** du pack de protection (ACL Web) n'affiche aucun exemple de règles utilisant l'ancien paramètre. Pour de plus amples informations, veuillez consulter [Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md).
Lorsque vous utilisez la AWS WAF console pour modifier les paramètres du groupe de règles existant, la console convertit automatiquement tous `ExcludedRules` les paramètres du JSON en `RuleActionOverrides` paramètres, l'action de remplacement étant définie sur. Count
+ Exemple de réglage actuel :
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"RuleActionOverrides": [
{
"Name": "AdminProtection_URIPATH",
"ActionToUse": {
"Count": {}
}
}
]
```
+ Ancien exemple de réglage :
```
OLD SETTING
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"ExcludedRules": [
{
"Name": "AdminProtection_URIPATH"
}
]
OLD SETTING
```
## L'action de retour du groupe de règles est remplacée par Count
Vous pouvez annuler l'action renvoyée par le groupe de règles en lui attribuant la valeur. Count
**Note**
Il ne s'agit pas d'une bonne option pour tester les règles d'un groupe de règles, car elle ne modifie pas la façon dont le groupe AWS WAF de règles est évalué lui-même. Cela n'affecte que le mode AWS WAF de gestion des résultats renvoyés au pack de protection (ACL Web) à la suite de l'évaluation du groupe de règles. Si vous souhaitez tester les règles dans un groupe de règles, utilisez l'option décrite dans la section précédente,[Les actions des règles du groupe de règles remplacent les actions](#web-acl-rule-group-override-options-rules).
Lorsque vous remplacez l'action du groupe de règles parCount, AWS WAF traite l'évaluation du groupe de règles normalement.
Si aucune règle du groupe de règles ne correspond ou si toutes les règles correspondantes comportent une Count action, cette dérogation n'a aucun effet sur le traitement du groupe de règles ou du pack de protection (ACL Web).
La première règle du groupe de règles qui correspond à une requête Web et qui comporte une action de fin de règle entraîne AWS WAF l'arrêt de l'évaluation du groupe de règles et renvoie le résultat de l'action de fin au niveau d'évaluation du pack de protection (ACL Web). À ce stade, lors de l'évaluation du pack de protection (ACL Web), cette dérogation prend effet. AWS WAF remplace l'action finale afin que le résultat de l'évaluation du groupe de règles ne soit qu'une Count action. AWS WAF poursuit ensuite le traitement du reste des règles du pack de protection (ACL Web).
Pour plus d'informations sur l'utilisation de cette option, consultez[Remplacer le résultat de l'évaluation d'un groupe de règles par Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).
# Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF
Cette section explique le fonctionnement des actions par défaut du pack de protection (ACL Web).
Lorsque vous créez et configurez un pack de protection (ACL Web), vous devez définir l'action par défaut du pack de protection (ACL Web). AWS WAF applique cette action à toute requête Web qui passe par toutes les évaluations de règles du pack de protection (ACL Web) sans qu'une action de fin ne lui soit appliquée. Une action d'arrêt arrête l'évaluation de la demande par le pack de protection (ACL Web) et la laisse continuer vers votre application protégée ou la bloque. Pour plus d'informations sur les actions relatives aux règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).
L'action par défaut du pack de protection (ACL Web) doit déterminer la disposition finale de la requête Web. Il s'agit donc d'une action terminale :
+ **Allow**— Si vous souhaitez autoriser la plupart des utilisateurs à accéder à votre site Web, mais que vous souhaitez bloquer l'accès aux attaquants dont les demandes proviennent d'adresses IP spécifiées, ou dont les demandes semblent contenir du code SQL malveillant ou des valeurs spécifiques, choisissez Allow l'action par défaut. Ensuite, lorsque vous ajoutez des règles à votre pack de protection (ACL Web), ajoutez des règles qui identifient et bloquent les demandes spécifiques que vous souhaitez bloquer. Avec cette action, vous pouvez insérer des en-têtes personnalisés dans la demande avant de la transmettre à la ressource protégée.
+ **Block**— Si vous souhaitez empêcher la plupart des utilisateurs d'accéder à votre site Web, mais que vous souhaitez autoriser l'accès aux utilisateurs dont les demandes proviennent d'adresses IP spécifiées ou dont les demandes contiennent des valeurs spécifiées, choisissez Block l'action par défaut. Ensuite, lorsque vous ajoutez des règles à votre pack de protection (ACL Web), ajoutez des règles qui identifient et autorisent les demandes spécifiques que vous souhaitez autoriser. Par défaut, pour l'Blockaction, la AWS ressource répond par un code d'`403 (Forbidden)`état HTTP, mais vous pouvez personnaliser la réponse.
Pour plus d'informations sur la personnalisation des demandes et des réponses, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
La configuration de vos propres règles et groupes de règles dépend en partie de l'autorisation ou du blocage de la plupart des demandes web. Par exemple, si vous souhaitez *autoriser* la plupart des demandes, vous devez définir l'action par défaut du pack de protection (ACL Web) surAllow, puis ajouter des règles identifiant les demandes Web que vous souhaitez *bloquer*, telles que les suivantes :
+ Les requêtes provenant d'adresses IP qui effectuent un trop grand nombre de requêtes
+ Demandes en provenance de pays dans lesquels vous n'avez pas d'activité ou qui sont la source d'attaques fréquentes
+ Les requêtes qui incluent des valeurs fausses dans l'en-tête `User-agent`
+ Les requêtes qui semblent inclure du code SQL malveillant
Les règles des groupes de règles gérés utilisent généralement l'Blockaction, mais ce n'est pas le cas de toutes. Par exemple, certaines règles utilisées pour le contrôle des robots utilisent les paramètres Challenge d'action CAPTCHA et. Pour de plus amples informations sur les groupes de règles gérées, reportez-vous à la section [Utilisation de groupes de règles gérés dans AWS WAF](waf-managed-rule-groups.md).
# Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF
La limite de taille d'inspection de la carrosserie est la taille maximale demandée AWS WAF pouvant être inspectée. Lorsque le corps d'une requête Web est supérieur à la limite, le service hôte sous-jacent ne transmet que le contenu se situant dans la limite à des AWS WAF fins d'inspection.
+ Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko (8 192 octets).
+ Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko (16 384 octets), et vous pouvez augmenter la limite pour tous les types de ressources par incréments de 16 Ko, jusqu'à 64 Ko. Les options de configuration sont 16 Ko, 32 Ko, 48 Ko et 64 Ko.
**Important**
AWS WAF ne prend pas en charge les règles d'inspection du corps de requête pour le trafic gRPC. Si vous avez activé ces règles dans le pack de protection (ACL Web) d'une CloudFront distribution ou d'un Application Load Balancer, toute demande utilisant gRPC ignorera les règles d'inspection du corps de la demande. Toutes les autres AWS WAF règles continueront de s'appliquer. Pour plus d'informations, consultez la section [Activer AWS WAF pour les distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) dans le manuel *Amazon CloudFront Developer Guide*.
**Manipulation de carrosseries surdimensionnées**
Si votre trafic Web inclut des corps dont la taille est supérieure à la limite, la gestion des surdimensionnements que vous avez configurée s'appliquera. Pour plus d'informations sur les options de gestion des surdimensionnements, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
**Considérations relatives à la tarification pour augmenter le montant des limites**
AWS WAF facture un tarif de base pour l'inspection du trafic qui se situe dans la limite par défaut pour le type de ressource.
Pour les CloudFront ressources API Gateway, Amazon Cognito, App Runner et Verified Access, si vous augmentez le paramètre de limite, le trafic AWS WAF pouvant être inspecté inclut la taille corporelle jusqu'à votre nouvelle limite. Des frais supplémentaires vous sont facturés uniquement pour l'inspection des demandes dont la taille du corps est supérieure à la valeur par défaut de 16 Ko. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).
**Options pour modifier la limite de taille d'inspection de la carrosserie**
Vous pouvez configurer la limite de taille d'inspection corporelle pour les CloudFront ressources API Gateway, Amazon Cognito, App Runner ou Verified Access.
Lorsque vous créez ou modifiez un pack de protection (ACL Web), vous pouvez modifier les limites de taille d'inspection du corps dans la configuration de l'association de ressources. Pour l'API, consultez la configuration d'association du pack de protection (ACL Web) à l'adresse [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). Pour la console, consultez la configuration sur la page où vous spécifiez les ressources associées au pack de protection (ACL Web). Pour obtenir des conseils sur la configuration de la console, consultez[Affichage des statistiques du trafic Web dans AWS WAF](web-acl-working-with.md).
# Configuration du CAPTCHA, du défi et des jetons dans AWS WAF
Vous pouvez configurer des options dans votre pack de protection (ACL Web) pour les règles qui utilisent les actions de Challenge règles CAPTCHA ou pour l'intégration des applications SDKs qui gèrent les défis clients silencieux pour les protections AWS WAF gérées.
Ces fonctionnalités atténuent l'activité des robots en lançant des puzzles CAPTCHA aux utilisateurs finaux et en proposant des défis silencieux aux sessions des clients. Lorsque le client répond avec succès, il AWS WAF fournit un jeton à utiliser dans sa demande Web, horodaté avec les dernières réponses au puzzle et au défi réussis. Pour de plus amples informations, veuillez consulter [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).
Dans la configuration de votre pack de protection (ACL Web), vous pouvez configurer le mode de AWS WAF gestion de ces jetons :
+ Durée du **CAPTCHA et de l'immunité aux défis : ces durées** indiquent la durée de validité d'un CAPTCHA ou d'un horodatage de défi. Les paramètres du pack de protection (ACL Web) sont hérités par toutes les règles qui ne disposent pas de leurs propres paramètres de durée d'immunité configurés, ainsi que par l'intégration de l'application SDKs. Pour de plus amples informations, veuillez consulter [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md).
+ **Domaines de jetons** : par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource à laquelle le pack de protection (ACL Web) est associé. Si vous configurez une liste de domaines de jetons, AWS WAF accepte les jetons pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour de plus amples informations, veuillez consulter [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists).
# Affichage des statistiques du trafic Web dans AWS WAF
Cette section explique comment accéder aux résumés des statistiques du trafic Web.
Quel que soit le pack de protection (ACL Web) que vous utilisez, vous pouvez accéder aux résumés des mesures de trafic Web sur la page du pack de protection (ACL Web) de la AWS WAF console, sous l'onglet **Aperçu du trafic**. Les tableaux de bord de la console fournissent des résumés en temps quasi réel des CloudWatch métriques AWS WAF collectées par Amazon lors de l'évaluation du trafic Web de votre application. Pour plus d'informations sur les tableaux de bord, consultez[Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md). Pour plus d'informations sur la surveillance du trafic de votre pack de protection (ACL Web), consultez[Surveillance et réglage de vos AWS WAF protections](web-acl-testing-activities.md).
# Supprimer un pack de protection (ACL Web)
Cette section décrit les procédures de suppression des packs de protection (Web ACLs) via la AWS console.
**Important**
La suppression d'un pack de protection (ACL Web) est définitive et irréversible.
Pour supprimer un pack de protection (ACL Web), vous devez d'abord dissocier toutes les AWS ressources du pack de protection (ACL Web). Utilisez la procédure suivante.
------
#### [ Using the new console ]
1. Connectez-vous au nouveau AWS Management Console et ouvrez la AWS WAF console à l'adresse [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro)
1. Dans le volet de navigation, sélectionnez **Resources & protection packs (web ACLs)**.
1. Sur la carte du pack de protection (ACL Web), cliquez sur le lien **Modifier** à côté de **Ressources** pour ouvrir le panneau **Gérer les ressources**.
1. Dans la section **Gérer les ressources** du groupe de règles, choisissez la ressource que vous souhaitez dissocier, puis choisissez **Dissocier**.
**Note**
Vous devez dissocier une ressource à la fois. Ne choisissez pas plusieurs ressources.
1. Sur la page de confirmation, tapez « dissocier », puis choisissez **Dissocier**. Répétez l'opération pour dissocier chaque ressource du pack de protection (ACL Web).
1. Choisissez le pack de protection (ACL Web) que vous souhaitez supprimer. La console permet de modifier la carte du pack de protection principal (ACL Web) et ouvre également un panneau latéral contenant des informations que vous pouvez modifier.
1. Dans le panneau de détails, choisissez l'icône de la corbeille.
1. Sur la page de confirmation, tapez « Supprimer », puis choisissez **Supprimer**.
------
#### [ Using the standard console ]
1. Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Dans le volet de navigation, sélectionnez **Web ACLs**.
1. Sélectionnez le nom de la liste ACL web que vous souhaitez supprimer. La console vous amène à la description de la liste ACL web, où vous pouvez la modifier.
**Note**
Si vous ne voyez pas l'ACL Web que vous souhaitez supprimer, assurez-vous que la sélection de région dans la ACLs section Web est correcte. Tous les sites Web ACLs qui protègent les CloudFront distributions Amazon se trouvent dans **Global (CloudFront)**.
1. Dans l'onglet ** AWS Ressources associées**, pour chaque ressource associée, sélectionnez le bouton radio à côté du nom de la ressource, puis choisissez **Dissocier**. Cela dissocie le pack de protection (ACL Web) de vos AWS ressources.
1. Dans le volet de navigation, sélectionnez **Web ACLs**.
1. Sélectionnez la case d'option en regard de la liste ACL web que vous supprimez, puis choisissez **Supprimer**.
------