**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS WAF
<a name="waf-chapter"></a>

AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau permintaan HTTP (S) yang diteruskan ke sumber daya aplikasi web Anda yang dilindungi. Anda dapat melindungi jenis sumber daya berikut: 
+  CloudFront Distribusi Amazon
+ API REST Amazon API Gateway
+ Penyeimbang Beban Aplikasi
+ AWS AppSync GraphQL API
+ Kolam pengguna Amazon Cognito
+ AWS App Runner layanan
+ AWS Contoh Akses Terverifikasi
+ AWS Amplify

AWS WAF memungkinkan Anda mengontrol akses ke konten Anda. Berdasarkan kriteria yang Anda tentukan, seperti alamat IP tempat permintaan berasal atau nilai string kueri, layanan yang terkait dengan sumber daya yang dilindungi merespons permintaan baik dengan konten yang diminta, dengan kode status HTTP 403 (Terlarang), atau dengan respons khusus. 

**catatan**  
Anda juga dapat menggunakan AWS WAF untuk melindungi aplikasi Anda yang di-host di wadah Amazon Elastic Container Service (Amazon ECS). Amazon ECS adalah layanan manajemen kontainer yang sangat skalabel dan cepat yang memudahkan untuk menjalankan, menghentikan, dan mengelola kontainer Docker di cluster. Untuk menggunakan opsi ini, Anda mengonfigurasi Amazon ECS untuk menggunakan Application Load Balancer yang diaktifkan AWS WAF untuk merutekan dan melindungi lalu lintas HTTP (S) layer 7 di seluruh tugas dalam layanan Anda. Untuk informasi selengkapnya, lihat [Service Load Balancing](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.

**Topics**
+ [Memulai dengan AWS WAF](getting-started.md)
+ [Bagaimana cara AWS WAF kerja](how-aws-waf-works.md)
+ [Mengkonfigurasi perlindungan di AWS WAF](web-acl.md)
+ [AWS WAF aturan](waf-rules.md)
+ [AWS WAF kelompok aturan](waf-rule-groups.md)
+ [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md)
+ [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md)
+ [Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md)
+ [Set IP dan set pola regex di AWS WAF](waf-referenced-set-managing.md)
+ [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md)
+ [Pelabelan permintaan web di AWS WAF](waf-labels.md)
+ [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md)
+ [Perlindungan data dan pencatatan untuk AWS WAF lalu lintas paket perlindungan (web ACL)](waf-data-protection-and-logging.md)
+ [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md)
+ [Menggunakan AWS WAF dengan Amazon CloudFront](cloudfront-features.md)
+ [Keamanan dalam penggunaan AWS WAF layanan Anda](security.md)
+ [AWS WAF kuota](limits.md)
+ [Memigrasi sumber daya AWS WAF Klasik Anda ke AWS WAF](waf-migrating-from-classic.md)

# Memulai dengan AWS WAF
<a name="getting-started"></a>

 Memulai AWS WAF tergantung pada pengalaman konsol yang Anda gunakan. Kedua pengalaman menyediakan akses ke AWS WAF fungsionalitas inti yang sama, tetapi keduanya berbeda dalam cara Anda mengonfigurasi dan mengelola perlindungan aplikasi web Anda. 

 AWS WAF menawarkan dua opsi untuk menggunakan konsol:

 **Konsol baru** ini bertujuan untuk menyederhanakan proses konfigurasi ACL web yang diperlukan oleh alur kerja konsol standar. Anda dapat menggunakan alur kerja terpandu untuk menyederhanakan proses pembuatan dan manajemen ACL web melalui paket perlindungan. Paket perlindungan membuatnya lebih mudah untuk menggunakan dan mengelola web ACLs di konsol, tetapi tidak berbeda secara fungsional dari ACL web. Selain proses konfigurasi perlindungan yang ditingkatkan, konsol baru ini menawarkan visibilitas yang ditingkatkan ke dalam perlindungan Anda melalui dasbor keamanan, sehingga lebih mudah untuk memantau postur keamanan Anda di dalam konsol. AWS WAF 

 ** AWS WAF Konsol standar** menyediakan pendekatan tradisional untuk mengkonfigurasi perlindungan firewall aplikasi web menggunakan web. ACLs Ini menawarkan kontrol terperinci atas aturan individu dan kelompok aturan dan akrab bagi AWS WAF pengguna yang ada. Dengan konsol ini, Anda memiliki kontrol terperinci atas konfigurasi perlindungan Anda, memungkinkan penyesuaian yang tepat dari pengaturan keamanan Anda. 

**Tip**  
 Pilih pengalaman konsol yang paling sesuai dengan kebutuhan Anda. Jika Anda baru AWS WAF atau ingin mulai mengonfigurasi perlindungan berdasarkan AWS rekomendasi, sebaiknya mulai dengan pengalaman konsol baru. Namun, pengalaman standar selalu tersedia untuk dibuka dari panel navigasi di konsol. 

 Bagian berikut memberikan panduan memulai untuk kedua pengalaman konsol. Tinjau setiap pendekatan dan pilih salah satu yang paling sesuai dengan persyaratan keamanan dan preferensi operasional Anda: 

**Topics**
+ [Memulai dengan AWS WAF menggunakan pengalaman konsol baru](setup-iap-console.md)
+ [Memulai dengan AWS WAF menggunakan pengalaman konsol standar](setup-existing-console.md)

# Memulai dengan AWS WAF menggunakan pengalaman konsol baru
<a name="setup-iap-console"></a>

Bagian ini memandu Anda melalui pengaturan AWS WAF menggunakan pengalaman konsol baru yang baru, yang menyediakan alur kerja konfigurasi yang disederhanakan dan kemampuan manajemen keamanan yang ditingkatkan.

## Akses pengalaman konsol baru
<a name="accessing-iap-console"></a>

Untuk mengakses pengalaman AWS WAF konsol baru:

Masuk ke yang baru Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 
+ Di panel navigasi, cari dan pilih **Coba pengalaman baru**.

**catatan**  
Anda dapat beralih di antara pengalaman konsol kapan saja menggunakan tautan di panel navigasi.

## Memulai dengan paket perlindungan (web ACL)
<a name="getting-started-protection-packs"></a>

Tutorial ini menunjukkan cara membuat dan mengkonfigurasi paket perlindungan (web ACL) untuk melindungi aplikasi Anda. Paket perlindungan (Web ACLs) menyediakan aturan keamanan pra-konfigurasi yang disesuaikan dengan jenis beban kerja tertentu.

Dalam tutorial ini, Anda akan belajar cara:
+ Buat paket perlindungan (web ACL)
+ Konfigurasikan pengaturan perlindungan khusus aplikasi
+ Tambahkan AWS sumber daya untuk melindungi
+ Pilih dan sesuaikan aturan
+ Konfigurasikan pencatatan dan pemantauan

**catatan**  
AWS biasanya menagih Anda kurang dari US \$10,25 per hari untuk sumber daya yang Anda buat selama tutorial ini. Setelah selesai, kami sarankan Anda menghapus sumber daya untuk mencegah timbulnya biaya yang tidak perlu.

### Langkah 1: Mengatur AWS WAF
<a name="getting-started-prerequisites"></a>

Jika Anda belum mengikuti langkah-langkah pengaturan umum[Menyiapkan akun Anda untuk menggunakan layanan](setting-up-waf.md), lakukan sekarang.

### Langkah 2: Buat paket perlindungan (web ACL)
<a name="getting-started-create-protection-pack"></a>

Pada langkah ini, Anda akan membuat paket perlindungan (web ACL) dan mengonfigurasi pengaturan dasarnya agar sesuai dengan jenis aplikasi Anda.

1. Masuk ke yang baru Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Di panel navigasi, pilih **Resources & protection packs (web ACLs)**.

1. Pada halaman **Resources & protection packs (web ACLs)**, pilih **Add protection pack (web ACL)**.

1. Di bawah **Beri tahu kami tentang aplikasi Anda**, untuk **kategori Aplikasi**, pilih satu atau beberapa kategori aplikasi yang paling menggambarkan aplikasi Anda.

1. Untuk **sumber Lalu Lintas**, pilih jenis lalu lintas yang ditangani aplikasi Anda:
   + **API** - Untuk aplikasi khusus API
   + **Web** - Untuk aplikasi khusus web
   + **Baik API dan Web** - Untuk aplikasi yang menangani kedua jenis lalu lintas

### Langkah 3: Tambahkan sumber daya untuk melindungi
<a name="getting-started-add-resources"></a>

Sekarang Anda akan menentukan AWS sumber daya mana yang harus dilindungi dengan paket perlindungan Anda (web ACL).

1. Di bawah **Sumber daya untuk dilindungi**, pilih **Tambahkan sumber daya**.

1. Pilih kategori AWS sumber daya untuk dikaitkan dengan paket perlindungan ini (web ACL):
   +  CloudFront Distribusi Amazon
   + Sumber daya regional

   Untuk informasi selengkapnya tentang jenis sumber daya, lihat[Mengaitkan perlindungan dengan sumber daya AWS](web-acl-associating.md).

### Langkah 4: Pilih perlindungan awal
<a name="getting-started-configure-protection"></a>

Pada langkah ini, Anda akan memilih aturan untuk paket perlindungan Anda (web ACL). Untuk pengguna pertama kali, kami sarankan memilih opsi yang **Direkomendasikan**.

AWS WAF menghasilkan **Direkomendasikan** untuk Anda berdasarkan pilihan Anda di bagian **Beri tahu kami tentang aplikasi Anda**. Paket ini menerapkan praktik terbaik keamanan untuk jenis aplikasi Anda.
+  Pilih **Berikutnya** untuk melanjutkan pengaturan paket perlindungan (web ACL).

**catatan**  
Jika Anda tertarik untuk membuat aturan khusus atau menggunakan opsi **Anda membangunnya**, sebaiknya Anda terlebih dahulu mendapatkan pengalaman dengan opsi yang telah dikonfigurasi sebelumnya. Untuk informasi selengkapnya tentang membuat paket perlindungan khusus (web ACLs) dan aturan, lihat[Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md).

### Langkah 5: Sesuaikan pengaturan paket perlindungan (web ACL)
<a name="getting-started-customize-settings"></a>

Sekarang Anda akan mengonfigurasi pengaturan tambahan seperti tindakan default, batas tarif, dan pencatatan.

1. Di bawah **Nama dan deskripsi**, masukkan nama untuk paket perlindungan Anda (web ACL). Secara opsional, masukkan deskripsi.
**catatan**  
Anda tidak dapat mengubah nama setelah membuat paket perlindungan (web ACL).

1. Di bawah **Sesuaikan paket perlindungan (web ACL)**, konfigurasikan pengaturan berikut:

   1. Di bawah **Tindakan aturan default**, pilih tindakan default untuk permintaan yang tidak cocok dengan aturan apa pun. Untuk informasi selengkapnya, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

   1. Di bawah **konfigurasi Aturan**, sesuaikan pengaturan ini:
      + **Batas tingkat default** - Tetapkan batas untuk melindungi terhadap serangan DDo S
      + **Alamat IP** - Konfigurasikan allow/block daftar IP
      + **Asal negara tertentu** - Kelola akses menurut negara

   1. Untuk **tujuan Logging**, konfigurasikan tempat Anda ingin menyimpan log. Untuk informasi selengkapnya, lihat [AWS WAF tujuan pencatatan](logging-destinations.md).

1. Tinjau pengaturan Anda dan pilih **Tambahkan paket perlindungan (web ACL)**.

### Langkah 6: Bersihkan sumber daya Anda
<a name="getting-started-clean-up"></a>

Anda sudah berhasil menyelesaikan tutorial ini. Untuk mencegah akun Anda AWS WAF dikenakan biaya tambahan, Anda harus menghapus paket perlindungan (web ACL) yang Anda buat atau memodifikasinya agar sesuai dengan kebutuhan produksi Anda.

**Untuk menghapus paket perlindungan Anda (web ACL)**

1. Di panel navigasi, pilih **Resources & protection packs (web ACLs)**.

1. Pilih paket perlindungan (web ACL) yang Anda buat.

1. Pilih ikon tempat sampah, lalu konfirmasikan penghapusan dengan mengetik “hapus”.

**catatan**  
Jika Anda berencana untuk menggunakan paket perlindungan ini (web ACL) dalam produksi, alih-alih menghapusnya, Anda harus meninjau dan menyesuaikan pengaturan perlindungan agar sesuai dengan persyaratan keamanan aplikasi Anda.

# Memulai dengan AWS WAF menggunakan pengalaman konsol standar
<a name="setup-existing-console"></a>

 AWS WAF Konsol memandu Anda melalui proses konfigurasi AWS WAF untuk memblokir atau mengizinkan permintaan web berdasarkan kriteria yang Anda tentukan, seperti alamat IP tempat permintaan berasal atau nilai dalam permintaan. Pada langkah ini, Anda membuat paket perlindungan (web ACL). Untuk informasi selengkapnya tentang paket AWS WAF perlindungan (web ACLs), lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

Tutorial ini menunjukkan bagaimana menggunakan AWS WAF untuk melakukan tugas-tugas berikut:
+ Mengatur AWS WAF.
+ Buat daftar kontrol akses web (web ACL) menggunakan wizard di AWS WAF konsol.

**Untuk membuat web ACL**

  1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

  1. Dari AWS WAF halaman beranda, pilih **Buat web ACL**. 

  1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi ACL web ini. 
**catatan**  
Anda tidak dapat mengubah nama setelah membuat ACL web.

  1. (Opsional) Untuk **Deskripsi - opsional**, masukkan deskripsi yang lebih panjang untuk ACL web jika Anda mau. 

  1. Untuk **nama CloudWatch metrik**, ubah nama default jika berlaku. Ikuti panduan di konsol untuk karakter yang valid. Nama tidak dapat berisi karakter khusus, spasi putih, atau nama metrik yang disediakan untuk AWS WAF, termasuk “Semua” dan “Default\$1Action.”
**catatan**  
Anda tidak dapat mengubah nama CloudWatch metrik setelah membuat ACL web.

  1. Untuk **jenis Sumber Daya**, pilih **CloudFrontdistribusi.** **Region** secara otomatis mengisi ke **Global (CloudFront)** untuk CloudFront distribusi.

  1. (Opsional) Untuk ** AWS sumber daya terkait - opsional**, pilih **Tambahkan AWS sumber daya**. Di kotak dialog, pilih sumber daya yang ingin Anda kaitkan, lalu pilih **Tambah**. AWS WAF mengembalikan Anda ke halaman **Deskripsikan web ACL dan AWS sumber daya terkait**. 

  1. Pilih **Berikutnya**.

**catatan**  
AWS biasanya menagih Anda kurang dari US \$10,25 per hari untuk sumber daya yang Anda buat selama tutorial ini. Ketika Anda selesai dengan tutorial, kami sarankan Anda menghapus sumber daya untuk mencegah timbulnya biaya yang tidak perlu. 

## Langkah 1: Mengatur AWS WAF
<a name="getting-started-aws-account"></a>

Jika Anda belum mengikuti langkah-langkah pengaturan umum[Menyiapkan akun Anda untuk menggunakan layanan](setting-up-waf.md), lakukan sekarang.

## Langkah 2: Buat ACL web
<a name="getting-started-wizard-create-web-acl"></a>

 AWS WAF Konsol memandu Anda melalui proses konfigurasi AWS WAF untuk memblokir atau mengizinkan permintaan web berdasarkan kriteria yang Anda tentukan, seperti alamat IP tempat permintaan berasal atau nilai dalam permintaan. Pada langkah ini, Anda membuat ACL web. Untuk informasi selengkapnya tentang AWS WAF web ACLs, lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

**Untuk membuat web ACL**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Dari AWS WAF halaman beranda, pilih **Buat web ACL**.

1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi ACL web ini.
**catatan**  
Anda tidak dapat mengubah nama setelah membuat ACL web.

1. (Opsional) Untuk **Deskripsi - opsional**, masukkan deskripsi yang lebih panjang untuk ACL web jika Anda mau.

1. Untuk **nama CloudWatch metrik**, ubah nama default jika berlaku. Ikuti panduan di konsol untuk karakter yang valid. Nama tidak dapat berisi karakter khusus, spasi putih, atau nama metrik yang disediakan untuk AWS WAF, termasuk “Semua” dan “Default\$1Action.”
**catatan**  
Anda tidak dapat mengubah nama CloudWatch metrik setelah membuat ACL web.

1. Untuk **jenis Sumber Daya**, pilih **CloudFrontdistribusi.** **Region** secara otomatis mengisi ke **Global (CloudFront)** untuk CloudFront distribusi.

1. (Opsional) Untuk ** AWS sumber daya terkait - opsional**, pilih **Tambahkan AWS sumber daya**. Di kotak dialog, pilih sumber daya yang ingin Anda kaitkan, lalu pilih **Tambah**. AWS WAF mengembalikan Anda ke halaman **Deskripsikan web ACL dan AWS sumber daya terkait**.

1. Pilih **Berikutnya**.

## Langkah 3: Tambahkan aturan pencocokan string
<a name="getting-started-wizard-create-string-condition"></a>

Pada langkah ini, Anda membuat aturan dengan pernyataan pencocokan string dan menunjukkan apa yang harus dilakukan dengan permintaan yang cocok. Pernyataan aturan pencocokan string mengidentifikasi string yang AWS WAF ingin Anda cari dalam permintaan. Biasanya, string terdiri dari karakter ASCII yang dapat dicetak, tetapi Anda dapat menentukan karakter apa pun dari heksadesimal 0x00 hingga 0xFF (desimal 0 hingga 255). Selain menentukan string yang akan dicari, Anda menentukan komponen permintaan web yang ingin Anda cari, seperti header, string kueri, atau badan permintaan. 

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Body**, **JSON body**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

Untuk informasi tambahan tentang AWS WAF aturan, lihat[AWS WAF aturan](waf-rules.md). 

**Untuk membuat pernyataan aturan kecocokan string**

1. Pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan**, **Tambahkan aturan dan grup aturan saya sendiri**, **Pembuat aturan**, lalu **Editor visual Aturan**. 
**catatan**  
Konsol menyediakan **editor visual Rule dan juga editor** **Rule JSON**. Editor JSON memudahkan Anda untuk menyalin konfigurasi antar web ACLs dan diperlukan untuk kumpulan aturan yang lebih kompleks, seperti yang memiliki beberapa tingkat bersarang.   
Prosedur ini menggunakan **editor visual Rule**. 

1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi aturan ini. 

1. Untuk **Jenis** pilih **Aturan reguler**.

1. Untuk **Jika permintaan** pilih **cocok dengan pernyataan**. 

   Pilihan lainnya adalah untuk jenis pernyataan aturan logis. Anda dapat menggunakannya untuk menggabungkan atau meniadakan hasil pernyataan aturan lainnya. 

1. Pada **Pernyataan**, untuk **Inspect**, buka dropdown dan pilih komponen permintaan web yang ingin AWS WAF Anda periksa. Untuk contoh ini, pilih **Single header**.

   Saat Anda memilih **Header tunggal**, Anda juga menentukan header mana yang AWS WAF ingin Anda periksa. Masukkan **User-Agent**. Nilai ini tidak peka huruf besar/kecil.

1. Untuk **jenis Match**, pilih di mana string yang ditentukan harus muncul di `User-Agent` header. 

   Untuk contoh ini, pilih **Tepat cocok dengan string**. Ini menunjukkan bahwa AWS WAF memeriksa header user-agent di setiap permintaan web untuk string yang identik dengan string yang Anda tentukan.

1. **Agar String cocok**, tentukan string yang AWS WAF ingin Anda cari. Panjang maksimum **String yang cocok** adalah 200 karakter. Jika Anda ingin menentukan nilai yang dikodekan base64, Anda dapat menentukan hingga 200 karakter sebelum pengkodean.

   Untuk contoh ini, masukkan **MyAgent**. AWS WAF akan memeriksa `User-Agent` header dalam permintaan web untuk nilainya`MyAgent`.

1. Biarkan **transformasi Teks** disetel ke **Tidak Ada**. 

1. Untuk **Tindakan**, pilih tindakan yang ingin diambil aturan saat cocok dengan permintaan web. Untuk contoh ini, pilih **Hitung** dan biarkan pilihan lain apa adanya. Tindakan hitungan membuat metrik untuk permintaan web yang cocok dengan aturan, tetapi tidak memengaruhi apakah permintaan diizinkan atau diblokir. Untuk informasi selengkapnya tentang pilihan tindakan, lihat [Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md) dan[Menetapkan prioritas aturan](web-acl-processing-order.md).

1. Pilih **Tambahkan aturan**.

## Langkah 4: Tambahkan grup aturan Aturan AWS Terkelola
<a name="getting-started-wizard-add-rule-group"></a>

AWS Aturan Terkelola menawarkan sekumpulan grup aturan terkelola untuk Anda gunakan, yang sebagian besar gratis bagi AWS WAF pelanggan. Untuk informasi selengkapnya tentang grup aturan, lihat[AWS WAF kelompok aturan](waf-rule-groups.md). Kami akan menambahkan grup aturan Aturan AWS Terkelola ke ACL web ini. 

**Untuk menambahkan grup aturan Aturan AWS Terkelola**

1. Pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan**, lalu pilih **Tambahkan grup aturan terkelola**. 

1. Pada halaman **Tambahkan grup aturan terkelola**, perluas daftar untuk **grup aturan AWS terkelola**. (Anda juga akan melihat daftar yang ditawarkan untuk AWS Marketplace penjual. Anda dapat berlangganan penawaran mereka dan kemudian menggunakannya dengan cara yang sama seperti untuk grup aturan Aturan AWS Terkelola.)

1. Untuk grup aturan yang ingin Anda tambahkan, lakukan hal berikut: 

   1. Di kolom **Action**, aktifkan tombol **Add to web ACL**. 

   1. Pilih **Edit** dan, dalam daftar Aturan grup **aturan**, buka dropdown **Ganti semua tindakan aturan** dan pilih. **Count** Ini menetapkan tindakan untuk semua aturan dalam kelompok aturan untuk dihitung saja. Hal ini memungkinkan Anda untuk melihat bagaimana semua aturan dalam kelompok aturan berperilaku dengan permintaan web Anda sebelum Anda menempatkan salah satu dari mereka untuk digunakan.

   1. Pilih **Simpan aturan**.

1. Di halaman **Tambahkan grup aturan terkelola**, pilih **Tambahkan aturan**. Ini mengembalikan Anda ke halaman **Tambahkan aturan dan grup aturan**.

## Langkah 5: Selesaikan konfigurasi ACL web Anda
<a name="getting-started-wizard-finish-webacl-options"></a>

Setelah selesai menambahkan aturan dan grup aturan ke konfigurasi ACL web Anda, selesaikan dengan mengelola prioritas aturan di ACL web dan mengonfigurasi pengaturan seperti metrik, penandaan, dan pencatatan. 

**Untuk menyelesaikan konfigurasi ACL web Anda**

1. Pada halaman **Tambahkan aturan dan grup aturan**, pilih **Berikutnya**. 

1. Pada halaman **Tetapkan prioritas aturan**, Anda dapat melihat urutan pemrosesan untuk aturan dan grup aturan di ACL web. AWS WAF memprosesnya mulai dari bagian atas daftar. Anda dapat mengubah urutan pemrosesan dengan memindahkan aturan ke atas atau ke bawah. Untuk melakukan ini, pilih salah satu dalam daftar dan pilih **Pindah ke atas** atau **Pindah ke bawah**. Untuk informasi selengkapnya tentang prioritas aturan, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

1. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi metrik**, untuk ** CloudWatchmetrik Amazon**, Anda dapat melihat metrik yang direncanakan untuk aturan dan grup aturan dan Anda dapat melihat opsi pengambilan sampel permintaan web. Untuk informasi tentang melihat permintaan sampel, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 

   **Anda dapat mengakses ringkasan metrik lalu lintas web di halaman ACL web di AWS WAF konsol, di bawah tab Ikhtisar lalu lintas.** Dasbor konsol menyediakan ringkasan hampir real-time dari metrik Amazon ACL web. CloudWatch Untuk informasi selengkapnya, lihat [Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md). 

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat web ACL**, tinjau pengaturan Anda, lalu pilih **Buat ACL web**. 

Wizard mengembalikan Anda ke halaman **ACL web**, tempat ACL web baru Anda terdaftar.

## Langkah 6: Bersihkan sumber daya Anda
<a name="getting-started-wizard-clean-up"></a>

Anda sudah berhasil menyelesaikan tutorial ini. Untuk mencegah akun Anda AWS WAF dikenakan biaya tambahan, bersihkan AWS WAF objek yang Anda buat. Atau, Anda dapat mengubah konfigurasi agar sesuai dengan permintaan web yang benar-benar ingin Anda kelola menggunakan AWS WAF.

**catatan**  
AWS biasanya menagih Anda kurang dari US \$10,25 per hari untuk sumber daya yang Anda buat selama tutorial ini. Setelah selesai, kami sarankan Anda menghapus sumber daya untuk mencegah timbulnya biaya yang tidak perlu. 

**Untuk menghapus objek yang AWS WAF dikenakan biaya**

1. **Di halaman **ACL web**, pilih ACL web Anda dari daftar dan pilih Edit.** 

1. Pada tab ** AWS Sumber daya terkait**, untuk setiap sumber daya terkait, pilih tombol radio di sebelah nama sumber daya, lalu pilih **Disassociate**. Ini memisahkan ACL web dari sumber daya Anda. AWS 

1. Di setiap layar berikut, pilih **Berikutnya** hingga Anda kembali ke halaman **ACL web**.

   **Di halaman **ACL web**, pilih ACL web Anda dari daftar dan pilih Hapus.** 

Aturan dan pernyataan aturan tidak ada di luar definisi grup aturan dan ACL web. Jika Anda menghapus ACL web, ini akan menghapus semua aturan individual yang telah Anda tetapkan di ACL web. Ketika Anda menghapus grup aturan dari ACL web, Anda hanya menghapus referensi untuk itu. 

# Bagaimana cara AWS WAF kerja
<a name="how-aws-waf-works"></a>

Anda gunakan AWS WAF untuk mengontrol bagaimana sumber daya yang dilindungi merespons permintaan web HTTP (S). Anda melakukan ini dengan mendefinisikan daftar kontrol akses web (web ACL) dan kemudian mengaitkannya dengan satu atau lebih sumber daya aplikasi web yang ingin Anda lindungi. Sumber daya terkait meneruskan permintaan masuk AWS WAF untuk diperiksa oleh ACL web. 

**Konsol baru** menyederhanakan proses konfigurasi ACL web. Ini memperkenalkan paket perlindungan untuk merampingkan pengaturan sambil mempertahankan kontrol penuh atas aturan keamanan Anda. 

Paket perlindungan adalah lokasi baru untuk web ACLs dan menyederhanakan manajemen ACL web di konsol, tetapi mereka tidak mengubah fungsionalitas ACL web yang mendasarinya. Saat menggunakan konsol standar atau API, Anda masih akan bekerja secara langsung dengan web ACLs.

Dalam paket perlindungan (web ACL), Anda membuat aturan untuk menentukan pola lalu lintas yang harus dicari dalam permintaan dan menentukan tindakan yang akan diambil pada permintaan yang cocok. Pilihan tindakan meliputi yang berikut: 
+ Izinkan permintaan untuk pergi ke sumber daya yang dilindungi untuk diproses dan direspon. 
+ Blokir permintaan. 
+ Hitung permintaannya. 
+ Jalankan CAPTCHA atau tantang pemeriksaan terhadap permintaan untuk memverifikasi pengguna manusia dan penggunaan browser standar. 

**AWS WAF komponen**  
Berikut ini adalah komponen utama dari AWS WAF:
+ **web ACLs** — Anda menggunakan daftar kontrol akses web (web ACL) untuk melindungi sekumpulan AWS sumber daya. Anda membuat ACL web dan menentukan strategi perlindungannya dengan menambahkan aturan. Aturan menentukan kriteria untuk memeriksa permintaan web dan menentukan tindakan yang akan diambil pada permintaan yang sesuai dengan kriteria mereka. Anda juga menetapkan tindakan default untuk ACL web yang menunjukkan apakah akan memblokir atau mengizinkan melalui permintaan apa pun yang aturan belum diblokir atau diizinkan. Untuk informasi selengkapnya tentang web ACLs, lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

  Web ACL adalah AWS WAF sumber daya.
+ **Paket perlindungan (Web ACL) s** — Di konsol baru, paket perlindungan adalah lokasi baru untuk web ACLs Anda. Selama penyiapan, Anda memberikan informasi tentang aplikasi dan sumber daya Anda. AWS WAF merekomendasikan paket perlindungan yang disesuaikan dengan skenario Anda, dan kemudian membuat ACL web yang berisi aturan, grup aturan, dan tindakan yang ditentukan oleh paket perlindungan (web ACL) yang Anda pilih. Untuk informasi selengkapnya tentang paket perlindungan (web ACLs), lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

  Paket perlindungan (web ACL) adalah AWS WAF sumber daya.
+ **Aturan** — Setiap aturan berisi pernyataan yang mendefinisikan kriteria inspeksi, dan tindakan yang harus diambil jika permintaan web memenuhi kriteria. Ketika permintaan web memenuhi kriteria, itu cocok. Anda dapat mengonfigurasi aturan untuk memblokir permintaan yang cocok, mengizinkannya melalui, menghitungnya, atau menjalankan kontrol bot terhadap mereka yang menggunakan teka-teki CAPTCHA atau tantangan browser klien senyap. Untuk informasi selengkapnya tentang aturan, lihat[AWS WAF aturan](waf-rules.md). 

  Aturan bukanlah sumber AWS WAF daya. Itu hanya ada dalam konteks paket perlindungan (web ACL) atau grup aturan.
+ **Grup aturan** - Anda dapat menentukan aturan langsung di dalam paket perlindungan (web ACL) atau dalam grup aturan yang dapat digunakan kembali. AWS Aturan dan AWS Marketplace penjual terkelola menyediakan grup aturan terkelola untuk Anda gunakan. Anda juga dapat menentukan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang grup aturan, lihat[AWS WAF kelompok aturan](waf-rule-groups.md). 

  Kelompok aturan adalah sumber AWS WAF daya.
+ **unit kapasitas ACL web (WCUs)** — AWS WAF digunakan WCUs untuk menghitung dan mengontrol sumber daya operasi yang diperlukan untuk menjalankan aturan, grup aturan, paket perlindungan (web ACLs), atau web ACLs. 

  WCU bukanlah AWS WAF sumber daya. Itu hanya ada dalam konteks paket perlindungan (web ACL), aturan, atau grup aturan.

# Sumber daya yang dapat Anda lindungi AWS WAF
<a name="how-aws-waf-works-resources"></a>

Anda dapat menggunakan paket AWS WAF perlindungan (web ACL) untuk melindungi jenis sumber daya global atau regional. Anda melakukan ini dengan mengaitkan paket perlindungan (web ACL) dengan sumber daya yang ingin Anda lindungi. Paket perlindungan (web ACL) dan AWS WAF sumber daya apa pun yang digunakannya harus berada di Wilayah tempat sumber daya terkait berada. Untuk CloudFront distribusi Amazon, ini diatur ke US East (Virginia N.).

**CloudFront Distribusi Amazon**  
Anda dapat mengaitkan paket AWS WAF perlindungan (web ACL) dengan CloudFront distribusi menggunakan AWS WAF konsol atau APIs. Anda juga dapat mengaitkan paket perlindungan (web ACL) dengan CloudFront distribusi saat Anda membuat atau memperbarui distribusi itu sendiri. Untuk mengonfigurasi asosiasi di AWS CloudFormation, Anda harus menggunakan konfigurasi CloudFront distribusi. Untuk informasi tentang Amazon CloudFront, lihat [Menggunakan AWS WAF untuk Mengontrol Akses ke Konten Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.

AWS WAF tersedia secara global untuk CloudFront distribusi, tetapi Anda harus menggunakan Wilayah AS Timur (Virginia N.) untuk membuat paket perlindungan Anda (web ACL) dan sumber daya apa pun yang digunakan dalam paket perlindungan (web ACL), seperti grup aturan, set IP, dan set pola regex. Beberapa antarmuka menawarkan pilihan wilayah “Global (CloudFront)”. Memilih ini identik dengan memilih Wilayah AS Timur (Virginia N.) atau "us-east-1”.

**Sumber daya regional**  
Anda dapat melindungi sumber daya regional di semua Wilayah jika AWS WAF tersedia. Anda dapat melihat daftar di [AWS WAF titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/waf.html) di. *Referensi Umum Amazon Web* 

Anda dapat menggunakan AWS WAF untuk melindungi jenis sumber daya regional berikut: 
+ API REST Amazon API Gateway
+ Penyeimbang Beban Aplikasi
+ AWS AppSync GraphQL API
+ Kolam pengguna Amazon Cognito
+ AWS App Runner layanan
+ AWS Instans Akses Terverifikasi
+ AWS Amplify

Anda hanya dapat mengaitkan paket perlindungan (web ACL) ke Application Load Balancer yang ada di dalamnya. Wilayah AWS Misalnya, Anda tidak dapat mengaitkan paket perlindungan (web ACL) ke Application Load Balancer yang aktif. AWS Outposts

Anda harus membuat paket perlindungan (web ACL) apa pun yang ingin Anda kaitkan dengan aplikasi Amplify di Wilayah Global. CloudFront Anda mungkin sudah memiliki paket perlindungan Regional (web ACL) di Anda Akun AWS, tetapi mereka tidak kompatibel dengan Amplify.

Paket perlindungan (web ACL) dan AWS WAF sumber daya lain yang digunakannya harus berada di Wilayah yang sama dengan sumber daya yang dilindungi. Saat memantau dan mengelola permintaan web untuk sumber daya regional yang dilindungi, AWS WAF simpan semua data di Wilayah yang sama dengan sumber daya yang dilindungi. 

**Pembatasan pada beberapa asosiasi sumber daya**  
Anda dapat mengaitkan paket perlindungan tunggal (web ACL) dengan satu atau lebih AWS sumber daya, dengan batasan berikut:
+ Anda dapat mengaitkan setiap AWS sumber daya hanya dengan satu paket perlindungan (web ACL). Hubungan antara paket perlindungan (web ACL) dan AWS sumber daya adalah one-to-many. 
+ Anda dapat mengaitkan paket perlindungan (web ACL) dengan satu atau beberapa CloudFront distribusi. Anda tidak dapat mengaitkan paket perlindungan (web ACL) yang telah Anda kaitkan dengan CloudFront distribusi dengan jenis AWS sumber daya lainnya.

# Bekerja dengan pengalaman konsol yang diperbarui
<a name="working-with-console"></a>

 AWS WAF menawarkan dua opsi untuk menggunakan konsol:

 **Konsol baru** ini bertujuan untuk menyederhanakan proses konfigurasi ACL web yang diperlukan oleh alur kerja konsol standar. Anda dapat menggunakan alur kerja terpandu untuk menyederhanakan proses pembuatan dan manajemen ACL web melalui paket perlindungan (web ACL). Paket perlindungan (web ACL) membuatnya lebih mudah untuk menggunakan dan mengelola web ACLs di konsol, tetapi tidak berbeda secara fungsional dari ACL web. Selain proses konfigurasi perlindungan yang ditingkatkan, konsol baru ini menawarkan visibilitas yang ditingkatkan ke dalam perlindungan Anda melalui dasbor keamanan, sehingga lebih mudah untuk memantau postur keamanan Anda di dalam konsol. AWS WAF 

 ** AWS WAF Konsol standar** menyediakan pendekatan tradisional untuk mengkonfigurasi perlindungan firewall aplikasi web menggunakan web. ACLs Ini menawarkan kontrol terperinci atas aturan individu dan kelompok aturan dan akrab bagi AWS WAF pengguna yang ada. Dengan konsol ini, Anda memiliki kontrol terperinci atas konfigurasi perlindungan Anda, memungkinkan penyesuaian yang tepat dari pengaturan keamanan Anda. 

**Tip**  
 Pilih pengalaman konsol yang paling sesuai dengan kebutuhan Anda. Jika Anda baru AWS WAF atau ingin mulai mengonfigurasi perlindungan berdasarkan AWS rekomendasi, sebaiknya mulai dengan pengalaman konsol baru. Namun, pengalaman standar selalu tersedia untuk dibuka dari panel navigasi di konsol. 

## Paritas fitur antara pengalaman konsol baru dan standar
<a name="feature-parity"></a>

Pengalaman konsol baru mempertahankan paritas fitur lengkap dengan konsol yang ada sambil memperkenalkan kemampuan baru:
+ Semua AWS WAF fungsi yang ada tetap tersedia
+ Peningkatan visibilitas melalui dasbor terpadu
+ Alur kerja konfigurasi yang disederhanakan
+ Templat paket perlindungan baru (web ACL)

**penting**  
Pengalaman konsol baru menggunakan yang WAFv2 APIs sama dengan konsol yang ada. Ini berarti bahwa paket perlindungan yang dibuat di konsol baru diimplementasikan sebagai WAFv2 web standar ACLs di tingkat API.

## Perbedaan utama
<a name="key-differences"></a>


**Perbandingan Pengalaman Konsol**  

| Fitur | Pengalaman AWS WAF konsol sebelumnya | Pengalaman konsol yang diperbarui | 
| --- | --- | --- | 
| Proses konfigurasi | Alur kerja multi-halaman | Antarmuka satu halaman | 
| Konfigurasi aturan | Pembuatan aturan individu | Opsi untuk paket perlindungan yang telah dikonfigurasi sebelumnya | 
| Memantau | Dasbor terpisah | Visibilitas terpadu termasuk Analisis Lalu Lintas AI | 

## Memahami dasbor baru
<a name="understanding-new-dashboard"></a>

Dasbor yang tersedia melalui yang baru memberikan visibilitas terpadu ke dalam postur keamanan Anda melalui visualisasi ini:

**Rekomendasi wawasan lalu lintas** — AWS Threat Intelligence memantau lalu lintas yang diizinkan selama 2 minggu sebelumnya, menganalisis kerentanan, dan menyediakan hal-hal berikut:  
+ Saran aturan berbasis lalu lintas
+ Rekomendasi keamanan khusus aplikasi
+ Panduan pengoptimalan perlindungan

**Ringkasan** - Menampilkan jumlah permintaan untuk semua lalu lintas selama rentang waktu tertentu. Anda dapat menggunakan kriteria berikut untuk memfilter data lalu lintas:  
+ **Aturan** — Filter menurut aturan individu dalam paket perlindungan.
+ **Tindakan** - Tampilkan hitungan untuk tindakan spesifik yang diambil pada lalu lintas seperti Izinkan, Blokir, Captcha, dan Tantangan.
+ **Jenis lalu lintas** - Hanya menampilkan jumlah untuk jenis lalu lintas tertentu seperti DDo anti-S atau bot.
+ **Rentang waktu** - Pilih dari pilihan rentang waktu yang telah ditentukan, atau atur rentang kustom. 
+ **Waktu lokal atau UTC** - Anda dapat mengatur format waktu pilihan Anda.

**Analisis Lalu Lintas AI** - Memberikan visibilitas komprehensif ke dalam aktivitas bot dan agen AI:  
+ **Identifikasi bot** — Nama bot, organisasi, dan status verifikasi.
+ **Analisis maksud** — Tujuan dan pola perilaku agen AI.
+ **Pola akses** — Paling sering diakses URLs dan titik akhir.
+ **Tren temporal** — Pola aktivitas berdasarkan waktu dan tren historis (0-14 hari).
+ **Karakteristik lalu lintas** — Volume, distribusi, dan deteksi anomali untuk lalu lintas AI.

**Aktivitas perlindungan** — Memvisualisasikan aturan perlindungan Anda dan bagaimana pesanan mereka berkontribusi untuk menghentikan tindakan.  
+ **Arus lalu lintas melalui aturan Anda** — Tunjukkan arus lalu lintas melalui aturan Anda. Beralih dari **tampilan aturan Sekuensial ke tampilan** **aturan non-sekuensial untuk melihat** bagaimana urutan aturan memengaruhi hasil.
+ **Tindakan aturan dan hasilnya** — Menunjukkan tindakan penghentian yang diambil aturan pada lalu lintas dalam periode waktu yang ditentukan. 

**Total tindakan** — Bagan yang memvisualisasikan jumlah total tindakan yang diambil pada permintaan selama rentang waktu tertentu. Gunakan opsi **Overlay 3 jam terakhir** untuk membandingkan rentang waktu saat ini dengan jendela waktu 3 jam sebelumnya. Anda dapat memfilter data dengan:   
+ **Izinkan tindakan**
+ **Total tindakan**
+ **Tindakan Captcha**
+ **Tantang tindakan**
+ **Tindakan blok**

**Semua aturan** — Bagan yang memvisualisasikan metrik untuk semua aturan dalam paket perlindungan.  
+  Gunakan opsi **Overlay 3 jam terakhir** untuk membandingkan rentang waktu saat ini dengan jendela waktu 3 jam sebelumnya.

**Dasbor Ikhtisar** — Menyediakan tampilan grafis yang komprehensif tentang status keamanan Anda, termasuk yang berikut:  
+ **Karakteristik lalu** lintas — Lihat ikhtisar lalu lintas berdasarkan asal, jenis serangan, atau jenis perangkat klien yang mengirim permintaan.
+ **Karakteristik aturan** — Rincian serangan oleh 10 aturan paling umum dan tindakan termnating.
+ **Bot** — Visualisasikan aktivitas bot, deteksi, kategori, dan label sinyal terkait bot.
+ **DDoAnti-S** — Gambaran umum aktivitas lapisan 7 DDo S yang terdeteksi dan dikurangi.

# Mengkonfigurasi perlindungan di AWS WAF
<a name="web-acl"></a>

Halaman ini menjelaskan apa itu paket perlindungan (web ACLs) dan cara kerjanya.

 Paket perlindungan (web ACL) memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya terlindungi Anda. Anda dapat melindungi Amazon CloudFront, Amazon API Gateway, Application Load Balancer, Amazon Cognito AWS AppSync,,, CloudWatch Amazon AWS App Runner AWS Amplify, AWS dan sumber daya Akses Terverifikasi.

Anda dapat menggunakan kriteria seperti berikut ini untuk mengizinkan atau memblokir permintaan: 
+ Alamat IP asal permintaan
+ Negara asal permintaan
+ Pencocokan string atau ekspresi reguler (regex) cocok di bagian permintaan
+ Ukuran bagian tertentu dari permintaan
+ Deteksi kode SQL berbahaya atau scripting 

Anda juga dapat menguji kombinasi dari kondisi ini. Anda dapat memblokir atau menghitung permintaan web yang tidak hanya memenuhi kondisi yang ditentukan, tetapi juga melebihi jumlah permintaan tertentu dalam satu menit. Anda dapat menggabungkan kondisi menggunakan operator logis. Anda juga dapat menjalankan teka-teki CAPTCHA dan tantangan sesi klien diam terhadap permintaan. 

Anda memberikan kriteria pencocokan dan tindakan untuk melakukan kecocokan dalam pernyataan AWS WAF aturan. Anda dapat menentukan pernyataan aturan langsung di dalam paket perlindungan (web ACL) dan dalam grup aturan yang dapat digunakan kembali yang Anda gunakan dalam paket perlindungan (web ACL). Untuk daftar lengkap opsi, lihat [Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md) dan[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

Saat Anda membuat paket perlindungan (web ACL), Anda menentukan jenis sumber daya yang ingin Anda gunakan. Untuk informasi, lihat [Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md). Setelah Anda menentukan paket perlindungan (web ACL), Anda dapat mengaitkannya dengan sumber daya Anda untuk mulai memberikan perlindungan bagi mereka. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md). 

**catatan**  
Pada beberapa kesempatan, AWS WAF mungkin mengalami kesalahan internal yang menunda respons terhadap AWS sumber daya terkait tentang apakah akan mengizinkan atau memblokir permintaan. Pada kesempatan tersebut, CloudFront biasanya mengizinkan permintaan atau menyajikan konten, sedangkan layanan Regional biasanya menolak permintaan dan tidak menyajikan konten.

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Inkonsistensi sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

**Topics**
+ [Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md)
+ [Mengedit paket perlindungan (web ACL) di AWS WAF](web-acl-editing.md)
+ [Mengelola perilaku kelompok aturan](web-acl-rule-group-settings.md)
+ [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md)
+ [Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md)
+ [Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md)
+ [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [Mengkonfigurasi CAPTCHA, tantangan, dan token di AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [Melihat metrik lalu lintas web di AWS WAF](web-acl-working-with.md)
+ [Menghapus paket perlindungan (web ACL)](web-acl-deleting.md)

# Membuat paket perlindungan (web ACL) di AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

Bagian ini menyediakan prosedur untuk membuat paket perlindungan (web ACLs) melalui AWS konsol baru. 

Untuk membuat paket perlindungan baru (web ACL), gunakan panduan pembuatan paket perlindungan (web ACL) mengikuti prosedur di halaman ini. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Masuk ke yang baru Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Di panel navigasi, pilih **Resources & protection packs (web ACLs)**.

1. Pada halaman **Resources & protection packs (web ACLs)**, pilih **Add protection pack (web ACL)**.

1. Di bawah **Beri tahu kami tentang aplikasi Anda**, untuk **kategori Aplikasi**, pilih satu atau beberapa kategori aplikasi.

1. Untuk **sumber Lalu Lintas**, pilih jenis lalu lintas yang digunakan aplikasi; **API**, **Web**, atau **Keduanya API dan Web**.

1. Di bawah **Resources to protect,** pilih **Add Resources**.

1. Pilih kategori AWS sumber daya yang ingin Anda kaitkan dengan paket perlindungan ini (web ACL), baik CloudFront distribusi Amazon atau sumber daya Regional. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md). 

1. Di bawah **Pilih perlindungan awal,** pilih tingkat perlindungan pilihan Anda: **Direkomendasikan**, **Penting**, atau **Anda** membangunnya. 

1. (Opsional) Jika Anda memilih **Anda membangunnya**, buat aturan Anda.

   1. (Opsional) Jika Anda ingin menambahkan aturan Anda sendiri, pada halaman **Tambahkan aturan**, pilih **Aturan khusus** dan kemudian pilih **Berikutnya**.

      1. Pilih jenis aturan.

      1. Untuk **Tindakan**, pilih tindakan yang ingin diambil aturan saat cocok dengan permintaan web. Untuk informasi tentang pilihan Anda, lihat [Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md) dan[Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

         Jika Anda menggunakan **Challenge**tindakan **CAPTCHA**atau, sesuaikan konfigurasi **waktu Imunitas** sesuai kebutuhan untuk aturan. Jika Anda tidak menentukan pengaturan, aturan mewarisinya dari paket perlindungan (web ACL). Untuk memodifikasi pengaturan waktu kekebalan paket perlindungan (web ACL), edit paket perlindungan (web ACL) setelah Anda membuatnya. Untuk informasi lebih lanjut tentang waktu kekebalan, lihat[Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).
**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

         Jika Anda ingin menyesuaikan permintaan atau respons, pilih opsi untuk itu dan isi detail penyesuaian Anda. Untuk informasi selengkapnya, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

         Jika Anda ingin aturan Anda menambahkan label ke permintaan web yang cocok, pilih opsi untuk itu dan isi detail label Anda. Untuk informasi selengkapnya, lihat [Pelabelan permintaan web di AWS WAF](waf-labels.md).

      1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi aturan ini. Jangan gunakan nama yang dimulai dengan `AWS``Shield`,`PreFM`, atau`PostFM`. String ini dicadangkan atau dapat menyebabkan kebingungan dengan grup aturan yang dikelola untuk Anda oleh layanan lain.

      1. Masukkan definisi aturan Anda, sesuai dengan kebutuhan Anda. Anda dapat menggabungkan aturan di dalam pernyataan logis `AND` dan `OR` aturan. Wizard memandu Anda melalui opsi untuk setiap aturan, sesuai dengan konteksnya. Untuk informasi tentang opsi aturan Anda, lihat[AWS WAF aturan](waf-rules.md). 

      1. Pilih **Buat aturan**.
**catatan**  
Jika Anda menambahkan lebih dari satu aturan ke paket perlindungan (web ACL), AWS WAF evaluasi aturan dalam urutan yang terdaftar untuk paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

   1. (Opsional) Jika Anda ingin menambahkan grup aturan terkelola, pada halaman **Tambahkan aturan**, pilih **grup aturan yang AWS dikelola atau grup** **aturan AWS Marketplace**, lalu pilih **Berikutnya**. Lakukan hal berikut untuk setiap grup aturan terkelola yang ingin Anda tambahkan:

      1. Pada halaman **Tambahkan aturan**, perluas daftar untuk grup aturan AWS terkelola atau untuk AWS Marketplace penjual.

      1. Pilih versi grup aturan.

      1. Untuk menyesuaikan cara paket perlindungan Anda (web ACL) menggunakan grup aturan, pilih **Edit**. Berikut ini adalah pengaturan kustomisasi umum: 
         + **Kurangi cakupan permintaan web yang diperiksa grup aturan dengan menambahkan pernyataan cakupan bawah di bagian Inspeksi.** Untuk informasi tentang opsi ini, lihat[Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md).
         + Ganti tindakan aturan untuk beberapa atau semua aturan dalam **penggantian Aturan**. Jika Anda tidak menentukan tindakan penggantian untuk aturan, evaluasi menggunakan tindakan aturan yang ditentukan di dalam grup aturan. Untuk informasi tentang opsi ini, lihat[Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md). 
         + Beberapa grup aturan terkelola mengharuskan Anda untuk menyediakan konfigurasi tambahan. Lihat dokumentasi dari penyedia grup aturan terkelola Anda. Untuk informasi khusus tentang grup aturan Aturan AWS Terkelola, lihat[AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md). 

      1. Pilih **Berikutnya**.

   1. (Opsional) Jika Anda ingin menambahkan grup aturan Anda sendiri, pada halaman **Tambahkan aturan**, pilih **Grup aturan khusus**, lalu pilih **Berikutnya**. Lakukan hal berikut untuk setiap grup aturan yang ingin Anda tambahkan:

      1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk aturan grup aturan dalam paket perlindungan ini (web ACL). Jangan gunakan nama yang dimulai dengan `AWS``Shield`,`PreFM`, atau`PostFM`. String ini dicadangkan atau dapat menyebabkan kebingungan dengan grup aturan yang dikelola untuk Anda oleh layanan lain. Lihat [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md). 

      1. Pilih grup aturan Anda dari daftar. 

      1. (Opsional) Di bawah **konfigurasi Aturan**, pilih **penggantian Aturan**. Anda dapat mengganti tindakan aturan ke setelan tindakan yang valid, sama seperti yang dapat Anda lakukan untuk grup aturan terkelola.

      1. (Opsional) Di bawah **Tambahkan label**, pilih **Tambahkan label** lalu masukkan label apa pun yang ingin Anda tambahkan ke permintaan yang cocok dengan aturan. Aturan yang dievaluasi nanti dalam paket perlindungan yang sama (web ACL) dapat mereferensikan label yang ditambahkan aturan ini.

      1. Pilih **Buat aturan**.

1. Di bawah **Nama dan deskripsi**, masukkan nama untuk paket perlindungan Anda (web ACL). Secara opsional, masukkan deskripsi.
**catatan**  
Anda tidak dapat mengubah nama setelah membuat paket perlindungan (web ACL).

1. (Opsional) Di bawah **Sesuaikan paket perlindungan (web ACL)**, konfigurasikan tindakan aturan default, konfigurasi, dan tujuan pencatatan:

   1. (Opsional) Di bawah **Tindakan aturan default**, pilih tindakan default untuk paket perlindungan (web ACL). Ini adalah tindakan yang AWS WAF mengambil permintaan ketika aturan dalam paket perlindungan (web ACL) tidak secara eksplisit mengambil tindakan. Untuk informasi selengkapnya, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

   1. (Opsional) Di bawah konfigurasi Aturan, sesuaikan pengaturan untuk aturan dalam paket perlindungan (web ACL):
      + **Batas tarif default** - Tetapkan batas tarif untuk memblokir serangan Denial of Service (DoS) yang dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan. Rasio aturan ini memblokir permintaan per alamat IP yang melebihi tarif yang diizinkan untuk aplikasi Anda. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)
      + **Alamat IP** - Masukkan alamat IP untuk memblokir atau mengizinkan. Pengaturan ini mengesampingkan aturan lain.
      + **Asal khusus negara** - Blokir permintaan dari negara tertentu atau Hitung semua lalu lintas.

   1. Untuk **tujuan Logging**, konfigurasikan jenis tujuan logging dan tempat menyimpan log. Untuk informasi selengkapnya, lihat [AWS WAF tujuan pencatatan](logging-destinations.md).

1. Tinjau pengaturan Anda dan pilih **Tambahkan paket perlindungan (web ACL)**.

------
#### [ Using the standard console ]

Bagian ini menyediakan prosedur untuk membuat web ACLs melalui AWS konsol. 

Untuk membuat ACL web baru, gunakan wizard pembuatan ACL web mengikuti prosedur di halaman ini. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan di ACL web Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Untuk membuat web ACL**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **web ACLs** di panel navigasi, lalu pilih **Buat web ACL**.

1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi ACL web ini. 
**catatan**  
Anda tidak dapat mengubah nama setelah membuat ACL web.

1. (Opsional) Untuk **Deskripsi - opsional**, masukkan deskripsi yang lebih panjang untuk ACL web jika Anda mau. 

1. Untuk **nama CloudWatch metrik**, ubah nama default jika berlaku. Ikuti panduan di konsol untuk karakter yang valid. Nama tidak dapat berisi karakter khusus, spasi putih, atau nama metrik yang disediakan untuk AWS WAF, termasuk “Semua” dan “Default\$1Action.”
**catatan**  
Anda tidak dapat mengubah nama CloudWatch metrik setelah membuat ACL web.

1. Di bawah **Jenis sumber daya**, pilih kategori AWS sumber daya yang ingin Anda kaitkan dengan ACL web ini, baik CloudFront distribusi Amazon atau sumber daya Regional. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. Untuk **Wilayah**, jika Anda telah memilih jenis sumber daya Regional, pilih Wilayah tempat Anda AWS WAF ingin menyimpan ACL web. 

   Anda hanya perlu memilih opsi ini untuk jenis sumber daya Regional. Untuk CloudFront distribusi, Wilayah ini dikodekan dengan keras ke Wilayah AS Timur (Virginia N.),`us-east-1`, untuk aplikasi Global (). CloudFront

1. (CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi) Untuk **batas ukuran pemeriksaan permintaan Web - opsional**, jika Anda ingin menentukan batas ukuran inspeksi tubuh yang berbeda, pilih batasnya. Memeriksa ukuran tubuh di atas default 16 KB dapat menimbulkan biaya tambahan. Untuk informasi tentang opsi ini, lihat[Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Opsional) Untuk ** AWS sumber daya terkait - opsional**, jika Anda ingin menentukan sumber daya Anda sekarang, pilih **Tambahkan AWS sumber daya**. Di kotak dialog, pilih sumber daya yang ingin Anda kaitkan, lalu pilih **Tambah**. AWS WAF mengembalikan Anda ke halaman **Deskripsikan web ACL dan AWS sumber daya terkait**.
**catatan**  
Ketika Anda memilih untuk mengaitkan Application Load Balancer dengan ACL web Anda, perlindungan S tingkat **Sumber Daya diaktifkan DDo**. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi](waf-anti-ddos.md).

1. Pilih **Berikutnya**.

1. (Opsional) Jika Anda ingin menambahkan grup aturan terkelola, pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan**, lalu pilih **Tambahkan grup aturan terkelola**. Lakukan hal berikut untuk setiap grup aturan terkelola yang ingin Anda tambahkan:

   1. Pada halaman **Tambahkan grup aturan terkelola**, perluas daftar untuk grup aturan AWS terkelola atau untuk AWS Marketplace penjual pilihan Anda.

   1. Untuk grup aturan yang ingin Anda tambahkan, di kolom **Tindakan**, aktifkan sakelar **Tambahkan ke web ACL**. 

      Untuk menyesuaikan cara ACL web Anda menggunakan grup aturan, pilih **Edit**. Berikut ini adalah pengaturan kustomisasi umum: 
      + Ganti tindakan aturan untuk beberapa atau semua aturan. Jika Anda tidak menentukan tindakan penggantian untuk aturan, evaluasi menggunakan tindakan aturan yang ditentukan di dalam grup aturan. Untuk informasi tentang opsi ini, lihat[Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md). 
      + Kurangi cakupan permintaan web yang diperiksa grup aturan dengan menambahkan pernyataan cakupan ke bawah. Untuk informasi tentang opsi ini, lihat[Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md).
      + Beberapa grup aturan terkelola mengharuskan Anda untuk menyediakan konfigurasi tambahan. Lihat dokumentasi dari penyedia grup aturan terkelola Anda. Untuk informasi khusus tentang grup aturan Aturan AWS Terkelola, lihat[AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md). 

      Setelah selesai dengan pengaturan, pilih **Simpan aturan**.

   Pilih **Tambahkan aturan** untuk menyelesaikan penambahan aturan terkelola dan kembali ke halaman **Tambahkan aturan dan grup aturan**.
**catatan**  
Jika Anda menambahkan lebih dari satu aturan ke ACL web, AWS WAF evaluasi aturan dalam urutan yang terdaftar untuk ACL web. Untuk informasi selengkapnya, lihat [Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

1. (Opsional) Jika Anda ingin menambahkan grup aturan Anda sendiri, pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan**, lalu pilih **Tambahkan aturan dan grup aturan saya sendiri**. Lakukan hal berikut untuk setiap grup aturan yang ingin Anda tambahkan:

   1. Pada halaman **Tambahkan aturan dan grup aturan saya sendiri**, pilih **Grup aturan**.

   1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk aturan grup aturan di ACL web ini. Jangan gunakan nama yang dimulai dengan `AWS``Shield`,`PreFM`, atau`PostFM`. String ini dicadangkan atau dapat menyebabkan kebingungan dengan grup aturan yang dikelola untuk Anda oleh layanan lain. Lihat [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md). 

   1. Pilih grup aturan Anda dari daftar. 
**catatan**  
Jika Anda ingin mengganti tindakan aturan untuk grup aturan Anda sendiri, pertama-tama simpan ke ACL web, lalu edit ACL web dan pernyataan referensi grup aturan dalam daftar aturan ACL web. Anda dapat mengganti tindakan aturan ke setelan tindakan yang valid, sama seperti yang dapat Anda lakukan untuk grup aturan terkelola.

   1. Pilih **Tambahkan aturan**.

1. (Opsional) Jika Anda ingin menambahkan aturan Anda sendiri, pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan**, **Tambahkan aturan dan grup aturan saya sendiri**, **Pembuat aturan**, lalu **Editor visual Aturan**. 
**catatan**  
**Editor visual Aturan** konsol mendukung satu tingkat bersarang. Misalnya, Anda dapat menggunakan satu logika `AND` atau `OR` pernyataan dan sarang satu tingkat pernyataan lain di dalamnya, tetapi Anda tidak dapat membuat pernyataan logis dalam pernyataan logis. Untuk mengelola pernyataan aturan yang lebih kompleks, gunakan **editor Rule JSON**. Untuk informasi tentang semua opsi untuk aturan, lihat[AWS WAF aturan](waf-rules.md).   
Prosedur ini mencakup **editor visual Rule**. 

   1. Untuk **Nama**, masukkan nama yang ingin Anda gunakan untuk mengidentifikasi aturan ini. Jangan gunakan nama yang dimulai dengan `AWS``Shield`,`PreFM`, atau`PostFM`. String ini dicadangkan atau dapat menyebabkan kebingungan dengan grup aturan yang dikelola untuk Anda oleh layanan lain.

   1. Masukkan definisi aturan Anda, sesuai dengan kebutuhan Anda. Anda dapat menggabungkan aturan di dalam pernyataan logis `AND` dan `OR` aturan. Wizard memandu Anda melalui opsi untuk setiap aturan, sesuai dengan konteksnya. Untuk informasi tentang opsi aturan Anda, lihat[AWS WAF aturan](waf-rules.md). 

   1. Untuk **Tindakan**, pilih tindakan yang ingin diambil aturan saat cocok dengan permintaan web. Untuk informasi tentang pilihan Anda, lihat [Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md) dan[Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

      Jika Anda menggunakan **Challenge**tindakan **CAPTCHA**atau, sesuaikan konfigurasi **waktu Imunitas** sesuai kebutuhan untuk aturan. Jika Anda tidak menentukan pengaturan, aturan mewarisinya dari ACL web. Untuk mengubah pengaturan waktu kekebalan ACL web, edit ACL web setelah Anda membuatnya. Untuk informasi lebih lanjut tentang waktu kekebalan, lihat[Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).
**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

      Jika Anda ingin menyesuaikan permintaan atau respons, pilih opsi untuk itu dan isi detail penyesuaian Anda. Untuk informasi selengkapnya, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

      Jika Anda ingin aturan Anda menambahkan label ke permintaan web yang cocok, pilih opsi untuk itu dan isi detail label Anda. Untuk informasi selengkapnya, lihat [Pelabelan permintaan web di AWS WAF](waf-labels.md).

   1. Pilih **Tambahkan aturan**.

1. Pilih tindakan default untuk ACL web, salah satu Block atauAllow. Ini adalah tindakan yang AWS WAF mengambil permintaan ketika aturan di web ACL tidak secara eksplisit mengizinkan atau memblokirnya. Untuk informasi selengkapnya, lihat [Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md).

   Jika Anda ingin menyesuaikan tindakan default, pilih opsi untuk itu dan isi detail penyesuaian Anda. Untuk informasi selengkapnya, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

1. Anda dapat menentukan **daftar domain Token** untuk mengaktifkan berbagi token antara aplikasi yang dilindungi. Token digunakan oleh CAPTCHA dan Challenge tindakan dan integrasi aplikasi SDKs yang Anda terapkan saat Anda menggunakan grup aturan Aturan AWS Terkelola untuk pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP), pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP), dan Kontrol Bot. AWS WAF 

   Sufiks publik tidak diizinkan. Misalnya, Anda tidak dapat menggunakan `gov.au` atau `co.uk` sebagai domain token.

   Secara default, AWS WAF menerima token hanya untuk domain sumber daya yang dilindungi. Jika Anda menambahkan domain token dalam daftar ini, AWS WAF menerima token untuk semua domain dalam daftar dan untuk domain sumber daya terkait. Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Pilih **Berikutnya**.

1. Di halaman **Tetapkan prioritas aturan**, pilih dan pindahkan aturan dan grup aturan Anda ke urutan yang AWS WAF ingin Anda proses. AWS WAF Memproses aturan mulai dari bagian atas daftar. Saat Anda menyimpan web ACL AWS WAF menetapkan pengaturan prioritas numerik ke aturan, dalam urutan yang Anda daftarkan. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

1. Pilih **Berikutnya**.

1. Di halaman **Konfigurasi metrik**, tinjau opsi dan terapkan pembaruan apa pun yang Anda butuhkan. Anda dapat menggabungkan metrik dari berbagai sumber dengan memberikan **nama CloudWatch metrik** yang sama untuk mereka. 

1. Pilih **Berikutnya**.

1. Di halaman **Tinjau dan buat web ACL**, periksa definisi Anda. Jika Anda ingin mengubah area apa pun, pilih **Edit** untuk area tersebut. Ini mengembalikan Anda ke halaman di wizard ACL web. Buat perubahan apa pun, lalu pilih **Berikutnya** melalui halaman sampai Anda kembali ke halaman **Review dan buat web ACL**.

1. Pilih **Buat web ACL**. ACL web baru Anda tercantum di ACLs halaman **web**.

------

# Mengedit paket perlindungan (web ACL) di AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

Bagian ini menyediakan prosedur untuk mengedit paket perlindungan (web ACLs) melalui AWS konsol. 

Untuk menambah atau menghapus aturan dari paket perlindungan (web ACL) atau mengubah pengaturan konfigurasi, akses paket perlindungan (web ACL) menggunakan prosedur di halaman ini. Saat memperbarui paket perlindungan (web ACL), AWS WAF menyediakan cakupan berkelanjutan ke sumber daya yang telah Anda kaitkan dengan paket perlindungan (web ACL). 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Untuk mengedit paket perlindungan (web ACL)**

1. Masuk ke yang baru Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Di panel navigasi, pilih **Resources & protection packs (web ACLs)**.

1. Pilih paket perlindungan (web ACL) yang ingin Anda edit. Konsol membuat kartu paket perlindungan utama (web ACL) dapat diedit, dan juga membuka panel samping dengan detail yang dapat Anda edit.

1. Edit paket perlindungan (web ACL) sesuai kebutuhan. 

   Berikut ini mencantumkan komponen konfigurasi paket perlindungan (web ACL) yang dapat diedit. 

   Bagian ini menyediakan prosedur untuk mengedit web ACLs melalui AWS konsol. 

   Untuk menambah atau menghapus aturan dari ACL web atau mengubah pengaturan konfigurasi, akses ACL web menggunakan prosedur di halaman ini. Saat memperbarui ACL web, AWS WAF menyediakan cakupan berkelanjutan ke sumber daya yang telah Anda kaitkan dengan ACL web. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan di ACL web Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

------
#### [ Using the standard console ]

Bagian ini menyediakan prosedur untuk mengedit web ACLs melalui AWS konsol. 

Untuk menambah atau menghapus aturan dari ACL web atau mengubah pengaturan konfigurasi, akses ACL web menggunakan prosedur di halaman ini. Saat memperbarui ACL web, AWS WAF menyediakan cakupan berkelanjutan ke sumber daya yang telah Anda kaitkan dengan ACL web. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan di ACL web Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Untuk mengedit ACL web**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **web ACLs**.

1. Pilih nama ACL web yang ingin Anda edit. Konsol membawa Anda ke deskripsi ACL web. 

1. Edit ACL web sesuai kebutuhan. Pilih tab untuk area konfigurasi yang Anda minati dan edit pengaturan yang bisa berubah. Untuk setiap pengaturan yang Anda edit, ketika Anda memilih **Simpan** dan kembali ke halaman deskripsi ACL web, konsol menyimpan perubahan Anda ke ACL web. 

   Berikut ini daftar tab yang berisi komponen konfigurasi ACL web. 
   + Tab **Aturan**
     + **Aturan yang didefinisikan dalam ACL web** — Anda dapat mengedit dan mengelola aturan yang telah Anda tetapkan di ACL web, mirip dengan yang Anda lakukan selama pembuatan ACL web. 
**catatan**  
Jangan mengubah nama aturan apa pun yang tidak Anda tambahkan dengan tangan ke ACL web Anda. Jika Anda menggunakan layanan lain untuk mengelola aturan untuk Anda, mengubah nama mereka dapat menghapus atau mengurangi kemampuan mereka untuk memberikan perlindungan yang dimaksudkan. AWS Shield Advanced dan AWS Firewall Manager keduanya dapat membuat aturan di ACL web Anda. Untuk informasi, lihat [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md).
**catatan**  
Jika Anda mengubah nama aturan dan Anda ingin nama metrik aturan mencerminkan perubahan, Anda harus memperbarui nama metrik juga. AWS WAF tidak secara otomatis memperbarui nama metrik untuk aturan saat Anda mengubah nama aturan. Anda dapat mengubah nama metrik saat mengedit aturan di konsol, dengan menggunakan editor JSON aturan. Anda juga dapat mengubah kedua nama melalui APIs dan dalam daftar JSON apa pun yang Anda gunakan untuk menentukan paket perlindungan (web ACL) atau grup aturan.

       Untuk informasi tentang aturan dan pengaturan grup aturan, lihat [AWS WAF aturan](waf-rules.md) dan[AWS WAF kelompok aturan](waf-rule-groups.md).
     + **unit kapasitas aturan ACL web yang digunakan** — Penggunaan kapasitas saat ini untuk ACL web Anda. Ini hanya tampilan. 
     + **Tindakan ACL web default untuk permintaan yang tidak cocok dengan aturan apa pun** — Untuk informasi tentang setelan ini, lihat[Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md). 
     + **web ACL CAPTCHA dan konfigurasi tantangan** — Waktu kekebalan ini menentukan berapa lama CAPTCHA atau token tantangan tetap valid setelah diperoleh. Anda hanya dapat mengubah pengaturan ini di sini, setelah Anda membuat web ACL. Untuk informasi tentang pengaturan ini, lihat [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).
     + **Daftar domain Token** — AWS WAF menerima token untuk semua domain dalam daftar dan untuk domain sumber daya terkait. Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).
   + Tab ** AWS sumber daya terkait**
     + **Batas ukuran pemeriksaan permintaan web** - Termasuk hanya untuk web ACLs yang melindungi CloudFront distribusi. Batas ukuran inspeksi tubuh menentukan berapa banyak komponen tubuh yang diteruskan AWS WAF untuk diperiksa. Untuk informasi selengkapnya tentang pengaturan ini, lihat[Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md).
     + ** AWS Sumber daya terkait** — Daftar sumber daya yang saat ini dikaitkan dan dilindungi oleh ACL web. Anda dapat menemukan sumber daya yang berada dalam Wilayah yang sama dengan ACL web dan mengaitkannya ke ACL web. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).
   + Tab **badan respons khusus**
     + Badan respons khusus yang tersedia untuk digunakan oleh aturan ACL web Anda yang memiliki tindakan yang disetel keBlock. Untuk informasi selengkapnya, lihat [Mengirim tanggapan khusus untuk Block tindakan](customizing-the-response-for-blocked-requests.md).
   + **Tab logging dan metrik**
     + **Logging** — Logging untuk lalu lintas yang dievaluasi ACL web. Untuk informasi, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).
     + **Integrasi Security Lake** — Status pengumpulan data apa pun yang telah Anda konfigurasikan untuk ACL web di Amazon Security Lake. Untuk selengkapnya, lihat [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
     + **Permintaan sampel** — Informasi tentang aturan yang cocok dengan permintaan web. Untuk informasi tentang melihat permintaan sampel, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md).
     + **Pengaturan perlindungan data** — Anda dapat mengonfigurasi redaksi dan pemfilteran data lalu lintas web untuk semua data yang tersedia untuk ACL web dan hanya untuk data yang AWS WAF dikirim ke tujuan pencatatan ACL web yang dikonfigurasi. Untuk informasi tentang perlindungan data, lihat[Perlindungan data dan pencatatan untuk AWS WAF lalu lintas paket perlindungan (web ACL)](waf-data-protection-and-logging.md). 
     + **CloudWatch metrik** — Metrik untuk aturan di ACL web Anda. Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

------

# Mengelola perilaku kelompok aturan
<a name="web-acl-rule-group-settings"></a>

Bagian ini menjelaskan opsi Anda untuk memodifikasi cara Anda menggunakan grup aturan dalam paket perlindungan (web ACL). Informasi ini berlaku untuk semua jenis grup aturan. Setelah menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan aturan individual dalam grup aturan ke Count atau ke setelan tindakan aturan lain yang valid. Anda juga dapat mengganti tindakan grup aturan yang dihasilkanCount, yang tidak berpengaruh pada bagaimana aturan dievaluasi di dalam grup aturan. 

Untuk informasi tentang opsi ini, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md).

## Mengesampingkan tindakan aturan dalam grup aturan
<a name="web-acl-rule-group-rule-action-override"></a>

Untuk setiap grup aturan dalam paket perlindungan (web ACL), Anda dapat mengganti tindakan aturan yang terkandung untuk beberapa atau semua aturan. 

Kasus penggunaan yang paling umum untuk ini adalah mengesampingkan tindakan aturan Count untuk menguji aturan baru atau yang diperbarui. Jika metrik diaktifkan, Anda menerima metrik untuk setiap aturan yang Anda timpa. Untuk informasi lebih lanjut tentang pengujian, lihat[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

Anda dapat membuat perubahan ini saat menambahkan grup aturan terkelola ke paket perlindungan (web ACL), dan Anda dapat membuatnya ke semua jenis grup aturan saat Anda mengedit paket perlindungan (web ACL). Instruksi ini untuk grup aturan yang telah ditambahkan ke paket perlindungan (web ACL). Lihat informasi tambahan tentang opsi ini di[Pengesampingan tindakan aturan kelompok aturan](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Untuk mengganti tindakan aturan dalam grup aturan**

1. Pilih paket perlindungan (web ACL) yang ingin Anda edit. Konsol membuat kartu paket perlindungan utama (web ACL) dapat diedit, dan juga membuka panel samping dengan detail yang dapat Anda edit.

1. Di kartu protection pack (web ACL), pilih tautan **Edit** di samping **Aturan** untuk membuka panel **Kelola aturan**.

1. Di bagian **Kelola aturan** untuk grup aturan, pilih aturan terkelola untuk membuka pengaturan tindakannya.
   + **Ganti grup aturan - Mengubah** tindakan grup aturan ke mode Hitung tetapi membuat semua tindakan aturan individu tidak berubah.
   + **Ganti semua tindakan aturan - Menerapkan** tindakan aturan ke semua aturan, mengesampingkan statusnya saat ini.
   + **Penggantian aturan tunggal — Menerapkan** tindakan aturan ke aturan individu.

1. Setelah selesai membuat perubahan, pilih **Simpan aturan**. 

------
#### [ Using the standard console ]

**Untuk mengganti tindakan aturan dalam grup aturan**

1. Edit ACL web. 

1. Di tab **Aturan** halaman ACL web, pilih grup aturan, lalu pilih **Edit**. 

1. Di bagian **Aturan** untuk grup aturan, kelola pengaturan tindakan sesuai kebutuhan. 
   + **Semua aturan** — Untuk menetapkan tindakan penggantian untuk semua aturan dalam grup aturan, buka dropdown **Override all rule actions** dan pilih tindakan override. Untuk menghapus penggantian untuk semua aturan, pilih **Hapus semua** penggantian. 
   + **Aturan tunggal** — Untuk menetapkan tindakan override untuk satu aturan, buka dropdown aturan dan pilih tindakan override. **Untuk menghapus penggantian aturan, buka dropdown aturan dan pilih Hapus penggantian.**

1. Setelah selesai membuat perubahan, pilih **Simpan aturan**. Tindakan aturan dan pengaturan tindakan penggantian tercantum di halaman grup aturan. 

------

Contoh daftar JSON berikut menunjukkan deklarasi grup aturan di dalam paket perlindungan (web ACL) yang mengesampingkan tindakan aturan Count untuk aturan dan. `CategoryVerifiedSearchEngine` `CategoryVerifiedSocialMedia` Di JSON, Anda mengganti semua tindakan aturan dengan menyediakan `RuleActionOverrides` entri untuk setiap aturan individual.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Mengesampingkan hasil evaluasi kelompok aturan ke Count
<a name="web-acl-rule-group-action-override"></a>

Anda dapat mengganti tindakan yang dihasilkan dari evaluasi grup aturan, tanpa mengubah cara aturan dalam grup aturan dikonfigurasi atau dievaluasi. Opsi ini tidak umum digunakan. Jika ada aturan dalam grup aturan yang menghasilkan kecocokan, penggantian ini akan menetapkan tindakan yang dihasilkan dari grup aturan menjadiCount.

**catatan**  
Ini adalah kasus penggunaan yang tidak umum. Sebagian besar penggantian tindakan dilakukan pada tingkat aturan, di dalam grup aturan, seperti yang dijelaskan dalam. [Mengesampingkan tindakan aturan dalam grup aturan](#web-acl-rule-group-rule-action-override)

Anda dapat mengganti tindakan yang dihasilkan grup aturan dalam paket perlindungan (web ACL) saat menambahkan atau mengedit grup aturan. Di konsol, buka **tindakan grup aturan Override grup aturan - panel opsional** dan aktifkan penggantian. Dalam JSON ditetapkan `OverrideAction` dalam pernyataan kelompok aturan, seperti yang ditunjukkan dalam daftar contoh berikut: 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS
<a name="web-acl-associating-aws-resource"></a>

Anda dapat menggunakan AWS WAF untuk membuat asosiasi berikut antara paket perlindungan (web ACLs) dan sumber daya Anda: 
+ Kaitkan paket perlindungan regional (web ACL) dengan salah satu sumber daya regional yang tercantum di bawah ini. Untuk opsi ini, paket perlindungan (web ACL) harus berada di wilayah yang sama dengan sumber daya Anda. 
  + API REST Amazon API Gateway
  + Penyeimbang Beban Aplikasi
  + AWS AppSync GraphQL API
  + Kolam pengguna Amazon Cognito
  + AWS App Runner layanan
  + AWS Instans Akses Terverifikasi
  + AWS Amplify
+ Kaitkan paket perlindungan global (web ACL) dengan CloudFront distribusi Amazon. Paket perlindungan global (web ACL) akan memiliki Wilayah Wilayah AS Timur (Virginia N.) yang dikodekan dengan kode keras.

Anda juga dapat mengaitkan paket perlindungan (web ACL) dengan CloudFront distribusi saat Anda membuat atau memperbarui distribusi itu sendiri. Untuk selengkapnya, lihat [Menggunakan AWS WAF untuk Mengontrol Akses ke Konten Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.

**Pembatasan pada beberapa asosiasi**  
Anda dapat mengaitkan paket perlindungan tunggal (web ACL) dengan satu atau lebih AWS sumber daya, sesuai dengan batasan berikut:
+ Anda dapat mengaitkan setiap AWS sumber daya hanya dengan satu paket perlindungan (web ACL). Hubungan antara paket perlindungan (web ACL) dan AWS sumber daya adalah one-to-many. 
+ Anda dapat mengaitkan paket perlindungan (web ACL) dengan satu atau beberapa CloudFront distribusi. Anda tidak dapat mengaitkan paket perlindungan (web ACL) yang telah Anda kaitkan dengan CloudFront distribusi dengan jenis AWS sumber daya lainnya.

**Pembatasan tambahan**  
Pembatasan tambahan berikut berlaku untuk asosiasi paket perlindungan (web ACL): 
+ Anda hanya dapat mengaitkan paket perlindungan (web ACL) ke Application Load Wilayah AWS Balancer di dalamnya. Misalnya, Anda tidak dapat mengaitkan paket perlindungan (web ACL) ke Application Load Balancer yang aktif. AWS Outposts
+ Anda tidak dapat mengaitkan kumpulan pengguna Amazon Cognito dengan paket perlindungan (web ACL) yang menggunakan grup aturan terkelola pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) `AWSManagedRulesACFPRuleSet` atau grup aturan terkelola pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP). `AWSManagedRulesATPRuleSet` Untuk informasi tentang pencegahan penipuan pembuatan akun, lihat[AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md). Untuk informasi tentang pencegahan pengambilalihan akun, lihat[AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md). 

**Risiko lalu lintas produksi**  
Sebelum Anda menggunakan paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

# Mengaitkan perlindungan dengan sumber daya AWS
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Pilih paket perlindungan (web ACL) yang ingin Anda edit. Konsol membuat kartu paket perlindungan utama (web ACL) dapat diedit, dan juga membuka panel samping dengan detail yang dapat Anda edit.

1. Di kartu protection pack (web ACL), pilih tautan **Edit** di sebelah **Resources** untuk membuka panel **Kelola sumber daya**.

1. Di bagian **Kelola sumber daya** untuk grup aturan, pilih **Tambahkan sumber daya regional** atau **Tambahkan sumber daya global**.

1. Pilih sumber daya lalu pilih **Tambah**.

------
#### [ Using the standard console ]

Untuk mengaitkan ACL web dengan AWS sumber daya, lakukan prosedur berikut.

**Untuk mengaitkan ACL web dengan sumber daya AWS**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **web ACLs**.

1. Pilih nama ACL web yang ingin Anda kaitkan dengan sumber daya. Konsol membawa Anda ke deskripsi ACL web, di mana Anda dapat mengeditnya.

1. Pada tab ** AWS Sumber daya terkait**, pilih **Tambahkan AWS sumber daya**.

1. Saat diminta, pilih jenis sumber daya, pilih tombol radio di sebelah sumber daya yang ingin Anda kaitkan, lalu pilih **Tambah**. 

------

# Memutuskan perlindungan dari sumber daya AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Pilih paket perlindungan (web ACL) yang ingin Anda edit. Konsol membuat kartu paket perlindungan utama (web ACL) dapat diedit, dan juga membuka panel samping dengan detail yang dapat Anda edit.

1. Di kartu protection pack (web ACL), pilih tautan **Edit** di sebelah **Resources** untuk membuka panel **Kelola sumber daya**.

1. Di bagian **Kelola sumber daya** untuk grup aturan, pilih sumber daya yang ingin Anda putuskan, lalu pilih **Putuskan**.
**catatan**  
Anda harus memisahkan satu sumber daya pada satu waktu. Jangan memilih banyak sumber daya. 

1. Di halaman konfirmasi, ketik “disassociate”, lalu pilih **Disassociate**.

------
#### [ Using the standard console ]

Untuk memisahkan ACL web dari AWS sumber daya, lakukan prosedur berikut.

**Untuk memisahkan ACL web dari sumber daya AWS**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **web ACLs**.

1. Pilih nama ACL web yang ingin Anda putuskan dari sumber daya Anda. Konsol membawa Anda ke deskripsi ACL web, tempat Anda dapat mengeditnya.

1. Pada tab ** AWS Sumber daya terkait**, pilih sumber daya yang ingin Anda putuskan dari ACL web ini. 
**catatan**  
Anda harus memisahkan satu sumber daya pada satu waktu. Jangan memilih banyak sumber daya. 
**catatan**  
Ketika Anda memilih untuk mengaitkan Application Load Balancer dengan WebACL Anda, perlindungan S tingkat **Sumber Daya diaktifkan DDo**. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi](waf-anti-ddos.md).

1. Pilih **Pisahkan**. Konsol membuka dialog konfirmasi. Konfirmasikan pilihan Anda untuk memisahkan ACL web dari sumber daya. AWS 

------

# Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF
<a name="web-acl-processing"></a>

Bagian ini memperkenalkan bagaimana paket perlindungan (web ACLs) dan web ACLs bekerja dengan aturan dan kelompok aturan.

Cara paket perlindungan (web ACL) menangani permintaan web bergantung pada hal berikut: 
+ Pengaturan prioritas numerik aturan dalam paket perlindungan (web ACL) dan di dalam grup aturan
+ Pengaturan tindakan pada aturan dan paket perlindungan (web ACL)
+ Setiap penggantian yang Anda tempatkan pada aturan di grup aturan yang Anda tambahkan

Untuk daftar pengaturan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). 

Anda dapat menyesuaikan penanganan permintaan dan respons dalam pengaturan tindakan aturan dan pengaturan tindakan paket perlindungan default (web ACL). Untuk informasi, lihat [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

**Topics**
+ [Menetapkan prioritas aturan](web-acl-processing-order.md)
+ [Bagaimana AWS WAF menangani tindakan kelompok aturan dan aturan](web-acl-rule-actions.md)
+ [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md)

# Menetapkan prioritas aturan
<a name="web-acl-processing-order"></a>

Bagian ini menjelaskan cara AWS WAF menggunakan pengaturan prioritas numerik untuk mengatur urutan evaluasi aturan.

Dalam paket perlindungan (web ACL) dan di dalam grup aturan apa pun, Anda menentukan urutan evaluasi aturan menggunakan pengaturan prioritas numerik. Anda harus memberikan setiap aturan dalam paket perlindungan (web ACL) pengaturan prioritas unik dalam paket perlindungan itu (web ACL), dan Anda harus memberikan setiap aturan dalam grup aturan pengaturan prioritas unik dalam grup aturan tersebut. 

**catatan**  
Saat Anda mengelola grup aturan, paket perlindungan (web ACLs) melalui konsol, AWS WAF menetapkan pengaturan prioritas numerik unik untuk Anda berdasarkan urutan aturan dalam daftar. AWS WAF menetapkan prioritas numerik terendah untuk aturan di bagian atas daftar, dan prioritas numerik tertinggi untuk aturan di bagian bawah. 

Ketika AWS WAF mengevaluasi setiap kelompok aturan, paket perlindungan (web ACL) terhadap permintaan web, itu mengevaluasi aturan dari pengaturan prioritas numerik terendah hingga menemukan kecocokan yang mengakhiri evaluasi atau menghabiskan semua aturan.

Misalnya, Anda memiliki aturan dan grup aturan berikut dalam paket perlindungan (web ACL), yang diprioritaskan seperti yang ditunjukkan:
+ Aturan1 - prioritas 0
+ RuleGroupA - prioritas 100
  + RuleA1 — prioritas 10.000
  + RuleA2 — prioritas 20,000
+ Aturan2 - prioritas 200
+ RuleGroupB - prioritas 300
  + RuleB1 — prioritas 0
  + RuleB2 — prioritas 1

AWS WAF akan mengevaluasi aturan untuk paket perlindungan ini (web ACL) dengan urutan sebagai berikut:
+ Aturan1
+ RuleGroupSebuah aturanA1
+ RuleGroupSebuah aturanA2
+ Aturan2
+ RuleGroupB RuleB1
+ RuleGroupB RuleB2

# Bagaimana AWS WAF menangani tindakan kelompok aturan dan aturan
<a name="web-acl-rule-actions"></a>

Bagian ini menjelaskan cara AWS WAF menggunakan aturan dan kelompok aturan untuk menangani tindakan.

Saat mengonfigurasi aturan dan grup aturan, Anda memilih AWS WAF cara menangani permintaan web yang cocok: 
+ **Allowdan Block menghentikan tindakan** — Allow dan Block tindakan menghentikan semua pemrosesan paket perlindungan (web ACL) lainnya pada permintaan web yang cocok. Jika aturan dalam paket perlindungan (web ACL) menemukan kecocokan untuk permintaan dan tindakan aturan adalah Allow atauBlock, kecocokan tersebut menentukan disposisi akhir permintaan web untuk paket perlindungan (web ACL). AWS WAF tidak memproses aturan lain dalam paket perlindungan (web ACL) yang muncul setelah yang cocok. Ini berlaku untuk aturan yang Anda tambahkan langsung ke paket perlindungan (web ACL) dan aturan yang ada di dalam grup aturan tambahan. Dengan Block tindakan tersebut, sumber daya yang dilindungi tidak menerima atau memproses permintaan web.
+ **Countadalah tindakan non-penghentian** — Ketika aturan dengan Count tindakan cocok dengan permintaan, AWS WAF hitung permintaan, lalu lanjutkan pemrosesan aturan yang mengikuti set aturan paket perlindungan (web ACL). 
+ **CAPTCHAdan Challenge dapat berupa tindakan non-penghentian atau penghentian** — Ketika aturan dengan salah satu tindakan ini cocok dengan permintaan, AWS WAF periksa status tokennya. Jika permintaan memiliki token yang valid, AWS WAF perlakukan kecocokan yang mirip dengan Count kecocokan, lalu lanjutkan pemrosesan aturan yang mengikuti set aturan paket perlindungan (web ACL). Jika permintaan tidak memiliki token yang valid, AWS WAF hentikan evaluasi dan kirimkan teka-teki CAPTCHA atau tantangan sesi klien latar belakang diam untuk dipecahkan. 

Jika evaluasi aturan tidak menghasilkan tindakan penghentian apa pun, maka AWS WAF terapkan tindakan default paket perlindungan (web ACL) ke permintaan. Untuk informasi, lihat [Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md).

Di paket perlindungan (web ACL), Anda dapat mengganti pengaturan tindakan untuk aturan di dalam grup aturan dan Anda dapat mengganti tindakan yang dikembalikan oleh grup aturan. Untuk informasi, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md). 

**Interaksi antara tindakan dan pengaturan prioritas**  
Tindakan yang AWS WAF berlaku untuk permintaan web dipengaruhi oleh pengaturan prioritas numerik aturan dalam paket perlindungan (web ACL). Misalnya, katakan bahwa paket perlindungan Anda (web ACL) memiliki aturan dengan Allow tindakan dan prioritas numerik 50 dan aturan lain dengan Count tindakan dan prioritas numerik 100. AWS WAF mengevaluasi aturan dalam paket perlindungan (web ACL) dalam urutan prioritas mereka, mulai dari pengaturan terendah, sehingga akan mengevaluasi aturan izinkan sebelum aturan hitungan. Permintaan web yang cocok dengan kedua aturan akan cocok dengan aturan izinkan terlebih dahulu. Karena Allow merupakan tindakan penghentian, AWS WAF akan menghentikan evaluasi pada pertandingan ini dan tidak akan mengevaluasi permintaan terhadap aturan hitungan. 
+ Jika Anda hanya ingin menyertakan permintaan yang tidak cocok dengan aturan izinkan dalam metrik aturan hitungan Anda, maka pengaturan prioritas aturan akan berfungsi. 
+ Di sisi lain, jika Anda ingin menghitung metrik dari aturan hitungan bahkan untuk permintaan yang cocok dengan aturan izinkan, Anda harus memberi aturan hitungan setelan prioritas numerik yang lebih rendah daripada aturan izinkan, sehingga aturan tersebut berjalan lebih dulu. 

Untuk informasi selengkapnya tentang pengaturan prioritas, lihat[Menetapkan prioritas aturan](web-acl-processing-order.md). 

# Mengesampingkan tindakan grup aturan di AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Bagian ini menjelaskan cara mengganti tindakan grup aturan.

Saat menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan yang dilakukan pada permintaan web yang cocok. Mengganti tindakan untuk grup aturan di dalam konfigurasi paket perlindungan (web ACL) Anda tidak mengubah grup aturan itu sendiri. Ini hanya mengubah cara AWS WAF menggunakan grup aturan dalam konteks paket perlindungan (web ACL). 

## Pengesampingan tindakan aturan kelompok aturan
<a name="web-acl-rule-group-override-options-rules"></a>

Anda dapat mengganti tindakan aturan di dalam grup aturan ke tindakan aturan yang valid. Saat Anda melakukan ini, permintaan yang cocok ditangani persis seolah-olah tindakan aturan yang dikonfigurasi adalah pengaturan penggantian. 

**catatan**  
Tindakan aturan dapat mengakhiri atau tidak mengakhiri. Tindakan penghentian menghentikan evaluasi paket perlindungan (web ACL) atas permintaan dan memungkinkannya melanjutkan ke aplikasi Anda yang dilindungi atau memblokirnya. 

Berikut adalah opsi tindakan aturan: 
+ **Allow**— AWS WAF memungkinkan permintaan diteruskan ke AWS sumber daya yang dilindungi untuk diproses dan direspon. Ini adalah tindakan penghentian. Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan sebelum meneruskannya ke sumber daya yang dilindungi.
+ **Block**— AWS WAF memblokir permintaan. Ini adalah tindakan penghentian. Secara default, AWS sumber daya Anda yang dilindungi merespons dengan kode `403 (Forbidden)` status HTTP. Dalam aturan yang Anda tentukan, Anda dapat menyesuaikan respons. Saat AWS WAF memblokir permintaan, pengaturan Block tindakan menentukan respons yang dikirim kembali oleh sumber daya yang dilindungi ke klien. 
+ **Count**— AWS WAF menghitung permintaan tetapi tidak menentukan apakah akan mengizinkan atau memblokirnya. Ini adalah tindakan yang tidak mengakhiri. AWS WAF terus memproses aturan yang tersisa dalam paket perlindungan (web ACL). Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.
+ **CAPTCHAdan Challenge** — AWS WAF menggunakan teka-teki CAPTCHA dan tantangan diam untuk memverifikasi bahwa permintaan tersebut tidak berasal dari bot, dan AWS WAF menggunakan token untuk melacak respons klien yang berhasil baru-baru ini. 

  Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token. 
**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

  Tindakan aturan ini dapat mengakhiri atau tidak mengakhiri, tergantung pada status token dalam permintaan: 
  + **Non-terminating untuk token yang valid dan belum kedaluwarsa** — Jika token valid dan belum kedaluwarsa sesuai dengan CAPTCHA yang dikonfigurasi atau waktu kekebalan tantangan, AWS WAF menangani permintaan yang serupa dengan tindakan. Count AWS WAF terus memeriksa permintaan web berdasarkan aturan yang tersisa dalam paket perlindungan (web ACL). Mirip dengan Count konfigurasi, dalam aturan yang Anda tentukan, Anda dapat mengonfigurasi tindakan ini secara opsional dengan header khusus untuk dimasukkan ke dalam permintaan, dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain. 
  + **Mengakhiri dengan permintaan yang diblokir untuk token yang tidak valid atau kedaluwarsa** - Jika token tidak valid atau stempel waktu yang ditunjukkan kedaluwarsa, AWS WAF menghentikan pemeriksaan permintaan web dan memblokir permintaan, mirip dengan tindakan. Block AWS WAF kemudian merespons klien dengan kode respons khusus. SebabCAPTCHA, jika isi permintaan menunjukkan bahwa browser klien dapat menanganinya, AWS WAF mengirimkan teka-teki CAPTCHA dalam JavaScript interstisial, yang dirancang untuk membedakan klien manusia dari bot. Untuk Challenge aksinya, AWS WAF kirimkan JavaScript pengantara dengan tantangan diam yang dirancang untuk membedakan browser normal dari sesi yang dijalankan oleh bot. 

  Untuk informasi tambahan, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

Untuk informasi tentang cara menggunakan opsi ini, lihat[Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Mengesampingkan tindakan aturan untuk Count
<a name="web-acl-rule-group-override-to-count"></a>

Kasus penggunaan yang paling umum untuk penggantian tindakan aturan adalah mengesampingkan beberapa atau semua tindakan aturan keCount, untuk menguji dan memantau perilaku kelompok aturan sebelum memasukkannya ke dalam produksi. 

Anda juga dapat menggunakan ini untuk memecahkan masalah grup aturan yang menghasilkan positif palsu. Positif palsu terjadi ketika grup aturan memblokir lalu lintas yang tidak Anda harapkan untuk diblokir. Jika Anda mengidentifikasi aturan dalam grup aturan yang akan memblokir permintaan yang ingin Anda izinkan, Anda dapat menyimpan penggantian tindakan hitungan pada aturan tersebut, untuk mengecualikannya agar tidak bertindak sesuai permintaan Anda.

Untuk informasi selengkapnya tentang penggunaan penggantian tindakan aturan dalam pengujian, lihat[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

### Daftar JSON: menggantikan `RuleActionOverrides` `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Jika Anda menetapkan tindakan aturan grup aturan ke Count dalam konfigurasi paket perlindungan (web ACL) sebelum 27 Oktober 2022, AWS WAF menyimpan penggantian Anda dalam paket perlindungan (web ACL) JSON sebagai. `ExcludedRules` Sekarang, pengaturan JSON untuk mengganti aturan Count ada di pengaturan. `RuleActionOverrides` 

Kami menyarankan Anda memperbarui semua `ExcludedRules` pengaturan Anda di daftar JSON Anda ke `RuleActionOverrides` pengaturan dengan tindakan yang disetel keCount. API menerima salah satu pengaturan, tetapi Anda akan mendapatkan konsistensi dalam daftar JSON Anda, antara pekerjaan konsol Anda dan pekerjaan API Anda, jika Anda hanya menggunakan setelan baru`RuleActionOverrides`. 

**catatan**  
Di AWS WAF konsol, tab **permintaan sampel** paket perlindungan (web ACL) tidak menampilkan sampel untuk aturan dengan pengaturan lama. Untuk informasi selengkapnya, lihat [Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

Saat Anda menggunakan AWS WAF konsol untuk mengedit pengaturan grup aturan yang ada, konsol secara otomatis mengonversi `ExcludedRules` pengaturan apa pun di JSON ke `RuleActionOverrides` pengaturan, dengan tindakan penggantian disetel ke. Count 
+ Contoh pengaturan saat ini: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Contoh pengaturan lama: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## Tindakan pengembalian grup aturan ditimpa ke Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Anda dapat mengganti tindakan yang dikembalikan grup aturan, menyetelnya. Count 

**catatan**  
Ini bukan pilihan yang baik untuk menguji aturan dalam kelompok aturan, karena tidak mengubah cara AWS WAF mengevaluasi kelompok aturan itu sendiri. Ini hanya mempengaruhi bagaimana AWS WAF menangani hasil yang dikembalikan ke paket perlindungan (web ACL) dari evaluasi kelompok aturan. Jika Anda ingin menguji aturan dalam grup aturan, gunakan opsi yang dijelaskan di bagian sebelumnya,. [Pengesampingan tindakan aturan kelompok aturan](#web-acl-rule-group-override-options-rules)

Saat Anda mengganti tindakan grup aturanCount, AWS WAF memproses evaluasi grup aturan secara normal. 

Jika tidak ada aturan dalam grup aturan yang cocok atau jika semua aturan yang cocok memiliki Count tindakan, maka penggantian ini tidak berpengaruh pada pemrosesan grup aturan atau paket perlindungan (web ACL).

Aturan pertama dalam grup aturan yang cocok dengan permintaan web dan yang memiliki tindakan aturan penghentian AWS WAF menyebabkan berhenti mengevaluasi grup aturan dan mengembalikan hasil tindakan penghentian ke tingkat evaluasi paket perlindungan (web ACL). Pada titik ini, dalam evaluasi paket perlindungan (web ACL), penggantian ini berlaku. AWS WAF mengesampingkan tindakan penghentian sehingga hasil evaluasi kelompok aturan hanyalah tindakan. Count AWS WAF kemudian terus memproses sisa aturan dalam paket perlindungan (web ACL).

Untuk informasi tentang cara menggunakan opsi ini, lihat[Mengesampingkan hasil evaluasi kelompok aturan ke Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF
<a name="web-acl-default-action"></a>

Bagian ini menjelaskan cara kerja tindakan default paket perlindungan (web ACL).

Saat Anda membuat dan mengonfigurasi paket perlindungan (web ACL), Anda harus mengatur tindakan default paket perlindungan (web ACL). AWS WAF menerapkan tindakan ini ke permintaan web apa pun yang membuatnya melalui semua evaluasi aturan paket perlindungan (web ACL) tanpa tindakan penghentian yang diterapkan padanya. Tindakan penghentian menghentikan evaluasi paket perlindungan (web ACL) atas permintaan dan memungkinkannya melanjutkan ke aplikasi Anda yang dilindungi atau memblokirnya. Untuk informasi tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

Tindakan default paket perlindungan (web ACL) harus menentukan disposisi akhir permintaan web, jadi ini adalah tindakan penghentian: 
+ **Allow**Jika Anda ingin mengizinkan sebagian besar pengguna mengakses situs web Anda, tetapi Anda ingin memblokir akses ke penyerang yang permintaannya berasal dari alamat IP tertentu, atau yang permintaannya tampaknya berisi kode SQL berbahaya atau nilai yang ditentukan, pilih tindakan Allow default. Kemudian, saat Anda menambahkan aturan ke paket perlindungan (web ACL), tambahkan aturan yang mengidentifikasi dan memblokir permintaan spesifik yang ingin Anda blokir. Dengan tindakan ini, Anda dapat menyisipkan header khusus ke dalam permintaan sebelum meneruskannya ke sumber daya yang dilindungi.
+ **Block**Jika Anda ingin mencegah sebagian besar pengguna mengakses situs web Anda, tetapi Anda ingin mengizinkan akses ke pengguna yang permintaannya berasal dari alamat IP tertentu, atau yang permintaannya berisi nilai tertentu, pilih Block tindakan default. Kemudian ketika Anda menambahkan aturan ke paket perlindungan Anda (web ACL), tambahkan aturan yang mengidentifikasi dan mengizinkan permintaan spesifik yang ingin Anda izinkan masuk. Secara default, untuk Block tindakan, AWS sumber daya merespons dengan kode `403 (Forbidden)` status HTTP, tetapi Anda dapat menyesuaikan respons. 

Untuk informasi tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

Konfigurasi aturan dan grup aturan Anda sendiri sebagian bergantung pada apakah Anda ingin mengizinkan atau memblokir sebagian besar permintaan web. Misalnya, jika Anda ingin *mengizinkan* sebagian besar permintaan, Anda akan mengatur tindakan default paket perlindungan (web ACL) keAllow, dan kemudian menambahkan aturan yang mengidentifikasi permintaan web yang ingin Anda *blokir*, seperti berikut ini:
+ Permintaan yang berasal dari alamat IP yang membuat jumlah permintaan yang tidak masuk akal
+ Permintaan yang berasal dari negara tempat Anda tidak berbisnis atau sering menjadi sumber serangan
+ Permintaan yang menyertakan nilai palsu di `User-agent` header
+ Permintaan yang tampaknya menyertakan kode SQL berbahaya

Aturan grup aturan terkelola biasanya menggunakan Block tindakan, tetapi tidak semua melakukannya. Misalnya, beberapa aturan yang digunakan untuk Kontrol Bot menggunakan pengaturan CAPTCHA dan Challenge tindakan. Untuk informasi tentang grup aturan terkelola, lihat[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md).

# Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

Batas ukuran inspeksi tubuh adalah ukuran badan permintaan maksimum yang AWS WAF dapat diperiksa. Ketika badan permintaan web lebih besar dari batas, layanan host yang mendasarinya hanya meneruskan konten yang berada dalam batas AWS WAF untuk diperiksa. 
+ Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB (8.192 byte).
+ Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas default adalah 16 KB (16.384 byte), dan Anda dapat meningkatkan batas untuk salah satu jenis sumber daya dengan penambahan 16 KB, hingga 64 KB. Opsi pengaturan adalah 16 KB, 32 KB, 48 KB, dan 64 KB. 

**penting**  
AWS WAF tidak mendukung aturan inspeksi badan permintaan untuk lalu lintas gRPC. Jika Anda mengaktifkan aturan ini pada paket perlindungan (web ACL) untuk CloudFront distribusi atau Application Load Balancer, permintaan apa pun yang menggunakan gRPC akan mengabaikan aturan inspeksi badan permintaan. Semua AWS WAF aturan lain akan tetap berlaku. Untuk informasi selengkapnya, lihat [Mengaktifkan AWS WAF distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) di *Panduan CloudFront Pengembang Amazon*. 

**Penanganan tubuh yang terlalu besar**  
Jika lalu lintas web Anda mencakup badan yang lebih besar dari batas, penanganan oversize yang dikonfigurasi akan berlaku. Untuk informasi tentang opsi penanganan ukuran besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md). 

**Pertimbangan harga untuk meningkatkan pengaturan batas**  
AWS WAF mengenakan tarif dasar untuk memeriksa lalu lintas yang berada dalam batas default untuk jenis sumber daya. 

Untuk CloudFront sumber daya API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, jika Anda meningkatkan setelan batas, lalu lintas yang AWS WAF dapat diperiksa mencakup ukuran tubuh hingga batas baru Anda. Anda dikenakan biaya tambahan hanya untuk pemeriksaan permintaan yang memiliki ukuran tubuh lebih besar dari 16 KB default. Untuk informasi lebih lanjut tentang harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/).

**Opsi untuk memodifikasi batas ukuran inspeksi tubuh**  
Anda dapat mengonfigurasi batas ukuran pemeriksaan tubuh untuk CloudFront, API Gateway, Amazon Cognito, App Runner, atau sumber daya Akses Terverifikasi. 

Saat membuat atau mengedit paket perlindungan (web ACL), Anda dapat mengubah batas ukuran pemeriksaan tubuh dalam konfigurasi asosiasi sumber daya. Untuk API, lihat konfigurasi asosiasi paket perlindungan (web ACL) di [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). Untuk konsol, lihat konfigurasi pada halaman tempat Anda menentukan sumber daya terkait paket perlindungan (web ACL). Untuk panduan tentang konfigurasi konsol, lihat[Melihat metrik lalu lintas web di AWS WAF](web-acl-working-with.md). 

# Mengkonfigurasi CAPTCHA, tantangan, dan token di AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Anda dapat mengonfigurasi opsi dalam paket perlindungan (web ACL) untuk aturan yang menggunakan tindakan CAPTCHA atau Challenge aturan dan untuk integrasi aplikasi SDKs yang mengelola tantangan klien diam untuk perlindungan AWS WAF terkelola. 

Fitur-fitur ini mengurangi aktivitas bot dengan menantang pengguna akhir dengan teka-teki CAPTCHA dan dengan menghadirkan sesi klien dengan tantangan diam. Ketika klien merespons dengan sukses, AWS WAF berikan token untuk mereka gunakan dalam permintaan web mereka, diberi cap waktu dengan teka-teki terakhir yang berhasil dan tanggapan tantangan. Untuk informasi selengkapnya, lihat [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md).

Dalam konfigurasi paket perlindungan (web ACL), Anda dapat mengonfigurasi cara AWS WAF mengelola token ini: 
+ **CAPTCHA dan tantangan waktu kekebalan** — Ini menentukan berapa lama CAPTCHA atau stempel waktu tantangan tetap valid. Pengaturan paket perlindungan (web ACL) diwarisi oleh semua aturan yang tidak memiliki pengaturan waktu kekebalan sendiri yang dikonfigurasi dan juga oleh integrasi aplikasi. SDKs Untuk informasi selengkapnya, lihat [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).
+ **Domain token** — Secara default, AWS WAF menerima token hanya untuk domain sumber daya yang dikaitkan dengan paket perlindungan (web ACL). Jika Anda mengonfigurasi daftar domain token, AWS WAF menerima token untuk semua domain dalam daftar dan untuk domain sumber daya terkait. Lihat informasi yang lebih lengkap di [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).

# Melihat metrik lalu lintas web di AWS WAF
<a name="web-acl-working-with"></a>

Bagian ini menjelaskan cara mengakses ringkasan metrik lalu lintas web.

**Untuk paket perlindungan apa pun (web ACL) yang Anda gunakan, Anda dapat mengakses ringkasan metrik lalu lintas web di halaman paket perlindungan (web ACL) di AWS WAF konsol, di bawah tab Ikhtisar lalu lintas.** Dasbor konsol menyediakan ringkasan hampir real-time dari CloudWatch metrik Amazon yang AWS WAF dikumpulkan saat mengevaluasi lalu lintas web aplikasi Anda. Untuk informasi selengkapnya tentang dasbor, lihat[Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md). Untuk informasi tambahan tentang memantau lalu lintas paket perlindungan (web ACL) Anda, lihat[Memantau dan menyetel perlindungan Anda AWS WAF](web-acl-testing-activities.md).

# Menghapus paket perlindungan (web ACL)
<a name="web-acl-deleting"></a>

Bagian ini menyediakan prosedur untuk menghapus paket perlindungan (web ACLs) melalui AWS konsol. 

**penting**  
Menghapus paket perlindungan (web ACL) bersifat permanen dan tidak dapat dibatalkan.

Untuk menghapus paket perlindungan (web ACL), pertama-tama Anda memisahkan semua AWS sumber daya dari paket perlindungan (web ACL). Lakukan prosedur berikut.

------
#### [ Using the new console ]

1. Masuk ke yang baru Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro). 

1. Di panel navigasi, pilih **Resources & protection packs (web ACLs)**.

1. Di kartu protection pack (web ACL), pilih tautan **Edit** di sebelah **Resources** untuk membuka panel **Kelola sumber daya**.

1. Di bagian **Kelola sumber daya** untuk grup aturan, pilih sumber daya yang ingin Anda putuskan, lalu pilih **Putuskan**.
**catatan**  
Anda harus memisahkan satu sumber daya pada satu waktu. Jangan memilih banyak sumber daya. 

1. Di halaman konfirmasi, ketik “disassociate”, lalu pilih **Disassociate**. Ulangi untuk memisahkan setiap sumber daya dalam paket perlindungan (web ACL).

1. Pilih paket perlindungan (web ACL) yang ingin Anda hapus. Konsol membuat kartu paket perlindungan utama (web ACL) dapat diedit, dan juga membuka panel samping dengan detail yang dapat Anda edit.

1. Di panel detail, pilih ikon tempat sampah.

1. Di halaman konfirmasi, ketik “hapus” dan kemudian pilih **Hapus**.

------
#### [ Using the standard console ]

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **web ACLs**.

1. Pilih nama ACL web yang ingin Anda hapus. Konsol membawa Anda ke deskripsi ACL web, di mana Anda dapat mengeditnya.
**catatan**  
Jika Anda tidak melihat ACL web yang ingin Anda hapus, pastikan pemilihan Wilayah di dalam ACLs bagian web sudah benar. Setiap web ACLs yang melindungi CloudFront distribusi Amazon ada di **Global (CloudFront)**.

1. Pada tab ** AWS Sumber daya terkait**, untuk setiap sumber daya terkait, pilih tombol radio di sebelah nama sumber daya, lalu pilih **Putuskan.** Ini memisahkan paket perlindungan (web ACL) dari sumber daya Anda. AWS 

1. Di panel navigasi, pilih **web ACLs**.

1. **Pilih tombol radio di sebelah ACL web yang Anda hapus, lalu pilih Hapus.**

------

# AWS WAF aturan
<a name="waf-rules"></a>

Bagian ini menjelaskan apa itu AWS WAF aturan dan cara kerjanya.

 AWS WAF Aturan menentukan cara memeriksa permintaan web HTTP (S) dan tindakan yang harus diambil pada permintaan saat cocok dengan kriteria inspeksi. Anda mendefinisikan aturan hanya dalam konteks grup aturan atau paket perlindungan (web ACL). 

Aturan tidak ada dengan AWS WAF sendirinya. Mereka bukan AWS sumber daya, dan mereka tidak memiliki Amazon Resource Names (ARNs). Anda dapat mengakses aturan berdasarkan nama di grup aturan atau paket perlindungan (web ACL) di mana aturan tersebut ditentukan. Anda dapat mengelola aturan dan menyalinnya ke paket perlindungan lain (web ACLs) dengan menggunakan tampilan JSON dari grup aturan atau paket perlindungan (web ACL) yang berisi aturan. Anda juga dapat mengelolanya melalui pembuat aturan AWS WAF konsol, yang tersedia untuk paket perlindungan (web ACLs) dan grup aturan.

**Nama aturan**  
Setiap aturan membutuhkan nama. Hindari nama yang dimulai dengan `AWS` dan nama yang digunakan untuk grup aturan atau aturan yang dikelola untuk Anda oleh layanan lain. Lihat [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md). 

**catatan**  
Jika Anda mengubah nama aturan dan Anda ingin nama metrik aturan mencerminkan perubahan, Anda harus memperbarui nama metrik juga. AWS WAF tidak secara otomatis memperbarui nama metrik untuk aturan saat Anda mengubah nama aturan. Anda dapat mengubah nama metrik saat mengedit aturan di konsol, dengan menggunakan editor JSON aturan. Anda juga dapat mengubah kedua nama melalui APIs dan dalam daftar JSON apa pun yang Anda gunakan untuk menentukan paket perlindungan (web ACL) atau grup aturan.

**Pernyataan aturan**  
Setiap aturan juga memerlukan pernyataan aturan yang mendefinisikan bagaimana aturan memeriksa permintaan web. Pernyataan aturan mungkin berisi pernyataan bersarang lainnya pada kedalaman apa pun, tergantung pada aturan dan jenis pernyataan. Beberapa pernyataan aturan mengambil serangkaian kriteria. Misalnya, Anda dapat menentukan hingga 10.000 alamat IP atau rentang alamat IP untuk aturan pencocokan set IP.

Anda dapat menentukan aturan yang memeriksa kriteria seperti berikut: 
+ Skrip yang cenderung berbahaya. Penyerang menyematkan skrip yang dapat mengeksploitasi kerentanan dalam aplikasi web. Ini dikenal sebagai cross-site scripting (XSS).
+ Alamat IP atau rentang alamat tempat permintaan berasal.
+ Negara atau lokasi geografis tempat permintaan berasal.
+ Panjang bagian tertentu dari permintaan, seperti string query.
+ Kode SQL yang kemungkinan berbahaya. Penyerang mencoba mengekstrak data dari database Anda dengan menyematkan kode SQL berbahaya dalam permintaan web. Ini dikenal sebagai injeksi SQL.
+ String yang muncul dalam permintaan, misalnya, nilai yang muncul di `User-Agent` header atau string teks yang muncul dalam string kueri. Anda juga dapat menggunakan ekspresi reguler (regex) untuk menentukan string ini.
+ Label yang aturan sebelumnya dalam paket perlindungan (web ACL) telah ditambahkan ke permintaan.

Selain pernyataan dengan kriteria inspeksi permintaan web, seperti yang ada di daftar sebelumnya, AWS WAF mendukung pernyataan logis untuk`AND`,`OR`, dan `NOT` yang Anda gunakan untuk menggabungkan pernyataan dalam aturan. 

Misalnya, berdasarkan permintaan terbaru yang Anda lihat dari penyerang, Anda dapat membuat aturan dengan `AND` pernyataan logis yang menggabungkan pernyataan bersarang berikut: 
+ Permintaan datang dari 192.0.2.44.
+ Berisi nilai `BadBot` di header `User-Agent`.
+ Mereka tampaknya menyertakan kode seperti SQL dalam string kueri.

Dalam hal ini, permintaan web harus mencocokkan semua pernyataan untuk menghasilkan kecocokan untuk tingkat atas`AND`. 

**Topics**
+ [Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md)
+ [Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md)
+ [Menggunakan pernyataan aturan kecocokan di AWS WAF](waf-rule-statements-match.md)
+ [Menggunakan pernyataan aturan logis di AWS WAF](waf-rule-statements-logical.md)
+ [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)
+ [Menggunakan pernyataan aturan grup aturan di AWS WAF](waf-rule-statements-rule-group.md)

# Menggunakan tindakan aturan di AWS WAF
<a name="waf-rule-action"></a>

Bagian ini menjelaskan cara kerja tindakan aturan.

Tindakan aturan memberi tahu AWS WAF apa yang harus dilakukan dengan permintaan web ketika cocok dengan kriteria yang ditentukan dalam aturan. Anda dapat menambahkan perilaku kustom secara opsional ke setiap tindakan aturan. 

**catatan**  
Tindakan aturan dapat mengakhiri atau tidak mengakhiri. Tindakan penghentian menghentikan evaluasi paket perlindungan (web ACL) atas permintaan dan memungkinkannya melanjutkan ke aplikasi Anda yang dilindungi atau memblokirnya. 

Berikut adalah opsi tindakan aturan: 
+ **Allow**— AWS WAF memungkinkan permintaan diteruskan ke AWS sumber daya yang dilindungi untuk diproses dan direspon. Ini adalah tindakan penghentian. Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan sebelum meneruskannya ke sumber daya yang dilindungi.
+ **Block**— AWS WAF memblokir permintaan. Ini adalah tindakan penghentian. Secara default, AWS sumber daya Anda yang dilindungi merespons dengan kode `403 (Forbidden)` status HTTP. Dalam aturan yang Anda tentukan, Anda dapat menyesuaikan respons. Saat AWS WAF memblokir permintaan, pengaturan Block tindakan menentukan respons yang dikirim kembali oleh sumber daya yang dilindungi ke klien. 
+ **Count**— AWS WAF menghitung permintaan tetapi tidak menentukan apakah akan mengizinkan atau memblokirnya. Ini adalah tindakan yang tidak mengakhiri. AWS WAF terus memproses aturan yang tersisa dalam paket perlindungan (web ACL). Dalam aturan yang Anda tentukan, Anda dapat menyisipkan header khusus ke dalam permintaan dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain.
+ **CAPTCHAdan Challenge** — AWS WAF menggunakan teka-teki CAPTCHA dan tantangan diam untuk memverifikasi bahwa permintaan tersebut tidak berasal dari bot, dan AWS WAF menggunakan token untuk melacak respons klien yang berhasil baru-baru ini. 

  Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token. 
**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

  Tindakan aturan ini dapat mengakhiri atau tidak mengakhiri, tergantung pada status token dalam permintaan: 
  + **Non-terminating untuk token yang valid dan belum kedaluwarsa** — Jika token valid dan belum kedaluwarsa sesuai dengan CAPTCHA yang dikonfigurasi atau waktu kekebalan tantangan, AWS WAF menangani permintaan yang serupa dengan tindakan. Count AWS WAF terus memeriksa permintaan web berdasarkan aturan yang tersisa dalam paket perlindungan (web ACL). Mirip dengan Count konfigurasi, dalam aturan yang Anda tentukan, Anda dapat mengonfigurasi tindakan ini secara opsional dengan header khusus untuk dimasukkan ke dalam permintaan, dan Anda dapat menambahkan label yang dapat dicocokkan dengan aturan lain. 
  + **Mengakhiri dengan permintaan yang diblokir untuk token yang tidak valid atau kedaluwarsa** - Jika token tidak valid atau stempel waktu yang ditunjukkan kedaluwarsa, AWS WAF menghentikan pemeriksaan permintaan web dan memblokir permintaan, mirip dengan tindakan. Block AWS WAF kemudian merespons klien dengan kode respons khusus. SebabCAPTCHA, jika isi permintaan menunjukkan bahwa browser klien dapat menanganinya, AWS WAF mengirimkan teka-teki CAPTCHA dalam JavaScript interstisial, yang dirancang untuk membedakan klien manusia dari bot. Untuk Challenge aksinya, AWS WAF kirimkan JavaScript pengantara dengan tantangan diam yang dirancang untuk membedakan browser normal dari sesi yang dijalankan oleh bot. 

  Untuk informasi tambahan, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

Untuk informasi tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

Untuk informasi tentang menambahkan label ke permintaan yang cocok, lihat[Pelabelan permintaan web di AWS WAF](waf-labels.md).

Untuk informasi tentang cara paket perlindungan (web ACL) dan pengaturan aturan berinteraksi, lihat[Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md). 

# Menggunakan pernyataan aturan di AWS WAF
<a name="waf-rule-statements"></a>

Bagian ini menjelaskan cara kerja pernyataan aturan.

Pernyataan aturan adalah bagian dari aturan yang memberi tahu AWS WAF cara memeriksa permintaan web. Ketika AWS WAF menemukan kriteria inspeksi dalam permintaan web, kami mengatakan bahwa permintaan web cocok dengan pernyataan tersebut. Setiap pernyataan aturan menentukan apa yang harus dicari dan bagaimana, sesuai dengan jenis pernyataan. 

Setiap aturan AWS WAF memiliki satu pernyataan aturan tingkat atas, yang dapat berisi pernyataan lain. Pernyataan aturan bisa sangat sederhana. Misalnya, Anda dapat memiliki pernyataan yang menyediakan sekumpulan negara asal untuk memeriksa permintaan web Anda atau Anda dapat memiliki pernyataan aturan dalam paket perlindungan (web ACL) yang hanya mereferensikan grup aturan. Pernyataan aturan juga bisa sangat kompleks. Misalnya, Anda dapat memiliki pernyataan yang menggabungkan banyak pernyataan lain dengan logisAND,OR, dan NOT pernyataan. 

Untuk sebagian besar aturan, Anda dapat menambahkan AWS WAF pelabelan khusus ke permintaan yang cocok. Aturan dalam grup aturan Aturan AWS Terkelola menambahkan label ke permintaan yang cocok. Label yang ditambahkan aturan memberikan informasi tentang permintaan ke aturan yang dievaluasi nanti dalam paket perlindungan (web ACL) dan juga di AWS WAF log dan metrik. Untuk informasi tentang pelabelan, lihat [Pelabelan permintaan web di AWS WAF](waf-labels.md) dan[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md).

**Pernyataan aturan bersarang**  
AWS WAF mendukung bersarang untuk banyak pernyataan aturan, tetapi tidak untuk semua. Misalnya, Anda tidak dapat membuat pernyataan grup aturan di dalam pernyataan lain. Anda perlu menggunakan nesting untuk beberapa skenario, seperti pernyataan scope-down dan pernyataan logis. Daftar pernyataan aturan dan detail aturan berikut menjelaskan kemampuan dan persyaratan bersarang untuk setiap kategori dan aturan.

Editor visual untuk aturan di konsol hanya mendukung satu tingkat penyarangan untuk pernyataan aturan. Misalnya, Anda dapat menyarangkan banyak jenis pernyataan di dalam logika AND atau OR aturan, tetapi Anda tidak dapat membuat sarang AND atau OR aturan lain, karena itu memerlukan tingkat penyarangan kedua. Untuk mengimplementasikan beberapa level nesting, berikan definisi aturan di JSON, baik melalui editor aturan JSON di konsol atau melalui. APIs 

**Topics**
+ [Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md)
+ [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)
+ [Mereferensikan entitas yang dapat digunakan kembali di AWS WAF](waf-rule-statement-reusable-entities.md)

# Menyesuaikan pengaturan pernyataan aturan di AWS WAF
<a name="waf-rule-statement-fields"></a>

Bagian ini menjelaskan pengaturan yang dapat Anda tentukan dalam pernyataan aturan yang memeriksa komponen permintaan web. Untuk informasi tentang penggunaan, lihat pernyataan aturan individual di[Menggunakan pernyataan aturan kecocokan di AWS WAF](waf-rule-statements-match.md). 

Subset dari komponen permintaan web ini juga dapat digunakan dalam aturan berbasis tarif, sebagai kunci agregasi permintaan kustom. Untuk informasi, lihat [Menggabungkan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).

Untuk pengaturan komponen permintaan, Anda menentukan jenis komponen itu sendiri, dan opsi tambahan apa pun, tergantung pada jenis komponen. Misalnya, saat memeriksa jenis komponen yang berisi teks, Anda dapat menerapkan transformasi teks sebelum memeriksanya. 

**catatan**  
Kecuali dinyatakan lain, jika permintaan web tidak memiliki komponen permintaan yang ditentukan dalam pernyataan aturan, AWS WAF mengevaluasi permintaan sebagai tidak cocok dengan kriteria aturan.

**Contents**
+ [Minta komponen di AWS WAF](waf-rule-statement-fields-list.md)
  + [Metode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
  + [Header tunggal](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
  + [Semua header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
  + [Urutan header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
  + [Cookie](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
  + [Fragmen URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
  + [Jalur URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
  + [JA3 sidik jari](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
  + [JA4 sidik jari](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
  + [String kueri](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
  + [Parameter kueri tunggal](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
  + [Semua parameter kueri](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
  + [Tubuh](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
  + [Tubuh JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Memeriksa header semu HTTP/2 di AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md)

# Minta komponen di AWS WAF
<a name="waf-rule-statement-fields-list"></a>

Bagian ini menjelaskan komponen permintaan web yang dapat Anda tentukan untuk diperiksa. Anda menentukan komponen permintaan untuk pernyataan aturan kecocokan yang mencari pola di dalam permintaan web. Jenis pernyataan ini termasuk pencocokan string, pencocokan regex, batasan ukuran, dan pernyataan serangan injeksi SQL. Untuk informasi tentang cara menggunakan setelan komponen permintaan ini, lihat pernyataan aturan individual di [Menggunakan pernyataan aturan kecocokan di AWS WAF](waf-rule-statements-match.md)

Kecuali dinyatakan lain, jika permintaan web tidak memiliki komponen permintaan yang ditentukan dalam pernyataan aturan, AWS WAF mengevaluasi permintaan sebagai tidak cocok dengan kriteria aturan.

**catatan**  
Anda menentukan komponen permintaan tunggal untuk setiap pernyataan aturan yang memerlukannya. Untuk memeriksa lebih dari satu komponen permintaan, buat pernyataan aturan untuk setiap komponen. 

Dokumentasi AWS WAF konsol dan API memberikan panduan untuk pengaturan komponen permintaan di lokasi berikut: 
+ **Pembuat aturan** **di konsol — Dalam pengaturan **Pernyataan** untuk jenis aturan reguler, pilih komponen yang ingin Anda periksa dalam dialog Inspect di bawah **Minta** komponen.**
+ **Isi pernyataan API** - `FieldToMatch`

Sisa bagian ini menjelaskan opsi untuk bagian permintaan web untuk diperiksa. 

**Topics**
+ [Metode HTTP](#waf-rule-statement-request-component-http-method)
+ [Header tunggal](#waf-rule-statement-request-component-single-header)
+ [Semua header](#waf-rule-statement-request-component-headers)
+ [Urutan header](#waf-rule-statement-request-component-header-order)
+ [Cookie](#waf-rule-statement-request-component-cookies)
+ [Fragmen URI](#waf-rule-statement-request-component-uri-fragment)
+ [Jalur URI](#waf-rule-statement-request-component-uri-path)
+ [JA3 sidik jari](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 sidik jari](#waf-rule-statement-request-component-ja4-fingerprint)
+ [String kueri](#waf-rule-statement-request-component-query-string)
+ [Parameter kueri tunggal](#waf-rule-statement-request-component-single-query-param)
+ [Semua parameter kueri](#waf-rule-statement-request-component-all-query-params)
+ [Tubuh](#waf-rule-statement-request-component-body)
+ [Tubuh JSON](#waf-rule-statement-request-component-json-body)

## Metode HTTP
<a name="waf-rule-statement-request-component-http-method"></a>

Memeriksa metode HTTP untuk permintaan. Metode HTTP menunjukkan jenis operasi yang permintaan web meminta sumber daya yang dilindungi untuk melakukan, seperti `POST` atau`GET`. 

## Header tunggal
<a name="waf-rule-statement-request-component-single-header"></a>

Memeriksa satu header bernama dalam permintaan. 

Untuk opsi ini, Anda menentukan nama header, misalnya, `User-Agent` atau`Referer`. Pencocokan string untuk nama tidak peka huruf besar/kecil dan dilakukan setelah memotong spasi depan dan belakang dari header permintaan dan aturan.

## Semua header
<a name="waf-rule-statement-request-component-headers"></a>

Memeriksa semua header permintaan, termasuk cookie. Anda dapat menerapkan filter untuk memeriksa subset dari semua header. 

Untuk opsi ini, Anda memberikan spesifikasi berikut: 
+ **Pola kecocokan** — Filter yang digunakan untuk mendapatkan subset header untuk diperiksa. AWS WAF mencari pola-pola ini di tombol header. 

  Pengaturan pola kecocokan dapat berupa salah satu dari berikut ini: 
  + **Semua** — Cocokkan semua kunci. Evaluasi kriteria pemeriksaan aturan untuk semua header. 
  + **Header yang dikecualikan** - Periksa hanya header yang kuncinya tidak cocok dengan string yang Anda tentukan di sini. Pencocokan string untuk kunci tidak peka huruf besar/kecil. Pencocokan dilakukan setelah memangkas spasi depan dan belakang dari header permintaan dan aturan kecocokan.
  + **Header yang disertakan** - Periksa hanya header yang memiliki kunci yang cocok dengan salah satu string yang Anda tentukan di sini. Pencocokan string untuk kunci tidak peka huruf besar/kecil. Pencocokan dilakukan setelah memangkas spasi depan dan belakang dari header permintaan dan aturan kecocokan.
+ **Lingkup kecocokan** — Bagian-bagian header yang AWS WAF harus diperiksa dengan kriteria pemeriksaan aturan. Anda dapat menentukan **Kunci**, **Nilai**, atau **Semua** untuk memeriksa kunci dan nilai untuk kecocokan. 

  **Semua** tidak memerlukan kecocokan untuk ditemukan di kunci dan kecocokan untuk ditemukan dalam nilai. Ini membutuhkan kecocokan untuk ditemukan di kunci atau nilai atau keduanya. Untuk meminta kecocokan dalam kunci dan nilai, gunakan `AND` pernyataan logis untuk menggabungkan dua aturan kecocokan, satu yang memeriksa kunci dan yang lain yang memeriksa nilai. 
+ **Oversize handling** — Bagaimana AWS WAF seharusnya menangani permintaan yang memiliki data header yang lebih besar dari yang AWS WAF dapat diperiksa. AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai. Anda dapat memilih untuk melanjutkan inspeksi, atau melewati inspeksi dan menandai permintaan sebagai cocok atau tidak cocok dengan aturan. Untuk informasi selengkapnya tentang penanganan konten yang terlalu besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).

## Urutan header
<a name="waf-rule-statement-request-component-header-order"></a>

Periksa string yang berisi daftar nama header permintaan, diurutkan seperti yang muncul di permintaan web yang AWS WAF menerima untuk inspeksi. AWS WAF menghasilkan string dan kemudian menggunakannya sebagai bidang untuk mencocokkan komponen dalam inspeksinya. AWS WAF memisahkan nama header dalam string dengan titik dua dan tanpa spasi tambahan, misalnya. `host:user-agent:accept:authorization:referer`

Untuk opsi ini, Anda memberikan spesifikasi berikut: 
+ **Oversize handling** — Bagaimana AWS WAF seharusnya menangani permintaan yang memiliki data header yang lebih banyak atau lebih besar daripada yang AWS WAF dapat diperiksa. AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai. Anda dapat memilih untuk terus memeriksa header yang tersedia, atau melewati inspeksi dan menandai permintaan sebagai cocok atau tidak cocok dengan aturan. Untuk informasi selengkapnya tentang penanganan konten yang terlalu besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).

## Cookie
<a name="waf-rule-statement-request-component-cookies"></a>

Memeriksa semua cookie permintaan. Anda dapat menerapkan filter untuk memeriksa subset dari semua cookie. 

Untuk opsi ini, Anda memberikan spesifikasi berikut: 
+ **Pola kecocokan** — Filter yang digunakan untuk mendapatkan subset cookie untuk diperiksa. AWS WAF mencari pola-pola ini di kunci cookie. 

  Pengaturan pola kecocokan dapat berupa salah satu dari berikut ini: 
  + **Semua** — Cocokkan semua kunci. Evaluasi kriteria pemeriksaan aturan untuk semua cookie. 
  + **Cookie yang dikecualikan** — Periksa hanya cookie yang kuncinya tidak cocok dengan string apa pun yang Anda tentukan di sini. Pencocokan string untuk kunci peka huruf besar/kecil dan harus tepat. 
  + **Cookie yang disertakan** — Periksa hanya cookie yang memiliki kunci yang cocok dengan salah satu string yang Anda tentukan di sini. Pencocokan string untuk kunci peka huruf besar/kecil dan harus tepat. 
+ **Lingkup kecocokan** — Bagian-bagian cookie yang AWS WAF harus diperiksa dengan kriteria pemeriksaan aturan. Anda dapat menentukan **Kunci**, **Nilai**, atau **Semua** untuk kedua kunci dan nilai. 

  **Semua** tidak memerlukan kecocokan untuk ditemukan di kunci dan kecocokan untuk ditemukan dalam nilai. Ini membutuhkan kecocokan untuk ditemukan di kunci atau nilai atau keduanya. Untuk meminta kecocokan dalam kunci dan nilai, gunakan `AND` pernyataan logis untuk menggabungkan dua aturan kecocokan, satu yang memeriksa kunci dan yang lain yang memeriksa nilai. 
+ **Oversize handling** — Bagaimana AWS WAF seharusnya menangani permintaan yang memiliki data cookie yang lebih besar dari yang AWS WAF dapat diperiksa. AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari cookie permintaan dan paling banyak 200 cookie pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai. Anda dapat memilih untuk melanjutkan inspeksi, atau melewati inspeksi dan menandai permintaan sebagai cocok atau tidak cocok dengan aturan. Untuk informasi selengkapnya tentang penanganan konten yang terlalu besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).

## Fragmen URI
<a name="waf-rule-statement-request-component-uri-fragment"></a>

**catatan**  
Pemeriksaan Fragmen Uri hanya tersedia untuk CloudFront distribusi dan Application Load Balancer.

Memeriksa bagian URL yang mengikuti simbol “\$1”, memberikan informasi tambahan tentang sumber daya, misalnya, \$1section2. Untuk selengkapnya, lihat [Uniform Resource Identifier (URI): Generic](https://tools.ietf.org/html/rfc3986#section-3) Syntax. 

Jika Anda tidak menggunakan transformasi teks dengan opsi ini, AWS WAF tidak menormalkan fragmen URI dan memeriksanya persis seperti yang diterimanya dari klien dalam permintaan. Untuk informasi tentang transformasi teks, lihat[Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

**Persyaratan pernyataan aturan**  
Anda harus memberikan perilaku fallback untuk pernyataan aturan ini. Perilaku fallback adalah status pencocokan yang ingin Anda tetapkan AWS WAF ke permintaan web jika URI kehilangan fragmen atau layanan terkait bukan Application Load Balancer atau. CloudFront Jika Anda memilih untuk mencocokkan, AWS WAF memperlakukan permintaan sebagai pencocokan pernyataan aturan dan menerapkan tindakan aturan ke permintaan. Jika Anda memilih untuk tidak cocok, AWS WAF memperlakukan permintaan sebagai tidak cocok dengan pernyataan aturan.

## Jalur URI
<a name="waf-rule-statement-request-component-uri-path"></a>

Memeriksa bagian URL yang mengidentifikasi sumber daya, misalnya,. `/images/daily-ad.jpg` Untuk selengkapnya, lihat [Uniform Resource Identifier (URI): Generic](https://tools.ietf.org/html/rfc3986#section-3) Syntax. 

Jika Anda tidak menggunakan transformasi teks dengan opsi ini, AWS WAF tidak menormalkan URI dan memeriksanya persis seperti yang diterimanya dari klien dalam permintaan. Untuk informasi tentang transformasi teks, lihat[Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

## JA3 sidik jari
<a name="waf-rule-statement-request-component-ja3-fingerprint"></a>

Memeriksa JA3 sidik jari permintaan. 

**catatan**  
JA3 pemeriksaan sidik jari hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.

 JA3 Sidik jari adalah hash 32 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan. Hampir semua permintaan web menyertakan informasi ini.

**Cara mendapatkan JA3 sidik jari untuk klien**  
Anda dapat memperoleh JA3 sidik jari untuk permintaan klien dari log paket perlindungan (web ACL). Jika AWS WAF mampu menghitung sidik jari, itu termasuk dalam log. Untuk informasi tentang bidang logging, lihat[Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).

**Persyaratan pernyataan aturan**  
Anda dapat memeriksa JA3 sidik jari hanya di dalam pernyataan pencocokan string yang diatur agar sama persis dengan string yang Anda berikan. Berikan string JA3 sidik jari dari log dalam spesifikasi pernyataan pencocokan string Anda, agar sesuai dengan permintaan future yang memiliki konfigurasi TLS yang sama. Untuk informasi tentang pernyataan kecocokan string, lihat[Pernyataan aturan kecocokan string](waf-rule-statement-type-string-match.md).

Anda harus memberikan perilaku fallback untuk pernyataan aturan ini. Perilaku fallback adalah status pencocokan yang ingin AWS WAF Anda tetapkan ke permintaan web jika tidak dapat menghitung AWS WAF sidik jari. JA3 Jika Anda memilih untuk mencocokkan, AWS WAF memperlakukan permintaan sebagai pencocokan pernyataan aturan dan menerapkan tindakan aturan ke permintaan. Jika Anda memilih untuk tidak cocok, AWS WAF memperlakukan permintaan sebagai tidak cocok dengan pernyataan aturan.

Untuk menggunakan opsi pencocokan ini, Anda harus mencatat lalu lintas paket perlindungan (web ACL) Anda. Untuk informasi, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

## JA4 sidik jari
<a name="waf-rule-statement-request-component-ja4-fingerprint"></a>

Memeriksa JA4 sidik jari permintaan. 

**catatan**  
JA4 pemeriksaan sidik jari hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.

 JA4 Sidik jari adalah hash 36 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. JA4 sidik jari adalah perpanjangan dari JA3 sidik jari yang dapat menghasilkan lebih sedikit sidik jari unik untuk beberapa browser. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan. Hampir semua permintaan web menyertakan informasi ini.

**Cara mendapatkan JA4 sidik jari untuk klien**  
Anda dapat memperoleh JA4 sidik jari untuk permintaan klien dari log paket perlindungan (web ACL). Jika AWS WAF mampu menghitung sidik jari, itu termasuk dalam log. Untuk informasi tentang bidang logging, lihat[Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).

**Persyaratan pernyataan aturan**  
Anda dapat memeriksa JA4 sidik jari hanya di dalam pernyataan pencocokan string yang diatur agar sama persis dengan string yang Anda berikan. Berikan string JA4 sidik jari dari log dalam spesifikasi pernyataan pencocokan string Anda, agar sesuai dengan permintaan future yang memiliki konfigurasi TLS yang sama. Untuk informasi tentang pernyataan kecocokan string, lihat[Pernyataan aturan kecocokan string](waf-rule-statement-type-string-match.md).

Anda harus memberikan perilaku fallback untuk pernyataan aturan ini. Perilaku fallback adalah status pencocokan yang ingin AWS WAF Anda tetapkan ke permintaan web jika tidak dapat menghitung AWS WAF sidik jari. JA4 Jika Anda memilih untuk mencocokkan, AWS WAF memperlakukan permintaan sebagai pencocokan pernyataan aturan dan menerapkan tindakan aturan ke permintaan. Jika Anda memilih untuk tidak cocok, AWS WAF memperlakukan permintaan sebagai tidak cocok dengan pernyataan aturan.

Untuk menggunakan opsi pencocokan ini, Anda harus mencatat lalu lintas paket perlindungan (web ACL) Anda. Untuk informasi, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

## String kueri
<a name="waf-rule-statement-request-component-query-string"></a>

Memeriksa bagian URL yang muncul setelah `?` karakter, jika ada.

**catatan**  
Untuk pernyataan pencocokan skrip lintas situs, kami sarankan Anda memilih **Semua parameter kueri**, bukan string **Kueri**. Memilih **Semua parameter kueri** menambahkan 10 WCUs ke biaya dasar.

## Parameter kueri tunggal
<a name="waf-rule-statement-request-component-single-query-param"></a>

Memeriksa parameter query tunggal yang telah Anda definisikan sebagai bagian dari string query. AWS WAF memeriksa nilai parameter yang Anda tentukan. 

Untuk opsi ini, Anda juga menentukan **argumen Query**. Misalnya, jika URL-nya`www.xyz.com?UserName=abc&SalesRegion=seattle`, Anda dapat menentukan `UserName` atau `SalesRegion` untuk argumen kueri. Panjang maksimum untuk nama argumen adalah 30 karakter. Nama ini tidak peka huruf besar/kecil, jadi jika Anda menentukan`UserName`, AWS WAF cocok dengan semua variasi`UserName`, termasuk `username` dan`UsERName`.

Jika string kueri berisi lebih dari satu contoh argumen kueri yang telah Anda tentukan, AWS WAF periksa semua nilai untuk kecocokan, menggunakan OR logika. Misalnya, di URL`www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, AWS WAF mengevaluasi nama yang telah Anda tentukan terhadap `boston` dan`seattle`. Jika keduanya cocok, inspeksi adalah kecocokan.

## Semua parameter kueri
<a name="waf-rule-statement-request-component-all-query-params"></a>

Memeriksa semua parameter kueri dalam permintaan. Ini mirip dengan pilihan komponen parameter kueri tunggal, tetapi AWS WAF memeriksa nilai semua argumen dalam string kueri. Misalnya, jika URL-nya`www.xyz.com?UserName=abc&SalesRegion=seattle`, AWS WAF memicu kecocokan jika nilai `UserName` atau `SalesRegion` cocok dengan kriteria inspeksi. 

Memilih opsi ini WCUs menambah 10 biaya dasar.

## Tubuh
<a name="waf-rule-statement-request-component-body"></a>

Memeriksa badan permintaan, dievaluasi sebagai teks biasa. Anda juga dapat mengevaluasi tubuh sebagai JSON menggunakan jenis JSON konten. 

Badan permintaan adalah bagian dari permintaan yang segera mengikuti header permintaan. Ini berisi data tambahan yang diperlukan untuk permintaan web, misalnya, data dari formulir. 
+ Di konsol, Anda memilih ini di bawah **opsi Permintaan** pilihan **Badan**, dengan memilih pilihan **Jenis konten** **Teks biasa**. 
+ Di API, dalam `FieldToMatch` spesifikasi aturan, Anda menentukan `Body` untuk memeriksa isi permintaan sebagai teks biasa.

Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md).

Anda harus menentukan penanganan oversize untuk jenis komponen ini. Oversize handling mendefinisikan bagaimana AWS WAF menangani permintaan yang memiliki data body yang lebih besar dari yang AWS WAF dapat diperiksa. Anda dapat memilih untuk melanjutkan inspeksi, atau melewati inspeksi dan menandai permintaan sebagai cocok atau tidak cocok dengan aturan. Untuk informasi selengkapnya tentang penanganan konten yang terlalu besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md). 

Anda juga dapat mengevaluasi tubuh sebagai JSON yang diurai. Untuk informasi tentang ini, lihat bagian berikut. 

## Tubuh JSON
<a name="waf-rule-statement-request-component-json-body"></a>

Memeriksa badan permintaan, dievaluasi sebagai JSON. Anda juga dapat mengevaluasi tubuh sebagai teks biasa. 

Badan permintaan adalah bagian dari permintaan yang segera mengikuti header permintaan. Ini berisi data tambahan yang diperlukan untuk permintaan web, misalnya, data dari formulir. 
+ Di konsol, Anda memilih ini di bawah **pilihan opsi Request** **Body**, dengan memilih pilihan **Jenis konten** **JSON**. 
+ Di API, dalam `FieldToMatch` spesifikasi aturan, Anda menentukan`JsonBody`.

Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md).

Anda harus menentukan penanganan oversize untuk jenis komponen ini. Oversize handling mendefinisikan bagaimana AWS WAF menangani permintaan yang memiliki data body yang lebih besar dari yang AWS WAF dapat diperiksa. Anda dapat memilih untuk melanjutkan inspeksi, atau melewati inspeksi dan menandai permintaan sebagai cocok atau tidak cocok dengan aturan. Untuk informasi selengkapnya tentang penanganan konten yang terlalu besar, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md). 

Memilih opsi ini menggandakan biaya WCUs dasar pernyataan pertandingan. Misalnya, jika biaya dasar pernyataan kecocokan adalah 5 WCUs tanpa penguraian JSON, menggunakan parsing JSON menggandakan biaya menjadi 10. WCUs 

Untuk opsi ini, Anda memberikan spesifikasi tambahan, seperti yang dijelaskan di bagian berikut.

**Bagaimana AWS WAF menangani inspeksi tubuh JSON**  
Saat AWS WAF memeriksa badan permintaan web sebagai JSON, ia melakukan langkah-langkah untuk mengurai tubuh dan mengekstrak elemen JSON untuk diperiksa. AWS WAF melakukan langkah-langkah ini sesuai dengan pilihan konfigurasi Anda. 

Berikut ini mencantumkan langkah-langkah yang AWS WAF dilakukan. 

1. **Parse isi isi tubuh** - AWS WAF mem-parsing isi badan permintaan web untuk mengekstrak elemen JSON untuk diperiksa. AWS WAF melakukan yang terbaik untuk mengurai seluruh isi tubuh, tetapi penguraian dapat gagal untuk berbagai status kesalahan dalam konten. Contohnya termasuk karakter yang tidak valid, kunci duplikat, pemotongan, dan konten yang simpul akarnya bukan objek atau array. 

   Opsi **Body parsing fallback behavior** menentukan AWS WAF apa yang dilakukan jika gagal mengurai body JSON sepenuhnya: 
   + **Tidak ada (perilaku default)** - AWS WAF mengevaluasi konten hanya sampai pada titik di mana ia mengalami kesalahan penguraian. 
   + **Evaluasi sebagai string** - Periksa tubuh sebagai teks biasa. AWS WAF menerapkan transformasi teks dan kriteria inspeksi yang Anda tentukan untuk inspeksi JSON ke string teks isi.
   + **Cocokkan** - Perlakukan permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan.
   + **Tidak cocok - Perlakukan** permintaan web sebagai tidak cocok dengan pernyataan aturan.
**catatan**  
Perilaku fallback ini hanya terpicu saat AWS WAF menemukan kesalahan saat mengurai string JSON. 

**Parsing tidak sepenuhnya memvalidasi JSON**  
AWS WAF penguraian tidak sepenuhnya memvalidasi string JSON input, sehingga penguraian dapat berhasil bahkan untuk JSON yang tidak valid.

   Misalnya, AWS WAF mem-parsing JSON yang tidak valid berikut tanpa kesalahan: 
   + Kehilangan koma: `{"key1":"value1""key2":"value2"}`
   + Kehilangan titik dua: `{"key1":"value1","key2""value2"}`
   + Titik dua ekstra: `{"key1"::"value1","key2""value2"}`

   Untuk kasus-kasus seperti ini di mana penguraian berhasil tetapi hasilnya tidak sepenuhnya valid JSON, hasil dari langkah-langkah selanjutnya dalam evaluasi dapat bervariasi. Ekstraksi mungkin kehilangan beberapa elemen, atau evaluasi aturan mungkin memiliki hasil yang tidak terduga. Kami menyarankan Anda memvalidasi JSON yang Anda terima dalam aplikasi Anda dan menangani JSON yang tidak valid sesuai kebutuhan. 

1. **Ekstrak elemen JSON** - AWS WAF mengidentifikasi subset elemen JSON untuk memeriksa sesuai dengan pengaturan Anda: 
   + Pilihan **lingkup pencocokan JSON** menentukan jenis elemen dalam JSON yang AWS WAF harus memeriksa. 

     Anda dapat menentukan **Kunci**, **Nilai**, atau **Semua** untuk kedua kunci dan nilai. 

     **Semua** tidak memerlukan kecocokan untuk ditemukan di kunci dan kecocokan untuk ditemukan dalam nilai. Ini membutuhkan kecocokan untuk ditemukan di kunci atau nilai atau keduanya. Untuk meminta kecocokan dalam kunci dan nilai, gunakan `AND` pernyataan logis untuk menggabungkan dua aturan kecocokan, satu yang memeriksa kunci dan yang lain yang memeriksa nilai. 
   + Pilihan **Konten untuk memeriksa** menentukan bagaimana untuk menyaring elemen diatur ke subset yang Anda ingin AWS WAF memeriksa. 

     Anda harus menentukan salah satu dari berikut ini:
     + **Konten JSON penuh** - Evaluasi semua elemen. 
     + **Hanya elemen yang disertakan - Evaluasi** hanya elemen yang jalurnya cocok dengan kriteria JSON Pointer yang Anda berikan. Jangan gunakan opsi ini untuk menunjukkan *semua* jalur di JSON. Sebagai gantinya, gunakan **konten JSON Penuh**. 

       Untuk informasi tentang sintaks JSON Pointer, lihat dokumentasi Internet Engineering Task Force (IETF) [JavaScript Object Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

       Misalnya, di konsol, Anda dapat memberikan yang berikut: 

       ```
       /dogs/0/name
       /dogs/1/name
       ```

       Di API atau CLI, Anda dapat memberikan yang berikut: 

       ```
       "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
       ```

   Misalnya, katakan bahwa pengaturan **Konten untuk memeriksa** **hanya elemen yang disertakan**, dan pengaturan elemen yang disertakan adalah`/a/b`. 

   Untuk contoh berikut badan JSON: 

   ```
   { 
     "a":{
       "c":"d",
       "b":{
         "e":{
           "f":"g"
         }
       }
     }
   }
   ```

   Set elemen yang AWS WAF akan memeriksa untuk setiap pengaturan **lingkup kecocokan JSON** tercantum di bawah ini. Perhatikan bahwa kunci`b`, yang merupakan bagian dari jalur elemen yang disertakan, tidak dievaluasi.
   + **Semua**:`e`, `f,` dan`g`.
   + **Kunci**: `e` dan`f`.
   + **Nilai**:`g`.

1. **Periksa set elemen JSON** - AWS WAF menerapkan transformasi teks apa pun yang telah Anda tentukan ke elemen JSON yang diekstraksi dan kemudian mencocokkan elemen yang dihasilkan yang ditetapkan dengan kriteria pencocokan pernyataan aturan. Ini adalah perilaku transformasi dan evaluasi yang sama seperti untuk komponen permintaan web lainnya. Jika salah satu elemen JSON yang diekstraksi cocok, permintaan web cocok untuk aturan tersebut. 

# Menggunakan alamat IP yang diteruskan di AWS WAF
<a name="waf-rule-statement-forwarded-ip-address"></a>

Bagian ini berlaku untuk pernyataan aturan yang menggunakan alamat IP permintaan web. Secara default, AWS WAF menggunakan alamat IP dari asal permintaan web. Namun, jika permintaan web melewati satu atau lebih proxy atau penyeimbang beban, asal permintaan web akan berisi alamat proxy terakhir, dan bukan alamat asal klien. Dalam hal ini, alamat klien yang berasal biasanya diteruskan di header HTTP lain. Header ini biasanya `X-Forwarded-For` (XFF), tetapi bisa berbeda. 

**Pernyataan aturan yang menggunakan alamat IP**  
Pernyataan aturan yang menggunakan alamat IP adalah sebagai berikut:
+ [Pertandingan set IP](waf-rule-statement-type-ipset-match.md)- Memeriksa alamat IP untuk kecocokan dengan alamat yang ditentukan dalam set IP.
+ [Pertandingan geografis](waf-rule-statement-type-geo-match.md)- Menggunakan alamat IP untuk menentukan negara dan wilayah asal dan mencocokkan negara asal dengan daftar negara.
+ [Pertandingan ASN](waf-rule-statement-type-asn-match.md)- Menggunakan alamat IP untuk menentukan Autonomous System Number (ASN) dan mencocokkan ASN terhadap daftar. ASNs
+ [Menggunakan pernyataan aturan berbasis tarif](waf-rule-statement-type-rate-based.md)- Dapat mengumpulkan permintaan dengan alamat IP mereka untuk memastikan bahwa tidak ada alamat IP individu yang mengirim permintaan pada tingkat yang terlalu tinggi. Anda dapat menggunakan agregasi alamat IP dengan sendirinya atau dalam kombinasi dengan kunci agregasi lainnya. 

Anda dapat menginstruksikan AWS WAF untuk menggunakan alamat IP yang diteruskan untuk pernyataan aturan ini, baik dari `X-Forwarded-For` header atau dari header HTTP lain, alih-alih menggunakan asal permintaan web. Untuk detail tentang cara memberikan spesifikasi, lihat panduan untuk setiap jenis pernyataan aturan.

**catatan**  
Jika header tidak ada, AWS WAF evaluasi pernyataan apa pun yang menggunakan header itu sebagai “Tidak cocok.” Jika Anda menggunakan pernyataan NOT dengan hasil “Tidak cocok”, AWS WAF ubah evaluasi menjadi “Cocokkan.” Header yang hilang tidak memicu perilaku fallback - hanya nilai header yang tidak valid yang melakukannya.

**Perilaku mundur**  
Saat Anda menggunakan alamat IP yang diteruskan, Anda menunjukkan status kecocokan AWS WAF untuk ditetapkan ke permintaan web jika permintaan tidak memiliki alamat IP yang valid di posisi yang ditentukan: 
+ **MATCH - Perlakukan** permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan.
+ **NO MATCH** - Perlakukan permintaan web sebagai tidak cocok dengan pernyataan aturan. 

**Alamat IP yang digunakan dalam Kontrol AWS WAF Bot**  
Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dari. AWS WAF Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda harus secara eksplisit mengizinkannya menggunakan aturan khusus. Misalnya, Anda dapat mengonfigurasi aturan pencocokan set IP kustom yang menggunakan alamat IP yang diteruskan untuk mendeteksi dan mengizinkan bot terverifikasi Anda. Anda dapat menggunakan aturan untuk menyesuaikan manajemen bot Anda dalam beberapa cara. Untuk informasi dan contoh, lihat [AWS WAF Kontrol Bot](waf-bot-control.md). 

**Pertimbangan umum untuk menggunakan alamat IP yang diteruskan**  
Sebelum Anda menggunakan alamat IP yang diteruskan, perhatikan peringatan umum berikut: 
+ Header dapat dimodifikasi oleh proxy di sepanjang jalan, dan proxy mungkin menangani header dengan cara yang berbeda. 
+ Penyerang mungkin mengubah isi header dalam upaya untuk melewati AWS WAF inspeksi. 
+ Alamat IP di dalam header bisa cacat atau tidak valid.
+ Header yang Anda tentukan mungkin tidak ada sama sekali dalam permintaan.

**Pertimbangan untuk menggunakan alamat IP yang diteruskan dengan AWS WAF**  
Daftar berikut menjelaskan persyaratan dan peringatan untuk menggunakan alamat IP yang diteruskan di: AWS WAF
+ Untuk aturan tunggal apa pun, Anda dapat menentukan satu header untuk alamat IP yang diteruskan. Spesifikasi header tidak peka huruf besar/kecil.
+ Untuk pernyataan aturan berbasis kecepatan, setiap pernyataan pelingkupan bersarang tidak mewarisi konfigurasi IP yang diteruskan. Tentukan konfigurasi untuk setiap pernyataan yang menggunakan alamat IP yang diteruskan. 
+ Untuk aturan geo match, ASN match, dan rate-based, AWS WAF gunakan alamat pertama di header. Misalnya, jika header berisi `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF kegunaan `10.1.1.1`
+ Untuk kecocokan set IP, Anda menunjukkan apakah akan cocok dengan alamat pertama, terakhir, atau alamat apa pun di header. Jika Anda menentukan, AWS WAF periksa semua alamat di header untuk kecocokan, hingga 10 alamat. Jika header berisi lebih dari 10 alamat, AWS WAF periksa 10 terakhir. 
+ Header yang berisi beberapa alamat harus menggunakan pemisah koma di antara alamat. Jika permintaan menggunakan pemisah selain koma, AWS WAF anggap alamat IP di header salah bentuk.
+ Jika alamat IP di dalam header cacat atau tidak valid, AWS WAF menetapkan permintaan web sebagai cocok dengan aturan atau tidak cocok, sesuai dengan perilaku fallback yang Anda tentukan dalam konfigurasi IP yang diteruskan.
+ Jika header yang Anda tentukan tidak ada dalam permintaan, AWS WAF tidak menerapkan aturan pada permintaan sama sekali. Ini AWS WAF berarti itu tidak menerapkan tindakan aturan dan tidak menerapkan perilaku fallback.
+ Pernyataan aturan yang menggunakan header IP yang diteruskan untuk alamat IP tidak akan menggunakan alamat IP yang dilaporkan oleh asal permintaan web.

**Praktik terbaik untuk menggunakan alamat IP yang diteruskan dengan AWS WAF**  
Saat Anda menggunakan alamat IP yang diteruskan, gunakan praktik terbaik berikut: 
+ Pertimbangkan dengan cermat semua kemungkinan status header permintaan Anda sebelum mengaktifkan konfigurasi IP yang diteruskan. Anda mungkin perlu menggunakan lebih dari satu aturan untuk mendapatkan perilaku yang Anda inginkan.
+ Untuk memeriksa beberapa header IP yang diteruskan atau untuk memeriksa asal permintaan web dan header IP yang diteruskan, gunakan satu aturan untuk setiap sumber alamat IP. 
+ Untuk memblokir permintaan web yang memiliki header tidak valid, setel tindakan aturan untuk memblokir dan mengatur perilaku fallback untuk konfigurasi IP yang diteruskan agar cocok. 

**Contoh JSON untuk alamat IP yang diteruskan**  
Pernyataan geo match berikut hanya cocok jika `X-Forwarded-For` header berisi IP yang negara asalnya adalah`US`: 

```
{
  "Name": "XFFTestGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestGeo"
  },
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ],
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

Aturan berbasis laju berikut mengumpulkan permintaan berdasarkan IP pertama di header. `X-Forwarded-For` Aturan hanya menghitung permintaan yang cocok dengan pernyataan kecocokan geografis bersarang, dan hanya memblokir permintaan yang cocok dengan pernyataan kecocokan geografis. Pernyataan geo match bersarang juga menggunakan `X-Forwarded-For` header untuk menentukan apakah alamat IP menunjukkan negara asal. `US` Jika ya, atau jika header ada tetapi salah bentuk, pernyataan geo match mengembalikan kecocokan. 

```
{
  "Name": "XFFTestRateGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestRateGeo"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": "100",
      "AggregateKeyType": "FORWARDED_IP",
      "ScopeDownStatement": {
        "GeoMatchStatement": {
          "CountryCodes": [
            "US"
          ],
          "ForwardedIPConfig": {
            "HeaderName": "x-forwarded-for",
            "FallbackBehavior": "MATCH"
          }
        }
      },
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

# Memeriksa header semu HTTP/2 di AWS WAF
<a name="waf-rule-statement-request-components-for-http2-pseudo-headers"></a>

Bagian ini menjelaskan bagaimana Anda dapat menggunakan AWS WAF untuk memeriksa HTTP/2 pseudo header.

 AWS Sumber daya yang dilindungi yang mendukung lalu lintas HTTP/2 tidak meneruskan header semu HTTP/2 AWS WAF untuk diperiksa, tetapi mereka menyediakan konten header semu dalam komponen permintaan web yang memeriksa. AWS WAF 

Anda dapat menggunakan AWS WAF untuk memeriksa hanya header semu yang tercantum dalam tabel berikut. 


**Konten header semu HTTP/2 dipetakan ke komponen permintaan web**  

| HTTP/2 header semu | Komponen permintaan web untuk diperiksa | Dokumentasi | 
| --- | --- | --- | 
|  `:method`  |  Metode HTTP   |  [Metode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)  | 
|  `:authority`  |  Header `Host`   |  [Header tunggal](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)  [Semua header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)  | 
|  `:path`Jalur URI  | Jalur URI  | [Jalur URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | 
|  `:path`kueri  |  String kueri  |  [String kueri](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Parameter kueri tunggal](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Semua parameter kueri](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)  | 

# Menggunakan transformasi teks di AWS WAF
<a name="waf-rule-statement-transformation"></a>

Bagian ini menjelaskan cara menyediakan transformasi AWS WAF untuk diterapkan sebelum memeriksa permintaan.

Dalam pernyataan yang mencari pola atau menetapkan batasan, Anda dapat memberikan transformasi AWS WAF untuk diterapkan sebelum memeriksa permintaan. Transformasi memformat ulang permintaan web untuk menghilangkan beberapa format yang tidak biasa yang digunakan penyerang dalam upaya untuk mem-bypass. AWS WAF

Saat Anda menggunakan ini dengan pemilihan komponen permintaan badan JSON, AWS WAF terapkan transformasi Anda setelah mengurai dan mengekstrak elemen untuk diperiksa dari JSON. Untuk informasi selengkapnya, lihat [Tubuh JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).

Jika Anda memberikan lebih dari satu transformasi, Anda juga mengatur urutan AWS WAF untuk menerapkannya. 

**WCUs**- Setiap transformasi teks adalah 10WCUs.

Dokumentasi AWS WAF konsol dan API juga memberikan panduan untuk pengaturan ini di lokasi berikut: 
+ **Pembuat aturan** di konsol — **Transformasi teks**. Opsi ini tersedia saat Anda menggunakan komponen permintaan. 
+ **Isi pernyataan API** - `TextTransformations`Opsi untuk transformasi teks

Setiap daftar transformasi menunjukkan spesifikasi konsol dan API diikuti oleh deskripsi.

Base64 decode – `BASE64_DECODE`  
AWS WAF menerjemahkan string yang dikodekan Base64.

Base64 decode extension – `BASE64_DECODE_EXT`  
AWS WAF mendekode string yang dikodekan Base64, tetapi menggunakan implementasi pemaaf yang mengabaikan karakter yang tidak valid. 

Command line – `CMD_LINE`  
Opsi ini mengurangi situasi di mana penyerang mungkin menyuntikkan perintah baris perintah sistem operasi dan menggunakan format yang tidak biasa untuk menyamarkan beberapa atau semua perintah.   
Gunakan opsi ini untuk melakukan transformasi berikut:  
+ Hapus karakter berikut: `\ " ' ^`
+ Hapus spasi sebelum karakter berikut: `/ (`
+ Ganti karakter berikut dengan spasi: `, ;`
+ Ganti spasi ganda dengan satu spasi
+ Ubah huruf besar,, ke huruf kecil`A-Z`, `a-z`

Compress whitespace – `COMPRESS_WHITE_SPACE`  
AWS WAF kompres spasi putih dengan mengganti beberapa spasi dengan satu spasi dan mengganti karakter berikut dengan karakter spasi (ASCII 32):  
+ Formfeed (ASCII 12)
+ Tab (ASCII 9)
+ Baris baru (ASCII 10)
+ Pengembalian kereta (ASCII 13)
+ Tab vertikal (ASCII 11)
+ Ruang tidak pecah (ASCII 160)

CSS decode – `CSS_DECODE`  
AWS WAF menerjemahkan karakter yang dikodekan menggunakan aturan escape CSS 2.x. `syndata.html#characters` Fungsi ini menggunakan hingga dua byte dalam proses pendekodean, sehingga dapat membantu mengungkap karakter ASCII yang dikodekan menggunakan pengodean CSS yang biasanya tidak dikodekan. Ini juga berguna dalam melawan penghindaran, yang merupakan kombinasi dari garis miring terbalik dan karakter non-heksadesimal. Misalnya, `ja\vascript` untuk `javascript`.

Escape sequences decode – `ESCAPE_SEQ_DECODE`  
AWS WAF menerjemahkan urutan escape ANSI C berikut:`\a`,,,,`\b`,`\f`,`\n`,`\r`, `\t` `\v` `\\``\?`, `\xHH` (heksadesimal) `\'``\"`, (oktal). `\0OOO` Pengodean yang tidak valid tetap dalam output.

Hex decode – `HEX_DECODE`  
AWS WAF menerjemahkan string karakter heksadesimal menjadi biner.

HTML entity decode – `HTML_ENTITY_DECODE`  
AWS WAF menggantikan karakter yang diwakili dalam format heksadesimal `&#xhhhh;` atau format desimal dengan karakter yang sesuai. `&#nnnn;`  
AWS WAF menggantikan karakter berkode HTML berikut dengan karakter yang tidak dikodekan. Daftar ini menggunakan pengkodean HTML huruf kecil, tetapi penanganannya tidak peka huruf besar/kecil, misalnya `&QuOt;` dan `&quot;` diperlakukan sama.       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/waf-rule-statement-transformation.html)

JS decode – `JS_DECODE`  
AWS WAF menerjemahkan urutan JavaScript pelarian. Jika `\uHHHH` kode berada dalam rentang kode ASCII lebar penuh`FF01-FF5E`, maka byte yang lebih tinggi digunakan untuk mendeteksi dan menyesuaikan byte yang lebih rendah. Jika tidak, hanya byte yang lebih rendah yang digunakan dan byte yang lebih tinggi dinolkan, yang menyebabkan kemungkinan hilangnya informasi.

Lowercase – `LOWERCASE`  
AWS WAF mengkonversi huruf besar (A-Z) ke huruf kecil (a-z).

MD5 – `MD5`  
AWS WAF menghitung MD5 hash dari data dalam input. Hash dihitung dalam bentuk biner mentah.

None – `NONE`  
AWS WAF memeriksa permintaan web seperti yang diterima, tanpa transformasi teks apa pun. 

Normalize path – `NORMALIZE_PATH`  
AWS WAF menormalkan string input dengan menghapus beberapa garis miring, referensi mandiri direktori, dan referensi balik direktori yang tidak ada di awal input.

Normalize path Windows – `NORMALIZE_PATH_WIN`  
AWS WAF mengubah karakter garis miring terbalik menjadi garis miring maju dan kemudian memproses string yang dihasilkan menggunakan transformasi. `NORMALIZE_PATH`

Remove nulls – `REMOVE_NULLS`  
AWS WAF menghapus semua `NULL` byte dari input. 

Replace comments – `REPLACE_COMMENTS`  
AWS WAF menggantikan setiap kemunculan komentar gaya-C (/\$1... \$1/) dengan satu spasi. Itu tidak memampatkan beberapa kejadian berturut-turut. Ini menggantikan komentar yang tidak dihentikan dengan spasi (ASCII 0x20). Itu tidak mengubah penghentian komentar secara mandiri (\$1/).

Replace nulls – `REPLACE_NULLS`  
AWS WAF menggantikan setiap `NULL` byte dalam input dengan karakter spasi (ASCII 0x20).

SQL hex decode – `SQL_HEX_DECODE`  
AWS WAF menerjemahkan data hex SQL. Misalnya, AWS WAF menerjemahkan (`0x414243`) ke (`ABC`).

URL decode – `URL_DECODE`  
AWS WAF menerjemahkan nilai yang dikodekan URL.

URL decode Unicode – `URL_DECODE_UNI`  
Seperti`URL_DECODE`, tetapi dengan dukungan untuk pengkodean khusus Microsoft`%u`. Jika kode berada dalam rentang kode `FF01-FF5E` ASCII lebar penuh, byte yang lebih tinggi digunakan untuk mendeteksi dan menyesuaikan byte yang lebih rendah. Jika tidak, hanya byte yang lebih rendah digunakan dan byte yang lebih tinggi dinolkan.

UTF8 to Unicode – `UTF8_TO_UNICODE`  
AWS WAF mengkonversi semua urutan karakter UTF-8 ke Unicode. Ini membantu menormalkan input dan meminimalkan positif palsu dan negatif palsu untuk bahasa non-Inggris.

# Menggunakan pernyataan scope-down di AWS WAF
<a name="waf-rule-scope-down-statements"></a>

Bagian ini menjelaskan apa pernyataan cakupan ke bawah dan cara kerjanya.

Pernyataan scope-down adalah pernyataan aturan bersarang yang Anda tambahkan di dalam pernyataan grup aturan terkelola atau pernyataan berbasis laju untuk mempersempit kumpulan permintaan yang dievaluasi aturan yang mengandung. Aturan berisi hanya mengevaluasi permintaan yang pertama cocok dengan pernyataan scope-down. 
+ **Pernyataan grup aturan terkelola** - Jika Anda menambahkan pernyataan cakupan bawah ke pernyataan grup aturan terkelola, AWS WAF evaluasi permintaan apa pun yang tidak cocok dengan pernyataan cakupan bawah sebagai tidak cocok dengan grup aturan. Hanya permintaan yang cocok dengan pernyataan scope-down yang dievaluasi terhadap kelompok aturan. Untuk grup aturan terkelola dengan harga yang didasarkan pada jumlah permintaan yang dievaluasi, pernyataan cakupan bawah dapat membantu menahan biaya. 

  Untuk informasi selengkapnya tentang pernyataan grup aturan terkelola, lihat[Menggunakan pernyataan grup aturan terkelola di AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ **Pernyataan aturan berbasis tarif — Pernyataan** aturan berbasis tarif tanpa tingkat pernyataan cakupan bawah membatasi semua permintaan yang dievaluasi aturan. Jika Anda hanya ingin mengontrol tingkat untuk kategori permintaan tertentu, tambahkan pernyataan cakupan bawah ke aturan berbasis tarif. Misalnya, untuk hanya melacak dan mengontrol tingkat permintaan dari wilayah geografis tertentu, Anda dapat menentukan wilayah geografis tersebut dalam pernyataan kecocokan geografis dan menambahkannya ke aturan berbasis tarif Anda sebagai pernyataan cakupan turun. 

  Untuk informasi selengkapnya tentang pernyataan aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

Anda dapat menggunakan aturan nestable apa pun dalam pernyataan scope-down. Untuk pernyataan yang tersedia, lihat [Menggunakan pernyataan aturan kecocokan di AWS WAF](waf-rule-statements-match.md) dan[Menggunakan pernyataan aturan logis di AWS WAF](waf-rule-statements-logical.md). Pernyataan WCUs untuk cakupan bawah adalah yang WCUs diperlukan untuk pernyataan aturan yang Anda definisikan di dalamnya. Tidak ada biaya tambahan untuk penggunaan pernyataan cakupan bawah.

Anda dapat mengonfigurasi pernyataan scope-down dengan cara yang sama seperti yang Anda lakukan ketika Anda menggunakan pernyataan dalam aturan reguler. Misalnya, Anda dapat menerapkan transformasi teks ke komponen permintaan web yang sedang Anda periksa dan Anda dapat menentukan alamat IP yang diteruskan untuk digunakan sebagai alamat IP. Konfigurasi ini hanya berlaku untuk pernyataan scope-down dan tidak diwarisi oleh grup aturan terkelola yang berisi atau pernyataan aturan berbasis tarif. 

Misalnya, jika Anda menerapkan transformasi teks ke string kueri dalam pernyataan cakupan bawah Anda, pernyataan cakupan bawah akan memeriksa string kueri setelah menerapkan transformasi. Jika permintaan cocok dengan kriteria pernyataan cakupan bawah, AWS WAF maka meneruskan permintaan web ke aturan yang mengandung dalam keadaan aslinya, tanpa transformasi pernyataan cakupan ke bawah. Aturan yang berisi pernyataan scope-down mungkin menerapkan transformasi teksnya sendiri, tetapi tidak mewarisi pernyataan cakupan ke bawah. 

Anda tidak dapat menggunakan pernyataan scope-down untuk menentukan konfigurasi inspeksi permintaan apa pun untuk pernyataan aturan yang berisi. Anda tidak dapat menggunakan pernyataan scope-down sebagai preprocessor permintaan web untuk pernyataan aturan yang berisi. Satu-satunya peran dari pernyataan scope-down adalah untuk menentukan permintaan mana yang diteruskan ke pernyataan aturan yang berisi untuk inspeksi. 

# Mereferensikan entitas yang dapat digunakan kembali di AWS WAF
<a name="waf-rule-statement-reusable-entities"></a>

Bagian ini menjelaskan cara kerja entitas yang dapat digunakan kembali. AWS WAF

Beberapa aturan menggunakan entitas yang dapat digunakan kembali dan dikelola di luar web AndaACLs, baik oleh Anda AWS, atau AWS Marketplace penjual. Saat entitas yang dapat digunakan kembali diperbarui, AWS WAF menyebarkan pembaruan ke aturan Anda. Misalnya, jika Anda menggunakan grup aturan Aturan AWS Terkelola dalam paket perlindungan (web ACL), saat AWS memperbarui grup aturan, AWS menyebarkan perubahan ke ACL web Anda, untuk memperbarui perilakunya. Jika Anda menggunakan pernyataan set IP dalam aturan, ketika Anda memperbarui set, AWS WAF menyebarkan perubahan ke semua aturan yang mereferensikannya, sehingga setiap paket perlindungan (web ACLs) yang menggunakan aturan tersebut disimpan up-to-date dengan perubahan Anda. 

Berikut ini adalah entitas yang dapat digunakan kembali yang dapat Anda gunakan dalam pernyataan aturan. 
+ **Set IP** — Anda membuat dan mengelola set IP Anda sendiri. Di konsol, Anda dapat mengaksesnya dari panel navigasi. Untuk informasi tentang mengelola set IP, lihat[Set IP dan set pola regex di AWS WAF](waf-referenced-set-managing.md). 
+ **Set pertandingan Regex — Anda membuat dan mengelola set pertandingan** regex Anda sendiri. Di konsol, Anda dapat mengaksesnya dari panel navigasi. Untuk informasi tentang mengelola set pola regex, lihat. [Set IP dan set pola regex di AWS WAF](waf-referenced-set-managing.md) 
+ **AWS Kelompok aturan Aturan AWS Terkelola** — mengelola grup aturan ini. Di konsol, ini tersedia untuk Anda gunakan saat Anda menambahkan grup aturan terkelola ke paket perlindungan (web ACL). Untuk informasi lebih lanjut tentang ini, lihat[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md).
+ **AWS Marketplace grup aturan terkelola** — AWS Marketplace penjual mengelola grup aturan ini dan Anda dapat berlangganan untuk menggunakannya. Untuk mengelola langganan Anda, pada panel navigasi konsol, pilih. **AWS Marketplace** Grup aturan AWS Marketplace terkelola dicantumkan saat Anda menambahkan grup aturan terkelola ke paket perlindungan (web ACL). Untuk grup aturan yang belum Anda berlangganan, Anda juga dapat menemukan tautan AWS Marketplace di halaman itu. Untuk informasi selengkapnya tentang grup aturan terkelola AWS Marketplace penjual, lihat[AWS Marketplace kelompok aturan](marketplace-rule-groups.md).
+ **Grup aturan Anda sendiri** — Anda mengelola grup aturan Anda sendiri, biasanya ketika Anda memerlukan beberapa perilaku yang tidak tersedia melalui grup aturan terkelola. Di konsol, Anda dapat mengaksesnya dari panel navigasi. Untuk informasi selengkapnya, lihat [Mengelola grup aturan Anda sendiri](waf-user-created-rule-groups.md).

**Menghapus kumpulan atau grup aturan yang direferensikan**  
Saat Anda menghapus entitas yang direferensikan, AWS WAF periksa apakah saat ini sedang digunakan dalam paket perlindungan (web ACL). Jika AWS WAF menemukan bahwa itu sedang digunakan, itu memperingatkan Anda. AWS WAF Hampir selalu dapat menentukan apakah suatu entitas direferensikan oleh paket perlindungan (web ACL). Namun, dalam kasus yang jarang terjadi, mungkin tidak dapat melakukannya. Jika Anda perlu memastikan bahwa entitas yang ingin Anda hapus tidak digunakan, periksa di web Anda ACLs sebelum menghapusnya.

# Menggunakan pernyataan aturan kecocokan di AWS WAF
<a name="waf-rule-statements-match"></a>

Bagian ini menjelaskan apa itu pernyataan kecocokan dan cara kerjanya.

Pernyataan kecocokan membandingkan permintaan web atau asalnya dengan kriteria yang Anda berikan. Untuk banyak pernyataan jenis ini, AWS WAF membandingkan komponen spesifik dari permintaan untuk konten yang cocok. 

Pernyataan kecocokan adalah nestable. Anda dapat menyarangkan salah satu pernyataan ini di dalam pernyataan aturan logis dan Anda dapat menggunakannya dalam pernyataan cakupan bawah. Untuk informasi tentang pernyataan aturan logis, lihat[Menggunakan pernyataan aturan logis di AWS WAF](waf-rule-statements-logical.md). Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

Tabel ini menjelaskan pernyataan pencocokan reguler yang dapat Anda tambahkan ke aturan dan memberikan beberapa pedoman untuk menghitung penggunaan unit kapasitas (WCU) paket perlindungan (web ACL) untuk masing-masing. Untuk informasi tentang WCUs, lihat[Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md). 


| Pernyataan Pertandingan | Deskripsi | WCUs | 
| --- | --- | --- | 
| [Pertandingan geografis](waf-rule-statement-type-geo-match.md) | Memeriksa negara asal permintaan dan menerapkan label untuk negara dan wilayah asal.  | 1 | 
|  [Pertandingan ASN](waf-rule-statement-type-asn-match.md)  |  Memeriksa permintaan terhadap ASN yang terkait dengan alamat IP dan rentang alamat.  |  1  | 
|  [Pertandingan set IP](waf-rule-statement-type-ipset-match.md)  |  Memeriksa permintaan terhadap satu set alamat IP dan rentang alamat.   |  1 untuk sebagian besar kasus. Jika Anda mengkonfigurasi pernyataan untuk menggunakan header dengan alamat IP diteruskan dan menentukan posisi di headerAny, kemudian meningkatkan WCUs dengan 4.  | 
|  [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md)  |  Memeriksa permintaan label yang telah ditambahkan oleh aturan lain dalam paket perlindungan yang sama (web ACL).  |  1   | 
| [Pernyataan aturan pertandingan Regex](waf-rule-statement-type-regex-match.md) | Membandingkan pola regex terhadap komponen permintaan tertentu.  | 3, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.  | 
|  [Set pola Regex](waf-rule-statement-type-regex-pattern-set-match.md)  |  Membandingkan pola regex terhadap komponen permintaan tertentu.   |  25 per set pola, sebagai biaya dasar.  Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.  | 
| [Kendala ukuran](waf-rule-statement-type-size-constraint-match.md) | Memeriksa batasan ukuran terhadap komponen permintaan tertentu.  | 1, sebagai biaya dasar.  Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.  | 
| [SQLimenyerang](waf-rule-statement-type-sqli-match.md) | Memeriksa kode SQL berbahaya dalam komponen permintaan tertentu.  | 20, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs. | 
| [Pertandingan string](waf-rule-statement-type-string-match.md) | Membandingkan string ke komponen permintaan tertentu.  |  Biaya dasar tergantung pada jenis kecocokan string dan antara 1 dan 10. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.  | 
| [Serangan skrip XSS](waf-rule-statement-type-xss-match.md) | Memeriksa serangan scripting lintas situs dalam komponen permintaan tertentu.  | 40, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs. | 

# Pernyataan aturan kecocokan geografis
<a name="waf-rule-statement-type-geo-match"></a>

Bagian ini menjelaskan apa itu pernyataan kecocokan geografis dan cara kerjanya.

Gunakan pernyataan kecocokan geografis atau geografis untuk mengelola permintaan web berdasarkan negara dan wilayah asal. Pernyataan geo match menambahkan label ke permintaan web yang menunjukkan negara asal dan wilayah asal. Ini menambahkan label ini terlepas dari apakah kriteria pernyataan cocok untuk permintaan. Pernyataan geo match juga melakukan pencocokan terhadap negara asal permintaan.

## Cara menggunakan pernyataan geo match
<a name="waf-rule-statement-geo-how-to-use"></a>

Anda dapat menggunakan pernyataan geo match untuk pencocokan negara atau wilayah, sebagai berikut: 
+ **Negara** — Anda dapat menggunakan aturan geo match dengan sendirinya untuk mengelola permintaan hanya berdasarkan negara asal mereka. Pernyataan aturan cocok dengan kode negara. Anda juga dapat mengikuti aturan geo match dengan aturan pencocokan label yang cocok dengan label negara asal. 
**catatan**  
Untuk memfilter lalu lintas dari Hong Kong, gunakan kode negara ISO 3166-1 alpha-2 `HK` dalam pernyataan geo match Anda.
+ **Wilayah** — Gunakan aturan pencocokan geografis diikuti dengan aturan pencocokan label untuk mengelola permintaan berdasarkan wilayah asalnya. Anda tidak dapat menggunakan aturan geo match saja untuk mencocokkan dengan kode wilayah.

Untuk informasi tentang penggunaan aturan pencocokan label, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan[Pelabelan permintaan web di AWS WAF](waf-labels.md).

## Cara kerja pernyataan geo match
<a name="waf-rule-statement-geo-how-it-works"></a>

Dengan pernyataan geo match, AWS WAF mengelola setiap permintaan web sebagai berikut: 

1. **Menentukan kode negara dan wilayah permintaan** — AWS WAF menentukan negara dan wilayah permintaan berdasarkan alamat IP-nya. Secara default, AWS WAF menggunakan alamat IP asal permintaan web. Anda dapat menginstruksikan AWS WAF untuk menggunakan alamat IP dari header permintaan alternatif, seperti`X-Forwarded-For`, dengan mengaktifkan konfigurasi IP yang diteruskan dalam pengaturan pernyataan aturan. 

   AWS WAF menentukan lokasi permintaan menggunakan database MaxMind GeoIP. MaxMind melaporkan akurasi data mereka yang sangat tinggi di tingkat negara, meskipun akurasi bervariasi sesuai dengan faktor-faktor seperti negara dan jenis IP. Untuk informasi selengkapnya MaxMind, lihat [Geolokasi MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Jika menurut Anda salah satu data GeoIP salah, Anda dapat mengirimkan permintaan koreksi ke Maxmind di [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 

   AWS WAF menggunakan kode negara dan wilayah alfa-2 dari standar Organisasi Internasional untuk Standardisasi (ISO) 3166. Anda dapat menemukan kode di lokasi berikut:
   + Di situs web ISO, Anda dapat mencari kode negara di [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home). 
   + Di Wikipedia, kode negara terdaftar di [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2).

     Kode wilayah untuk suatu negara tercantum di URL`https://en.wikipedia.org/wiki/ISO_3166-2:<ISO country code>`. [Misalnya, wilayah untuk Amerika Serikat berada [pada ISO 3166-2:AS dan untuk Ukraina mereka berada di ISO](https://en.wikipedia.org/wiki/ISO_3166-2:US) 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA)

1. **Menentukan label negara dan label wilayah untuk ditambahkan ke permintaan** — Label menunjukkan apakah pernyataan geo match menggunakan IP asal atau konfigurasi IP yang diteruskan.
   + **IP Asal** 

     Label negara adalah`awswaf:clientip:geo:country:<ISO country code>`. Contoh untuk Amerika Serikat`awswaf:clientip:geo:country:US`:.

     Label wilayah adalah`awswaf:clientip:geo:region:<ISO country code>-<ISO region code>`. Contoh untuk Oregon di Amerika Serikat:. `awswaf:clientip:geo:region:US-OR`
   + **IP yang diteruskan** 

     Label negara adalah`awswaf:forwardedip:geo:country:<ISO country code>`. Contoh untuk Amerika Serikat`awswaf:forwardedip:geo:country:US`:.

     Label wilayah adalah`awswaf:forwardedip:geo:region:<ISO country code>-<ISO region code>`. Contoh untuk Oregon di Amerika Serikat:. `awswaf:forwardedip:geo:region:US-OR`

   Jika kode negara atau wilayah tidak tersedia untuk alamat IP yang ditentukan permintaan, AWS WAF gunakan `XX` label, sebagai pengganti nilai. Misalnya, label berikut adalah untuk IP klien yang kode negaranya tidak tersedia: `awswaf:clientip:geo:country:XX` dan berikut ini untuk IP yang diteruskan yang negaranya adalah Amerika Serikat, tetapi kode wilayahnya tidak tersedia:. `awswaf:forwardedip:geo:region:US-XX` 

1. **Mengevaluasi kode negara permintaan terhadap kriteria aturan** 

Pernyataan geo match menambahkan label negara dan wilayah ke semua permintaan yang diperiksa, terlepas dari apakah ia menemukan kecocokan. 

**catatan**  
AWS WAF menambahkan label apa pun di akhir evaluasi permintaan web aturan. Karena itu, setiap pencocokan label yang Anda gunakan terhadap label dari pernyataan geo match harus didefinisikan dalam aturan terpisah dari aturan yang berisi pernyataan geo match. 

Jika Anda hanya ingin memeriksa nilai wilayah, Anda dapat menulis aturan pencocokan geografis dengan Count tindakan dan dengan kecocokan kode negara tunggal, diikuti dengan aturan pencocokan label untuk label wilayah. Anda diminta untuk memberikan kode negara untuk aturan geo match untuk dievaluasi, bahkan untuk pendekatan ini. Anda dapat mengurangi metrik pencatatan dan penghitungan dengan menentukan negara yang sangat tidak mungkin menjadi sumber lalu lintas ke situs Anda. 

## CloudFront distribusi dan fitur pembatasan CloudFront geografis
<a name="cloudfront-distributions-geo-restriction"></a>

Untuk CloudFront distribusi, jika Anda menggunakan fitur pembatasan CloudFront geografis, ketahuilah bahwa fitur tersebut tidak meneruskan permintaan yang diblokir. AWS WAF Itu meneruskan permintaan yang diizinkan ke AWS WAF. Jika Anda ingin memblokir permintaan berdasarkan geografi ditambah kriteria lain yang dapat Anda tentukan AWS WAF, gunakan pernyataan AWS WAF geo match dan jangan gunakan fitur pembatasan CloudFront geografis. 

## Karakteristik pernyataan aturan
<a name="geo-match-statement-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs **— 1 WCU.

**Pengaturan** - Pernyataan ini menggunakan pengaturan berikut: 
+ **Kode negara** — Array kode negara untuk dibandingkan untuk kecocokan geografis. Ini harus berupa kode negara dua karakter dari kode ISO negara alfa-2 dari standar internasional ISO 3166, misalnya,. `["US","CN"]` 
+ **(Opsional) Konfigurasi IP yang diteruskan** — Secara default, AWS WAF menggunakan alamat IP di asal permintaan web untuk menentukan negara asal. Atau, Anda dapat mengonfigurasi aturan untuk menggunakan IP yang diteruskan di header HTTP seperti `X-Forwarded-For` sebagai gantinya. AWS WAF menggunakan alamat IP pertama di header. Dengan konfigurasi ini, Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP cacat di header. Perilaku fallback menetapkan hasil yang cocok untuk permintaan, agar cocok atau tidak cocok. Untuk informasi selengkapnya, lihat [Menggunakan alamat IP yang diteruskan](waf-rule-statement-forwarded-ip-address.md). 

## Di mana menemukan pernyataan aturan ini
<a name="geo-match-statement-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **opsi Permintaan**, pilih **Berasal dari negara di**.
+ **API** — [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)

## Contoh
<a name="waf-rule-statement-geo-examples"></a>

Anda dapat menggunakan pernyataan geo match untuk mengelola permintaan dari negara atau wilayah tertentu. Misalnya, jika Anda ingin memblokir permintaan dari negara tertentu, tetapi masih mengizinkan permintaan dari kumpulan alamat IP tertentu di negara tersebut, Anda dapat membuat aturan dengan tindakan yang disetel ke Block dan pernyataan bersarang berikut, yang ditunjukkan dalam pseudocode:
+ Pernyataan AND
  + Pernyataan geo match mencantumkan negara yang ingin Anda blokir
  + Pernyataan NOT 
    + IP set pernyataan yang menentukan alamat IP yang ingin Anda izinkan melalui

Atau, jika Anda ingin memblokir beberapa wilayah di negara tertentu, tetapi masih mengizinkan permintaan dari wilayah lain di negara tersebut, Anda dapat terlebih dahulu menentukan aturan geo match dengan tindakan yang disetel keCount. Kemudian, tentukan aturan pencocokan label yang cocok dengan label kecocokan geografis yang ditambahkan dan tangani permintaan sesuai kebutuhan. 

Kode semu berikut menjelaskan contoh pendekatan ini:

1. Pernyataan geo match mencantumkan negara dengan wilayah yang ingin Anda blokir, tetapi dengan tindakan yang disetel ke Hitung. Ini memberi label pada setiap permintaan web terlepas dari status kecocokan, dan ini juga memberi Anda metrik hitungan untuk negara yang diminati. 

1. `AND`pernyataan dengan tindakan Blokir
   + Pernyataan pencocokan label yang menentukan label untuk negara yang ingin Anda blokir
   + Pernyataan `NOT` 
     + Pernyataan pencocokan label yang menentukan label wilayah di negara-negara yang ingin Anda izinkan

Daftar JSON berikut menunjukkan implementasi dari dua aturan yang dijelaskan dalam pseudocode sebelumnya. Aturan ini memblokir semua lalu lintas dari Amerika Serikat kecuali lalu lintas dari Oregon dan Washington. Pernyataan geo match menambahkan label negara dan wilayah ke semua permintaan yang diperiksa. Aturan pencocokan label berjalan setelah aturan kecocokan geografis, sehingga dapat cocok dengan label negara dan wilayah yang baru saja ditambahkan oleh aturan kecocokan geografis. Pernyataan geo match menggunakan alamat IP yang diteruskan, sehingga pencocokan label juga menentukan label IP yang diteruskan. 

```
{
   "Name": "geoMatchForLabels",
   "Priority": 10,
   "Statement": {
     "GeoMatchStatement": {
       "CountryCodes": [
         "US"
       ],
       "ForwardedIPConfig": {
           "HeaderName": "X-Forwarded-For",
           "FallbackBehavior": "MATCH"
       }
     }
   },
   "Action": {
     "Count": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "geoMatchForLabels"
   }
},
{
   "Name": "blockUSButNotOROrWA",
   "Priority": 11,
   "Statement": {
     "AndStatement": {
       "Statements": [
         {
           "LabelMatchStatement": {
             "Scope": "LABEL",
             "Key": "awswaf:forwardedip:geo:country:US"
           }
         },
         {
           "NotStatement": {
             "Statement": {
                "OrStatement": {
                  "Statements": [
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-OR"
                       }
                    },
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-WA"
                       }
                    }
                 ]
               }
             }
           }
         }
       ]
     }
   },
   "Action": {
     "Block": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "blockUSButNotOROrWA"
   }
}
```

Sebagai contoh lain, Anda dapat menggabungkan pencocokan geografis dengan aturan berbasis tarif untuk memprioritaskan sumber daya bagi pengguna di negara atau wilayah tertentu. Anda membuat pernyataan berbasis tarif yang berbeda untuk setiap pernyataan kecocokan geografis atau pencocokan label yang Anda gunakan untuk membedakan pengguna Anda. Tetapkan batas tarif yang lebih tinggi untuk pengguna di negara atau wilayah pilihan dan tetapkan batas tarif yang lebih rendah untuk pengguna lain. 

Daftar JSON berikut menunjukkan aturan kecocokan geografis diikuti oleh aturan berbasis tarif yang membatasi tingkat lalu lintas dari Amerika Serikat. Aturan memungkinkan lalu lintas dari Oregon masuk pada tingkat yang lebih tinggi daripada lalu lintas dari tempat lain di negara ini. 

```
{
  "Name": "geoMatchForLabels",
  "Priority": 190,
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ]
    }
  },
  "Action": {
    "Count": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "geoMatchForLabels"
  }
},
{
  "Name": "rateLimitOregon",
  "Priority": 195,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 3000,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:clientip:geo:region:US-OR"
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitOregon"
  }
},
{
  "Name": "rateLimitUSNotOR",
  "Priority": 200,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:clientip:geo:country:US"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:clientip:geo:region:US-OR"
                  }
                }
              }
            }
          ]
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitUSNotOR"
  }
}
```

# Pernyataan aturan kecocokan set IP
<a name="waf-rule-statement-type-ipset-match"></a>

Bagian ini menjelaskan apa pernyataan pencocokan set IP dan cara kerjanya.

Pernyataan pencocokan set IP memeriksa alamat IP permintaan web terhadap serangkaian alamat IP dan rentang alamat. Gunakan ini untuk mengizinkan atau memblokir permintaan web berdasarkan alamat IP tempat permintaan berasal. Secara default, AWS WAF menggunakan alamat IP dari asal permintaan web, tetapi Anda dapat mengonfigurasi aturan untuk menggunakan header HTTP seperti `X-Forwarded-For` sebagai gantinya. 



AWS WAF mendukung semua IPv4 dan rentang IPv6 CIDR kecuali untuk`/0`. Untuk informasi lebih lanjut tentang notasi CIDR, lihat entri Wikipedia [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Satu set IP dapat menampung hingga 10.000 alamat IP atau rentang alamat IP untuk diperiksa.

**catatan**  
Setiap aturan pencocokan set IP mereferensikan kumpulan IP, yang Anda buat dan pertahankan secara independen dari aturan Anda. Anda dapat menggunakan satu set IP dalam beberapa aturan, dan ketika Anda memperbarui set yang direferensikan, AWS WAF secara otomatis memperbarui semua aturan yang mereferensikannya.   
Untuk informasi tentang membuat dan mengelola kumpulan IP, lihat[Membuat dan mengelola IP yang ditetapkan AWS WAF](waf-ip-set-managing.md).

Saat Anda menambahkan atau memperbarui aturan dalam grup aturan atau paket perlindungan (web ACL), pilih opsi **IP set** dan pilih nama kumpulan IP yang ingin Anda gunakan. 

## Karakteristik pernyataan aturan
<a name="ipset-match-characteristics"></a>

**Nestable** - Anda dapat membuat sarang jenis pernyataan ini. 

**WCUs**- 1 WCU untuk sebagian besar. Jika Anda mengonfigurasi pernyataan untuk menggunakan alamat IP yang diteruskan dan menentukan posisiANY, tingkatkan penggunaan WCU sebesar 4.

Pernyataan ini menggunakan pengaturan berikut: 
+ **Spesifikasi set IP** - Pilih set IP yang ingin Anda gunakan dari daftar atau buat yang baru. 
+ **(Opsional) Konfigurasi IP yang diteruskan** - Nama header IP diteruskan alternatif untuk digunakan sebagai pengganti asal permintaan. Anda menentukan apakah akan cocok dengan alamat pertama, terakhir, atau alamat apa pun di header. Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP cacat di header yang ditentukan. Perilaku fallback menetapkan hasil pencocokan untuk permintaan, agar cocok atau tidak cocok. Untuk informasi selengkapnya, lihat [Menggunakan alamat IP yang diteruskan](waf-rule-statement-forwarded-ip-address.md). 

## Di mana menemukan pernyataan aturan ini
<a name="ipset-match-where-to-find"></a>

**Di mana menemukan pernyataan aturan ini**
+ **Pembuat aturan** di konsol — Untuk **opsi Permintaan**, pilih **Berasal dari alamat IP di**.
+ **Tambahkan halaman aturan dan grup aturan saya sendiri** di konsol — Pilih opsi **set IP**.
+ **API** — [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)

# Pernyataan aturan pencocokan Autonomous System Number (ASN)
<a name="waf-rule-statement-type-asn-match"></a>

Pernyataan aturan pencocokan ASN AWS WAF memungkinkan Anda untuk memeriksa lalu lintas web berdasarkan Nomor Sistem Otonom (ASN) yang terkait dengan alamat IP permintaan. ASNs adalah pengidentifikasi unik yang ditugaskan ke jaringan internet besar yang dikelola oleh organisasi seperti penyedia layanan internet, perusahaan, universitas, atau lembaga pemerintah. Dengan menggunakan pernyataan pencocokan ASN, Anda dapat mengizinkan atau memblokir lalu lintas dari organisasi jaringan tertentu tanpa harus mengelola alamat IP individual. Pendekatan ini menawarkan cara yang lebih stabil dan efisien untuk mengontrol akses dibandingkan dengan aturan berbasis IP, karena ASNs perubahan lebih jarang daripada rentang IP. 

Pencocokan ASN sangat berguna untuk skenario seperti memblokir lalu lintas dari jaringan bermasalah yang diketahui atau mengizinkan akses hanya dari jaringan mitra tepercaya. Pernyataan pencocokan ASN memberikan fleksibilitas dalam menentukan alamat IP klien melalui konfigurasi IP yang diteruskan opsional, membuatnya kompatibel dengan berbagai pengaturan jaringan termasuk yang menggunakan jaringan pengiriman konten () CDNs atau proxy terbalik.

**catatan**  
Suplemen pencocokan ASN, tetapi tidak menggantikan, otentikasi standar dan kontrol otorisasi. Kami menyarankan Anda menerapkan mekanisme otentikasi dan otorisasi, seperti IAM, untuk memverifikasi identitas semua permintaan dalam aplikasi Anda.

## Cara kerja pernyataan pencocokan ASN
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF menentukan ASN permintaan berdasarkan alamat IP-nya. Secara default, AWS WAF menggunakan alamat IP asal permintaan web. Anda dapat mengonfigurasi AWS WAF untuk menggunakan alamat IP dari header permintaan alternatif, seperti`X-Forwarded-For`, dengan mengaktifkan konfigurasi IP yang diteruskan dalam pengaturan pernyataan aturan.

Pernyataan pencocokan ASN membandingkan ASN permintaan dengan daftar yang ASNs ditentukan dalam aturan. Jika ASN cocok dengan satu dalam daftar, pernyataan mengevaluasi ke true, dan tindakan aturan terkait diterapkan.

### Penanganan tidak dipetakan ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

Jika AWS WAF tidak dapat menentukan ASN untuk alamat IP yang valid, ia menetapkan ASN 0. Anda dapat menyertakan ASN 0 dalam aturan Anda untuk menangani kasus ini secara eksplisit.

### Perilaku Fallback untuk Alamat IP Tidak Valid
<a name="waf-rule-statement-type-asn-match-fallback"></a>

Saat mengonfigurasi pernyataan pencocokan ASN untuk menggunakan alamat IP yang diteruskan, Anda dapat menentukan perilaku fallback dari *Match or *No match** for request dengan alamat IP yang tidak valid atau hilang di header yang ditentukan.

## Karakteristik pernyataan aturan
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— 1 WCU

Pernyataan ini menggunakan pengaturan berikut:
+ **Daftar ASN** — Array nomor ASN untuk membandingkan kecocokan ASN. Nilai yang valid berkisar dari 0 hingga 4294967295. Anda dapat menentukan hingga 100 ASNs untuk setiap aturan.
+ **(Opsional) Konfigurasi IP yang diteruskan** — Secara default, AWS WAF menggunakan alamat IP di asal permintaan web untuk menentukan ASN. Atau, Anda dapat mengonfigurasi aturan untuk menggunakan IP yang diteruskan di header HTTP seperti `X-Forwarded-For` sebagai gantinya. Anda menentukan apakah akan menggunakan alamat pertama, terakhir, atau alamat apa pun di header. Dengan konfigurasi ini, Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP cacat di header. Perilaku fallback menetapkan hasil pencocokan untuk permintaan, agar cocok atau tidak cocok. Untuk informasi selengkapnya, lihat [Menggunakan alamat IP yang diteruskan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).

## Di mana menemukan pernyataan aturan ini
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **opsi Permintaan**, pilih **Berasal dari ASN** di.
+ **API** — [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## Contoh
<a name="waf-rule-statement-type-asn-match-examples"></a>

Contoh ini memblokir permintaan yang berasal dari dua spesifik ASNs yang berasal dari `X-Forwarded-For` header. Jika alamat IP di header salah bentuk, perilaku fallback yang dikonfigurasi adalah. `NO_MATCH`

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```

# Pernyataan aturan pencocokan label
<a name="waf-rule-statement-type-label-match"></a>

Bagian ini menjelaskan apa itu pernyataan pencocokan label dan cara kerjanya.

Pernyataan pencocokan label memeriksa label yang ada di permintaan web terhadap spesifikasi string. Label yang tersedia untuk aturan untuk inspeksi adalah label yang telah ditambahkan ke permintaan web oleh aturan lain dalam evaluasi paket perlindungan (web ACL) yang sama. 

Label tidak bertahan di luar evaluasi paket perlindungan (web ACL), tetapi Anda dapat mengakses metrik label CloudWatch dan Anda dapat melihat ringkasan informasi label untuk paket perlindungan apa pun (ACL web) di konsol. AWS WAF Untuk informasi selengkapnya, lihat [Label metrik dan dimensi](waf-metrics.md#waf-metrics-label) dan [Memantau dan menyetel perlindungan Anda AWS WAF](web-acl-testing-activities.md). Anda juga dapat melihat label di log. Untuk informasi, lihat [Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).

**catatan**  
Pernyataan pencocokan label hanya dapat melihat label dari aturan yang dievaluasi sebelumnya dalam paket perlindungan (web ACL). Untuk informasi tentang cara AWS WAF mengevaluasi aturan dan grup aturan dalam paket perlindungan (web ACL), lihat. [Menetapkan prioritas aturan](web-acl-processing-order.md)

Untuk informasi selengkapnya tentang menambahkan dan mencocokkan label, lihat[Pelabelan permintaan web di AWS WAF](waf-labels.md).

## Karakteristik pernyataan aturan
<a name="label-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— 1 WCU

Pernyataan ini menggunakan pengaturan berikut: 
+ **Lingkup pencocokan** - Setel ini ke **Label** agar sesuai dengan nama label dan, secara opsional, ruang nama dan awalan sebelumnya. Setel ini ke **Namespace** agar sesuai dengan beberapa atau semua spesifikasi namespace dan, secara opsional, awalan sebelumnya. 
+ **Key** — String yang ingin Anda cocokkan. Jika Anda menentukan cakupan pencocokan namespace, ini seharusnya hanya menentukan ruang nama dan opsional awalan, dengan titik dua akhir. Jika Anda menentukan lingkup pencocokan label, ini harus menyertakan nama label dan secara opsional dapat menyertakan ruang nama dan awalan sebelumnya. 

Untuk informasi selengkapnya tentang pengaturan ini, lihat [AWS WAF aturan yang cocok dengan label](waf-rule-label-match.md) dan[AWS WAF contoh kecocokan label](waf-rule-label-match-examples.md).

## Di mana menemukan pernyataan aturan ini
<a name="label-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **opsi Permintaan**, pilih **Memiliki label**.
+ **API** — [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)

# Pernyataan aturan pertandingan Regex
<a name="waf-rule-statement-type-regex-match"></a>

Bagian ini menjelaskan apa itu pernyataan kecocokan regex dan cara kerjanya.

Pernyataan pencocokan regex menginstruksikan AWS WAF untuk mencocokkan komponen permintaan terhadap ekspresi reguler tunggal (regex). Permintaan web cocok dengan pernyataan jika komponen permintaan cocok dengan regex yang Anda tentukan. 

Jenis pernyataan ini adalah alternatif yang baik [Pernyataan aturan kecocokan set pola Regex](waf-rule-statement-type-regex-pattern-set-match.md) untuk situasi di mana Anda ingin menggabungkan kriteria pencocokan Anda menggunakan logika matematika. Misalnya, jika Anda ingin komponen permintaan cocok dengan beberapa pola regex dan tidak cocok dengan yang lain, Anda dapat menggabungkan pernyataan pencocokan regex menggunakan dan. [ANDpernyataan aturan](waf-rule-statement-type-and.md) [NOTpernyataan aturan](waf-rule-statement-type-not.md) 

AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

## Karakteristik pernyataan aturan
<a name="regex-match-characteristics"></a>

**Nestable** - Anda dapat membuat sarang jenis pernyataan ini. 

**WCUs**— 3 WCUs, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Body**, **JSON body**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

## Di mana menemukan pernyataan aturan ini
<a name="regex-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **jenis Match**, pilih **Match regular expression**.
+ **API** — [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)

# Pernyataan aturan kecocokan set pola Regex
<a name="waf-rule-statement-type-regex-pattern-set-match"></a>

Bagian ini menjelaskan apa itu pernyataan pencocokan set pola regex dan cara kerjanya.

Pencocokan set pola regex memeriksa bagian permintaan web yang Anda tentukan untuk pola ekspresi reguler yang telah Anda tentukan di dalam kumpulan pola regex.

AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

**catatan**  
Setiap aturan pencocokan set pola regex mereferensikan kumpulan pola regex, yang Anda buat dan pertahankan terlepas dari aturan Anda. Anda dapat menggunakan pola regex tunggal yang diatur dalam beberapa aturan, dan ketika Anda memperbarui set yang direferensikan, AWS WAF secara otomatis memperbarui semua aturan yang mereferensikannya.   
Untuk informasi tentang membuat dan mengelola kumpulan pola regex, lihat. [Membuat dan mengelola pola regex yang diatur AWS WAF](waf-regex-pattern-set-managing.md)

Pernyataan pencocokan set pola regex menginstruksikan AWS WAF untuk mencari salah satu pola dalam set di dalam komponen permintaan yang Anda pilih. Permintaan web akan cocok dengan pernyataan aturan set pola jika komponen permintaan cocok dengan salah satu pola dalam set. 

Jika Anda ingin menggabungkan kecocokan pola regex Anda menggunakan logika, misalnya untuk mencocokkan dengan beberapa ekspresi reguler dan tidak cocok dengan yang lain, pertimbangkan untuk menggunakan. [Pernyataan aturan pertandingan Regex](waf-rule-statement-type-regex-match.md) 

## Karakteristik pernyataan aturan
<a name="regex-pattern-set-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— 25 WCUs, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Badan, badan** **JSON**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

Pernyataan ini membutuhkan pengaturan berikut: 
+ Spesifikasi set pola Regex - Pilih set pola regex yang ingin Anda gunakan dari daftar atau buat yang baru. 

## Di mana menemukan pernyataan aturan ini
<a name="regex-pattern-set-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **jenis Pencocokan**, pilih **Kondisi pencocokan string** > **Pola kecocokan dari kumpulan ekspresi reguler**.
+ **API** — [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)

# Pernyataan aturan batasan ukuran
<a name="waf-rule-statement-type-size-constraint-match"></a>

Bagian ini menjelaskan apa itu pernyataan batasan ukuran dan cara kerjanya.

Pernyataan batasan ukuran membandingkan jumlah byte yang AWS WAF diterima untuk komponen permintaan web dengan nomor yang Anda berikan, dan cocok sesuai dengan kriteria perbandingan Anda. 

Kriteria perbandingan adalah operator seperti lebih besar dari (>) atau kurang dari (<). Misalnya, Anda dapat mencocokkan permintaan yang memiliki string kueri dengan ukuran yang lebih besar dari 100 byte. 

Jika Anda memeriksa jalur URI, apa pun `/` di jalur dihitung sebagai satu karakter. Misalnya, jalur `/logo.jpg` URI memiliki panjang sembilan karakter.

**catatan**  
Pernyataan ini hanya memeriksa ukuran komponen permintaan web. Itu tidak memeriksa isi komponen. 

## Karakteristik pernyataan aturan
<a name="size-constraint-match-characteristics"></a>

**Nestable** - Anda dapat membuat sarang jenis pernyataan ini. 

**WCUs**— 1 WCU, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan. Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).

  Pernyataan batasan ukuran hanya memeriksa ukuran komponen setelah transformasi apa pun diterapkan. Itu tidak memeriksa isi komponen. 
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksa ukurannya. Misalnya, Anda dapat mengompres spasi putih atau memecahkan kode entitas HTML. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

Selain itu, pernyataan ini memerlukan pengaturan berikut: 
+ **Kondisi pencocokan ukuran** - Ini menunjukkan operator perbandingan numerik yang akan digunakan untuk membandingkan ukuran yang Anda berikan dengan komponen permintaan yang Anda pilih. Pilih operator dari daftar.
+ **Ukuran** - Pengaturan ukuran, dalam byte, untuk digunakan dalam perbandingan. 

## Di mana menemukan pernyataan aturan ini
<a name="size-constraint-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **jenis Pencocokan**, di bawah **Kondisi kecocokan ukuran**, pilih kondisi yang ingin Anda gunakan.
+ **API** — [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)

# Pernyataan aturan serangan injeksi SQL
<a name="waf-rule-statement-type-sqli-match"></a>

Bagian ini menjelaskan apa pernyataan aturan injeksi SQL dan cara kerjanya.

Pernyataan aturan injeksi SQL memeriksa kode SQL berbahaya. Penyerang memasukkan kode SQL berbahaya ke dalam permintaan web untuk melakukan hal-hal seperti memodifikasi database Anda atau mengekstrak data darinya.

## Karakteristik pernyataan aturan
<a name="sqli-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— Biaya dasar tergantung pada pengaturan tingkat sensitivitas untuk pernyataan aturan: Low biaya 20 dan High biaya 30. 

Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Body**, **JSON body**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

Selain itu, pernyataan ini memerlukan pengaturan berikut: 
+ **Tingkat sensitivitas** - Pengaturan ini menyetel sensitivitas kriteria kecocokan injeksi SQL. Opsi nya adalah LOW dan HIGH. Pengaturan default-nya adalah LOW. 

  HIGHPengaturan mendeteksi lebih banyak serangan injeksi SQL, dan merupakan pengaturan yang disarankan. Karena sensitivitas yang lebih tinggi, pengaturan ini menghasilkan lebih banyak kesalahan positif, terutama jika permintaan web Anda biasanya berisi string yang tidak biasa. Selama pengujian dan penyetelan paket perlindungan (web ACL), Anda mungkin perlu melakukan lebih banyak pekerjaan untuk mengurangi positif palsu. Untuk informasi, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md). 

  Pengaturan yang lebih rendah memberikan deteksi injeksi SQL yang kurang ketat, yang juga menghasilkan lebih sedikit positif palsu. LOWdapat menjadi pilihan yang lebih baik untuk sumber daya yang memiliki perlindungan lain terhadap serangan injeksi SQL atau yang memiliki toleransi rendah untuk positif palsu. 

## Di mana menemukan pernyataan aturan ini
<a name="sqli-match-where-to-find"></a>
+ **Pembuat aturan** di konsol - Untuk **jenis Match**, pilih **Kondisi kecocokan serang** > **Berisi serangan injeksi SQL**.
+ **API** — [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)

# Pernyataan aturan kecocokan string
<a name="waf-rule-statement-type-string-match"></a>

Bagian ini menjelaskan apa pernyataan pencocokan string dan cara kerjanya.

Pernyataan pencocokan string menunjukkan string yang AWS WAF ingin Anda cari dalam permintaan, di mana permintaan untuk mencari, dan bagaimana. Misalnya, Anda dapat mencari string tertentu di awal string kueri apa pun dalam permintaan atau sebagai pencocokan persis untuk `User-agent` header permintaan. Biasanya, string terdiri dari karakter ASCII yang dapat dicetak, tetapi Anda dapat menggunakan karakter apa pun dari heksadesimal 0x00 hingga 0xFF (desimal 0 hingga 255). 

## Karakteristik pernyataan aturan
<a name="string-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— Biaya dasar tergantung pada jenis kecocokan yang Anda gunakan.
+ **Tepat cocok dengan string** — 2 
+ **Dimulai dengan string** - 2 
+ **Berakhir dengan string** — 2 
+ **Berisi string** - 10 
+ **Berisi kata** - 10 

Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Badan, badan** **JSON**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

Selain itu, pernyataan ini memerlukan pengaturan berikut: 
+ **String to match** - Ini adalah string yang AWS WAF ingin Anda bandingkan dengan komponen permintaan yang ditentukan. Biasanya, string terdiri dari karakter ASCII yang dapat dicetak, tetapi Anda dapat menggunakan karakter apa pun dari heksadesimal 0x00 hingga 0xFF (desimal 0 hingga 255).
+ **Kondisi pencocokan string** - Ini menunjukkan jenis pencarian yang AWS WAF ingin Anda lakukan. 
  + **Tepat cocok dengan string** - String dan nilai komponen permintaan identik.
  + **Dimulai dengan** string - String muncul di awal komponen permintaan. 
  + **Berakhir dengan string** - String muncul di akhir komponen permintaan. 
  + **Berisi string** - String muncul di mana saja dalam komponen permintaan. 
  + **Berisi kata** - String yang Anda tentukan harus muncul di komponen permintaan. 

    Untuk opsi ini, string yang Anda tentukan harus hanya berisi karakter alfanumerik atau garis bawah (A-Z, a-z, 0-9, atau \$1). 

    Salah satu hal berikut harus benar agar permintaan cocok: 
    + String sama persis dengan nilai komponen permintaan, seperti nilai header.
    + String berada di awal komponen permintaan dan diikuti oleh karakter selain karakter alfanumerik atau garis bawah (\$1), misalnya,. `BadBot;`
    + String berada di akhir komponen permintaan dan didahului oleh karakter selain karakter alfanumerik atau garis bawah (\$1), misalnya,. `;BadBot`
    + String berada di tengah komponen permintaan dan didahului dan diikuti oleh karakter selain karakter alfanumerik atau garis bawah (\$1), misalnya,. `-BadBot;`

## Di mana menemukan pernyataan aturan ini
<a name="string-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **jenis Match**, pilih **Kondisi pencocokan String**, lalu isi string yang ingin Anda cocokkan.
+ **API** — [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)

# Pernyataan aturan serangan skrip lintas situs
<a name="waf-rule-statement-type-xss-match"></a>

Bagian ini menjelaskan apa itu pernyataan serangan XSS (cross-site scripting) dan cara kerjanya.

Pernyataan serangan XSS memeriksa skrip berbahaya dalam komponen permintaan web. Dalam serangan XSS, penyerang menggunakan kerentanan di situs web jinak sebagai kendaraan untuk menyuntikkan skrip situs klien berbahaya ke browser web lain yang sah. 

## Karakteristik pernyataan aturan
<a name="xss-match-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— 40 WCUs, sebagai biaya dasar. Jika Anda menggunakan komponen permintaan **Semua parameter kueri**, tambahkan 10 WCUs. Jika Anda menggunakan **badan JSON** komponen permintaan, gandakan biaya WCUs dasar. Untuk setiap **transformasi Teks** yang Anda terapkan, tambahkan 10 WCUs.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan memerlukan pengaturan komponen permintaan berikut: 
+ **Komponen permintaan** — Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.
**Awas**  
Jika Anda memeriksa komponen permintaan **Body**, **JSON body**, **Header**, atau **Cookie**, baca tentang batasan jumlah konten yang AWS WAF dapat diperiksa. [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md) 

  Untuk informasi tentang komponen permintaan web, lihat[Menyesuaikan pengaturan pernyataan aturan di AWS WAF](waf-rule-statement-fields.md).
+ **Transformasi teks opsional** — Transformasi yang AWS WAF ingin Anda lakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda dapat mengubah ke huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi, AWS WAF proses mereka dalam urutan yang tercantum. Untuk informasi, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).

## Di mana menemukan pernyataan aturan ini
<a name="xss-match-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **tipe Match**, pilih **Kondisi kecocokan serang** > **Mengandung serangan injeksi XSS**.
+ **API** — [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)

# Menggunakan pernyataan aturan logis di AWS WAF
<a name="waf-rule-statements-logical"></a>

Bagian ini menjelaskan apa itu pernyataan aturan logis dan cara kerjanya.

Gunakan pernyataan aturan logis untuk menggabungkan pernyataan lain atau meniadakan hasilnya. Setiap pernyataan aturan logis membutuhkan setidaknya satu pernyataan bersarang.

Untuk secara logis menggabungkan atau meniadakan hasil pernyataan aturan, Anda menyarangkan pernyataan di bawah pernyataan aturan logis. 

Pernyataan aturan logis adalah nestable. Anda dapat menyarangkannya di dalam pernyataan aturan logis lainnya dan menggunakannya dalam pernyataan cakupan ke bawah. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

**catatan**  
Editor visual di konsol mendukung satu tingkat pernyataan aturan bersarang, yang berfungsi untuk banyak kebutuhan. Untuk membuat lebih banyak level, edit representasi JSON dari aturan di konsol atau gunakan. APIs 

Tabel ini menjelaskan pernyataan aturan logis dan memberikan pedoman untuk menghitung paket perlindungan (web ACL) penggunaan unit kapasitas (WCU) untuk masing-masing. Untuk informasi tentang WCUs, lihat[Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md). 


| Pernyataan Logis  | Deskripsi | WCUs | 
| --- | --- | --- | 
| [ANDlogika](waf-rule-statement-type-and.md) | Menggabungkan pernyataan bersarang dengan AND logika. | Berdasarkan pernyataan bersarang | 
|  [NOTlogika](waf-rule-statement-type-not.md)  |  Menegasikan hasil pernyataan bersarang.  |  Berdasarkan pernyataan bersarang  | 
| [ORlogika](waf-rule-statement-type-or.md) | Menggabungkan pernyataan bersarang dengan OR logika. | Berdasarkan pernyataan bersarang | 

# ANDpernyataan aturan
<a name="waf-rule-statement-type-and"></a>

Pernyataan AND aturan menggabungkan pernyataan bersarang dengan AND operasi logis, sehingga semua pernyataan bersarang harus cocok agar AND pernyataan tersebut cocok. Ini membutuhkan setidaknya dua pernyataan bersarang. 

## Karakteristik pernyataan aturan
<a name="and-rule-statement-characteristics"></a>

**Nestable** - Anda dapat membuat sarang jenis pernyataan ini. 

**WCUs**— Tergantung pada pernyataan bersarang.

## Di mana menemukan pernyataan aturan ini
<a name="and-rule-statement-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **Jika permintaan**, pilih **cocok dengan semua pernyataan (AND)**, lalu isi pernyataan bersarang. 
+ **API** — [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)

## Contoh
<a name="and-rule-statement-examples"></a>

Daftar berikut menunjukkan penggunaan AND dan pernyataan aturan NOT logis untuk menghilangkan positif palsu dari kecocokan untuk pernyataan serangan injeksi SQL. Untuk contoh ini, misalkan kita dapat menulis pernyataan pencocokan byte tunggal untuk mencocokkan permintaan yang menghasilkan positif palsu. 

Pernyataan AND cocok untuk permintaan yang tidak cocok dengan pernyataan pencocokan byte dan yang cocok dengan pernyataan serangan injeksi SQL. 

```
{
      "Name": "SQLiExcludeFalsePositives",
      "Priority": 0,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "SearchString": "string identifying a false positive",
                    "FieldToMatch": {
                      "Body": {
                        "OversizeHandling": "MATCH"
                      }
                    },
                    "TextTransformations": [
                      {
                        "Priority": 0,
                        "Type": "NONE"
                      }
                    ],
                    "PositionalConstraint": "CONTAINS"
                  }
                }
              }
            },
            {
              "SqliMatchStatement": {
                "FieldToMatch": {
                  "Body": {
                    "OversizeHandling": "MATCH"
                  }
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "SQLiExcludeFalsePositives"
      }
    }
```

Menggunakan editor visual aturan konsol, Anda dapat membuat pernyataan non-logis atau NOT pernyataan di bawah AND pernyataan OR atau. Penyarangan NOT pernyataan ditunjukkan pada contoh sebelumnya. 

Menggunakan editor visual aturan konsol, Anda dapat membuat sarang sebagian besar pernyataan nestable di bawah pernyataan aturan logis, seperti yang ditunjukkan pada contoh sebelumnya. Anda tidak dapat menggunakan editor visual untuk membuat sarang OR atau AND pernyataan. Untuk mengonfigurasi jenis nesting ini, Anda perlu memberikan pernyataan aturan Anda di JSON. Misalnya, daftar aturan JSON berikut menyertakan OR pernyataan bersarang di dalam pernyataan. AND 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# NOTpernyataan aturan
<a name="waf-rule-statement-type-not"></a>

Pernyataan NOT aturan secara logis meniadakan hasil pernyataan bersarang tunggal, sehingga pernyataan bersarang tidak boleh cocok untuk NOT pernyataan yang cocok, dan sebaliknya. Ini membutuhkan satu pernyataan bersarang. 

Misalnya, jika Anda ingin memblokir permintaan yang tidak berasal dari negara tertentu, buat NOT pernyataan dengan tindakan yang disetel ke blokir, dan sarang pernyataan kecocokan geografis yang menentukan negara. 

## Karakteristik pernyataan aturan
<a name="not-rule-statement-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— Tergantung pada pernyataan bersarang.

## Di mana menemukan pernyataan aturan ini
<a name="not-rule-statement-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **Jika permintaan**, pilih **tidak cocok dengan pernyataan (TIDAK)**, lalu isi pernyataan bersarang.
+ **API** — [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)

# ORpernyataan aturan
<a name="waf-rule-statement-type-or"></a>

Pernyataan OR aturan menggabungkan pernyataan bersarang dengan OR logika, jadi salah satu pernyataan bersarang harus cocok agar OR pernyataan tersebut cocok. Ini membutuhkan setidaknya dua pernyataan bersarang. 

Misalnya, jika Anda ingin memblokir permintaan yang berasal dari negara tertentu atau yang berisi string kueri tertentu, Anda dapat membuat OR pernyataan dan membuat pernyataan kecocokan geografis untuk negara dan pernyataan kecocokan string untuk string kueri. 

Jika sebaliknya Anda ingin memblokir permintaan yang *tidak* berasal dari negara tertentu atau yang berisi string kueri tertentu, Anda akan memodifikasi OR pernyataan sebelumnya untuk menyarangkan pernyataan kecocokan geografis satu tingkat lebih rendah, di dalam NOT pernyataan. Tingkat bersarang ini mengharuskan Anda untuk menggunakan pemformatan JSON, karena konsol hanya mendukung satu tingkat bersarang.

## Karakteristik pernyataan aturan
<a name="or-rule-statement-characteristics"></a>

**Nestable** - Anda dapat membuat jenis pernyataan ini. 

**WCUs**— Tergantung pada pernyataan bersarang.

## Di mana menemukan pernyataan aturan ini
<a name="or-rule-statement-where-to-find"></a>
+ **Pembuat aturan** di konsol — Untuk **Jika permintaan**, pilih **kecocokan setidaknya salah satu pernyataan (OR)**, lalu isi pernyataan bersarang. 
+ **API** — [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)

**Contoh**  
Daftar berikut menunjukkan penggunaan OR untuk menggabungkan dua pernyataan lainnya. ORPernyataan tersebut cocok jika salah satu pernyataan bersarang cocok. 

```
{
  "Name": "neitherOfTwo",
  "Priority": 1,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "neitherOfTwo"
  },
  "Statement": {
    "OrStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "CA"
            ]
          }
        },
        {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
          }
        }
      ]
    }
  }
}
```

Menggunakan editor visual aturan konsol, Anda dapat membuat sarang sebagian besar pernyataan nestable di bawah pernyataan aturan logis, tetapi Anda tidak dapat menggunakan editor visual untuk membuat sarang OR atau AND pernyataan. Untuk mengonfigurasi jenis nesting ini, Anda perlu memberikan pernyataan aturan Anda di JSON. Misalnya, daftar aturan JSON berikut menyertakan OR pernyataan bersarang di dalam pernyataan. AND 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Menggunakan pernyataan aturan berbasis tarif di AWS WAF
<a name="waf-rule-statement-type-rate-based"></a>

Bagian ini menjelaskan apa itu pernyataan aturan berbasis tarif dan cara kerjanya.

Aturan berbasis tarif menghitung permintaan masuk dan permintaan batas tarif ketika permintaan tersebut datang dengan tarif yang terlalu cepat. Aturan menggabungkan permintaan sesuai dengan kriteria Anda, dan menghitung serta membatasi pengelompokan agregat, berdasarkan jendela evaluasi aturan, batas permintaan, dan setelan tindakan. 

**catatan**  
Anda juga dapat menilai batas permintaan web menggunakan tingkat perlindungan yang ditargetkan dari grup aturan Aturan AWS Terkelola Kontrol Bot. Menggunakan grup aturan terkelola ini menimbulkan biaya tambahan. Untuk informasi selengkapnya, lihat [Opsi untuk membatasi tarif dalam aturan berbasis tarif dan aturan Kontrol Bot yang ditargetkan](waf-rate-limiting-options.md). 

AWS WAF melacak dan mengelola permintaan web secara terpisah untuk setiap instance aturan berbasis tarif yang Anda gunakan. Misalnya, jika Anda memberikan pengaturan aturan berbasis laju yang sama di dua webACLs, masing-masing dari dua pernyataan aturan mewakili contoh terpisah dari aturan berbasis tarif dan masing-masing mendapatkan pelacakan dan pengelolaannya sendiri. AWS WAF Jika Anda menentukan aturan berbasis laju di dalam grup aturan, dan kemudian menggunakan grup aturan itu di beberapa tempat, setiap penggunaan akan membuat instance terpisah dari aturan berbasis tarif yang mendapatkan pelacakan dan pengelolaannya sendiri. AWS WAF

**Tidak bersarang** - Anda tidak dapat membuat jenis pernyataan ini di dalam pernyataan lain. Anda dapat memasukkannya langsung ke dalam paket perlindungan (web ACL) atau grup aturan. 

**Scope-down statement** — Jenis aturan ini dapat mengambil pernyataan scope-down, untuk mempersempit cakupan permintaan yang dilacak aturan dan batas nilai. Pernyataan cakupan bawah dapat bersifat opsional atau wajib, tergantung pada pengaturan konfigurasi aturan Anda yang lain. Detailnya tercakup dalam bagian ini. Untuk informasi umum tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md) 

**WCUs**— 2, sebagai biaya dasar. Untuk setiap kunci agregasi kustom yang Anda tentukan, tambahkan 30 WCUs. Jika Anda menggunakan pernyataan scope-down dalam aturan, hitung dan tambahkan untuk itu. WCUs 

**Di mana menemukan pernyataan aturan ini**
+ **Pembuat aturan** di paket perlindungan Anda (ACL web), di konsol — Di bawah **Aturan**, untuk **Jenis**, pilih Aturan **berbasis tarif**.
+ **API** — [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)

**Topics**
+ [Pengaturan tingkat tinggi aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [Peringatan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based-caveats.md)
+ [Menggabungkan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [Contoh dan hitungan agregasi aturan berbasis tarif](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [Menerapkan pembatasan tarif untuk permintaan di AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md)
+ [Contoh aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based-examples.md)
+ [Daftar alamat IP yang dibatasi oleh aturan berbasis tarif](listing-managed-ips.md)

# Pengaturan tingkat tinggi aturan berbasis tarif di AWS WAF
<a name="waf-rule-statement-type-rate-based-high-level-settings"></a>

Pernyataan aturan berbasis tarif menggunakan pengaturan tingkat tinggi berikut: 
+ **Jendela evaluasi** — Jumlah waktu, dalam hitungan detik, yang AWS WAF harus dimasukkan dalam jumlah permintaannya, melihat ke belakang dari waktu saat ini. Misalnya, untuk pengaturan 120, ketika AWS WAF memeriksa tarif, itu menghitung permintaan untuk 2 menit segera sebelum waktu saat ini. Pengaturan yang valid adalah 60 (1 menit), 120 (2 menit), 300 (5 menit), dan 600 (10 menit), dan 300 (5 menit) adalah default. 

  Pengaturan ini tidak menentukan seberapa sering AWS WAF memeriksa tarif, tetapi seberapa jauh tampilannya setiap kali memeriksa. AWS WAF memeriksa tarif sering, dengan waktu yang independen dari pengaturan jendela evaluasi. 
+ **Batas tarif** - Jumlah maksimum permintaan yang sesuai dengan kriteria Anda yang AWS WAF seharusnya hanya melacak untuk jendela evaluasi yang ditentukan. Pengaturan batas terendah yang diizinkan adalah 10. Saat batas ini dilanggar, AWS WAF terapkan pengaturan tindakan aturan ke permintaan tambahan yang sesuai dengan kriteria Anda. 

  AWS WAF menerapkan pembatasan tarif mendekati batas yang Anda tetapkan, tetapi tidak menjamin kecocokan batas yang tepat. Untuk informasi selengkapnya, lihat [Peringatan aturan berbasis tarif](waf-rule-statement-type-rate-based-caveats.md). 
+ **Agregasi permintaan** — Kriteria agregasi yang digunakan di web meminta agar aturan berbasis tarif dihitung dan batas tarif. Batas tarif yang Anda tetapkan berlaku untuk setiap instance agregasi. Untuk detailnya, lihat [Agregasi aturan berbasis tarif](waf-rule-statement-type-rate-based-aggregation-options.md) dan [Contoh dan hitungan agregasi](waf-rule-statement-type-rate-based-aggregation-instances.md). 
+ **Tindakan** — Tindakan yang harus diambil atas permintaan yang dibatasi oleh tarif aturan. Anda dapat menggunakan tindakan aturan apa pun kecualiAllow. Ini ditetapkan pada tingkat aturan seperti biasa, tetapi memiliki beberapa batasan dan perilaku yang khusus untuk aturan berbasis tarif. Untuk informasi umum tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi khusus tentang pembatasan tarif, lihat [Menerapkan pembatasan tarif untuk permintaan di AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) di bagian ini.
+ **Lingkup inspeksi dan pembatasan tarif** — Anda dapat mempersempit cakupan permintaan yang dilacak pernyataan berbasis tarif dan batas tarif dengan menambahkan pernyataan cakupan ke bawah. Jika Anda menentukan pernyataan cakupan bawah, aturan hanya mengumpulkan, menghitung, dan membatasi permintaan yang cocok dengan pernyataan cakupan bawah. Jika Anda memilih opsi agregasi permintaan **Hitung semua**, maka pernyataan cakupan bawah diperlukan. Untuk informasi selengkapnya tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down](waf-rule-scope-down-statements.md) 
+ **(Opsional) Konfigurasi IP yang diteruskan** - Ini hanya digunakan jika Anda menentukan **alamat IP di header** dalam agregasi permintaan Anda, baik sendiri atau sebagai bagian dari pengaturan kunci khusus. AWS WAF mengambil alamat IP pertama di header yang ditentukan dan menggunakannya sebagai nilai agregasi. Header umum untuk tujuan ini adalah`X-Forwarded-For`, tetapi Anda dapat menentukan header apa pun. Lihat informasi yang lebih lengkap di [Menggunakan alamat IP yang diteruskan](waf-rule-statement-forwarded-ip-address.md). 

# Peringatan aturan berbasis tarif di AWS WAF
<a name="waf-rule-statement-type-rate-based-caveats"></a>

Bagian ini mencantumkan peringatan untuk menggunakan aturan berbasis tarif.

AWS WAF Pembatasan tarif dirancang untuk mengontrol tingkat permintaan yang tinggi dan melindungi ketersediaan aplikasi Anda dengan cara yang paling efisien dan efektif. Ini tidak dimaksudkan untuk pembatasan tingkat permintaan yang tepat. 
+ AWS WAF memperkirakan tingkat permintaan saat ini menggunakan algoritme yang lebih mementingkan permintaan yang lebih baru. Karena itu, AWS WAF akan berlaku pembatasan tarif mendekati batas yang Anda tetapkan, tetapi tidak menjamin kecocokan batas yang tepat. 
+ Setiap kali AWS WAF memperkirakan tingkat permintaan, AWS WAF melihat kembali jumlah permintaan yang masuk selama jendela evaluasi yang dikonfigurasi. Karena ini dan faktor lain seperti penundaan propagasi, permintaan mungkin masuk dengan kecepatan yang terlalu tinggi hingga beberapa menit sebelum AWS WAF mendeteksi dan membatasi nilainya. Serupa. tingkat permintaan dapat berada di bawah batas untuk jangka waktu tertentu sebelum AWS WAF mendeteksi penurunan dan menghentikan tindakan pembatasan laju. Biasanya, penundaan ini di bawah 30 detik.
+ Jika Anda mengubah setelan batas tarif apa pun dalam aturan yang sedang digunakan, perubahan akan mengatur ulang jumlah pembatasan tarif aturan. Ini dapat menjeda aktivitas pembatasan tarif aturan hingga satu menit. Pengaturan batas tarif adalah jendela evaluasi, batas tarif, pengaturan agregasi permintaan, konfigurasi IP yang diteruskan, dan ruang lingkup inspeksi. 

# Menggabungkan aturan berbasis tarif di AWS WAF
<a name="waf-rule-statement-type-rate-based-aggregation-options"></a>

Bagian ini menjelaskan opsi Anda untuk menggabungkan permintaan.

Secara default, aturan berbasis tarif mengumpulkan dan membatasi permintaan berdasarkan alamat IP permintaan. Anda dapat mengonfigurasi aturan untuk menggunakan berbagai tombol agregasi dan kombinasi tombol lainnya. Misalnya, Anda dapat menggabungkan berdasarkan alamat IP yang diteruskan, pada metode HTTP, atau pada argumen kueri. Anda juga dapat menentukan kombinasi tombol agregasi, seperti alamat IP dan metode HTTP, atau nilai dari dua cookie yang berbeda. 

**catatan**  
Semua komponen permintaan yang Anda tentukan dalam kunci agregasi harus ada dalam permintaan web untuk permintaan yang akan dievaluasi atau tarif dibatasi oleh aturan. 

Anda dapat mengonfigurasi aturan berbasis tarif dengan opsi agregasi berikut. 
+ **Alamat IP Sumber** — Agregat hanya menggunakan alamat IP dari asal permintaan web. 

  Alamat IP sumber mungkin tidak berisi alamat klien asal. Jika permintaan web melewati satu atau lebih proxy atau penyeimbang beban, ini akan berisi alamat proxy terakhir. 
+ **Alamat IP di header** - Agregat hanya menggunakan alamat klien di header HTTP. Ini juga disebut sebagai alamat IP yang diteruskan. 

  Dengan konfigurasi ini, Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP cacat di header. Perilaku fallback menetapkan hasil pencocokan untuk permintaan, agar cocok atau tidak cocok. Untuk tidak ada kecocokan, aturan berbasis tarif tidak menghitung atau membatasi nilai permintaan. Untuk kecocokan, aturan berbasis laju mengelompokkan permintaan bersama dengan permintaan lain yang memiliki alamat IP cacat di header yang ditentukan. 

  Berhati-hatilah dengan opsi ini, karena header dapat ditangani secara tidak konsisten oleh proxy dan mereka juga dapat dimodifikasi untuk melewati inspeksi. Untuk informasi tambahan dan praktik terbaik, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **ASN** — Agregat menggunakan Autonomous System Number (ASN) yang terkait dengan alamat IP sumber sebagai kunci agregat. Ini mungkin bukan alamat klien asal. Jika permintaan web melewati satu atau lebih proxy atau penyeimbang beban, ini berisi alamat proxy terakhir. 

  Jika tidak AWS WAF dapat memperoleh ASN dari alamat IP, ASN dihitung sebagai ASN 0. Jika Anda tidak ingin menerapkan pembatasan tarif ke unmapped ASNs, Anda dapat membuat aturan cakupan bawah yang mengecualikan permintaan dengan ASN 0.
+ **ASN di header** - Agregat menggunakan ASN yang terkait dengan alamat IP klien di header HTTP. Ini juga disebut sebagai alamat IP yang diteruskan. Dengan konfigurasi ini, Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP yang tidak valid atau cacat. Perilaku fallback menetapkan hasil pencocokan untuk permintaan, agar cocok atau tidak cocok. Jika Anda menyetel perilaku fallback agar sesuai dengan konfigurasi IP yang diteruskan, AWS WAF memperlakukan alamat IP yang tidak valid sebagai nilai yang cocok. Hal ini memungkinkan AWS WAF untuk terus mengevaluasi bagian yang tersisa dari kunci komposit aturan berbasis tarif Anda. Untuk tidak ada kecocokan, aturan berbasis tarif tidak menghitung atau membatasi nilai permintaan. 

  Berhati-hatilah dengan opsi ini, karena header dapat ditangani secara tidak konsisten oleh proxy dan mereka dapat dimodifikasi untuk melewati inspeksi. Untuk informasi tambahan dan praktik terbaik, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **Hitung semua** — Hitung dan batasi nilai semua permintaan yang cocok dengan pernyataan cakupan bawah aturan. Opsi ini membutuhkan pernyataan cakupan ke bawah. Ini biasanya digunakan untuk membatasi serangkaian permintaan tertentu, seperti semua permintaan dengan label tertentu atau semua permintaan dari wilayah geografis tertentu. 
+ **Kunci kustom** - Agregat menggunakan satu atau lebih kunci agregasi kustom. Untuk menggabungkan salah satu opsi alamat IP dengan kunci agregasi lainnya, tentukan di sini di bawah kunci khusus. 

  Kunci agregasi kustom adalah bagian dari opsi komponen permintaan web yang dijelaskan di. [Minta komponen di AWS WAF](waf-rule-statement-fields-list.md)

  Opsi utamanya adalah sebagai berikut. Kecuali jika dicatat, Anda dapat menggunakan opsi beberapa kali, misalnya, dua header atau tiga ruang nama label.
  + **Namespace label** — Gunakan namespace label sebagai kunci agregasi. Setiap nama label yang memenuhi syarat lengkap yang memiliki namespace label yang ditentukan berkontribusi pada instance agregasi. Jika Anda hanya menggunakan satu namespace label sebagai kunci kustom Anda, maka setiap nama label sepenuhnya mendefinisikan instance agregasi.

    Aturan berbasis tarif hanya menggunakan label yang telah ditambahkan ke permintaan dengan aturan yang dievaluasi sebelumnya dalam paket perlindungan (web ACL).

    Untuk informasi tentang ruang nama label dan nama, lihat. [Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md)
  + **Header** — Gunakan header bernama sebagai kunci agregasi. Setiap nilai yang berbeda di header berkontribusi pada contoh agregasi. 

    Header mengambil transformasi teks opsional. Lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md). 
  + **Cookie** — Gunakan cookie bernama sebagai kunci agregasi. Setiap nilai yang berbeda dalam cookie berkontribusi pada contoh agregasi. 

    Cookie mengambil transformasi teks opsional. Lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md). 
  + **Argumen kueri** — Gunakan argumen kueri tunggal dalam permintaan sebagai kunci agregat. Setiap nilai yang berbeda untuk argumen kueri bernama berkontribusi pada contoh agregasi. 

    Argumen kueri mengambil transformasi teks opsional. Lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md). 
  + **Query string** - Gunakan seluruh string query dalam permintaan sebagai kunci agregat. Setiap string kueri yang berbeda berkontribusi pada contoh agregasi. Anda dapat menggunakan jenis kunci ini sekali. 

    String kueri mengambil transformasi teks opsional. Lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md). 
  + **Jalur URI** — Gunakan jalur URI dalam permintaan sebagai kunci agregat. Setiap jalur URI yang berbeda berkontribusi pada instance agregasi. Anda dapat menggunakan jenis kunci ini sekali. 

    Jalur URI mengambil transformasi teks opsional. Lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md). 
  + **JA3 sidik jari** — Gunakan JA3 sidik jari dalam permintaan sebagai kunci agregat. Setiap JA3 sidik jari yang berbeda berkontribusi pada contoh agregasi. Anda dapat menggunakan jenis kunci ini sekali. 
  + **JA4 sidik jari** — Gunakan JA4 sidik jari dalam permintaan sebagai kunci agregat. Setiap JA4 sidik jari yang berbeda berkontribusi pada contoh agregasi. Anda dapat menggunakan jenis kunci ini sekali. 
  + **Metode HTTP** — Gunakan metode HTTP permintaan sebagai kunci agregat. Setiap metode HTTP yang berbeda berkontribusi pada instance agregasi. Anda dapat menggunakan jenis kunci ini sekali. 
  + **Alamat IP** — Agregat menggunakan alamat IP dari asal permintaan web dalam kombinasi dengan tombol lain.

    Ini mungkin tidak berisi alamat klien asal. Jika permintaan web melewati satu atau lebih proxy atau penyeimbang beban, ini akan berisi alamat proxy terakhir. 
  + **Alamat IP di header** — Agregat menggunakan alamat klien dalam header HTTP dalam kombinasi dengan tombol lain. Ini juga disebut sebagai alamat IP yang diteruskan. 

    Berhati-hatilah dengan opsi ini, karena header dapat ditangani secara tidak konsisten oleh proxy dan mereka dapat dimodifikasi untuk melewati inspeksi. Untuk informasi tambahan dan praktik terbaik, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md).

# Contoh dan hitungan agregasi aturan berbasis tarif
<a name="waf-rule-statement-type-rate-based-aggregation-instances"></a>

Bagian ini menjelaskan bagaimana aturan berbasis tarif mengevaluasi permintaan web.

*Saat aturan berbasis laju mengevaluasi permintaan web menggunakan kriteria agregasi Anda, setiap kumpulan nilai unik yang ditemukan aturan untuk kunci agregasi yang ditentukan menentukan instance agregasi unik.* 
+ **Beberapa kunci** — Jika Anda telah menetapkan beberapa kunci kustom, nilai untuk setiap kunci berkontribusi pada definisi instance agregasi. Setiap kombinasi nilai yang unik mendefinisikan contoh agregasi. 
+ **Kunci tunggal** — Jika Anda telah memilih satu kunci, baik dalam kunci kustom atau dengan memilih salah satu pilihan alamat IP tunggal, maka setiap nilai unik untuk kunci mendefinisikan contoh agregasi. 
+ **Hitung semua - tanpa kunci** - Jika Anda telah memilih opsi agregasi **Hitung semua**, maka semua permintaan yang dievaluasi aturan termasuk dalam contoh agregasi tunggal untuk aturan tersebut. Pilihan ini membutuhkan pernyataan cakupan ke bawah.

 

Aturan berbasis tarif menghitung permintaan web secara terpisah untuk setiap instance agregasi yang diidentifikasi. 

Misalnya, asumsikan aturan berbasis tarif mengevaluasi permintaan web dengan alamat IP berikut dan nilai metode HTTP: 
+ Alamat IP 10.1.1.1, metode HTTP POST
+ Alamat IP 10.1.1.1, metode HTTP GET
+ Alamat IP 127.0.0.0, metode HTTP POST
+ Alamat IP 10.1.1.1, metode HTTP GET

Aturan membuat instance agregasi yang berbeda sesuai dengan kriteria agregasi Anda. 
+ Jika kriteria agregasi hanya alamat IP, maka setiap alamat IP individu adalah contoh agregasi, dan AWS WAF menghitung permintaan secara terpisah untuk masing-masing. Contoh agregasi dan jumlah permintaan untuk contoh kami adalah sebagai berikut: 
  + Alamat IP 10.1.1.1: hitungan 3
  + Alamat IP 127.0.0.0: hitung 1
+ Jika kriteria agregasi adalah metode HTTP, maka setiap metode HTTP individu adalah contoh agregasi. Contoh agregasi dan jumlah permintaan untuk contoh kami adalah sebagai berikut: 
  + Metode HTTP POST: hitung 2
  + Metode HTTP GET: hitung 2
+ Jika kriteria agregasi adalah alamat IP dan metode HTTP, maka setiap alamat IP dan setiap metode HTTP akan berkontribusi pada contoh agregasi gabungan. Contoh agregasi dan jumlah permintaan untuk contoh kami adalah sebagai berikut: 
  + Alamat IP 10.1.1.1, metode HTTP POST: hitungan 1
  + Alamat IP 10.1.1.1, metode HTTP GET: hitung 2
  + Alamat IP 127.0.0.0, metode HTTP POST: hitungan 1

# Menerapkan pembatasan tarif untuk permintaan di AWS WAF
<a name="waf-rule-statement-type-rate-based-request-limiting"></a>

Bagian ini menjelaskan cara kerja perilaku pembatasan laju untuk aturan berbasis tarif.

Kriteria yang AWS WAF digunakan untuk menilai permintaan batas untuk aturan berbasis tarif adalah kriteria yang sama yang AWS WAF digunakan untuk menggabungkan permintaan untuk aturan tersebut. Jika Anda menentukan pernyataan cakupan bawah untuk aturan, AWS WAF hanya agregat, hitungan, dan batas nilai permintaan yang cocok dengan pernyataan cakupan bawah. 

Kriteria pencocokan yang menyebabkan aturan berbasis laju menerapkan pengaturan tindakan aturannya ke permintaan web tertentu adalah sebagai berikut: 
+ Permintaan web cocok dengan pernyataan cakupan bawah aturan, jika ada yang didefinisikan.
+ Permintaan web milik instance agregasi yang jumlah permintaannya saat ini melebihi batas aturan. 

**Bagaimana AWS WAF menerapkan tindakan aturan**  
Jika aturan berbasis laju menerapkan pembatasan laju pada permintaan, aturan tersebut akan menerapkan tindakan aturan dan, jika Anda telah menetapkan penanganan atau pelabelan khusus apa pun dalam spesifikasi tindakan Anda, aturan tersebut akan menerapkannya. Penanganan permintaan ini sama dengan cara aturan pencocokan menerapkan pengaturan tindakannya untuk mencocokkan permintaan web. Aturan berbasis tarif hanya menerapkan label atau melakukan tindakan lain pada permintaan yang membatasi tarif secara aktif. 

Anda dapat menggunakan tindakan aturan apa pun kecualiAllow. Untuk informasi umum tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). 

Daftar berikut menjelaskan cara kerja pembatasan laju untuk setiap tindakan.
+ **Block**— AWS WAF memblokir permintaan dan menerapkan perilaku pemblokiran khusus apa pun yang telah Anda tentukan. 
+ **Count**— AWS WAF menghitung permintaan, menerapkan header atau label khusus yang telah Anda tetapkan, dan melanjutkan evaluasi paket perlindungan (web ACL) permintaan tersebut. 

  Tindakan ini tidak membatasi tingkat permintaan. Itu hanya menghitung permintaan yang melebihi batas.
+ **CAPTCHAatau Challenge** — AWS WAF menangani permintaan baik seperti Block atau sepertiCount, tergantung pada status token permintaan. 

  Tindakan ini tidak membatasi tingkat permintaan yang memiliki token yang valid. Ini membatasi tingkat permintaan yang melebihi batas dan juga kehilangan token yang valid.
  + Jika permintaan tidak memiliki token yang valid dan belum kedaluwarsa, tindakan akan memblokir permintaan dan mengirimkan teka-teki CAPTCHA atau tantangan browser kembali ke klien. 

    Jika pengguna akhir atau browser klien merespons dengan sukses, klien menerima token yang valid dan secara otomatis mengirimkan ulang permintaan asli. Jika pembatasan tarif untuk instance agregasi masih berlaku, permintaan baru ini dengan token yang valid dan belum kedaluwarsa akan memiliki tindakan yang diterapkan padanya seperti yang dijelaskan dalam bullet point berikutnya.
  + Jika permintaan memiliki token yang valid dan belum kedaluwarsa, Challenge tindakan CAPTCHA atau memverifikasi token dan tidak mengambil tindakan atas permintaan tersebut, mirip dengan tindakan tersebut. Count Aturan berbasis tarif mengembalikan evaluasi permintaan kembali ke paket perlindungan (web ACL) tanpa mengambil tindakan penghentian apa pun, dan paket perlindungan (web ACL) melanjutkan evaluasi permintaannya.

  Untuk informasi tambahan, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

**Jika Anda menilai batas hanya alamat IP atau alamat IP yang diteruskan**  
Saat Anda mengonfigurasi aturan untuk membatasi hanya alamat IP untuk alamat IP yang diteruskan, Anda dapat mengambil daftar alamat IP yang saat ini dibatasi oleh aturan. Jika Anda menggunakan pernyataan cakupan bawah, permintaan yang dibatasi tarif hanya yang ada dalam daftar IP yang cocok dengan pernyataan cakupan bawah. Untuk informasi tentang mengambil daftar alamat IP, lihat[Daftar alamat IP yang dibatasi oleh aturan berbasis tarif](listing-managed-ips.md).

# Contoh aturan berbasis tarif di AWS WAF
<a name="waf-rule-statement-type-rate-based-examples"></a>

Bagian ini menjelaskan contoh konfigurasi untuk berbagai kasus penggunaan aturan berbasis tarif umum. 

Setiap contoh memberikan deskripsi kasus penggunaan dan kemudian menunjukkan solusi dalam daftar JSON untuk aturan yang dikonfigurasi khusus. 

**catatan**  
Daftar JSON yang ditampilkan dalam contoh ini dibuat di konsol dengan mengonfigurasi aturan dan kemudian mengeditnya menggunakan editor **Rule JSON**. 

**Topics**
+ [Nilai membatasi permintaan ke halaman login](waf-rate-based-example-limit-login-page.md)
+ [Nilai membatasi permintaan ke halaman login dari alamat IP apa pun, pasangan agen pengguna](waf-rate-based-example-limit-login-page-keys.md)
+ [Batasi nilai permintaan yang tidak memiliki header tertentu](waf-rate-based-example-limit-missing-header.md)
+ [Nilai membatasi permintaan dengan label tertentu](waf-rate-based-example-limit-labels.md)
+ [Nilai batas permintaan untuk label yang memiliki namespace label tertentu](waf-rate-based-example-limit-label-aggregation.md)
+ [Nilai membatasi permintaan dengan spesifik ASNs](waf-rate-based-example-limit-asn.md)

# Nilai membatasi permintaan ke halaman login
<a name="waf-rate-based-example-limit-login-page"></a>

**Untuk membatasi jumlah permintaan ke halaman login di situs web Anda tanpa memengaruhi lalu lintas ke seluruh situs Anda, Anda dapat membuat aturan berbasis tarif dengan pernyataan cakupan bawah yang cocok dengan permintaan ke halaman login Anda dan dengan agregasi permintaan diatur ke Hitung semua.** 

Aturan berbasis laju akan menghitung semua permintaan untuk halaman login dalam satu contoh agregasi dan menerapkan tindakan aturan ke semua permintaan yang cocok dengan pernyataan cakupan bawah ketika permintaan melebihi batas.

Daftar JSON berikut menunjukkan contoh konfigurasi aturan ini. Opsi hitung semua agregasi tercantum di JSON sebagai pengaturan. `CONSTANT` Contoh ini cocok dengan halaman login yang dimulai dengan`/login`. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CONSTANT",
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Nilai membatasi permintaan ke halaman login dari alamat IP apa pun, pasangan agen pengguna
<a name="waf-rate-based-example-limit-login-page-keys"></a>

Untuk membatasi jumlah permintaan ke halaman login di situs web Anda untuk alamat IP, pasangan agen pengguna yang melebihi batas Anda, atur agregasi permintaan ke **kunci Kustom** dan berikan kriteria agregasi. 

Daftar JSON berikut menunjukkan contoh konfigurasi aturan ini. Dalam contoh ini, kami telah menetapkan batas untuk 100 permintaan dalam periode lima menit per alamat IP, pasangan agen pengguna. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CUSTOM_KEYS",
      "CustomKeys": [
        {
          "Header": {
            "Name": "User-Agent",
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        },
        {
          "IP": {}
        }
      ],
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Batasi nilai permintaan yang tidak memiliki header tertentu
<a name="waf-rate-based-example-limit-missing-header"></a>

Untuk membatasi jumlah permintaan yang tidak memiliki header tertentu, Anda dapat menggunakan opsi **Hitung semua** agregasi dengan pernyataan cakupan bawah. Konfigurasikan pernyataan scope-down dengan `NOT` pernyataan logis yang berisi pernyataan yang mengembalikan true hanya jika header ada dan memiliki nilai. 

Daftar JSON berikut menunjukkan contoh konfigurasi aturan ini. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "AggregateKeyType": "CONSTANT",
      "EvaluationWindowSec": 300,
      "ScopeDownStatement": {
        "NotStatement": {
          "Statement": {
            "SizeConstraintStatement": {
              "FieldToMatch": {
                "SingleHeader": {
                  "Name": "user-agent"
                }
              },
              "ComparisonOperator": "GT",
              "Size": 0,
              "TextTransformations": [
                {
                  "Type": "NONE",
                  "Priority": 0
                }
              ]
            }
          }
        }
      }
    }
  }
}
```

# Nilai membatasi permintaan dengan label tertentu
<a name="waf-rate-based-example-limit-labels"></a>

Untuk membatasi jumlah permintaan dari berbagai kategori, Anda dapat menggabungkan pembatasan tarif dengan aturan atau grup aturan apa pun yang menambahkan label ke permintaan. Untuk melakukan ini, Anda mengonfigurasi paket perlindungan Anda (web ACL) sebagai berikut: 
+ Tambahkan aturan atau grup aturan yang menambahkan label, dan konfigurasikan agar tidak memblokir atau mengizinkan permintaan yang ingin Anda beri batas nilai. Jika Anda menggunakan grup aturan terkelola, Anda mungkin perlu mengganti beberapa tindakan aturan grup aturan Count untuk mencapai perilaku ini. 
+ Tambahkan aturan berbasis tarif ke paket perlindungan Anda (ACL web) dengan pengaturan nomor prioritas yang lebih tinggi dari aturan pelabelan dan grup aturan. AWS WAF mengevaluasi aturan dalam urutan numerik, mulai dari yang terendah, sehingga aturan berbasis tarif Anda akan berjalan setelah aturan pelabelan. Konfigurasikan batasan tarif Anda pada label menggunakan kombinasi pencocokan label dalam pernyataan cakupan bawah aturan dan agregasi label. 

Contoh berikut menggunakan grup aturan Aturan AWS Terkelola daftar reputasi IP Amazon. Aturan grup aturan `AWSManagedIPDDoSList` mendeteksi dan memberi label permintaan IPs yang diketahui aktif terlibat dalam aktivitas DDo S. Tindakan aturan dikonfigurasi Count dalam definisi grup aturan. Untuk informasi selengkapnya tentang grup aturan, lihat[Grup aturan terkelola daftar reputasi IP Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).

Daftar JSON paket perlindungan (web ACL) berikut menggunakan grup aturan reputasi IP diikuti oleh aturan berbasis tingkat pencocokan label. Aturan berbasis laju menggunakan pernyataan scope-down untuk memfilter permintaan yang telah ditandai oleh aturan grup aturan. Pernyataan aturan berbasis tingkat agregat dan nilai membatasi permintaan yang difilter oleh alamat IP mereka. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Nilai batas permintaan untuk label yang memiliki namespace label tertentu
<a name="waf-rate-based-example-limit-label-aggregation"></a>

**catatan**  
Aturan tingkat umum dalam grup aturan terkelola Bot Control menambahkan label untuk bot dari berbagai kategori, tetapi mereka hanya memblokir permintaan dari bot yang tidak diverifikasi. Untuk informasi tentang aturan ini, lihat[Daftar aturan Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

Jika Anda menggunakan grup aturan terkelola Kontrol Bot, Anda dapat menambahkan batasan tarif untuk permintaan dari bot terverifikasi individual. Untuk melakukan ini, Anda menambahkan aturan berbasis kecepatan yang berjalan setelah grup aturan Kontrol Bot dan agregat permintaan berdasarkan label nama bot mereka. Anda menentukan kunci agregasi **namespace Label** dan mengatur kunci namespace ke. `awswaf:managed:aws:bot-control:bot:name:` Setiap label unik dengan namespace yang ditentukan akan menentukan contoh agregasi. Misalnya, label `awswaf:managed:aws:bot-control:bot:name:axios` dan `awswaf:managed:aws:bot-control:bot:name:curl` masing-masing mendefinisikan contoh agregasi.

Daftar JSON paket perlindungan (web ACL) berikut menunjukkan konfigurasi ini. Aturan dalam contoh ini membatasi permintaan untuk setiap instance agregasi bot tunggal menjadi 1.000 dalam periode dua menit. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesBotControlRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesBotControlRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesBotControlRuleSet": {
                "InspectionLevel": "COMMON"
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 1000,
          "EvaluationWindowSec": 120,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "LabelNamespace": {
                "Namespace": "awswaf:managed:aws:bot-control:bot:name:"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 82,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Nilai membatasi permintaan dengan spesifik ASNs
<a name="waf-rate-based-example-limit-asn"></a>

Untuk membatasi jumlah permintaan dari Autonomous System Numbers (ASNs) tertentu berdasarkan alamat IP permintaan, atur agregasi permintaan ke *kunci Kustom* dan berikan kriteria agregasi.

JSON berikut menunjukkan contoh agregasi aturan yang ASNs berasal dari alamat IP diteruskan yang ditemukan di header. `X-Forwarded-For` Jika tidak AWS WAF dapat memperoleh ASN karena alamat IP salah bentuk, perilaku fallback diatur ke. `MATCH`

```
{
    "Name": "test-rbr",
    "Priority": 0,
    "Statement": {
        "RateBasedStatement": {
            "AggregateKeyType": "CUSTOM_KEYS",
            "CustomKeys": [
                {
                    "ASN": {}
                },
                {
                    "ForwardedIP": {}
                }
            ],
            "EvaluationWindowSec": 300,
            "ForwardedIPConfig": {
                "FallbackBehavior": "MATCH",
                "HeaderName": "X-Forwarded-For"
            },
            "Limit": 2000
        }
    },
    "VisibilityConfig": {
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr",
        "SampledRequestsEnabled": true
    }
}
```

# Daftar alamat IP yang dibatasi oleh aturan berbasis tarif
<a name="listing-managed-ips"></a>

Bagian ini menjelaskan cara mengakses daftar alamat IP yang saat ini dibatasi oleh aturan berbasis tarif dengan menggunakan CLI, API, atau salah satu. SDKs 

Jika aturan berbasis tarif Anda hanya agregat pada alamat IP atau alamat IP yang diteruskan, Anda dapat mengambil daftar alamat IP yang aturan saat ini membatasi tarif. AWS WAF menyimpan alamat IP ini dalam daftar kunci terkelola aturan. 

**catatan**  
Opsi ini hanya tersedia jika Anda menggabungkan hanya alamat IP atau hanya alamat IP di header. Jika Anda menggunakan agregasi permintaan kunci kustom, Anda tidak dapat mengambil daftar alamat IP terbatas tarif, bahkan jika Anda menggunakan salah satu spesifikasi alamat IP di kunci kustom Anda.

Aturan berbasis laju menerapkan tindakan aturannya ke permintaan dari daftar kunci terkelola aturan yang cocok dengan pernyataan cakupan bawah aturan. Ketika aturan tidak memiliki pernyataan cakupan bawah, itu menerapkan tindakan untuk semua permintaan dari alamat IP yang ada dalam daftar. Tindakan aturan secara Block default, tetapi dapat berupa tindakan aturan yang valid kecuali untukAllow. Jumlah maksimum alamat IP yang AWS WAF dapat membatasi nilai menggunakan instance aturan berbasis tarif tunggal adalah 10.000. Jika lebih dari 10.000 alamat melebihi batas tarif, AWS WAF batasi alamat dengan tarif tertinggi. 

Anda dapat mengakses daftar kunci terkelola aturan berbasis laju menggunakan CLI, API, atau salah satu. SDKs Topik ini mencakup akses menggunakan CLI dan. APIs Konsol tidak menyediakan akses ke daftar saat ini. 

Untuk AWS WAF API, perintahnya adalah [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).

[Untuk AWS WAF CLI, perintahnya adalah get-rate-based-statement -managed-keys.](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html) 

Berikut ini menunjukkan sintaks untuk mengambil daftar alamat IP terbatas tingkat untuk aturan berbasis tarif yang digunakan dalam paket perlindungan (web ACL) pada distribusi Amazon. CloudFront 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

Berikut ini menunjukkan sintaks untuk aplikasi regional, Amazon API Gateway REST API, Application Load Balancer, API AWS AppSync GraphQL, kumpulan pengguna Amazon Cognito, layanan AWS App Runner , atau instance Akses Terverifikasi. AWS Amplify AWS 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

AWS WAF memantau permintaan web dan mengelola kunci secara independen untuk setiap kombinasi unik paket perlindungan (web ACL), grup aturan opsional, dan aturan berbasis tarif. Misalnya, jika Anda menentukan aturan berbasis laju di dalam grup aturan, dan kemudian menggunakan grup aturan dalam paket perlindungan (web ACL), AWS WAF memantau permintaan web dan mengelola kunci untuk paket perlindungan tersebut (web ACL), pernyataan referensi grup aturan, dan contoh aturan berbasis tarif. Jika Anda menggunakan grup aturan yang sama dalam paket perlindungan kedua (web ACL), AWS WAF memantau permintaan web dan mengelola kunci untuk penggunaan kedua ini sepenuhnya independen dari yang pertama.

Untuk aturan berbasis laju yang telah Anda tetapkan di dalam grup aturan, Anda harus memberikan nama pernyataan referensi grup aturan dalam permintaan Anda, selain nama paket perlindungan (web ACL) dan nama aturan berbasis tarif di dalam grup aturan. Berikut ini menunjukkan sintaks untuk aplikasi regional di mana aturan berbasis laju didefinisikan di dalam grup aturan, dan grup aturan digunakan dalam paket perlindungan (web ACL). 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```

# Menggunakan pernyataan aturan grup aturan di AWS WAF
<a name="waf-rule-statements-rule-group"></a>

**catatan**  
Pernyataan aturan kelompok aturan tidak bersarang. 

Bagian ini menjelaskan pernyataan aturan grup aturan yang dapat Anda gunakan dalam paket perlindungan (web ACL). Rule group protection pack (web ACL) unit kapasitas (WCUs) ditetapkan oleh pemilik grup aturan pada saat pembuatan. Untuk informasi tentang WCUs, lihat[Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md). 


| Pernyataan kelompok aturan | Deskripsi | WCUs | 
| --- | --- | --- | 
|  [Menggunakan pernyataan grup aturan terkelola](waf-rule-statement-type-managed-rule-group.md)  |  Menjalankan aturan yang didefinisikan dalam grup aturan terkelola yang ditentukan.  Anda dapat mempersempit cakupan permintaan yang dievaluasi oleh grup aturan dengan menambahkan pernyataan cakupan ke bawah.  Anda tidak dapat membuat sarang pernyataan grup aturan terkelola di dalam jenis pernyataan lainnya.  |  Didefinisikan oleh grup aturan, ditambah tambahan apa pun WCUs untuk pernyataan cakupan bawah.  | 
| [Menggunakan pernyataan grup aturan](waf-rule-statement-type-rule-group.md) | Menjalankan aturan yang didefinisikan dalam grup aturan yang Anda kelola.  Anda tidak dapat menambahkan pernyataan scope-down ke pernyataan referensi grup aturan untuk grup aturan Anda sendiri.  Anda tidak dapat membuat sarang pernyataan grup aturan di dalam jenis pernyataan lain  | Anda menentukan batas WCU untuk grup aturan saat Anda membuatnya. | 

# Menggunakan pernyataan grup aturan terkelola di AWS WAF
<a name="waf-rule-statement-type-managed-rule-group"></a>

Bagian ini menjelaskan cara kerja pernyataan aturan kelompok aturan terkelola.

Pernyataan aturan grup aturan terkelola menambahkan referensi dalam daftar aturan paket perlindungan (web ACL) Anda ke grup aturan terkelola. Anda tidak melihat opsi ini di bawah pernyataan aturan Anda di konsol, tetapi ketika Anda bekerja dengan format JSON ACL web Anda, setiap grup aturan terkelola yang telah Anda tambahkan muncul di bawah aturan paket perlindungan (web ACL) sebagai tipe ini.

Grup aturan terkelola adalah grup aturan Aturan AWS Terkelola, yang sebagian besar gratis untuk AWS WAF pelanggan, atau grup aturan AWS Marketplace terkelola. Anda secara otomatis berlangganan grup aturan Aturan AWS Terkelola berbayar saat Anda menambahkannya ke paket perlindungan (web ACL). Anda dapat berlangganan grup aturan AWS Marketplace terkelola melalui AWS Marketplace. Untuk informasi selengkapnya, lihat [Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md).

Saat menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan aturan dalam grup ke Count atau ke tindakan aturan lain. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md).

Anda dapat mempersempit cakupan permintaan yang AWS WAF mengevaluasi dengan grup aturan. Untuk melakukan ini, Anda menambahkan pernyataan cakupan ke bawah di dalam pernyataan grup aturan. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md) Ini dapat membantu Anda mengelola bagaimana grup aturan memengaruhi lalu lintas Anda dan dapat membantu Anda memuat biaya yang terkait dengan volume lalu lintas saat Anda menggunakan grup aturan. Untuk informasi dan contoh penggunaan pernyataan scope-down dengan grup aturan terkelola AWS WAF Bot Control, lihat. [AWS WAF Kontrol Bot](waf-bot-control.md)

## Karakteristik pernyataan aturan
<a name="managed-rule-group-rule-statement-characteristics"></a>

**Tidak bersarang** - Anda tidak dapat membuat jenis pernyataan ini di dalam pernyataan lain, dan Anda tidak dapat memasukkannya ke dalam grup aturan. Anda dapat memasukkannya langsung ke dalam paket perlindungan (web ACL). 

**(Opsional) Pernyataan cakupan bawah** — Jenis aturan ini menggunakan pernyataan cakupan bawah opsional, untuk mempersempit cakupan permintaan yang dievaluasi oleh grup aturan. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md).

**WCUs**— Tetapkan untuk grup aturan saat pembuatan.

## Di mana menemukan pernyataan aturan ini
<a name="managed-rule-group-rule-statement-where-to-find"></a>
+ **Konsol** — Selama proses membuat paket perlindungan (ACL web), pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan grup aturan terkelola**, lalu temukan dan pilih grup aturan yang ingin Anda gunakan.
+ **API** — [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)

# Menggunakan pernyataan grup aturan di AWS WAF
<a name="waf-rule-statement-type-rule-group"></a>

Bagian ini menjelaskan cara kerja pernyataan aturan kelompok aturan.

Pernyataan aturan grup aturan menambahkan referensi ke daftar aturan paket perlindungan (web ACL) Anda ke grup aturan yang Anda kelola. Anda tidak melihat opsi ini di bawah pernyataan aturan Anda di konsol, tetapi ketika Anda bekerja dengan format JSON paket perlindungan Anda (web ACL), grup aturan Anda sendiri yang telah Anda tambahkan muncul di bawah paket perlindungan (web ACL) aturan sebagai jenis ini. Untuk informasi tentang menggunakan grup aturan Anda sendiri, lihat[Mengelola grup aturan Anda sendiri](waf-user-created-rule-groups.md).

Saat menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan aturan dalam grup ke Count atau ke tindakan aturan lain. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md).

## Karakteristik pernyataan aturan
<a name="rule-group-rule-statement-characteristics"></a>

**Tidak bersarang** - Anda tidak dapat membuat jenis pernyataan ini di dalam pernyataan lain, dan Anda tidak dapat memasukkannya ke dalam grup aturan. Anda dapat memasukkannya langsung ke dalam paket perlindungan (web ACL). 

**WCUs**— Tetapkan untuk grup aturan saat pembuatan.

## Di mana menemukan pernyataan aturan ini
<a name="rule-group-rule-statement-where-to-find"></a>
+ **Konsol** — Selama proses membuat paket perlindungan (web ACL), pada halaman **Tambahkan aturan dan grup aturan**, pilih **Tambahkan aturan dan grup aturan saya sendiri**, **Grup aturan**, lalu tambahkan grup aturan yang ingin Anda gunakan.
+ **API** — [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)

# AWS WAF kelompok aturan
<a name="waf-rule-groups"></a>

Bagian ini menjelaskan apa itu kelompok aturan dan cara kerjanya.

Grup aturan adalah seperangkat aturan yang dapat digunakan kembali yang dapat Anda tambahkan ke paket perlindungan (web ACL). Untuk informasi selengkapnya tentang paket perlindungan (web ACLs), lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

Kelompok aturan termasuk dalam kategori utama berikut: 
+ Grup aturan Anda sendiri, yang Anda buat dan pertahankan. 
+ Grup aturan AWS terkelola yang dibuat dan dipelihara oleh tim Aturan Terkelola untuk Anda. 
+ Grup aturan terkelola yang dibuat dan dipelihara AWS Marketplace penjual untuk Anda. 
+ Grup aturan yang dimiliki dan dikelola oleh layanan lain seperti AWS Firewall Manager dan Shield Advanced.

**Perbedaan antara kelompok aturan dan paket perlindungan (web ACLs)**  
Kelompok aturan dan paket perlindungan (web ACLs) keduanya berisi aturan, yang didefinisikan dengan cara yang sama di kedua tempat. Kelompok aturan berbeda dari paket perlindungan (web ACLs) dengan cara berikut: 
+ Grup aturan tidak dapat berisi pernyataan referensi grup aturan. 
+ Anda dapat menggunakan kembali grup aturan tunggal dalam beberapa paket perlindungan (web ACLs) dengan menambahkan pernyataan referensi grup aturan ke setiap paket perlindungan (web ACL). Anda tidak dapat menggunakan kembali paket perlindungan (web ACL).
+ Grup aturan tidak memiliki tindakan default. Dalam paket perlindungan (web ACL), Anda menetapkan tindakan default untuk setiap aturan atau grup aturan yang Anda sertakan. Setiap aturan individu di dalam grup aturan atau paket perlindungan (web ACL) memiliki tindakan yang ditentukan. 
+ Anda tidak secara langsung mengaitkan grup aturan dengan AWS sumber daya. Untuk melindungi sumber daya menggunakan grup aturan, Anda menggunakan grup aturan dalam paket perlindungan (web ACL). 
+ Sistem ini mendefinisikan kapasitas maksimum 5.000 unit kapasitas paket perlindungan (web ACL) (WCUs) untuk setiap paket perlindungan (web ACL). Setiap grup aturan memiliki pengaturan WCU yang harus ditetapkan pada saat pembuatan. Anda dapat menggunakan pengaturan ini untuk menghitung persyaratan kapasitas tambahan yang akan ditambahkan oleh grup aturan ke paket perlindungan (web ACL) Anda. Untuk informasi lebih lanjut tentang WCUs, lihat[Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Untuk informasi tentang aturan, lihat [AWS WAF aturan](waf-rules.md).

Bagian ini memberikan panduan untuk membuat dan mengelola grup aturan Anda sendiri, menjelaskan grup aturan terkelola yang tersedia untuk Anda, dan memberikan panduan untuk menggunakan grup aturan terkelola. 

**Topics**
+ [Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md)
+ [Mengelola grup aturan Anda sendiri](waf-user-created-rule-groups.md)
+ [AWS Marketplace kelompok aturan](marketplace-rule-groups.md)
+ [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md)

# Menggunakan grup aturan terkelola di AWS WAF
<a name="waf-managed-rule-groups"></a>

Bagian ini menjelaskan apa itu kelompok aturan terkelola dan bagaimana mereka bekerja.

Grup aturan terkelola adalah kumpulan ready-to-use aturan yang telah ditentukan sebelumnya, yang ditulis AWS dan dipelihara oleh AWS Marketplace penjual untuk Anda. AWS WAF Harga dasar berlaku untuk penggunaan grup aturan terkelola oleh Anda. Untuk informasi AWS WAF harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/).
+ *Grup aturan Aturan AWS Terkelola untuk Kontrol AWS WAF Bot, Pencegahan Pengambilalihan Akun Kontrol AWS WAF Penipuan (ATP), dan pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP)* tersedia dengan biaya tambahan, di luar biaya dasar. AWS WAF Untuk detail harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/). 
+ *Semua grup aturan Aturan AWS Terkelola lainnya* tersedia untuk AWS WAF pelanggan tanpa biaya tambahan. 
+ *AWS Marketplace grup aturan* tersedia dengan berlangganan melalui AWS Marketplace. Masing-masing kelompok aturan ini dimiliki dan dikelola oleh AWS Marketplace penjual. Untuk informasi harga untuk menggunakan grup AWS Marketplace aturan, hubungi AWS Marketplace penjual. 

Beberapa grup aturan terkelola dirancang untuk membantu melindungi jenis aplikasi web tertentu sepertiWordPress, Joomla, atau PHP. Yang lain menawarkan perlindungan luas terhadap ancaman yang diketahui atau kerentanan aplikasi web umum, termasuk beberapa yang tercantum dalam [OWASP Top 10](https://owasp.org/www-project-top-ten/). Jika Anda tunduk pada kepatuhan peraturan seperti PCI atau HIPAA, Anda mungkin dapat menggunakan grup aturan terkelola untuk memenuhi persyaratan firewall aplikasi web.

**Pembaruan otomatis**  
Terus memantau kondisi terbaru terkait lanskap ancaman yang terus berubah dapat memakan waktu dan biaya yang besar. Grup aturan terkelola dapat menghemat waktu Anda saat menerapkan dan menggunakan AWS WAF. Banyak AWS dan AWS Marketplace penjual secara otomatis memperbarui grup aturan terkelola dan menyediakan versi baru grup aturan saat kerentanan dan ancaman baru muncul. 

Dalam beberapa kasus, AWS diberitahukan tentang kerentanan baru sebelum pengungkapan publik, karena partisipasinya dalam sejumlah komunitas pengungkapan pribadi. Dalam kasus tersebut, AWS dapat memperbarui grup aturan Aturan AWS Terkelola dan menyebarkannya untuk Anda bahkan sebelum ancaman baru diketahui secara luas. 

**Akses terbatas ke aturan dalam grup aturan terkelola**  
Setiap grup aturan terkelola memberikan deskripsi komprehensif tentang jenis serangan dan kerentanan yang dirancang untuk melindunginya. Untuk melindungi kekayaan intelektual penyedia grup aturan, Anda tidak dapat melihat semua detail untuk aturan individual dalam grup aturan. Pembatasan ini juga membantu mencegah pengguna jahat merancang ancaman yang secara khusus menghindari aturan yang dipublikasikan.

**Topics**
+ [Menggunakan grup aturan terkelola berversi di AWS WAF](waf-managed-rule-groups-versioning.md)
+ [Bekerja dengan kelompok aturan terkelola](waf-using-managed-rule-groups.md)
+ [AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md)

# Menggunakan grup aturan terkelola berversi di AWS WAF
<a name="waf-managed-rule-groups-versioning"></a>

Bagian ini menjelaskan bagaimana penanganan pembuatan versi untuk grup aturan terkelola.

Banyak penyedia grup aturan terkelola menggunakan pembuatan versi untuk memperbarui opsi dan kemampuan grup aturan. Biasanya, versi spesifik dari grup aturan terkelola bersifat statis. Kadang-kadang, penyedia mungkin perlu memperbarui beberapa atau semua versi statis dari grup aturan terkelola, misalnya, untuk menanggapi ancaman keamanan yang muncul. 

Bila Anda menggunakan grup aturan terkelola berversi dalam paket perlindungan (web ACL), Anda dapat memilih versi default dan membiarkan penyedia mengelola versi statis yang Anda gunakan, atau Anda dapat memilih versi statis tertentu. 

**Tidak dapat menemukan versi yang Anda inginkan?**  
Jika Anda tidak melihat versi dalam daftar versi grup aturan, versi mungkin dijadwalkan kedaluwarsa atau sudah kedaluwarsa. Setelah versi dijadwalkan kedaluwarsa, Anda AWS WAF tidak lagi dapat memilihnya untuk grup aturan. 

**Pemberitahuan SNS untuk grup aturan Aturan AWS Terkelola**  
Aturan Aturan AWS Terkelola mengelompokkan semuanya menyediakan pemberitahuan pemutakhiran versi dan SNS kecuali untuk grup aturan reputasi IP. Grup aturan Aturan AWS Terkelola yang menyediakan notifikasi semuanya menggunakan topik SNS yang sama Nama Sumber Daya Amazon (ARN). Untuk mendaftar notifikasi SNS, lihat[Mendapatkan pemberitahuan tentang versi dan pembaruan baru](waf-using-managed-rule-groups-sns-topic.md).

**Topics**
+ [Siklus hidup versi untuk grup aturan terkelola](waf-managed-rule-groups-versioning-lifecycle.md)
+ [Kedaluwarsa versi untuk grup aturan terkelola](waf-managed-rule-groups-versioning-expiration.md)
+ [Praktik terbaik untuk menangani versi grup aturan terkelola](waf-managed-rule-groups-best-practice.md)

# Siklus hidup versi untuk grup aturan terkelola
<a name="waf-managed-rule-groups-versioning-lifecycle"></a>

Penyedia menangani tahapan siklus hidup berikut dari versi statis grup aturan terkelola: 
+ **Rilis dan pembaruan** — Penyedia grup aturan terkelola mengumumkan versi statis yang akan datang dan baru dari grup aturan terkelola mereka melalui pemberitahuan ke topik Amazon Simple Notification Service (Amazon SNS). Penyedia mungkin juga menggunakan topik untuk mengkomunikasikan informasi penting lainnya tentang kelompok aturan mereka, seperti pembaruan yang diperlukan secara mendesak. 

  Anda dapat berlangganan topik grup aturan dan mengonfigurasi cara Anda ingin menerima notifikasi. Untuk mengetahui informasi selengkapnya, lihat [Mendapatkan pemberitahuan tentang versi dan pembaruan baru](waf-using-managed-rule-groups-sns-topic.md).
+ **Penjadwalan kedaluwarsa** — Penyedia grup aturan terkelola menjadwalkan versi grup aturan yang lebih lama untuk kedaluwarsa. Versi yang dijadwalkan kedaluwarsa tidak dapat ditambahkan ke aturan paket perlindungan (web ACL) Anda. Setelah kedaluwarsa dijadwalkan untuk versi, lacak AWS WAF kedaluwarsa dengan metrik hitung mundur di Amazon. CloudWatch 
+ **Kedaluwarsa versi** — Jika Anda memiliki paket perlindungan (web ACL) yang dikonfigurasi untuk menggunakan versi kedaluwarsa dari grup aturan terkelola, maka selama evaluasi paket perlindungan (web ACL), AWS WAF gunakan versi default grup aturan. Selain itu, AWS WAF memblokir pembaruan apa pun ke paket perlindungan (web ACL) yang tidak menghapus grup aturan atau mengubah versinya menjadi yang belum kedaluwarsa.

Jika Anda menggunakan grup aturan AWS Marketplace terkelola, tanyakan penyedia informasi tambahan tentang siklus hidup versi. 

# Kedaluwarsa versi untuk grup aturan terkelola
<a name="waf-managed-rule-groups-versioning-expiration"></a>

 Bagian ini menjelaskan cara kerja kedaluwarsa versi untuk grup aturan terkelola berversi.

Jika Anda menggunakan versi tertentu dari grup aturan, pastikan Anda tidak tetap menggunakan versi yang melewati tanggal kedaluwarsanya. Anda dapat memantau kedaluwarsa versi melalui notifikasi SNS grup aturan dan melalui metrik Amazon. CloudWatch 

Jika versi yang Anda gunakan dalam paket perlindungan (web ACL) kedaluwarsa, AWS WAF blokir pembaruan apa pun ke paket perlindungan (web ACL) yang tidak termasuk memindahkan grup aturan ke versi yang belum kedaluwarsa. Anda dapat memperbarui grup aturan ke versi yang tersedia atau menghapusnya dari paket perlindungan (web ACL). 

Penanganan kedaluwarsa untuk grup aturan terkelola bergantung pada penyedia grup aturan. Untuk grup aturan Aturan AWS Terkelola, versi kedaluwarsa secara otomatis diubah ke versi default grup aturan. Untuk grup AWS Marketplace aturan, tanyakan penyedia bagaimana mereka menangani kedaluwarsa.

Saat penyedia membuat versi baru dari grup aturan, penyedia menetapkan perkiraan masa pakai versi. Meskipun versi tidak dijadwalkan kedaluwarsa, nilai CloudWatch metrik Amazon disetel ke pengaturan masa pakai yang diperkirakan, dan di CloudWatch, Anda akan melihat nilai datar untuk metrik tersebut. Setelah penyedia menjadwalkan metrik untuk kedaluwarsa, nilai metrik berkurang setiap hari hingga mencapai nol pada hari kedaluwarsa. Untuk informasi tentang pemantauan kedaluwarsa, lihat. [Melacak kedaluwarsa versi](waf-using-managed-rule-groups-expiration.md)

# Praktik terbaik untuk menangani versi grup aturan terkelola
<a name="waf-managed-rule-groups-best-practice"></a>

Ikuti panduan praktik terbaik ini untuk menangani pembuatan versi saat Anda menggunakan grup aturan terkelola berversi.

Bila Anda menggunakan grup aturan terkelola dalam paket perlindungan (web ACL), Anda dapat memilih untuk menggunakan versi statis tertentu dari grup aturan, atau Anda dapat memilih untuk menggunakan versi default: 
+ **Versi default** — AWS WAF selalu menetapkan versi default ke versi statis yang saat ini direkomendasikan oleh penyedia. Saat penyedia memperbarui versi statis yang direkomendasikan, AWS WAF secara otomatis memperbarui setelan versi default untuk grup aturan dalam paket perlindungan Anda (web ACL). 

  Bila Anda menggunakan versi default grup aturan terkelola, lakukan hal berikut sebagai praktik terbaik: 
  + **Berlangganan notifikasi** — Berlangganan pemberitahuan untuk perubahan pada grup aturan dan awasi itu. Sebagian besar penyedia mengirim pemberitahuan lanjutan tentang versi statis baru dan perubahan versi default. Ini memungkinkan Anda memeriksa efek dari versi statis baru sebelum AWS beralih versi default ke versi itu. Untuk mengetahui informasi selengkapnya, lihat [Mendapatkan pemberitahuan tentang versi dan pembaruan baru](waf-using-managed-rule-groups-sns-topic.md).
  + **Tinjau efek pengaturan versi statis dan buat penyesuaian sesuai kebutuhan sebelum default Anda disetel ke sana** — Sebelum default Anda diatur ke versi statis baru, tinjau efek versi statis pada pemantauan dan pengelolaan permintaan web Anda. Versi statis baru mungkin memiliki aturan baru untuk ditinjau. Cari positif palsu atau perilaku tak terduga lainnya, jika Anda perlu mengubah cara Anda menggunakan grup aturan. Anda dapat menetapkan aturan untuk menghitung, misalnya, untuk menghentikannya memblokir lalu lintas saat Anda mengetahui bagaimana Anda ingin menangani perilaku baru. Untuk informasi selengkapnya, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).
+ **Versi statis** - Jika Anda memilih untuk menggunakan versi statis, Anda harus memperbarui pengaturan versi secara manual saat Anda siap untuk mengadopsi versi baru dari grup aturan. 

  Bila Anda menggunakan versi statis dari grup aturan terkelola, lakukan hal berikut sebagai praktik terbaik: 
  + **Tetap perbarui versi Anda** — Pertahankan grup aturan terkelola sedekat mungkin dengan versi terbaru. Saat versi baru dirilis, ujilah, sesuaikan pengaturan sesuai kebutuhan, dan terapkan tepat waktu. Untuk informasi tentang pengujian, lihat[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).
  + **Berlangganan notifikasi** — Berlangganan notifikasi untuk perubahan pada grup aturan, sehingga Anda tahu kapan penyedia Anda merilis versi statis baru. Sebagian besar penyedia memberikan pemberitahuan lanjutan tentang perubahan versi. Selain itu, penyedia Anda mungkin perlu memperbarui versi statis yang Anda gunakan untuk menutup celah keamanan atau karena alasan mendesak lainnya. Anda akan tahu apa yang terjadi jika berlangganan notifikasi penyedia. Untuk informasi selengkapnya, lihat [Mendapatkan pemberitahuan tentang versi dan pembaruan baru](waf-using-managed-rule-groups-sns-topic.md).
  + **Hindari kedaluwarsa versi** - Jangan biarkan versi statis kedaluwarsa saat Anda menggunakannya. Penanganan penyedia versi kedaluwarsa dapat bervariasi dan mungkin termasuk memaksa upgrade ke versi yang tersedia atau perubahan lain yang dapat memiliki konsekuensi tak terduga. Lacak metrik AWS WAF kedaluwarsa dan setel alarm yang memberi Anda jumlah hari yang cukup untuk berhasil meningkatkan ke versi yang didukung. Lihat informasi yang lebih lengkap di [Melacak kedaluwarsa versi](waf-using-managed-rule-groups-expiration.md).



# Bekerja dengan kelompok aturan terkelola
<a name="waf-using-managed-rule-groups"></a>

Bagian ini memberikan panduan untuk mengakses dan mengelola grup aturan terkelola Anda. 

Saat menambahkan grup aturan terkelola ke paket perlindungan (web ACL), Anda dapat memilih opsi konfigurasi yang sama seperti grup aturan Anda sendiri, ditambah pengaturan tambahan. 

Melalui konsol, Anda mengakses informasi grup aturan terkelola selama proses menambahkan dan mengedit aturan dalam paket perlindungan (web ACLs). Melalui APIs dan antarmuka baris perintah (CLI), Anda dapat langsung meminta informasi grup aturan terkelola.

Bila Anda menggunakan grup aturan terkelola dalam paket perlindungan (web ACL), Anda dapat mengedit pengaturan berikut: 
+ **Versi** - Ini hanya tersedia jika grup aturan berversi. Untuk informasi selengkapnya, lihat [Menggunakan grup aturan terkelola berversi di AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Mengganti tindakan aturan** — Anda dapat mengganti tindakan untuk aturan dalam grup aturan ke tindakan apa pun. CountMengaturnya berguna untuk menguji grup aturan sebelum menggunakannya untuk mengelola permintaan web Anda. Untuk informasi selengkapnya, lihat [Pengesampingan tindakan aturan kelompok aturan](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Pernyataan cakupan bawah** - Anda dapat menambahkan pernyataan cakupan ke bawah, untuk menyaring permintaan web yang tidak ingin Anda evaluasi dengan grup aturan. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md).
+ **Ganti tindakan grup aturan** — Anda dapat mengganti tindakan yang dihasilkan dari evaluasi grup aturan, dan mengaturnya menjadi Count hanya. Opsi ini tidak umum digunakan. Itu tidak mengubah cara AWS WAF mengevaluasi aturan dalam kelompok aturan. Untuk informasi selengkapnya, lihat [Tindakan pengembalian grup aturan ditimpa ke Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).

**Untuk mengedit pengaturan grup aturan terkelola dalam paket perlindungan Anda (web ACL)**
+ **Konsol** 
  + (Opsi) Saat menambahkan grup aturan terkelola ke paket perlindungan (web ACL), Anda dapat memilih **Edit** untuk melihat dan mengedit pengaturan. 
  + (Opsi) Setelah Anda menambahkan grup aturan terkelola ke dalam paket perlindungan (web ACL) Anda, dari halaman **paket perlindungan (web ACLs)**, pilih paket perlindungan (web ACL) yang baru saja Anda buat. Ini membawa Anda ke halaman edit paket perlindungan (web ACL). 
    + Pilih **Aturan**. 
    + Pilih grup aturan, lalu pilih **Edit** untuk melihat dan mengedit pengaturan. 
+ **APIs dan CLI** - Di luar konsol, Anda dapat mengelola pengaturan grup aturan terkelola saat Anda membuat dan memperbarui paket perlindungan (web ACL). 

# Mengambil daftar grup aturan terkelola
<a name="waf-using-managed-rule-groups-list"></a>

Anda dapat mengambil daftar grup aturan terkelola yang tersedia untuk Anda gunakan dalam paket perlindungan (web ACLs). Daftar ini mencakup yang berikut: 
+ Semua grup aturan Aturan AWS Terkelola.
+ Grup AWS Marketplace aturan yang telah Anda berlangganan. 
**catatan**  
Untuk informasi tentang berlangganan grup AWS Marketplace aturan, lihat[AWS Marketplace kelompok aturan](marketplace-rule-groups.md).

Saat Anda mengambil daftar grup aturan terkelola, daftar yang Anda dapatkan kembali bergantung pada antarmuka yang Anda gunakan: 
+ **Konsol** — Melalui konsol, Anda dapat melihat semua grup aturan terkelola, termasuk grup AWS Marketplace aturan yang belum berlangganan. Untuk yang belum berlangganan, antarmuka menyediakan tautan yang dapat Anda ikuti untuk berlangganan. 
+ **APIs dan CLI** — Di luar konsol, permintaan Anda hanya mengembalikan grup aturan yang tersedia untuk Anda gunakan. 

**Untuk mengambil daftar grup aturan terkelola**
+ **Konsol** — Selama proses pembuatan ACL web, pada halaman **Tambahkan aturan dan grup aturan, pilih Tambahkan grup** **aturan terkelola**. Di tingkat atas, nama penyedia terdaftar. Perluas setiap daftar penyedia untuk melihat daftar grup aturan terkelola. Untuk grup aturan berversi, informasi yang ditampilkan pada level ini adalah untuk versi default. Saat Anda menambahkan grup aturan terkelola ke paket perlindungan (web ACL), konsol akan mencantumkannya berdasarkan skema `<Vendor Name>-<Managed Rule Group Name>` penamaan. 
+ **API** —
  +  `ListAvailableManagedRuleGroups`
+ **CLI** —
  + `aws wafv2 list-available-managed-rule-groups --scope=<CLOUDFRONT|REGIONAL>`

# Mengambil aturan dalam grup aturan terkelola
<a name="waf-using-managed-rule-groups-rules"></a>

Anda dapat mengambil daftar aturan dalam grup aturan terkelola. Panggilan API dan CLI mengembalikan spesifikasi aturan yang dapat Anda referensikan dalam model JSON atau melalui. AWS CloudFormation

**Untuk mengambil daftar aturan dalam grup aturan terkelola**
+ **Konsol** 
  + (Opsi) Saat menambahkan grup aturan terkelola ke paket perlindungan (web ACL), Anda dapat memilih **Edit** untuk melihat aturan. 
  + (Opsi) Setelah Anda menambahkan grup aturan terkelola ke dalam paket perlindungan (web ACL) Anda, dari halaman **paket perlindungan (web ACLs)**, pilih paket perlindungan (web ACL) yang baru saja Anda buat. Ini membawa Anda ke halaman edit paket perlindungan (web ACL). 
    + Pilih **Aturan**. 
    + Pilih grup aturan yang ingin Anda lihat daftar aturan, lalu pilih **Edit**. AWS WAF menunjukkan daftar aturan dalam kelompok aturan. 
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Mengambil versi yang tersedia untuk grup aturan terkelola
<a name="waf-using-managed-rule-groups-versions"></a>

Versi yang tersedia dari grup aturan terkelola adalah versi yang belum dijadwalkan untuk kedaluwarsa. Daftar menunjukkan versi mana yang merupakan versi default saat ini untuk grup aturan.

**Untuk mengambil daftar versi yang tersedia dari grup aturan terkelola**
+ **Konsol** 
  + (Opsi) Saat Anda menambahkan grup aturan terkelola ke paket perlindungan (web ACL), pilih **Edit** untuk melihat informasi grup aturan. Perluas dropdown **Versi** untuk melihat daftar versi yang tersedia. 
  + (Opsi) Setelah menambahkan grup aturan terkelola ke dalam paket perlindungan (web ACL), pilih **Edit** pada paket perlindungan (web ACL), lalu pilih dan edit aturan grup aturan. Perluas dropdown **Versi** untuk melihat daftar versi yang tersedia. 
+ **API** —
  +  `ListAvailableManagedRuleGroupVersions`
+ **CLI** —
  +  `aws wafv2 list-available-managed-rule-group-versions --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol
<a name="waf-using-managed-rule-group"></a>

Bagian ini menjelaskan cara menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol. Panduan ini berlaku untuk semua grup aturan Aturan AWS Terkelola dan grup AWS Marketplace aturan tempat Anda berlangganan. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Untuk menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol**

**Untuk menambahkan grup aturan terkelola ke ACL web melalui konsol**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **paket perlindungan (web ACLs)** di panel navigasi. 

1. Di halaman **paket perlindungan (web ACLs)**, dari daftar paket perlindungan (web ACLs), pilih salah satu yang ingin Anda tambahkan grup aturan. Ini membawa Anda ke halaman untuk paket perlindungan tunggal (web ACL).

1. Di halaman paket perlindungan (web ACL) Anda, pilih tab **Aturan**. 

1. Di panel **Aturan**, pilih **Tambahkan aturan**, lalu pilih **Tambahkan grup aturan terkelola**. 

1. Di halaman **Tambahkan grup aturan terkelola**, perluas pilihan vendor grup aturan Anda, untuk melihat daftar grup aturan yang tersedia. 

1. Untuk setiap grup aturan yang ingin Anda tambahkan, pilih **Tambahkan ke paket perlindungan (web ACL)**. Jika Anda ingin mengubah konfigurasi paket perlindungan (web ACL) untuk grup aturan, pilih **Edit**, buat perubahan, lalu pilih **Simpan aturan**. Untuk informasi tentang opsi, lihat panduan pembuatan versi di [Menggunakan grup aturan terkelola berversi di AWS WAF](waf-managed-rule-groups-versioning.md) dan panduan untuk menggunakan grup aturan terkelola dalam paket perlindungan (web ACL) di. [Menggunakan pernyataan grup aturan terkelola di AWS WAF](waf-rule-statement-type-managed-rule-group.md)

1. Di bagian bawah halaman **Tambahkan grup aturan terkelola**, pilih **Tambahkan aturan**. 

1. Di halaman **Tetapkan prioritas aturan**, sesuaikan urutan aturan yang dijalankan sesuai kebutuhan, lalu pilih **Simpan**. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

Di halaman paket perlindungan (web ACL) Anda, grup aturan terkelola yang telah Anda tambahkan tercantum di bawah tab **Aturan**. 

Uji dan sesuaikan perubahan apa pun pada AWS WAF perlindungan Anda sebelum Anda menggunakannya untuk lalu lintas produksi. Untuk informasi, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

# Mendapatkan pemberitahuan tentang versi baru dan pembaruan ke grup aturan terkelola
<a name="waf-using-managed-rule-groups-sns-topic"></a>

Bagian ini menjelaskan cara menerima pemberitahuan Amazon SNS tentang versi dan pembaruan baru.

Penyedia grup aturan terkelola menggunakan pemberitahuan SNS untuk mengumumkan perubahan grup aturan, seperti versi baru yang akan datang dan pembaruan keamanan yang mendesak. 

**Cara berlangganan notifikasi SNS**  
Untuk berlangganan pemberitahuan untuk grup aturan, Anda membuat langganan Amazon SNS untuk topik Amazon SNS grup aturan ARN di Wilayah AS Timur (Virginia Utara) us-east-1. 

Untuk informasi tentang cara berlangganan, lihat [Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/dg/). 

**catatan**  
Buat langganan Anda untuk topik SNS hanya di Wilayah us-east-1.

Aturan Aturan AWS Terkelola berversi mengelompokkan semuanya menggunakan topik SNS yang sama Amazon Resource Name (ARN). Untuk informasi selengkapnya tentang pemberitahuan grup aturan Aturan AWS Terkelola, lihat[Pemberitahuan penyebaran](waf-managed-rule-groups-deployments-notifications.md).

**Di mana menemukan ARN topik Amazon SNS untuk grup aturan terkelola**  
AWS Grup aturan Aturan Terkelola menggunakan satu topik SNS ARN, sehingga Anda dapat mengambil topik ARN dari salah satu grup aturan dan berlangganan untuk mendapatkan pemberitahuan untuk semua grup aturan Aturan Terkelola yang menyediakan AWS pemberitahuan SNS. 
+ **Konsol** 
  + (Opsi) Saat Anda menambahkan grup aturan terkelola ke paket perlindungan (web ACL), pilih **Edit** untuk melihat informasi grup aturan, yang mencakup topik Amazon SNS grup aturan ARN. 
  + (Opsi) Setelah menambahkan grup aturan terkelola ke dalam paket perlindungan (web ACL), pilih **Edit** pada paket perlindungan (web ACL), lalu pilih dan edit aturan grup aturan untuk melihat topik Amazon SNS grup aturan ARN. 
+ **API** — `DescribeManagedRuleGroup`
+ **CLI** — `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

Untuk informasi umum tentang format notifikasi Amazon SNS dan cara memfilter notifikasi yang Anda terima, lihat [Mengurai format pesan](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) dan [kebijakan filter langganan Amazon SNS di](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. 

# Melacak kedaluwarsa versi grup aturan
<a name="waf-using-managed-rule-groups-expiration"></a>

Bagian ini menjelaskan cara memantau penjadwalan kedaluwarsa untuk grup aturan terkelola melalui Amazon. CloudWatch

Jika Anda menggunakan versi tertentu dari grup aturan, pastikan Anda tidak tetap menggunakan versi yang melewati tanggal kedaluwarsanya. 

**Tip**  
Mendaftar untuk pemberitahuan Amazon SNS untuk grup aturan terkelola, dan tetap mengikuti versi grup aturan terkelola. Anda akan mendapat manfaat dari sebagian besar up-to-date perlindungan dari kelompok aturan dan tetap berada di depan kedaluwarsa. Untuk informasi, lihat [Mendapatkan pemberitahuan tentang versi dan pembaruan baru](waf-using-managed-rule-groups-sns-topic.md).

**Untuk memantau penjadwalan kedaluwarsa untuk grup aturan terkelola melalui Amazon CloudWatch**

1. Di CloudWatch, cari metrik kedaluwarsa dari AWS WAF grup aturan terkelola Anda. Metrik memiliki nama dan dimensi metrik berikut: 
   + Nama metrik: DaysToExpiry
   + Dimensi metrik: RegionManagedRuleGroup,,Vendor, dan Version

   Jika Anda memiliki grup aturan terkelola dalam paket perlindungan (web ACL) yang mengevaluasi lalu lintas, Anda akan mendapatkan metrik untuk itu. Metrik tidak tersedia untuk grup aturan yang tidak Anda gunakan. 

1. Setel alarm pada metrik yang Anda minati, sehingga Anda diberi tahu tepat waktu untuk beralih ke versi grup aturan yang lebih baru. 

Untuk informasi tentang menggunakan CloudWatch metrik Amazon dan mengonfigurasi alarm, lihat Panduan Pengguna [Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/). 

# Contoh konfigurasi grup aturan terkelola di JSON dan YAMAL
<a name="waf-using-managed-rule-groups-json-yaml"></a>

Bagian ini memberikan contoh konfigurasi grup aturan terkelola.

Panggilan API dan CLI menampilkan daftar semua aturan dalam grup aturan terkelola yang dapat Anda referensikan dalam model JSON atau melaluinya. AWS CloudFormation

**JSON**  
Anda dapat mereferensikan dan memodifikasi grup aturan terkelola dalam pernyataan aturan menggunakan JSON. Daftar berikut menunjukkan kelompok aturan Aturan AWS Terkelola,`AWSManagedRulesCommonRuleSet`, dalam format JSON. RuleActionOverridesSpesifikasi mencantumkan aturan yang tindakannya telah diganti. Count 

```
{
    "Name": "AWS-AWSManagedRulesCommonRuleSet",
    "Priority": 0,
    "Statement": {
      "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesCommonRuleSet",
        "RuleActionOverrides": [                                                                                                                                            
          {                                                                                                                                                                
            "ActionToUse": {                                                                                                                                              
              "Count": {}                                                                                                                                                
            },                                                                                                                                                            
            "Name": "NoUserAgent_HEADER"                                                                                                                                 
          }                                                                                                                                                                
        ],
        "ExcludedRules": []
      }
    },
    "OverrideAction": {
      "None": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSManagedRulesCommonRuleSet"
    }
}
```

**YAML**  
Anda dapat mereferensikan dan memodifikasi grup aturan terkelola dalam pernyataan aturan menggunakan template CloudFormation YAMAL. Daftar berikut menunjukkan grup aturan Aturan AWS Terkelola,`AWSManagedRulesCommonRuleSet`, dalam CloudFormation templat. RuleActionOverridesSpesifikasi mencantumkan aturan yang tindakannya telah diganti. Count 

```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
  ManagedRuleGroupStatement:
    VendorName: AWS
    Name: AWSManagedRulesCommonRuleSet
    RuleActionOverrides:
    - ActionToUse:
        Count: {}
      Name: NoUserAgent_HEADER
    ExcludedRules: []
OverrideAction:
  None: {}
VisibilityConfig:
  SampledRequestsEnabled: true
  CloudWatchMetricsEnabled: true
  MetricName: AWS-AWSManagedRulesCommonRuleSet
```

# AWS Aturan Terkelola untuk AWS WAF
<a name="aws-managed-rule-groups"></a>

Bagian ini menjelaskan untuk AWS WAF apa Aturan AWS Terkelola.

AWS Aturan Terkelola untuk AWS WAF adalah layanan terkelola yang memberikan perlindungan terhadap kerentanan aplikasi atau lalu lintas yang tidak diinginkan lainnya. Anda memiliki opsi untuk memilih satu atau beberapa grup aturan dari Aturan AWS Terkelola untuk setiap ACL web, hingga batas unit kapasitas (WCU) paket perlindungan maksimum (web ACL). 

**Mengurangi positif palsu dan menguji perubahan grup aturan**  
Sebelum menggunakan kelompok aturan terkelola apa pun dalam produksi, ujilah di lingkungan non-produksi sesuai dengan panduan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md). Ikuti panduan pengujian dan penyetelan saat Anda menambahkan grup aturan ke paket perlindungan (web ACL), untuk menguji versi baru grup aturan, dan kapan pun grup aturan tidak menangani lalu lintas web Anda sesuai kebutuhan. 

**Tanggung jawab keamanan bersama**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**penting**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

# AWS Daftar grup aturan Aturan Terkelola
<a name="aws-managed-rule-groups-list"></a>

Bagian ini menyediakan daftar grup aturan Aturan AWS Terkelola yang tersedia.

Bagian ini menjelaskan versi terbaru dari grup aturan Aturan AWS Terkelola. Anda melihat ini di konsol saat menambahkan grup aturan terkelola ke paket perlindungan (web ACL). Melalui API, Anda dapat mengambil daftar ini bersama dengan grup AWS Marketplace aturan yang Anda berlangganan dengan menelepon. `ListAvailableManagedRuleGroups` 

**catatan**  
Untuk informasi tentang mengambil versi grup aturan Aturan AWS Terkelola, lihat[Mengambil versi yang tersedia untuk grup aturan terkelola](waf-using-managed-rule-groups-versions.md). 

Semua grup aturan Aturan AWS Terkelola mendukung pelabelan, dan daftar aturan di bagian ini menyertakan spesifikasi label. Anda dapat mengambil label untuk grup aturan terkelola melalui API dengan memanggil`DescribeManagedRuleGroup`. Label tercantum di AvailableLabels properti dalam tanggapan. Untuk informasi tentang pelabelan, lihat[Pelabelan permintaan web di AWS WAF](waf-labels.md).

Uji dan sesuaikan perubahan apa pun pada AWS WAF perlindungan Anda sebelum Anda menggunakannya untuk lalu lintas produksi. Untuk informasi, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**Contents**
+ [Kelompok aturan dasar](aws-managed-rule-groups-baseline.md)
  + [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Kelompok aturan terkelola perlindungan admin](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Kelompok aturan khusus kasus penggunaan](aws-managed-rule-groups-use-case.md)
  + [Grup aturan terkelola database SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [Grup aturan terkelola sistem operasi Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [Grup aturan terkelola aplikasi PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress kelompok aturan terkelola aplikasi](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Grup aturan reputasi IP](aws-managed-rule-groups-ip-rep.md)
  + [Grup aturan terkelola daftar reputasi IP Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [Grup aturan terkelola daftar IP anonim](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md)
  + [Pertimbangan untuk menggunakan grup aturan ini](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Label ditambahkan oleh grup aturan ini](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [Label token](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [Label ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Daftar aturan pencegahan penipuan pembuatan akun](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md)
  + [Pertimbangan untuk menggunakan grup aturan ini](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Label ditambahkan oleh grup aturan ini](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [Label token](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [Label ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Daftar aturan pencegahan pengambilalihan akun](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md)
  + [Tingkat perlindungan](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Pertimbangan untuk menggunakan grup aturan ini](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Label ditambahkan oleh grup aturan ini](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [Label token](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Label Kontrol Bot](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Daftar aturan Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md)
  + [Pertimbangan untuk menggunakan grup aturan ini](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Label ditambahkan oleh grup aturan ini](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [Label token](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [Label DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Daftar aturan DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Kelompok aturan dasar
<a name="aws-managed-rule-groups-baseline"></a>

Kelompok aturan yang dikelola dasar memberikan perlindungan umum terhadap berbagai ancaman umum. Pilih satu atau beberapa kelompok aturan ini untuk menetapkan perlindungan dasar untuk sumber daya Anda. 

## Grup aturan terkelola set aturan inti (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesCommonRuleSet`, WCU: 700

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Kelompok aturan set inti (CRS) berisi aturan yang umumnya berlaku untuk aplikasi web. [Ini memberikan perlindungan terhadap eksploitasi berbagai kerentanan, termasuk beberapa risiko tinggi dan kerentanan yang umum terjadi yang dijelaskan dalam publikasi OWASP seperti OWASP Top 10.](https://owasp.org/www-project-top-ten/) Pertimbangkan untuk menggunakan grup aturan ini untuk kasus AWS WAF penggunaan apa pun.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Memeriksa permintaan yang tidak memiliki `User-Agent` header HTTP. Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Memeriksa nilai `User-Agent` header umum yang menunjukkan bahwa permintaan tersebut adalah bot yang buruk. Contoh pola meliputi`nessus`, dan`nmap`. Untuk manajemen bot, lihat juga[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Memeriksa string kueri URI yang lebih dari 2.048 byte.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Memeriksa header cookie yang lebih dari 10.240 byte.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Memeriksa badan permintaan yang lebih dari 8 KB (8.192 byte).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Memeriksa jalur URI yang lebih dari 1.024 byte.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Memeriksa upaya untuk mengeksfiltrasi metadata Amazon EC2 dari badan permintaan.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Memeriksa upaya untuk mengekstrasi metadata Amazon EC2 dari cookie permintaan.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Memeriksa upaya untuk mengeksfiltrasi metadata Amazon EC2 dari jalur URI permintaan.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Memeriksa upaya untuk mengekstrasi metadata Amazon EC2 dari argumen kueri permintaan.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Memeriksa keberadaan eksploitasi Local File Inclusion (LFI) dalam argumen kueri. Contohnya termasuk upaya traversal jalur menggunakan teknik seperti`../../`.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Memeriksa keberadaan eksploitasi Local File Inclusion (LFI) di jalur URI. Contohnya termasuk upaya traversal jalur menggunakan teknik seperti`../../`.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Memeriksa keberadaan eksploitasi Local File Inclusion (LFI) di badan permintaan. Contohnya termasuk upaya traversal jalur menggunakan teknik seperti`../../`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Memeriksa permintaan yang jalur URI berisi ekstensi file sistem yang tidak aman untuk dibaca atau dijalankan. Contoh pola termasuk ekstensi seperti `.log` dan`.ini`.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Memeriksa permintaan yang argumen kuerinya berisi ekstensi file sistem yang tidak aman untuk dibaca atau dijalankan. Contoh pola termasuk ekstensi seperti `.log` dan`.ini`.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Memeriksa nilai semua parameter kueri untuk upaya mengeksploitasi RFI (Remote File Inclusion) dalam aplikasi web dengan menyematkan URLs yang berisi alamat. IPv4 Contohnya termasuk pola seperti`http://`,`https://`,`ftp://`,`ftps://`, dan`file://`, dengan header IPv4 host dalam upaya eksploitasi.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Memeriksa badan permintaan untuk upaya mengeksploitasi RFI (Remote File Inclusion) dalam aplikasi web dengan menyematkan URLs yang berisi alamat. IPv4 Contohnya termasuk pola seperti`http://`,`https://`,`ftp://`,`ftps://`, dan`file://`, dengan header IPv4 host dalam upaya eksploitasi.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Memeriksa jalur URI untuk upaya mengeksploitasi RFI (Remote File Inclusion) dalam aplikasi web dengan menyematkan URLs yang berisi alamat. IPv4 Contohnya termasuk pola seperti`http://`,`https://`,`ftp://`,`ftps://`, dan`file://`, dengan header IPv4 host dalam upaya eksploitasi.  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Memeriksa nilai-nilai header cookie untuk pola cross-site scripting (XSS) umum menggunakan built-in. AWS WAF [Pernyataan aturan serangan skrip lintas situs](waf-rule-statement-type-xss-match.md) Contoh pola termasuk skrip seperti`<script>alert("hello")</script>`.   Rincian pencocokan aturan di AWS WAF log tidak diisi untuk versi 2.0 dari grup aturan ini.   Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Memeriksa nilai-nilai argumen kueri untuk pola cross-site scripting (XSS) umum menggunakan built-in. AWS WAF [Pernyataan aturan serangan skrip lintas situs](waf-rule-statement-type-xss-match.md) Contoh pola termasuk skrip seperti`<script>alert("hello")</script>`.   Rincian pencocokan aturan di AWS WAF log tidak diisi untuk versi 2.0 dari grup aturan ini.   Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Memeriksa badan permintaan untuk pola cross-site scripting (XSS) umum menggunakan built-in. AWS WAF [Pernyataan aturan serangan skrip lintas situs](waf-rule-statement-type-xss-match.md) Contoh pola termasuk skrip seperti`<script>alert("hello")</script>`.   Rincian pencocokan aturan di AWS WAF log tidak diisi untuk versi 2.0 dari grup aturan ini.   Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Memeriksa nilai jalur URI untuk pola cross-site scripting (XSS) umum menggunakan built-in. AWS WAF [Pernyataan aturan serangan skrip lintas situs](waf-rule-statement-type-xss-match.md) Contoh pola termasuk skrip seperti`<script>alert("hello")</script>`.   Rincian pencocokan aturan di AWS WAF log tidak diisi untuk versi 2.0 dari grup aturan ini.   Tindakan aturan: Block label: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Kelompok aturan terkelola perlindungan admin
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan perlindungan Admin berisi aturan yang memungkinkan Anda memblokir akses eksternal ke halaman administratif yang terbuka. Ini mungkin berguna jika Anda menjalankan perangkat lunak pihak ketiga atau ingin mengurangi risiko aktor jahat mendapatkan akses administratif ke aplikasi Anda.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Memeriksa jalur URI yang umumnya dicadangkan untuk administrasi server web atau aplikasi. Contoh pola meliputi`sqlmanager`.  Tindakan aturan: Block label: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Kelompok aturan terkelola masukan buruk yang diketahui
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Kelompok aturan input buruk yang diketahui berisi aturan untuk memblokir pola permintaan yang diketahui tidak valid dan terkait dengan eksploitasi atau penemuan kerentanan. Ini dapat membantu mengurangi risiko aktor jahat menemukan aplikasi yang rentan.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Memeriksa kunci dan nilai header permintaan HTTP untuk pola yang menunjukkan upaya deserialisasi Java Remote Command Execution (RCE), seperti kerentanan Spring Core dan Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Contoh pola meliputi`(java.lang.Runtime).getRuntime().exec("whoami")`.  Aturan ini hanya memeriksa 8 KB pertama dari header permintaan atau 200 header pertama, batas mana pun yang tercapai terlebih dahulu, dan menggunakan opsi untuk penanganan konten yang terlalu besar. `Continue` Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Memeriksa badan permintaan untuk pola yang menunjukkan upaya deserialisasi Java Remote Command Execution (RCE), seperti kerentanan Spring Core dan Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Contoh pola meliputi`(java.lang.Runtime).getRuntime().exec("whoami")`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Memeriksa URI permintaan untuk pola yang menunjukkan upaya deserialisasi Java Remote Command Execution (RCE), seperti kerentanan Spring Core dan Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Contoh pola meliputi`(java.lang.Runtime).getRuntime().exec("whoami")`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Memeriksa string kueri permintaan untuk pola yang menunjukkan upaya deserialisasi Java Remote Command Execution (RCE), seperti kerentanan Spring Core dan Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Contoh pola meliputi`(java.lang.Runtime).getRuntime().exec("whoami")`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Memeriksa header host dalam permintaan untuk pola yang menunjukkan localhost. Contoh pola meliputi`localhost`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Memeriksa metode HTTP dalam permintaan untuk`PROPFIND`, yang merupakan metode yang mirip dengan`HEAD`, tetapi dengan niat ekstra untuk mengeksfiltrasi objek XHTML.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Memeriksa jalur URI untuk upaya mengakses jalur aplikasi web yang dapat dieksploitasi. Contoh pola termasuk jalur seperti`web-inf`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  [Memeriksa kunci dan nilai header permintaan untuk keberadaan kerentanan Log4j ([CVE-2021-44228, CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-44228)) dan melindungi terhadap upaya Eksekusi Kode [Jarak Jauh (RCE](https://www.cve.org/CVERecord?id=CVE-2021-45046)).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Contoh pola meliputi`${jndi:ldap://example.com/}`.  Aturan ini hanya memeriksa 8 KB pertama dari header permintaan atau 200 header pertama, batas mana pun yang tercapai terlebih dahulu, dan menggunakan opsi untuk penanganan konten yang terlalu besar. `Continue` Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  [Memeriksa string kueri untuk keberadaan kerentanan Log4j ([CVE-2021-44228, CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-44228)[) dan melindungi terhadap upaya Eksekusi Kode Jarak Jauh (RCE](https://www.cve.org/CVERecord?id=CVE-2021-45046)).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Contoh pola meliputi`${jndi:ldap://example.com/}`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  [Memeriksa tubuh untuk keberadaan kerentanan Log4j ([CVE-2021-44228, CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-44228)[) dan melindungi terhadap upaya Eksekusi Kode Jarak Jauh (RCE](https://www.cve.org/CVERecord?id=CVE-2021-45046)).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Contoh pola meliputi`${jndi:ldap://example.com/}`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  [Memeriksa jalur URI untuk keberadaan kerentanan Log4j ([CVE-2021-44228, CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-44228)[) dan melindungi terhadap upaya Eksekusi Kode Jarak Jauh (RCE](https://www.cve.org/CVERecord?id=CVE-2021-45046)).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Contoh pola meliputi`${jndi:ldap://example.com/}`.  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Memeriksa badan permintaan untuk pola yang menunjukkan keberadaan CVE-2025-55182.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses AWS Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `CONTINUE` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block label: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Kelompok aturan khusus kasus penggunaan
<a name="aws-managed-rule-groups-use-case"></a>

Kelompok aturan khusus kasus penggunaan memberikan perlindungan tambahan untuk banyak kasus penggunaan yang beragam AWS WAF . Pilih grup aturan yang berlaku untuk aplikasi Anda. 

## Grup aturan terkelola database SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan database SQL berisi aturan untuk memblokir pola permintaan yang terkait dengan eksploitasi database SQL, seperti serangan injeksi SQL. Ini dapat membantu mencegah injeksi jarak jauh dari kueri yang tidak sah. Evaluasi grup aturan ini untuk digunakan jika aplikasi Anda berinteraksi dengan database SQL.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Menggunakan built-in AWS WAF [Pernyataan aturan serangan injeksi SQL](waf-rule-statement-type-sqli-match.md), dengan tingkat sensitivitas diatur keLow, untuk memeriksa nilai semua parameter kueri untuk pola yang cocok dengan kode SQL berbahaya.  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Memeriksa nilai semua parameter kueri untuk pola yang cocok dengan kode SQL berbahaya. Pola yang diperiksa aturan ini tidak tercakup oleh aturan`SQLi_QUERYARGUMENTS`.  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Menggunakan built-in AWS WAF [Pernyataan aturan serangan injeksi SQL](waf-rule-statement-type-sqli-match.md), dengan tingkat sensitivitas disetel keLow, untuk memeriksa badan permintaan untuk pola yang cocok dengan kode SQL berbahaya.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Memeriksa badan permintaan untuk pola yang cocok dengan kode SQL berbahaya. Pola yang diperiksa aturan ini tidak tercakup oleh aturan`SQLi_BODY`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Menggunakan built-in AWS WAF [Pernyataan aturan serangan injeksi SQL](waf-rule-statement-type-sqli-match.md), dengan tingkat sensitivitas diatur keLow, untuk memeriksa header cookie permintaan untuk pola yang cocok dengan kode SQL berbahaya.  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Menggunakan built-in AWS WAF [Pernyataan aturan serangan injeksi SQL](waf-rule-statement-type-sqli-match.md), dengan tingkat sensitivitas diatur keLow, untuk memeriksa header cookie permintaan untuk pola yang cocok dengan kode SQL berbahaya.  Tindakan aturan: Block Label: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Grup aturan terkelola sistem operasi Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan sistem operasi Linux berisi aturan yang memblokir pola permintaan yang terkait dengan eksploitasi kerentanan khusus untuk Linux, termasuk serangan Local File Inclusion (LFI) khusus Linux. Ini dapat membantu mencegah serangan yang mengekspos konten file atau menjalankan kode yang seharusnya tidak dapat diakses oleh penyerang. Anda harus mengevaluasi grup aturan ini jika ada bagian dari aplikasi Anda yang berjalan di Linux. Anda harus menggunakan grup aturan ini bersama dengan grup [Sistem operasi POSIX](#aws-managed-rule-groups-use-case-posix-os) aturan.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| LFI\$1URIPATH |  Memeriksa jalur permintaan untuk upaya mengeksploitasi kerentanan Local File Inclusion (LFI) dalam aplikasi web. Contoh pola termasuk file seperti`/proc/version`, yang dapat memberikan informasi sistem operasi kepada penyerang.  Tindakan aturan: Block Label: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Memeriksa nilai querystring untuk upaya mengeksploitasi kerentanan Local File Inclusion (LFI) dalam aplikasi web. Contoh pola termasuk file seperti`/proc/version`, yang dapat memberikan informasi sistem operasi kepada penyerang.  Tindakan aturan: Block Label: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Memeriksa header permintaan untuk upaya mengeksploitasi kerentanan Local File Inclusion (LFI) dalam aplikasi web. Contoh pola termasuk file seperti`/proc/version`, yang dapat memberikan informasi sistem operasi kepada penyerang.  Aturan ini hanya memeriksa 8 KB pertama dari header permintaan atau 200 header pertama, batas mana pun yang tercapai terlebih dahulu, dan menggunakan opsi untuk penanganan konten yang terlalu besar. `Continue` Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Grup aturan terkelola sistem operasi POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesUnixRuleSet`, WCU: 100

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan sistem operasi POSIX berisi aturan yang memblokir pola permintaan yang terkait dengan eksploitasi kerentanan khusus untuk POSIX dan sistem operasi seperti POSIX, termasuk serangan Local File Inclusion (LFI). Ini dapat membantu mencegah serangan yang mengekspos konten file atau menjalankan kode yang seharusnya tidak dapat diakses oleh penyerang. Anda harus mengevaluasi grup aturan ini jika ada bagian dari aplikasi Anda yang berjalan pada POSIX atau sistem operasi seperti POSIX, termasuk Linux, AIX, HP-UX, macOS, Solaris, FreeBSD, dan OpenBSD. 

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Memeriksa nilai string kueri untuk upaya mengeksploitasi injeksi perintah, LFI, dan kerentanan traversal jalur dalam aplikasi web yang berjalan pada sistem Unix. Contohnya termasuk pola seperti `echo $HOME` dan`echo $PATH`.  Tindakan aturan: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Memeriksa badan permintaan untuk upaya mengeksploitasi injeksi perintah, LFI, dan kerentanan traversal jalur dalam aplikasi web yang berjalan pada sistem Unix. Contohnya termasuk pola seperti `echo $HOME` dan`echo $PATH`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Memeriksa semua header permintaan untuk upaya mengeksploitasi injeksi perintah, LFI, dan kerentanan traversal jalur dalam aplikasi web yang berjalan pada sistem Unix. Contohnya termasuk pola seperti `echo $HOME` dan`echo $PATH`.  Aturan ini hanya memeriksa 8 KB pertama dari header permintaan atau 200 header pertama, batas mana pun yang tercapai terlebih dahulu, dan menggunakan opsi untuk penanganan konten yang terlalu besar. `Continue` Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Grup aturan terkelola sistem operasi Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan sistem operasi Windows berisi aturan yang memblokir pola permintaan yang terkait dengan eksploitasi kerentanan khusus untuk Windows, seperti eksekusi perintah jarak jauh. PowerShell Ini dapat membantu mencegah eksploitasi kerentanan yang memungkinkan penyerang menjalankan perintah yang tidak sah atau menjalankan kode berbahaya. Evaluasi grup aturan ini jika ada bagian dari aplikasi Anda yang berjalan pada sistem operasi Windows.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Memeriksa header cookie permintaan untuk upaya injeksi WindowsShell perintah dalam aplikasi web. Pola kecocokan mewakili WindowsShell perintah. Contoh pola termasuk `\|\|nslookup` dan`;cmd`.  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Memeriksa nilai semua parameter kueri untuk upaya injeksi WindowsShell perintah dalam aplikasi web. Pola kecocokan mewakili WindowsShell perintah. Contoh pola termasuk `\|\|nslookup` dan`;cmd`.  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Memeriksa badan permintaan untuk upaya injeksi WindowsShell perintah dalam aplikasi web. Pola kecocokan mewakili WindowsShell perintah. Contoh pola termasuk `\|\|nslookup` dan`;cmd`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Memeriksa header cookie permintaan untuk upaya injeksi PowerShell perintah dalam aplikasi web. Pola kecocokan mewakili PowerShell perintah. Misalnya, `Invoke-Expression`.  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Memeriksa nilai semua parameter kueri untuk upaya injeksi PowerShell perintah dalam aplikasi web. Pola kecocokan mewakili PowerShell perintah. Misalnya, `Invoke-Expression`.  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Memeriksa badan permintaan untuk upaya injeksi PowerShell perintah dalam aplikasi web. Pola kecocokan mewakili PowerShell perintah. Misalnya, `Invoke-Expression`.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Grup aturan terkelola aplikasi PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesPHPRuleSet`, WCU: 100

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan aplikasi PHP berisi aturan yang memblokir pola permintaan yang terkait dengan eksploitasi kerentanan khusus untuk penggunaan bahasa pemrograman PHP, termasuk injeksi fungsi PHP yang tidak aman. Ini dapat membantu mencegah eksploitasi kerentanan yang memungkinkan penyerang menjalankan kode atau perintah dari jarak jauh yang tidak diizinkan. Evaluasi grup aturan ini jika PHP diinstal pada server mana pun yang berinteraksi dengan aplikasi Anda.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Memeriksa semua header untuk upaya injeksi kode skrip PHP. Contoh pola termasuk fungsi seperti `fsockopen` dan variabel `$_GET` superglobal.  Aturan ini hanya memeriksa 8 KB pertama dari header permintaan atau 200 header pertama, batas mana pun yang tercapai terlebih dahulu, dan menggunakan opsi untuk penanganan konten yang terlalu besar. `Continue` Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Memeriksa semuanya setelah yang pertama `?` di URL permintaan, mencari upaya injeksi kode skrip PHP. Contoh pola termasuk fungsi seperti `fsockopen` dan variabel `$_GET` superglobal.  Tindakan aturan: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Memeriksa nilai-nilai badan permintaan untuk upaya injeksi kode skrip PHP. Contoh pola termasuk fungsi seperti `fsockopen` dan variabel `$_GET` superglobal.  Aturan ini hanya memeriksa badan permintaan hingga batas ukuran tubuh untuk paket perlindungan (web ACL) dan jenis sumber daya. Untuk Application Load Balancer dan AWS AppSync, limit ditetapkan pada 8 KB. Untuk CloudFront API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, batas defaultnya adalah 16 KB dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Aturan ini menggunakan `Continue` opsi untuk penanganan konten yang terlalu besar. Untuk informasi selengkapnya, lihat [Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Memeriksa jalur permintaan untuk upaya injeksi kode skrip PHP. Contoh pola termasuk fungsi seperti `fsockopen` dan variabel `$_GET` superglobal.  Tindakan aturan: Block Label: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress kelompok aturan terkelola aplikasi
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan WordPress aplikasi berisi aturan yang memblokir pola permintaan yang terkait dengan eksploitasi kerentanan khusus untuk WordPress situs. Anda harus mengevaluasi kelompok aturan ini jika Anda menjalankanWordPress. Kelompok aturan ini harus digunakan bersama dengan kelompok [Aplikasi PHP](#aws-managed-rule-groups-use-case-php-app) aturan [Database SQL](#aws-managed-rule-groups-use-case-sql-db) dan.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Memeriksa string permintaan permintaan untuk WordPress perintah berisiko tinggi yang dapat dieksploitasi dalam instalasi atau plugin yang rentan. Contoh pola termasuk perintah seperti`do-reset-wordpress`.  Tindakan aturan: Block Label: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Memeriksa jalur URI permintaan untuk WordPress file seperti`xmlrpc.php`, yang diketahui memiliki kerentanan yang mudah dieksploitasi.  Tindakan aturan: Block Label: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Grup aturan reputasi IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Grup aturan reputasi IP memblokir permintaan berdasarkan alamat IP sumber mereka. 

**catatan**  
Aturan ini menggunakan alamat IP sumber dari asal permintaan web. Jika Anda memiliki lalu lintas yang melewati satu atau lebih proxy atau penyeimbang beban, asal permintaan web akan berisi alamat proxy terakhir, dan bukan alamat asal klien. 

Pilih satu atau beberapa grup aturan ini jika Anda ingin mengurangi eksposur terhadap lalu lintas bot atau upaya eksploitasi, atau jika Anda memberlakukan pembatasan geografis pada konten Anda. Untuk manajemen bot, lihat juga[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).

Grup aturan dalam kategori ini tidak menyediakan pemberitahuan versi atau pembaruan SNS. 

## Grup aturan terkelola daftar reputasi IP Amazon
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**catatan**  
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan daftar reputasi IP Amazon berisi aturan yang didasarkan pada intelijen ancaman internal Amazon. Ini berguna jika Anda ingin memblokir alamat IP yang biasanya terkait dengan bot atau ancaman lainnya. Memblokir alamat IP ini dapat membantu mengurangi bot dan mengurangi risiko aktor jahat menemukan aplikasi yang rentan.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| AWSManagedIPReputationList |  Memeriksa alamat IP yang telah diidentifikasi sebagai aktif terlibat dalam aktivitas berbahaya. AWS WAF mengumpulkan daftar alamat IP dari berbagai sumber, termasuk MadPot, alat intelijen ancaman yang digunakan Amazon untuk melindungi pelanggan dari kejahatan dunia maya. Untuk informasi lebih lanjut tentang MadPot, lihat[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Tindakan aturan: Block Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Memeriksa koneksi dari alamat IP yang melakukan pengintaian terhadap sumber daya. AWS  Tindakan aturan: Block Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Memeriksa alamat IP yang telah diidentifikasi sebagai aktif terlibat dalam aktivitas DDo S.  Tindakan aturan: Count Label: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Grup aturan terkelola daftar IP anonim
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nama:`AWSManagedRulesAnonymousIpList`, WCU: 50

**catatan**  
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan daftar IP Anonim berisi aturan untuk memblokir permintaan dari layanan yang mengizinkan pengaburan identitas penampil. Ini termasuk permintaan dariVPNs, proxy, node Tor, dan penyedia hosting web. Grup aturan ini berguna jika Anda ingin memfilter pemirsa yang mungkin mencoba menyembunyikan identitas mereka dari aplikasi Anda. Memblokir alamat IP dari layanan ini dapat membantu mengurangi bot dan menghindari pembatasan geografis.

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| AnonymousIPList |  Memeriksa daftar alamat IP sumber yang diketahui menganonimkan informasi klien, seperti node TOR, proxy sementara, dan layanan masking lainnya.  Tindakan aturan: Block Label: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Memeriksa daftar alamat IP dari web hosting dan penyedia cloud, yang cenderung tidak menghasilkan lalu lintas pengguna akhir. Daftar IP tidak termasuk alamat AWS IP. Tindakan aturan: Block Label: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan
<a name="aws-managed-rule-groups-acfp"></a>

Bagian ini menjelaskan apa yang AWS WAF dilakukan kelompok aturan pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP).

VendorName:`AWS`, Nama:`AWSManagedRulesACFPRuleSet`, WCU: 50

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) mengelola label grup aturan dan mengelola permintaan yang mungkin merupakan bagian dari upaya pembuatan akun palsu. Grup aturan melakukan ini dengan memeriksa permintaan pembuatan akun yang dikirim klien ke titik akhir pendaftaran dan pembuatan akun aplikasi Anda. 

Grup aturan ACFP memeriksa upaya pembuatan akun dengan berbagai cara, untuk memberi Anda visibilitas dan kontrol atas interaksi yang berpotensi berbahaya. Grup aturan menggunakan token permintaan untuk mengumpulkan informasi tentang browser klien dan tentang tingkat interaktivitas manusia dalam pembuatan permintaan pembuatan akun. Grup aturan mendeteksi dan mengelola upaya pembuatan akun massal dengan menggabungkan permintaan berdasarkan alamat IP dan sesi klien, dan menggabungkan dengan informasi akun yang disediakan seperti alamat fisik dan nomor telepon. Selain itu, grup aturan mendeteksi dan memblokir pembuatan akun baru menggunakan kredensil yang telah disusupi, yang membantu melindungi postur keamanan aplikasi Anda dan pengguna baru Anda. 

## Pertimbangan untuk menggunakan grup aturan ini
<a name="aws-managed-rule-groups-acfp-using"></a>

Grup aturan ini memerlukan konfigurasi khusus, yang mencakup spesifikasi pendaftaran akun aplikasi dan jalur pembuatan akun Anda. Kecuali jika disebutkan, aturan dalam grup aturan ini memeriksa semua permintaan yang dikirim klien Anda ke dua titik akhir ini. Untuk mengonfigurasi dan mengimplementasikan grup aturan ini, lihat panduan di[AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md). 

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md).

Untuk menjaga biaya Anda turun dan memastikan Anda mengelola lalu lintas web Anda seperti yang Anda inginkan, gunakan kelompok aturan ini sesuai dengan panduan di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

Grup aturan ini tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito. Anda tidak dapat mengaitkan paket perlindungan (web ACL) yang menggunakan grup aturan ini dengan kumpulan pengguna, dan Anda tidak dapat menambahkan grup aturan ini ke paket perlindungan (web ACL) yang sudah dikaitkan dengan kumpulan pengguna.

## Label ditambahkan oleh grup aturan ini
<a name="aws-managed-rule-groups-acfp-labels"></a>

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 

### Label token
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien. 

Untuk informasi tentang token dan manajemen token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).

Untuk informasi tentang komponen label yang dijelaskan di sini, lihat[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md).

**Label sesi klien**  
Label `awswaf:managed:token:id:identifier` berisi pengenal unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya. 

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label sidik jari browser**  
Label `awswaf:managed:token:fingerprint:fingerprint-identifier` berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label status token: Awalan namespace label**  
Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya. 

Setiap label status token dimulai dengan salah satu awalan namespace berikut: 
+ `awswaf:managed:token:`— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token. 
+ `awswaf:managed:captcha:`— Digunakan untuk melaporkan status informasi CAPTCHA token. 

**Label status token: Nama label**  
Mengikuti awalan, sisa label memberikan informasi status token terperinci: 
+ `accepted`— Token permintaan hadir dan berisi yang berikut: 
  + Tantangan yang valid atau solusi CAPTCHA.
  + Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.
  + Spesifikasi domain yang valid untuk paket perlindungan (web ACL). 

  Contoh: Label `awswaf:managed:token:accepted` menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.
+ `rejected`— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan. 

  Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya. 
  + `rejected:not_solved`— Token tidak memiliki tantangan atau solusi CAPTCHA. 
  + `rejected:expired`— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda. 
  + `rejected:domain_mismatch`— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda. 
  + `rejected:invalid`— AWS WAF tidak bisa membaca token yang ditunjukkan. 

  Contoh: Label `awswaf:managed:captcha:rejected` dan `awswaf:managed:captcha:rejected:expired` bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).
+ `absent`— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya. 

  Contoh: Label `awswaf:managed:captcha:absent` menunjukkan bahwa permintaan tidak memiliki token. 

### Label ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Grup aturan ini menghasilkan label dengan awalan namespace `awswaf:managed:aws:acfp:` diikuti oleh namespace kustom dan nama label. Grup aturan dapat menambahkan lebih dari satu label ke permintaan. 

Anda dapat mengambil semua label untuk grup aturan melalui API dengan menelepon`DescribeManagedRuleGroup`. Label tercantum di `AvailableLabels` properti dalam tanggapan. 

## Daftar aturan pencegahan penipuan pembuatan akun
<a name="aws-managed-rule-groups-acfp-rules"></a>

Bagian ini mencantumkan aturan ACFP `AWSManagedRulesACFPRuleSet` dan label yang ditambahkan aturan grup aturan ke permintaan web.

Semua aturan dalam grup aturan ini memerlukan token permintaan web, kecuali untuk dua yang pertama `UnsupportedCognitoIDP` dan`AllRequests`. Untuk deskripsi informasi yang disediakan token, lihat[AWS WAF karakteristik token](waf-tokens-details.md). 

Kecuali jika disebutkan, aturan dalam grup aturan ini memeriksa semua permintaan yang dikirim klien Anda ke jalur halaman pendaftaran akun dan pembuatan akun yang Anda berikan dalam konfigurasi grup aturan. Untuk informasi tentang mengonfigurasi grup aturan ini, lihat[AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md). 

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| UnsupportedCognitoIDP |  Memeriksa lalu lintas web yang menuju ke kumpulan pengguna Amazon Cognito. ACFP tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito, dan aturan ini membantu memastikan bahwa aturan grup aturan ACFP lainnya tidak digunakan untuk mengevaluasi lalu lintas kumpulan pengguna. Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:unsupported:cognito_idp` dan `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Menerapkan tindakan aturan untuk permintaan yang mengakses jalur halaman pendaftaran. Anda mengonfigurasi jalur halaman pendaftaran saat mengonfigurasi grup aturan.  Secara default, aturan ini berlaku Challenge untuk permintaan. Dengan menerapkan tindakan ini, aturan memastikan bahwa klien memperoleh token tantangan sebelum permintaan apa pun dievaluasi oleh aturan lainnya di grup aturan.  Pastikan bahwa pengguna akhir Anda memuat jalur halaman pendaftaran sebelum mereka mengirimkan permintaan pembuatan akun.  Token ditambahkan ke permintaan oleh integrasi aplikasi klien SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk akuisisi token yang paling efisien, kami sangat menyarankan Anda menggunakan integrasi aplikasi SDKs. Untuk informasi selengkapnya, lihat [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).  Tindakan aturan: Challenge Label: Tidak ada  | 
| RiskScoreHigh |  Memeriksa permintaan pembuatan akun dengan alamat IP atau faktor lain yang dianggap sangat mencurigakan. Evaluasi ini biasanya didasarkan pada beberapa faktor yang berkontribusi, yang dapat Anda lihat di `risk_score` label yang ditambahkan grup aturan ke permintaan. Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:risk_score:high` dan `awswaf:managed:aws:acfp:RiskScoreHigh`  Aturan mungkin juga berlaku `medium` atau label skor `low` risiko untuk permintaan.  Jika AWS WAF tidak berhasil mengevaluasi skor risiko untuk permintaan web, aturan menambahkan label `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Selain itu, aturan menambahkan label dengan namespace `awswaf:managed:aws:acfp:risk_score:contributor:` yang mencakup status evaluasi skor risiko dan hasil untuk kontributor skor risiko tertentu, seperti reputasi IP dan evaluasi kredensional yang dicuri.  | 
| SignalCredentialCompromised |  Mencari database kredensi yang dicuri untuk kredensi yang dikirimkan dalam permintaan pembuatan akun.  Aturan ini memastikan bahwa klien baru menginisialisasi akun mereka dengan postur keamanan yang positif.   Anda dapat menambahkan respons pemblokiran khusus, untuk menjelaskan masalah kepada pengguna akhir Anda dan memberi tahu mereka cara melanjutkan. Untuk informasi, lihat [Contoh ACFP: Respons khusus untuk kredensil yang dikompromikan](waf-acfp-control-example-compromised-credentials.md).  Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:signal:credential_compromised` dan `awswaf:managed:aws:acfp:SignalCredentialCompromised`  Grup aturan menerapkan label terkait berikut, tetapi tidak mengambil tindakan terhadapnya, karena tidak semua permintaan dalam pembuatan akun akan memiliki kredensil: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Memeriksa token permintaan pembuatan akun untuk data yang menunjukkan interaktivitas manusia abnormal dengan aplikasi. Interaktivitas manusia dideteksi melalui interaksi seperti gerakan mouse dan penekanan tombol. Jika halaman memiliki bentuk HTML, interaktivitas manusia mencakup interaksi dengan formulir.   Aturan ini hanya memeriksa permintaan ke jalur pembuatan akun dan hanya dievaluasi jika Anda telah menerapkan integrasi aplikasi. SDKs Implementasi SDK secara pasif menangkap interaktivitas manusia dan menyimpan informasi dalam token permintaan. Untuk informasi selengkapnya, lihat [AWS WAF karakteristik token](waf-tokens-details.md) dan [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).  Tindakan aturan: CAPTCHA Label: Tidak ada. Aturan menentukan kecocokan berdasarkan berbagai faktor, sehingga tidak ada label individual yang berlaku untuk setiap skenario kecocokan yang mungkin. Grup aturan dapat menerapkan satu atau beberapa label berikut ke permintaan:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Memeriksa indikator bahwa browser klien mungkin otomatis.  Tindakan aturan: Block  Label: `awswaf:managed:aws:acfp:signal:automated_browser` dan `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Memeriksa token permintaan untuk data interogasi browser yang tidak konsisten. Untuk informasi selengkapnya, lihat [AWS WAF karakteristik token](waf-tokens-details.md). Tindakan aturan: CAPTCHA  Label: `awswaf:managed:aws:acfp:signal:browser_inconsistency` dan `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Memeriksa volume permintaan pembuatan akun yang tinggi yang dikirim dari alamat IP individual. Volume tinggi lebih dari 20 permintaan dalam jendela 10 menit.  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Untuk volume tinggi, beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.  Tindakan aturan: CAPTCHA Label: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` dan `awswaf:managed:aws:acfp:VolumetricIpHigh`  Aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 15 permintaan per jendela 10 menit) dan volume rendah (lebih dari 10 permintaan per jendela 10 menit), tetapi tidak mengambil tindakan pada mereka: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` dan`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Memeriksa volume permintaan pembuatan akun yang tinggi yang dikirim dari sesi klien individual. Volume tinggi lebih dari 10 permintaan dalam jendela 30 menit.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` dan `awswaf:managed:aws:acfp:VolumetricSessionHigh`  Grup aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 5 permintaan per jendela 30 menit) dan volume rendah (lebih dari 1 permintaan per jendela 30 menit), tetapi tidak mengambil tindakan terhadapnya: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` dan`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Memeriksa permintaan pembuatan akun tingkat tinggi dari satu sesi klien yang menggunakan nama pengguna yang berbeda. Ambang batas untuk evaluasi tinggi lebih dari 10 permintaan dalam 30 menit.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` dan `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  Grup aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 5 permintaan per jendela 30 menit) dan volume rendah (lebih dari 1 permintaan per jendela 30 menit) permintaan traversal nama pengguna, tetapi tidak mengambil tindakan terhadapnya: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` dan`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Memeriksa volume tinggi permintaan pembuatan akun yang menggunakan nomor telepon yang sama. Ambang batas untuk evaluasi tinggi lebih dari 10 permintaan dalam 30 menit.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` dan `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` Grup aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 5 permintaan per jendela 30 menit) dan volume rendah (lebih dari 1 permintaan per jendela 30 menit), tetapi tidak mengambil tindakan terhadapnya: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` dan`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Memeriksa volume permintaan pembuatan akun yang tinggi yang menggunakan alamat fisik yang sama. Ambang batas untuk evaluasi tinggi lebih dari 100 permintaan per jendela 30 menit.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` dan `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Memeriksa volume rendah dan menengah permintaan pembuatan akun yang menggunakan alamat fisik yang sama. Ambang batas untuk evaluasi menengah lebih dari 50 permintaan per jendela 30 menit, dan untuk evaluasi rendah lebih dari 10 permintaan per jendela 30 menit.  Aturan tersebut menerapkan tindakan untuk volume sedang atau rendah.  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: CAPTCHA Label: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` dan `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Memeriksa volume tinggi permintaan pembuatan akun yang berhasil untuk satu alamat IP. Aturan ini menggabungkan respons sukses dari sumber daya yang dilindungi ke permintaan pembuatan akun. Ambang batas untuk evaluasi tinggi lebih dari 10 permintaan per jendela 10 menit.  Aturan ini membantu melindungi terhadap upaya pembuatan akun massal. Ini memiliki ambang batas yang lebih rendah dari aturan`VolumetricIpHigh`, yang hanya menghitung permintaan.  Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.  Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari alamat IP, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari alamat IP yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.   AWS WAF hanya mengevaluasi aturan ini dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim upaya pembuatan akun yang lebih berhasil daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` dan `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  Grup aturan juga menerapkan label terkait berikut ke permintaan, tanpa tindakan terkait apa pun. Semua hitungan untuk jendela 10 menit. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`untuk lebih dari 5 permintaan yang berhasil, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` untuk lebih dari 1 permintaan yang berhasil, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` untuk lebih dari 10 permintaan gagal, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` untuk lebih dari 5 permintaan gagal, dan `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` untuk lebih dari 1 permintaan gagal.   | 
| VolumetricSessionSuccessfulResponse |  Memeriksa volume respons keberhasilan yang rendah dari sumber daya yang dilindungi ke permintaan pembuatan akun yang dikirim dari satu sesi klien. Ini membantu melindungi dari upaya pembuatan akun massal. Ambang batas untuk evaluasi rendah lebih dari 1 permintaan per jendela 30 menit.  Ini membantu melindungi dari upaya pembuatan akun massal. Aturan ini menggunakan ambang batas yang lebih rendah dari aturan`VolumetricSessionHigh`, yang hanya melacak permintaan.  Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.  Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari sesi klien, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari sesi klien yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.   AWS WAF hanya mengevaluasi aturan ini dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim lebih banyak upaya pembuatan akun yang gagal daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` dan `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  Grup aturan juga menerapkan label terkait berikut untuk permintaan. Semua hitungan adalah untuk jendela 30 menit. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`untuk lebih dari 10 permintaan yang berhasil, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` untuk lebih dari 5 permintaan yang berhasil, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` untuk lebih dari 10 permintaan gagal, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` untuk lebih dari 5 permintaan gagal, dan `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` untuk lebih dari 1 permintaan gagal.   | 
| VolumetricSessionTokenReuseIp |  Memeriksa permintaan pembuatan akun untuk penggunaan token tunggal di antara lebih dari 5 alamat IP yang berbeda.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` dan `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)
<a name="aws-managed-rule-groups-atp"></a>

Bagian ini menjelaskan apa yang dilakukan kelompok aturan pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP).

VendorName:`AWS`, Nama:`AWSManagedRulesATPRuleSet`, WCU: 50

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Pencegahan Pengambilalihan Akun Kontrol AWS WAF Penipuan (ATP) mengelola label grup aturan dan mengelola permintaan yang mungkin merupakan bagian dari upaya pengambilalihan akun berbahaya. Grup aturan melakukan ini dengan memeriksa upaya login yang dikirim klien ke titik akhir login aplikasi Anda. 
+ **Inspeksi permintaan** — ATP memberi Anda visibilitas dan kontrol atas upaya login anomali dan upaya login yang menggunakan kredensi curian, untuk mencegah pengambilalihan akun yang dapat menyebabkan aktivitas penipuan. ATP memeriksa kombinasi email dan kata sandi terhadap basis data kredensialnya yang dicuri, yang diperbarui secara berkala karena kredensil baru yang bocor ditemukan di web gelap. ATP mengumpulkan data berdasarkan alamat IP dan sesi klien, untuk mendeteksi dan memblokir klien yang mengirim terlalu banyak permintaan yang bersifat mencurigakan. 
+ **Inspeksi respons** — Untuk CloudFront distribusi, selain memeriksa permintaan masuk masuk, grup aturan ATP memeriksa respons aplikasi Anda terhadap upaya login, untuk melacak tingkat keberhasilan dan kegagalan. Dengan menggunakan informasi ini, ATP dapat memblokir sementara sesi klien atau alamat IP yang memiliki terlalu banyak kegagalan login. AWS WAF melakukan inspeksi respons secara asinkron, jadi ini tidak meningkatkan latensi dalam lalu lintas web Anda. 

## Pertimbangan untuk menggunakan grup aturan ini
<a name="aws-managed-rule-groups-atp-using"></a>

Grup aturan ini memerlukan konfigurasi khusus. Untuk mengonfigurasi dan mengimplementasikan grup aturan ini, lihat panduan di[AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md). 

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md).

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Untuk menjaga biaya Anda turun dan memastikan Anda mengelola lalu lintas web Anda seperti yang Anda inginkan, gunakan kelompok aturan ini sesuai dengan panduan di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

Grup aturan ini tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito. Anda tidak dapat mengaitkan paket perlindungan (web ACL) yang menggunakan grup aturan ini dengan kumpulan pengguna, dan Anda tidak dapat menambahkan grup aturan ini ke paket perlindungan (web ACL) yang sudah dikaitkan dengan kumpulan pengguna.

## Label ditambahkan oleh grup aturan ini
<a name="aws-managed-rule-groups-atp-labels"></a>

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 

### Label token
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien. 

Untuk informasi tentang token dan manajemen token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).

Untuk informasi tentang komponen label yang dijelaskan di sini, lihat[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md).

**Label sesi klien**  
Label `awswaf:managed:token:id:identifier` berisi pengenal unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya. 

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label sidik jari browser**  
Label `awswaf:managed:token:fingerprint:fingerprint-identifier` berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label status token: Awalan namespace label**  
Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya. 

Setiap label status token dimulai dengan salah satu awalan namespace berikut: 
+ `awswaf:managed:token:`— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token. 
+ `awswaf:managed:captcha:`— Digunakan untuk melaporkan status informasi CAPTCHA token. 

**Label status token: Nama label**  
Mengikuti awalan, sisa label memberikan informasi status token terperinci: 
+ `accepted`— Token permintaan hadir dan berisi yang berikut: 
  + Tantangan yang valid atau solusi CAPTCHA.
  + Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.
  + Spesifikasi domain yang valid untuk paket perlindungan (web ACL). 

  Contoh: Label `awswaf:managed:token:accepted` menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.
+ `rejected`— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan. 

  Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya. 
  + `rejected:not_solved`— Token tidak memiliki tantangan atau solusi CAPTCHA. 
  + `rejected:expired`— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda. 
  + `rejected:domain_mismatch`— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda. 
  + `rejected:invalid`— AWS WAF tidak bisa membaca token yang ditunjukkan. 

  Contoh: Label `awswaf:managed:captcha:rejected` dan `awswaf:managed:captcha:rejected:expired` bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).
+ `absent`— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya. 

  Contoh: Label `awswaf:managed:captcha:absent` menunjukkan bahwa permintaan tidak memiliki token. 

### Label ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Grup aturan terkelola ATP menghasilkan label dengan awalan namespace `awswaf:managed:aws:atp:` diikuti dengan namespace kustom dan nama label. 

Grup aturan dapat menambahkan salah satu label berikut selain label yang dicatat dalam daftar aturan:
+ `awswaf:managed:aws:atp:signal:credential_compromised`— Menunjukkan bahwa kredensil yang dikirimkan dalam permintaan ada di database kredensi yang dicuri. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Hanya tersedia untuk CloudFront distribusi Amazon yang dilindungi. Menunjukkan bahwa sesi klien telah mengirim beberapa permintaan yang menggunakan sidik jari TLS yang mencurigakan. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`— Menunjukkan penggunaan token tunggal di antara lebih dari 5 alamat IP yang berbeda. Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum label diterapkan. 

Anda dapat mengambil semua label untuk grup aturan melalui API dengan memanggil`DescribeManagedRuleGroup`. Label tercantum di `AvailableLabels` properti dalam tanggapan. 

## Daftar aturan pencegahan pengambilalihan akun
<a name="aws-managed-rule-groups-atp-rules"></a>

Bagian ini mencantumkan aturan ATP `AWSManagedRulesATPRuleSet` dan label yang ditambahkan aturan grup aturan ke permintaan web.

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 


| Nama aturan | Deskripsi dan label | 
| --- | --- | 
| UnsupportedCognitoIDP | Memeriksa lalu lintas web yang menuju ke kumpulan pengguna Amazon Cognito. ATP tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito, dan aturan ini membantu memastikan bahwa aturan grup aturan ATP lainnya tidak digunakan untuk mengevaluasi lalu lintas kumpulan pengguna. Tindakan aturan: Block Label: `awswaf:managed:aws:atp:unsupported:cognito_idp` dan `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Memeriksa volume permintaan yang tinggi yang dikirim dari alamat IP individual. Volume tinggi lebih dari 20 permintaan dalam jendela 10 menit.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Untuk volume tinggi, beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` dan `awswaf:managed:aws:atp:VolumetricIpHigh`  Grup aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 15 permintaan per jendela 10 menit) dan volume rendah (lebih dari 10 permintaan per jendela 10 menit), tetapi tidak mengambil tindakan pada mereka: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` dan`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Memeriksa volume permintaan yang tinggi yang dikirim dari sesi klien individual. Ambang batas lebih dari 20 permintaan per jendela 30 menit.  Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:session` dan `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan kredensyal curian.  Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` dan `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan traversal nama pengguna.  Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` dan `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Memeriksa beberapa permintaan dengan nama pengguna yang sama yang menggunakan traversal kata sandi.  Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` dan `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan sesi jangka panjang. Ambang batas lebih dari 6 jam lalu lintas yang memiliki setidaknya satu permintaan login setiap 30 menit. Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:long_session` dan `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Memeriksa permintaan dengan token yang ditolak oleh manajemen AWS WAF token.  Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: Block Label: Tidak ada. Untuk memeriksa token yang ditolak, gunakan aturan pencocokan label agar sesuai dengan label:`awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Memeriksa permintaan dengan kredensyal yang tidak memiliki nama pengguna atau kata sandi.  Tindakan aturan: Block Label: `awswaf:managed:aws:atp:signal:missing_credential` dan `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Memeriksa alamat IP yang baru-baru ini menjadi sumber tingkat upaya login yang gagal terlalu tinggi. Volume tinggi lebih dari 10 permintaan login gagal dari alamat IP dalam jendela 10 menit.  Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.  Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari alamat IP, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari alamat IP yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.   AWS WAF hanya mengevaluasi aturan ini dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim lebih banyak upaya login yang gagal daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.   Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` dan `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  Grup aturan juga menerapkan label terkait berikut ke permintaan, tanpa tindakan terkait apa pun. Semua hitungan untuk jendela 10 menit. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`untuk lebih dari 5 permintaan gagal, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` untuk lebih dari 1 permintaan gagal, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` untuk lebih dari 10 permintaan yang berhasil, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` untuk lebih dari 5 permintaan yang berhasil, dan `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` untuk lebih dari 1 permintaan yang berhasil.   | 
| VolumetricSessionFailedLoginResponseHigh |  Memeriksa sesi klien yang baru-baru ini menjadi sumber tingkat upaya login yang gagal terlalu tinggi. Volume tinggi lebih dari 10 permintaan login gagal dari sesi klien dalam jendela 30 menit.  Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.  Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari sesi klien, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari sesi klien yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.   AWS WAF hanya mengevaluasi aturan ini dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon.   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim lebih banyak upaya login yang gagal daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.   Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` dan `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  Grup aturan juga menerapkan label terkait berikut ke permintaan, tanpa tindakan terkait apa pun. Semua hitungan adalah untuk jendela 30 menit. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`untuk lebih dari 5 permintaan gagal, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` untuk lebih dari 1 permintaan gagal, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` untuk lebih dari 10 permintaan yang berhasil, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` untuk lebih dari 5 permintaan yang berhasil, dan `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` untuk lebih dari 1 permintaan yang berhasil.   | 

# AWS WAF Grup aturan Bot Control
<a name="aws-managed-rule-groups-bot"></a>

Bagian ini menjelaskan apa yang dilakukan grup aturan terkelola Bot Control.

VendorName:`AWS`, Nama:`AWSManagedRulesBotControlRuleSet`, WCU: 50

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda perlu meminta klasifikasi bot baru untuk Kontrol Bot atau memerlukan informasi tambahan yang tidak tercakup di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).

Grup aturan terkelola Bot Control menyediakan aturan yang mengelola permintaan dari bot. Bot dapat mengkonsumsi sumber daya berlebih, mengubah metrik bisnis, menyebabkan downtime, dan melakukan aktivitas berbahaya. 

## Tingkat perlindungan
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

Grup aturan terkelola Bot Control menyediakan dua tingkat perlindungan yang dapat Anda pilih: 
+ **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi. 
+ **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan kecepatan dan CAPTCHA dan tantangan browser latar belakang. 
  + **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. 
  + **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan Anda. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan-aturan ini. 

Tingkat perlindungan yang ditargetkan dan pernyataan aturan AWS WAF berbasis tarif keduanya memberikan pembatasan tarif. Untuk perbandingan kedua opsi, lihat[Opsi untuk membatasi tarif dalam aturan berbasis tarif dan aturan Kontrol Bot yang ditargetkan](waf-rate-limiting-options.md).

## Pertimbangan untuk menggunakan grup aturan ini
<a name="aws-managed-rule-groups-bot-using"></a>

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md).

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Untuk menjaga biaya Anda turun dan memastikan Anda mengelola lalu lintas web Anda seperti yang Anda inginkan, gunakan kelompok aturan ini sesuai dengan panduan di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

Kami secara berkala memperbarui model pembelajaran mesin (ML) kami untuk aturan berbasis MP tingkat perlindungan yang ditargetkan, untuk meningkatkan prediksi bot. Aturan berbasis ML memiliki nama yang dimulai dengan. `TGT_ML_` Jika Anda melihat perubahan mendadak dan substansional dalam prediksi bot yang dibuat oleh aturan ini, hubungi kami melalui manajer akun Anda atau buka kasus di [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/). 

## Label ditambahkan oleh grup aturan ini
<a name="aws-managed-rule-groups-bot-labels"></a>

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 

### Label token
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien. 

Untuk informasi tentang token dan manajemen token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).

Untuk informasi tentang komponen label yang dijelaskan di sini, lihat[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md).

**Label sesi klien**  
Label `awswaf:managed:token:id:identifier` berisi pengenal unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya. 

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label sidik jari browser**  
Label `awswaf:managed:token:fingerprint:fingerprint-identifier` berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label status token: Awalan namespace label**  
Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya. 

Setiap label status token dimulai dengan salah satu awalan namespace berikut: 
+ `awswaf:managed:token:`— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token. 
+ `awswaf:managed:captcha:`— Digunakan untuk melaporkan status informasi CAPTCHA token. 

**Label status token: Nama label**  
Mengikuti awalan, sisa label memberikan informasi status token terperinci: 
+ `accepted`— Token permintaan hadir dan berisi yang berikut: 
  + Tantangan yang valid atau solusi CAPTCHA.
  + Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.
  + Spesifikasi domain yang valid untuk paket perlindungan (web ACL). 

  Contoh: Label `awswaf:managed:token:accepted` menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.
+ `rejected`— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan. 

  Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya. 
  + `rejected:not_solved`— Token tidak memiliki tantangan atau solusi CAPTCHA. 
  + `rejected:expired`— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda. 
  + `rejected:domain_mismatch`— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda. 
  + `rejected:invalid`— AWS WAF tidak bisa membaca token yang ditunjukkan. 

  Contoh: Label `awswaf:managed:captcha:rejected` dan `awswaf:managed:captcha:rejected:expired` bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).
+ `absent`— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya. 

  Contoh: Label `awswaf:managed:captcha:absent` menunjukkan bahwa permintaan tidak memiliki token. 

### Label Kontrol Bot
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Grup aturan terkelola Bot Control menghasilkan label dengan awalan namespace `awswaf:managed:aws:bot-control:` diikuti oleh namespace kustom dan nama label. Grup aturan dapat menambahkan lebih dari satu label ke permintaan. 

Setiap label mencerminkan temuan aturan Kontrol Bot: 
+ `awswaf:managed:aws:bot-control:bot:`— Informasi tentang bot yang terkait dengan permintaan. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`— Nama bot, jika tersedia, misalnya, ruang nama khusus`bot:name:slurp`,`bot:name:googlebot`, dan. `bot:name:pocket_parser` 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Mengidentifikasi bot tertentu menggunakan token produk RFC dari tanda tangan WBA. Ini digunakan untuk membuat aturan kustom granular untuk bot tertentu. Misalnya, izinkan `GoogleBot` tetapi batasi kecepatan perayap lain. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— Kategori bot, seperti yang didefinisikan oleh AWS WAF, misalnya, `bot:category:search_engine` dan`bot:category:content_fetcher`. 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Untuk bot yang menggunakan Amazon Bedrock Agent Core saja. Label ini berisi hash buram yang secara unik mengidentifikasi AWS akun yang memiliki agen. Gunakan label ini untuk membuat aturan khusus yang mengizinkan, memblokir, atau membatasi kecepatan bot dari AWS akun tertentu tanpa mengekspos akun di log. IDs 
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Diterapkan ketika validasi Web Bot Authentication (WBA) dilakukan berdasarkan permintaan. Sufiks status menunjukkan hasil verifikasi:
    + `web_bot_auth:verified`— Tanda tangan berhasil divalidasi terhadap direktori kunci publik
    + `web_bot_auth:invalid`— Tanda tangan hadir tetapi validasi kriptografi gagal
    + `web_bot_auth:expired`— Tanda tangan menggunakan kunci kriptografi yang kedaluwarsa
    + `web_bot_auth:unknown_bot`— ID kunci tidak ditemukan di direktori kunci
**catatan**  
Ketika `web_bot_auth:verified` label ada, `TGT_TokenAbsent` aturan `CategoryAI` dan tidak cocok, memungkinkan host WBA yang diverifikasi untuk melanjutkan.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`— Penerbit bot, misalnya,`bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`— Digunakan untuk menunjukkan bot yang mengidentifikasi dirinya sendiri dan bahwa Bot Control telah dapat memverifikasi. Ini digunakan untuk bot umum yang diinginkan, dan dapat berguna bila dikombinasikan dengan label kategori seperti `bot:category:search_engine` atau label nama seperti`bot:name:googlebot`. 
**catatan**  
Bot Control menggunakan alamat IP dari asal permintaan web untuk membantu menentukan apakah bot diverifikasi. Anda tidak dapat mengonfigurasinya untuk menggunakan konfigurasi IP AWS WAF yang diteruskan, untuk memeriksa sumber alamat IP yang berbeda. Jika Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda dapat menambahkan aturan yang berjalan sebelum grup aturan Kontrol Bot untuk membantu hal ini. Konfigurasikan aturan baru Anda untuk menggunakan alamat IP yang diteruskan dan secara eksplisit mengizinkan permintaan dari bot yang diverifikasi. Untuk informasi tentang menggunakan alamat IP yang diteruskan, lihat. [Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md)
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Mengidentifikasi vendor atau operator bot terverifikasi. Saat ini hanya tersedia untuk Agentcore. Gunakan untuk membuat aturan khusus yang mengizinkan atau memblokir vendor bot tertentu terlepas dari nama bot individu.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`— Digunakan untuk menunjukkan bot yang mirip dengan bot terverifikasi, tetapi itu mungkin langsung dipanggil oleh pengguna akhir. Kategori bot ini diperlakukan oleh aturan Kontrol Bot seperti bot yang tidak diverifikasi. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`— Digunakan untuk menunjukkan bot yang mirip dengan bot terverifikasi, tetapi digunakan oleh platform pengembang untuk skrip, misalnya Google Apps Script. Kategori bot ini diperlakukan oleh aturan Kontrol Bot seperti bot yang tidak diverifikasi. 
  + `awswaf:managed:aws:bot-control:bot:unverified`— Digunakan untuk menunjukkan bot yang mengidentifikasi dirinya sendiri, sehingga dapat diberi nama dan dikategorikan, tetapi itu tidak mempublikasikan informasi yang dapat digunakan untuk memverifikasi identitasnya secara independen. Jenis tanda tangan bot ini dapat dipalsukan, dan diperlakukan sebagai tidak diverifikasi. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `— Digunakan untuk label yang khusus untuk perlindungan yang ditargetkan Bot Control. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>`dan `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> ` — Digunakan untuk memberikan informasi tambahan tentang permintaan dalam beberapa situasi. 

  Berikut ini adalah contoh label sinyal. Ini bukan daftar lengkap:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`— Menunjukkan penyedia layanan cloud (CSP) untuk permintaan tersebut. Contohnya CSPs termasuk `aws` untuk infrastruktur Amazon Web Services, `gcp` untuk infrastruktur Google Cloud Platform (GCP), `azure` untuk layanan cloud Microsoft Azure, dan `oracle` untuk layanan Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`— Menunjukkan deteksi ekstensi browser yang membantu dalam otomatisasi, seperti Selenium IDE. 

    Label ini ditambahkan setiap kali pengguna memiliki jenis ekstensi yang diinstal, bahkan jika mereka tidak aktif menggunakannya. Jika Anda menerapkan aturan pencocokan label untuk ini, perhatikan kemungkinan positif palsu ini dalam logika aturan dan setelan tindakan Anda. Misalnya, Anda mungkin menggunakan CAPTCHA tindakan sebagai ganti Block atau Anda dapat menggabungkan kecocokan label ini dengan kecocokan label lainnya, untuk meningkatkan keyakinan Anda bahwa otomatisasi sedang digunakan.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`— Menunjukkan bahwa permintaan berisi indikator bahwa browser klien mungkin otomatis.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Menunjukkan bahwa AWS WAF token permintaan berisi indikator bahwa browser klien mungkin otomatis.

Anda dapat mengambil semua label untuk grup aturan melalui API dengan menelepon`DescribeManagedRuleGroup`. Label tercantum di `AvailableLabels` properti dalam tanggapan. 

Grup aturan terkelola Bot Control menerapkan label ke satu set bot yang dapat diverifikasi yang biasanya diizinkan. Grup aturan tidak memblokir bot terverifikasi ini. Jika mau, Anda dapat memblokirnya, atau subset dari mereka dengan menulis aturan kustom yang menggunakan label yang diterapkan oleh grup aturan terkelola Bot Control. Untuk informasi lebih lanjut tentang ini dan contoh, lihat[AWS WAF Kontrol Bot](waf-bot-control.md).

## Daftar aturan Bot Control
<a name="aws-managed-rule-groups-bot-rules"></a>

Bagian ini mencantumkan aturan Kontrol Bot.

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda perlu meminta klasifikasi bot baru untuk Kontrol Bot atau memerlukan informasi tambahan yang tidak tercakup di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).


| Nama aturan | Deskripsi | 
| --- | --- | 
| CategoryAdvertising |  Memeriksa bot yang digunakan untuk tujuan periklanan. Misalnya, Anda mungkin menggunakan layanan iklan pihak ketiga yang perlu mengakses situs web Anda secara terprogram.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block Label: `awswaf:managed:aws:bot-control:bot:category:advertising` dan `awswaf:managed:aws:bot-control:CategoryAdvertising`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryArchiver |  Memeriksa bot yang digunakan untuk tujuan pengarsipan. Bot ini merayapi web dan menangkap konten untuk tujuan membuat arsip. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:archiver` dan `awswaf:managed:aws:bot-control:CategoryArchiver`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryContentFetcher |  Memeriksa bot yang mengunjungi situs web aplikasi atas nama pengguna, untuk mengambil konten seperti umpan RSS atau untuk memverifikasi atau memvalidasi konten Anda.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` dan `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryEmailClient |  Periksa bot yang memeriksa tautan dalam email yang mengarah ke situs web aplikasi. Ini dapat mencakup bot yang dijalankan oleh bisnis dan penyedia email, untuk memverifikasi tautan dalam email dan menandai email yang mencurigakan. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:email_client` dan `awswaf:managed:aws:bot-control:CategoryEmailClient`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryHttpLibrary |  Memeriksa permintaan yang dihasilkan oleh bot dari perpustakaan HTTP dari berbagai bahasa pemrograman. Ini mungkin termasuk permintaan API yang Anda pilih untuk diizinkan atau dipantau. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:http_library` dan `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryLinkChecker |  Memeriksa bot yang memeriksa tautan yang rusak.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:link_checker` dan `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryMiscellaneous |  Memeriksa bot lain-lain yang tidak cocok dengan kategori lain.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` dan `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryMonitoring |  Memeriksa bot yang digunakan untuk tujuan pemantauan. Misalnya, Anda mungkin menggunakan layanan pemantauan bot yang secara berkala melakukan ping ke situs web aplikasi Anda untuk memantau hal-hal seperti kinerja dan waktu aktif. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:monitoring` dan `awswaf:managed:aws:bot-control:CategoryMonitoring`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryPagePreview |  Memeriksa bot yang menghasilkan pratinjau halaman dan pratinjau tautan saat konten dibagikan di platform perpesanan, media sosial, atau alat kolaborasi. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:page_preview` dan `awswaf:managed:aws:bot-control:CategoryPagePreview`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryScrapingFramework |  Memeriksa bot dari kerangka kerja pengikisan web, yang digunakan untuk mengotomatiskan perayapan dan mengekstrak konten dari situs web.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` dan `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategorySearchEngine |  Memeriksa bot mesin pencari, yang merayapi situs web untuk mengindeks konten dan membuat informasi tersedia untuk hasil mesin pencari. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:search_engine` dan `awswaf:managed:aws:bot-control:CategorySearchEngine`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategorySecurity |  Memeriksa bot yang memindai aplikasi web untuk kerentanan atau yang melakukan audit keamanan. Misalnya, Anda mungkin menggunakan vendor keamanan pihak ketiga yang memindai, memantau, atau mengaudit keamanan aplikasi web Anda. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:security` dan `awswaf:managed:aws:bot-control:CategorySecurity`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategorySeo |  Memeriksa bot yang digunakan untuk optimasi mesin pencari. Misalnya, Anda mungkin menggunakan alat mesin pencari yang merayapi situs Anda untuk membantu Anda meningkatkan peringkat mesin pencari Anda.  Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:seo` dan `awswaf:managed:aws:bot-control:CategorySeo`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategorySocialMedia |  Periksa bot yang digunakan oleh platform media sosial untuk memberikan ringkasan konten saat pengguna membagikan konten Anda. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:social_media` dan `awswaf:managed:aws:bot-control:CategorySocialMedia`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryWebhooks |  Memeriksa bot yang mengirimkan notifikasi otomatis dan pembaruan data dari satu aplikasi ke aplikasi lainnya melalui callback HTTP. Tindakan aturan, hanya diterapkan pada bot yang tidak diverifikasi: Block  Label: `awswaf:managed:aws:bot-control:bot:category:webhooks` dan `awswaf:managed:aws:bot-control:CategoryWebhooks`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak mengambil tindakan, tetapi menambahkan nama bot dan pelabelan kategori ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| CategoryAI |  Memeriksa bot kecerdasan buatan (AI).  Aturan ini menerapkan tindakan untuk semua kecocokan, terlepas dari apakah bot diverifikasi atau tidak diverifikasi. Tindakan aturan: Block  Label: `awswaf:managed:aws:bot-control:bot:category:ai` dan `awswaf:managed:aws:bot-control:CategoryAI`  Untuk bot terverifikasi, grup aturan cocok dengan aturan ini dan mengambil tindakan. Ini juga menambahkan nama bot dan pelabelan kategori, pelabelan aturan, ditambah label. `awswaf:managed:aws:bot-control:bot:verified`   | 
| SignalAutomatedBrowser |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk indikator bahwa browser klien mungkin otomatis. Browser otomatis dapat digunakan untuk pengujian atau pengikisan. Misalnya, Anda dapat menggunakan jenis browser ini untuk memantau atau memverifikasi situs web aplikasi Anda. Tindakan aturan: Block  Label: `awswaf:managed:aws:bot-control:signal:automated_browser` dan `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak menerapkan label sinyal atau aturan apa pun.  | 
| SignalKnownBotDataCenter |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk indikator pusat data yang biasanya digunakan oleh bot.  Tindakan aturan: Block  Label: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` dan `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak menerapkan label sinyal atau aturan apa pun.  | 
| SignalNonBrowserUserAgent |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk string agen pengguna yang tampaknya bukan dari browser web. Kategori ini dapat mencakup permintaan API.  Tindakan aturan: Block  Label: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` dan `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Untuk bot terverifikasi, grup aturan tidak cocok dengan aturan ini dan tidak menerapkan label sinyal atau aturan apa pun.  | 
| TGT\$1VolumetricIpTokenAbsent |  Memeriksa permintaan yang bukan dari bot terverifikasi dengan 5 permintaan atau lebih dari satu klien dalam 5 menit terakhir yang tidak menyertakan token tantangan yang valid. Untuk informasi tentang token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).  Aturan ini mungkin cocok dengan permintaan yang memiliki token jika permintaan dari klien yang sama baru-baru ini kehilangan token.  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi.   Aturan ini menangani token yang hilang secara berbeda dari pelabelan token:`awswaf:managed:token:absent`. Pelabelan token memberi label permintaan individual yang tidak memiliki token. Aturan ini mempertahankan jumlah permintaan yang kehilangan token mereka untuk setiap IP klien, dan cocok dengan klien yang melampaui batas.  Tindakan aturan: Challenge  Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` dan `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Memeriksa permintaan yang bukan dari bot terverifikasi yang tidak menyertakan token tantangan yang valid. Untuk informasi tentang token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).  Tindakan aturan: Count  Label: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Memeriksa jumlah permintaan yang sangat tinggi yang bukan dari bot terverifikasi yang berasal dari satu sesi klien dalam jendela 5 menit. Evaluasi ini didasarkan pada perbandingan dengan garis dasar volumetrik standar yang AWS WAF mempertahankan penggunaan pola lalu lintas historis.  Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).  Aturan ini dapat memakan waktu 5 menit untuk mulai berlaku setelah Anda mengaktifkannya. Bot Control mengidentifikasi perilaku anomali dalam lalu lintas web Anda dengan membandingkan lalu lintas saat ini dengan garis dasar lalu lintas yang dihitung. AWS WAF   Tindakan aturan: CAPTCHA  Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` dan `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  Grup aturan menerapkan label berikut ke permintaan volume menengah dan volume rendah yang berada di atas ambang minimum. Untuk level ini, aturan tidak mengambil tindakan, terlepas dari apakah klien diverifikasi: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` dan`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Memeriksa jumlah permintaan yang sangat tinggi yang bukan dari bot terverifikasi yang berasal dari satu sesi klien dalam jendela 5 menit. Evaluasi ini didasarkan pada perbandingan dengan garis dasar volumetrik standar yang AWS WAF mempertahankan penggunaan pola lalu lintas historis.  Aturan ini menunjukkan kepercayaan maksimum dalam penilaian. Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).  Aturan ini dapat memakan waktu 5 menit untuk mulai berlaku setelah Anda mengaktifkannya. Bot Control mengidentifikasi perilaku anomali dalam lalu lintas web Anda dengan membandingkan lalu lintas saat ini dengan garis dasar lalu lintas yang dihitung. AWS WAF   Tindakan aturan: Block  Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` dan `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Memeriksa token permintaan yang bukan dari bot terverifikasi untuk indikator bahwa browser klien mungkin otomatis. Untuk informasi selengkapnya, lihat [AWS WAF karakteristik token](waf-tokens-details.md). Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: CAPTCHA  Label: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` dan `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Memeriksa permintaan yang bukan dari bot terverifikasi yang menunjukkan keberadaan ekstensi browser yang membantu dalam otomatisasi, seperti Selenium IDE. Aturan ini cocok setiap kali pengguna memasang ekstensi jenis ini, meskipun mereka tidak menggunakannya secara aktif.  Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: CAPTCHA  Label: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` dan `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk data interogasi browser yang tidak konsisten. Untuk informasi selengkapnya, lihat [AWS WAF karakteristik token](waf-tokens-details.md). Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh integrasi aplikasi SDKs dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Tindakan aturan: CAPTCHA  Label: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` dan `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk perilaku anomali yang konsisten dengan aktivitas bot terdistribusi dan terkoordinasi. Tingkat aturan menunjukkan tingkat kepercayaan bahwa sekelompok permintaan adalah peserta dalam serangan terkoordinasi.   Aturan ini hanya berjalan jika grup aturan dikonfigurasi untuk menggunakan pembelajaran mesin (ML). Untuk informasi tentang mengonfigurasi pilihan ini, lihat[Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda](waf-bot-control-rg-using.md).   Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   AWS WAF melakukan inspeksi ini melalui analisis pembelajaran mesin statistik lalu lintas situs web. AWS WAF menganalisis lalu lintas web setiap beberapa menit dan mengoptimalkan analisis untuk mendeteksi bot intensitas rendah dan durasi panjang yang didistribusikan di banyak alamat IP.  Aturan-aturan ini mungkin cocok dengan sejumlah kecil permintaan sebelum menentukan bahwa serangan terkoordinasi tidak sedang berlangsung. Jadi jika Anda hanya melihat satu atau dua kecocokan, hasilnya mungkin positif palsu. Jika Anda melihat banyak pertandingan keluar dari aturan ini, maka Anda mungkin mengalami serangan terkoordinasi.   Aturan ini dapat memakan waktu hingga 24 jam untuk mulai berlaku setelah Anda mengaktifkan aturan yang ditargetkan Bot Control dengan opsi ML. Bot Control mengidentifikasi perilaku anomali dalam lalu lintas web Anda dengan membandingkan lalu lintas saat ini dengan garis dasar lalu lintas yang telah dihitung. AWS WAF AWS WAF hanya menghitung baseline saat Anda menggunakan aturan yang ditargetkan Bot Control dengan opsi ML, dan itu bisa memakan waktu hingga 24 jam untuk menetapkan baseline yang bermakna.   Kami secara berkala memperbarui model pembelajaran mesin kami untuk aturan ini, untuk meningkatkan prediksi bot. Jika Anda melihat perubahan mendadak dan substansional dalam prediksi bot yang dibuat oleh aturan ini, hubungi manajer akun Anda atau buka kasing di [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/).  Tindakan aturan:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Label: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` dan `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk penggunaan satu token di antara beberapa IPs dalam 5 menit terakhir. Setiap tingkat memiliki batas pada jumlah yang berbeda IPs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` dan `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk penggunaan satu token di beberapa negara dalam 5 menit terakhir. Setiap tingkat memiliki batasan jumlah negara yang berbeda:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` dan `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Memeriksa permintaan yang bukan dari bot terverifikasi untuk penggunaan token tunggal di beberapa nomor sistem otonom jaringan (ASNs) dalam 5 menit terakhir. Setiap tingkat memiliki batas pada jumlah yang berbeda ASNs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.   Tindakan aturan:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Label: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` dan `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi
<a name="aws-managed-rule-groups-anti-ddos"></a>

Bagian ini menjelaskan grup aturan AWS WAF terkelola untuk perlindungan terhadap serangan Distributed Denial of Service (DDoS).

VendorName:`AWS`, Nama:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 

Grup aturan terkelola Anti- DDo S menyediakan aturan yang mendeteksi dan mengelola permintaan yang berpartisipasi atau kemungkinan berpartisipasi dalam serangan DDo S. Selain itu, grup aturan memberi label pada semua permintaan yang dievaluasi selama peristiwa yang mungkin terjadi. 

## Pertimbangan untuk menggunakan grup aturan ini
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Grup aturan ini menyediakan mitigasi lunak dan keras untuk permintaan web yang datang ke sumber daya yang berada di bawah DDo serangan S. Untuk mendeteksi tingkat ancaman yang berbeda, Anda dapat menyesuaikan sensitivitas kedua jenis mitigasi ke tingkat kecurigaan tinggi, sedang, atau rendah.
+ **Mitigasi lunak** - Grup aturan dapat mengirim tantangan browser senyap sebagai tanggapan atas permintaan yang dapat menangani tantangan pengantara. Untuk informasi tentang persyaratan untuk menjalankan tantangan, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md).
+ **Mitigasi keras** - Grup aturan dapat memblokir permintaan sama sekali. 

Untuk informasi selengkapnya tentang cara kerja grup aturan dan cara mengonfigurasinya, lihat[Perlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md). 

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat [Mitigasi ancaman cerdas di AWS WAF](waf-managed-protections.md).

Untuk meminimalkan biaya dan mengoptimalkan manajemen lalu lintas, gunakan kelompok aturan ini sesuai dengan pedoman praktik terbaik. Lihat, [Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

## Label ditambahkan oleh grup aturan ini
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat [Pelabelan permintaan web](waf-labels.md) dan[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). 

### Label token
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien. 

Untuk informasi tentang token dan manajemen token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).

Untuk informasi tentang komponen label yang dijelaskan di sini, lihat[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md).

**Label sesi klien**  
Label `awswaf:managed:token:id:identifier` berisi pengenal unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya. 

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label sidik jari browser**  
Label `awswaf:managed:token:fingerprint:fingerprint-identifier` berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label status token: Awalan namespace label**  
Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya. 

Setiap label status token dimulai dengan salah satu awalan namespace berikut: 
+ `awswaf:managed:token:`— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token. 
+ `awswaf:managed:captcha:`— Digunakan untuk melaporkan status informasi CAPTCHA token. 

**Label status token: Nama label**  
Mengikuti awalan, sisa label memberikan informasi status token terperinci: 
+ `accepted`— Token permintaan hadir dan berisi yang berikut: 
  + Tantangan yang valid atau solusi CAPTCHA.
  + Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.
  + Spesifikasi domain yang valid untuk paket perlindungan (web ACL). 

  Contoh: Label `awswaf:managed:token:accepted` menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.
+ `rejected`— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan. 

  Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya. 
  + `rejected:not_solved`— Token tidak memiliki tantangan atau solusi CAPTCHA. 
  + `rejected:expired`— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda. 
  + `rejected:domain_mismatch`— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda. 
  + `rejected:invalid`— AWS WAF tidak bisa membaca token yang ditunjukkan. 

  Contoh: Label `awswaf:managed:captcha:rejected` dan `awswaf:managed:captcha:rejected:expired` bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).
+ `absent`— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya. 

  Contoh: Label `awswaf:managed:captcha:absent` menunjukkan bahwa permintaan tidak memiliki token. 

### Label DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

Grup aturan terkelola Anti- DDo S menghasilkan label dengan awalan namespace `awswaf:managed:aws:anti-ddos:` diikuti oleh namespace khusus dan nama label. Setiap label mencerminkan beberapa aspek dari temuan DDo Anti-S.

Grup aturan dapat menambahkan lebih dari satu label berikut ke permintaan, selain label yang ditambahkan oleh aturan individual. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Menunjukkan bahwa permintaan akan ke sumber daya yang dilindungi dimana grup aturan terkelola mendeteksi peristiwa DDo S. Kelompok aturan terkelola mendeteksi peristiwa ketika lalu lintas ke sumber daya memiliki penyimpangan yang signifikan dari garis dasar lalu lintas sumber daya. 

  Grup aturan menambahkan label ini ke setiap permintaan yang masuk ke sumber daya saat berada dalam status ini, sehingga lalu lintas yang sah dan lalu lintas serangan mendapatkan label ini. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`— Menunjukkan bahwa permintaan tersebut berasal dari sumber yang dicurigai berpartisipasi dalam suatu acara. 

  Selain label umum, grup aturan menambahkan label berikut yang menunjukkan tingkat kepercayaan. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Menunjukkan kemungkinan permintaan serangan DDo S.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Menunjukkan permintaan serangan DDo S yang sangat mungkin.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Menunjukkan permintaan serangan DDo S yang sangat mungkin.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`— Menunjukkan bahwa URI permintaan mampu menangani Challenge tindakan. Grup aturan terkelola menerapkan ini untuk setiap permintaan yang URI tidak dikecualikan. URIs dikecualikan jika mereka cocok dengan ekspresi reguler URI yang dikecualikan grup aturan. 

  Untuk informasi tentang persyaratan permintaan yang dapat mengambil tantangan browser senyap, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md).

Anda dapat mengambil semua label untuk grup aturan melalui API dengan menelepon`DescribeManagedRuleGroup`. Label tercantum di `AvailableLabels` properti dalam tanggapan. 

Grup aturan terkelola Anti- DDo S menerapkan label ke permintaan, tetapi tidak selalu menindaklanjutinya. Manajemen permintaan tergantung pada kepercayaan yang dengannya kelompok aturan menentukan partisipasi dalam serangan. Jika mau, Anda dapat mengelola permintaan yang diberi label grup aturan dengan menambahkan aturan pencocokan label yang berjalan setelah grup aturan. Untuk informasi lebih lanjut tentang ini dan contoh, lihat[AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi](waf-anti-ddos.md).

## Daftar aturan DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

Bagian ini mencantumkan aturan DDo Anti-S.

 

**catatan**  
Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) Untuk informasi tentang versi lain, gunakan perintah API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.   
Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). 


| Nama aturan | Deskripsi | 
| --- | --- | 
| ChallengeAllDuringEvent |  Mencocokkan permintaan yang memiliki label `awswaf:managed:aws:anti-ddos:challengeable-request` untuk sumber daya yang dilindungi yang saat ini sedang diserang.  Tindakan aturan: Challenge Anda hanya dapat mengganti tindakan aturan ini ke Allow atauCount. Penggunaan tidak Allow dianjurkan. Untuk setelan tindakan aturan apa pun, aturan hanya cocok dengan permintaan yang memiliki `challengeable-request` label. Konfigurasi aturan ini mempengaruhi evaluasi aturan berikutnya,`ChallengeDDoSRequests`. AWS WAF hanya mengevaluasi aturan tersebut ketika tindakan untuk aturan ini telah menimpa disetel keCount, dalam konfigurasi ACL web dari grup aturan terkelola.  Jika beban kerja Anda rentan terhadap perubahan volume permintaan yang tidak terduga, kami sarankan untuk menantang semua permintaan yang dapat ditantang, dengan menjaga pengaturan tindakan default. Challenge Untuk aplikasi yang kurang sensitif, Anda dapat mengatur tindakan untuk aturan ini Count dan kemudian menyetel sensitivitas Challenge respons Anda dengan aturan`ChallengeDDoSRequests`.  Label: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Mencocokkan permintaan untuk sumber daya yang dilindungi yang memenuhi atau melampaui pengaturan sensitivitas tantangan yang dikonfigurasi grup aturan, selama sumber daya diserang.  Tindakan aturan: Challenge Anda hanya dapat mengganti tindakan aturan ini ke Allow atauCount. Penggunaan tidak Allow dianjurkan. Bagaimanapun, aturan hanya cocok dengan permintaan yang memiliki `challengeable-request` label. AWS WAF hanya mengevaluasi aturan ini jika Anda mengganti tindakan Count dalam aturan sebelumnya,. `ChallengeAllDuringEvent`  Label: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Mencocokkan permintaan untuk sumber daya yang dilindungi yang memenuhi atau melampaui pengaturan sensitivitas blok yang dikonfigurasi grup aturan, selama sumber daya diserang.  Tindakan aturan: Block Label: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Penerapan untuk grup aturan Aturan Terkelola berversi AWS
<a name="waf-managed-rule-groups-deployments"></a>

Bagian ini memperkenalkan cara AWS menyebarkan pembaruan ke grup aturan Aturan AWS Terkelola.

AWS menerapkan perubahan pada grup aturan Aturan AWS Terkelola berversi dalam tiga penerapan standar: kandidat rilis, versi statis, dan versi default. Selain itu, AWS terkadang perlu merilis penerapan pengecualian atau mengembalikan penerapan versi default. 

**catatan**  
Bagian ini hanya berlaku untuk grup aturan Aturan AWS Terkelola yang berversi. Satu-satunya grup aturan yang tidak berversi adalah grup aturan reputasi IP. 

**Topics**
+ [Pemberitahuan untuk penerapan grup aturan Aturan AWS Terkelola](waf-managed-rule-groups-deployments-notifications.md)
+ [Ikhtisar penerapan standar untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-standard.md)
+ [Status versi khas untuk Aturan AWS Terkelola](waf-managed-rule-groups-typical-version-states.md)
+ [Melepaskan penerapan kandidat untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Penerapan versi statis untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-static-version.md)
+ [Penerapan versi default untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-default-version.md)
+ [Penerapan pengecualian untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-exceptions.md)
+ [Rollback penerapan default untuk Aturan Terkelola AWS](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Pemberitahuan untuk penerapan grup aturan Aturan AWS Terkelola
<a name="waf-managed-rule-groups-deployments-notifications"></a>

Bagian ini menjelaskan cara kerja notifikasi Amazon SNS dengan grup aturan Aturan AWS Terkelola.

Grup aturan Aturan AWS Terkelola berversi semuanya menyediakan pemberitahuan pembaruan SNS untuk penerapan dan semuanya menggunakan topik SNS yang sama Nama Sumber Daya Amazon (ARN). Satu-satunya grup aturan yang tidak berversi adalah grup aturan reputasi IP. 

Untuk penerapan yang memengaruhi perlindungan Anda, seperti perubahan pada versi default, AWS berikan notifikasi SNS untuk memberi tahu Anda tentang penerapan yang direncanakan dan memberi tahu Anda kapan penerapan dimulai. Untuk penerapan yang tidak memengaruhi perlindungan Anda, seperti kandidat rilis dan penerapan versi statis, AWS mungkin akan memberi tahu Anda setelah penerapan dimulai atau bahkan setelah penerapan selesai. Pada penyelesaian penerapan versi statis baru, AWS perbarui panduan ini, di changelog di [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md) dan di halaman riwayat dokumen di. [Riwayat dokumen](doc-history.md) 

Untuk menerima semua pembaruan yang AWS menyediakan grup aturan Aturan AWS Terkelola, berlangganan umpan RSS dari halaman HTML mana pun dalam panduan ini, dan berlangganan topik SNS untuk grup aturan Aturan AWS Terkelola. Untuk informasi tentang berlangganan notifikasi SNS, lihat. [Mendapatkan pemberitahuan tentang versi baru dan pembaruan ke grup aturan terkelola](waf-using-managed-rule-groups-sns-topic.md)

**Isi notifikasi SNS**  
Bidang di notifikasi Amazon SNS selalu menyertakan Subjek, Pesan, dan. MessageAttributes Bidang tambahan bergantung pada jenis pesan dan grup aturan terkelola untuk notifikasi tersebut. Berikut ini menunjukkan contoh daftar pemberitahuan untuk`AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Ikhtisar penerapan standar untuk AWS Aturan Terkelola
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS meluncurkan fungsionalitas Aturan AWS Terkelola baru menggunakan tiga tahap penerapan standar: kandidat rilis, versi statis, dan versi default. 

Diagram berikut menggambarkan penerapan standar ini. Masing-masing dijelaskan secara lebih rinci di bagian berikutnya. 

![\[Empat jalur renang vertikal menunjukkan tahapan penerapan standar yang berbeda. Jalur renang paling kiri menunjukkan versi default yang disetel ke versi statis 1.4 yang direkomendasikan. Jalur renang kedua menunjukkan set default ke versi kandidat rilis (RC) untuk pengujian dan penyetelan. Versi RC berisi 1.4 aturan dan aturan RC. Catatan menunjukkan bahwa setelah pengujian, default dikembalikan ke versi statis yang direkomendasikan. Jalur renang ketiga menunjukkan pembuatan versi statis 1.5 dari aturan dalam versi kandidat rilis. Swimlane keempat menunjukkan versi default yang disetel ke versi statis baru yang direkomendasikan 1.5.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Status versi khas untuk Aturan AWS Terkelola
<a name="waf-managed-rule-groups-typical-version-states"></a>

Biasanya, grup aturan terkelola berversi memiliki sejumlah versi statis yang belum kedaluwarsa, dan versi default menunjuk ke versi statis yang merekomendasikan. AWS Gambar berikut menunjukkan contoh set tipikal versi statis dan pengaturan versi default. 

![\[Tiga versi statis Version_1.2, Version_1.3, dan Version_1.4 ditumpuk, dengan Version_1.4 di bagian atas. Version_1.4 memiliki dua aturan, RuleA dan RuleB, keduanya dengan aksi produksi. Indikator versi default menunjuk ke Version_1.4.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


Tindakan produksi untuk sebagian besar aturan dalam versi statis adalahBlock, tetapi mungkin diatur ke sesuatu yang berbeda. Untuk informasi rinci tentang setelan tindakan aturan, lihat daftar aturan untuk setiap grup aturan di[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md). 

# Melepaskan penerapan kandidat untuk AWS Aturan Terkelola
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

Bagian ini menjelaskan cara kerja penerapan kandidat rilis sementara.

Ketika AWS ada serangkaian perubahan aturan kandidat untuk grup aturan terkelola, itu menguji mereka dalam penerapan kandidat rilis sementara. AWS mengevaluasi aturan kandidat dalam mode hitung terhadap lalu lintas produksi, dan melakukan kegiatan penyetelan akhir, termasuk mengurangi positif palsu. AWS tes merilis aturan kandidat dengan cara ini untuk semua pelanggan yang menggunakan versi default grup aturan. Penerapan kandidat rilis tidak berlaku untuk pelanggan yang menggunakan versi statis grup aturan.

Jika Anda menggunakan versi default, penerapan kandidat rilis tidak akan mengubah cara lalu lintas web Anda dikelola oleh grup aturan. Anda mungkin memperhatikan hal berikut saat aturan kandidat sedang diuji: 
+ Nama versi default berubah dari `Default (using Version_X.Y)` menjadi`Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Metrik hitungan tambahan di Amazon CloudWatch dengan `RC_COUNT` namanya. Ini dihasilkan oleh aturan kandidat rilis.

AWS menguji kandidat rilis selama sekitar satu minggu, lalu menghapusnya dan mengatur ulang versi default ke versi statis yang direkomendasikan saat ini. 

AWS melakukan langkah-langkah berikut untuk penerapan kandidat rilis: 

1. **Buat kandidat rilis** - AWS menambahkan kandidat rilis berdasarkan versi statis yang direkomendasikan saat ini, yang merupakan versi yang ditunjuk default. 

   Nama kandidat rilis adalah nama versi statis yang ditambahkan. `_PLUS_RC_COUNT` Misalnya, jika versi statis yang direkomendasikan saat ini`Version_2.1`, maka kandidat rilis akan diberi nama`Version_2.1_PLUS_RC_COUNT`.

   Kandidat rilis berisi aturan berikut: 
   + Aturan disalin persis dari versi statis yang direkomendasikan saat ini, tanpa perubahan pada konfigurasi aturan. 
   + Kandidat aturan baru dengan tindakan aturan diatur ke Count dan dengan nama yang diakhiri dengan`_RC_COUNT`. 

     Sebagian besar aturan kandidat memberikan perbaikan yang diusulkan untuk aturan yang sudah ada dalam kelompok aturan. Nama untuk masing-masing aturan ini adalah nama aturan yang ada yang `_RC_COUNT` ditambahkan. 

1. **Setel versi default ke kandidat rilis dan uji** — AWS tetapkan versi default untuk menunjuk ke kandidat rilis baru, untuk melakukan pengujian terhadap lalu lintas produksi Anda. Pengujian biasanya memakan waktu sekitar satu minggu.

    Anda akan melihat perubahan nama versi default dari yang hanya menunjukkan versi statis, seperti`Default (using Version_1.4)`, ke yang menunjukkan versi statis ditambah aturan kandidat rilis, seperti`Default (using Version_1.4_PLUS_RC_COUNT)`. Skema penamaan ini memungkinkan Anda mengidentifikasi versi statis mana yang Anda gunakan untuk mengelola lalu lintas web Anda. 

   Diagram berikut menunjukkan keadaan versi grup aturan contoh pada titik ini.   
![\[Di bagian atas gambar ada tiga versi statis bertumpuk, dengan Version_1.4 di bagian atas. Terpisah dari tumpukan versi statis adalah versi version_1.4_plus_rc_count. Versi ini berisi aturan dari Version_1.4 dan juga berisi dua aturan kandidat rilis, RuleB_RC_Count dan Rulez_RC_Count, keduanya dengan tindakan hitungan. Indikator versi default menunjuk ke Version_1.4_plus_rc_count.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Aturan kandidat rilis selalu dikonfigurasi dengan Count tindakan, sehingga aturan tersebut tidak mengubah cara grup aturan mengelola lalu lintas web. 

   Aturan kandidat rilis menghasilkan metrik CloudWatch hitungan Amazon yang AWS digunakan untuk memverifikasi perilaku dan mengidentifikasi positif palsu. AWS membuat penyesuaian sesuai kebutuhan, untuk menyesuaikan perilaku aturan penghitungan kandidat rilis. 

   Versi kandidat rilis bukan versi statis, dan tidak tersedia bagi Anda untuk memilih dari daftar versi grup aturan statis. Anda hanya dapat melihat nama versi kandidat rilis dalam spesifikasi versi default.

1. **Kembalikan versi default ke versi statis yang disarankan** - Setelah menguji aturan kandidat rilis, AWS atur versi default kembali ke versi statis yang direkomendasikan saat ini. Setelan nama versi default menghapus `_PLUS_RC_COUNT` akhiran, dan grup aturan berhenti menghasilkan metrik CloudWatch hitungan untuk aturan kandidat rilis. Ini adalah perubahan diam, dan tidak sama dengan penerapan rollback versi default.

   Diagram berikut menunjukkan keadaan versi grup aturan contoh setelah pengujian kandidat rilis selesai.   
![\[Ini adalah angka status versi khas lagi. Tiga versi statis Version_1.2, Version_1.3, dan Version_1.4 ditumpuk dengan Version_1.4 di bagian atas. Version_1.4 memiliki dua aturan, RuleA dan RuleB, keduanya dengan aksi produksi. Indikator versi default menunjuk ke Version_1.4.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Waktu dan pemberitahuan**  
AWS menyebarkan versi kandidat rilis sesuai kebutuhan, untuk menguji peningkatan pada grup aturan. 
+ **SNS** - AWS mengirimkan pemberitahuan SNS pada awal penerapan. Pemberitahuan menunjukkan perkiraan waktu kandidat rilis akan diuji. Saat pengujian selesai, AWS diam-diam mengembalikan default ke pengaturan versi statis, tanpa pemberitahuan kedua.
+ **Ubah log** — AWS tidak memperbarui log perubahan atau bagian lain dari panduan ini untuk jenis penerapan ini.

# Penerapan versi statis untuk AWS Aturan Terkelola
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Saat AWS menentukan bahwa kandidat rilis memberikan perubahan berharga pada grup aturan, AWS menerapkan versi statis baru untuk grup aturan berdasarkan kandidat rilis. Penerapan ini tidak mengubah versi default grup aturan. 

Versi statis baru berisi aturan berikut dari kandidat rilis: 
+ Aturan dari versi statis sebelumnya yang tidak memiliki kandidat pengganti di antara aturan kandidat rilis. 
+ Lepaskan aturan kandidat, dengan perubahan berikut: 
  + AWS mengubah nama aturan dengan menghapus sufiks `_RC_COUNT` kandidat rilis.
  + AWS mengubah tindakan aturan dari Count tindakan aturan produksi mereka. 

   Untuk aturan kandidat rilis yang merupakan pengganti aturan yang ada sebelumnya, ini menggantikan fungsionalitas aturan sebelumnya dalam versi statis baru. 

Diagram berikut menggambarkan pembuatan versi statis baru dari kandidat rilis. 

![\[Di bagian atas gambar adalah versi kandidat rilis VERSION_1.4_PLUS_RC_COUNT, dengan aturan yang sama seperti pada gambar penerapan kandidat rilis sebelumnya. Versi berisi aturan dari Version_1.4 dan juga berisi aturan kandidat rilis RuleB_RC_Count dan Rulez_RC_Count, keduanya dengan tindakan hitungan. Di bawah ini, di bagian bawah gambar adalah versi statis Version_1.5, yang berisi aturan ruleA, RuleB, dan RuleZ, semua dengan aksi produksi. Panah menunjuk dari versi RC ke Version_1.5 untuk menunjukkan bahwa RuleA disalin dari aturan Version_1.4 dan RuleB dan RuleZ disalin dari aturan kandidat rilis. Semua aturan di Version_1.5 memiliki tindakan produksi.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Setelah penerapan, versi statis baru tersedia untuk Anda uji dan gunakan dalam perlindungan Anda jika Anda mau. Anda dapat meninjau tindakan dan deskripsi aturan baru dan yang diperbarui dalam daftar aturan grup aturan di[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md). 

Versi statis tidak dapat diubah setelah penerapan, dan hanya berubah saat AWS kedaluwarsa. Untuk informasi tentang siklus hidup versi, lihat[Menggunakan grup aturan terkelola berversi di AWS WAF](waf-managed-rule-groups-versioning.md).

**Waktu dan pemberitahuan**  
AWS menyebarkan versi statis baru sesuai kebutuhan, untuk menerapkan peningkatan pada fungsionalitas grup aturan. Penerapan versi statis tidak memengaruhi pengaturan versi default.
+ **SNS** - AWS mengirimkan pemberitahuan SNS saat penerapan selesai.
+ **Ubah log** - Setelah penerapan selesai di mana pun yang AWS WAF tersedia, AWS perbarui definisi grup aturan dalam panduan ini sesuai kebutuhan, lalu umumkan rilis di log perubahan grup aturan Aturan AWS Terkelola dan di halaman riwayat dokumentasi. 

# Penerapan versi default untuk AWS Aturan Terkelola
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Saat AWS menentukan bahwa versi statis baru memberikan perlindungan yang lebih baik untuk grup aturan dibandingkan dengan default saat ini, AWS memperbarui versi default ke versi statis baru. AWS mungkin merilis beberapa versi statis sebelum mempromosikannya ke versi default grup aturan. 

Diagram berikut menunjukkan status versi grup aturan contoh setelah AWS memindahkan pengaturan versi default ke versi statis baru. 

![\[Ini mirip dengan angka status versi tipikal, tetapi dengan Version_1.5 di bagian atas tumpukan dan indikator default menunjuk ke sana.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Sebelum menerapkan perubahan ini ke versi default, AWS berikan pemberitahuan sehingga Anda dapat menguji dan mempersiapkan perubahan yang akan datang. Jika Anda menggunakan versi default, Anda tidak dapat mengambil tindakan dan tetap menggunakannya melalui pembaruan. Jika Anda ingin menunda peralihan ke versi baru, sebelum memulai penerapan versi default yang direncanakan, Anda dapat mengonfigurasi grup aturan secara eksplisit untuk menggunakan versi statis yang disetel ke default. 

**Waktu dan pemberitahuan**  
AWS memperbarui versi default saat merekomendasikan versi statis yang berbeda untuk grup aturan daripada yang saat ini digunakan. 
+ **SNS** — AWS mengirimkan pemberitahuan SNS setidaknya satu minggu sebelum hari penyebaran yang ditargetkan dan kemudian yang lain pada hari penerapan, pada awal penerapan. Setiap pemberitahuan menyertakan nama grup aturan, versi statis tempat versi default diperbarui, tanggal penerapan, dan waktu penyebaran yang dijadwalkan untuk setiap AWS Wilayah tempat pembaruan dilakukan. 
+ **Ubah log** — AWS tidak memperbarui log perubahan atau bagian lain dari panduan ini untuk jenis penerapan ini.

# Penerapan pengecualian untuk AWS Aturan Terkelola
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS mungkin melewati tahapan penerapan standar untuk menyebarkan pembaruan dengan cepat yang mengatasi risiko keamanan kritis. Penerapan pengecualian mungkin melibatkan salah satu jenis penerapan standar, dan mungkin diluncurkan dengan cepat di seluruh Wilayah. AWS 

AWS memberikan pemberitahuan terlebih dahulu sebanyak mungkin untuk penerapan pengecualian. 

**Waktu dan pemberitahuan**  
AWS melakukan penerapan pengecualian hanya jika diperlukan. 
+ **SNS** — AWS mengirimkan pemberitahuan SNS sejauh mungkin sebelum hari penyebaran yang ditargetkan dan kemudian satu lagi di awal penerapan. Setiap notifikasi menyertakan nama grup aturan, perubahan yang sedang dilakukan, dan tanggal penerapan. 
+ **Ubah log** - Jika penerapan untuk versi statis, setelah penerapan selesai di mana pun yang AWS WAF tersedia, AWS perbarui definisi grup aturan dalam panduan ini sesuai kebutuhan, lalu umumkan rilis di log perubahan grup aturan Aturan AWS Terkelola dan di halaman riwayat dokumentasi. 

# Rollback penerapan default untuk Aturan Terkelola AWS
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Dalam kondisi tertentu, AWS mungkin memutar kembali versi default ke pengaturan sebelumnya. Rollback biasanya membutuhkan waktu kurang dari sepuluh menit untuk semua AWS Wilayah.

AWS melakukan rollback hanya untuk mengurangi masalah signifikan dalam versi statis, seperti tingkat positif palsu yang sangat tinggi. 

Setelah rollback pengaturan versi default, AWS mempercepat kedaluwarsa versi statis yang memiliki masalah dan rilis versi statis baru untuk mengatasi masalah tersebut. 

**Waktu dan pemberitahuan**  
AWS melakukan rollback versi default hanya bila diperlukan. 
+ **SNS** - AWS mengirimkan pemberitahuan SNS tunggal pada saat rollback. Pemberitahuan mencakup nama grup aturan, versi yang disetel ke versi default, dan tanggal penerapan. Jenis penerapan ini sangat cepat, sehingga notifikasi tidak memberikan informasi waktu untuk Wilayah. 
+ **Ubah log** — AWS tidak memperbarui log perubahan atau bagian lain dari panduan ini untuk jenis penerapan ini.

# AWS Aturan Terkelola changelog
<a name="aws-managed-rule-groups-changelog"></a>

Bagian ini mencantumkan perubahan pada Aturan AWS Terkelola AWS WAF sejak dirilis pada November 2019.

**catatan**  
Changelog ini melaporkan perubahan pada aturan dan grup aturan dalam Aturan AWS Terkelola untuk. AWS WAF  
Untuk itu[Grup aturan reputasi IP](aws-managed-rule-groups-ip-rep.md), changelog ini melaporkan perubahan pada aturan dan grup aturan, dan melaporkan perubahan signifikan pada sumber daftar alamat IP yang digunakan aturan. Itu tidak melaporkan perubahan pada daftar alamat IP itu sendiri, karena sifat dinamis dari daftar tersebut. Jika Anda memiliki pertanyaan tentang daftar alamat IP, hubungi manajer akun Anda atau buka kasing di [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/). 


| Kelompok aturan dan aturan | Deskripsi | Date | 
| --- | --- | --- | 
| [Grup aturan terkelola aplikasi PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Dirilis versi statis 2.2 dari grup aturan ini.  Deteksi yang ditingkatkan dan `PHPHighRiskMethodsVariables_URIPATH` aturan tambahan.  | 2026-03-24 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Aturan baru: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 5.0 dari grup aturan ini. Menambahkan 400\$1 bot baru di beberapa kategori, termasuk dua kategori bot baru dengan aturan masing-masing: Pratinjau Halaman dan Webhook. **Perbaikan Utama** Peningkatan akurasi sinyal deteksi bot dan pencocokan pola bot generik, menghasilkan klasifikasi lalu lintas yang lebih tepat.  Pembaruan ini mengubah cara grup aturan terkelola memprioritaskan deteksi bot. Pola bot spesifik yang tidak diverifikasi sekarang dievaluasi sebelum pola generik dan sinyal deteksi. Ini berarti bahwa permintaan lebih mungkin diklasifikasikan berdasarkan karakteristik mereka yang paling spesifik daripada indikator generik. **Apa artinya ini untuk lalu lintas Anda:** Pola bot generik sekarang akan lebih jarang cocok. Pola-pola ini hanya berlaku ketika tidak ada aturan bot yang lebih spesifik yang telah mengidentifikasi lalu lintas. Ini mengurangi klasifikasi berlebih dan memastikan bahwa permintaan diberi label dengan identifikasi bot paling akurat yang tersedia. Sinyal deteksi seperti indikator bahwa permintaan berasal dari penyedia layanan cloud, pusat data bot yang dikenal, atau menggunakan agen pengguna non-browser, sekarang diterapkan setelah aturan identifikasi bot. Ini memastikan bahwa klasifikasi bot tertentu lebih diutamakan daripada sinyal lalu lintas generik. **Dampak:** Anda mungkin melihat lebih sedikit label untuk pola bot generik di log lalu lintas Anda, karena permintaan sekarang lebih akurat diklasifikasikan oleh aturan bot tertentu. Ini memberikan wawasan yang lebih jelas tentang sifat sebenarnya dari lalu lintas otomatis Anda dan mengurangi kebisingan dari pencocokan pola yang terlalu luas. Klasifikasi bot yang tidak diverifikasi akan lebih menonjol dan akurat, membantu Anda lebih memahami dan mengelola permintaan otomatis ke aplikasi Anda. **Catatan:** Versi ini menyertakan `awswaf:managed:aws:bot-control:bot:web_bot_auth` label dan pembaruan aturan dari Version\$14.0, tetapi `Web Bot Auth` fungsionalitasnya masih hanya tersedia di. CloudFront  | 2026-02-25 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Dirilis versi statis 3.2 dari grup aturan ini.  Peningkatan tanda tangan deteksi untuk semua aturan.  | 2026-01-15 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.25 dari grup aturan ini. Memperbarui `ReactJSRCE_BODY` untuk meningkatkan deteksi.  | 2025-12-08 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Dirilis versi statis 3.1 dari grup aturan ini.  Peningkatan tanda tangan deteksi untuk semua aturan.  | 2025-12-08 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.24 dari grup aturan ini. Memperbarui `ReactJSRCE_BODY` untuk meningkatkan deteksi.  | 2025-12-04 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Label baru:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Lingkup: CloudFront |  Menerapkan versi statis baru `AWSManagedRulesBotControlRuleSet` Version\$14.0 dengan dukungan Web Bot Authentication (WBA) untuk verifikasi bot kriptografi. Versi ini harus dipilih secara eksplisit dan tidak secara otomatis memperbarui penerapan yang ada menggunakan versi default. Kemampuan baru: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Pembaruan aturan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Version\$14.0 adalah versi statis saja - itu tidak mengubah perilaku versi default. Untuk menggunakan fitur WBA, secara eksplisit pilih Versi \$14.0 saat mengonfigurasi ACL web Anda.   | 2025-11-20 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Label bot terverifikasi baru:Iklan:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Pengambil Konten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Media Sosial:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Perbaikan kunci:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Aturan kategori bot di Kontrol Bot hanya dipicu pada bot yang tidak diverifikasi, kecuali untuk CategoryAI yang juga memicu pada bot terverifikasi. Version\$13.3 adalah versi statis saja — itu tidak mengubah perilaku versi default.   | 2025-11-17 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.20 dari grup aturan ini.  Peningkatan tanda tangan deteksi untuk aturan Pemalsuan Permintaan Sisi Server (SSRF).  | 2025-10-02 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.19 dari grup aturan ini.  Tanda tangan deteksi yang ditingkatkan untuk aturan skrip lintas situs.  | 2025-08-14 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.18 dari grup aturan ini.  Tanda tangan deteksi yang ditingkatkan untuk aturan skrip lintas situs.  | 2025-06-18 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Label baru: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 3.2 dari grup aturan ini.  Menambahkan label baru yang terdaftar.   | 2025-05-29 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.17 dari grup aturan ini.  Tanda tangan deteksi yang ditingkatkan untuk aturan skrip lintas situs.  | 2025-03-03 | 
| [Grup aturan terkelola database SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.3 dari grup aturan ini.  Menambahkan transformasi `URL_DECODE_UNI` teks ganda ke aturan yang tercantum.  | 2025-01-24 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.6 dari grup aturan ini.  Menambahkan tanda tangan untuk meningkatkan deteksi.   | 2025-01-24 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Label nama bot baru di label Kontrol Bot: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Dirilis versi statis 3.1 dari grup aturan ini.  Menambahkan label New York Times ke daftar label nama bot.   | 2024-11-07 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.16 dari grup aturan ini.  Tanda tangan deteksi yang ditingkatkan untuk aturan skrip lintas situs.   | 2024-10-16 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) Aturan baru: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Aturan yang dihapus: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Label baru: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Pelabelan tambahan dalam aturan yang ada.  | Dirilis versi statis 2.0 dan 3.0 dari grup aturan ini. Versi 2.0 sama dengan versi 3.0, tetapi dengan tindakan aturan untuk semua aturan baru yang ditetapkanCount. Panduan ini mendokumentasikan versi terbaru dari setiap grup aturan.  Menambahkan aturan baru yang terdaftar.  Pelabelan yang diperbarui sehingga semua aturan menerapkan label dengan pola`awswaf:managed:aws:bot-control:<RuleName>`.  Menambahkan label penyedia layanan cloud ke label sinyal Kontrol Bot.  Menambahkan label nama bot baru yang diperiksa oleh aturan kategori bot.   | 2024-09-13 | 
| [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md) Semua aturan  | Dirilis versi statis 1.1 dari grup aturan ini.  Pelabelan yang diperbarui sehingga semua aturan menerapkan label dengan pola`awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md) Semua aturan  | Dirilis versi statis 1.1 dari grup aturan ini.  Pelabelan yang diperbarui sehingga semua aturan menerapkan label dengan pola`awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Semua aturan  | Dirilis versi statis 2.5 dari grup aturan ini.  Menambahkan tanda tangan untuk meningkatkan deteksi.   | 2024-09-02 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.15 dari grup aturan ini.  Tanda tangan deteksi yang ditingkatkan untuk aturan LFI generik.   | 2024-08-30 | 
| [Grup aturan terkelola sistem operasi Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.3 dari grup aturan ini.  Tanda tangan deteksi yang disesuaikan dalam aturan yang tercantum untuk mengurangi positif palsu.   | 2024-08-28 | 
| [WordPress kelompok aturan terkelola aplikasi](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.3 dari grup aturan ini.  Menambahkan transformasi teks JS\$1DECODE ke aturan yang tercantum.   | 2024-07-15 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.4 dari grup aturan ini.  Menambahkan transformasi teks JS\$1DECODE ke aturan yang tercantum.   | 2024-07-12 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.14 dari grup aturan ini.  Menambahkan transformasi teks JS\$1DECODE ke aturan yang tercantum.   | 2024-07-09 | 
| [Grup aturan terkelola aplikasi PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.1 dari grup aturan ini.  Menambahkan transformasi teks JS\$1DECODE ke aturan yang tercantum.   | 2024-07-03 | 
| [Grup aturan terkelola sistem operasi Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.2 dari grup aturan ini.  Menambahkan transformasi teks JS\$1DECODE ke aturan yang tercantum.   | 2024-07-03 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Semua aturan  | Dirilis versi statis 2.3 dari grup aturan ini.  Menambahkan tanda tangan untuk meningkatkan deteksi.   | 2024-06-06 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md) [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md)  | Grup aturan bot dan penipuan sekarang berversi. Jika Anda menggunakan salah satu grup aturan ini, pembaruan ini tidak mengubah cara mereka menangani lalu lintas web Anda.  Pembaruan ini menetapkan versi grup aturan saat ini ke versi statis 1.0 dan menetapkan versi default untuk menunjuk ke sana.  Untuk informasi selengkapnya tentang aturan terkelola berversi, lihat berikut ini:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 3.0 dari grup aturan ini.  Dihapus `UNIXShellCommandsVariables_QUERYARGUMENTS` dan diganti dengan`UNIXShellCommandsVariables_QUERYSTRING`. Jika Anda memiliki aturan yang cocok pada label untuk`UNIXShellCommandsVariables_QUERYARGUMENTS`, saat Anda menggunakan versi ini, alihkan agar sesuai dengan label`UNIXShellCommandsVariables_QUERYSTRING`. Label baru adalah`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Ditambahkan aturan`UNIXShellCommandsVariables_HEADER`, yang cocok pada semua header. Memperbarui semua aturan dalam grup aturan terkelola dengan logika deteksi yang ditingkatkan.  Memperbaiki kapitalisasi label yang didokumentasikan untuk. `UNIXShellCommandsVariables_BODY`   | 2024-05-28 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.12 dari grup aturan ini.  Menambahkan tanda tangan ke semua aturan skrip lintas situs untuk meningkatkan deteksi dan mengurangi kesalahan positif.  | 2024-05-21 | 
| [Grup aturan terkelola database SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi statis 1.2 dari grup aturan ini. Menambahkan transformasi `JS_DECODE` teks ke aturan yang tercantum.   | 2024-05-14 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.22 dari grup aturan ini. Menambahkan transformasi `JS_DECODE` teks ke aturan yang tercantum.   | 2024-05-08 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Dirilis versi statis 2.2 dari grup aturan ini.  Menambahkan transformasi `JS_DECODE` teks ke kedua aturan.   | 2024-05-08 | 
| [Grup aturan terkelola sistem operasi Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.1 dari grup aturan ini.  Menambahkan tanda tangan `PowerShellCommands_BODY` untuk meningkatkan deteksi.   | 2024-05-03 | 
| [Grup aturan terkelola daftar reputasi IP Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Memperbarui sumber daftar reputasi IP, untuk meningkatkan identifikasi alamat yang secara aktif terlibat dalam aktivitas jahat dan untuk mengurangi positif palsu.  Pembaruan ini tidak melibatkan versi baru karena grup aturan ini tidak berversi.   | 2024-03-13 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Dirilis versi statis 1.21 dari grup aturan ini. Menambahkan tanda tangan untuk meningkatkan deteksi dan mengurangi positif palsu.   | 2023-12-16 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.20 dari grup aturan ini. Memperbarui `ExploitablePaths_URIPATH` aturan untuk menambahkan deteksi permintaan yang cocok dengan kerentanan Otorisasi Tidak Benar Atlassian Confluence CVE-2023-22518. Kerentanan ini memengaruhi semua versi Confluence Data Center dan Server. Untuk informasi lebih lanjut, lihat [NIST: Database Kerentanan Nasional: CVE-2023-22518](https://nvd.nist.gov/vuln/detail/CVE-2023-22518) Detail.  | 2023-12-14 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.11 dari grup aturan ini.  Menambahkan tanda tangan ke semua aturan skrip lintas situs untuk meningkatkan deteksi dan mengurangi kesalahan positif.  | 2023-12-06 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan label rendah aktivitas terkoordinasi ke label tingkat perlindungan yang ditargetkan grup aturan. Label ini tidak terkait dengan aturan apa pun. Pelabelan ini merupakan tambahan dari aturan dan label tingkat menengah dan tinggi.  | 2023-12-05 | 
| [Label Kontrol Bot](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan label sinyal ke grup aturan yang menunjukkan deteksi ekstensi browser yang membantu otomatisasi. Label ini tidak spesifik untuk aturan individual.   | 2023-11-14 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.10 dari grup aturan ini.  Memperbarui satu aturan untuk meningkatkan deteksi dan mengurangi positif palsu.  | 2023-11-02 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.9 dari grup aturan ini.  Aturan yang diperbarui untuk meningkatkan deteksi dan mengurangi positif palsu.  | 2023-10-30 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.1 dari grup aturan ini.  Memperbarui aturan argumen kueri untuk meningkatkan deteksi.   | 2023-10-12 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.8 dari grup aturan ini.  Aturan yang diperbarui untuk meningkatkan deteksi.  | 2023-10-11 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Penerapan pengecualian: merilis versi statis 1.19 dari grup aturan ini. Diperbarui versi default untuk menggunakan versi 1.19. Memperbarui `ExploitablePaths_URIPATH` aturan untuk menambahkan deteksi permintaan yang cocok dengan Kerentanan Eskalasi Privilege Atlassian Confluence CVE-2023-22515. Kerentanan ini memengaruhi beberapa versi Atlassian Confluence. [Untuk informasi lebih lanjut, lihat [NIST: National Vulnerability Database: CVE-2023-22515 Detail dan Atlassian Support: FAQ untuk CVE-2023-22515](https://nvd.nist.gov/vuln/detail/CVE-2023-22515).](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html) Untuk informasi tentang jenis penerapan ini, lihat[Penerapan pengecualian untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Penerapan pengecualian: merilis versi statis 1.18 dari grup aturan ini. Ini adalah peluncuran cepat dari versi statis ini untuk mengakomodasi pembuatan dan peluncuran versi 1.19.  Memperbarui `Host_localhost_HEADER` aturan dan semua aturan deserialisasi Log4J dan Java untuk deteksi yang lebih baik.  Untuk informasi tentang jenis penerapan ini, lihat[Penerapan pengecualian untuk AWS Aturan Terkelola](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan ke grup aturan dengan Count tindakan.  Aturan IP penggunaan kembali token mendeteksi dan menghitung berbagi token di seluruh alamat IP.  Aturan aktivitas terkoordinasi menggunakan analisis otomatis, pembelajaran mesin (ML) lalu lintas situs web untuk mendeteksi aktivitas terkait bot. Dalam konfigurasi grup aturan Anda, Anda dapat memilih keluar dari penggunaan ML. Dengan rilis ini, pelanggan yang saat ini menggunakan tingkat perlindungan yang ditargetkan akan memilih untuk menggunakan ML. Memilih keluar menonaktifkan aturan aktivitas terkoordinasi.  | 2023-09-06 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan `CategoryAI` ke grup aturan.  | 2023-08-30 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.7 dari grup aturan ini.  Memperbarui ekstensi terbatas dan aturan SSRF metadata EC2 untuk meningkatkan deteksi dan mengurangi kesalahan positif.  | 2023-07-26 | 
| [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md) Semua aturan dalam grup aturan baru  | Ditambahkan kelompok aturanAWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.2 dari grup aturan ini.  Menambahkan tanda tangan untuk meningkatkan deteksi.   | 2023-05-22 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.6 dari grup aturan ini.  Skrip lintas situs (XSS) yang diperbarui dan aturan ekstensi terbatas untuk meningkatkan deteksi dan mengurangi kesalahan positif.  | 2023-04-28 | 
| [Grup aturan terkelola aplikasi PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.0 dari grup aturan ini.  Menambahkan tanda tangan untuk meningkatkan deteksi di semua aturan.  Mengganti aturan `PHPHighRiskMethodsVariables_QUERYARGUMENTS` dengan`PHPHighRiskMethodsVariables_QUERYSTRING`, yang memeriksa seluruh string query bukan hanya argumen query.  Menambahkan aturan`PHPHighRiskMethodsVariables_HEADER`, untuk memperluas cakupan untuk menyertakan semua header. Memperbarui label berikut agar selaras dengan pelabelan Aturan AWS Terkelola standar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2023-02-27 | 
| [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan inspeksi respons login untuk digunakan dengan CloudFront distribusi Amazon yang dilindungi. Aturan ini dapat memblokir upaya login baru dari alamat IP dan sesi klien yang baru-baru ini menjadi sumber dari terlalu banyak upaya login yang gagal.  | 2023-02-15 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.5 dari grup aturan ini.  Filter Cross Site Scripting (XSS) yang diperbarui untuk meningkatkan deteksi.  | 2023-01-25 | 
| [Grup aturan terkelola sistem operasi Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 2.1 dari grup aturan ini.  Menghapus aturan `LFI_COOKIE` dan labelnya`awswaf:managed:aws:linux-os:LFI_Cookie`, dan menggantinya dengan aturan baru `LFI_HEADER` dan labelnya`awswaf:managed:aws:linux-os:LFI_Header`. Perubahan ini memperluas inspeksi ke beberapa header.  Menambahkan transformasi teks dan tanda tangan ke semua aturan untuk meningkatkan deteksi.  | 2022-12-15 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.4 dari grup aturan ini.  Ditambahkan transformasi teks `NoUserAgent_HEADER` untuk menghapus semua byte null. Memperbarui filter dalam aturan skrip lintas situs untuk meningkatkan deteksi.  | 2022-12-05 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.17 dari grup aturan ini.  Memperbarui aturan deserialisasi Java untuk menambahkan deteksi permintaan yang cocok dengan Apache CVE-2022-42889, kerentanan eksekusi kode jarak jauh (RCE) dalam versi Teks Apache Commons sebelum 1.10.0. Untuk informasi lebih lanjut, lihat [NIST: Database Kerentanan Nasional: CVE-2022-42889 Detail dan CVE-2022-42889](https://nvd.nist.gov/vuln/detail/CVE-2022-42889)[: Teks Apache Commons sebelum 1.10.0 memungkinkan RCE ketika diterapkan ke input yang tidak tepercaya](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om) karena default interpolasi yang tidak aman. Deteksi yang ditingkatkan di`Host_localhost_HEADER`. | 2022-10-20 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.16 dari grup aturan ini.  Menghapus positif palsu yang AWS diidentifikasi dalam versi 1.15. | 2022-10-05 | 
| [Grup aturan terkelola sistem operasi POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Grup aturan terkelola aplikasi PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress kelompok aturan terkelola aplikasi](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Memperbaiki nama label yang didokumentasikan.   | 2022-09-19 | 
| [Grup aturan reputasi IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Perubahan ini tidak mengubah cara grup aturan menangani lalu lintas web. Menambahkan aturan baru dengan Count tindakan untuk memeriksa alamat IP yang secara aktif terlibat dalam aktivitas DDo S, menurut intelijen ancaman Amazon.  | 2022-08-30 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi statis 1.15 dari grup aturan ini.  Dihapus `Log4JRCE` dan diganti dengan`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, dan`Log4JRCE_BODY`, untuk pemantauan dan pengelolaan positif palsu yang lebih terperinci.  Menambahkan tanda tangan untuk meningkatkan deteksi dan pemblokiran ke `PROPFIND_METHOD` dan ke semua `JavaDeserializationRCE*` dan `Log4JRCE*` aturan.  Label yang diperbarui untuk mengoreksi kapitalisasi di dalam `Host_localhost_HEADER` dan di semua `JavaDeserializationRCE*` aturan.  Mengoreksi deskripsi. `JavaDeserializationRCE_HEADER` | 2022-08-22 | 
| [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan untuk mencegah penggunaan grup aturan terkelola pencegahan pengambilalihan akun untuk lalu lintas web kumpulan pengguna Amazon Cognito.  | 2022-08-11 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS telah dijadwalkan kedaluwarsa untuk versi `Version_1.2` dan `Version_2.0` grup aturan. Versi akan kedaluwarsa pada 9 September 2022. Untuk informasi tentang kedaluwarsa versi, lihat. [Menggunakan grup aturan terkelola berversi di AWS WAF](waf-managed-rule-groups-versioning.md) | 2022-06-09 | 
| [Grup aturan terkelola set aturan inti (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.3 dari grup aturan ini. Rilis ini memperbarui tanda tangan kecocokan dalam aturan `GenericLFI_URIPATH` dan`GenericRFI_URIPATH`, untuk meningkatkan deteksi.  | 2022-05-24 | 
| [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan `CategoryEmailClient` ke grup aturan.  | 2022-04-06 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.14 dari grup aturan ini. Keempat `JavaDeserializtionRCE` aturan dipindahkan ke Block mode. | 2022-03-31 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.13 dari grup aturan ini. Memperbarui transformasi teks untuk kerentanan Spring Core dan Cloud Function RCE. Aturan-aturan ini berada dalam mode hitung untuk mengumpulkan metrik dan mengevaluasi pola yang cocok. Label dapat digunakan untuk memblokir permintaan dalam aturan khusus. Versi berikutnya akan digunakan dengan aturan ini dalam mode blok. | 2022-03-31 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.12 dari grup aturan ini. Menambahkan tanda tangan untuk kerentanan Spring Core dan Cloud Function RCE. Aturan-aturan ini berada dalam mode hitung untuk mengumpulkan metrik dan mengevaluasi pola yang cocok. Label dapat digunakan untuk memblokir permintaan dalam aturan khusus. Versi berikutnya akan digunakan dengan aturan ini dalam mode blok. Menghapus aturan `Log4JRCE_HEADER``Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`,, `Log4JRCE_BODY` dan menggantinya dengan aturan`Log4JRCE`. | 2022-03-30 | 
| [Grup aturan reputasi IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Memperbarui AWSManagedReconnaissanceList aturan untuk mengubah tindakan dari hitungan ke blok.  | 2022-02-15 | 
| [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md) Semua aturan dalam grup aturan baru  | Ditambahkan kelompok aturanAWSManagedRulesATPRuleSet.  | 2022-02-11 | 
| [Kelompok aturan terkelola masukan buruk yang diketahui](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.9 dari grup aturan ini. Menghapus aturan `Log4JRCE` dan menggantinya dengan aturan`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, dan`Log4JRCE_BODY`, untuk fleksibilitas dalam penggunaan fungsi ini. Menambahkan tanda tangan untuk meningkatkan deteksi dan pemblokiran. | 2022-01-28 | 
| Set aturan inti (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi 2.0 dari grup aturan ini. Untuk aturan ini, tanda tangan deteksi yang disetel untuk mengurangi positif palsu. Mengganti transformasi `URL_DECODE` teks dengan transformasi `URL_DECODE_UNI` teks ganda. Ditambahkan transformasi `HTML_ENTITY_DECODE` teks.  | 2022-01-10 | 
| Set aturan inti (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Sebagai bagian dari rilis versi 2.0 dari grup aturan ini, menambahkan transformasi `URL_DECODE_UNI` teks. Menghapus transformasi `URL_DECODE` teks dari`RestrictedExtensions_URIPATH`.  | 2022-01-10 | 
| Database SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dirilis versi 2.0 dari grup aturan ini. Mengganti transformasi `URL_DECODE` teks dengan transformasi `URL_DECODE_UNI` teks ganda dan menambahkan transformasi `COMPRESS_WHITE_SPACE` teks. Menambahkan lebih banyak tanda tangan deteksi ke. `SQLiExtendedPatterns_QUERYARGUMENTS` Menambahkan inspeksi JSON ke`SQLi_BODY`. Ditambahkan aturan`SQLiExtendedPatterns_BODY`. Menghapus aturan`SQLi_URIPATH`.  | 2022-01-10 | 
| Masukan buruk yang diketahui [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.8 dari aturan `Log4JRCE` untuk meningkatkan inspeksi header dan kriteria pencocokan. | 2021-12-17 | 
| Masukan buruk yang diketahui [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Dirilis versi 1.4 dari aturan `Log4JRCE` untuk menyetel kriteria yang cocok dan untuk memeriksa header tambahan. Dirilis versi 1.5 untuk menyetel kriteria yang cocok. | 2021-12-11 | 
| Masukan buruk yang diketahui [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Menambahkan aturan `Log4JRCE` versi 1.2 sebagai tanggapan atas masalah keamanan yang baru-baru ini diungkapkan dalam Log4j. Untuk informasi lihat [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Aturan ini memeriksa jalur URI umum, string kueri, 8KB pertama dari badan permintaan, dan header umum. Aturan menggunakan transformasi `URL_DECODE_UNI` teks ganda. Dirilis versi 1.3 `Log4JRCE` untuk menyetel kriteria yang cocok dan untuk memeriksa header tambahan.  Menghapus aturan`BadAuthToken_COOKIE_AUTHORIZATION`.  | 2021-12-10 | 

Tabel berikut mencantumkan perubahan sebelum Desember 2021. 


| Kelompok aturan dan aturan | Deskripsi | Date | 
| --- | --- | --- | 
| Daftar reputasi IP Amazon | `AWSManagedReconnaissanceList` | Ditambahkan AWSManagedReconnaissanceList aturan dalam modus monitoring/count. Aturan ini berisi alamat IP yang melakukan pengintaian terhadap sumber daya. AWS  | 2021-11-23 | 
| Sistem operasi Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Menambahkan tiga aturan baru untuk WindowsShell perintah:`WindowsShellCommands_COOKIE`,`WindowsShellCommands_QUERYARGUMENTS`, dan`WindowsShellCommands_BODY`. Menambahkan PowerShell aturan baru:`PowerShellCommands_COOKIE`. Merestrukturisasi `PowerShellComands` aturan penamaan dengan menghapus string \$1Set1 dan \$1Set2. Menambahkan tanda tangan deteksi yang lebih komprehensif ke. `PowerShellRules` Menambahkan transformasi `URL_DECODE_UNI` teks ke semua aturan sistem operasi Windows.  | 2021-11-23 | 
| Sistem operasi Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Mengganti transformasi `URL_DECODE` teks ganda dengan ganda`URL_DECODE_UNI`. Ditambahkan `NORMALIZE_PATH_WIN` sebagai transformasi teks kedua. Mengganti `LFI_BODY` aturan dengan `LFI_COOKIE` aturan. Menambahkan tanda tangan deteksi yang lebih komprehensif untuk semua `LFI` aturan.  | 2021-11-23 | 
| Set aturan inti (CRS) |  `SizeRestrictions_BODY`  | Mengurangi batas ukuran untuk memblokir permintaan web dengan muatan tubuh yang lebih besar dari 8 KB. Sebelumnya, batasnya adalah 10 KB.  | 2021-10-27 | 
| Set aturan inti (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Menambahkan lebih banyak tanda tangan deteksi. Menambahkan decode URL unicode ganda untuk meningkatkan pemblokiran.  | 2021-10-27 | 
| Set aturan inti (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Menambahkan decode URL unicode ganda untuk meningkatkan pemblokiran.  | 2021-10-27 | 
| Set aturan inti (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Memperbarui tanda tangan aturan untuk mengurangi positif palsu, berdasarkan umpan balik pelanggan. Menambahkan decode URL unicode ganda untuk meningkatkan pemblokiran.  | 2021-10-27 | 
| Semua | Semua aturan | Menambahkan dukungan untuk AWS WAF label ke semua aturan yang belum mendukung pelabelan.  | 2021-10-25 | 
| Daftar reputasi IP Amazon | `AWSManagedIPReputationList_xxxx` | Merestrukturisasi daftar reputasi IP, menghapus sufiks dari nama aturan, dan menambahkan dukungan untuk label. AWS WAF  | 2021-05-04 | 
| Daftar IP anonim | `AnonymousIPList` `HostingProviderList` | Menambahkan dukungan untuk AWS WAF label.  | 2021-05-04 | 
| Kontrol Bot | Semua | Menambahkan set aturan Bot Control.  | 2021-04-01 | 
| Set aturan inti (CRS) | `GenericRFI_QUERYARGUMENTS`  | Ditambahkan decode URL ganda.  | 2021-03-03 | 
| Set aturan inti (CRS) | `RestrictedExtensions_URIPATH`  | Meningkatkan konfigurasi aturan dan menambahkan decode URL tambahan.  | 2021-03-03 | 
| Perlindungan admin | `AdminProtection_URIPATH`  | Ditambahkan decode URL ganda.  | 2021-03-03 | 
| Masukan buruk yang diketahui | `ExploitablePaths_URIPATH`  | Meningkatkan konfigurasi aturan dan menambahkan decode URL tambahan.  | 2021-03-03 | 
| Sistem operasi Linux | `LFI_QUERYARGUMENTS`  | Meningkatkan konfigurasi aturan dan menambahkan decode URL tambahan.  | 2021-03-03 | 
| Sistem operasi Windows | Semua | Meningkatkan konfigurasi aturan.  | 2020-09-23 | 
| Aplikasi PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Mengubah transformasi teks dari decode HTML ke decode URL, untuk meningkatkan pemblokiran.  | 2020-09-16 | 
| Sistem operasi POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Mengubah transformasi teks dari decode HTML ke decode URL, untuk meningkatkan pemblokiran.  | 2020-09-16 | 
| Set aturan inti | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` Genericlfi\$1tubuh  | Mengubah transformasi teks dari decode HTML ke decode URL, untuk meningkatkan pemblokiran.  | 2020-08-07 | 
| Sistem operasi Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Mengubah transformasi teks dari decode entitas HTML ke decode URL, untuk meningkatkan deteksi dan pemblokiran.  | 2020-05-19 | 
| Daftar IP Anonim | Semua | Grup aturan baru [Grup aturan reputasi IP](aws-managed-rule-groups-ip-rep.md) untuk memblokir permintaan dari layanan yang memungkinkan pengaburan identitas pemirsa, untuk membantu mengurangi bot dan penghindaran pembatasan geografis.  | 2020-03-06 | 
| WordPress aplikasi | `WordPressExploitableCommands_QUERYSTRING`  | Aturan baru yang memeriksa perintah yang dapat dieksploitasi dalam string kueri. | 2020-03-03 | 
| Set aturan inti (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Menyesuaikan batasan nilai ukuran untuk meningkatkan akurasi.  | 2020-03-03 | 
| Database SQL | `SQLi_URIPATH`  | Aturan sekarang memeriksa URI pesan. | 2020-01-23 | 
| Database SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Transformasi teks yang diperbarui. | 2019-12-20 | 
| Set aturan inti (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Transformasi teks yang diperbarui. | 2019-12-20 | 

# Mengelola grup aturan Anda sendiri
<a name="waf-user-created-rule-groups"></a>

Anda dapat membuat grup aturan sendiri untuk menggunakan kembali kumpulan aturan yang tidak Anda temukan di penawaran grup aturan terkelola atau yang ingin Anda tangani sendiri. 

Grup aturan yang Anda buat aturan penahanan seperti halnya paket perlindungan (web ACL), dan Anda menambahkan aturan ke grup aturan dengan cara yang sama seperti yang Anda lakukan pada paket perlindungan (web ACL). Ketika Anda membuat grup aturan Anda sendiri, Anda harus menetapkan kapasitas maksimum yang tidak dapat diubah untuk itu. 

**Topics**
+ [Membuat grup aturan](waf-rule-group-creating.md)
+ [Mengedit grup aturan](waf-rule-group-editing.md)
+ [Menggunakan grup aturan Anda dalam paket perlindungan (web ACL)](waf-rule-group-using.md)
+ [Menghapus grup aturann](waf-rule-group-deleting.md)
+ [Berbagi grup aturan](waf-rule-group-sharing.md)

# Membuat grup aturan
<a name="waf-rule-group-creating"></a>

Untuk membuat grup aturan baru, ikuti prosedur di halaman ini. 

**Untuk membuat grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Grup aturan**, lalu **Buat grup aturan**. 

1. Masukkan nama dan deskripsi untuk grup aturan. Anda akan menggunakan ini untuk mengidentifikasi aturan yang ditetapkan untuk mengelolanya dan menggunakannya. 

   Jangan gunakan nama yang dimulai dengan `AWS``Shield`,`PreFM`, atau`PostFM`. String ini dicadangkan atau dapat menyebabkan kebingungan dengan grup aturan yang dikelola untuk Anda oleh layanan lain. Lihat [Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md). 
**catatan**  
Anda tidak dapat mengubah nama setelah membuat grup aturan.

1. Untuk **Wilayah**, pilih Wilayah tempat Anda ingin menyimpan grup aturan. Untuk menggunakan grup aturan dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon, Anda harus menggunakan pengaturan global. Anda juga dapat menggunakan pengaturan global untuk aplikasi regional.

1. Pilih **Berikutnya**.

1. Tambahkan aturan ke grup aturan menggunakan panduan **pembuat Aturan**, sama seperti yang Anda lakukan dalam manajemen paket perlindungan (web ACL). Satu-satunya perbedaan adalah Anda tidak dapat menambahkan grup aturan ke grup aturan lain. 

1. Untuk **Kapasitas**, tetapkan maksimum untuk penggunaan unit kapasitas paket perlindungan (web ACL) kelompok aturan (WCUs). Ini adalah pengaturan yang tidak dapat diubah. Untuk informasi tentang WCUs, lihat[Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md). 

   Saat Anda menambahkan aturan ke grup aturan, panel **Tambahkan aturan dan setel kapasitas** menampilkan kapasitas minimum yang diperlukan, yang didasarkan pada aturan yang telah Anda tambahkan. Anda dapat menggunakan ini dan rencana future Anda untuk grup aturan untuk membantu memperkirakan kapasitas yang dibutuhkan kelompok aturan. 

1. Tinjau pengaturan untuk grup aturan, dan pilih **Buat**.

# Mengedit grup aturan
<a name="waf-rule-group-editing"></a>

Untuk menambah atau menghapus aturan dari grup aturan atau mengubah pengaturan konfigurasi, akses grup aturan menggunakan prosedur di halaman ini. 

**Risiko lalu lintas produksi**  
Jika Anda mengubah grup aturan yang saat ini Anda gunakan dalam paket perlindungan (web ACL), perubahan tersebut akan memengaruhi perilaku paket perlindungan (web ACL) Anda di mana pun itu digunakan. Pastikan untuk menguji dan menyetel semua perubahan dalam lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**Untuk mengedit grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Rule groups** (Grup aturan).

1. Pilih nama grup aturan yang ingin Anda edit. Konsol akan membawa Anda ke halaman grup aturan. 
**catatan**  
Jika Anda tidak melihat grup aturan yang ingin Anda edit, periksa pilihan Wilayah di dalam bagian **Grup aturan**. Untuk grup aturan yang digunakan untuk melindungi CloudFront distribusi Amazon, gunakan setelan **Global (CloudFront)**. 

1. Edit grup aturan sesuai kebutuhan. Anda dapat mengedit properti yang dapat diubah grup aturan, mirip dengan yang Anda lakukan selama pembuatan. Konsol menyimpan perubahan Anda saat Anda pergi.
**catatan**  
Jika Anda mengubah nama aturan dan Anda ingin nama metrik aturan mencerminkan perubahan, Anda harus memperbarui nama metrik juga. AWS WAF tidak secara otomatis memperbarui nama metrik untuk aturan saat Anda mengubah nama aturan. Anda dapat mengubah nama metrik saat mengedit aturan di konsol, dengan menggunakan editor JSON aturan. Anda juga dapat mengubah kedua nama melalui APIs dan dalam daftar JSON apa pun yang Anda gunakan untuk menentukan paket perlindungan (web ACL) atau grup aturan.

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

# Menggunakan grup aturan Anda dalam paket perlindungan (web ACL)
<a name="waf-rule-group-using"></a>

Untuk menggunakan grup aturan dalam paket perlindungan (web ACL), Anda menambahkannya ke paket perlindungan (web ACL) dalam pernyataan referensi grup aturan. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan perubahan dalam paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan sesuaikan aturan Anda yang diperbarui dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Untuk panduan, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Untuk menggunakan grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Rule groups** (Grup aturan).

1. Pilih nama grup aturan yang ingin Anda gunakan.

1. Pilih **Tambahkan aturan**, lalu pilih **Tambahkan aturan dan grup aturan saya sendiri**.

1. Pilih **Grup aturan** dan pilih grup aturan Anda dari daftar. 

Dalam paket perlindungan (web ACL), Anda dapat mengubah perilaku grup aturan dan aturannya dengan menetapkan tindakan aturan individual ke Count atau tindakan lainnya. Ini dapat membantu Anda melakukan hal-hal seperti menguji grup aturan, mengidentifikasi positif palsu dari aturan dalam grup aturan, dan menyesuaikan cara grup aturan terkelola menangani permintaan Anda. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md). 

Jika grup aturan Anda berisi pernyataan berbasis tarif, setiap paket perlindungan (web ACL) tempat Anda menggunakan grup aturan memiliki pelacakan dan pengelolaan tarif tersendiri untuk aturan berbasis tarif, terlepas dari paket perlindungan lainnya (web ACL) tempat Anda menggunakan grup aturan. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md).

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

# Menghapus grup aturann
<a name="waf-rule-group-deleting"></a>

Ikuti panduan di bagian ini untuk menghapus grup aturan.

**Menghapus set referensi dan grup aturan**  
Saat Anda menghapus entitas yang dapat Anda gunakan dalam paket perlindungan (web ACL), seperti kumpulan IP, kumpulan pola regex, atau grup aturan, AWS WAF memeriksa apakah entitas saat ini sedang digunakan dalam paket perlindungan (web ACL). Jika menemukan bahwa itu sedang digunakan, AWS WAF memperingatkan Anda. AWS WAF Hampir selalu dapat menentukan apakah suatu entitas direferensikan oleh paket perlindungan (web ACL). Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di paket perlindungan Anda (web ACLs) sebelum menghapusnya. Jika entitas adalah kumpulan yang direferensikan, periksa juga apakah tidak ada grup aturan yang menggunakannya.

**Untuk menghapus grup aturan**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Rule groups** (Grup aturan).

1. Pilih grup aturan yang ingin Anda hapus, lalu pilih **Hapus**.
**catatan**  
Jika Anda tidak melihat grup aturan yang ingin Anda hapus, centang pilihan Wilayah di dalam bagian **Grup aturan**. Untuk grup aturan yang digunakan untuk melindungi CloudFront distribusi Amazon, gunakan setelan **Global (CloudFront)**. 

# Berbagi grup aturan
<a name="waf-rule-group-sharing"></a>

Anda dapat membagikan grup aturan dengan acccount lain, untuk digunakan oleh akun tersebut. 

**Berbagi grup aturan**  
Anda dapat berbagi dengan satu atau beberapa akun tertentu, dan Anda dapat berbagi dengan semua akun dalam suatu organisasi. 

Untuk berbagi grup aturan, Anda menggunakan AWS WAF API untuk membuat kebijakan untuk berbagi grup aturan yang Anda inginkan. Untuk informasi selengkapnya, lihat [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) di dalam *Referensi API AWS WAF *. 

**Menggunakan grup aturan yang telah dibagikan dengan Anda**  
Jika grup aturan telah dibagikan dengan akun Anda, Anda dapat mengaksesnya melalui API dan Anda dapat mereferensikannya saat membuat atau memperbarui paket perlindungan (web ACLs) melalui API. Untuk informasi selengkapnya, lihat [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html), [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html), dan [UpdateWebACL di Referensi AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) *API*. Grup aturan yang dibagikan dengan Anda tidak muncul di daftar grup aturan AWS WAF konsol. 

# AWS Marketplace kelompok aturan
<a name="marketplace-rule-groups"></a>

Bagian ini menjelaskan cara menggunakan grup AWS Marketplace aturan.

AWS Marketplace grup aturan tersedia dengan berlangganan melalui AWS Marketplace konsol di [AWS Marketplace](https://aws.amazon.com/marketplace). Setelah Anda berlangganan grup AWS Marketplace aturan, Anda dapat menggunakannya di AWS WAF. Untuk menggunakan grup AWS Marketplace aturan dalam AWS Firewall Manager AWS WAF kebijakan, setiap akun di organisasi Anda harus berlangganan. 

**Anda dapat berlangganan berbagai jenis grup aturan melalui AWS Marketplace:**
+ AWS WAF kelompok aturan yang dikelola mitra
+ Perlindungan sisi klien

Uji dan sesuaikan perubahan apa pun pada AWS WAF perlindungan Anda sebelum Anda menggunakannya untuk lalu lintas produksi. Untuk informasi, lihat [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**AWS Marketplace Harga Grup Aturan**  
AWS Marketplace kelompok aturan tersedia tanpa kontrak jangka panjang, dan tidak ada komitmen minimum. Saat Anda berlangganan grup aturan, Anda dikenakan biaya bulanan (prorata per jam) dan biaya permintaan berkelanjutan berdasarkan volume. Namun, Anda hanya dikenakan biaya berlangganan saat menambahkan grup aturan berlangganan ke ACL web dan mulai menggunakannya. Untuk informasi selengkapnya, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) dan deskripsi untuk setiap grup AWS Marketplace aturan di [AWS Marketplace](https://aws.amazon.com/marketplace).

**Punya pertanyaan tentang kelompok AWS Marketplace aturan?**  
Untuk pertanyaan tentang grup aturan yang dikelola oleh AWS Marketplace penjual dan untuk meminta perubahan fungsionalitas, hubungi tim dukungan pelanggan penyedia. Untuk menemukan informasi kontak, lihat daftar penyedia di [AWS Marketplace](https://aws.amazon.com/marketplace).

Penyedia grup AWS Marketplace aturan menentukan cara mengelola grup aturan, misalnya cara memperbarui grup aturan dan apakah grup aturan diberi versi. Penyedia juga menentukan detail grup aturan, termasuk aturan, tindakan aturan, dan label apa pun yang ditambahkan aturan ke permintaan web yang cocok. 

## Berlangganan grup AWS Marketplace aturan
<a name="marketplace-rule-groups-subscribing"></a>

Anda dapat berlangganan dan berhenti berlangganan dari grup AWS Marketplace aturan di AWS WAF konsol. 

**penting**  
Untuk menggunakan grup AWS Marketplace aturan dalam AWS Firewall Manager kebijakan, setiap akun di organisasi Anda harus terlebih dahulu berlangganan grup aturan tersebut. 

**Untuk berlangganan grup AWS Marketplace aturan**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih Perlindungan **add-on**.

1. Di **AWS Marketplace**bagian ini, pilih nama grup aturan untuk melihat detail dan informasi harga.
**Tip**  
Gunakan filter untuk mengurutkan aturan yang paling Anda minati dengan cepat. Misalnya, Anda dapat menggunakan filter **Kategori** untuk melihat perlindungan sisi klien saja.

1. Untuk berlangganan grup AWS Marketplace aturan: 

   1. Arahkan ke grup aturan, lalu pilih **Berlangganan melalui Marketplace**.

   1. Di halaman Marketplace yang terbuka, pilih **Lihat opsi pembelian**, lalu pilih **Berlangganan**.
**catatan**  
Jika Anda memutuskan untuk tidak berlangganan grup aturan, cukup tutup pop-up.

Setelah berlangganan grup AWS Marketplace aturan, Anda menggunakannya dalam paket perlindungan (web ACLs) seperti yang Anda lakukan pada grup aturan terkelola lainnya. Untuk informasi, lihat [Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md). 

Saat menambahkan grup aturan ke paket perlindungan (web ACL), Anda dapat mengganti tindakan aturan dalam grup aturan dan hasil grup aturan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md). 

## Berhenti berlangganan dari grup aturan AWS Marketplace
<a name="marketplace-rule-groups-unsubscribing"></a>

Anda dapat berhenti berlangganan dari grup AWS Marketplace aturan di AWS Marketplace konsol.

**penting**  
Untuk menghentikan biaya berlangganan untuk grup AWS Marketplace aturan, Anda harus menghapusnya dari semua paket perlindungan (web ACLs) di dalam AWS WAF dan dalam AWS WAF kebijakan Firewall Manager apa pun, selain berhenti berlangganan. Jika Anda berhenti berlangganan dari grup AWS Marketplace aturan tetapi tidak menghapusnya dari paket perlindungan Anda (web ACLs), Anda akan terus dikenakan biaya untuk langganan tersebut. 

**Untuk berhenti berlangganan dari grup AWS Marketplace aturan**

1. Hapus grup aturan dari semua paket perlindungan (web ACLs). Untuk informasi selengkapnya, lihat [Mengedit paket perlindungan (web ACL) di AWS WAF](web-acl-editing.md).

1. Buka AWS konsol di [https://console.aws.amazon.com/marketplace](https://console.aws.amazon.com/marketplace).

   **Halaman Kelola langganan muncul**.

1. Buka daftar **metode Pengiriman** dan pilih **SaaS**.

1. Di bawah **Perjanjian**, buka **daftar Tindakan** dan pilih **Batalkan langganan** di samping nama grup aturan tempat Anda ingin berhenti berlangganan.

1. Di kotak dialog **Batalkan langganan**, masukkan**confirm**, lalu pilih **Ya, batalkan langganan**.

## Grup aturan pemecahan masalah AWS Marketplace
<a name="waf-managed-rule-group-troubleshooting"></a>

Jika Anda menemukan bahwa grup AWS Marketplace aturan memblokir lalu lintas yang sah, Anda dapat memecahkan masalah dengan melakukan langkah-langkah berikut.

**Untuk memecahkan masalah grup aturan AWS Marketplace**

1. Ganti tindakan untuk menghitung aturan yang memblokir lalu lintas yang sah. Anda dapat mengidentifikasi aturan mana yang memblokir permintaan tertentu menggunakan permintaan AWS WAF sampel atau AWS WAF log. Anda dapat mengidentifikasi aturan dengan melihat `ruleGroupId` bidang di log atau permintaan sampel. `RuleWithinRuleGroup` Anda dapat mengidentifikasi aturan dalam pola`<Seller Name>#<RuleGroup Name>#<Rule Name>`.

1. **Jika menyetel aturan khusus untuk hanya menghitung permintaan tidak menyelesaikan masalah, Anda dapat mengganti semua tindakan aturan atau mengubah tindakan untuk grup AWS Marketplace aturan itu sendiri dari **No override ke Override** untuk dihitung.** Hal ini memungkinkan permintaan web untuk melewati, terlepas dari tindakan aturan individu dalam kelompok aturan. 

1. Setelah mengganti tindakan aturan individual atau seluruh tindakan grup AWS Marketplace aturan, hubungi tim dukungan pelanggan penyedia grup aturan untuk memecahkan masalah lebih lanjut. Untuk informasi kontak, lihat daftar grup aturan di halaman daftar produk AWS Marketplace.

### Menghubungi AWS dukungan
<a name="waf-managed-rule-group-troubleshooting-support"></a>

Untuk masalah dengan AWS WAF atau kelompok aturan yang dikelola oleh AWS, hubungi AWS Dukungan. Untuk masalah dengan grup aturan yang dikelola oleh AWS Marketplace penjual, hubungi tim dukungan pelanggan penyedia. Untuk menemukan informasi kontak, lihat daftar penyedia di AWS Marketplace.

# Mengenali kelompok aturan yang disediakan oleh layanan lain
<a name="waf-service-owned-rule-groups"></a>

Jika Anda atau administrator di organisasi Anda menggunakan AWS Firewall Manager atau AWS Shield Advanced mengelola perlindungan sumber daya menggunakan AWS WAF, Anda mungkin melihat pernyataan referensi grup aturan ditambahkan ke paket perlindungan (web ACLs) di akun Anda. 

Nama-nama kelompok aturan ini dimulai dengan string berikut: 
+ **`ShieldMitigationRuleGroup`**— Grup aturan ini dikelola oleh AWS Shield Advanced dan digunakan untuk menyediakan mitigasi lapisan aplikasi DDo S otomatis ke sumber daya lapisan aplikasi yang dilindungi (lapisan 7). 

  Saat Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk sumber daya yang dilindungi, Shield Advanced menambahkan salah satu grup aturan ini ke paket perlindungan (web ACL) yang telah Anda kaitkan dengan sumber daya. Shield Advanced menetapkan pernyataan referensi grup aturan pengaturan prioritas 10.000.000, sehingga berjalan setelah aturan yang telah Anda konfigurasikan dalam paket perlindungan (web ACL). Untuk informasi selengkapnya tentang grup aturan ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md).
**Awas**  
Jangan mencoba mengelola grup aturan ini secara manual di paket perlindungan Anda (web ACL). Secara khusus, jangan menghapus pernyataan referensi grup `ShieldMitigationRuleGroup` aturan secara manual dari paket perlindungan Anda (web ACL). Melakukan hal ini dapat memiliki konsekuensi yang tidak diinginkan untuk semua sumber daya yang terkait dengan paket perlindungan (web ACL). Sebagai gantinya, gunakan Shield Advanced untuk menonaktifkan mitigasi otomatis untuk sumber daya yang terkait dengan paket perlindungan (web ACL). Shield Advanced akan menghapus grup aturan untuk Anda ketika tidak diperlukan untuk mitigasi otomatis.
+ **`PREFMManaged`dan `POSTFMManaged`** — Grup aturan ini dikelola AWS Firewall Manager berdasarkan konfigurasi AWS WAF kebijakan Firewall Manager. Firewall Manager menyediakan grup aturan ini di dalam paket perlindungan (web ACLs) yang dikelola Firewall Manager. 

  Firewall Manager membuat paket perlindungan (web ACLs) untuk Anda dengan nama yang dimulai dengan`FMManagedWebACLV2`. Anda dapat mengonfigurasi Firewall Manager untuk memperbaiki paket perlindungan yang ada (web ACLs) juga. Untuk ini, nama paket perlindungan (web ACL) adalah nama yang Anda tentukan saat Anda membuatnya. Dalam kedua kasus tersebut, Firewall Manager akan menambahkan grup aturan ini ke paket perlindungan (web ACL). Lihat informasi yang lebih lengkap di [Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md).

# Unit kapasitas ACL Web (WCUs) di AWS WAF
<a name="aws-waf-capacity-units"></a>

Bagian ini menjelaskan apa itu unit kapasitas ACL web (WCUs) dan bagaimana mereka bekerja.

AWS WAF digunakan WCUs untuk menghitung dan mengontrol sumber daya operasi yang diperlukan untuk menjalankan aturan, grup aturan, dan web Anda ACLs. AWS WAF memberlakukan batas WCU saat Anda mengonfigurasi grup aturan dan web Anda. ACLs WCUs tidak mempengaruhi cara AWS WAF memeriksa lalu lintas web. 

AWS WAF mengelola kapasitas untuk aturan, kelompok aturan, dan web ACLs. 

**Aturan WCUs**  
AWS WAF menghitung kapasitas aturan saat Anda membuat atau memperbarui aturan. AWS WAF menghitung kapasitas secara berbeda untuk setiap jenis aturan, untuk mencerminkan biaya relatif masing-masing aturan. Aturan sederhana yang biayanya sedikit untuk dijalankan menggunakan aturan yang lebih sedikit WCUs daripada yang lebih kompleks yang menggunakan lebih banyak daya pemrosesan. Misalnya, pernyataan aturan batasan ukuran menggunakan WCUs lebih sedikit dari pernyataan yang memeriksa permintaan menggunakan kumpulan pola regex. 

Persyaratan kapasitas aturan umumnya dimulai dengan biaya dasar untuk jenis aturan dan meningkat dengan kompleksitas, misalnya, ketika Anda menambahkan transformasi teks sebelum inspeksi atau jika Anda memeriksa badan JSON. Untuk informasi tentang persyaratan kapasitas aturan, lihat daftar untuk pernyataan aturan di[Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md). 

**Kelompok aturan WCUs**  
Persyaratan WCU untuk grup aturan ditentukan oleh aturan yang Anda tentukan di dalam grup aturan. Kapasitas maksimum untuk kelompok aturan adalah 5.000 WCUs. 

Setiap kelompok aturan memiliki pengaturan kapasitas yang tidak dapat diubah, yang diberikan pemilik pada saat pembuatan. Ini berlaku untuk grup aturan terkelola dan grup aturan yang Anda buat AWS WAF. Saat Anda memodifikasi grup aturan, perubahan Anda harus menjaga grup aturan WCUs dalam kapasitasnya. Ini memastikan bahwa paket perlindungan (web ACLs) atau web ACLs yang menggunakan grup aturan tetap dalam persyaratan kapasitasnya. 

 WCUs Yang digunakan dalam kelompok aturan adalah jumlah dari aturan dikurangi pengoptimalan pemrosesan apa pun yang dapat AWS WAF diperoleh dengan menggabungkan perilaku aturan. WCUs Misalnya, jika Anda mendefinisikan dua aturan untuk memeriksa komponen permintaan web yang sama, dan aturan masing-masing menerapkan transformasi tertentu ke komponen sebelum memeriksanya, AWS WAF mungkin dapat menagih Anda sekali saja untuk menerapkan transformasi. Biaya WCU untuk menggunakan grup aturan dalam paket perlindungan (web ACL) selalu merupakan pengaturan WCU tetap yang Anda tentukan pada pembuatan grup aturan. 

Saat Anda membuat grup aturan, berhati-hatilah untuk mengatur kapasitas yang cukup tinggi untuk mengakomodasi aturan yang ingin Anda gunakan selama masa pakai grup aturan. 

**Paket perlindungan atau ACL web WCUs**  
Persyaratan WCU untuk paket perlindungan (web ACL) ditentukan oleh aturan dan grup aturan yang Anda gunakan di dalam paket perlindungan (web ACL). 
+ Biaya menggunakan grup aturan dalam paket perlindungan (web ACL) adalah pengaturan kapasitas grup aturan. 
+ Biaya penggunaan aturan adalah aturan yang dihitung WCUs dikurangi pengoptimalan pemrosesan apa pun yang dapat AWS WAF diperoleh dari kombinasi aturan paket perlindungan (web ACL). Misalnya, jika Anda mendefinisikan dua aturan untuk memeriksa komponen permintaan web yang sama, dan aturan masing-masing menerapkan transformasi tertentu ke komponen sebelum memeriksanya, AWS WAF mungkin dapat menagih Anda sekali saja untuk menerapkan transformasi. 

Harga dasar untuk paket perlindungan (web ACL) sudah termasuk hingga 1.500 WCUs. Menggunakan lebih dari 1.500 WCUs menimbulkan biaya tambahan, menurut model penetapan harga berjenjang. AWS WAF secara otomatis menyesuaikan harga paket perlindungan (web ACL) Anda karena penggunaan paket perlindungan (web ACL) WCU Anda berubah. Untuk detail harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/). 

Kapasitas maksimum untuk paket perlindungan (web ACL) adalah 5.000 WCUs. 

## Menentukan WCUs untuk grup aturan, paket perlindungan (web ACL), atau ACL web
<a name="aws-waf-capacity-units-used"></a>

Seperti disebutkan di bagian sebelumnya, total yang WCUs digunakan dalam grup aturan, paket perlindungan (web ACL), atau ACL web akan sama dengan *atau kurang dari* jumlah WCUs untuk semua aturan yang didefinisikan dalam grup aturan, paket perlindungan (web ACL), atau ACL web.

Di AWS WAF konsol, Anda dapat melihat kapasitas yang dikonsumsi saat menambahkan aturan ke paket perlindungan (web ACL), ACL web, atau grup aturan. Konsol menampilkan unit kapasitas saat ini yang digunakan saat Anda menambahkan aturan. 

Melalui API, Anda dapat memeriksa persyaratan kapasitas maksimum untuk aturan yang ingin Anda gunakan dalam paket perlindungan (web ACL), ACL web, atau grup aturan. Untuk melakukan ini, berikan daftar aturan JSON ke panggilan kapasitas cek. Untuk informasi selengkapnya, lihat [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)di *Referensi API AWS WAF V2*.

# Komponen permintaan web yang terlalu besar di AWS WAF
<a name="waf-oversize-request-components"></a>

Bagian ini menjelaskan cara mengelola batas ukuran saat memeriksa badan permintaan web, header, dan cookie di. AWS WAF

AWS WAF tidak mendukung pemeriksaan konten yang sangat besar untuk badan komponen permintaan web, header, atau cookie. Layanan host yang mendasarinya memiliki batasan jumlah dan ukuran pada apa yang diteruskannya AWS WAF untuk diperiksa. Misalnya, layanan host tidak mengirim lebih dari 200 header ke AWS WAF, jadi untuk permintaan web dengan 205 header, tidak AWS WAF dapat memeriksa 5 header terakhir. 

Ketika AWS WAF memungkinkan permintaan web untuk melanjutkan ke sumber daya Anda yang dilindungi, seluruh permintaan web dikirim, termasuk konten apa pun yang berada di luar batas hitungan dan ukuran yang AWS WAF dapat diperiksa. 

**Batas ukuran inspeksi komponen**  
Batas ukuran inspeksi komponen adalah sebagai berikut: 
+ **`Body`dan `JSON Body`** — Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md). 
+ **`Headers`**— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai. 

  Batasan ini berlaku saat Anda memeriksa semua header dalam permintaan. Saat Anda memeriksa satu header, AWS WAF dapat memeriksa konten lengkap header tersebut tanpa batasan ukuran atau hitungan ini.
+ **`Cookies`**— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari cookie permintaan dan paling banyak 200 cookie pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai. 

**Opsi penanganan ukuran besar untuk pernyataan aturan Anda**  
Saat Anda menulis pernyataan aturan yang memeriksa salah satu jenis komponen permintaan ini, Anda menentukan cara menangani komponen yang terlalu besar. Penanganan oversize memberi tahu AWS WAF apa yang harus dilakukan dengan permintaan web ketika komponen permintaan yang diperiksa aturan melebihi batas ukuran. 

Opsi untuk menangani komponen kebesaran adalah sebagai berikut: 
+ **Continue**— Periksa komponen permintaan secara normal sesuai dengan kriteria inspeksi aturan. AWS WAF akan memeriksa isi komponen permintaan yang berada dalam batas ukuran. 
+ **Match**— Perlakukan permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan tanpa mengevaluasinya terhadap kriteria inspeksi aturan. 
+ **No match**— Perlakukan permintaan web sebagai tidak cocok dengan pernyataan aturan tanpa mengevaluasinya terhadap kriteria inspeksi aturan. AWS WAF melanjutkan inspeksi permintaan web menggunakan sisa aturan dalam paket perlindungan (web ACL) seperti yang akan dilakukan untuk aturan yang tidak cocok. 

Di AWS WAF konsol, Anda harus memilih salah satu opsi penanganan ini. Di luar konsol, opsi defaultnya adalahContinue. 

Jika Anda menggunakan Match opsi dalam aturan yang mengatur tindakannyaBlock, aturan akan memblokir permintaan yang komponen inspeksinya terlalu besar. Dengan konfigurasi lainnya, disposisi akhir permintaan tergantung pada berbagai faktor, seperti konfigurasi aturan lain dalam paket perlindungan Anda (web ACL) dan pengaturan tindakan default paket perlindungan (web ACL). 

**Penanganan kebesaran dalam grup aturan yang tidak Anda miliki**  
Batasan ukuran dan jumlah komponen berlaku untuk semua aturan yang Anda gunakan dalam paket perlindungan (web ACL). Ini termasuk aturan apa pun yang Anda gunakan tetapi tidak dikelola, di grup aturan terkelola dan dalam grup aturan yang dibagikan dengan Anda oleh akun lain. 

Bila Anda menggunakan grup aturan yang tidak Anda kelola, grup aturan mungkin memiliki aturan yang memeriksa komponen permintaan terbatas tetapi tidak menangani konten berukuran besar seperti yang Anda butuhkan untuk ditangani. Untuk informasi tentang cara Aturan AWS Terkelola mengelola komponen yang terlalu besar, lihat[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md). Untuk informasi tentang grup aturan lain, tanyakan kepada penyedia grup aturan Anda.

**Pedoman untuk mengelola komponen yang terlalu besar dalam paket perlindungan Anda (web ACL)**  
Cara Anda menangani komponen oversize dalam paket perlindungan (web ACL) dapat bergantung pada sejumlah faktor seperti ukuran konten komponen permintaan yang diharapkan, penanganan permintaan default paket perlindungan (web ACL), dan bagaimana aturan lain dalam paket perlindungan Anda (web ACL) cocok dan menangani permintaan. 

Pedoman umum untuk mengelola komponen permintaan web berukuran besar adalah sebagai berikut: 
+ Jika Anda perlu mengizinkan beberapa permintaan dengan konten komponen yang terlalu besar, jika memungkinkan, tambahkan aturan untuk secara eksplisit hanya mengizinkan permintaan tersebut. Prioritaskan aturan tersebut sehingga mereka berjalan sebelum aturan lain dalam paket perlindungan (web ACL) yang memeriksa jenis komponen yang sama. Dengan pendekatan ini, Anda tidak akan dapat menggunakannya AWS WAF untuk memeriksa seluruh konten komponen kebesaran yang Anda izinkan untuk diteruskan ke sumber daya yang dilindungi.
+ Untuk semua permintaan lainnya, Anda dapat mencegah byte tambahan lewat dengan memblokir permintaan yang melampaui batas: 
  + **Aturan dan grup aturan** Anda — Dalam aturan yang memeriksa komponen dengan batas ukuran, konfigurasikan penanganan ukuran besar sehingga Anda memblokir permintaan yang melampaui batas. Misalnya, jika aturan Anda memblokir permintaan dengan konten header tertentu, setel penanganan ukuran besar agar sesuai dengan permintaan yang memiliki konten header yang terlalu besar. Sebagai alternatif, jika paket perlindungan (web ACL) memblokir permintaan secara default dan aturan Anda mengizinkan konten header tertentu, maka konfigurasikan penanganan ukuran besar aturan Anda agar tidak cocok dengan permintaan apa pun yang memiliki konten header yang terlalu besar. 
  + **Grup aturan yang tidak Anda kelola** — Untuk mencegah grup aturan yang tidak Anda kelola mengizinkan komponen permintaan yang terlalu besar, Anda dapat menambahkan aturan terpisah yang memeriksa jenis komponen permintaan dan memblokir permintaan yang melampaui batas. Prioritaskan aturan dalam paket perlindungan Anda (web ACL) sehingga berjalan sebelum grup aturan. Misalnya, Anda dapat memblokir permintaan dengan konten tubuh yang terlalu besar sebelum aturan inspeksi tubuh Anda dijalankan di paket perlindungan (web ACL). Prosedur berikut menjelaskan cara menambahkan jenis aturan ini.

## Memblokir komponen permintaan web yang terlalu besar
<a name="waf-oversize-request-components-blocking"></a>

Anda dapat menambahkan aturan dalam paket perlindungan (web ACL) yang memblokir permintaan dengan komponen yang terlalu besar. 

**Untuk menambahkan aturan yang memblokir konten berukuran besar**

1. Saat Anda membuat atau mengedit paket perlindungan (web ACL), dalam pengaturan aturan, pilih **Tambahkan aturan, Tambahkan aturan** **dan grup aturan saya sendiri**, **Pembuat aturan**, lalu **Editor visual Aturan**. Untuk panduan tentang membuat atau mengedit paket perlindungan (web ACL), lihat[Melihat metrik lalu lintas web di AWS WAF](web-acl-working-with.md).

1. Masukkan nama untuk aturan Anda, dan biarkan pengaturan **Type** pada **aturan Regular**. 

1. Ubah pengaturan kecocokan berikut dari defaultnya: 

   1. **Pada **Pernyataan**, untuk **Inspect**, buka dropdown dan pilih komponen permintaan web yang Anda butuhkan, baik **Body**, **Header**, atau Cookies.** 

   1. Untuk **jenis Match**, pilih **Ukuran lebih besar dari**. 

   1. Untuk **Ukuran**, ketikkan angka yang setidaknya ukuran minimum untuk jenis komponen. Untuk header dan cookie, ketik`8192`. Dalam Application Load Balancer atau paket AWS AppSync perlindungan (web ACLs), untuk badan, tipe. `8192` Untuk badan di CloudFront, API Gateway, Amazon Cognito, App Runner, atau paket perlindungan Akses Terverifikasi (web ACLs), jika Anda menggunakan batas ukuran badan default, ketik. `16384` Jika tidak, ketikkan batas ukuran tubuh yang telah Anda tetapkan untuk paket perlindungan Anda (web ACL). 

   1. Untuk **penanganan Oversize**, pilih **Match**. 

1. Untuk **Tindakan**, pilih **Blokir**.

1. Pilih **Tambahkan aturan**.

1. Setelah Anda menambahkan aturan, pada halaman **prioritas aturan Set**, pindahkan ke atas aturan atau grup aturan apa pun dalam paket perlindungan Anda (web ACL) yang memeriksa jenis komponen yang sama. Ini memberi aturan baru pengaturan prioritas numerik yang lebih rendah, yang menyebabkan AWS WAF untuk mengevaluasinya terlebih dahulu. Lihat informasi yang lebih lengkap di [Menetapkan prioritas aturan](web-acl-processing-order.md).

# Sintaks ekspresi reguler yang didukung di AWS WAF
<a name="waf-regex-pattern-support"></a>

AWS WAF mendukung sintaks pola ekspresi reguler yang digunakan oleh pustaka PCRE. `libpcre` Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. 

AWS WAF tidak mendukung semua konstruksi perpustakaan. Misalnya, mendukung beberapa pernyataan lebar nol, tetapi tidak semua. Kami tidak memiliki daftar lengkap konstruksi yang didukung. Namun, jika Anda memberikan pola regex yang tidak valid atau menggunakan konstruksi yang tidak didukung, AWS WAF API akan melaporkan kegagalan. 

AWS WAF tidak mendukung pola PCRE berikut: 
+ Referensi balik dan menangkap subexpressions
+ Referensi subrutin dan pola rekursif
+ Pola bersyarat
+ Kata kerja kontrol mundur
+ Direktif byte tunggal\$1 C
+ Arahan pencocokan baris baru\$1 R
+ Perintah pengaturan ulang pertandingan dimulai\$1 K
+ Callout dan kode tertanam
+ Pengelompokan atom dan kuantifier posesif

# Set IP dan set pola regex di AWS WAF
<a name="waf-referenced-set-managing"></a>

Bagian ini memperkenalkan topik set IP dan set pola regex.

AWS WAF menyimpan beberapa informasi yang lebih kompleks dalam set yang Anda gunakan dengan mereferensikannya dalam aturan Anda. Masing-masing set ini memiliki nama dan diberi Nama Sumber Daya Amazon (ARN) saat pembuatan. Anda dapat mengelola set ini dari dalam pernyataan aturan Anda dan Anda dapat mengakses dan mengelolanya sendiri, melalui panel navigasi konsol. 

Anda dapat menggunakan set terkelola dalam grup aturan atau paket perlindungan (web ACL).
+ Untuk menggunakan set IP, lihat[Pernyataan aturan kecocokan set IP](waf-rule-statement-type-ipset-match.md). 
+ Untuk menggunakan set pola regex lihat. [Pernyataan aturan kecocokan set pola Regex](waf-rule-statement-type-regex-pattern-set-match.md) 

**Inkonsistensi sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

**Topics**
+ [Membuat dan mengelola IP yang ditetapkan AWS WAF](waf-ip-set-managing.md)
+ [Membuat dan mengelola pola regex yang diatur AWS WAF](waf-regex-pattern-set-managing.md)

# Membuat dan mengelola IP yang ditetapkan AWS WAF
<a name="waf-ip-set-managing"></a>

Kumpulan IP menyediakan kumpulan alamat IP dan rentang alamat IP yang ingin Anda gunakan bersama dalam pernyataan aturan. Set IP adalah AWS sumber daya. 

Untuk menggunakan set IP dalam paket perlindungan (web ACL) atau grup aturan, Anda terlebih dahulu membuat AWS sumber daya, `IPSet` dengan spesifikasi alamat Anda. Kemudian Anda mereferensikan set ketika Anda menambahkan pernyataan aturan set IP ke paket perlindungan (web ACL) atau grup aturan. 

## Membuat set IP
<a name="waf-ip-set-creating"></a>

Ikuti prosedur di bagian ini untuk membuat set IP baru.

**catatan**  
Selain prosedur di bagian ini, Anda memiliki opsi untuk menambahkan set IP baru ketika Anda menambahkan aturan pencocokan IP ke paket perlindungan (web ACL) atau grup aturan Anda. Memilih opsi itu mengharuskan Anda untuk memberikan pengaturan yang sama seperti yang diperlukan oleh prosedur ini. 

**Untuk membuat set IP**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **set IP** dan kemudian **Buat set IP**. 

1. Masukkan nama dan deskripsi untuk set IP. Anda akan menggunakan ini untuk mengidentifikasi set ketika Anda ingin menggunakannya. 
**catatan**  
Anda tidak dapat mengubah nama setelah Anda membuat set IP.

1. Untuk **Region**, pilih Global (CloudFront) atau pilih Region tempat Anda ingin menyimpan set IP. Anda dapat menggunakan set IP regional hanya dalam paket perlindungan (web ACLs) yang melindungi sumber daya regional. Untuk menggunakan set IP dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon, Anda harus menggunakan Global (CloudFront). 

1. Untuk **versi IP**, pilih versi yang ingin Anda gunakan.

1. Di kotak teks **alamat IP**, masukkan satu alamat IP atau rentang alamat IP per baris, dalam notasi CIDR. AWS WAF mendukung semua IPv4 dan rentang IPv6 CIDR kecuali untuk`/0`. Untuk informasi lebih lanjut tentang notasi CIDR, lihat artikel Wikipedia [Classless](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) Inter-Domain Routing.

   Berikut ini adalah beberapa contohnya:
   + **Untuk menentukan IPv4 alamat 192.0.2.44, ketik 192.0.2.44/32.**
   + **Untuk menentukan IPv6 alamat 2620:0:2 d 0:200:0:0:0:0:0:0, ketik 2620:0:2 d 0:200:0:0:0:0 /128.**
   + **Untuk menentukan kisaran IPv4 alamat dari 192.0.2.0 hingga 192.0.2.255, ketik 192.0.2.0/24.**
   + **Untuk menentukan rentang IPv6 alamat dari 2620:0:2 d 0:200: :0:0:0 hingga 2620:0:2 d 0:200:ffff:ffff:ffff:ffff, masukkan 2620:0:2 d 0:200: :/64.**

1. Tinjau pengaturan untuk set IP, dan pilih **Buat set IP**.

## Menghapus set IP
<a name="waf-ip-set-deleting"></a>

Ikuti panduan di bagian ini untuk menghapus set yang direferensikan.

**Menghapus set yang direferensikan dan grup aturan**  
Saat Anda menghapus entitas yang dapat Anda gunakan dalam paket perlindungan (web ACL), seperti kumpulan IP, kumpulan pola regex, atau grup aturan, AWS WAF memeriksa apakah entitas saat ini sedang digunakan dalam paket perlindungan (web ACL). Jika menemukan bahwa itu sedang digunakan, AWS WAF memperingatkan Anda. AWS WAF Hampir selalu dapat menentukan apakah suatu entitas direferensikan oleh paket perlindungan (web ACL). Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di paket perlindungan Anda (web ACLs) sebelum menghapusnya. Jika entitas adalah kumpulan yang direferensikan, periksa juga apakah tidak ada grup aturan yang menggunakannya.

**Untuk menghapus set IP**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **set IP**.

1. Pilih set IP yang ingin Anda hapus dan pilih **Hapus**.

# Membuat dan mengelola pola regex yang diatur AWS WAF
<a name="waf-regex-pattern-set-managing"></a>

Kumpulan pola regex menyediakan kumpulan ekspresi reguler yang ingin Anda gunakan bersama dalam pernyataan aturan. Set pola Regex adalah AWS sumber daya. 

Untuk menggunakan pola regex yang ditetapkan dalam paket perlindungan (web ACL) atau grup aturan, Anda terlebih dahulu membuat AWS sumber daya, `RegexPatternSet` dengan spesifikasi pola regex Anda. Kemudian Anda mereferensikan set saat Anda menambahkan pernyataan aturan set pola regex ke paket perlindungan (web ACL) atau grup aturan. Set pola regex harus berisi setidaknya satu pola regex. 

Jika set pola regex Anda berisi lebih dari satu pola regex, ketika digunakan dalam aturan, pencocokan pola digabungkan dengan logika. `OR` Artinya, permintaan web akan cocok dengan pernyataan aturan set pola jika komponen permintaan cocok dengan salah satu pola dalam set.

AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

## Membuat set pola regex
<a name="waf-regex-pattern-set-creating"></a>

Ikuti prosedur di bagian ini untuk membuat set pola regex baru.

**Untuk membuat set pola regex**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih set pola **Regex dan kemudian **Buat set pola regex****. 

1. Masukkan nama dan deskripsi untuk set pola regex. Anda akan menggunakan ini untuk mengidentifikasinya ketika Anda ingin menggunakan set. 
**catatan**  
Anda tidak dapat mengubah nama setelah Anda membuat set pola regex.

1. Untuk **Region**, pilih Global (CloudFront) atau pilih Region tempat Anda ingin menyimpan set pola regex. Anda dapat menggunakan set pola regex regional hanya dalam paket perlindungan (web ACLs) yang melindungi sumber daya regional. Untuk menggunakan pola regex yang disetel dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi Amazon, Anda harus menggunakan Global (). CloudFront 

1. Dalam kotak teks **Ekspresi reguler**, masukkan satu pola regex per baris. 

   Misalnya, ekspresi reguler `I[a@]mAB[a@]dRequest` cocok dengan string berikut:`IamABadRequest`,, `IamAB@dRequest``I@mABadRequest`, dan`I@mAB@dRequest`.

   AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

1. Tinjau pengaturan untuk set pola regex, dan pilih **Buat set pola regex**.

## Menghapus set pola regex
<a name="waf-regex-pattern-set-deleting"></a>

Ikuti panduan di bagian ini untuk menghapus set yang direferensikan.

**Menghapus set yang direferensikan dan grup aturan**  
Saat Anda menghapus entitas yang dapat Anda gunakan dalam paket perlindungan (web ACL), seperti kumpulan IP, kumpulan pola regex, atau grup aturan, AWS WAF memeriksa apakah entitas saat ini sedang digunakan dalam paket perlindungan (web ACL). Jika menemukan bahwa itu sedang digunakan, AWS WAF memperingatkan Anda. AWS WAF Hampir selalu dapat menentukan apakah suatu entitas direferensikan oleh paket perlindungan (web ACL). Namun, dalam kasus yang jarang terjadi mungkin DNS Firewall tidak dapat melakukannya. Jika Anda perlu memastikan bahwa saat ini tidak ada yang menggunakan entitas, periksa di paket perlindungan Anda (web ACLs) sebelum menghapusnya. Jika entitas adalah kumpulan yang direferensikan, periksa juga apakah tidak ada grup aturan yang menggunakannya.

**Untuk menghapus set pola regex**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih set pola **Regex**.

1. **Pilih set pola regex yang ingin Anda hapus dan pilih Hapus.**

# Permintaan dan tanggapan web yang disesuaikan di AWS WAF
<a name="waf-custom-request-response"></a>

Bagian ini menjelaskan cara menambahkan permintaan web kustom dan perilaku penanganan respons ke tindakan AWS WAF aturan dan tindakan paket perlindungan default (ACL web) Anda. Pengaturan kustom Anda berlaku setiap kali tindakan yang dilampirkan berlaku. 

Anda dapat menyesuaikan permintaan dan tanggapan web dengan cara berikut: 
+ DenganAllow,Count,CAPTCHA, dan Challenge tindakan, Anda dapat menyisipkan header khusus ke dalam permintaan web. Saat AWS WAF meneruskan permintaan web ke sumber daya yang dilindungi, permintaan berisi seluruh permintaan asli ditambah header khusus yang telah Anda masukkan. Untuk Challenge tindakan CAPTCHA dan tindakan, AWS WAF hanya berlaku kustomisasi jika permintaan melewati CAPTCHA atau inspeksi token tantangan.
+ Dengan Block tindakan, Anda dapat menentukan respons kustom lengkap, dengan kode respons, header, dan isi. Sumber daya yang dilindungi merespons permintaan menggunakan respons khusus yang disediakan oleh AWS WAF. Respons kustom Anda menggantikan respons Block tindakan default. `403 (Forbidden)`

**Pengaturan tindakan yang dapat Anda sesuaikan**  
Anda dapat menentukan permintaan atau respons khusus saat menentukan setelan tindakan berikut: 
+ Tindakan aturan. Untuk informasi, lihat [Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).
+ Tindakan default untuk paket perlindungan (web ACL). Untuk informasi, lihat [Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md).

**Pengaturan tindakan yang tidak dapat Anda sesuaikan**  
Anda *tidak dapat* menentukan penanganan permintaan kustom dalam tindakan penggantian untuk grup aturan yang Anda gunakan dalam paket perlindungan (web ACL). Lihat [Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md). Lihat juga [Menggunakan pernyataan grup aturan terkelola di AWS WAF](waf-rule-statement-type-managed-rule-group.md) dan[Menggunakan pernyataan grup aturan di AWS WAF](waf-rule-statement-type-rule-group.md).

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

**Batas penggunaan permintaan dan tanggapan kustom**  
AWS WAF mendefinisikan pengaturan maksimum untuk penggunaan permintaan dan tanggapan kustom Anda. Misalnya, jumlah maksimum header permintaan per paket perlindungan (web ACL) atau grup aturan, dan jumlah maksimum header khusus untuk satu definisi respons kustom. Untuk informasi, lihat [AWS WAF kuota](limits.md).

**Topics**
+ [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md)
+ [Mengirim tanggapan khusus untuk Block tindakan](customizing-the-response-for-blocked-requests.md)
+ [Kode status yang didukung untuk tanggapan khusus](customizing-the-response-status-codes.md)

# Memasukkan header permintaan khusus untuk tindakan non-pemblokiran
<a name="customizing-the-incoming-request"></a>

Bagian ini menjelaskan cara menginstruksikan AWS WAF untuk menyisipkan header kustom ke dalam permintaan HTTP asli ketika tindakan aturan tidak memblokir permintaan. Dengan opsi ini, Anda hanya menambah permintaan. Anda tidak dapat mengubah atau mengganti bagian mana pun dari permintaan asli. Kasus penggunaan untuk penyisipan header khusus termasuk memberi sinyal pada aplikasi hilir untuk memproses permintaan secara berbeda berdasarkan header yang disisipkan, dan menandai permintaan untuk analisis.

**penting**  
Opsi ini berlaku untuk tindakan aturanAllow,, CountCAPTCHA, Challenge dan untuk tindakan default paket perlindungan (web ACL) yang disetel keAllow. Untuk informasi selengkapnya tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi selengkapnya tentang tindakan paket perlindungan default (web ACL), lihat[Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md).

## Pertimbangan saat menggunakan nama header permintaan khusus
<a name="using-custom-request-header-names"></a>

**Awalan ditambahkan ke header permintaan**  
AWS WAF awalan semua header permintaan yang disisipkan`x-amzn-waf-`, untuk menghindari kebingungan dengan header yang sudah ada dalam permintaan. Misalnya, jika Anda menentukan nama header`sample`, AWS WAF menyisipkan header`x-amzn-waf-sample`.

**penting**  
Sebagai praktik keamanan, Anda dapat menambahkan aturan pencocokan string yang memblokir permintaan di mana header sudah dimulai`x-amzn-waf-`. Ini memblokir permintaan dari AWS WAF non-sumber yang meniru string `x-amzn-waf-` awalan yang disisipkan AWS WAF saat memproses header permintaan kustom.

Contoh berikut menunjukkan aturan pencocokan string yang dikonfigurasi untuk memblokir lalu lintas di mana `x-amzn-waf-` awalan tidak dimasukkan oleh AWS WAF:

```
    "Rules": [
        {
          "Name": "CustomHeader",
          "Priority": 0,
          "Statement": {
            "ByteMatchStatement": {
              "SearchString": " x-amzn-waf-",
              "FieldToMatch": {
                "Headers": {
                  "MatchPattern": {
                    "All": {}
                  },
                  "MatchScope": "KEY",
                  "OversizeHandling": "MATCH"
                }
              },
              "TextTransformations": [
                {
                  "Priority": 0,
                  "Type": "NONE"
                }
              ],
              "PositionalConstraint": "STARTS_WITH"
            }
          },
          "Action": {
            "Block": {}
          },
          "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "CustomHeader"
          }
        }
      ]
```

Untuk informasi tentang penggunaan aturan pencocokan string, lihat[Pernyataan aturan kecocokan string](waf-rule-statement-type-string-match.md).

**Header dengan nama yang sama**  
Jika permintaan sudah memiliki header dengan nama yang sama yang disisipkan, AWS WAF timpa header. AWS WAF Jadi, jika Anda mendefinisikan header dalam beberapa aturan dengan nama yang identik, aturan terakhir untuk memeriksa permintaan dan menemukan kecocokan akan ditambahkan tajuknya, dan aturan sebelumnya tidak akan. 

## Menggunakan header khusus dengan tindakan aturan non-terminating
<a name="custom-request-header-non-terminating-rule-actions"></a>

Berbeda dengan Allow Count tindakan, tindakan tidak berhenti AWS WAF memproses permintaan web menggunakan aturan lainnya dalam paket perlindungan (web ACL). Demikian pula, kapan CAPTCHA dan Challenge menentukan bahwa token permintaan valid, tindakan ini tidak berhenti AWS WAF memproses permintaan web. Jadi, jika Anda menyisipkan header khusus menggunakan aturan dengan salah satu tindakan ini, aturan selanjutnya mungkin juga menyisipkan header khusus. Untuk informasi selengkapnya tentang perilaku tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

Misalnya, Anda memiliki aturan berikut, diprioritaskan dalam urutan yang ditunjukkan: 

1. RuleA dengan Count tindakan dan header khusus bernama. `RuleAHeader`

1. RuleB dengan Allow tindakan dan header khusus bernama. `RuleBHeader`

Jika permintaan cocok dengan RuleA dan RuleB, AWS WAF masukkan header `x-amzn-waf-RuleAHeader` dan`x-amzn-waf-RuleBHeader`, lalu teruskan permintaan ke sumber daya yang dilindungi. 

AWS WAF menyisipkan header khusus ke dalam permintaan web ketika selesai memeriksa permintaan. Jadi, jika Anda menggunakan penanganan permintaan kustom dengan aturan yang mengatur tindakanCount, header kustom yang Anda tambahkan tidak akan diperiksa oleh aturan berikutnya. 

## Contoh penanganan permintaan kustom
<a name="example-custom-request-handling"></a>

Anda menentukan penanganan permintaan kustom untuk tindakan aturan atau untuk tindakan default paket perlindungan (web ACL). Daftar berikut menunjukkan JSON untuk penanganan kustom yang ditambahkan ke tindakan default untuk paket perlindungan (web ACL). 

```
{
 "Name": "SampleWebACL",
 "Scope": "REGIONAL",
 "DefaultAction": {
  "Allow": {
   "CustomRequestHandling": {
    "InsertHeaders": [
     {
      "Name": "fruit",
      "Value": "watermelon"
     },
     {
      "Name": "pie",
      "Value": "apple"
     }
    ]
   }
  }
 },
 "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.",
 "Rules": [],
 "VisibilityConfig": {
  "SampledRequestsEnabled": true,
  "CloudWatchMetricsEnabled": true,
  "MetricName": "SampleWebACL"
 }
}
```

# Mengirim tanggapan khusus untuk Block tindakan
<a name="customizing-the-response-for-blocked-requests"></a>

Bagian ini menjelaskan cara menginstruksikan AWS WAF untuk mengirim respons HTTP kustom kembali ke klien untuk tindakan aturan atau tindakan default paket perlindungan (web ACL) yang disetel ke. Block Untuk informasi selengkapnya tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi selengkapnya tentang tindakan paket perlindungan default (web ACL), lihat[Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md).

Saat menentukan penanganan respons khusus untuk suatu Block tindakan, Anda menentukan kode status, header, dan badan respons. Untuk daftar kode status yang dapat Anda gunakan AWS WAF, lihat bagian berikut,[Kode status yang didukung untuk tanggapan khusus](customizing-the-response-status-codes.md). 

**Kasus penggunaan**  
Kasus penggunaan untuk tanggapan kustom meliputi yang berikut: 
+ Mengirim kode status non-default kembali ke klien.
+ Mengirim header respons khusus kembali ke klien. Anda dapat menentukan nama header apa pun kecuali untuk`content-type`.
+ Mengirim halaman kesalahan statis kembali ke klien.
+ Mengarahkan klien ke URL yang berbeda. Untuk melakukan ini, Anda menentukan salah satu kode status `3xx` pengalihan, seperti `301 (Moved Permanently)` atau`302 (Found)`, dan kemudian tentukan header baru bernama `Location` dengan URL baru. 

**Interaksi dengan tanggapan yang Anda tentukan dalam sumber daya yang dilindungi**  
Respons kustom yang Anda tentukan untuk AWS WAF Block tindakan lebih diutamakan daripada spesifikasi respons apa pun yang Anda tentukan di sumber daya yang dilindungi. 

Layanan host untuk AWS sumber daya yang Anda lindungi AWS WAF mungkin mengizinkan penanganan respons khusus untuk permintaan web. Contohnya meliputi hal berikut: 
+ Dengan Amazon CloudFront, Anda dapat menyesuaikan halaman kesalahan berdasarkan kode status. Untuk selengkapnya, lihat [Menghasilkan respons kesalahan kustom](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) di *Panduan CloudFront Pengembang Amazon*. 
+ Dengan Amazon API Gateway Anda dapat menentukan respons dan kode status untuk gateway Anda. Untuk selengkapnya, lihat [Respons Gateway di API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) di *Panduan Pengembang Amazon API Gateway*. 

Anda tidak dapat menggabungkan setelan respons AWS WAF kustom dengan setelan respons khusus di AWS sumber daya yang dilindungi. Spesifikasi respons untuk setiap permintaan web individu datang baik sepenuhnya dari AWS WAF atau sepenuhnya dari sumber daya yang dilindungi. 

Untuk permintaan web yang AWS WAF memblokir, berikut ini menunjukkan urutan prioritas.

1. **AWS WAF respons kustom** - Jika AWS WAF Block tindakan mengaktifkan respons kustom, sumber daya yang dilindungi akan mengirimkan respons kustom yang dikonfigurasi kembali ke klien. Pengaturan respons apa pun yang mungkin telah Anda tetapkan di sumber daya yang dilindungi itu sendiri tidak berpengaruh. 

1. **Respons khusus yang ditentukan dalam sumber daya yang dilindungi** — Jika tidak, jika sumber daya yang dilindungi memiliki pengaturan respons khusus yang ditentukan, sumber daya yang dilindungi menggunakan pengaturan tersebut untuk merespons klien. 

1. **AWS WAF Blockrespons default** - Jika tidak, sumber daya yang dilindungi merespons klien dengan Block respons AWS WAF `403 (Forbidden)` default. 

Untuk permintaan web yang AWS WAF memungkinkan, konfigurasi sumber daya yang dilindungi menentukan respons yang dikirim kembali ke klien. Anda tidak dapat mengonfigurasi setelan respons AWS WAF untuk permintaan yang diizinkan. Satu-satunya penyesuaian yang dapat Anda konfigurasikan AWS WAF untuk permintaan yang diizinkan adalah penyisipan header khusus ke dalam permintaan asli, sebelum meneruskan permintaan ke sumber daya yang dilindungi. Opsi ini dijelaskan di bagian sebelumnya,. [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md) 

**Header respon kustom**  
Anda dapat menentukan nama header apa pun kecuali untuk`content-type`.

**Badan respons khusus**  
Anda menentukan isi respons kustom dalam konteks paket perlindungan (web ACL) atau grup aturan tempat Anda ingin menggunakannya. Setelah menentukan badan respons kustom, Anda dapat menggunakannya dengan referensi di tempat lain di paket perlindungan (web ACL) atau grup aturan tempat Anda membuatnya. Dalam pengaturan Block tindakan individual, Anda mereferensikan badan kustom yang ingin Anda gunakan dan Anda menentukan kode status dan header respons kustom. 

Saat membuat respons khusus di konsol, Anda dapat memilih dari badan respons yang telah ditentukan atau Anda dapat membuat badan baru. Di luar konsol, Anda menentukan badan respons kustom di paket perlindungan (web ACL) atau tingkat grup aturan, lalu mereferensikannya dari setelan tindakan dalam paket perlindungan (web ACL) atau grup aturan. Hal ini ditunjukkan dalam contoh JSON di bagian berikut. 

**Contoh respon kustom**  
Contoh berikut mencantumkan JSON untuk grup aturan dengan pengaturan respons kustom. Badan respons kustom didefinisikan untuk seluruh grup aturan, kemudian direferensikan dengan kunci dalam tindakan aturan.

```
{
 "ARN": "test_rulegroup_arn",
 "Capacity": 1,
 
 "CustomResponseBodies": {
  "CustomResponseBodyKey1": {
   "Content": "This is a plain text response body.",
   "ContentType": "TEXT_PLAIN"
  }
 },
 
 "Description": "This is a test rule group.",
 "Id": "test_rulegroup_id",
 "Name": "TestRuleGroup",
 
 "Rules": [
  {
   "Action": {
    "Block": {
     "CustomResponse": {
      "CustomResponseBodyKey": "CustomResponseBodyKey1",
      "ResponseCode": 404,
      "ResponseHeaders": [
       {
        "Name": "BlockActionHeader1Name",
        "Value": "BlockActionHeader1Value"
       }
      ]
     }
    }
   },
   "Name": "GeoMatchRule",
   "Priority": 1,
   "Statement": {
    "GeoMatchStatement": {
     "CountryCodes": [
      "US"
     ]
    }
   },
   "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "TestRuleGroupReferenceMetric",
    "SampledRequestsEnabled": true
   }
  }
 ],
 "VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "TestRuleGroupMetric",
  "SampledRequestsEnabled": true
 }
}
```

# Kode status yang didukung untuk tanggapan khusus
<a name="customizing-the-response-status-codes"></a>

Bagian ini mencantumkan kode status yang dapat Anda gunakan dalam respons khusus. Untuk informasi rinci tentang kode status HTTP, lihat [Kode Status](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes) oleh Internet Engineering Task Force (IETF) dan [Daftar kode status HTTP](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes) di Wikipedia.

Berikut ini adalah kode status HTTP yang AWS WAF mendukung respons khusus. 
+ `2xx Successful`
  + `200` – `OK`
  + `201` – `Created`
  + `202` – `Accepted` 
  + `204` – `No Content` 
  + `206` – `Partial Content`
+ `3xx Redirection `
  + `300` – `Multiple Choices`
  + `301` – `Moved Permanently`
  + `302` – `Found`
  + `303` –`See Other`
  + `304` – `Not Modified`
  + `307` – `Temporary Redirect`
  + `308` – `Permanent Redirect`
+ `4xx Client Error `
  + `400` – `Bad Request`
  + `401` – `Unauthorized`
  + `403` – `Forbidden`
  + `404` – `Not Found`
  + `405` – `Method Not Allowed`
  + `408` – `Request Timeout`
  + `409` – `Conflict`
  + `411` – `Length Required`
  + `412` – `Precondition Failed`
  + `413` – `Request Entity Too Large`
  + `414` – `Request-URI Too Long`
  + `415` – `Unsupported Media Type`
  + `416` – `Requested Range Not Satisfiable`
  + `421` – `Misdirected Request`
  + `429` – `Too Many Requests`
+ `5xx Server Error`
  + `500` – `Internal Server Error`
  + `501` – `Not Implemented`
  + `502` – `Bad Gateway`
  + `503` – `Service Unavailable`
  + `504` – `Gateway Timeout`
  + `505` – `HTTP Version Not Supported`

# Pelabelan permintaan web di AWS WAF
<a name="waf-labels"></a>

Bagian ini menjelaskan apa itu AWS WAF label.

Label adalah metadata yang ditambahkan ke permintaan web dengan aturan saat aturan cocok dengan permintaan. Setelah ditambahkan, label tetap tersedia berdasarkan permintaan sampai evaluasi paket perlindungan (web ACL) berakhir. Anda dapat mengakses label dalam aturan yang berjalan nanti dalam evaluasi paket perlindungan (web ACL) dengan menggunakan pernyataan pencocokan label. Lihat perinciannya di [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md). 

Label pada permintaan web menghasilkan metrik CloudWatch label Amazon. Untuk daftar metrik dan dimensi, lihat[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). Untuk informasi tentang mengakses metrik dan ringkasan metrik melalui CloudWatch dan melalui konsol, lihat. AWS WAF [Memantau dan menyetel perlindungan Anda AWS WAF](web-acl-testing-activities.md)

**Pelabelan kasus penggunaan**  
Kasus penggunaan umum untuk AWS WAF label meliputi yang berikut: 
+ **Mengevaluasi permintaan web terhadap beberapa pernyataan aturan sebelum mengambil tindakan atas permintaan** — Setelah kecocokan ditemukan dengan aturan dalam paket perlindungan (web ACL), AWS WAF lanjutkan evaluasi permintaan terhadap paket perlindungan (web ACL) jika tindakan aturan tidak menghentikan evaluasi paket perlindungan (web ACL). Anda dapat menggunakan label untuk mengevaluasi dan mengumpulkan informasi dari beberapa aturan sebelum Anda memutuskan untuk mengizinkan atau memblokir permintaan. Untuk melakukannya, ubah tindakan untuk aturan yang ada Count dan konfigurasikan untuk menambahkan label ke permintaan yang cocok. Kemudian, tambahkan satu atau beberapa aturan baru untuk dijalankan setelah aturan Anda yang lain, dan konfigurasikan untuk mengevaluasi label dan mengelola permintaan sesuai dengan kombinasi pencocokan label. 
+ **Mengelola permintaan web berdasarkan wilayah geografis** — Anda dapat menggunakan aturan pencocokan geografis saja untuk mengelola permintaan web berdasarkan negara asal. Untuk menyempurnakan lokasi ke tingkat wilayah, Anda menggunakan aturan geo match dengan Count tindakan yang diikuti dengan aturan pencocokan label. Untuk informasi tentang aturan geo match, lihat[Pernyataan aturan kecocokan geografis](waf-rule-statement-type-geo-match.md). 
+ **Menggunakan kembali logika di beberapa aturan** — Jika Anda perlu menggunakan kembali logika yang sama di beberapa aturan, Anda dapat menggunakan label untuk sumber tunggal logika dan hanya menguji hasilnya. Bila Anda memiliki beberapa aturan kompleks yang menggunakan subset umum dari pernyataan aturan bersarang, menduplikasi aturan umum yang ditetapkan di seluruh aturan kompleks Anda dapat memakan waktu dan rawan kesalahan. Dengan label, Anda dapat membuat aturan baru dengan subset aturan umum yang menghitung permintaan yang cocok dan menambahkan label ke dalamnya. Anda menambahkan aturan baru ke paket perlindungan Anda (web ACL) sehingga berjalan sebelum aturan kompleks asli Anda. Kemudian, dalam aturan asli Anda, Anda mengganti subset aturan bersama dengan satu aturan yang memeriksa label. 

  Misalnya, Anda memiliki beberapa aturan yang hanya ingin Anda terapkan pada jalur masuk Anda. Daripada meminta setiap aturan menentukan logika yang sama untuk mencocokkan jalur login potensial, Anda dapat menerapkan satu aturan baru yang berisi logika itu. Minta aturan baru menambahkan label ke permintaan yang cocok untuk menunjukkan bahwa permintaan berada di jalur login. Dalam paket perlindungan Anda (web ACL), berikan aturan baru ini pengaturan prioritas numerik yang lebih rendah daripada aturan asli Anda sehingga aturan ini berjalan lebih dulu. Kemudian, dalam aturan asli Anda, ganti logika bersama dengan cek keberadaan label. Untuk informasi tentang setelan prioritas, lihat[Menetapkan prioritas aturan](web-acl-processing-order.md). 
+ **Membuat pengecualian pada aturan dalam grup aturan** — Opsi ini sangat berguna untuk grup aturan terkelola, yang tidak dapat Anda lihat atau ubah. Banyak aturan grup aturan terkelola menambahkan label ke permintaan web yang cocok, untuk menunjukkan aturan yang cocok dan mungkin untuk memberikan informasi tambahan tentang kecocokan. Bila Anda menggunakan grup aturan yang menambahkan label ke permintaan, Anda dapat mengganti aturan grup aturan untuk menghitung kecocokan, lalu menjalankan aturan setelah grup aturan yang menangani permintaan web berdasarkan label grup aturan. Semua Aturan AWS Terkelola menambahkan label ke permintaan web yang cocok. Untuk detailnya, lihat deskripsi aturan di[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md). 
+ **Menggunakan metrik label untuk memantau pola lalu lintas** — Anda dapat mengakses metrik untuk label yang ditambahkan melalui aturan dan untuk metrik yang ditambahkan oleh grup aturan terkelola yang Anda gunakan dalam paket perlindungan (web ACL). Semua grup aturan Aturan AWS Terkelola menambahkan label ke permintaan web yang mereka evaluasi. Untuk daftar metrik dan dimensi label, lihat[Label metrik dan dimensi](waf-metrics.md#waf-metrics-label). Anda dapat mengakses metrik dan ringkasan metrik melalui CloudWatch dan melalui halaman paket perlindungan (web ACL) di konsol. AWS WAF Untuk informasi, lihat [Memantau dan menyetel perlindungan Anda AWS WAF](web-acl-testing-activities.md). 

# Bagaimana pelabelan bekerja di AWS WAF
<a name="waf-rule-label-overview"></a>

Bagian ini menjelaskan cara kerja AWS WAF label.

Jika aturan cocok dengan permintaan web, jika aturan memiliki label yang ditentukan, AWS WAF tambahkan label ke permintaan di akhir evaluasi aturan. Aturan yang dievaluasi setelah aturan pencocokan dalam paket perlindungan (web ACL) dapat cocok dengan label yang telah ditambahkan aturan. 

**Siapa yang menambahkan label ke permintaan**  
Komponen paket perlindungan (web ACL) yang mengevaluasi permintaan dapat menambahkan label ke permintaan. 
+ Aturan apa pun yang bukan pernyataan referensi grup aturan dapat menambahkan label ke permintaan web yang cocok. Kriteria pelabelan adalah bagian dari definisi aturan, dan ketika permintaan web cocok dengan aturan, AWS WAF menambahkan label aturan ke permintaan. Untuk informasi, lihat [AWS WAF aturan yang menambahkan label](waf-rule-label-add.md).
+ Pernyataan aturan geo match menambahkan label negara dan wilayah ke permintaan apa pun yang diperiksa, terlepas dari apakah pernyataan tersebut menghasilkan kecocokan. Untuk informasi, lihat [Pernyataan aturan kecocokan geografis](waf-rule-statement-type-geo-match.md).
+ Aturan AWS Terkelola untuk AWS WAF semua menambahkan label ke permintaan yang mereka periksa. Mereka menambahkan beberapa label berdasarkan kecocokan aturan di grup aturan dan mereka menambahkan beberapa berdasarkan AWS proses yang digunakan grup aturan terkelola, seperti pelabelan token yang ditambahkan saat Anda menggunakan grup aturan mitigasi ancaman cerdas. Untuk informasi tentang label yang ditambahkan oleh setiap grup aturan terkelola, lihat[AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md).

**Bagaimana AWS WAF mengelola label**  
AWS WAF menambahkan label aturan ke permintaan di akhir pemeriksaan aturan atas permintaan. Pelabelan adalah bagian dari aktivitas pencocokan aturan, mirip dengan tindakan. 

Label tidak bertahan dengan permintaan web setelah evaluasi paket perlindungan (web ACL) berakhir. Agar aturan lain cocok dengan label yang ditambahkan aturan Anda, tindakan aturan Anda tidak boleh menghentikan evaluasi permintaan web oleh paket perlindungan (web ACL). Tindakan aturan harus diatur keCount,CAPTCHA, atauChallenge. Ketika evaluasi paket perlindungan (web ACL) tidak berakhir, aturan berikutnya dalam paket perlindungan (web ACL) dapat menjalankan kriteria pencocokan label mereka terhadap permintaan. Untuk informasi selengkapnya tentang tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). 

**Akses ke label selama evaluasi paket perlindungan (web ACL)**  
Setelah ditambahkan, label tetap tersedia pada permintaan selama AWS WAF mengevaluasi permintaan terhadap paket perlindungan (web ACL). Aturan apa pun dalam paket perlindungan (web ACL) dapat mengakses label yang telah ditambahkan oleh aturan yang telah berjalan dalam paket perlindungan yang sama (web ACL). Ini termasuk aturan yang didefinisikan langsung di dalam paket perlindungan (web ACL) dan aturan yang didefinisikan di dalam grup aturan yang digunakan dalam paket perlindungan (web ACL). 
+ Anda dapat mencocokkan label dalam kriteria pemeriksaan permintaan aturan Anda menggunakan pernyataan pencocokan label. Anda dapat mencocokkan dengan label apa pun yang dilampirkan pada permintaan. Untuk detail pernyataan, lihat[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md). 
+ Pernyataan pencocokan geografis menambahkan label dengan atau tanpa kecocokan, tetapi hanya tersedia setelah aturan pernyataan berisi paket perlindungan (web ACL) telah menyelesaikan evaluasi permintaan. 
  + Anda tidak dapat menggunakan aturan tunggal, misalnya pernyataan logis, untuk menjalankan `AND` pernyataan geo match diikuti dengan pernyataan pencocokan label terhadap label geografis. Anda harus meletakkan pernyataan pencocokan label dalam aturan terpisah yang berjalan setelah aturan yang berisi pernyataan geo match. 
  + Jika Anda menggunakan pernyataan geo match sebagai pernyataan scope-down di dalam pernyataan aturan berbasis tarif atau pernyataan referensi grup aturan terkelola, label yang ditambahkan oleh pernyataan geo match tidak tersedia untuk diperiksa oleh pernyataan aturan yang berisi. Jika Anda perlu memeriksa pelabelan geografis dalam pernyataan aturan berbasis tarif atau grup aturan, Anda harus menjalankan pernyataan geo match dalam aturan terpisah yang berjalan sebelumnya. 

**Akses ke informasi label di luar evaluasi paket perlindungan (web ACL)**  
Label tidak bertahan dengan permintaan web setelah evaluasi paket perlindungan (web ACL) berakhir, tetapi AWS WAF mencatat informasi label di log dan metrik. 
+ AWS WAF menyimpan CloudWatch metrik Amazon untuk 100 label pertama pada permintaan tunggal apa pun. Untuk informasi tentang mengakses metrik label, lihat [Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md) dan. [Label metrik dan dimensi](waf-metrics.md#waf-metrics-label)
+ AWS WAF merangkum metrik CloudWatch label di dasbor ikhtisar lalu lintas paket perlindungan (web ACL) di konsol. AWS WAF Anda dapat mengakses dasbor di halaman paket perlindungan (web ACL) apa pun. Untuk informasi selengkapnya, lihat [Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md).
+ AWS WAF merekam label di log untuk 100 label pertama berdasarkan permintaan. Anda dapat menggunakan label, bersama dengan tindakan aturan, untuk memfilter log yang AWS WAF merekam. Untuk informasi, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

Evaluasi paket perlindungan (web ACL) Anda dapat menerapkan lebih dari 100 label ke permintaan web dan cocok dengan lebih dari 100 label, tetapi AWS WAF hanya mencatat 100 label pertama dalam log dan metrik. 

# Sintaks label dan persyaratan penamaan di AWS WAF
<a name="waf-rule-label-requirements"></a>

Bagian ini menjelaskan cara membuat dan mencocokkan AWS WAF label.

Label adalah string yang terdiri dari awalan, ruang nama opsional, dan nama. Komponen label dibatasi dengan titik dua. Label memiliki persyaratan dan karakteristik sebagai berikut:
+ Label peka huruf besar/kecil. 
+ Setiap namespace label atau nama label dapat memiliki hingga 128 karakter. 
+ Anda dapat menentukan hingga lima ruang nama dalam label. 
+ Komponen label dipisahkan oleh titik dua (`:`).
+ Anda tidak dapat menggunakan string cadangan berikut di ruang nama atau nama yang Anda tentukan untuk label:`awswaf`,,,,`aws`,`waf`, `rulegroup` `webacl``regexpatternset`, `ipset` dan. `managed`

## Sintaks label
<a name="waf-rule-label-syntax"></a>

Label yang sepenuhnya memenuhi syarat memiliki awalan, ruang nama opsional, dan nama label. Awalan mengidentifikasi kelompok aturan atau paket perlindungan (web ACL) konteks aturan yang menambahkan label. Ruang nama dapat digunakan untuk menambahkan lebih banyak konteks untuk label. Nama label memberikan tingkat detail terendah untuk label. Ini sering menunjukkan aturan spesifik yang menambahkan label ke permintaan. 

Awalan label bervariasi tergantung pada asalnya. 
+ **Label Anda** — Berikut ini menunjukkan sintaks label lengkap untuk label yang Anda buat dalam paket perlindungan (web ACL) dan aturan grup aturan. Jenis entitas adalah `rulegroup` dan`webacl`.

  ```
  awswaf:<entity owner account id>:<entity type>:<entity name>:<custom namespace>:...:<label name>
  ```
  + Awalan namespace label: `awswaf:<entity owner account id>:<entity type>:<entity name>:`
  + Penambahan namespace khusus: `<custom namespace>:…:`

  Saat Anda menentukan label untuk aturan dalam grup aturan atau paket perlindungan (web ACL), Anda mengontrol string namespace kustom dan nama label. Sisanya dihasilkan untuk Anda oleh AWS WAF. AWS WAF secara otomatis mengawali semua label dengan `awswaf` dan paket akun dan perlindungan (web ACL) atau pengaturan entitas grup aturan.
+ **Label grup aturan terkelola** - Berikut ini menunjukkan sintaks label lengkap untuk label yang dibuat oleh aturan dalam grup aturan terkelola. 

  ```
  awswaf:managed:<vendor>:<rule group name>:<custom namespace>:...:<label name>
  ```
  + Awalan namespace label: `awswaf:managed:<vendor>:<rule group name>:`
  + Penambahan namespace khusus: `<custom namespace>:…:`

  Semua grup aturan Aturan AWS Terkelola menambahkan label. Untuk informasi tentang grup aturan terkelola, lihat[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md). 
+ **Label dari AWS proses lain** — Proses ini digunakan oleh grup aturan Aturan AWS Terkelola, sehingga Anda melihatnya ditambahkan ke permintaan web yang Anda evaluasi menggunakan grup aturan terkelola. Berikut ini menunjukkan sintaks label lengkap untuk label yang dibuat oleh proses yang dipanggil oleh kelompok aturan terkelola. 

  ```
  awswaf:managed:<process>:<custom namespace>:...:<label name>
  ```
  + Awalan namespace label: `awswaf:managed:<process>:`
  + Penambahan namespace khusus: `<custom namespace>:…:`

  Label jenis ini dicantumkan untuk grup aturan terkelola yang memanggil AWS proses. Untuk informasi tentang grup aturan terkelola, lihat[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md). 

## Contoh label untuk aturan Anda
<a name="waf-rule-label-examples-rules"></a>

Contoh label berikut ditentukan oleh aturan dalam grup aturan bernama `testRules` milik akun, 111122223333. 

```
awswaf:111122223333:rulegroup:testRules:testNS1:testNS2:LabelNameA
```

```
awswaf:111122223333:rulegroup:testRules:testNS1:LabelNameQ
```

```
awswaf:111122223333:rulegroup:testRules:LabelNameZ
```

Daftar berikut menunjukkan contoh spesifikasi label di JSON. Nama label ini menyertakan string namespace khusus sebelum nama label akhir. 

```
Rule: {
    Name: "label_rule",
    Statement: {...}
    RuleLabels: [
        Name: "header:encoding:utf8",
        Name: "header:user_agent:firefox"
    ],
    Action: { Count: {} }
}
```

**catatan**  
Anda dapat mengakses jenis daftar ini di konsol melalui editor aturan JSON. 

Jika Anda menjalankan aturan sebelumnya dalam grup aturan dan akun yang sama dengan contoh label sebelumnya, label yang dihasilkan dan memenuhi syarat adalah sebagai berikut: 

```
awswaf:111122223333:rulegroup:testRules:header:encoding:utf8
```

```
awswaf:111122223333:rulegroup:testRules:header:user_agent:firefox
```

## Contoh label untuk grup aturan terkelola
<a name="waf-rule-label-examples-rule-groups"></a>

Berikut ini menunjukkan contoh label dari grup aturan Aturan AWS Terkelola dan proses yang mereka panggil.

```
awswaf:managed:aws:core-rule-set:NoUserAgent_Header
```

```
awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
```

```
awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
```

```
awswaf:managed:token:accepted
```

# AWS WAF aturan yang menambahkan label
<a name="waf-rule-label-add"></a>

Di hampir semua aturan, Anda dapat menentukan label dan AWS WAF akan menerapkannya pada permintaan yang cocok. 

Jenis aturan berikut adalah satu-satunya pengecualian: 
+ **Aturan berbasis tarif hanya memberi label saat pembatasan laju** — Aturan berbasis tarif hanya menambahkan label ke permintaan web untuk instance agregasi tertentu sementara instance itu dibatasi oleh tarif. AWS WAF Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md) 
+ **Pelabelan tidak diperbolehkan dalam pernyataan referensi grup aturan** — Konsol tidak menerima label untuk pernyataan grup aturan atau pernyataan grup aturan terkelola. Melalui API, menentukan label untuk salah satu jenis pernyataan menghasilkan pengecualian validasi. Untuk informasi tentang jenis pernyataan ini, lihat [Menggunakan pernyataan grup aturan terkelola di AWS WAF](waf-rule-statement-type-managed-rule-group.md) dan[Menggunakan pernyataan grup aturan di AWS WAF](waf-rule-statement-type-rule-group.md).

**WCUs **— 1 WCU untuk setiap 5 label yang Anda tentukan dalam paket perlindungan (web ACL) atau aturan grup aturan. 

**Di mana menemukan ini**
+ **Pembuat aturan** di konsol — Di bawah pengaturan **Tindakan** aturan, di bawah **Label**. 
+ **Jenis data API** - `Rule` `RuleLabels`

Anda menentukan label dalam aturan dengan menentukan string namespace kustom dan nama untuk ditambahkan ke awalan namespace label. AWS WAF mendapatkan awalan dari konteks di mana Anda mendefinisikan aturan. Untuk informasi tentang ini, lihat informasi sintaks label di bawah[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md). 

# AWS WAF aturan yang cocok dengan label
<a name="waf-rule-label-match"></a>

Bagian ini menjelaskan cara menggunakan pernyataan pencocokan label untuk mengevaluasi label permintaan web. Anda dapat mencocokkan dengan *Label*, yang memerlukan nama label, atau terhadap *Namespace*, yang memerlukan spesifikasi namespace. Untuk label atau namespace, Anda dapat secara opsional menyertakan ruang nama sebelumnya dan awalan dalam spesifikasi Anda. Untuk informasi umum tentang jenis pernyataan ini, lihat[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md). 

Awalan label mendefinisikan konteks grup aturan atau paket perlindungan (web ACL) di mana aturan label didefinisikan. Dalam pernyataan pencocokan label aturan, jika string pencocokan label atau namespace Anda tidak menentukan awalan, AWS WAF gunakan awalan untuk aturan pencocokan label. 
+ Label untuk aturan yang didefinisikan langsung di dalam paket perlindungan (web ACL) memiliki awalan yang menentukan konteks paket perlindungan (web ACL). 
+ Label untuk aturan yang berada di dalam grup aturan memiliki awalan yang menentukan konteks grup aturan. Ini bisa berupa grup aturan Anda sendiri atau grup aturan yang dikelola untuk Anda. 

Untuk informasi tentang ini, lihat sintaks label di bawah[Sintaks label dan persyaratan penamaan di AWS WAF](waf-rule-label-requirements.md). 

**catatan**  
Beberapa grup aturan terkelola menambahkan label. Anda dapat mengambilnya melalui API dengan menelepon`DescribeManagedRuleGroup`. Label tercantum di `AvailableLabels` properti dalam tanggapan.

Jika Anda ingin mencocokkan aturan yang berada dalam konteks yang berbeda dari konteks aturan Anda, Anda harus memberikan awalan dalam string pencocokan Anda. Misalnya, jika Anda ingin mencocokkan label yang ditambahkan oleh aturan dalam grup aturan terkelola, Anda dapat menambahkan aturan dalam paket perlindungan (web ACL) dengan pernyataan pencocokan label yang string kecocokannya menentukan awalan grup aturan diikuti dengan kriteria kecocokan tambahan Anda. 

Dalam string pencocokan untuk pernyataan pencocokan label, Anda menentukan label atau namespace: 
+ **Label** — Spesifikasi label untuk kecocokan terdiri dari bagian akhir label. Anda dapat menyertakan sejumlah ruang nama yang berdekatan yang segera mendahului nama label diikuti dengan nama. Anda juga dapat memberikan label yang sepenuhnya memenuhi syarat dengan memulai spesifikasi dengan awalan. 

  Contoh spesifikasi:
  + `testNS1:testNS2:LabelNameA`
  + `awswaf:managed:aws:managed-rule-set:testNS1:testNS2:LabelNameA`
+ **Namespace** — Spesifikasi namespace untuk kecocokan terdiri dari subset bersebelahan dari spesifikasi label tidak termasuk nama. Anda dapat menyertakan awalan dan Anda dapat menyertakan satu atau lebih string namespace. 

  Contoh spesifikasi: 
  + `testNS1:testNS2:`
  + `awswaf:managed:aws:managed-rule-set:testNS1:`

# AWS WAF contoh kecocokan label
<a name="waf-rule-label-match-examples"></a>

Bagian ini memberikan contoh spesifikasi kecocokan, untuk pernyataan aturan pencocokan label. 

**catatan**  
Daftar JSON ini dibuat di konsol dengan menambahkan aturan ke paket perlindungan (web ACL) dengan spesifikasi pencocokan label dan kemudian mengedit aturan dan beralih ke editor **Rule JSON**. Anda juga bisa mendapatkan JSON untuk grup aturan atau paket perlindungan (web ACL) melalui APIs atau antarmuka baris perintah. 

**Topics**
+ [Cocokkan dengan label lokal](#waf-rule-label-match-examples-local-label)
+ [Cocokkan dengan label dari konteks lain](#waf-rule-label-match-examples-label)
+ [Cocokkan dengan label grup aturan terkelola](#waf-rule-label-match-examples-mgd-rg-label)
+ [Cocokkan dengan namespace lokal](#waf-rule-label-match-examples-local-namespace)
+ [Cocokkan dengan namespace grup aturan terkelola](#waf-rule-label-match-examples-mgd-rg-namespace)

## Cocokkan dengan label lokal
<a name="waf-rule-label-match-examples-local-label"></a>

Daftar JSON berikut menunjukkan pernyataan pencocokan label untuk label yang telah ditambahkan ke permintaan web secara lokal, dalam konteks yang sama dengan aturan ini.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Jika Anda menggunakan pernyataan pencocokan ini di akun 111122223333, dalam aturan yang Anda tentukan untuk paket perlindungan (web ACL)`testWebACL`, itu akan cocok dengan label berikut. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

```
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8
```

Itu tidak akan cocok dengan label berikut, karena string label tidak sama persis.

```
awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8
```

Itu tidak akan cocok dengan label berikut, karena konteksnya tidak sama, jadi awalan tidak cocok. Ini benar bahkan jika Anda menambahkan grup aturan `productionRules` ke paket perlindungan (web ACL)`testWebACL`, di mana aturan didefinisikan. 

```
awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8
```

## Cocokkan dengan label dari konteks lain
<a name="waf-rule-label-match-examples-label"></a>

Daftar JSON berikut menunjukkan aturan pencocokan label yang cocok dengan label dari aturan di dalam grup aturan yang dibuat pengguna. Awalan diperlukan dalam spesifikasi untuk semua aturan yang berjalan di paket perlindungan (web ACL) yang bukan bagian dari grup aturan bernama. Spesifikasi label contoh ini hanya cocok dengan label yang tepat. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Cocokkan dengan label grup aturan terkelola
<a name="waf-rule-label-match-examples-mgd-rg-label"></a>

Ini adalah kasus khusus pencocokan dengan label yang berasal dari konteks lain selain aturan kecocokan. Daftar JSON berikut menunjukkan pernyataan pencocokan label untuk label grup aturan terkelola. Ini hanya cocok dengan label persis yang ditentukan dalam pengaturan kunci pernyataan pencocokan label.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Cocokkan dengan namespace lokal
<a name="waf-rule-label-match-examples-local-namespace"></a>

Daftar JSON berikut menunjukkan pernyataan pencocokan label untuk namespace lokal.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Mirip dengan `Label` kecocokan lokal, jika Anda menggunakan pernyataan ini di akun 111122223333, dalam aturan yang Anda tentukan untuk paket perlindungan (web ACL)`testWebACL`, itu akan cocok dengan label berikut. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

Itu tidak akan cocok dengan label berikut, karena akunnya tidak sama, jadi awalan tidak cocok. 

```
awswaf:444455556666:webacl:testWebACL:header:encoding:utf8
```

Awalan juga tidak cocok dengan label apa pun yang diterapkan oleh grup aturan terkelola, seperti berikut ini. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

## Cocokkan dengan namespace grup aturan terkelola
<a name="waf-rule-label-match-examples-mgd-rg-namespace"></a>

Daftar JSON berikut menunjukkan pernyataan pencocokan label untuk namespace grup aturan terkelola. Untuk grup aturan yang Anda miliki, Anda juga perlu memberikan awalan agar cocok dengan namespace yang berada di luar konteks aturan. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Spesifikasi ini cocok dengan label contoh berikut. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

```
awswaf:managed:aws:managed-rule-set:header:encoding:unicode
```

Itu tidak cocok dengan label berikut.

```
awswaf:managed:aws:managed-rule-set:query:badstring
```

# Mitigasi ancaman cerdas di AWS WAF
<a name="waf-managed-protections"></a>

Bagian ini mencakup fitur mitigasi ancaman cerdas terkelola yang disediakan oleh. AWS WAF Ini adalah perlindungan canggih dan khusus yang dapat Anda terapkan untuk melindungi dari ancaman seperti bot berbahaya dan upaya pengambilalihan akun. 

**catatan**  
Fitur yang dijelaskan di sini menimbulkan biaya tambahan, di luar biaya dasar untuk menggunakan AWS WAF. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Panduan yang disediakan di bagian ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola AWS WAF webACLs, aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Topics**
+ [Opsi untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-comparison-table.md)
+ [Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md)
+ [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md)
+ [AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md)
+ [AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md)
+ [AWS WAF Kontrol Bot](waf-bot-control.md)
+ [AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi](waf-anti-ddos.md)
+ [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md)
+ [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md)

# Opsi untuk mitigasi ancaman cerdas di AWS WAF
<a name="waf-managed-protections-comparison-table"></a>

Bagian ini memberikan perbandingan rinci tentang opsi untuk menerapkan mitigasi ancaman cerdas. 

AWS WAF menawarkan jenis perlindungan berikut untuk mitigasi ancaman cerdas.
+ **AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)** — Mendeteksi dan mengelola upaya pembuatan akun berbahaya di halaman pendaftaran aplikasi Anda. Fungsionalitas inti disediakan oleh grup aturan terkelola ACFP. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md) dan [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)** - Mendeteksi dan mengelola upaya pengambilalihan berbahaya pada halaman login aplikasi Anda. Fungsionalitas inti disediakan oleh grup aturan terkelola ATP. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md) dan [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).
+ **AWS WAF Kontrol Bot** — Mengidentifikasi, memberi label, dan mengelola bot ramah dan berbahaya. Fitur ini menyediakan manajemen untuk bot umum dengan tanda tangan yang unik di seluruh aplikasi, dan juga untuk bot bertarget yang memiliki tanda tangan khusus untuk aplikasi. Fungsionalitas inti disediakan oleh grup aturan terkelola Bot Control. Untuk informasi selengkapnya, lihat [AWS WAF Kontrol Bot](waf-bot-control.md) dan [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
+ **Integrasi aplikasi klien SDKs** — Validasi sesi klien dan pengguna akhir di halaman web Anda dan dapatkan AWS WAF token untuk digunakan klien dalam permintaan web mereka. Jika Anda menggunakan ACFP, ATP, atau Bot Control, terapkan integrasi aplikasi SDKs dalam aplikasi klien Anda jika Anda bisa, untuk memanfaatkan sepenuhnya semua fitur grup aturan. Kami hanya menyarankan untuk menggunakan grup aturan ini tanpa integrasi SDK sebagai tindakan sementara, ketika sumber daya penting perlu diamankan dengan cepat dan tidak ada cukup waktu untuk integrasi SDK. Untuk informasi tentang penerapan SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). 
+ **Challengedan tindakan CAPTCHA aturan** — Validasi sesi klien dan pengguna akhir dan dapatkan AWS WAF token untuk digunakan klien dalam permintaan web mereka. Anda dapat menerapkannya di mana saja yang Anda tentukan tindakan aturan, dalam aturan Anda, dan sebagai penggantian dalam grup aturan yang Anda gunakan. Tindakan ini menggunakan AWS WAF JavaScript pengantara untuk menginterogasi klien atau pengguna akhir, dan mereka memerlukan aplikasi klien yang mendukung. JavaScript Untuk informasi selengkapnya, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

Aturan Aturan AWS Terkelola mitigasi ancaman cerdas mengelompokkan ACFP, ATP, dan Kontrol Bot menggunakan token untuk deteksi lanjutan. Untuk informasi tentang fitur yang diaktifkan token dalam grup aturan, lihat[Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md),[Menggunakan integrasi aplikasi SDKs dengan ATP](waf-atp-with-tokens.md), dan[Menggunakan integrasi aplikasi SDKs dengan Bot Control](waf-bot-with-tokens.md). 

Opsi Anda untuk menerapkan mitigasi ancaman cerdas dijalankan dari penggunaan dasar tindakan aturan untuk menjalankan tantangan dan menegakkan akuisisi token, hingga fitur-fitur canggih yang ditawarkan oleh kelompok aturan Aturan Terkelola mitigasi AWS ancaman cerdas.

Tabel berikut memberikan perbandingan rinci dari opsi untuk fitur dasar dan lanjutan. 

**Topics**
+ [Opsi untuk tantangan dan akuisisi token](waf-managed-protections-comparison-table-token.md)
+ [Opsi untuk kelompok aturan terkelola mitigasi ancaman cerdas](waf-managed-protections-comparison-table-rg.md)
+ [Opsi untuk membatasi tarif dalam aturan berbasis tarif dan aturan Kontrol Bot yang ditargetkan](waf-rate-limiting-options.md)

# Opsi untuk tantangan dan akuisisi token
<a name="waf-managed-protections-comparison-table-token"></a>

Bagian ini membandingkan tantangan dan opsi manajemen token.

Anda dapat memberikan tantangan dan memperoleh token menggunakan integrasi AWS WAF aplikasi SDKs atau tindakan aturan Challenge danCAPTCHA. Secara garis besar, tindakan aturan lebih mudah diterapkan, tetapi mereka menimbulkan biaya tambahan, mengganggu lebih banyak pengalaman pelanggan Anda, dan membutuhkan. JavaScript SDKs Memerlukan pemrograman dalam aplikasi klien Anda, tetapi mereka dapat memberikan pengalaman pelanggan yang lebih baik, mereka bebas untuk digunakan, dan mereka dapat digunakan dengan JavaScript atau di aplikasi Android atau iOS. Anda hanya dapat menggunakan integrasi aplikasi SDKs dengan paket perlindungan (web ACLs) yang menggunakan salah satu grup aturan terkelola mitigasi ancaman cerdas berbayar, yang dijelaskan di bagian berikut. 


**Perbandingan opsi untuk tantangan dan akuisisi token**  

|  | Challengetindakan aturan | CAPTCHAtindakan aturan | JavaScript Tantangan SDK | Tantangan SDK Seluler | 
| --- | --- | --- | --- | --- | 
| Apa itu | Tindakan aturan yang memberlakukan akuisisi AWS WAF token dengan menghadirkan interstitial tantangan senyap kepada klien browser  | Tindakan aturan yang memberlakukan akuisisi AWS WAF token dengan menghadirkan interstitial tantangan visual atau audio kepada pengguna akhir klien  |  Lapisan integrasi aplikasi, untuk browser klien dan perangkat lain yang mengeksekusiJavaScript. Merender tantangan diam dan memperoleh token  |  Lapisan integrasi aplikasi, untuk aplikasi Android dan iOS. Secara native membuat tantangan diam dan memperoleh token  | 
| Pilihan bagus untuk... | Validasi senyap terhadap sesi bot dan penegakan akuisisi token untuk klien yang mendukung JavaScript  | Pengguna akhir dan validasi diam terhadap sesi bot dan penegakan akuisisi token, untuk klien yang mendukung JavaScript | Validasi senyap terhadap sesi bot dan penegakan akuisisi token untuk klien yang mendukung JavaScript. Ini SDKs memberikan latensi terendah dan kontrol terbaik atas tempat skrip tantangan berjalan dalam aplikasi. | Validasi senyap terhadap sesi bot dan penegakan akuisisi token untuk aplikasi seluler asli di Android dan iOS. Ini SDKs memberikan latensi terendah dan kontrol terbaik atas tempat skrip tantangan berjalan dalam aplikasi. | 
| Pertimbangan implementasi | Diimplementasikan sebagai pengaturan tindakan aturan | Diimplementasikan sebagai pengaturan tindakan aturan | Memerlukan salah satu grup aturan berbayar ACFP, ATP, atau Bot Control dalam paket perlindungan (web ACL). Membutuhkan pengkodean dalam aplikasi klien. | Memerlukan salah satu grup aturan berbayar ACFP, ATP, atau Bot Control dalam paket perlindungan (web ACL). Membutuhkan pengkodean dalam aplikasi klien. | 
| Pertimbangan runtime | Alur intrusif untuk permintaan tanpa token yang valid. Klien dialihkan ke interstitial AWS WAF tantangan. Menambahkan perjalanan pulang pergi jaringan dan memerlukan evaluasi kedua dari permintaan web.  | Alur intrusif untuk permintaan tanpa token yang valid. Klien dialihkan ke interstitial AWS WAF CAPTCHA. Menambahkan perjalanan pulang pergi jaringan dan memerlukan evaluasi kedua dari permintaan web.  | Bisa dijalankan di belakang layar. Memberi Anda lebih banyak kendali atas pengalaman tantangan.  | Bisa dijalankan di belakang layar. Memberi Anda lebih banyak kendali atas pengalaman tantangan.  | 
| Membutuhkan JavaScript | Ya | Ya | Ya | Tidak | 
| Klien yang didukung | Browser dan perangkat yang menjalankan Javascript | Browser dan perangkat yang menjalankan Javascript | Browser dan perangkat yang menjalankan Javascript | Perangkat Android dan iOS | 
| Mendukung aplikasi satu halaman (SPA) | Hanya penegakan. Anda dapat menggunakan Challenge tindakan bersama dengan SDKs, untuk memastikan bahwa permintaan memiliki token tantangan yang valid. Anda tidak dapat menggunakan tindakan aturan untuk mengirimkan skrip tantangan ke halaman.  | Hanya penegakan. Anda dapat menggunakan CAPTCHA tindakan bersama denganSDKs, untuk memastikan bahwa permintaan memiliki token CAPTCHA yang valid. Anda tidak dapat menggunakan tindakan aturan untuk mengirimkan skrip CAPTCHA ke halaman.  | Ya | N/A | 
| Biaya tambahan | Ya, untuk setelan tindakan yang Anda tentukan secara eksplisit, baik dalam aturan yang Anda tetapkan atau sebagai penggantian tindakan aturan dalam grup aturan yang Anda gunakan. Tidak dalam semua kasus lainnya.  | Ya, untuk setelan tindakan yang Anda tentukan secara eksplisit, baik dalam aturan yang Anda tetapkan atau sebagai penggantian tindakan aturan dalam grup aturan yang Anda gunakan. Tidak dalam semua kasus lainnya.  | Tidak, tetapi membutuhkan salah satu grup aturan berbayar ACFP, ATP, atau Bot Control. | Tidak, tetapi membutuhkan salah satu grup aturan berbayar ACFP, ATP, atau Bot Control. | 

[Untuk detail tentang biaya yang terkait dengan opsi ini, lihat informasi mitigasi ancaman cerdas di AWS WAF Harga.](https://aws.amazon.com/waf/pricing/)

Akan lebih mudah untuk menjalankan tantangan dan memberikan penegakan token dasar hanya dengan menambahkan aturan dengan CAPTCHA tindakan Challenge atau. Anda mungkin diminta untuk menggunakan tindakan aturan, misalnya jika Anda tidak memiliki akses ke kode aplikasi. 

 SDKs Namun, jika Anda dapat mengimplementasikannya, Anda dapat menghemat biaya dan mengurangi latensi dalam evaluasi paket perlindungan (web ACL) atas permintaan web klien, dibandingkan dengan menggunakan tindakan: Challenge 
+ Anda dapat menulis implementasi SDK Anda untuk menjalankan tantangan kapan saja dalam aplikasi Anda. Anda dapat memperoleh token di latar belakang, sebelum tindakan pelanggan apa pun yang akan mengirim permintaan web ke sumber daya Anda yang dilindungi. Dengan cara ini, token tersedia untuk dikirim dengan permintaan pertama klien Anda. 
+ Jika sebaliknya Anda memperoleh token dengan menerapkan aturan dengan Challenge tindakan, aturan dan tindakan memerlukan evaluasi dan pemrosesan permintaan web tambahan saat klien pertama kali mengirim permintaan dan kapan saja token kedaluwarsa. ChallengeTindakan memblokir permintaan yang tidak memiliki token yang valid dan belum kedaluwarsa, dan mengirimkan pengantara tantangan kembali ke klien. Setelah klien berhasil menanggapi tantangan, pengantara mengirim ulang permintaan web asli dengan token yang valid, yang kemudian dievaluasi untuk kedua kalinya oleh paket perlindungan (web ACL). 

# Opsi untuk kelompok aturan terkelola mitigasi ancaman cerdas
<a name="waf-managed-protections-comparison-table-rg"></a>

Bagian ini membandingkan opsi grup aturan terkelola.

Kelompok aturan Aturan AWS Terkelola mitigasi ancaman cerdas menyediakan pengelolaan bot dasar, deteksi dan mitigasi bot yang canggih dan berbahaya, deteksi dan mitigasi upaya pengambilalihan akun, serta deteksi dan mitigasi upaya pembuatan akun palsu. Grup aturan ini, dikombinasikan dengan integrasi aplikasi yang SDKs dijelaskan di bagian sebelumnya, memberikan perlindungan paling canggih dan kopling aman dengan aplikasi klien Anda. 


**Perbandingan opsi grup aturan terkelola**  

|  | ACFP  | ATP  | Bot Control tingkat umum | Tingkat target Bot Control | 
| --- | --- | --- | --- | --- | 
| Apa itu | Mengelola permintaan yang mungkin merupakan bagian dari upaya pembuatan akun palsu pada halaman pendaftaran dan pendaftaran aplikasi.Tidak mengelola bot. Lihat [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md). | Mengelola permintaan yang mungkin merupakan bagian dari upaya pengambilalihan berbahaya pada halaman login aplikasi.Tidak mengelola bot. Lihat [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md). | Mengelola bot umum yang mengidentifikasi diri, dengan tanda tangan yang unik di seluruh aplikasi.Lihat [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). | Mengelola bot bertarget yang tidak mengidentifikasi diri, dengan tanda tangan yang khusus untuk aplikasi.Lihat [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). | 
| Pilihan bagus untuk... | Pemeriksaan lalu lintas pembuatan akun untuk pembuatan akun penipuan menyerang upaya pembuatan tersebut dengan traversal nama pengguna dan banyak akun baru yang dibuat dari satu alamat IP. | Inspeksi lalu lintas login untuk pengambilalihan akun menyerang upaya login tersebut dengan traversal kata sandi dan banyak upaya login dari alamat IP yang sama. Ketika digunakan dengan token, juga menyediakan perlindungan agregat seperti pembatasan tarif IPs dan sesi klien untuk volume tinggi upaya login yang gagal. | Perlindungan bot dasar dan pelabelan lalu lintas bot otomatis yang umum. | Perlindungan yang ditargetkan terhadap bot canggih, termasuk pembatasan kecepatan pada tingkat sesi klien dan deteksi dan mitigasi alat otomatisasi browser seperti Selenium dan Dalang.  | 
| Menambahkan label yang menunjukkan hasil evaluasi | Ya | Ya | Ya | Ya | 
| Menambahkan label token | Ya | Ya | Ya | Ya | 
| Memblokir permintaan yang tidak memiliki token yang valid | Tidak termasuk. Lihat [Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md). | Tidak termasuk. Lihat [Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md). | Tidak termasuk. Lihat [Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md). | Memblokir sesi klien yang mengirim 5 permintaan tanpa token. | 
| Membutuhkan AWS WAF token aws-waf-token | Diperlukan untuk semua aturan.Lihat [Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md). | Diperlukan untuk banyak aturan.Lihat [Menggunakan integrasi aplikasi SDKs dengan ATP](waf-atp-with-tokens.md). | Tidak | Ya | 
| Memperoleh token AWS WAF aws-waf-token | Ya, ditegakkan oleh aturan AllRequests | Tidak | Tidak | Beberapa aturan menggunakan Challenge atau CAPTCHA mengatur tindakan, yang memperoleh token. | 

[Untuk detail tentang biaya yang terkait dengan opsi ini, lihat informasi mitigasi ancaman cerdas di AWS WAF Harga.](https://aws.amazon.com/waf/pricing/)

# Opsi untuk membatasi tarif dalam aturan berbasis tarif dan aturan Kontrol Bot yang ditargetkan
<a name="waf-rate-limiting-options"></a>

Bagian ini membandingkan opsi mitigasi berbasis tarif.

Level yang ditargetkan dari grup aturan Kontrol AWS WAF Bot dan pernyataan aturan AWS WAF berbasis tarif keduanya memberikan pembatasan tingkat permintaan web. Tabel berikut membandingkan dua opsi.


**Perbandingan opsi untuk deteksi dan mitigasi berbasis tarif**  

|  | AWS WAF aturan berbasis tarif | AWS WAF Aturan yang ditargetkan Bot Control | 
| --- | --- | --- | 
| Bagaimana pembatasan tarif diterapkan | Bertindak atas kelompok permintaan yang datang pada tingkat yang terlalu tinggi. Anda dapat menerapkan tindakan apa pun kecuali untukAllow.  | Menegakkan pola akses seperti manusia dan menerapkan pembatasan laju dinamis, melalui penggunaan token permintaan.  | 
| Berdasarkan garis dasar lalu lintas historis? | Tidak  | Ya  | 
| Waktu yang dibutuhkan untuk mengumpulkan garis dasar lalu lintas bersejarah | N/A  | Lima menit untuk ambang dinamis. N/A untuk token absen. | 
| Kelambatan mitigasi | Biasanya 30-50 detik. Bisa sampai beberapa menit.  | Biasanya kurang dari 10 detik. Bisa sampai beberapa menit.  | 
| Target mitigasi | Dapat dikonfigurasi. Anda dapat mengelompokkan permintaan menggunakan pernyataan cakupan bawah dan dengan satu atau lebih kunci agregasi, seperti alamat IP, metode HTTP, dan string kueri. | Alamat IP dan sesi klien  | 
| Tingkat volume lalu lintas diperlukan untuk memicu mitigasi | Sedang - bisa serendah 10 permintaan di jendela waktu yang ditentukan  | Rendah - dimaksudkan untuk mendeteksi pola klien seperti pencakar lambat  | 
| Ambang batas yang dapat disesuaikan | Ya  | Tidak  | 
| Tindakan mitigasi default | Konsol default adalahBlock. Tidak ada pengaturan default di API; pengaturan diperlukan. Anda dapat mengatur ini ke tindakan aturan apa pun kecualiAllow. | Pengaturan tindakan aturan grup aturan adalah Challenge untuk token absen dan CAPTCHA untuk lalu lintas volume tinggi dari satu sesi klien. Anda dapat mengatur salah satu dari aturan ini ke tindakan aturan yang valid.  | 
| Ketahanan terhadap serangan yang sangat terdistribusi | Medium - maksimum 10.000 alamat IP untuk alamat IP yang membatasi sendiri | Sedang - dibatasi hingga 50.000 total antara alamat IP dan token  | 
| [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) | Termasuk dalam biaya standar untuk AWS WAF.  | Termasuk dalam biaya untuk tingkat yang ditargetkan dari mitigasi ancaman cerdas Kontrol Bot.  | 
| Untuk informasi lebih lanjut | [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) | 

# Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF
<a name="waf-managed-protections-best-practices"></a>

Ikuti praktik terbaik di bagian ini untuk implementasi fitur mitigasi ancaman cerdas yang paling efisien dan hemat biaya. 
+ **Menerapkan integrasi aplikasi JavaScript dan seluler SDKs** - Menerapkan integrasi aplikasi untuk mengaktifkan set lengkap fungsionalitas ACFP, ATP, atau Bot Control dengan cara yang paling efektif. Grup aturan terkelola menggunakan token yang disediakan oleh SDKs untuk memisahkan lalu lintas klien yang sah dari lalu lintas yang tidak diinginkan di tingkat sesi. Integrasi aplikasi SDKs memastikan bahwa token ini selalu tersedia. Untuk detailnya, lihat berikut ini: 
  + [Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md)
  + [Menggunakan integrasi aplikasi SDKs dengan ATP](waf-atp-with-tokens.md)
  + [Menggunakan integrasi aplikasi SDKs dengan Bot Control](waf-bot-with-tokens.md)

  Gunakan integrasi untuk mengimplementasikan tantangan di klien Anda dan, untuk JavaScript, untuk menyesuaikan bagaimana teka-teki CAPTCHA disajikan kepada pengguna akhir Anda. Lihat perinciannya di [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). 

  Jika Anda menyesuaikan teka-teki CAPTCHA menggunakan JavaScript API dan Anda menggunakan tindakan CAPTCHA aturan di mana saja di paket perlindungan Anda (web ACL), ikuti panduan untuk menangani respons AWS WAF CAPTCHA di klien Anda di. [Menangani respons CAPTCHA dari AWS WAF](waf-js-captcha-api-conditional.md) Panduan ini berlaku untuk aturan apa pun yang menggunakan CAPTCHA tindakan, termasuk yang ada di grup aturan terkelola ACFP dan tingkat perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot. 
+ **Batasi permintaan yang Anda kirim ke grup aturan ACFP, ATP, dan Kontrol Bot — Anda dikenakan biaya tambahan untuk menggunakan grup aturan Aturan** Terkelola mitigasi AWS ancaman cerdas. Grup aturan ACFP memeriksa permintaan ke titik akhir pendaftaran dan pembuatan akun yang Anda tentukan. Grup aturan ATP memeriksa permintaan ke titik akhir login yang Anda tentukan. Grup aturan Bot Control memeriksa setiap permintaan yang mencapainya dalam evaluasi paket perlindungan (web ACL). 

  Pertimbangkan pendekatan berikut untuk mengurangi penggunaan kelompok aturan ini: 
  + Kecualikan permintaan dari inspeksi dengan pernyataan cakupan bawah dalam pernyataan grup aturan terkelola. Anda dapat melakukan ini dengan pernyataan nestable apa pun. Untuk informasi, lihat [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md).
  + Kecualikan permintaan dari inspeksi dengan menambahkan aturan sebelum grup aturan. Untuk aturan yang tidak dapat digunakan dalam pernyataan scope-down dan untuk situasi yang lebih kompleks, seperti pelabelan diikuti dengan pencocokan label, Anda mungkin ingin menambahkan aturan yang berjalan sebelum grup aturan. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md) dan [Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md).
  + Jalankan kelompok aturan setelah aturan yang lebih murah. Jika Anda memiliki AWS WAF aturan standar lain yang memblokir permintaan karena alasan apa pun, jalankan sebelum grup aturan berbayar ini. Untuk informasi selengkapnya tentang aturan dan manajemen aturan, lihat[Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md).
  + Jika Anda menggunakan lebih dari satu grup aturan terkelola mitigasi ancaman cerdas, jalankan dalam urutan berikut untuk menekan biaya: Kontrol Bot, ATP, ACFP.

  Untuk informasi harga terperinci, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/).
+ **Jangan membatasi permintaan yang Anda kirim ke grup aturan DDo Anti-S — Grup aturan** ini beroperasi paling baik saat Anda mengonfigurasinya untuk memantau semua lalu lintas web yang tidak Anda izinkan secara eksplisit. Posisikan di ACL web Anda untuk dievaluasi hanya setelah aturan dengan tindakan Allow aturan dan sebelum semua aturan lainnya. 
+ **Untuk perlindungan penolakan layanan (DDoS) terdistribusi, gunakan mitigasi DDo S lapisan aplikasi otomatis Anti-S atau Shield Advanced — Grup aturan mitigasi ancaman cerdas lainnya tidak memberikan perlindungan DDo S**. DDo ACFP melindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATP melindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

  Anti- DDo S memungkinkan Anda untuk memantau dan mengontrol serangan DDo S, memungkinkan respons cepat dan mitigasi ancaman. Shield Advanced dengan mitigasi lapisan DDo S aplikasi otomatis merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan mitigasi khusus atas AWS WAF nama Anda.

  Untuk informasi selengkapnya tentang Shield Advanced, lihat[AWS Shield Advanced ikhtisar](ddos-advanced-summary.md), dan[Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md).

  Untuk informasi lebih lanjut tentang pencegahan Distributed Denial of Service (DDoS), lihat [Kelompok aturan DDo anti-S](aws-managed-rule-groups-anti-ddos.md) dan[Pencegahan Penolakan Layanan (DDoS) Terdistribusi](waf-anti-ddos.md).
+  **Aktifkan grup aturan DDo Anti-S dan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal** - Kategori aturan ini membutuhkan waktu untuk menetapkan garis dasar untuk lalu lintas normal. 

   **Aktifkan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot selama lalu lintas web normal** — Beberapa aturan tingkat perlindungan yang ditargetkan memerlukan waktu untuk menetapkan garis dasar untuk pola lalu lintas normal sebelum mereka dapat mengenali dan merespons pola lalu lintas yang tidak teratur atau berbahaya. Misalnya, `TGT_ML_*` aturan membutuhkan waktu hingga 24 jam untuk pemanasan. 

  Tambahkan perlindungan ini ketika Anda tidak mengalami serangan dan beri mereka waktu untuk menetapkan garis dasar mereka sebelum mengharapkan mereka merespons dengan tepat. Jika Anda menambahkan aturan ini selama serangan, Anda harus mengaktifkan grup aturan Anti- DDo S dalam mode hitungan. Setelah serangan mereda, waktu untuk menetapkan garis dasar biasanya dari dua kali lipat menjadi tiga kali lipat dari waktu normal yang diperlukan, karena kemiringan yang ditambahkan oleh lalu lintas serangan. Untuk informasi tambahan tentang aturan dan waktu pemanasan yang mereka butuhkan, lihat[Daftar aturan](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
+ **Untuk perlindungan penolakan layanan (DDoS) terdistribusi, gunakan mitigasi DDo S lapisan aplikasi otomatis Shield Advanced** — Grup aturan mitigasi ancaman cerdas tidak memberikan perlindungan S. DDo ACFP melindungi terhadap upaya pembuatan akun palsu ke halaman pendaftaran aplikasi Anda. ATP melindungi terhadap upaya pengambilalihan akun ke halaman login Anda. Bot Control berfokus pada penegakan pola akses seperti manusia menggunakan token dan pembatasan laju dinamis pada sesi klien.

  Saat Anda menggunakan Shield Advanced dengan mitigasi lapisan DDo S aplikasi otomatis diaktifkan, Shield Advanced secara otomatis merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan mitigasi khusus atas AWS WAF nama Anda. Untuk informasi selengkapnya tentang Shield Advanced, lihat[AWS Shield Advanced ikhtisar](ddos-advanced-summary.md), dan[Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md).
+ **Gunakan beban lalu lintas produksi ketika Anda menetapkan garis dasar untuk kelompok aturan DDo Anti-S** - Ini adalah praktik umum untuk menguji kelompok aturan lain menggunakan lalu lintas uji buatan. Namun, ketika Anda menguji dan menetapkan garis dasar untuk grup aturan DDo Anti-S, kami menyarankan Anda menggunakan arus lalu lintas yang mencerminkan beban di lingkungan produksi Anda. Menetapkan garis dasar DDo Anti-S menggunakan lalu lintas tipikal adalah cara terbaik untuk memastikan sumber daya Anda akan dilindungi ketika grup aturan diaktifkan di lingkungan produksi.
+ **Sesuaikan dan konfigurasikan penanganan token** — Sesuaikan penanganan token paket perlindungan (web ACL) untuk pengalaman pengguna terbaik. 
  + Untuk mengurangi biaya pengoperasian dan meningkatkan pengalaman pengguna akhir Anda, sesuaikan waktu kekebalan manajemen token Anda ke waktu terlama yang diizinkan oleh persyaratan keamanan Anda. Ini membuat penggunaan teka-teki CAPTCHA dan tantangan diam seminimal mungkin. Untuk informasi, lihat [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).
  + Untuk mengaktifkan berbagi token antar aplikasi yang dilindungi, konfigurasikan daftar domain token untuk paket perlindungan Anda (web ACL). Untuk informasi, lihat [Menentukan domain token dan daftar domain di AWS WAF](waf-tokens-domains.md).
+ **Tolak permintaan dengan spesifikasi host arbitrer** — Konfigurasikan sumber daya yang dilindungi agar `Host` header dalam permintaan web cocok dengan sumber daya yang ditargetkan. Anda dapat menerima satu nilai atau satu set nilai tertentu, misalnya `myExampleHost.com` dan`www.myExampleHost.com`, tetapi tidak menerima nilai arbitrer untuk host. 
+ **Untuk Application Load Balancer yang berasal dari CloudFront distribusi, konfigurasi, CloudFront dan AWS WAF untuk penanganan token yang tepat** — Jika Anda mengaitkan paket perlindungan (web ACL) ke Application Load Balancer dan Anda menerapkan Application Load Balancer sebagai asal distribusi, lihat. CloudFront [Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront](waf-tokens-with-alb-and-cf.md)
+ **Uji dan sesuaikan sebelum menerapkan** — Sebelum menerapkan perubahan apa pun pada paket perlindungan (web ACL), ikuti prosedur pengujian dan penyetelan dalam panduan ini untuk memastikan bahwa Anda mendapatkan perilaku yang Anda harapkan. Ini sangat penting untuk fitur-fitur berbayar ini. Untuk panduan umum, lihat[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md). Untuk informasi khusus tentang grup aturan terkelola berbayar, lihat[Menguji dan menerapkan ACFP](waf-acfp-deploying.md),[Menguji dan menerapkan ATP](waf-atp-deploying.md), dan[Menguji dan menerapkan Kontrol AWS WAF Bot](waf-bot-control-deploying.md).

# Penggunaan token dalam AWS WAF mitigasi ancaman cerdas
<a name="waf-tokens"></a>

Bagian ini menjelaskan apa yang dilakukan AWS WAF token.

AWS WAF token adalah bagian integral dari perlindungan yang ditingkatkan yang ditawarkan oleh mitigasi ancaman AWS WAF cerdas. Token, kadang-kadang disebut sidik jari, adalah kumpulan informasi tentang sesi klien tunggal yang disimpan klien dan menyediakan setiap permintaan web yang dikirimkannya. AWS WAF menggunakan token untuk mengidentifikasi dan memisahkan sesi klien jahat dari sesi yang sah, bahkan ketika keduanya berasal dari satu alamat IP. Penggunaan token membebankan biaya yang dapat diabaikan untuk pengguna yang sah, tetapi mahal dalam skala untuk botnet. 

AWS WAF menggunakan token untuk mendukung fungsionalitas tantangan browser dan pengguna akhir, yang disediakan oleh integrasi aplikasi SDKs dan oleh tindakan aturan Challenge danCAPTCHA. Selain itu, token mengaktifkan fitur Kontrol AWS WAF Bot dan grup aturan terkelola pencegahan pengambilalihan akun.

AWS WAF membuat, memperbarui, dan mengenkripsi token untuk klien yang berhasil menanggapi tantangan diam dan teka-teki CAPTCHA. Ketika klien dengan token mengirim permintaan web, itu termasuk token terenkripsi, dan AWS WAF mendekripsi token dan memverifikasi isinya. 

**Topics**
+ [Bagaimana AWS WAF menggunakan token](waf-tokens-usage.md)
+ [AWS WAF karakteristik token](waf-tokens-details.md)
+ [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md)
+ [Menentukan domain token dan daftar domain di AWS WAF](waf-tokens-domains.md)
+ [Jenis label token di AWS WAF](waf-tokens-labeling.md)
+ [Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md)
+ [Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront](waf-tokens-with-alb-and-cf.md)

# Bagaimana AWS WAF menggunakan token
<a name="waf-tokens-usage"></a>

Bagian ini menjelaskan bagaimana AWS WAF menggunakan token.

AWS WAF menggunakan token untuk merekam dan memverifikasi jenis validasi sesi klien berikut: 
+ **CAPTCHA** — Teka-teki CAPTCHA membantu membedakan bot dari pengguna manusia. CAPTCHA dijalankan hanya oleh tindakan CAPTCHA aturan. Setelah berhasil menyelesaikan teka-teki, skrip CAPTCHA memperbarui cap waktu CAPTCHA token. Untuk informasi selengkapnya, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).
+ **Tantangan** — Tantangan berjalan diam-diam untuk membantu membedakan sesi klien reguler dari sesi bot dan membuatnya lebih mahal bagi bot untuk beroperasi. Ketika tantangan berhasil diselesaikan, skrip tantangan secara otomatis mendapatkan token baru dari AWS WAF jika diperlukan, dan kemudian memperbarui stempel waktu tantangan token. 

  AWS WAF menjalankan tantangan dalam situasi berikut: 
  + **Integrasi aplikasi SDKs** — Integrasi aplikasi SDKs berjalan di dalam sesi aplikasi klien Anda dan membantu memastikan bahwa upaya login hanya diizinkan setelah klien berhasil menanggapi tantangan. Untuk informasi selengkapnya, lihat [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).
  + **Challengetindakan aturan** — Untuk informasi lebih lanjut, lihat[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**— Ketika pengantara CAPTCHA berjalan, jika klien belum memiliki token, skrip secara otomatis menjalankan tantangan terlebih dahulu, untuk memverifikasi sesi klien dan untuk menginisialisasi token. 

Token diperlukan oleh banyak aturan dalam kelompok aturan Aturan AWS Terkelola ancaman cerdas. Aturan menggunakan token untuk melakukan hal-hal seperti membedakan antara klien di tingkat sesi, untuk menentukan karakteristik browser, dan untuk memahami tingkat interaktivitas manusia pada halaman web aplikasi. Grup aturan ini memanggil manajemen AWS WAF token, yang menerapkan pelabelan token yang kemudian diperiksa oleh grup aturan. 
+ **AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)** — Aturan ACFP mengharuskan permintaan web dengan token yang valid. Untuk informasi lebih lanjut tentang aturan, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)** — Aturan ATP yang mencegah volume tinggi dan sesi klien yang tahan lama memerlukan permintaan web yang memiliki token yang valid dengan stempel waktu tantangan yang belum kedaluwarsa. Untuk informasi selengkapnya, lihat [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).
+ **AWS WAF Kontrol Bot** — Aturan yang ditargetkan dalam grup aturan ini membatasi jumlah permintaan web yang dapat dikirim klien tanpa token yang valid, dan mereka menggunakan pelacakan sesi token untuk pemantauan dan manajemen tingkat sesi. Jika diperlukan, aturan menerapkan tindakan Challenge dan CAPTCHA aturan untuk menegakkan akuisisi token dan perilaku klien yang valid. Lihat informasi yang lebih lengkap di [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).

# AWS WAF karakteristik token
<a name="waf-tokens-details"></a>

Setiap token memiliki karakteristik sebagai berikut: 
+ Token disimpan dalam cookie bernama`aws-waf-token`.
+ Token dienkripsi.
+ Token sidik jari sesi klien dengan pengenal granular lengket yang berisi informasi berikut: 
  + Stempel waktu respons sukses terbaru klien terhadap tantangan diam. 
  + Stempel waktu respons sukses terbaru pengguna akhir terhadap CAPTCHA. Ini hanya ada jika Anda menggunakan CAPTCHA dalam perlindungan Anda. 
  + Informasi tambahan tentang perilaku klien dan klien yang dapat membantu memisahkan klien sah Anda dari lalu lintas yang tidak diinginkan. Informasi tersebut mencakup berbagai pengenal klien dan sinyal sisi klien yang dapat digunakan untuk mendeteksi aktivitas otomatis. Informasi yang dikumpulkan tidak unik dan tidak dapat dipetakan ke individu manusia. 
    + Semua token menyertakan data dari interogasi browser klien, seperti indikasi otomatisasi dan inkonsistensi pengaturan browser. Informasi ini diambil oleh skrip yang dijalankan oleh Challenge tindakan dan oleh aplikasi klien. SDKs Skrip secara aktif menginterogasi browser dan memasukkan hasilnya ke dalam token. 
    + Selain itu, saat Anda menerapkan SDK integrasi aplikasi klien, token menyertakan informasi yang dikumpulkan secara pasif tentang interaktivitas pengguna akhir dengan halaman aplikasi. Interaktivitas mencakup gerakan mouse, penekanan tombol, dan interaksi dengan bentuk HTML apa pun yang ada di halaman. Informasi ini membantu AWS WAF mendeteksi tingkat interaktivitas manusia dalam klien, untuk menantang pengguna yang tampaknya bukan manusia. Untuk informasi tentang integrasi sisi klien, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).

Untuk alasan keamanan, AWS tidak memberikan deskripsi lengkap tentang isi AWS WAF token atau informasi rinci tentang proses enkripsi token. 

# Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF
<a name="waf-tokens-immunity-times"></a>

Bagian ini menjelaskan bagaimana tantangan dan cap waktu CAPTCHA berakhir.

AWS WAF menggunakan tantangan dan waktu kekebalan CAPTCHA untuk mengontrol seberapa sering sesi klien tunggal dapat disajikan dengan tantangan atau CAPTCHA. Setelah pengguna akhir berhasil merespons CAPTCHA, waktu kekebalan CAPTCHA menentukan berapa lama pengguna akhir tetap kebal dari disajikan dengan CAPTCHA lain. Demikian pula, waktu kekebalan tantangan menentukan berapa lama sesi klien tetap kebal dari tantangan lagi setelah berhasil menanggapi tantangan. 

**Bagaimana waktu kekebalan AWS WAF token bekerja**

AWS WAF mencatat respons yang berhasil terhadap tantangan atau CAPTCHA dengan memperbarui stempel waktu yang sesuai di dalam token. Saat AWS WAF memeriksa token untuk tantangan atau CAPTCHA, itu mengurangi stempel waktu dari waktu saat ini. Jika hasilnya lebih besar dari waktu kekebalan yang dikonfigurasi, stempel waktu kedaluwarsa. 

**Aspek waktu kekebalan AWS WAF token yang dapat dikonfigurasi**

Anda dapat mengonfigurasi tantangan dan waktu kekebalan CAPTCHA dalam paket perlindungan (web ACL) dan juga dalam aturan apa pun yang menggunakan tindakan aturan CAPTCHA atauChallenge. 
+ Pengaturan paket perlindungan default (web ACL) untuk kedua waktu kekebalan adalah 300 detik. 
+ Anda dapat menentukan waktu kekebalan untuk aturan apa pun yang menggunakan CAPTCHA atau Challenge tindakan. Jika Anda tidak menentukan waktu kekebalan untuk aturan, itu mewarisi pengaturan dari paket perlindungan (web ACL). 
+ Untuk aturan di dalam grup aturan yang menggunakan Challenge tindakan CAPTCHA atau, jika Anda tidak menentukan waktu kekebalan untuk aturan tersebut, aturan tersebut akan mewarisi pengaturan dari setiap paket perlindungan (web ACL) tempat Anda menggunakan grup aturan.
+ Integrasi aplikasi SDKs menggunakan waktu kekebalan tantangan paket perlindungan (web ACL). 
+ Nilai minimum untuk waktu kekebalan tantangan adalah 300 detik. Nilai minimum untuk waktu kekebalan CAPTCHA adalah 60 detik. Nilai maksimum untuk kedua waktu kekebalan adalah 259.200 detik, atau tiga hari. 

Anda dapat menggunakan paket perlindungan (web ACL) dan pengaturan waktu kekebalan tingkat aturan untuk menyetel CAPTCHA tindakanChallenge, atau perilaku manajemen tantangan SDK. Misalnya, Anda dapat mengonfigurasi aturan yang mengontrol akses ke data yang sangat sensitif dengan waktu kekebalan rendah, dan kemudian menetapkan waktu kekebalan yang lebih tinggi dalam paket perlindungan (ACL web) untuk aturan Anda yang lain dan SDKs untuk mewarisi. 

Khususnya untuk CAPTCHA, memecahkan teka-teki dapat menurunkan pengalaman situs web pelanggan Anda, jadi menyetel waktu kekebalan CAPTCHA dapat membantu Anda mengurangi dampak pada pengalaman pelanggan sambil tetap memberikan perlindungan yang Anda inginkan. 

Untuk informasi tambahan tentang menyetel waktu kekebalan untuk penggunaan tindakan Challenge dan CAPTCHA aturan Anda, lihat[Praktik terbaik untuk menggunakan CAPTCHA dan Challenge tindakan](waf-captcha-and-challenge-best-practices.md).

# Tempat mengatur waktu kekebalan AWS WAF token
<a name="waf-tokens-immunity-times-setting"></a>

Anda dapat mengatur waktu kekebalan dalam paket perlindungan Anda (ACL web) dan dalam aturan Anda yang menggunakan tindakan Challenge dan CAPTCHA aturan. 

Untuk informasi umum tentang mengelola paket perlindungan (web ACL) dan aturannya, lihat[Melihat metrik lalu lintas web di AWS WAF](web-acl-working-with.md).

**Tempat mengatur waktu kekebalan untuk paket perlindungan (web ACL)**
+ **Konsol** — Saat Anda mengedit paket perlindungan (web ACL), di tab **Aturan**, edit dan ubah pengaturan di panel **konfigurasi dan paket perlindungan CAPTCHA (web ACL)** **paket perlindungan dan paket perlindungan (web ACL**). Di konsol, Anda dapat mengonfigurasi CAPTCHA paket perlindungan (web ACL) dan menantang waktu kekebalan hanya setelah Anda membuat paket perlindungan (web ACL).
+ **Di luar konsol** - Jenis data paket perlindungan (web ACL) memiliki CAPTCHA dan parameter konfigurasi tantangan, yang dapat Anda konfigurasikan dan berikan untuk operasi pembuatan dan pembaruan Anda pada paket perlindungan (web ACL). 

**Di mana mengatur waktu kekebalan untuk suatu aturan**
+ **Konsol** — Saat membuat atau mengedit aturan dan menentukan Challenge tindakan CAPTCHA atau, Anda dapat mengubah pengaturan waktu kekebalan aturan. 
+ **Di luar konsol** — Tipe data aturan memiliki CAPTCHA dan parameter konfigurasi tantangan, yang dapat Anda konfigurasikan saat Anda menentukan aturan. 

# Menentukan domain token dan daftar domain di AWS WAF
<a name="waf-tokens-domains"></a>

Bagian ini menjelaskan cara mengonfigurasi domain yang AWS WAF digunakan dalam token dan menerimanya dalam token.

Saat AWS WAF membuat token untuk klien, itu mengonfigurasinya dengan domain token. Saat AWS WAF memeriksa token dalam permintaan web, token tersebut menolak token sebagai tidak valid jika domainnya tidak cocok dengan domain mana pun yang dianggap valid untuk paket perlindungan (web ACL). 

Secara default, AWS WAF hanya menerima token yang pengaturan domainnya sama persis dengan domain host dari sumber daya yang terkait dengan paket perlindungan (web ACL). Ini adalah nilai `Host` header dalam permintaan web. Di browser, Anda dapat menemukan domain ini di JavaScript `window.location.hostname` properti dan di alamat yang dilihat pengguna Anda di bilah alamat mereka. 

Anda juga dapat menentukan domain token yang dapat diterima dalam konfigurasi paket perlindungan (web ACL) Anda, seperti yang dijelaskan di bagian berikut. Dalam hal ini, AWS WAF menerima kedua kecocokan persis dengan header host dan cocok dengan domain dalam daftar domain token.

Anda dapat menentukan domain token AWS WAF untuk digunakan saat menyetel domain dan saat mengevaluasi token dalam paket perlindungan (web ACL). Domain yang Anda tentukan tidak dapat berupa sufiks publik seperti. `gov.au` Untuk domain yang tidak dapat Anda gunakan, lihat daftar [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) di bawah Daftar [akhiran publik](https://publicsuffix.org/list/).

## AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token
<a name="waf-tokens-domain-lists"></a>

Anda dapat mengonfigurasi paket perlindungan (web ACL) untuk berbagi token di beberapa sumber daya yang dilindungi dengan menyediakan daftar domain token dengan domain tambahan yang AWS WAF ingin Anda terima. Dengan daftar domain token, AWS WAF masih menerima domain host sumber daya. Selain itu, ia menerima semua domain dalam daftar domain token, termasuk subdomain awalan mereka. 

Misalnya, spesifikasi domain `example.com` dalam daftar domain token Anda cocok dengan `example.com` (dari`http://example.com/`),`api.example.com`, (dari`http://api.example.com/`), dan `www.example.com` (dari`http://www.example.com/`). Itu tidak cocok`example.api.com`, (dari`http://example.api.com/`), atau `apiexample.com` (dari`http://apiexample.com/`).

Anda dapat mengonfigurasi daftar domain token di paket perlindungan (web ACL) saat Anda membuat atau mengeditnya. Untuk informasi umum tentang mengelola paket perlindungan (web ACL), lihat[Melihat metrik lalu lintas web di AWS WAF](web-acl-working-with.md).

## AWS WAF pengaturan domain token
<a name="waf-tokens-domain-in-token"></a>

AWS WAF membuat token atas permintaan skrip tantangan, yang dijalankan oleh integrasi aplikasi SDKs dan tindakan CAPTCHA aturan Challenge dan. 

Domain yang AWS WAF ditetapkan dalam token ditentukan oleh jenis skrip tantangan yang memintanya dan konfigurasi domain token tambahan apa pun yang Anda berikan. AWS WAF menetapkan domain dalam token ke pengaturan terpendek dan paling umum yang dapat ditemukan dalam konfigurasi.
+ **JavaScript SDK** — Anda dapat mengonfigurasi JavaScript SDK dengan spesifikasi domain token, yang dapat menyertakan satu atau beberapa domain. Domain yang Anda konfigurasikan harus domain yang AWS WAF akan diterima, berdasarkan domain host yang dilindungi dan daftar domain token paket perlindungan (web ACL). 

  Saat AWS WAF mengeluarkan token untuk klien, ia menetapkan domain token ke domain yang cocok dengan domain host dan merupakan yang terpendek, dari antara domain host dan domain dalam daftar yang dikonfigurasi. Misalnya, jika domain host `api.example.com` dan daftar domain token memiliki`example.com`, AWS WAF gunakan `example.com` dalam token, karena cocok dengan domain host dan lebih pendek. Jika Anda tidak memberikan daftar domain token dalam konfigurasi JavaScript API, AWS WAF tetapkan domain ke domain host dari sumber daya yang dilindungi.

  Untuk informasi selengkapnya, lihat [Menyediakan domain untuk digunakan dalam token](waf-js-challenge-api-set-token-domain.md). 
+ **Mobile SDK** — Dalam kode aplikasi Anda, Anda harus mengonfigurasi SDK seluler dengan properti domain token. Properti ini harus berupa domain yang AWS WAF akan menerima, berdasarkan domain host yang dilindungi dan daftar domain token paket perlindungan (web ACL). 

  Saat AWS WAF mengeluarkan token untuk klien, ia menggunakan properti ini sebagai domain token. AWS WAF tidak menggunakan domain host dalam token yang dikeluarkan untuk klien SDK seluler. 

  Untuk informasi selengkapnya, lihat `WAFConfiguration` `domainName` pengaturan di[AWS WAF spesifikasi SDK seluler](waf-mobile-sdk-specification.md). 
+ **Challengetindakan** — Jika Anda menentukan daftar domain token dalam paket perlindungan (web ACL), AWS WAF tetapkan domain token ke domain yang cocok dengan domain host dan merupakan yang terpendek, dari antara domain host dan domain dalam daftar. Misalnya, jika domain host `api.example.com` dan daftar domain token memiliki`example.com`, AWS WAF gunakan `example.com` dalam token, karena cocok dengan domain host dan lebih pendek. Jika Anda tidak memberikan daftar domain token dalam paket perlindungan (web ACL), AWS WAF tetapkan domain ke domain host dari sumber daya yang dilindungi. 

# Jenis label token di AWS WAF
<a name="waf-tokens-labeling"></a>

Bagian ini menjelaskan label yang ditambahkan manajemen AWS WAF token ke permintaan web. Untuk informasi umum tentang label, lihat[Pelabelan permintaan web di AWS WAF](waf-labels.md).

Saat Anda menggunakan salah satu grup aturan terkelola AWS WAF bot atau kontrol penipuan, grup aturan menggunakan manajemen AWS WAF token untuk memeriksa token permintaan web dan menerapkan pelabelan token ke permintaan. Untuk informasi tentang grup aturan terkelola, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md),[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md), dan[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).

**catatan**  
AWS WAF menerapkan label token hanya jika Anda menggunakan salah satu grup aturan terkelola mitigasi ancaman cerdas ini. 

Manajemen token dapat menambahkan label berikut ke permintaan web.

**Label sesi klien**  
Label `awswaf:managed:token:id:identifier` berisi pengidentifikasi unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya. 

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label sidik jari browser**  
Label `awswaf:managed:token:fingerprint:fingerprint-identifier` berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

**catatan**  
AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

**Label status token: Awalan namespace label**  
Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya. 

Setiap label status token dimulai dengan salah satu awalan namespace berikut: 
+ `awswaf:managed:token:`— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token. 
+ `awswaf:managed:captcha:`— Digunakan untuk melaporkan status informasi CAPTCHA token. 

**Label status token: Nama label**  
Mengikuti awalan, sisa label memberikan informasi status token terperinci: 
+ `accepted`— Token permintaan hadir dan berisi yang berikut: 
  + Tantangan yang valid atau solusi CAPTCHA.
  + Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.
  + Spesifikasi domain yang valid untuk paket perlindungan (web ACL). 

  Contoh: Label `awswaf:managed:token:accepted` menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.
+ `rejected`— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan. 

  Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya. 
  + `rejected:not_solved`— Token tidak memiliki tantangan atau solusi CAPTCHA. 
  + `rejected:expired`— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda. 
  + `rejected:domain_mismatch`— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda. 
  + `rejected:invalid`— AWS WAF tidak bisa membaca token yang ditunjukkan. 

  Contoh: Label `awswaf:managed:captcha:rejected` dan `awswaf:managed:captcha:rejected:expired` bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).
+ `absent`— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya. 

  Contoh: Label `awswaf:managed:captcha:absent` menunjukkan bahwa permintaan tidak memiliki token. 

# Memblokir permintaan yang tidak memiliki AWS WAF token yang valid
<a name="waf-tokens-block-missing-tokens"></a>

Bagian ini menjelaskan cara memblokir permintaan login yang kehilangan tokennya saat menggunakan SDK AWS WAF seluler.

Saat Anda menggunakan grup aturan Aturan AWS Terkelola ancaman cerdas `AWSManagedRulesACFPRuleSet` `AWSManagedRulesATPRuleSet``AWSManagedRulesBotControlRuleSet`, dan, grup aturan akan memanggil manajemen AWS WAF token untuk mengevaluasi status token permintaan web dan memberi label permintaan yang sesuai. 

**catatan**  
Pelabelan token hanya diterapkan pada permintaan web yang Anda evaluasi menggunakan salah satu grup aturan terkelola ini.

Untuk informasi tentang pelabelan yang diterapkan manajemen token, lihat bagian sebelumnya,. [Jenis label token di AWS WAF](waf-tokens-labeling.md) 

Kelompok aturan terkelola mitigasi ancaman cerdas kemudian menangani persyaratan token sebagai berikut:
+ `AWSManagedRulesACFPRuleSet``AllRequests`Aturan dikonfigurasi untuk menjalankan Challenge tindakan terhadap semua permintaan, secara efektif memblokir semua yang tidak memiliki label `accepted` token. 
+ Permintaan `AWSManagedRulesATPRuleSet` blok yang memiliki label `rejected` token, tetapi tidak memblokir permintaan dengan label `absent` token. 
+ Tingkat perlindungan yang `AWSManagedRulesBotControlRuleSet` ditargetkan menantang klien setelah mereka mengirim lima permintaan tanpa label `accepted` token. Itu tidak memblokir permintaan individu yang tidak memiliki token yang valid. Tingkat perlindungan umum dari grup aturan tidak mengelola persyaratan token. 

Untuk detail tambahan tentang kelompok aturan ancaman cerdas, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md), [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md) dan[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 

**Untuk memblokir permintaan yang tidak memiliki token saat menggunakan Bot Control atau grup aturan terkelola ATP**  
Dengan Bot Control dan grup aturan ATP, dimungkinkan permintaan tanpa token yang valid untuk keluar dari evaluasi grup aturan dan terus dievaluasi oleh paket perlindungan (web ACL). 

Untuk memblokir semua permintaan yang tidak ada tokennya atau tokennya ditolak, tambahkan aturan untuk dijalankan segera setelah grup aturan terkelola menangkap dan memblokir permintaan yang tidak ditangani oleh grup aturan untuk Anda. 

Berikut ini adalah contoh daftar JSON untuk paket perlindungan (web ACL) yang menggunakan grup aturan terkelola ATP. Paket perlindungan (web ACL) memiliki aturan tambahan untuk menangkap `awswaf:managed:token:absent` label dan menanganinya. Aturan mempersempit evaluasinya ke permintaan web yang masuk ke titik akhir login, agar sesuai dengan ruang lingkup grup aturan ATP. Aturan yang ditambahkan tercantum dalam huruf tebal. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Konfigurasi yang diperlukan untuk Application Load Balancer yang berasal CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Baca bagian ini jika Anda mengaitkan paket perlindungan (web ACL) Anda ke Application Load Balancer dan Anda menggunakan Application Load Balancer sebagai asal distribusi. CloudFront 

Dengan arsitektur ini, Anda perlu menyediakan konfigurasi tambahan berikut agar informasi token ditangani dengan benar.
+ Konfigurasikan CloudFront untuk meneruskan `aws-waf-token` cookie ke Application Load Balancer. Secara default, CloudFront menghapus cookie dari permintaan web sebelum meneruskannya ke asal. Untuk menyimpan cookie token dengan permintaan web, konfigurasikan perilaku CloudFront cache untuk menyertakan hanya cookie token atau semua cookie. Untuk informasi tentang cara melakukannya, lihat [Caching konten berdasarkan cookie di](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html) *Panduan CloudFront Pengembang Amazon*.
+ Konfigurasikan AWS WAF sehingga mengenali domain CloudFront distribusi sebagai domain token yang valid. Secara default, CloudFront tetapkan `Host` header ke asal Application Load Balancer, dan AWS WAF menggunakannya sebagai domain sumber daya yang dilindungi. Browser klien, bagaimanapun, melihat CloudFront distribusi sebagai domain host, dan token yang dihasilkan untuk klien menggunakan CloudFront domain sebagai domain token. Tanpa konfigurasi tambahan, saat AWS WAF memeriksa domain sumber daya yang dilindungi terhadap domain token, itu akan mendapatkan ketidakcocokan. Untuk memperbaikinya, tambahkan nama domain CloudFront distribusi ke daftar domain token dalam konfigurasi paket perlindungan (web ACL) Anda. Untuk informasi tentang cara melakukan ini, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).

# AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)
<a name="waf-acfp"></a>

Bagian ini menjelaskan apa yang dilakukan pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP).

Penipuan pembuatan akun adalah aktivitas ilegal online di mana penyerang mencoba membuat satu atau lebih akun palsu. Penyerang menggunakan akun palsu untuk kegiatan penipuan seperti menyalahgunakan promosi dan mendaftar bonus, meniru seseorang, dan serangan cyber seperti phishing. Kehadiran akun palsu dapat berdampak negatif pada bisnis Anda dengan merusak reputasi Anda dengan pelanggan dan paparan penipuan keuangan. 

Anda dapat memantau dan mengontrol upaya penipuan pembuatan akun dengan menerapkan fitur ACFP. AWS WAF menawarkan fitur ini di grup aturan Aturan AWS Terkelola `AWSManagedRulesACFPRuleSet` dengan integrasi aplikasi pendamping SDKs. 

Grup aturan terkelola ACFP memberi label dan mengelola permintaan yang mungkin merupakan bagian dari upaya pembuatan akun berbahaya. Grup aturan melakukan ini dengan memeriksa upaya pembuatan akun yang dikirim klien ke titik akhir pendaftaran akun aplikasi Anda. 

ACFP melindungi halaman pendaftaran akun Anda dengan memantau permintaan pendaftaran akun untuk aktivitas anomali dan dengan secara otomatis memblokir permintaan yang mencurigakan. Kelompok aturan menggunakan pengidentifikasi permintaan, analisis perilaku, dan pembelajaran mesin untuk mendeteksi permintaan penipuan. 
+ **Inspeksi permintaan** — ACFP memberi Anda visibilitas dan kontrol atas upaya pembuatan akun anomali dan upaya yang menggunakan kredensi curian, untuk mencegah pembuatan akun penipuan. ACFP memeriksa kombinasi email dan kata sandi terhadap basis data kredensialnya yang dicuri, yang diperbarui secara berkala karena kredensi baru yang bocor ditemukan di web gelap. ACFP mengevaluasi domain yang digunakan dalam alamat email, dan memantau penggunaan nomor telepon dan bidang alamat untuk memverifikasi entri dan untuk mendeteksi perilaku penipuan. ACFP mengumpulkan data berdasarkan alamat IP dan sesi klien, untuk mendeteksi dan memblokir klien yang mengirim terlalu banyak permintaan yang bersifat mencurigakan. 
+ **Inspeksi respons** — Untuk CloudFront distribusi, selain memeriksa permintaan pembuatan akun yang masuk, grup aturan ACFP memeriksa respons aplikasi Anda terhadap upaya pembuatan akun, untuk melacak tingkat keberhasilan dan kegagalan. Dengan menggunakan informasi ini, ACFP dapat memblokir sementara sesi klien atau alamat IP yang memiliki terlalu banyak upaya gagal. AWS WAF melakukan inspeksi respons secara asinkron, jadi ini tidak meningkatkan latensi dalam lalu lintas web Anda. 

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**catatan**  
Fitur ACFP tidak tersedia untuk kumpulan pengguna Amazon Cognito.

**Topics**
+ [AWS WAF Komponen ACFP](waf-acfp-components.md)
+ [Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md)
+ [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md)
+ [Menguji dan menerapkan ACFP](waf-acfp-deploying.md)
+ [AWS WAF Contoh pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp-control-examples.md)

# AWS WAF Komponen ACFP
<a name="waf-acfp-components"></a>

Komponen utama pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) adalah sebagai berikut: 
+ **`AWSManagedRulesACFPRuleSet`**— Aturan dalam grup aturan Aturan AWS Terkelola ini mendeteksi, memberi label, dan menangani berbagai jenis aktivitas pembuatan akun penipuan. Grup aturan memeriksa `GET` text/html permintaan HTTP yang dikirim klien ke titik akhir pendaftaran akun tertentu dan permintaan `POST` web yang dikirim klien ke titik akhir pendaftaran akun yang ditentukan. Untuk CloudFront distribusi yang dilindungi, grup aturan juga memeriksa respons yang dikirim distribusi kembali ke permintaan pembuatan akun. Untuk daftar aturan grup aturan ini, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md). Anda menyertakan grup aturan ini dalam paket perlindungan (web ACL) menggunakan pernyataan referensi grup aturan terkelola. Untuk informasi tentang menggunakan grup aturan ini, lihat[Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md). 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Detail tentang halaman pendaftaran dan pembuatan akun aplikasi Anda** — Anda harus memberikan informasi tentang halaman pendaftaran dan pembuatan akun Anda saat menambahkan grup `AWSManagedRulesACFPRuleSet` aturan ke paket perlindungan Anda (web ACL). Ini memungkinkan grup aturan mempersempit cakupan permintaan yang diperiksa dan memvalidasi permintaan web pembuatan akun dengan benar. Halaman pendaftaran harus menerima `GET` text/html permintaan. Jalur pembuatan akun harus menerima `POST` permintaan. Grup aturan ACFP bekerja dengan nama pengguna yang dalam format email. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md). 
+ **Untuk CloudFront distribusi yang dilindungi, detail tentang bagaimana aplikasi Anda merespons upaya pembuatan akun** — Anda memberikan detail tentang tanggapan aplikasi Anda terhadap upaya pembuatan akun, dan grup aturan ACFP melacak dan mengelola upaya pembuatan akun massal dari satu alamat IP atau sesi klien tunggal. Untuk informasi tentang mengonfigurasi opsi ini, lihat[Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md). 
+ **JavaScript dan integrasi aplikasi seluler SDKs** - Terapkan AWS WAF JavaScript dan seluler SDKs dengan implementasi ACFP Anda untuk mengaktifkan set lengkap kemampuan yang ditawarkan grup aturan. Banyak aturan ACFP menggunakan informasi yang disediakan oleh verifikasi klien tingkat sesi dan agregasi perilaku, yang diperlukan SDKs untuk memisahkan lalu lintas klien yang sah dari lalu lintas bot. Untuk informasi lebih lanjut tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).

Anda dapat menggabungkan implementasi ACFP Anda dengan yang berikut ini untuk membantu Anda memantau, menyetel, dan menyesuaikan perlindungan Anda. 
+ **Logging dan metrik** — Anda dapat memantau lalu lintas Anda, dan memahami bagaimana grup aturan terkelola ACFP memengaruhi hal itu, dengan mengonfigurasi dan mengaktifkan log, pengumpulan data Amazon Security Lake, dan metrik CloudWatch Amazon untuk paket perlindungan Anda (web ACL). Label yang `AWSManagedRulesACFPRuleSet` menambah permintaan web Anda disertakan dalam data. Untuk informasi tentang opsi, lihat, [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md)[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  Tergantung pada kebutuhan Anda dan lalu lintas yang Anda lihat, Anda mungkin ingin menyesuaikan `AWSManagedRulesACFPRuleSet` implementasi Anda. Misalnya, Anda mungkin ingin mengecualikan beberapa lalu lintas dari evaluasi ACFP, atau Anda mungkin ingin mengubah cara menangani beberapa upaya penipuan pembuatan akun yang diidentifikasi, menggunakan AWS WAF fitur seperti pernyataan cakupan bawah atau aturan pencocokan label. 
+ **Aturan pencocokan label dan label** — Untuk salah satu aturan di`AWSManagedRulesACFPRuleSet`, Anda dapat mengubah perilaku pemblokiran untuk menghitung, lalu mencocokkan dengan label yang ditambahkan oleh aturan. Gunakan pendekatan ini untuk menyesuaikan cara Anda menangani permintaan web yang diidentifikasi oleh grup aturan terkelola ACFP. Untuk informasi selengkapnya tentang pelabelan dan penggunaan pernyataan pencocokan label, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan[Pelabelan permintaan web di AWS WAF](waf-labels.md). 
+ **Permintaan dan tanggapan khusus** - Anda dapat menambahkan header khusus ke permintaan yang Anda izinkan dan Anda dapat mengirim tanggapan khusus untuk permintaan yang Anda blokir. Untuk melakukan ini, Anda memasangkan label yang cocok dengan permintaan AWS WAF kustom dan fitur respons. Untuk informasi selengkapnya tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

# Menggunakan integrasi aplikasi SDKs dengan ACFP
<a name="waf-acfp-with-tokens"></a>

Kami sangat menyarankan untuk menerapkan integrasi aplikasi SDKs, untuk penggunaan grup aturan ACFP yang paling efisien. 
+ **Fungsionalitas grup aturan lengkap** — Aturan ACFP `SignalClientHumanInteractivityAbsentLow` hanya berfungsi dengan token yang diisi oleh integrasi aplikasi. Aturan ini mendeteksi dan mengelola interaktivitas manusia yang abnormal dengan halaman aplikasi. Integrasi aplikasi SDKs dapat mendeteksi interaktivitas manusia normal melalui gerakan mouse, penekanan tombol, dan pengukuran lainnya. Pengantara yang dikirim oleh tindakan aturan CAPTCHA dan tidak Challenge dapat menyediakan jenis data ini. 
+ **Mengurangi latensi** — Aturan grup Challenge aturan `AllRequests` menerapkan tindakan aturan untuk setiap permintaan yang belum memiliki token tantangan. Ketika ini terjadi, permintaan dievaluasi oleh kelompok aturan dua kali: sekali tanpa token, dan kemudian kedua kalinya setelah token diperoleh melalui Challenge tindakan pengantara. Anda tidak dikenakan biaya tambahan untuk hanya menggunakan `AllRequests` aturan, tetapi pendekatan ini menambahkan overhead ke lalu lintas web Anda dan menambahkan latensi ke pengalaman pengguna akhir Anda. Jika Anda memperoleh token sisi klien menggunakan integrasi aplikasi, sebelum mengirim permintaan pembuatan akun, grup aturan ACFP mengevaluasi permintaan satu kali. 

Untuk informasi selengkapnya tentang kemampuan grup aturan, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).

Untuk informasi tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang AWS WAF token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Untuk informasi tentang tindakan aturan, lihat[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

# Menambahkan grup aturan terkelola ACFP ke ACL web Anda
<a name="waf-acfp-rg-using"></a>

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesACFPRuleSet` aturan.

Untuk mengonfigurasi grup aturan terkelola ACFP untuk mengenali aktivitas penipuan pembuatan akun di lalu lintas web Anda, Anda memberikan informasi tentang cara klien mengakses halaman pendaftaran Anda dan mengirim permintaan pembuatan akun ke aplikasi Anda. Untuk CloudFront distribusi Amazon yang dilindungi, Anda juga memberikan informasi tentang bagaimana aplikasi Anda merespons permintaan pembuatan akun. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola. 

Untuk deskripsi grup aturan dan daftar aturan, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).

**catatan**  
Basis data kredensil curian ACFP hanya berisi nama pengguna dalam format email.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).

**Ikuti praktik terbaik**  
Gunakan grup aturan ACFP sesuai dengan praktik terbaik di. [Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md) 

**Untuk menggunakan grup `AWSManagedRulesACFPRuleSet` aturan dalam paket perlindungan Anda (web ACL)**

1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesACFPRuleSet` ke paket perlindungan (web ACL), dan **Edit** pengaturan grup aturan sebelum menyimpan. 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Di panel **konfigurasi grup Aturan**, berikan informasi yang digunakan grup aturan ACFP untuk memeriksa permintaan pembuatan akun. 

   1. Untuk **Gunakan ekspresi reguler di jalur**, aktifkan ini jika Anda ingin AWS WAF melakukan pencocokan ekspresi reguler untuk spesifikasi jalur halaman pendaftaran dan pembuatan akun Anda. 

      AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

   1. Untuk **jalur halaman Pendaftaran**, berikan jalur titik akhir halaman pendaftaran untuk aplikasi Anda. Halaman ini harus menerima `GET` text/html permintaan. Grup aturan hanya memeriksa `GET` text/html permintaan HTTP ke titik akhir halaman pendaftaran yang Anda tentukan.
**catatan**  
Pencocokan untuk titik akhir tidak peka huruf besar/kecil. Spesifikasi Regex tidak boleh berisi bendera, yang menonaktifkan pencocokan yang tidak `(?-i)` peka huruf besar/kecil. Spesifikasi string harus dimulai dengan garis miring `/` ke depan.

      Misalnya, untuk URL`https://example.com/web/registration`, Anda dapat memberikan spesifikasi jalur string`/web/registration`. Jalur halaman pendaftaran yang dimulai dengan jalur yang Anda berikan dianggap cocok. Misalnya `/web/registration` cocok dengan jalur pendaftaran`/web/registration`,`/web/registration/`,`/web/registrationPage`, dan`/web/registration/thisPage`, tetapi tidak cocok dengan jalur `/home/web/registration` atau`/website/registration`. 
**catatan**  
Pastikan bahwa pengguna akhir Anda memuat halaman pendaftaran sebelum mereka mengirimkan permintaan pembuatan akun. Ini membantu memastikan bahwa permintaan pembuatan akun dari klien menyertakan token yang valid. 

   1. Untuk **jalur pembuatan Akun**, berikan URI di situs web Anda yang menerima detail pengguna baru yang telah selesai. URI ini harus menerima `POST` permintaan.
**catatan**  
Pencocokan untuk titik akhir tidak peka huruf besar/kecil. Spesifikasi Regex tidak boleh berisi bendera, yang menonaktifkan pencocokan yang tidak `(?-i)` peka huruf besar/kecil. Spesifikasi string harus dimulai dengan garis miring `/` ke depan.

      Misalnya, untuk URL`https://example.com/web/newaccount`, Anda dapat memberikan spesifikasi jalur string`/web/newaccount`. Jalur pembuatan akun yang dimulai dengan jalur yang Anda berikan dianggap cocok. Misalnya `/web/newaccount` cocok dengan jalur pembuatan akun`/web/newaccount`,`/web/newaccount/`,`/web/newaccountPage`, dan`/web/newaccount/thisPage`, tetapi tidak cocok dengan jalur `/home/web/newaccount` atau`/website/newaccount`. 

   1. Untuk **pemeriksaan Permintaan**, tentukan bagaimana aplikasi Anda menerima upaya pembuatan akun dengan memberikan jenis payload permintaan dan nama bidang dalam badan permintaan tempat nama pengguna, kata sandi, dan detail pembuatan akun lainnya disediakan. 
**catatan**  
Untuk bidang alamat utama dan nomor telepon, berikan bidang sesuai urutan tampilannya di payload permintaan.

      Spesifikasi nama bidang Anda tergantung pada jenis payload.
      + **Jenis payload JSON** - Tentukan nama bidang dalam sintaks penunjuk JSON. Untuk informasi tentang sintaks JSON Pointer, lihat dokumentasi Internet Engineering Task Force (IETF) [JavaScriptObject Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

        Misalnya, untuk contoh payload JSON berikut, spesifikasi bidang nama pengguna adalah `/signupform/username` dan spesifikasi bidang alamat utama adalah`/signupform/addrp1`,`/signupform/addrp2`, dan. `/signupform/addrp3`

        ```
        {
            "signupform": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD",
                "addrp1": "PRIMARY_ADDRESS_LINE_1",
                "addrp2": "PRIMARY_ADDRESS_LINE_2",
                "addrp3": "PRIMARY_ADDRESS_LINE_3",
                "phonepcode": "PRIMARY_PHONE_CODE",
                "phonepnumber": "PRIMARY_PHONE_NUMBER"
            }
        }
        ```
      + **Jenis payload FORM\$1ENCODED** - Gunakan nama formulir HTML.

        Misalnya, untuk formulir HTML dengan elemen input pengguna dan kata sandi bernama `username1` dan`password1`, spesifikasi bidang nama pengguna adalah `username1` dan spesifikasi bidang kata sandi adalah`password1`.

   1. Jika Anda melindungi CloudFront distribusi Amazon, maka di bawah **pemeriksaan Response**, tentukan bagaimana aplikasi Anda menunjukkan keberhasilan atau kegagalan dalam tanggapannya terhadap upaya pembuatan akun. 
**catatan**  
Pemeriksaan respons ACFP hanya tersedia dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi.

      Tentukan satu komponen dalam respons pembuatan akun yang ingin diperiksa oleh ACFP. Untuk tipe komponen **Body** dan **JSON**, AWS WAF dapat memeriksa 65.536 byte pertama (64 KB) komponen. 

      Berikan kriteria inspeksi Anda untuk jenis komponen, seperti yang ditunjukkan oleh antarmuka. Anda harus memberikan kriteria keberhasilan dan kegagalan untuk diperiksa dalam komponen. 

      Misalnya, aplikasi Anda menunjukkan status upaya pembuatan akun dalam kode status respons, dan digunakan `200 OK` untuk sukses dan `401 Unauthorized` atau `403 Forbidden` untuk kegagalan. Anda akan mengatur pemeriksaan respons **Jenis komponen** ke **kode Status**, lalu di kotak teks **Sukses** masukkan `200` dan di kotak teks **Kegagalan**, masukkan `401` pada baris pertama dan `403` pada baris kedua.

      Kelompok aturan ACFP hanya menghitung tanggapan yang sesuai dengan kriteria pemeriksaan keberhasilan atau kegagalan Anda. Aturan kelompok aturan bertindak pada klien sementara mereka memiliki tingkat keberhasilan yang terlalu tinggi di antara tanggapan yang dihitung, untuk mengurangi upaya pembuatan akun massal. Untuk perilaku yang akurat menurut aturan grup aturan, pastikan untuk memberikan informasi lengkap untuk upaya pembuatan akun yang berhasil dan gagal. 

      Untuk melihat aturan yang memeriksa respons pembuatan akun, cari `VolumetricIPSuccessfulResponse` dan `VolumetricSessionSuccessfulResponse` di daftar aturan di[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md). 

1. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan. 

   Anda dapat membatasi cakupan permintaan yang diperiksa oleh grup aturan dengan menambahkan pernyataan cakupan bawah ke pernyataan grup aturan terkelola. Misalnya, Anda hanya dapat memeriksa permintaan dengan argumen kueri atau cookie tertentu. Grup aturan hanya akan memeriksa permintaan yang sesuai dengan kriteria dalam pernyataan cakupan bawah Anda dan yang dikirim ke jalur pendaftaran akun dan pembuatan akun yang Anda tentukan dalam konfigurasi grup aturan. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

1. Simpan perubahan Anda ke paket perlindungan (web ACL). 

Sebelum Anda menerapkan implementasi ACFP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan. 

# Menguji dan menerapkan ACFP
<a name="waf-acfp-deploying"></a>

Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima. 

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan implementasi ACFP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

AWS WAF menyediakan kredensi pengujian yang dapat Anda gunakan untuk memverifikasi konfigurasi ACFP Anda. Dalam prosedur berikut, Anda akan mengonfigurasi paket perlindungan pengujian (web ACL) untuk menggunakan grup aturan terkelola ACFP, mengonfigurasi aturan untuk menangkap label yang ditambahkan oleh grup aturan, dan kemudian menjalankan upaya pembuatan akun menggunakan kredenal pengujian ini. Anda akan memverifikasi bahwa paket perlindungan (web ACL) telah mengelola upaya dengan benar dengan memeriksa CloudWatch metrik Amazon untuk upaya pembuatan akun. 

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Untuk mengkonfigurasi dan menguji implementasi pencegahan AWS WAF penipuan (ACFP) pembuatan akun Kontrol Penipuan**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Tambahkan grup aturan AWS WAF terkelola pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan dalam mode hitung**
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Tambahkan grup aturan Aturan AWS Terkelola `AWSManagedRulesACFPRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan (web ACL) saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).
   + Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut: 
     + Di panel **konfigurasi grup Aturan**, berikan detail halaman pendaftaran dan pembuatan akun aplikasi Anda. Grup aturan ACFP menggunakan informasi ini untuk memantau aktivitas masuk. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md).
     + Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola ACFP untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal. 
   + Posisikan grup aturan sehingga dievaluasi setelah aturan yang ada di paket perlindungan (web ACL), dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan apa pun yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

     Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatatnya. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan terkelola ACFP. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

1. 

**Menerapkan integrasi aplikasi SDKs**

   Integrasikan AWS WAF JavaScript SDK ke dalam jalur pendaftaran akun dan pembuatan akun browser Anda. AWS WAF juga menyediakan ponsel SDKs untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang integrasi SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang rekomendasi ini, lihat[Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md).
**catatan**  
Jika Anda tidak dapat menggunakan integrasi aplikasi SDKs, Anda dapat menguji grup aturan ACFP dengan mengeditnya di paket perlindungan Anda (web ACL) dan menghapus penggantian yang Anda tempatkan pada aturan. `AllRequests` Ini memungkinkan pengaturan Challenge tindakan aturan, untuk memastikan bahwa permintaan menyertakan token tantangan yang valid.   
*Lakukan ini terlebih dahulu di lingkungan pengujian dan kemudian dengan sangat hati-hati di lingkungan produksi Anda.* Pendekatan ini memiliki potensi untuk memblokir pengguna. Misalnya, jika jalur halaman pendaftaran Anda tidak menerima `GET` text/html permintaan, konfigurasi aturan ini dapat secara efektif memblokir semua permintaan di halaman pendaftaran. 

1. 

**Aktifkan pencatatan dan metrik untuk paket perlindungan (web ACL)**

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola ACFP dengan lalu lintas Anda. 
   + Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. 

**Pantau lalu lintas dan kecocokan aturan ACFP**

   Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola ACFP menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik ACFP dan label di metrik Amazon. CloudWatch Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa. 

1. 

**Uji kemampuan pemeriksaan kredensi grup aturan**

   Lakukan upaya pembuatan akun dengan menguji kredensi yang dikompromikan dan periksa apakah grup aturan cocok dengan mereka seperti yang diharapkan. 

   1. Akses halaman pendaftaran akun sumber daya terlindungi Anda dan coba tambahkan akun baru. Gunakan pasangan kredensi AWS WAF uji berikut dan masukkan tes apa pun 
      + Pengguna: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Kata Sandi: `WAF_TEST_CREDENTIAL_PASSWORD`

      Kredensi pengujian ini dikategorikan sebagai kredenal yang dikompromikan, dan grup aturan terkelola ACFP akan menambahkan `awswaf:managed:aws:acfp:signal:credential_compromised` label ke permintaan pembuatan akun, yang dapat Anda lihat di log. 

   1. Di log paket perlindungan (web ACL) Anda, cari `awswaf:managed:aws:acfp:signal:credential_compromised` label di `labels` bidang pada entri log untuk permintaan pembuatan akun pengujian Anda. Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

   Setelah memverifikasi bahwa grup aturan menangkap kredensional yang dikompromikan seperti yang diharapkan, Anda dapat mengambil langkah-langkah untuk mengonfigurasi implementasinya sesuai kebutuhan untuk sumber daya yang dilindungi.

1. 

**Untuk CloudFront distribusi, uji pengelolaan grup aturan atas upaya pembuatan akun massal**

   Jalankan pengujian ini untuk setiap kriteria respons sukses yang Anda konfigurasikan untuk grup aturan ACFP. Tunggu setidaknya 30 menit di antara tes.

   1. Untuk setiap kriteria keberhasilan Anda, identifikasi upaya pembuatan akun yang akan berhasil dengan kriteria keberhasilan tersebut sebagai tanggapan. Kemudian, dari satu sesi klien, lakukan setidaknya 5 upaya pembuatan akun yang berhasil dalam waktu kurang dari 30 menit. Seorang pengguna biasanya hanya akan membuat satu akun di situs Anda. 

      Setelah pembuatan akun pertama yang berhasil, `VolumetricSessionSuccessfulResponse` aturan harus mulai cocok dengan respons pembuatan akun lainnya, memberi label dan menghitungnya, berdasarkan penggantian tindakan aturan Anda. Aturan mungkin melewatkan satu atau dua yang pertama karena latensi. 

   1. Dalam log paket perlindungan (web ACL) Anda, cari `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` label di `labels` bidang pada entri log untuk permintaan web pembuatan akun pengujian Anda. Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

   Tes ini memverifikasi bahwa kriteria keberhasilan Anda sesuai dengan tanggapan Anda dengan memeriksa bahwa jumlah yang berhasil dikumpulkan oleh aturan melampaui ambang batas aturan. Setelah Anda mencapai ambang batas, jika Anda terus mengirim permintaan pembuatan akun dari sesi yang sama, aturan akan terus cocok hingga tingkat keberhasilan turun di bawah ambang batas. Meskipun ambang batas terlampaui, aturan tersebut cocok dengan upaya pembuatan akun yang berhasil atau gagal dari alamat sesi. 

1. 

**Sesuaikan penanganan permintaan web ACFP**

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan ACFP akan menanganinya. 

   Misalnya, Anda dapat menggunakan label ACFP untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola ACFP untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan ACFP terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Sebagai contoh, lihat [Contoh ACFP: Respons khusus untuk kredensil yang dikompromikan](waf-acfp-control-example-compromised-credentials.md). 

1. 

**Hapus aturan pengujian Anda dan aktifkan pengaturan grup aturan terkelola ACFP**

   Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan ACFP dalam mode hitungan. Untuk aturan yang ingin Anda jalankan seperti yang dikonfigurasi di dalam grup aturan, nonaktifkan mode hitungan dalam konfigurasi grup aturan paket perlindungan (web ACL). Setelah selesai menguji, Anda juga dapat menghapus aturan pencocokan label pengujian.

1. 

**Memantau dan menyetel**

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas ACFP yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri. 

Setelah Anda selesai menguji implementasi grup aturan ACFP Anda, jika Anda belum mengintegrasikan AWS WAF JavaScript SDK ke halaman pendaftaran akun dan pembuatan akun browser Anda, kami sangat menyarankan Anda melakukannya. AWS WAF juga menyediakan ponsel SDKs untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi selengkapnya tentang integrasi SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang rekomendasi ini, lihat[Menggunakan integrasi aplikasi SDKs dengan ACFP](waf-acfp-with-tokens.md).

# AWS WAF Contoh pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)
<a name="waf-acfp-control-examples"></a>

Bagian ini menunjukkan contoh konfigurasi yang memenuhi kasus penggunaan umum untuk implementasi pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP). 

Setiap contoh memberikan deskripsi kasus penggunaan dan kemudian menunjukkan solusi dalam daftar JSON untuk aturan yang dikonfigurasi khusus. 

**catatan**  
Anda dapat mengambil daftar JSON seperti yang ditunjukkan dalam contoh ini melalui paket perlindungan konsol (web ACL) unduhan JSON atau editor aturan JSON, atau melalui `getWebACL` operasi di APIs dan antarmuka baris perintah. 

**Topics**
+ [Contoh ACFP: Konfigurasi sederhana](waf-acfp-control-example-basic.md)
+ [Contoh ACFP: Respons khusus untuk kredensil yang dikompromikan](waf-acfp-control-example-compromised-credentials.md)
+ [Contoh ACFP: Konfigurasi inspeksi respons](waf-acfp-control-example-response-inspection.md)

# Contoh ACFP: Konfigurasi sederhana
<a name="waf-acfp-control-example-basic"></a>

Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP). Perhatikan tambahan `CreationPath` dan `RegistrationPagePath` konfigurasi, bersama dengan jenis payload dan informasi yang diperlukan untuk menemukan informasi akun baru di payload, untuk memverifikasinya. Grup aturan menggunakan informasi ini untuk memantau dan mengelola permintaan pembuatan akun Anda. JSON ini mencakup pengaturan paket perlindungan (web ACL) yang dibuat secara otomatis, seperti namespace label dan URL integrasi aplikasi paket perlindungan (web ACL).

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```

# Contoh ACFP: Respons khusus untuk kredensil yang dikompromikan
<a name="waf-acfp-control-example-compromised-credentials"></a>

Secara default, pemeriksaan kredensil yang dilakukan oleh grup aturan `AWSManagedRulesACFPRuleSet` menangani kredensil yang dikompromikan dengan memberi label permintaan dan memblokirnya. Untuk detail tentang kelompok aturan dan perilaku aturan, lihat[AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).

Untuk memberi tahu pengguna bahwa kredensi akun yang mereka berikan telah disusupi, Anda dapat melakukan hal berikut: 
+ **Ganti `SignalCredentialCompromised` aturan ke Count** — Ini menyebabkan aturan hanya menghitung dan memberi label permintaan yang cocok.
+ **Tambahkan aturan pencocokan label dengan penanganan kustom** — Konfigurasikan aturan ini agar sesuai dengan label ACFP dan untuk melakukan penanganan kustom Anda. 

Daftar paket perlindungan (web ACL) berikut menunjukkan grup aturan terkelola ACFP dari contoh sebelumnya, dengan tindakan `SignalCredentialCompromised` aturan diganti untuk dihitung. Dengan konfigurasi ini, ketika grup aturan ini mengevaluasi permintaan web apa pun yang menggunakan kredensi yang dikompromikan, ia akan memberi label permintaan, tetapi tidak memblokirnya. 

Selain itu, paket perlindungan (web ACL) sekarang memiliki respons khusus bernama `aws-waf-credential-compromised` dan aturan baru bernama`AccountSignupCompromisedCredentialsHandling`. Prioritas aturan adalah pengaturan numerik yang lebih tinggi daripada grup aturan, sehingga berjalan setelah grup aturan dalam evaluasi paket perlindungan (web ACL). Aturan baru cocok dengan permintaan apa pun dengan label kredensi grup aturan yang disusupi. Saat aturan menemukan kecocokan, aturan tersebut menerapkan Block tindakan ke permintaan dengan badan respons khusus. Badan respons khusus memberikan informasi kepada pengguna akhir bahwa kredensialnya telah dikompromikan dan mengusulkan tindakan untuk diambil. 

```
{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}
```

# Contoh ACFP: Konfigurasi inspeksi respons
<a name="waf-acfp-control-example-response-inspection"></a>

Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) yang dikonfigurasi untuk memeriksa respons asal. Perhatikan konfigurasi inspeksi respons, yang menentukan kode status keberhasilan dan respons. Anda juga dapat mengonfigurasi pengaturan keberhasilan dan respons berdasarkan kecocokan JSON header, body, dan body. JSON ini mencakup pengaturan paket perlindungan (web ACL) yang dibuat secara otomatis, seperti namespace label dan URL integrasi aplikasi paket perlindungan (web ACL).

**catatan**  
Pemeriksaan respons ATP hanya tersedia dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi.

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401
                    ]
                  }
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
  }
```

# AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)
<a name="waf-atp"></a>

Bagian ini menjelaskan apa yang dilakukan pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP).

Pengambilalihan akun adalah aktivitas ilegal online di mana penyerang mendapatkan akses tidak sah ke akun seseorang. Penyerang mungkin melakukan ini dalam beberapa cara, seperti menggunakan kredensi curian atau menebak kata sandi korban melalui serangkaian upaya. Ketika penyerang mendapatkan akses, mereka mungkin mencuri uang, informasi, atau layanan dari korban. Penyerang mungkin berpose sebagai korban untuk mendapatkan akses ke akun lain yang dimiliki korban, atau untuk mendapatkan akses ke akun orang atau organisasi lain. Selain itu, mereka mungkin mencoba mengubah kata sandi pengguna untuk memblokir korban dari akun mereka sendiri. 

Anda dapat memantau dan mengontrol upaya pengambilalihan akun dengan menerapkan fitur ATP. AWS WAF menawarkan fitur ini di grup aturan Aturan AWS Terkelola `AWSManagedRulesATPRuleSet` dan integrasi aplikasi pendamping SDKs. 

Grup aturan terkelola ATP memberi label dan mengelola permintaan yang mungkin merupakan bagian dari upaya pengambilalihan akun berbahaya. Grup aturan melakukan ini dengan memeriksa upaya login yang dikirim klien ke titik akhir login aplikasi Anda. 
+ **Inspeksi permintaan** — ATP memberi Anda visibilitas dan kontrol atas upaya login anomali dan upaya login yang menggunakan kredensi curian, untuk mencegah pengambilalihan akun yang dapat menyebabkan aktivitas penipuan. ATP memeriksa kombinasi email dan kata sandi terhadap basis data kredensialnya yang dicuri, yang diperbarui secara berkala karena kredensi baru yang bocor ditemukan di web gelap. ATP mengumpulkan data berdasarkan alamat IP dan sesi klien, untuk mendeteksi dan memblokir klien yang mengirim terlalu banyak permintaan yang bersifat mencurigakan. 
+ **Inspeksi respons** — Untuk CloudFront distribusi, selain memeriksa permintaan masuk masuk, grup aturan ATP memeriksa respons aplikasi Anda terhadap upaya login, untuk melacak tingkat keberhasilan dan kegagalan. Dengan menggunakan informasi ini, ATP dapat memblokir sementara sesi klien atau alamat IP yang memiliki terlalu banyak kegagalan login. AWS WAF melakukan inspeksi respons secara asinkron, jadi ini tidak meningkatkan latensi dalam lalu lintas web Anda. 

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**catatan**  
Fitur ATP tidak tersedia untuk kumpulan pengguna Amazon Cognito.

**Topics**
+ [AWS WAF Komponen ATP](waf-atp-components.md)
+ [Menggunakan integrasi aplikasi SDKs dengan ATP](waf-atp-with-tokens.md)
+ [Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md)
+ [Menguji dan menerapkan ATP](waf-atp-deploying.md)
+ [AWS WAF Contoh pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp-control-examples.md)

# AWS WAF Komponen ATP
<a name="waf-atp-components"></a>

Komponen utama pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) adalah sebagai berikut: 
+ **`AWSManagedRulesATPRuleSet`**— Aturan dalam grup aturan Aturan AWS Terkelola ini mendeteksi, memberi label, dan menangani berbagai jenis aktivitas pengambilalihan akun. Grup aturan memeriksa permintaan `POST` web HTTP yang dikirim klien ke titik akhir login yang ditentukan. Untuk CloudFront distribusi yang dilindungi, grup aturan juga memeriksa respons yang dikirim distribusi kembali ke permintaan ini. Untuk daftar aturan grup aturan, lihat[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md). Anda menyertakan grup aturan ini dalam paket perlindungan (web ACL) menggunakan pernyataan referensi grup aturan terkelola. Untuk informasi tentang menggunakan grup aturan ini, lihat[Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md). 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Detail tentang halaman login aplikasi Anda** — Anda harus memberikan informasi tentang halaman login Anda ketika Anda menambahkan grup `AWSManagedRulesATPRuleSet` aturan ke paket perlindungan Anda (web ACL). Ini memungkinkan grup aturan mempersempit cakupan permintaan yang diperiksa dan memvalidasi penggunaan kredensil dengan benar dalam permintaan web. Grup aturan ATP bekerja dengan nama pengguna yang dalam format email. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md). 
+ **Untuk CloudFront distribusi yang dilindungi, detail tentang bagaimana aplikasi Anda merespons upaya login** — Anda memberikan detail tentang tanggapan aplikasi Anda terhadap upaya login, dan grup aturan melacak dan mengelola klien yang mengirim terlalu banyak upaya login yang gagal. Untuk informasi tentang mengonfigurasi opsi ini, lihat[Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md). 
+ **JavaScript dan integrasi aplikasi seluler SDKs** - Terapkan AWS WAF JavaScript dan seluler SDKs dengan implementasi ATP Anda untuk mengaktifkan set lengkap kemampuan yang ditawarkan grup aturan. Banyak aturan ATP menggunakan informasi yang disediakan oleh verifikasi klien tingkat sesi dan agregasi perilaku, yang diperlukan untuk memisahkan lalu lintas klien yang sah dari lalu lintas bot. SDKs Untuk informasi lebih lanjut tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).

Anda dapat menggabungkan implementasi ATP Anda dengan yang berikut ini untuk membantu Anda memantau, menyetel, dan menyesuaikan perlindungan Anda. 
+ **Logging dan metrik** — Anda dapat memantau lalu lintas Anda, dan memahami bagaimana grup aturan terkelola ACFP memengaruhi hal itu, dengan mengonfigurasi dan mengaktifkan log, pengumpulan data Amazon Security Lake, dan metrik CloudWatch Amazon untuk paket perlindungan Anda (web ACL). Label yang `AWSManagedRulesATPRuleSet` menambah permintaan web Anda disertakan dalam data. Untuk informasi tentang opsi, lihat, [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md)[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .

  Tergantung pada kebutuhan Anda dan lalu lintas yang Anda lihat, Anda mungkin ingin menyesuaikan `AWSManagedRulesATPRuleSet` implementasi Anda. Misalnya, Anda mungkin ingin mengecualikan beberapa lalu lintas dari evaluasi ATP, atau Anda mungkin ingin mengubah cara menangani beberapa upaya pengambilalihan akun yang diidentifikasi, menggunakan AWS WAF fitur seperti pernyataan cakupan bawah atau aturan pencocokan label. 
+ **Aturan pencocokan label dan label** — Untuk salah satu aturan di`AWSManagedRulesATPRuleSet`, Anda dapat mengubah perilaku pemblokiran untuk menghitung, lalu mencocokkan dengan label yang ditambahkan oleh aturan. Gunakan pendekatan ini untuk menyesuaikan cara Anda menangani permintaan web yang diidentifikasi oleh grup aturan terkelola ATP. Untuk informasi selengkapnya tentang pelabelan dan penggunaan pernyataan pencocokan label, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan[Pelabelan permintaan web di AWS WAF](waf-labels.md). 
+ **Permintaan dan tanggapan khusus** - Anda dapat menambahkan header khusus ke permintaan yang Anda izinkan dan Anda dapat mengirim tanggapan khusus untuk permintaan yang Anda blokir. Untuk melakukan ini, Anda memasangkan label yang cocok dengan permintaan AWS WAF kustom dan fitur respons. Untuk informasi selengkapnya tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

# Menggunakan integrasi aplikasi SDKs dengan ATP
<a name="waf-atp-with-tokens"></a>

Bagian ini menjelaskan cara menggunakan integrasi aplikasi SDKs dengan ATP.

Grup aturan terkelola ATP memerlukan token tantangan yang SDKs dihasilkan oleh integrasi aplikasi. Token memungkinkan set lengkap perlindungan yang ditawarkan grup aturan. 

Kami sangat menyarankan untuk menerapkan integrasi aplikasi SDKs, untuk penggunaan grup aturan ATP yang paling efektif. Skrip tantangan harus dijalankan sebelum grup aturan ATP agar grup aturan mendapat manfaat dari token yang diperoleh skrip. Ini terjadi secara otomatis dengan integrasi aplikasi SDKs. Jika Anda tidak dapat menggunakan SDKs, Anda dapat mengkonfigurasi paket perlindungan (web ACL) secara bergantian sehingga menjalankan tindakan Challenge atau CAPTCHA aturan terhadap semua permintaan yang akan diperiksa oleh grup aturan ATP. Menggunakan tindakan Challenge atau CAPTCHA aturan dapat dikenakan biaya tambahan. Untuk detail harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/). 

**Kemampuan grup aturan ATP yang tidak memerlukan token**  
Ketika permintaan web tidak memiliki token, grup aturan terkelola ATP mampu memblokir jenis lalu lintas berikut:
+ Alamat IP tunggal yang membuat banyak permintaan login. 
+ Alamat IP tunggal yang membuat banyak permintaan login gagal dalam waktu singkat. 
+ Login mencoba dengan traversal kata sandi, menggunakan nama pengguna yang sama tetapi mengubah kata sandi. 

**Kemampuan grup aturan ATP yang membutuhkan token**  
Informasi yang diberikan dalam token tantangan memperluas kemampuan grup aturan dan keamanan aplikasi klien Anda secara keseluruhan. 

Token menyediakan informasi klien dengan setiap permintaan web yang memungkinkan grup aturan ATP untuk memisahkan sesi klien yang sah dari sesi klien yang berperilaku buruk, bahkan ketika keduanya berasal dari satu alamat IP. Grup aturan menggunakan informasi dalam token untuk menggabungkan perilaku permintaan sesi klien untuk deteksi dan mitigasi yang disetel dengan baik. 

Ketika token tersedia dalam permintaan web, grup aturan ATP dapat mendeteksi dan memblokir kategori klien tambahan berikut di tingkat sesi: 
+ Sesi klien yang gagal dalam tantangan diam yang SDKs dikelola. 
+ Sesi klien yang melintasi nama pengguna atau kata sandi. Ini juga dikenal sebagai isian kredenal.
+ Sesi klien yang berulang kali menggunakan kredensil curian untuk masuk.
+ Sesi klien yang menghabiskan waktu lama mencoba masuk. 
+ Sesi klien yang membuat banyak permintaan login. Grup aturan ATP menyediakan isolasi klien yang lebih baik daripada aturan AWS WAF berbasis tarif, yang dapat memblokir klien berdasarkan alamat IP. Kelompok aturan ATP juga menggunakan ambang batas yang lebih rendah. 
+ Sesi klien yang membuat banyak permintaan login gagal dalam waktu singkat. Fungsionalitas ini tersedia untuk CloudFront distribusi Amazon yang dilindungi.

Untuk informasi selengkapnya tentang kemampuan grup aturan, lihat[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).

Untuk informasi tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang AWS WAF token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Untuk informasi tentang tindakan aturan, lihat[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

# Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)
<a name="waf-atp-rg-using"></a>

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesATPRuleSet` aturan.

Untuk mengonfigurasi grup aturan terkelola ATP untuk mengenali aktivitas pengambilalihan akun di lalu lintas web Anda, Anda memberikan informasi tentang cara klien mengirim permintaan login ke aplikasi Anda. Untuk CloudFront distribusi Amazon yang dilindungi, Anda juga memberikan informasi tentang bagaimana aplikasi Anda merespons permintaan login. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola. 

Untuk deskripsi grup aturan dan daftar aturan, lihat[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).

**catatan**  
Database kredensil yang dicuri ATP hanya berisi nama pengguna dalam format email.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).

**Ikuti praktik terbaik**  
Gunakan kelompok aturan ATP sesuai dengan praktik terbaik di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md). 

**Untuk menggunakan grup `AWSManagedRulesATPRuleSet` aturan dalam paket perlindungan Anda (web ACL)**

1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesATPRuleSet` ke paket perlindungan (web ACL), dan **Edit** pengaturan grup aturan sebelum menyimpan. 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Di panel **konfigurasi grup Aturan**, berikan informasi yang digunakan grup aturan ATP untuk memeriksa permintaan login. 

   1. Untuk **Gunakan ekspresi reguler di jalur**, aktifkan ini jika Anda ingin AWS WAF melakukan pencocokan ekspresi reguler untuk spesifikasi jalur halaman login Anda. 

      AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

   1. Untuk **jalur Login**, berikan jalur titik akhir login untuk aplikasi Anda. Grup aturan hanya memeriksa `POST` permintaan HTTP ke titik akhir login yang Anda tentukan.
**catatan**  
Pencocokan untuk titik akhir tidak peka huruf besar/kecil. Spesifikasi Regex tidak boleh berisi bendera, yang menonaktifkan pencocokan yang tidak `(?-i)` peka huruf besar/kecil. Spesifikasi string harus dimulai dengan garis miring `/` ke depan.

      Misalnya, untuk URL`https://example.com/web/login`, Anda dapat memberikan spesifikasi jalur string`/web/login`. Jalur masuk yang dimulai dengan jalur yang Anda berikan dianggap cocok. Misalnya `/web/login` cocok dengan jalur login`/web/login`,`/web/login/`,`/web/loginPage`, dan`/web/login/thisPage`, tetapi tidak cocok dengan jalur login `/home/web/login` atau`/website/login`. 

   1. Untuk **pemeriksaan Permintaan**, tentukan bagaimana aplikasi Anda menerima upaya login dengan memberikan jenis payload permintaan dan nama bidang dalam badan permintaan tempat nama pengguna dan kata sandi disediakan. Spesifikasi nama bidang Anda tergantung pada jenis payload.
      + **Jenis payload JSON** - Tentukan nama bidang dalam sintaks penunjuk JSON. Untuk informasi tentang sintaks JSON Pointer, lihat dokumentasi Internet Engineering Task Force (IETF) [JavaScriptObject Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

        Misalnya, untuk contoh payload JSON berikut, spesifikasi bidang nama pengguna adalah `/login/username` dan spesifikasi bidang kata sandi adalah. `/login/password`

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **Jenis payload FORM\$1ENCODED** - Gunakan nama formulir HTML.

        Misalnya, untuk formulir HTML dengan elemen masukan bernama `username1` dan`password1`, spesifikasi bidang nama pengguna adalah `username1` dan spesifikasi bidang kata sandi adalah`password1`.

   1. Jika Anda melindungi CloudFront distribusi Amazon, maka di bawah **pemeriksaan Response**, tentukan bagaimana aplikasi Anda menunjukkan keberhasilan atau kegagalan dalam tanggapannya terhadap upaya login. 
**catatan**  
Pemeriksaan respons ATP hanya tersedia dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi.

      Tentukan satu komponen dalam respons login yang Anda ingin ATP periksa. Untuk tipe komponen **Body** dan **JSON**, AWS WAF dapat memeriksa 65.536 byte pertama (64 KB) komponen. 

      Berikan kriteria inspeksi Anda untuk jenis komponen, seperti yang ditunjukkan oleh antarmuka. Anda harus memberikan kriteria keberhasilan dan kegagalan untuk diperiksa dalam komponen. 

      Misalnya, aplikasi Anda menunjukkan status upaya login dalam kode status respons, dan digunakan `200 OK` untuk sukses dan `401 Unauthorized` atau `403 Forbidden` untuk kegagalan. Anda akan mengatur pemeriksaan respons **Jenis komponen** ke **kode Status**, lalu di kotak teks **Sukses** masukkan `200` dan di kotak teks **Kegagalan**, masukkan `401` pada baris pertama dan `403` pada baris kedua.

      Kelompok aturan ATP hanya menghitung respons yang sesuai dengan kriteria pemeriksaan keberhasilan atau kegagalan Anda. Aturan kelompok aturan bertindak pada klien sementara mereka memiliki tingkat kegagalan yang terlalu tinggi di antara tanggapan yang dihitung. Untuk perilaku yang akurat menurut aturan grup aturan, pastikan untuk memberikan informasi lengkap untuk upaya login yang berhasil dan gagal. 

      Untuk melihat aturan yang memeriksa respons login, cari `VolumetricIpFailedLoginResponseHigh` dan `VolumetricSessionFailedLoginResponseHigh` di daftar aturan di[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md). 

1. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan. 

   Anda dapat membatasi cakupan permintaan yang diperiksa oleh grup aturan dengan menambahkan pernyataan cakupan bawah ke pernyataan grup aturan terkelola. Misalnya, Anda hanya dapat memeriksa permintaan dengan argumen kueri atau cookie tertentu. Grup aturan hanya akan memeriksa `POST` permintaan HTTP ke titik akhir login yang Anda tentukan yang sesuai dengan kriteria dalam pernyataan cakupan bawah Anda. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

1. Simpan perubahan Anda ke paket perlindungan (web ACL). 

Sebelum Anda menerapkan implementasi ATP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan. 

# Menguji dan menerapkan ATP
<a name="waf-atp-deploying"></a>

Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima. 

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan implementasi ATP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

AWS WAF menyediakan kredensi pengujian yang dapat Anda gunakan untuk memverifikasi konfigurasi ATP Anda. Dalam prosedur berikut, Anda akan mengonfigurasi paket perlindungan pengujian (web ACL) untuk menggunakan grup aturan terkelola ATP, mengonfigurasi aturan untuk menangkap label yang ditambahkan oleh grup aturan, dan kemudian menjalankan upaya masuk menggunakan kredenal pengujian ini. Anda akan memverifikasi bahwa ACL web Anda telah mengelola upaya dengan benar dengan memeriksa CloudWatch metrik Amazon untuk upaya login. 

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Untuk mengonfigurasi dan menguji implementasi pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP)**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Tambahkan grup aturan terkelola pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) dalam mode hitung**
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Tambahkan grup aturan Aturan AWS Terkelola `AWSManagedRulesATPRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan (web ACL) saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihat[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).
   + Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut: 
     + Di panel **konfigurasi grup Aturan**, berikan detail halaman login aplikasi Anda. Grup aturan ATP menggunakan informasi ini untuk memantau aktivitas masuk. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md).
     + Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola ATP untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal. 
   + Posisikan grup aturan sehingga dievaluasi setelah aturan yang ada di paket perlindungan (web ACL), dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan apa pun yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

     Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatatnya. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan yang dikelola ATP. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

1. 

**Aktifkan logging dan metrik untuk paket perlindungan (web ACL)**

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola ATP dengan lalu lintas Anda. 
   + Untuk informasi tentang mengonfigurasi dan menggunakan logging, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. 

**Pantau lalu lintas dan kecocokan aturan ATP**

   Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola ATP menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat ATP dan metrik label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa. 

1. 

**Uji kemampuan pemeriksaan kredensi grup aturan**

   Lakukan upaya login dengan menguji kredensil yang dikompromikan dan periksa apakah grup aturan cocok dengan mereka seperti yang diharapkan. 

   1. Masuk ke halaman login sumber daya yang dilindungi menggunakan pasangan kredensi AWS WAF pengujian berikut: 
      + Pengguna: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Kata sandi: `WAF_TEST_CREDENTIAL_PASSWORD`

      Kredensi pengujian ini dikategorikan sebagai kredenal yang dikompromikan, dan grup aturan terkelola ATP akan menambahkan `awswaf:managed:aws:atp:signal:credential_compromised` label ke permintaan login, yang dapat Anda lihat di log. 

   1. Dalam log paket perlindungan (web ACL) Anda, cari `awswaf:managed:aws:atp:signal:credential_compromised` label di `labels` bidang pada entri log untuk permintaan web login pengujian Anda. Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

   Setelah memverifikasi bahwa grup aturan menangkap kredensional yang dikompromikan seperti yang diharapkan, Anda dapat mengambil langkah-langkah untuk mengonfigurasi implementasinya sesuai kebutuhan untuk sumber daya yang dilindungi.

1. 

**Untuk CloudFront distribusi, uji manajemen kegagalan login grup aturan**

   

   1. Jalankan pengujian untuk setiap kriteria respons kegagalan yang Anda konfigurasikan untuk grup aturan ATP. Tunggu setidaknya 10 menit di antara tes.

      Untuk menguji kriteria kegagalan tunggal, identifikasi upaya login yang akan gagal dengan kriteria tersebut dalam respons. Kemudian, dari satu alamat IP klien, lakukan setidaknya 10 upaya login yang gagal dalam waktu kurang dari 10 menit.

      Setelah 6 kegagalan pertama, aturan login volumetrik yang gagal akan mulai cocok dengan sisa upaya Anda, memberi label dan menghitungnya. Aturan mungkin melewatkan satu atau dua yang pertama karena latensi. 

   1. Dalam log paket perlindungan (web ACL) Anda, cari `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` label di `labels` bidang pada entri log untuk permintaan web login pengujian Anda. Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

   Pengujian ini memverifikasi bahwa kriteria kegagalan Anda cocok dengan tanggapan Anda dengan memeriksa bahwa jumlah login yang gagal melampaui ambang batas aturan. `VolumetricIpFailedLoginResponseHigh` Setelah Anda mencapai ambang batas, jika Anda terus mengirim permintaan login dari alamat IP yang sama, aturan akan terus cocok hingga tingkat kegagalan turun di bawah ambang batas. Sementara ambang batas terlampaui, aturan cocok dengan login yang berhasil atau gagal dari alamat IP. 

1. 

**Sesuaikan penanganan permintaan web ATP**

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan ATP akan menanganinya. 

   Misalnya, Anda dapat menggunakan label ATP untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola ATP untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan ATP terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Sebagai contoh, lihat [Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan](waf-atp-control-example-user-agent-exception.md). 

1. 

**Hapus aturan pengujian Anda dan aktifkan pengaturan grup aturan terkelola ATP**

   Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan ATP dalam mode hitungan. Untuk aturan yang ingin Anda jalankan seperti yang dikonfigurasi di dalam grup aturan, nonaktifkan mode hitungan dalam konfigurasi grup aturan paket perlindungan (web ACL). Setelah selesai menguji, Anda juga dapat menghapus aturan pencocokan label pengujian.

1. 

**Memantau dan menyetel**

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas ATP yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri. 

Setelah Anda selesai menguji implementasi grup aturan ATP, jika Anda belum melakukannya, kami sangat menyarankan Anda mengintegrasikan AWS WAF JavaScript SDK ke halaman login browser Anda, untuk meningkatkan kemampuan deteksi. AWS WAF juga menyediakan ponsel SDKs untuk mengintegrasikan perangkat iOS dan Android. Untuk informasi lebih lanjut tentang integrasi SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang rekomendasi ini, lihat[Menggunakan integrasi aplikasi SDKs dengan ATP](waf-atp-with-tokens.md).

# AWS WAF Contoh pencegahan pengambilalihan akun Kontrol Penipuan (ATP)
<a name="waf-atp-control-examples"></a>

Bagian ini menunjukkan contoh konfigurasi yang memenuhi kasus penggunaan umum untuk implementasi pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP). 

Setiap contoh memberikan deskripsi kasus penggunaan dan kemudian menunjukkan solusi dalam daftar JSON untuk aturan yang dikonfigurasi khusus. 

**catatan**  
Anda dapat mengambil daftar JSON seperti yang ditunjukkan dalam contoh ini melalui paket perlindungan konsol (web ACL) unduhan JSON atau editor aturan JSON, atau melalui `getWebACL` operasi di APIs dan antarmuka baris perintah. 

**Topics**
+ [Contoh ATP: Konfigurasi sederhana](waf-atp-control-example-basic.md)
+ [Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan](waf-atp-control-example-user-agent-exception.md)
+ [Contoh ATP: Konfigurasi inspeksi respons](waf-atp-control-example-response-inspection.md)

# Contoh ATP: Konfigurasi sederhana
<a name="waf-atp-control-example-basic"></a>

Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP). Perhatikan konfigurasi halaman masuk tambahan, yang memberi grup aturan informasi yang dibutuhkan untuk memantau dan mengelola permintaan login Anda. JSON ini mencakup pengaturan paket perlindungan (web ACL) yang dibuat secara otomatis, seperti namespace label dan URL integrasi aplikasi paket perlindungan (web ACL).

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan
<a name="waf-atp-control-example-user-agent-exception"></a>

Secara default, pemeriksaan kredenal yang dilakukan oleh grup aturan `AWSManagedRulesATPRuleSet` menangani permintaan web sebagai berikut: 
+ **Kredensi hilang** — Label dan blokir permintaan.
+ **Kredensi yang dikompromikan - Permintaan** label tetapi jangan memblokir atau menghitungnya.

Untuk detail tentang kelompok aturan dan perilaku aturan, lihat[AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).

Anda dapat menambahkan penanganan kustom untuk permintaan web yang memiliki kredensialnya hilang atau dikompromikan dengan melakukan hal berikut: 
+ **Ganti `MissingCredential` aturan ke Count — Penggantian** tindakan aturan ini menyebabkan aturan hanya menghitung dan memberi label permintaan yang cocok.
+ **Tambahkan aturan pencocokan label dengan penanganan kustom** — Konfigurasikan aturan ini agar sesuai dengan kedua label ATP dan untuk melakukan penanganan kustom Anda. Misalnya, Anda dapat mengarahkan pelanggan ke halaman pendaftaran Anda.

Aturan berikut menunjukkan grup aturan terkelola ATP dari contoh sebelumnya, dengan tindakan `MissingCredential` aturan diganti untuk dihitung. Hal ini menyebabkan aturan menerapkan labelnya ke permintaan yang cocok, dan kemudian hanya menghitung permintaan, alih-alih memblokirnya. 

```
"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                  {
                    "AWSManagedRulesATPRuleSet": {
                      "LoginPath": "/web/login",
                      "RequestInspection": {
                        "PayloadType": "JSON",
                        "UsernameField": {
                          "Identifier": "/form/username"
                        },
                        "PasswordField": {
                          "Identifier": "/form/password"
                        }
                      },
                      "EnableRegexInPath": false
                    }
                  }
                ]
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "RuleActionOverrides": [
                  {
                    "ActionToUse": {
                      "Count": {}
                    },
                    "Name": "MissingCredential"
                  }
                ],
                "ExcludedRules": []
            }
        }
    }
],
```

Dengan konfigurasi ini, ketika grup aturan ini mengevaluasi permintaan web apa pun yang memiliki kredensialnya hilang atau dikompromikan, ia akan memberi label permintaan tersebut, tetapi tidak memblokirnya. 

Aturan berikut memiliki pengaturan prioritas yang lebih tinggi secara numerik daripada kelompok aturan sebelumnya. AWS WAF mengevaluasi aturan dalam urutan numerik, mulai dari yang terendah, sehingga aturan ini akan dievaluasi setelah evaluasi kelompok aturan. Aturan dikonfigurasi agar sesuai dengan salah satu label kredensi dan untuk mengirim respons khusus untuk permintaan yang cocok. 

```
"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }
```

# Contoh ATP: Konfigurasi inspeksi respons
<a name="waf-atp-control-example-response-inspection"></a>

Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) yang dikonfigurasi untuk memeriksa respons asal. Perhatikan konfigurasi inspeksi respons, yang menentukan kode status keberhasilan dan respons. Anda juga dapat mengonfigurasi pengaturan keberhasilan dan respons berdasarkan kecocokan JSON header, body, dan body. JSON ini mencakup pengaturan paket perlindungan (web ACL) yang dibuat secara otomatis, seperti namespace label dan URL integrasi aplikasi paket perlindungan (web ACL).

**catatan**  
Pemeriksaan respons ATP hanya tersedia dalam paket perlindungan (web ACLs) yang melindungi CloudFront distribusi.

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "ResponseInspection": {
                                "StatusCode": {
                                  "SuccessCodes": [
                                    200
                                  ],
                                  "FailureCodes": [
                                    401
                                  ]
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# AWS WAF Kontrol Bot
<a name="waf-bot-control"></a>

Bagian ini menjelaskan apa yang dilakukan Bot Control.

Dengan Bot Control, Anda dapat dengan mudah memantau, memblokir, atau menilai bot batas seperti pencakar, pemindai, perayap, monitor status, dan mesin pencari. Jika Anda menggunakan tingkat inspeksi yang ditargetkan dari grup aturan, Anda juga dapat menantang bot yang tidak mengidentifikasi diri sendiri, membuatnya lebih sulit dan lebih mahal bagi bot jahat untuk beroperasi di situs web Anda. Anda dapat melindungi aplikasi Anda menggunakan grup aturan terkelola Kontrol Bot sendiri, atau dalam kombinasi dengan grup aturan Aturan AWS Terkelola lainnya dan AWS WAF aturan kustom Anda sendiri. 

Bot Control mencakup dasbor konsol yang menunjukkan berapa banyak lalu lintas Anda saat ini berasal dari bot, berdasarkan pengambilan sampel permintaan. Dengan grup aturan terkelola Bot Control ditambahkan ke paket perlindungan Anda (web ACL), Anda dapat mengambil tindakan terhadap lalu lintas bot dan menerima informasi terperinci dan real-time tentang lalu lintas bot umum yang datang ke aplikasi Anda. 

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Grup aturan terkelola Bot Control menyediakan tingkat perlindungan dasar dan umum yang menambahkan label ke bot pengenal diri, memverifikasi bot yang umumnya diinginkan, dan mendeteksi tanda tangan bot dengan kepercayaan tinggi. Ini memberi Anda kemampuan untuk memantau dan mengontrol kategori umum lalu lintas bot. 

Grup aturan Bot Control juga menyediakan tingkat perlindungan yang ditargetkan yang menambahkan deteksi untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. Selain itu, perlindungan yang ditargetkan menyediakan analisis pembelajaran mesin opsional otomatis dari statistik lalu lintas situs web untuk mendeteksi aktivitas terkait bot. Saat Anda mengaktifkan pembelajaran mesin, AWS WAF gunakan statistik tentang lalu lintas situs web, seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. 

Saat AWS WAF mengevaluasi permintaan web terhadap grup aturan terkelola Bot Control, grup aturan menambahkan label ke permintaan yang dideteksi sebagai bot terkait, misalnya kategori bot dan nama bot. Anda dapat mencocokkan label ini dalam AWS WAF aturan Anda sendiri untuk menyesuaikan penanganan. Label yang dihasilkan oleh grup aturan terkelola Kontrol Bot disertakan dalam CloudWatch metrik Amazon dan log paket perlindungan (web ACL) Anda. 

Anda juga dapat menggunakan AWS Firewall Manager AWS WAF kebijakan untuk menyebarkan grup aturan terkelola Kontrol Bot di seluruh aplikasi Anda di beberapa akun yang merupakan bagian dari organisasi Anda. AWS Organizations

Untuk informasi selengkapnya tentang grup aturan terkelola Kontrol Bot, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 

## Otentikasi bot web untuk agen AI
<a name="waf-bot-ai-agents"></a>

AWS WAF Bot Control sekarang mendukung Web Bot Authentication (WBA) sebagai metode verifikasi kriptografi untuk bot dan agen AI yang mengakses distribusi Anda. CloudFront Fitur ini memungkinkan perayap dan agen AI yang sah untuk membuktikan identitas mereka tanpa memerlukan mekanisme respons tantangan tradisional.

Persyaratan versi: `AWSManagedRulesBotControlRuleSet` Version\$14.0 atau yang lebih baru. (Versi statis harus dipilih secara eksplisit.) Untuk taksonomi label terperinci dan perilaku aturan, lihat: 
+ [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md)
+ [Pelabelan permintaan web di AWS WAF](waf-labels.md)
+ [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md)

# AWS WAF Komponen Kontrol Bot
<a name="waf-bot-control-components"></a>

Komponen utama implementasi Bot Control adalah sebagai berikut:
+ **`AWSManagedRulesBotControlRuleSet`**— Grup aturan terkelola Bot Control yang aturannya mendeteksi dan menangani berbagai kategori bot. Grup aturan ini menambahkan label ke permintaan web yang dideteksi sebagai lalu lintas bot. 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Grup aturan terkelola Bot Control menyediakan dua tingkat perlindungan yang dapat Anda pilih: 
  + **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi. 
  + **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan kecepatan dan CAPTCHA dan tantangan browser latar belakang. 
    + **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. 
    + **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan Anda. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan-aturan ini. 

  Untuk detail termasuk informasi tentang aturan grup aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 

  Anda menyertakan grup aturan ini dalam paket perlindungan (web ACL) menggunakan pernyataan referensi grup aturan terkelola dan menunjukkan tingkat inspeksi yang ingin Anda gunakan. Untuk tingkat yang ditargetkan, Anda juga menunjukkan apakah akan mengaktifkan pembelajaran mesin. Untuk informasi selengkapnya tentang menambahkan grup aturan terkelola ini ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda](waf-bot-control-rg-using.md). 
+ **Dasbor Kontrol** Bot - Dasbor pemantauan bot untuk paket perlindungan Anda (web ACL), tersedia melalui tab Kontrol Bot paket perlindungan (web ACL). Gunakan dasbor ini untuk memantau lalu lintas Anda dan memahami berapa banyak yang berasal dari berbagai jenis bot. Ini bisa menjadi titik awal untuk menyesuaikan manajemen bot Anda, seperti yang dijelaskan dalam topik ini. Anda juga dapat menggunakannya untuk memverifikasi perubahan dan memantau aktivitas untuk berbagai bot dan kategori bot. 
+ **Dasbor Analisis Lalu Lintas AI** - Dasbor khusus untuk bot AI terperinci dan analisis aktivitas agen, tersedia melalui tab Analisis Lalu Lintas AI paket perlindungan (web ACL). Memberikan visibilitas yang ditingkatkan ke dalam pola lalu lintas khusus AI, maksud bot, dan perilaku akses di luar metrik Kontrol Bot standar.
+ **JavaScript dan integrasi aplikasi seluler SDKs** - Anda harus menerapkan AWS WAF JavaScript dan seluler SDKs jika Anda menggunakan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot. Aturan yang ditargetkan menggunakan informasi yang SDKs disediakan oleh token klien untuk meningkatkan deteksi terhadap bot berbahaya. Untuk informasi lebih lanjut tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).
+ **Logging dan metrik** — Anda dapat memantau lalu lintas bot Anda dan memahami bagaimana grup aturan terkelola Kontrol Bot mengevaluasi dan menangani lalu lintas Anda dengan mempelajari data yang dikumpulkan untuk paket perlindungan Anda (ACL web) oleh log AWS WAF , Amazon Security Lake, dan Amazon. CloudWatch Label yang ditambahkan Bot Control ke permintaan web Anda disertakan dalam data. Untuk informasi tentang opsi ini, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md),[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) . 

  Bergantung pada kebutuhan dan lalu lintas yang Anda lihat, Anda mungkin ingin menyesuaikan implementasi Kontrol Bot Anda. Berikut ini adalah beberapa opsi yang paling umum digunakan.
+ **Pernyataan cakupan bawah -** Anda dapat mengecualikan beberapa lalu lintas dari permintaan web yang dievaluasi oleh grup aturan terkelola Bot Control dengan menambahkan pernyataan cakupan ke bawah di dalam pernyataan referensi grup aturan terkelola Bot Control. Sebuah pernyataan scope-down dapat berupa pernyataan aturan nestable. Ketika permintaan tidak cocok dengan pernyataan scope-down, AWS WAF mengevaluasinya sebagai tidak cocok dengan pernyataan referensi grup aturan tanpa mengevaluasinya terhadap kelompok aturan. Untuk informasi selengkapnya tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

  Biaya Anda untuk menggunakan grup aturan terkelola Kontrol Bot meningkat dengan jumlah permintaan web yang AWS WAF mengevaluasi dengannya. Anda dapat membantu mengurangi biaya ini dengan menggunakan pernyataan cakupan bawah untuk membatasi permintaan yang dievaluasi oleh grup aturan. Misalnya, Anda mungkin ingin mengizinkan beranda dimuat untuk semua orang, termasuk bot, lalu menerapkan aturan grup aturan ke permintaan yang masuk ke aplikasi Anda APIs atau yang berisi jenis konten tertentu. 
+ **Aturan pencocokan label dan label** — Anda dapat menyesuaikan cara grup aturan Kontrol Bot menangani beberapa lalu lintas bot yang diidentifikasi menggunakan pernyataan aturan pencocokan AWS WAF label. Grup aturan Bot Control menambahkan label ke permintaan web Anda. Anda dapat menambahkan aturan pencocokan label setelah grup aturan Kontrol Bot yang cocok pada label Kontrol Bot dan menerapkan penanganan yang Anda butuhkan. Untuk informasi selengkapnya tentang pelabelan dan penggunaan pernyataan pencocokan label, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan[Pelabelan permintaan web di AWS WAF](waf-labels.md). 
+ **Permintaan dan tanggapan khusus** - Anda dapat menambahkan header khusus ke permintaan yang Anda izinkan dan Anda dapat mengirim tanggapan khusus untuk permintaan yang Anda blokir dengan memasangkan label yang cocok dengan fitur permintaan dan respons AWS WAF khusus. Untuk informasi selengkapnya tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

# Menggunakan integrasi aplikasi SDKs dengan Bot Control
<a name="waf-bot-with-tokens"></a>

Bagian ini menjelaskan cara menggunakan integrasi aplikasi SDKs dengan Bot Control.

Sebagian besar perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot memerlukan token tantangan yang SDKs dihasilkan oleh integrasi aplikasi. Aturan yang tidak memerlukan token tantangan pada permintaan adalah perlindungan tingkat umum Kontrol Bot dan aturan pembelajaran mesin tingkat yang ditargetkan. Untuk deskripsi tingkat perlindungan dan aturan dalam kelompok aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 

Kami sangat menyarankan untuk menerapkan integrasi aplikasi SDKs, untuk penggunaan grup aturan Bot Control yang paling efektif. Skrip tantangan harus berjalan sebelum grup aturan Kontrol Bot agar grup aturan mendapat manfaat dari token yang diperoleh skrip. 
+ Dengan integrasi aplikasi SDKs, skrip berjalan secara otomatis.
+ Jika Anda tidak dapat menggunakan SDKs, Anda dapat mengonfigurasi paket perlindungan (web ACL) sehingga menjalankan tindakan CAPTCHA aturan Challenge atau terhadap semua permintaan yang akan diperiksa oleh grup aturan Bot Control. Menggunakan tindakan Challenge atau CAPTCHA aturan dapat dikenakan biaya tambahan. Untuk detail harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/). 

Saat Anda menerapkan integrasi aplikasi SDKs di klien Anda atau menggunakan salah satu tindakan aturan yang menjalankan skrip tantangan, Anda memperluas kemampuan grup aturan dan keamanan aplikasi klien Anda secara keseluruhan. 

Token memberikan informasi klien dengan setiap permintaan web. Informasi tambahan ini memungkinkan grup aturan Kontrol Bot untuk memisahkan sesi klien yang sah dari sesi klien yang berperilaku buruk, bahkan ketika keduanya berasal dari satu alamat IP. Grup aturan menggunakan informasi dalam token untuk menggabungkan perilaku permintaan sesi klien untuk deteksi dan mitigasi yang disetel dengan baik yang diberikan oleh tingkat perlindungan yang ditargetkan. 

Untuk informasi tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang AWS WAF token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Untuk informasi tentang tindakan aturan, lihat[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).

# Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda
<a name="waf-bot-control-rg-using"></a>

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesBotControlRuleSet` aturan.

Grup aturan terkelola Bot Control `AWSManagedRulesBotControlRuleSet` memerlukan konfigurasi tambahan untuk mengidentifikasi tingkat perlindungan yang ingin Anda terapkan. 

Untuk deskripsi grup aturan dan daftar aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).

**Ikuti praktik terbaik**  
Gunakan grup aturan Kontrol Bot sesuai dengan praktik terbaik di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md). 

**Untuk menggunakan grup `AWSManagedRulesBotControlRuleSet` aturan dalam paket perlindungan Anda (web ACL)**

1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesBotControlRuleSet` ke paket perlindungan Anda (web ACL). Untuk deskripsi grup aturan lengkap, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Saat Anda menambahkan grup aturan, edit untuk membuka halaman konfigurasi untuk grup aturan. 

1. Pada halaman konfigurasi grup aturan, di panel **tingkat Inspeksi**, pilih tingkat inspeksi yang ingin Anda gunakan. 
   + **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi. 
   + **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan kecepatan dan CAPTCHA dan tantangan browser latar belakang. 
     + **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. 
     + **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan Anda. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan-aturan ini. 

1. Jika Anda menggunakan tingkat perlindungan yang ditargetkan dan Anda tidak AWS WAF ingin menggunakan pembelajaran mesin (ML) untuk menganalisis lalu lintas web untuk aktivitas bot terdistribusi dan terkoordinasi, nonaktifkan opsi pembelajaran mesin. Pembelajaran mesin diperlukan untuk aturan Kontrol Bot yang namanya dimulai dengan`TGT_ML_`. Untuk detail tentang aturan ini, lihat[Daftar aturan Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

1. Tambahkan pernyataan cakupan ke bawah untuk grup aturan, untuk memuat biaya penggunaannya. Pernyataan cakupan ke bawah mempersempit kumpulan permintaan yang diperiksa oleh kelompok aturan. Misalnya kasus penggunaan, mulailah dengan [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login](waf-bot-control-example-scope-down-login.md) dan[Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis](waf-bot-control-example-scope-down-dynamic-content.md). 

1. Berikan konfigurasi tambahan apa pun yang Anda butuhkan untuk grup aturan. 

1. Simpan perubahan Anda ke paket perlindungan (web ACL). 

Sebelum Anda menerapkan implementasi Kontrol Bot Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian yang mengikuti untuk panduan. 

# Contoh skenario positif palsu dengan Kontrol AWS WAF Bot
<a name="waf-bot-control-false-positives"></a>

 Bagian ini memberikan contoh situasi di mana Anda mungkin menemukan positif palsu dengan Kontrol AWS WAF Bot.

Kami telah dengan hati-hati memilih aturan dalam grup aturan terkelola AWS WAF Bot Control untuk meminimalkan positif palsu. Kami menguji aturan terhadap lalu lintas global dan memantau dampaknya pada paket perlindungan uji (web ACLs). Namun, masih mungkin untuk mendapatkan positif palsu karena perubahan pola lalu lintas. Selain itu, beberapa kasus penggunaan diketahui menyebabkan positif palsu dan akan memerlukan penyesuaian khusus untuk lalu lintas web Anda. 

Situasi di mana Anda mungkin menemukan positif palsu termasuk yang berikut: 
+ Aplikasi seluler biasanya memiliki agen pengguna non-browser, yang diblokir `SignalNonBrowserUserAgent` aturan secara default. Jika Anda mengharapkan lalu lintas dari aplikasi seluler, atau lalu lintas sah lainnya dengan agen pengguna non-browser, Anda harus menambahkan pengecualian untuk mengizinkannya. 
+ Anda mungkin mengandalkan beberapa lalu lintas bot tertentu untuk hal-hal seperti pemantauan uptime, pengujian integrasi, atau alat pemasaran. Jika Bot Control mengidentifikasi dan memblokir lalu lintas bot yang ingin Anda izinkan, Anda perlu mengubah penanganan dengan menambahkan aturan Anda sendiri. Meskipun ini bukan skenario positif palsu untuk semua pelanggan, jika itu untuk Anda, Anda harus menanganinya sama seperti positif palsu. 
+ Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dari. AWS WAF Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda mungkin perlu mengizinkannya secara eksplisit menggunakan aturan khusus. Untuk informasi tentang cara membuat aturan kustom jenis ini, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md). 
+ Aturan Kontrol Bot dengan tingkat positif palsu global yang rendah mungkin sangat memengaruhi perangkat atau aplikasi tertentu. Misalnya, dalam pengujian dan validasi, kami mungkin tidak mengamati permintaan dari aplikasi dengan volume lalu lintas rendah atau dari browser atau perangkat yang kurang umum. 
+ Aturan Kontrol Bot yang memiliki tingkat positif palsu yang rendah secara historis mungkin telah meningkatkan positif palsu untuk lalu lintas yang valid. Ini mungkin karena pola lalu lintas baru atau atribut permintaan yang muncul dengan lalu lintas yang valid, menyebabkannya cocok dengan aturan yang tidak sebelumnya. Perubahan ini mungkin disebabkan oleh situasi seperti berikut:
  + Rincian lalu lintas yang diubah sebagai arus lalu lintas melalui peralatan jaringan, seperti penyeimbang beban atau jaringan distribusi konten (CDN).
  + Perubahan yang muncul dalam data lalu lintas, misalnya browser baru atau versi baru untuk browser yang ada.

Untuk informasi tentang cara menangani positif palsu yang mungkin Anda dapatkan dari grup aturan terkelola Kontrol AWS WAF Bot, lihat panduan di bagian berikut,[Menguji dan menerapkan Kontrol AWS WAF Bot](waf-bot-control-deploying.md).

# Menguji dan menerapkan Kontrol AWS WAF Bot
<a name="waf-bot-control-deploying"></a>

Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi Kontrol AWS WAF Bot untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima. 

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan implementasi Kontrol Bot Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Untuk mengkonfigurasi dan menguji implementasi Bot Control**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Tambahkan grup aturan terkelola Bot Control**
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Tambahkan grup AWS aturan terkelola `AWSManagedRulesBotControlRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan saat ini (ACL web). 
   + Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut: 
     + Di panel **tingkat Inspeksi**, pilih tingkat inspeksi yang ingin Anda gunakan. 
       + **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi. 
       + **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan laju dan CAPTCHA dan tantangan browser latar belakang. 
         + **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. 
         + **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan ini. 

       Untuk informasi lebih lanjut tentang pilihan ini, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md). 
     + Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan Kontrol Bot pada lalu lintas Anda, untuk menentukan apakah Anda ingin menambahkan pengecualian untuk hal-hal seperti kasus penggunaan internal atau bot yang diinginkan. 
   + Posisikan grup aturan sehingga dievaluasi terakhir dalam paket perlindungan (web ACL), dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan lain yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

     Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatat permintaan tersebut. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan yang dikelola Bot Control. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda, tetapi ini adalah cara yang baik untuk memulai.

1. 

**Aktifkan logging dan metrik untuk paket perlindungan (web ACL)**

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola Kontrol Bot dengan lalu lintas Anda. 
   + Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. 

**Pantau lalu lintas dan kecocokan aturan Kontrol Bot**

   Pastikan lalu lintas mengalir dan aturan grup aturan terkelola Bot Control menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik bot dan label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa.
**catatan**  
Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dari. AWS WAF Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda mungkin perlu mengizinkannya secara eksplisit menggunakan aturan khusus. Untuk informasi tentang cara membuat aturan kustom, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md). Untuk informasi tentang cara menggunakan aturan untuk menyesuaikan penanganan permintaan web Kontrol Bot, lihat langkah berikutnya. 

   Tinjau penanganan permintaan web dengan hati-hati untuk setiap positif palsu yang mungkin perlu Anda kurangi dengan penanganan khusus. Untuk contoh positif palsu, lihat[Contoh skenario positif palsu dengan Kontrol AWS WAF Bot](waf-bot-control-false-positives.md).

1. 

**Kustomisasi penanganan permintaan web Kontrol Bot**

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan Kontrol Bot akan menanganinya. 

   Bagaimana Anda melakukan ini tergantung pada kasus penggunaan Anda, tetapi berikut ini adalah solusi umum:
   + Izinkan permintaan secara eksplisit dengan aturan yang Anda tambahkan sebelum grup aturan terkelola Kontrol Bot. Dengan ini, permintaan yang diizinkan tidak pernah mencapai grup aturan untuk evaluasi. Ini dapat membantu menahan biaya penggunaan grup aturan terkelola Bot Control. 
   + Kecualikan permintaan dari evaluasi Bot Control dengan menambahkan pernyataan scope-down di dalam pernyataan grup aturan terkelola Bot Control. Ini berfungsi sama dengan opsi sebelumnya. Ini dapat membantu menahan biaya penggunaan grup aturan terkelola Kontrol Bot karena permintaan yang tidak cocok dengan pernyataan cakupan bawah tidak pernah mencapai evaluasi grup aturan. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md) 

     Untuk contoh , lihat yang berikut ini: 
     + [Tidak termasuk rentang IP dari manajemen bot](waf-bot-control-example-scope-down-ip.md)
     + [Mengizinkan lalu lintas dari bot yang Anda kontrol](waf-bot-control-example-scope-down-your-bot.md)
   + Gunakan label Kontrol Bot dalam penanganan permintaan untuk mengizinkan atau memblokir permintaan. Tambahkan aturan pencocokan label setelah grup aturan terkelola Kontrol Bot untuk memfilter permintaan berlabel yang ingin Anda izinkan dari permintaan yang ingin Anda blokir. 

     Setelah pengujian, pertahankan aturan Kontrol Bot terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Untuk informasi tentang pernyataan pencocokan label, lihat[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md). 

     Untuk contoh jenis kustomisasi ini, lihat berikut ini: 
     + [Membuat pengecualian untuk agen pengguna yang diblokir](waf-bot-control-example-user-agent-exception.md)
     + [Mengizinkan bot tertentu yang diblokir](waf-bot-control-example-allow-blocked-bot.md)
     + [Memblokir bot terverifikasi](waf-bot-control-example-block-verified-bots.md)

   Untuk contoh tambahan, lihat [AWS WAF Contoh Kontrol Bot](waf-bot-control-examples.md).

1. 

**Jika diperlukan, aktifkan pengaturan grup aturan terkelola Kontrol Bot**

   Bergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan Kontrol Bot dalam mode hitungan atau dengan penggantian tindakan yang berbeda. Untuk aturan yang ingin Anda jalankan saat dikonfigurasi di dalam grup aturan, aktifkan konfigurasi aturan reguler. Untuk melakukannya, edit pernyataan grup aturan di paket perlindungan Anda (web ACL) dan buat perubahan di panel **Aturan**. 

# AWS WAF Contoh Kontrol Bot
<a name="waf-bot-control-examples"></a>

Bagian ini menunjukkan contoh konfigurasi yang memenuhi berbagai kasus penggunaan umum untuk implementasi AWS WAF Bot Control. 

Setiap contoh memberikan deskripsi kasus penggunaan dan kemudian menunjukkan solusi dalam daftar JSON untuk aturan yang dikonfigurasi khusus. 

**catatan**  
Daftar JSON yang ditampilkan dalam contoh ini dibuat di konsol dengan mengonfigurasi aturan dan kemudian mengeditnya menggunakan editor **Rule JSON**. 

**Topics**
+ [Contoh Kontrol Bot: Konfigurasi sederhana](waf-bot-control-example-basic.md)
+ [Contoh Kontrol Bot: Secara eksplisit mengizinkan bot terverifikasi](waf-bot-control-example-allow-verified-bots.md)
+ [Contoh Kontrol Bot: Memblokir bot terverifikasi](waf-bot-control-example-block-verified-bots.md)
+ [Contoh Kontrol Bot: Mengizinkan bot tertentu yang diblokir](waf-bot-control-example-allow-blocked-bot.md)
+ [Contoh Kontrol Bot: Membuat pengecualian untuk agen pengguna yang diblokir](waf-bot-control-example-user-agent-exception.md)
+ [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login](waf-bot-control-example-scope-down-login.md)
+ [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Contoh Kontrol Bot: Tidak termasuk rentang IP dari manajemen bot](waf-bot-control-example-scope-down-ip.md)
+ [Contoh Kontrol Bot: Mengizinkan lalu lintas dari bot yang Anda kendalikan](waf-bot-control-example-scope-down-your-bot.md)
+ [Contoh Kontrol Bot: Mengaktifkan tingkat inspeksi yang ditargetkan](waf-bot-control-example-targeted-inspection-level.md)
+ [Contoh Kontrol Bot: Menggunakan dua pernyataan untuk membatasi penggunaan tingkat inspeksi yang ditargetkan](waf-bot-control-example-common-and-targeted-inspection-level.md)

# Contoh Kontrol Bot: Konfigurasi sederhana
<a name="waf-bot-control-example-basic"></a>

Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola AWS WAF Bot Control. Perhatikan konfigurasi visibilitas, yang menyebabkan AWS WAF untuk menyimpan sampel permintaan dan metrik untuk tujuan pemantauan. 

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
         "Name": "AWS-AWSBotControl-Example",
         "Priority": 5,
         "Statement": {
            "ManagedRuleGroupStatement": {
               "VendorName": "AWS",
               "Name": "AWSManagedRulesBotControlRuleSet",
               "ManagedRuleGroupConfigs": [
                 {
                   "AWSManagedRulesBotControlRuleSet": {
                     "InspectionLevel": "COMMON"
                   }
                 }
               ],
               "RuleActionOverrides": [],
               "ExcludedRules": []
            },
            "VisibilityConfig": {
               "SampledRequestsEnabled": true,
               "CloudWatchMetricsEnabled": true,
               "MetricName": "AWS-AWSBotControl-Example"
             }
          }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# Contoh Kontrol Bot: Secara eksplisit mengizinkan bot terverifikasi
<a name="waf-bot-control-example-allow-verified-bots"></a>

AWS WAF Bot Control tidak memblokir bot yang dikenal sebagai bot umum dan dapat diverifikasi. AWS Ketika Bot Control mengidentifikasi permintaan web sebagai berasal dari bot terverifikasi, ia menambahkan label yang memberi nama bot dan label yang menunjukkan bahwa itu adalah bot terverifikasi. Bot Control tidak menambahkan label lain, seperti label sinyal, untuk mencegah bot bagus yang diketahui diblokir.

Anda mungkin memiliki AWS WAF aturan lain yang memblokir bot terverifikasi. Jika Anda ingin memastikan bahwa bot terverifikasi diizinkan, tambahkan aturan khusus untuk mengizinkannya berdasarkan label Kontrol Bot. Aturan baru Anda harus berjalan setelah grup aturan terkelola Kontrol Bot, sehingga label tersedia untuk dicocokkan. 

Aturan berikut secara eksplisit memungkinkan bot terverifikasi.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Allow": {}
    }
}
```

# Contoh Kontrol Bot: Memblokir bot terverifikasi
<a name="waf-bot-control-example-block-verified-bots"></a>

Untuk memblokir bot terverifikasi, Anda harus menambahkan aturan untuk memblokirnya yang berjalan setelah grup aturan terkelola Kontrol AWS WAF Bot. Untuk melakukan ini, identifikasi nama bot yang ingin Anda blokir dan gunakan pernyataan pencocokan label untuk mengidentifikasi dan memblokirnya. Jika Anda hanya ingin memblokir semua bot yang diverifikasi, Anda dapat menghilangkan kecocokan terhadap label. `bot:name:` 

Aturan berikut hanya memblokir bot yang `bingbot` diverifikasi. Aturan ini harus berjalan setelah grup aturan terkelola Bot Control.

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
            }
          },
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:verified"
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
  }
```

Aturan berikut memblokir semua bot yang diverifikasi.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
}
```

# Contoh Kontrol Bot: Mengizinkan bot tertentu yang diblokir
<a name="waf-bot-control-example-allow-blocked-bot"></a>

Mungkin saja bot diblokir oleh lebih dari satu aturan Kontrol Bot. Jalankan melalui prosedur berikut untuk setiap aturan pemblokiran. 

Jika aturan Kontrol AWS WAF Bot memblokir bot yang tidak ingin Anda blokir, lakukan hal berikut:

1. Identifikasi aturan Kontrol Bot yang memblokir bot dengan memeriksa log. Aturan pemblokiran akan ditentukan dalam log di bidang yang namanya dimulai dengan`terminatingRule`. Untuk informasi tentang log paket perlindungan (web ACL), lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). Perhatikan label yang ditambahkan aturan ke permintaan. 

1. Dalam paket perlindungan Anda (web ACL), timpa tindakan aturan pemblokiran untuk dihitung. Untuk melakukan ini di konsol, edit aturan grup aturan di paket perlindungan (web ACL) dan pilih penggantian tindakan aturan Count untuk aturan tersebut. Ini memastikan bahwa bot tidak diblokir oleh aturan, tetapi aturan akan tetap menerapkan labelnya untuk permintaan yang cocok. 

1. Tambahkan aturan pencocokan label ke paket perlindungan Anda (ACL web), setelah grup aturan terkelola Bot Control. Konfigurasikan aturan agar sesuai dengan label aturan yang diganti dan untuk memblokir semua permintaan yang cocok kecuali bot yang tidak ingin Anda blokir. 

   Paket perlindungan Anda (web ACL) sekarang dikonfigurasi sehingga bot yang ingin Anda izinkan tidak lagi diblokir oleh aturan pemblokiran yang Anda identifikasi melalui log. 

Periksa lalu lintas dan log Anda lagi, untuk memastikan bahwa bot diizinkan masuk. Jika tidak, jalankan kembali prosedur di atas.

Misalnya, Anda ingin memblokir semua bot pemantauan kecuali untuk`pingdom`. Dalam hal ini, Anda mengganti `CategoryMonitoring` aturan untuk menghitung dan kemudian menulis aturan untuk memblokir semua bot pemantauan kecuali yang memiliki label nama bot. `pingdom` 

Aturan berikut menggunakan grup aturan terkelola Bot Control tetapi mengesampingkan tindakan aturan `CategoryMonitoring` untuk dihitung. Aturan pemantauan kategori menerapkan labelnya seperti biasa untuk permintaan yang cocok, tetapi hanya menghitungnya alih-alih melakukan tindakan pemblokiran yang biasa. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

Aturan berikut cocok dengan label pemantauan kategori yang ditambahkan `CategoryMonitoring` aturan sebelumnya ke permintaan web yang cocok. Di antara permintaan pemantauan kategori, aturan ini memblokir semua kecuali yang memiliki label untuk nama bot`pingdom`. 

Aturan berikut harus dijalankan setelah grup aturan terkelola Bot Control sebelumnya dalam urutan pemrosesan paket perlindungan (web ACL). 

```
{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}
```

# Contoh Kontrol Bot: Membuat pengecualian untuk agen pengguna yang diblokir
<a name="waf-bot-control-example-user-agent-exception"></a>

Jika lalu lintas dari beberapa agen pengguna non-browser diblokir secara keliru, Anda dapat membuat pengecualian dengan menetapkan aturan Kontrol AWS WAF Bot yang menyinggung `SignalNonBrowserUserAgent` ke Hitung dan kemudian menggabungkan pelabelan aturan dengan kriteria pengecualian Anda. 

**catatan**  
Aplikasi seluler biasanya memiliki agen pengguna non-browser, yang diblokir `SignalNonBrowserUserAgent` aturan secara default. 

Aturan berikut menggunakan grup aturan terkelola Bot Control tetapi mengesampingkan tindakan aturan `SignalNonBrowserUserAgent` untuk Menghitung. Aturan sinyal menerapkan labelnya seperti biasa untuk permintaan yang cocok, tetapi hanya menghitungnya alih-alih melakukan tindakan blok yang biasa. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "SignalNonBrowserUserAgent"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

Aturan berikut cocok dengan label sinyal yang ditambahkan `SignalNonBrowserUserAgent` aturan Kontrol Bot ke permintaan webnya yang cocok. Di antara permintaan sinyal, aturan ini memblokir semua kecuali yang memiliki agen pengguna yang ingin kami izinkan. 

Aturan berikut harus dijalankan setelah grup aturan terkelola Kontrol Bot sebelumnya dalam urutan pemrosesan paket perlindungan (web ACL). 

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
            }
          },
          {
            "NotStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "SingleHeader": {
                      "Name": "user-agent"
                    }
                  },
                  "PositionalConstraint": "EXACTLY",
                  "SearchString": "PostmanRuntime/7.29.2",
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ]
                }
              }
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "match_rule"
    }
}
```

# Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login
<a name="waf-bot-control-example-scope-down-login"></a>

Contoh berikut menggunakan pernyataan scope-down untuk menerapkan AWS WAF Bot Control hanya untuk lalu lintas yang datang ke halaman login situs web, yang diidentifikasi oleh jalur URI. `login` Jalur URI ke halaman login Anda mungkin berbeda dari contoh, tergantung pada aplikasi dan lingkungan Anda.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "ByteMatchStatement": {
        "SearchString": "login",
        "FieldToMatch": {
          "UriPath": {}
        },
        "TextTransformations": [
          {
            "Priority": 0,
            "Type": "NONE"
          }
        ],
        "PositionalConstraint": "CONTAINS"
      }
    }
  }
}
```

# Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis
<a name="waf-bot-control-example-scope-down-dynamic-content"></a>

Contoh ini menggunakan pernyataan scope-down untuk menerapkan AWS WAF Bot Control hanya untuk konten dinamis. 

Pernyataan scope-down mengecualikan konten statis dengan meniadakan hasil kecocokan untuk kumpulan pola regex: 
+ Set pola regex dikonfigurasi agar sesuai dengan ekstensi konten *statis*. Misalnya, spesifikasi set pola regex mungkin. `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$` Untuk informasi tentang kumpulan pola regex dan pernyataan, lihat. [Pernyataan aturan kecocokan set pola Regex](waf-rule-statement-type-regex-pattern-set-match.md) 
+ Dalam pernyataan scope-down, kami mengecualikan konten statis yang cocok dengan menyarangkan pernyataan set pola regex di dalam pernyataan. `NOT` Untuk informasi tentang `NOT` pernyataan tersebut, lihat[NOTpernyataan aturan](waf-rule-statement-type-not.md).

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "RegexPatternSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
            "FieldToMatch": {
              "UriPath": {}
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        }
      }
    }
  }
}
```

# Contoh Kontrol Bot: Tidak termasuk rentang IP dari manajemen bot
<a name="waf-bot-control-example-scope-down-ip"></a>

Jika Anda ingin mengecualikan subset lalu lintas web dari manajemen Kontrol AWS WAF Bot, dan Anda dapat mengidentifikasi subset tersebut menggunakan pernyataan aturan, lalu kecualikan dengan menambahkan pernyataan cakupan ke bawah ke pernyataan grup aturan terkelola Kontrol Bot Anda. 

Aturan berikut melakukan manajemen bot Kontrol Bot normal pada semua lalu lintas web kecuali untuk permintaan web yang berasal dari rentang alamat IP tertentu.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
          }
        }
      }
    }
  }
}
```

# Contoh Kontrol Bot: Mengizinkan lalu lintas dari bot yang Anda kendalikan
<a name="waf-bot-control-example-scope-down-your-bot"></a>

Anda dapat mengonfigurasi beberapa bot pemantauan situs dan bot khusus untuk mengirim header khusus. Jika Anda ingin mengizinkan lalu lintas dari jenis bot ini, Anda dapat mengonfigurasinya untuk menambahkan rahasia bersama di header. Anda kemudian dapat mengecualikan pesan yang memiliki header dengan menambahkan pernyataan scope-down ke pernyataan grup aturan terkelola AWS WAF Bot Control. 

Contoh aturan berikut mengecualikan lalu lintas dengan header rahasia dari inspeksi Bot Control.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "ByteMatchStatement": {
            "SearchString": "YSBzZWNyZXQ=",
            "FieldToMatch": {
              "SingleHeader": {
                "Name": "x-bypass-secret"
              }
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ],
            "PositionalConstraint": "EXACTLY"
          }
        }
      }
    }
  }
}
```

# Contoh Kontrol Bot: Mengaktifkan tingkat inspeksi yang ditargetkan
<a name="waf-bot-control-example-targeted-inspection-level"></a>

Untuk tingkat perlindungan yang ditingkatkan, Anda dapat mengaktifkan tingkat inspeksi yang ditargetkan di grup aturan terkelola Kontrol AWS WAF Bot Anda.

Dalam contoh berikut, fitur pembelajaran mesin diaktifkan. Anda dapat memilih keluar dari perilaku ini dengan menyetel `EnableMachineLearning` ke`false`.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "TARGETED",
            "EnableMachineLearning": true
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    }
  }
}
```

# Contoh Kontrol Bot: Menggunakan dua pernyataan untuk membatasi penggunaan tingkat inspeksi yang ditargetkan
<a name="waf-bot-control-example-common-and-targeted-inspection-level"></a>

Sebagai pengoptimalan biaya, Anda dapat menggunakan dua pernyataan grup aturan terkelola AWS WAF Bot Control dalam paket perlindungan (web ACL) Anda, dengan tingkat inspeksi dan pelingkupan terpisah. Misalnya, Anda dapat mencakup pernyataan tingkat inspeksi yang ditargetkan hanya ke titik akhir aplikasi yang lebih sensitif.

Dua pernyataan dalam contoh berikut memiliki pelingkupan yang saling eksklusif. Tanpa konfigurasi ini, permintaan dapat menghasilkan dua evaluasi Kontrol Bot yang ditagih.

**catatan**  
Beberapa pernyataan referensi `AWSManagedRulesBotControlRuleSet` tidak didukung di editor visual di konsol. Sebagai gantinya, gunakan editor JSON.

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
       "Name": "AWS-AWSBotControl-Common",
       "Priority": 5,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "COMMON"
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Common"
           },
           "ScopeDownStatement": {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "FieldToMatch": {
                      "UriPath": {}
                    },
                    "PositionalConstraint": "STARTS_WITH",
                    "SearchString": "/sensitive-endpoint",
                    "TextTransformations": [
                      {
                        "Type": "NONE",
                        "Priority": 0
                      }
                    ]
                  }
                }
              }
            }
        }
      },
      {
       "Name": "AWS-AWSBotControl-Targeted",
       "Priority": 6,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "TARGETED",
                   "EnableMachineLearning": true
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Targeted"
           },
           "ScopeDownStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "PositionalConstraint": "STARTS_WITH",
                  "SearchString": "/sensitive-endpoint",
                  "TextTransformations": [
                    {
                      "Type": "NONE",
                      "Priority": 0
                    }
                  ]
                }
              }
            }
        }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi
<a name="waf-anti-ddos"></a>

AWS WAF menawarkan perlindungan canggih dan dapat disesuaikan terhadap serangan DDo S di sumber daya Anda AWS . Tinjau opsi yang dijelaskan di bagian ini dan pilih tingkat perlindungan DDo Anti-S yang memenuhi kebutuhan keamanan dan bisnis Anda.

Anda dapat memilih dari dua tingkatan perlindungan DDo S di AWS WAF:

Perlindungan S tingkat sumber daya DDo  
Tingkat standar bekerja dalam Application Load Balancers untuk mempertahankan terhadap sumber berbahaya yang diketahui melalui penyaringan on-host. Anda dapat mengonfigurasi perilaku protektif untuk bereaksi terbaik terhadap peristiwa DDo S potensial.  
Perlindungan S tingkat sumber daya DDo:  
+ Memantau pola lalu lintas Anda secara otomatis.
+ Memperbarui intelijen ancaman secara real time.
+ Melindungi dari sumber berbahaya yang diketahui.
**Untuk mengoptimalkan biaya permintaan ACL web untuk Application Load Balancer Anda**  
Anda harus mengaitkan ACL web dengan Application Load Balancer Anda untuk mengaktifkan perlindungan tingkat sumber daya. Jika Application Load Balancer Anda dikaitkan dengan ACL web yang tidak memiliki konfigurasi, Anda tidak akan dikenakan biaya dari AWS WAF permintaan, namun, tidak AWS WAF akan memberikan contoh permintaan atau laporan tentang Application Load Balancer dalam metrik. CloudWatch Anda dapat mengambil tindakan berikut untuk mengaktifkan fitur observabilitas untuk Application Load Balancer:  
+ Gunakan `Block` tindakan atau `Allow` tindakan dengan header permintaan khusus di. `DefaultAction` Untuk informasi, lihat [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md).
+ Tambahkan aturan apa pun ke ACL web. Untuk informasi, lihat [AWS WAF aturan](waf-rules.md).
+ Aktifkan tujuan pencatatan. Untuk informasi, lihat [Mengkonfigurasi logging untuk paket perlindungan (web ACL)](logging-management-configure.md).
+ Kaitkan ACL web dengan AWS Firewall Manager kebijakan. Untuk informasi, lihat [Membuat AWS Firewall Manager kebijakan untuk AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF tidak akan memberikan permintaan sampel atau mempublikasikan CloudWatch metrik tanpa konfigurasi ini.

AWS perlindungan kelompok aturan DDo S terkelola  
Tingkat lanjutan perlindungan DDo S ditawarkan melalui. `AWSManagedRulesAntiDDoSRuleSet` Kelompok aturan terkelola melengkapi tingkat perlindungan tingkat sumber daya, dengan perbedaan penting berikut:  
+ Perlindungan meluas ke Penyeimbang Beban Aplikasi dan distribusi CloudFront 
+ Garis dasar lalu lintas dibuat untuk sumber daya Anda yang dilindungi untuk meningkatkan deteksi pola serangan baru.
+ Perilaku protektif diaktifkan sesuai dengan tingkat sensitivitas yang Anda pilih.
+ Mengelola dan memberi label permintaan ke sumber daya yang dilindungi selama kemungkinan peristiwa DDo S.
Untuk daftar lengkap aturan dan fungsionalitas yang disertakan, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, lihat [ Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Perlindungan S tingkat sumber daya untuk Penyeimbang DDo Beban Aplikasi](waf-anti-ddos-alb.md)
+ [Perlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md)

# Perlindungan S tingkat sumber daya untuk Penyeimbang DDo Beban Aplikasi
<a name="waf-anti-ddos-alb"></a>

**Perlindungan tingkat sumber daya DDo S** menambahkan pertahanan langsung ke Application Load Balancer tanpa menimbulkan biaya untuk menyebarkan AWS WAF grup aturan terkelola. Tingkat perlindungan Anti DDo S standar ini menggunakan intelijen AWS ancaman dan analisis pola lalu lintas untuk melindungi Application Load Balancer. Untuk mengidentifikasi sumber jahat yang diketahui, perlindungan DDo Anti-S melakukan penyaringan on-host dari alamat IP klien langsung dan header X-Forwarded-For (XFF). Setelah sumber berbahaya yang diketahui diidentifikasi, perlindungan diaktifkan melalui salah satu dari dua mode:

**Aktif di bawah DDo S** adalah mode pelindung default dan direkomendasikan untuk sebagian besar kasus penggunaan. 

Mode ini:
+ Mengaktifkan perlindungan secara otomatis saat mendeteksi kondisi beban tinggi atau potensi DDo peristiwa S
+ Rate-limit lalu lintas dari sumber berbahaya yang diketahui hanya selama kondisi serangan
+ Meminimalkan dampak pada lalu lintas yang sah selama operasi normal
+ Menggunakan metrik kesehatan dan data AWS WAF respons Application Load Balancer untuk menentukan kapan harus melakukan perlindungan

**Selalu** aktif adalah mode opsional yang selalu aktif setelah diaktifkan.

Mode ini: 
+ Mempertahankan perlindungan berkelanjutan terhadap sumber berbahaya yang diketahui
+ Rate-limit lalu lintas dari sumber berbahaya yang diketahui secara real time
+ Menerapkan perlindungan untuk koneksi langsung dan permintaan dengan header XFF berbahaya IPs 
+ Mungkin memiliki dampak yang lebih tinggi pada lalu lintas yang sah tetapi memberikan keamanan maksimum

Permintaan yang diblokir oleh perlindungan DDo S tingkat sumber daya dicatat dalam CloudWatch log sebagai salah satu atau metrik. `LowReputationPacketsDropped` `LowReputationRequestsDenied` Untuk informasi, lihat [AWS WAF metrik dan dimensi inti](waf-metrics.md#waf-metrics-general).

## Aktifkan perlindungan DDo S standar pada WebACL yang ada
<a name="enabling-protection-alb"></a>

Anda dapat mengaktifkan perlindungan DDo S saat membuat ACL web atau memperbarui ACL web yang ada yang terkait dengan Application Load Balancer.

**catatan**  
Jika Anda memiliki ACL web yang ada yang terkait dengan Application Load Balancer, perlindungan DDo Anti-S diaktifkan secara default **dengan Active DDo di bawah** mode S.

**Untuk mengaktifkan perlindungan DDo Anti-S di AWS WAF konsol**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **Web ACLs** di panel navigasi, lalu buka ACL web apa pun yang terkait dengan Application Load Balancer.

1. Pilih ** AWS Sumber daya terkait**.

1. Di bawah **Perlindungan tingkat DDo S sumber daya**, pilih **Edit**.

1. Pilih salah satu mode perlindungan berikut:
   + **Aktif di bawah DDo S** (disarankan) - Perlindungan hanya berlaku selama kondisi beban tinggi
   + **Selalu** aktif - Perlindungan selalu aktif terhadap sumber berbahaya yang diketahui

1. Pilih **Simpan perubahan**.

**catatan**  
Untuk informasi tentang membuat ACL web, lihat[Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md).

**Untuk mengoptimalkan biaya permintaan ACL web untuk Application Load Balancer Anda**  
Anda harus mengaitkan ACL web dengan Application Load Balancer Anda untuk mengaktifkan perlindungan tingkat sumber daya. Jika Application Load Balancer Anda dikaitkan dengan ACL web yang tidak memiliki konfigurasi, Anda tidak akan dikenakan biaya dari AWS WAF permintaan, namun, tidak AWS WAF akan memberikan contoh permintaan atau laporan tentang Application Load Balancer dalam metrik. CloudWatch Anda dapat mengambil tindakan berikut untuk mengaktifkan fitur observabilitas untuk Application Load Balancer:  
Gunakan `Block` tindakan atau `Allow` tindakan dengan header permintaan kustom di. `DefaultAction` Untuk informasi, lihat [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md).
Tambahkan aturan apa pun ke ACL web. Untuk informasi, lihat [AWS WAF aturan](waf-rules.md).
Aktifkan tujuan pencatatan. Untuk informasi, lihat [Mengkonfigurasi logging untuk paket perlindungan (web ACL)](logging-management-configure.md).
Kaitkan ACL web dengan AWS Firewall Manager kebijakan. Untuk informasi, lihat [Membuat AWS Firewall Manager kebijakan untuk AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF tidak akan memberikan permintaan sampel atau mempublikasikan CloudWatch metrik tanpa konfigurasi ini.

# Perlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S
<a name="waf-anti-ddos-advanced"></a>

Grup aturan `AWSManagedRulesAntiDDoSRuleSet` terkelola adalah tingkat perlindungan DDo Anti-S paling canggih yang tersedia di AWS WAF.

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

## AWS WAF Komponen perlindungan DDo anti-S
<a name="waf-anti-ddos-components"></a>

Komponen utama untuk menerapkan perlindungan DDo Anti-S canggih AWS WAF meliputi:

**`AWSManagedRulesAntiDDoSRuleSet`**— Mendeteksi, memberi label, dan menantang permintaan yang kemungkinan berpartisipasi dalam serangan DDo S. Ini juga memberi label semua permintaan ke sumber daya yang dilindungi selama acara. Untuk detail tentang aturan dan label grup aturan, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md). Untuk menggunakan grup aturan ini, sertakan dalam paket perlindungan Anda (web ACL) menggunakan pernyataan referensi grup aturan terkelola. Untuk informasi, lihat [Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)](waf-anti-ddos-rg-using.md).
+ **Dasbor ikhtisar lalu lintas ACL Web** - Menyediakan pemantauan untuk aktivitas DDo S dan respons DDo anti-S di konsol. Untuk informasi selengkapnya, lihat [Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md).
+ **Logging dan metrik** - Memungkinkan Anda memantau lalu lintas dan memahami efek perlindungan DDo Anti-S. Konfigurasikan log, pengumpulan data Amazon Security Lake, dan CloudWatch metrik Amazon untuk paket perlindungan Anda (web ACL). Untuk informasi tentang opsi ini, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md),[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Aturan pencocokan label dan label** — Memungkinkan Anda menyesuaikan penanganan permintaan web yang diidentifikasi oleh grup aturan terkelola Anti- DDo S. Untuk aturan apa pun`AWSManagedRulesAntiDDoSRuleSet`, Anda dapat beralih ke mode hitung dan mencocokkan dengan label yang ditambahkan. Untuk informasi selengkapnya, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan [Pelabelan permintaan web di AWS WAF](waf-labels.md).
+ **Permintaan dan tanggapan khusus** - Memungkinkan Anda menambahkan header khusus ke permintaan yang diizinkan dan mengirim tanggapan khusus untuk permintaan yang diblokir. Pasangkan label yang cocok dengan fitur permintaan dan respons AWS WAF khusus. Lihat informasi yang lebih lengkap di [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

# Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)
<a name="waf-anti-ddos-rg-using"></a>

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesAntiDDoSRuleSet` aturan.

Untuk mengonfigurasi grup aturan terkelola Anti- DDo S, Anda menyediakan pengaturan yang menyertakan seberapa sensitif grup aturan terhadap serangan DDo S dan tindakan yang diperlukan pada permintaan yang sedang atau mungkin berpartisipasi dalam serangan. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola. 

Untuk deskripsi grup aturan dan daftar aturan dan label, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).

**Ikuti praktik terbaik**  
Gunakan kelompok aturan DDo Anti-S sesuai dengan praktik terbaik di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md). 

**Untuk menggunakan grup `AWSManagedRulesAntiDDoSRuleSet` aturan dalam paket perlindungan Anda (web ACL)**

1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesAntiDDoSRuleSet` ke paket perlindungan (web ACL), dan **Edit** pengaturan grup aturan sebelum menyimpan. 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Di panel **konfigurasi grup Aturan**, berikan konfigurasi kustom apa pun untuk grup `AWSManagedRulesAntiDDoSRuleSet` aturan. 

   1. Untuk **tingkat sensitivitas Blok**, tentukan seberapa sensitif aturan `DDoSRequests` yang Anda inginkan saat mencocokkan label kecurigaan DDo S grup aturan. Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan: 
      + Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` kecurigaan tinggi.
      + Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.
      + Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.

      Aturan ini memberikan penanganan permintaan web yang paling parah yang dicurigai berpartisipasi dalam serangan DDo S. 

   1. Untuk **tantangan Aktifkan**, pilih apakah akan mengaktifkan aturan `ChallengeDDoSRequests` dan`ChallengeAllDuringEvent`, yang secara default menerapkan Challenge tindakan ke permintaan yang cocok. 

      Aturan ini menyediakan penanganan permintaan yang dimaksudkan untuk mengizinkan pengguna yang sah untuk melanjutkan permintaan mereka sambil memblokir peserta dalam serangan DDo S. Anda dapat mengganti pengaturan tindakan mereka ke Allow atau Count atau Anda dapat menonaktifkan penggunaannya sepenuhnya.

      Jika Anda mengaktifkan aturan ini, berikan konfigurasi tambahan apa pun yang Anda inginkan: 
      + Untuk **tingkat sensitivitas Tantangan**, tentukan seberapa sensitif aturan yang `ChallengeDDoSRequests` Anda inginkan. 

        Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan: 
        + Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` kecurigaan tinggi.
        + Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.
        + Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.
      + Untuk **ekspresi reguler URI yang dikecualikan**, berikan ekspresi reguler yang cocok dengan permintaan web yang tidak dapat menangani tantangan browser senyap. URIs ChallengeTindakan ini akan secara efektif memblokir permintaan dari URIs yang kehilangan token tantangan kecuali mereka dapat menangani tantangan browser diam. 

        ChallengeTindakan hanya dapat ditangani dengan benar oleh klien yang mengharapkan konten HTML. Untuk informasi selengkapnya tentang cara kerja tindakan, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md). 

        Tinjau ekspresi reguler default dan perbarui sesuai kebutuhan. Aturan menggunakan ekspresi reguler yang ditentukan untuk mengidentifikasi permintaan URIs yang tidak dapat menangani Challenge tindakan dan mencegah aturan mengirim tantangan kembali. Permintaan yang Anda kecualikan dengan cara ini hanya dapat diblokir oleh grup aturan dengan aturan`DDoSRequests`. 

        Ekspresi default yang disediakan di konsol mencakup sebagian besar kasus penggunaan, tetapi Anda harus meninjau dan menyesuaikannya untuk aplikasi Anda. 

        AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

1. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan dan simpan aturannya. 
**catatan**  
AWS merekomendasikan untuk tidak menggunakan pernyataan scope-down dengan grup aturan terkelola ini. Pernyataan cakupan bawah membatasi permintaan yang diamati oleh kelompok aturan, sehingga dapat mengakibatkan garis dasar lalu lintas yang tidak akurat dan berkurangnya deteksi peristiwa S. DDo Opsi pernyataan cakupan bawah tersedia untuk semua pernyataan grup aturan terkelola, tetapi tidak boleh digunakan untuk yang ini. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

1. Di halaman **prioritas aturan Set**, pindahkan aturan grup aturan terkelola DDo anti-S yang baru sehingga hanya berjalan setelah aturan Allow tindakan apa pun yang Anda miliki dan sebelum aturan lainnya. Ini memberi kelompok aturan kemampuan untuk melacak lalu lintas terbanyak untuk perlindungan DDo Anti-S. 

1. Simpan perubahan Anda ke paket perlindungan (web ACL). 

Sebelum Anda menerapkan implementasi DDo anti-S Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan. 

# Menguji dan menerapkan DDo Anti-S
<a name="waf-anti-ddos-deploying"></a>

Anda akan ingin mengkonfigurasi dan menguji pencegahan AWS WAF Distributed Denial of Service (DDoS) sebelum menerapkan fitur. Bagian ini memberikan panduan umum untuk mengkonfigurasi dan menguji, namun langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima. 

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**Risiko lalu lintas produksi**  
Uji dan sesuaikan implementasi DDo anti-S Anda di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Untuk mengkonfigurasi dan menguji implementasi pencegahan AWS WAF Distributed Denial of Service (DDoS)**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Tambahkan grup aturan terkelola pencegahan AWS WAF Distributed Denial of Service (DDoS) dalam mode hitungan**
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Tambahkan grup aturan Aturan AWS Terkelola `AWSManagedRulesAntiDDoSRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan (web ACL) saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).
   + Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut: 
     + Di panel **konfigurasi grup Aturan**, berikan detail yang diperlukan untuk melakukan aktivitas DDo anti-S untuk lalu lintas web Anda. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)](waf-anti-ddos-rg-using.md).
     + Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola Anti- DDo S untuk menentukan apakah Anda ingin melakukan modifikasi, seperti memperluas regex untuk URIs yang tidak dapat menangani tantangan browser diam. 
   + Posisikan grup aturan sehingga dievaluasi sedini mungkin, segera setelah aturan apa pun yang memungkinkan lalu lintas. Aturan dievaluasi dalam urutan prioritas numerik menaik. Konsol menetapkan urutan untuk Anda, mulai dari bagian atas daftar aturan Anda. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

1. 

**Aktifkan pencatatan dan metrik untuk paket perlindungan (web ACL)**

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola Anti DDo S dengan lalu lintas Anda. 
   + Untuk informasi tentang mengonfigurasi dan menggunakan logging, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. 

**Pantau lalu lintas dan kecocokan aturan DDo Anti-S**

   Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola Anti- DDo S menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik DDo Anti-S dan label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa. 

1. 

**Kustomisasi penanganan permintaan web DDo Anti-S**

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan DDo Anti-S akan menanganinya. 

   Misalnya, Anda dapat menggunakan label DDo Anti-S untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola Anti- DDo S untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan DDo Anti-S terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. 

1. 

**Hapus aturan pengujian dan konfigurasikan pengaturan DDo Anti-S**

   Tinjau hasil pengujian Anda untuk menentukan aturan DDo Anti-S mana yang ingin Anda pertahankan dalam mode hitungan hanya untuk pemantauan. Untuk aturan apa pun yang ingin Anda jalankan dengan perlindungan aktif, nonaktifkan mode hitungan dalam konfigurasi grup aturan paket perlindungan (web ACL) untuk memungkinkan mereka melakukan tindakan yang dikonfigurasi. Setelah Anda menyelesaikan pengaturan ini, hapus aturan pencocokan label uji sementara sambil mempertahankan aturan kustom apa pun yang Anda buat untuk penggunaan produksi. Untuk pertimbangan konfigurasi DDo Anti-S tambahan, lihat[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Memantau dan menyetel**

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsi DDo Anti-S yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri. 

# Praktik Terbaik untuk DDo Anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Aktifkan perlindungan selama periode lalu lintas normal** — Ini memungkinkan perlindungan untuk menetapkan pola lalu lintas dasar sebelum menanggapi serangan. Tambahkan perlindungan saat Anda tidak mengalami serangan dan berikan waktu untuk pembentukan dasar.
+ **Pantau metrik secara teratur** — Tinjau CloudWatch metrik untuk memahami pola lalu lintas dan efektivitas perlindungan.
+ **Pertimbangkan mode proaktif untuk aplikasi kritis** — Meskipun mode reaktif direkomendasikan untuk sebagian besar kasus penggunaan, pertimbangkan untuk menggunakan mode proaktif untuk aplikasi yang memerlukan perlindungan berkelanjutan terhadap ancaman yang diketahui.
+ **Uji di lingkungan pementasan** — Sebelum mengaktifkan perlindungan dalam produksi, uji dan sesuaikan pengaturan di lingkungan pementasan untuk memahami dampak pada lalu lintas yang sah.

# Integrasi aplikasi klien di AWS WAF
<a name="waf-application-integration"></a>

Bagian ini menjelaskan cara menggunakan integrasi ancaman cerdas APIs dan API integrasi JavaScript CAPTCHA dengan fitur Anda AWS WAF . 

Gunakan integrasi aplikasi AWS WAF klien APIs untuk memasangkan perlindungan sisi klien dengan perlindungan paket perlindungan AWS sisi server (web ACL) Anda, untuk membantu memverifikasi bahwa aplikasi klien yang mengirim permintaan web ke sumber daya yang dilindungi adalah klien yang dituju dan bahwa pengguna akhir Anda adalah manusia. 

Gunakan integrasi klien untuk mengelola tantangan browser senyap dan teka-teki CAPTCHA, dapatkan token dengan bukti keberhasilan browser dan tanggapan pengguna akhir, dan untuk memasukkan token ini dalam permintaan ke titik akhir Anda yang dilindungi. Untuk informasi umum tentang AWS WAF token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). 

Gabungkan integrasi klien Anda dengan perlindungan paket perlindungan (web ACL) yang memerlukan token yang valid untuk akses ke sumber daya Anda. Anda dapat menggunakan grup aturan yang memeriksa dan memantau token tantangan, seperti yang tercantum di bagian berikutnya, di[Integrasi ancaman cerdas dan Aturan AWS Terkelola](waf-application-integration-with-AMRs.md), dan Anda dapat menggunakan tindakan CAPTCHA dan Challenge aturan untuk memeriksa, seperti yang dijelaskan dalam[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md). 

AWS WAF menyediakan dua tingkat integrasi untuk JavaScript aplikasi, dan satu untuk aplikasi seluler: 
+ **Integrasi ancaman cerdas** — Verifikasi aplikasi klien dan berikan akuisisi dan manajemen AWS token. Ini mirip dengan fungsi yang disediakan oleh tindakan AWS WAF Challenge aturan. Fungsionalitas ini sepenuhnya mengintegrasikan aplikasi klien Anda dengan grup aturan `AWSManagedRulesACFPRuleSet` terkelola, grup aturan `AWSManagedRulesATPRuleSet` terkelola, dan tingkat perlindungan yang ditargetkan dari grup aturan `AWSManagedRulesBotControlRuleSet` terkelola. 

  Integrasi ancaman cerdas APIs menggunakan tantangan browser AWS WAF senyap untuk membantu memastikan bahwa upaya login dan panggilan lain ke sumber daya Anda yang dilindungi hanya diizinkan setelah klien memperoleh token yang valid. APIs Mengelola otorisasi token untuk sesi aplikasi klien Anda dan mengumpulkan informasi tentang klien untuk membantu menentukan apakah itu dioperasikan oleh bot atau oleh manusia. 
**catatan**  
Ini tersedia untuk JavaScript dan untuk aplikasi seluler Android dan iOS. 
+ **Integrasi CAPTCHA** - Verifikasi pengguna akhir dengan teka-teki CAPTCHA yang disesuaikan yang Anda kelola dalam aplikasi Anda. Ini mirip dengan fungsionalitas yang disediakan oleh tindakan AWS WAF CAPTCHA aturan, tetapi dengan kontrol tambahan atas penempatan dan perilaku teka-teki. 

  Integrasi ini memanfaatkan integrasi ancaman JavaScript cerdas untuk menjalankan tantangan diam dan memberikan AWS WAF token ke halaman pelanggan. 
**catatan**  
Ini tersedia untuk JavaScript aplikasi. 

**Topics**
+ [Integrasi ancaman cerdas dan Aturan AWS Terkelola](waf-application-integration-with-AMRs.md)
+ [Mengakses integrasi aplikasi AWS WAF klien APIs](waf-application-integration-location-in-console.md)
+ [AWS WAF JavaScript integrasi](waf-javascript-api.md)
+ [AWS WAF integrasi aplikasi seluler](waf-mobile-sdk.md)

# Integrasi ancaman cerdas dan Aturan AWS Terkelola
<a name="waf-application-integration-with-AMRs"></a>

Bagian ini menjelaskan cara APIs kerja integrasi ancaman cerdas dengan grup aturan Aturan AWS Terkelola.

Integrasi ancaman cerdas APIs bekerja dengan paket perlindungan (web ACLs) yang menggunakan kelompok aturan ancaman cerdas untuk mengaktifkan fungsionalitas penuh dari kelompok aturan terkelola lanjutan ini. 
+ AWS WAF Grup aturan terkelola pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan. `AWSManagedRulesACFPRuleSet` 

  Penipuan pembuatan akun adalah aktivitas ilegal online di mana penyerang membuat akun yang tidak valid dalam aplikasi Anda untuk tujuan seperti menerima bonus pendaftaran atau meniru seseorang. Grup aturan terkelola ACFP menyediakan aturan untuk memblokir, memberi label, dan mengelola permintaan yang mungkin merupakan bagian dari upaya pembuatan akun palsu. APIs Memungkinkan verifikasi browser klien yang disetel dengan baik dan informasi interaktivitas manusia yang digunakan aturan ACFP untuk memisahkan lalu lintas klien yang valid dari lalu lintas berbahaya.

  Untuk informasi selengkapnya, lihat [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md) dan [AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md).
+ AWS WAF Kelompok aturan terkelola pencegahan pengambilalihan akun Kontrol Penipuan (ATP). `AWSManagedRulesATPRuleSet` 

  Pengambilalihan akun adalah aktivitas ilegal online di mana penyerang mendapatkan akses tidak sah ke akun seseorang. Grup aturan terkelola ATP menyediakan aturan untuk memblokir, memberi label, dan mengelola permintaan yang mungkin merupakan bagian dari upaya pengambilalihan akun berbahaya. APIs Memungkinkan verifikasi klien yang disetel dengan baik dan agregasi perilaku yang digunakan aturan ATP untuk memisahkan lalu lintas klien yang valid dari lalu lintas berbahaya.

  Untuk informasi selengkapnya, lihat [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md) dan [AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md).
+ Tingkat perlindungan yang ditargetkan dari grup aturan terkelola Kontrol AWS WAF Bot`AWSManagedRulesBotControlRuleSet`. 

  Bot berjalan dari yang mengidentifikasi diri dan berguna, seperti kebanyakan mesin pencari dan crawler, hingga bot jahat yang beroperasi melawan situs web Anda dan tidak mengidentifikasi diri. Grup aturan terkelola Bot Control menyediakan aturan untuk memantau, memberi label, dan mengelola aktivitas bot di lalu lintas web Anda. Saat Anda menggunakan tingkat perlindungan yang ditargetkan dari grup aturan ini, aturan yang ditargetkan menggunakan informasi sesi klien yang APIs disediakan untuk mendeteksi bot berbahaya dengan lebih baik. 

  Untuk informasi selengkapnya, lihat [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md) dan [AWS WAF Kontrol Bot](waf-bot-control.md).

Untuk menambahkan salah satu grup aturan terkelola ini ke paket perlindungan Anda (web ACL), lihat prosedurnya [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md)[Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md), dan[Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda](waf-bot-control-rg-using.md).

**catatan**  
Grup aturan terkelola saat ini tidak memblokir permintaan yang tidak memiliki token. Untuk memblokir permintaan yang tidak memiliki token, setelah Anda menerapkan integrasi aplikasi APIs, ikuti panduan di[Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md). 

# Mengakses integrasi aplikasi AWS WAF klien APIs
<a name="waf-application-integration-location-in-console"></a>

Bagian ini menjelaskan di mana menemukan integrasi aplikasi APIs di AWS WAF konsol.

 JavaScript Integrasi APIs umumnya tersedia, dan Anda dapat menggunakannya untuk browser Anda dan perangkat lain yang mengeksekusi JavaScript. 

AWS WAF menawarkan integrasi ancaman cerdas khusus SDKs untuk aplikasi seluler Android dan iOS. 
+ Untuk aplikasi seluler dan TV Android, SDKs berfungsi untuk Android API versi 23 (Android versi 6) dan yang lebih baru. Untuk informasi tentang versi Android, lihat [catatan rilis SDK Platform](https://developer.android.com/tools/releases/platforms).
+ Untuk aplikasi seluler iOS, SDKs berfungsi untuk iOS versi 13 dan yang lebih baru. Untuk informasi tentang versi iOS, lihat Catatan [Rilis iOS & iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Untuk aplikasi Apple TV, SDKs berfungsi untuk tvOS versi 14 atau yang lebih baru. Untuk informasi tentang versi tvOS, lihat Catatan Rilis [tvOS](https://developer.apple.com/documentation/tvos-release-notes).

**Untuk mengakses integrasi APIs melalui konsol**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **Integrasi aplikasi** di panel navigasi, lalu pilih tab yang Anda minati.
   + **Integrasi ancaman cerdas** tersedia untuk JavaScript dan aplikasi seluler. 

     Tab berisi yang berikut:
     + Daftar paket perlindungan (web ACLs) yang diaktifkan untuk integrasi aplikasi ancaman cerdas. Daftar ini mencakup setiap paket perlindungan (web ACL) yang menggunakan grup aturan `AWSManagedRulesACFPRuleSet` terkelola, grup aturan `AWSManagedRulesATPRuleSet` terkelola, atau tingkat perlindungan yang ditargetkan dari grup aturan `AWSManagedRulesBotControlRuleSet` terkelola. Saat Anda menerapkan ancaman cerdas APIs, Anda menggunakan URL integrasi untuk paket perlindungan (web ACL) yang ingin Anda integrasikan.
     +  APIs Yang Anda memiliki akses ke. Itu JavaScript APIs selalu tersedia. Untuk akses ke ponsel SDKs, hubungi dukungan di [Kontak AWS](https://aws.amazon.com/contact-us).
   + **Integrasi CAPTCHA** tersedia untuk JavaScript aplikasi. 

     Tab berisi yang berikut: 
     + URL integrasi untuk digunakan dalam integrasi Anda. 
     + Kunci API yang telah Anda buat untuk domain aplikasi klien Anda. Penggunaan CAPTCHA API Anda memerlukan kunci API terenkripsi yang memberi klien hak untuk mengakses AWS WAF CAPTCHA dari domain mereka. Untuk setiap klien yang Anda integrasikan, gunakan kunci API yang berisi domain klien. Untuk informasi selengkapnya persyaratan ini dan tentang mengelola kunci ini, lihat[Mengelola kunci API untuk JS CAPTCHA API](waf-js-captcha-api-key.md).

# AWS WAF JavaScript integrasi
<a name="waf-javascript-api"></a>

Bagian ini menjelaskan cara menggunakan AWS WAF JavaScript integrasi.

Anda dapat menggunakan JavaScript integrasi APIs untuk mengimplementasikan integrasi AWS WAF aplikasi di browser Anda dan perangkat lain yang mengeksekusi JavaScript. 

Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token. 
+ Ancaman cerdas APIs memungkinkan Anda mengelola otorisasi token melalui tantangan browser sisi klien yang diam, dan memasukkan token dalam permintaan yang Anda kirim ke sumber daya yang dilindungi. 
+ API integrasi CAPTCHA menambah ancaman cerdas APIs, dan memungkinkan Anda menyesuaikan penempatan dan karakteristik teka-teki CAPTCHA dalam aplikasi klien Anda. API ini memanfaatkan ancaman cerdas APIs untuk memperoleh AWS WAF token untuk digunakan di halaman setelah pengguna akhir berhasil menyelesaikan teka-teki CAPTCHA. 

Dengan menggunakan integrasi ini, Anda memastikan bahwa panggilan prosedur jarak jauh oleh klien Anda berisi token yang valid. Ketika integrasi ini APIs diterapkan pada halaman aplikasi Anda, Anda dapat menerapkan aturan mitigasi dalam paket perlindungan Anda (web ACL), seperti memblokir permintaan yang tidak berisi token yang valid. Anda juga dapat menerapkan aturan yang memberlakukan penggunaan token yang diperoleh aplikasi klien Anda, dengan menggunakan Challenge atau CAPTCHA tindakan dalam aturan Anda. 

**Contoh implementasi ancaman cerdas APIs**  
Daftar berikut menunjukkan komponen dasar dari implementasi tipikal ancaman cerdas APIs di halaman aplikasi web. 

```
<head>
<script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js" defer></script>
</head>
<script>
const login_response = await AwsWafIntegration.fetch(login_url, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: login_body
  });
</script>
```

**Contoh implementasi JavaScript CAPTCHA API**  
API integrasi CAPTCHA memungkinkan Anda menyesuaikan pengalaman teka-teki CAPTCHA pengguna akhir Anda. Integrasi CAPTCHA memanfaatkan integrasi ancaman JavaScript cerdas, untuk verifikasi browser dan manajemen token, dan menambahkan fungsi untuk mengonfigurasi dan merender teka-teki CAPTCHA. 

Daftar berikut menunjukkan komponen dasar implementasi khas CAPTCHA JavaScript API di halaman aplikasi web. 

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            ...
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Topics**
+ [Menyediakan domain untuk digunakan dalam token](waf-js-challenge-api-set-token-domain.md)
+ [Menggunakan JavaScript API dengan kebijakan keamanan konten](waf-javascript-api-csp.md)
+ [Menggunakan JavaScript API ancaman cerdas](waf-js-challenge-api.md)
+ [Menggunakan JavaScript CAPTCHA API](waf-js-captcha-api.md)

# Menyediakan domain untuk digunakan dalam token
<a name="waf-js-challenge-api-set-token-domain"></a>

Bagian ini menjelaskan cara menyediakan domain tambahan untuk token.

Secara default, saat AWS WAF membuat token, ia menggunakan domain host dari sumber daya yang terkait dengan paket perlindungan (web ACL). Anda dapat memberikan domain tambahan untuk token yang AWS WAF dibuat untuk. JavaScript APIs Untuk melakukan ini, konfigurasikan variabel global`window.awsWafCookieDomainList`, dengan satu atau lebih domain token. 

Saat AWS WAF membuat token, ia menggunakan domain terpendek yang paling tepat dari antara kombinasi domain di `window.awsWafCookieDomainList` dan domain host dari sumber daya yang terkait dengan paket perlindungan (web ACL). 

Contoh pengaturan: 

```
window.awsWafCookieDomainList = ['.aws.amazon.com']
```

```
window.awsWafCookieDomainList = ['.aws.amazon.com', 'abc.aws.amazon.com']
```

Anda tidak dapat menggunakan sufiks publik dalam daftar ini. Misalnya, Anda tidak dapat menggunakan `gov.au` atau `co.uk` sebagai domain token dalam daftar.

Domain yang Anda tentukan dalam daftar ini harus kompatibel dengan domain dan konfigurasi domain Anda yang lain: 
+ Domain haruslah yang AWS WAF akan menerima, berdasarkan domain host yang dilindungi dan daftar domain token yang dikonfigurasi untuk paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists). 
+ Jika Anda menggunakan JavaScript CAPTCHA API, setidaknya satu domain di kunci API CAPTCHA Anda harus sama persis dengan salah satu domain token di dalamnya `window.awsWafCookieDomainList` atau harus domain puncak dari salah satu domain token tersebut. 

  Misalnya, untuk domain token`mySubdomain.myApex.com`, kunci `mySubdomain.myApex.com` API sama persis dan kunci API `myApex.com` adalah domain apex. Salah satu kunci cocok dengan domain token. 

  Untuk informasi selengkapnya tentang kunci API, lihat[Mengelola kunci API untuk JS CAPTCHA API](waf-js-captcha-api-key.md). 

Jika Anda menggunakan grup aturan `AWSManagedRulesACFPRuleSet` terkelola, Anda dapat mengonfigurasi domain yang cocok dengan domain di jalur pembuatan akun yang Anda berikan ke konfigurasi grup aturan. Untuk informasi selengkapnya tentang konfigurasi ini, silakan lihat [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md).

Jika Anda menggunakan grup aturan `AWSManagedRulesATPRuleSet` terkelola, Anda dapat mengonfigurasi domain yang cocok dengan domain di jalur masuk yang Anda berikan ke konfigurasi grup aturan. Untuk informasi selengkapnya tentang konfigurasi ini, silakan lihat [Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md).

# Menggunakan JavaScript API dengan kebijakan keamanan konten
<a name="waf-javascript-api-csp"></a>

Bagian ini memberikan contoh konfigurasi untuk mengizinkan daftar domain AWS WAF apex.

Jika Anda menerapkan kebijakan keamanan konten (CSP) ke sumber daya Anda, agar JavaScript implementasi Anda berfungsi, Anda perlu mengizinkan daftar domain AWS WAF apex. `awswaf.com` JavaScript SDKs Melakukan panggilan ke AWS WAF titik akhir yang berbeda, jadi izinkan daftar domain ini memberikan izin yang SDKs perlu dioperasikan.

Berikut ini menunjukkan contoh konfigurasi untuk mengizinkan domain AWS WAF apex: 

```
connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;
```

Jika Anda mencoba menggunakan sumber daya JavaScript SDKs dengan yang menggunakan CSP, dan Anda belum mengizinkan daftar AWS WAF domain, Anda akan menerima kesalahan seperti berikut: 

```
Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’
```

# Menggunakan JavaScript API ancaman cerdas
<a name="waf-js-challenge-api"></a>

Bagian ini memberikan instruksi untuk menggunakan JavaScript API ancaman cerdas dalam aplikasi klien Anda.

Ancaman cerdas APIs menyediakan operasi untuk menjalankan tantangan diam terhadap browser pengguna, dan untuk menangani AWS WAF token yang memberikan bukti tantangan yang berhasil dan respons CAPTCHA. 

Terapkan JavaScript integrasi terlebih dahulu di lingkungan pengujian, kemudian dalam produksi. Untuk panduan pengkodean tambahan, lihat bagian berikut. 

 

**Menggunakan Ancaman Cerdas APIs**

1. **Instal APIs** 

   Jika Anda menggunakan CAPTCHA API, Anda dapat melewati langkah ini. Saat Anda menginstal CAPTCHA API, skrip secara otomatis menginstal ancaman cerdas. APIs

   1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. Di panel navigasi, pilih **Integrasi aplikasi**. Pada halaman **Integrasi aplikasi**, Anda dapat melihat opsi tab. 

   1. Pilih **Integrasi ancaman cerdas**

   1. Di tab, pilih paket perlindungan (web ACL) yang ingin Anda integrasikan. Daftar paket perlindungan (web ACL) hanya mencakup paket perlindungan (web ACLs) yang menggunakan grup aturan `AWSManagedRulesACFPRuleSet` terkelola, grup aturan `AWSManagedRulesATPRuleSet` terkelola, atau tingkat perlindungan yang ditargetkan dari grup aturan `AWSManagedRulesBotControlRuleSet` terkelola. 

   1. Buka panel **JavaScript SDK**, dan salin tag skrip untuk digunakan dalam integrasi Anda. 

   1. Dalam kode halaman aplikasi Anda, di `<head>` bagian, masukkan tag skrip yang Anda salin untuk paket perlindungan (web ACL). Inklusi ini menyebabkan aplikasi klien Anda secara otomatis mengambil token di latar belakang pada pemuatan halaman. 

      ```
      <head>
          <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
      <head>
      ```

      `<script>`Daftar ini dikonfigurasi dengan `defer` atribut, tetapi Anda dapat mengubah pengaturan `async` jika Anda menginginkan perilaku yang berbeda untuk halaman Anda. 

1. **(Opsional) Tambahkan konfigurasi domain untuk token klien** — Secara default, saat AWS WAF membuat token, ia menggunakan domain host dari sumber daya yang terkait dengan paket perlindungan (web ACL). Untuk menyediakan domain tambahan untuk JavaScript APIs, ikuti panduan di[Menyediakan domain untuk digunakan dalam token](waf-js-challenge-api-set-token-domain.md). 

1. **Kode integrasi ancaman cerdas Anda** — Tulis kode Anda untuk memastikan bahwa pengambilan token selesai sebelum klien mengirimkan permintaannya ke titik akhir yang dilindungi. Jika Anda sudah menggunakan `fetch` API untuk melakukan panggilan, Anda dapat mengganti `fetch` pembungkus AWS WAF integrasi. Jika Anda tidak menggunakan `fetch` API, Anda dapat menggunakan `getToken` operasi AWS WAF integrasi sebagai gantinya. Untuk panduan pengkodean, lihat bagian berikut. 

1. **Tambahkan verifikasi token dalam paket perlindungan Anda (web ACL)** — Tambahkan setidaknya satu aturan ke paket perlindungan Anda (web ACL) yang memeriksa token tantangan yang valid dalam permintaan web yang dikirim klien Anda. Anda dapat menggunakan grup aturan yang memeriksa dan memantau token tantangan, seperti level target grup aturan terkelola Kontrol Bot, dan Anda dapat menggunakan tindakan Challenge aturan untuk memeriksa, seperti yang dijelaskan dalam[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md). 

   Penambahan paket perlindungan (web ACL) memverifikasi bahwa permintaan ke titik akhir yang dilindungi menyertakan token yang telah Anda peroleh dalam integrasi klien Anda. Permintaan yang menyertakan token yang valid dan belum kedaluwarsa lulus Challenge inspeksi dan tidak mengirim tantangan diam lain kepada klien Anda. 

1. **(Opsional) Blokir permintaan yang tidak memiliki token** — Jika Anda menggunakan grup aturan terkelola ACFP, grup aturan terkelola ATP, atau aturan yang ditargetkan dari grup aturan Kontrol Bot, aturan ini tidak memblokir permintaan yang tidak memiliki token. APIs Untuk memblokir permintaan yang tidak memiliki token, ikuti panduan di[Memblokir permintaan yang tidak memiliki AWS WAF token yang valid](waf-tokens-block-missing-tokens.md). 

**Topics**
+ [Spesifikasi API ancaman cerdas](waf-js-challenge-api-specification.md)
+ [Cara menggunakan `fetch` pembungkus integrasi](waf-js-challenge-api-fetch-wrapper.md)
+ [Cara menggunakan integrasi `getToken`](waf-js-challenge-api-get-token.md)

# Spesifikasi API ancaman cerdas
<a name="waf-js-challenge-api-specification"></a>

Bagian ini mencantumkan spesifikasi untuk metode dan properti mitigasi JavaScript APIs ancaman cerdas. Gunakan ini APIs untuk ancaman cerdas dan integrasi CAPTCHA.

**`AwsWafIntegration.fetch()`**  
Mengirim `fetch` permintaan HTTP ke server menggunakan implementasi AWS WAF integrasi. 

**`AwsWafIntegration.getToken()`**  
Mengambil AWS WAF token yang disimpan dan menyimpannya dalam cookie pada halaman saat ini dengan nama`aws-waf-token`, dan nilai ditetapkan ke nilai token. 

**`AwsWafIntegration.hasToken()`**  
Mengembalikan boolean yang menunjukkan apakah `aws-waf-token` cookie saat ini memegang token yang belum kedaluwarsa. 

Jika Anda juga menggunakan integrasi CAPTCHA, lihat spesifikasinya di. [Spesifikasi CAPTCHA API JavaScript](waf-js-captcha-api-specification.md)

# Cara menggunakan `fetch` pembungkus integrasi
<a name="waf-js-challenge-api-fetch-wrapper"></a>

Bagian ini memberikan instruksi untuk menggunakan `fetch` pembungkus integrasi.

Anda dapat menggunakan AWS WAF `fetch` pembungkus dengan mengubah `fetch` panggilan normal Anda ke `fetch` API di bawah `AwsWafIntegration` namespace. AWS WAF Pembungkus mendukung semua opsi yang sama dengan panggilan JavaScript `fetch` API standar dan menambahkan penanganan token untuk integrasi. Pendekatan ini umumnya merupakan cara paling sederhana untuk mengintegrasikan aplikasi Anda. 

**Sebelum implementasi pembungkus**  
Daftar contoh berikut menunjukkan kode standar sebelum menerapkan `AwsWafIntegration` `fetch` pembungkus.

```
const login_response = await fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

**Setelah implementasi pembungkus**  
Daftar berikut menunjukkan kode yang sama dengan implementasi `AwsWafIntegration` `fetch` wrapper.

```
const login_response = await AwsWafIntegration.fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

# Cara menggunakan integrasi `getToken`
<a name="waf-js-challenge-api-get-token"></a>

Bagian ini menjelaskan cara menggunakan `getToken` operasi.

AWS WAF mengharuskan permintaan Anda ke titik akhir yang dilindungi untuk menyertakan cookie yang diberi nama `aws-waf-token` dengan nilai token Anda saat ini. 

`getToken`Operasi ini adalah panggilan API asinkron yang mengambil AWS WAF token dan menyimpannya dalam cookie pada halaman saat ini dengan nama`aws-waf-token`, dan nilai yang ditetapkan ke nilai token. Anda dapat menggunakan cookie token ini sesuai kebutuhan di halaman Anda. 

Saat Anda menelepon`getToken`, itu melakukan hal berikut: 
+ Jika token yang belum kedaluwarsa sudah tersedia, panggilan akan segera mengembalikannya.
+ Jika tidak, panggilan akan mengambil token baru dari penyedia token, menunggu hingga 2 detik hingga alur kerja akuisisi token selesai sebelum waktu habis. Jika waktu operasi habis, itu akan menimbulkan kesalahan, yang harus ditangani oleh kode panggilan Anda. 

`getToken`Operasi ini memiliki operasi yang menyertainya`hasToken`, yang menunjukkan apakah `aws-waf-token` cookie saat ini memegang token yang belum kedaluwarsa. 

`AwsWafIntegration.getToken()`mengambil token yang valid dan menyimpannya sebagai cookie. Sebagian besar panggilan klien secara otomatis melampirkan cookie ini, tetapi beberapa tidak. Misalnya, panggilan yang dilakukan di seluruh domain host tidak melampirkan cookie. Dalam detail implementasi yang mengikuti, kami menunjukkan cara bekerja dengan kedua jenis panggilan klien. 

**`getToken`Implementasi dasar, untuk panggilan yang melampirkan `aws-waf-token` cookie**  
Daftar contoh berikut menunjukkan kode standar untuk mengimplementasikan `getToken` operasi dengan permintaan login.

```
const login_response = await AwsWafIntegration.getToken()
	    .catch(e => {
	        // Implement error handling logic for your use case
	    })
	    // The getToken call returns the token, and doesn't typically require special handling
	    .then(token => {
	        return loginToMyPage()
	    })
	
	async function loginToMyPage() {
	    // Your existing login code
	}
```

**Kirim formulir hanya setelah token tersedia dari `getToken`**  
Daftar berikut menunjukkan cara mendaftarkan pendengar acara untuk mencegat kiriman formulir hingga token yang valid tersedia untuk digunakan. 

```
<body>
	  <h1>Login</h1>
	  <p></p>
	  <form id="login-form" action="/web/login" method="POST" enctype="application/x-www-form-urlencoded">
	    <label for="input_username">USERNAME</label>
	    <input type="text" name="input_username" id="input_username"><br>
	    <label for="input_password">PASSWORD</label>
	    <input type="password" name="input_password" id="input_password"><br>
	    <button type="submit">Submit<button>
	  </form>
	
	<script>
	  const form = document.querySelector("#login-form");
	
	  // Register an event listener to intercept form submissions
	  form.addEventListener("submit", (e) => {
	      // Submit the form only after a token is available 
	      if (!AwsWafIntegration.hasToken()) {
	          e.preventDefault();
	          AwsWafIntegration.getToken().then(() => {
	              e.target.submit();
	          }, (reason) => { console.log("Error:"+reason) });
	        }
	    });
	</script>
	</body>
```

**Melampirkan token saat klien Anda tidak melampirkan `aws-waf-token` cookie secara default**  
`AwsWafIntegration.getToken()`mengambil token yang valid dan menyimpannya sebagai cookie, tetapi tidak semua panggilan klien melampirkan cookie ini secara default. Misalnya, panggilan yang dilakukan di seluruh domain host tidak melampirkan cookie. 

`fetch`Pembungkus menangani kasus ini secara otomatis, tetapi jika Anda tidak dapat menggunakan `fetch` pembungkus, Anda dapat menangani ini dengan menggunakan header khusus`x-aws-waf-token`. AWS WAF membaca token dari header ini, selain membacanya dari `aws-waf-token` cookie. Kode berikut menunjukkan contoh pengaturan header. 

```
const token = await AwsWafIntegration.getToken();
const result = await fetch('/url', {
    headers: {
        'x-aws-waf-token': token,
    },
});
```

Secara default, AWS WAF hanya menerima token yang berisi domain yang sama dengan domain host yang diminta. Setiap token lintas domain memerlukan entri yang sesuai dalam daftar domain token paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists). 

Untuk informasi tambahan tentang penggunaan token lintas domain, lihat [aws-waf-bot-controlaws-samples/](https://github.com/aws-samples/aws-waf-bot-control-api-protection-with-captcha) -. api-protection-with-captcha

# Menggunakan JavaScript CAPTCHA API
<a name="waf-js-captcha-api"></a>

Bagian ini memberikan instruksi untuk menggunakan API integrasi CAPTCHA.

CAPTCHA JavaScript API memungkinkan Anda untuk mengkonfigurasi teka-teki CAPTCHA dan menempatkannya di tempat yang Anda inginkan dalam aplikasi klien Anda. API ini memanfaatkan fitur ancaman cerdas JavaScript APIs untuk memperoleh dan menggunakan AWS WAF token setelah pengguna akhir berhasil menyelesaikan teka-teki CAPTCHA. 

Terapkan JavaScript integrasi terlebih dahulu di lingkungan pengujian, kemudian dalam produksi. Untuk panduan pengkodean tambahan, lihat bagian berikut. 

**Untuk menggunakan API integrasi CAPTCHA**

1. **Instal API**

   1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. Di panel navigasi, pilih **Integrasi aplikasi**. Pada halaman **Integrasi aplikasi**, Anda dapat melihat opsi tab. 

   1. Pilih integrasi **CAPTCHA**.

   1. Salin tag skrip JavaScript integrasi yang terdaftar untuk digunakan dalam integrasi Anda.

   1. Dalam kode halaman aplikasi Anda, di `<head>` bagian, masukkan tag skrip yang Anda salin. Inklusi ini membuat teka-teki CAPTCHA tersedia untuk konfigurasi dan penggunaan. 

      ```
      <head>
          <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
      </head>
      ```

      `<script>`Daftar ini dikonfigurasi dengan `defer` atribut, tetapi Anda dapat mengubah pengaturan `async` jika Anda menginginkan perilaku yang berbeda untuk halaman Anda. 

      Skrip CAPTCHA juga secara otomatis memuat skrip integrasi ancaman cerdas jika belum ada. Skrip integrasi ancaman cerdas menyebabkan aplikasi klien Anda secara otomatis mengambil token di latar belakang pada pemuatan halaman, dan menyediakan fungsionalitas manajemen token lain yang Anda butuhkan untuk penggunaan CAPTCHA API. 

1. **(Opsional) Tambahkan konfigurasi domain untuk token klien** — Secara default, saat AWS WAF membuat token, ia menggunakan domain host dari sumber daya yang terkait dengan paket perlindungan (web ACL). Untuk menyediakan domain tambahan untuk JavaScript APIs, ikuti panduan di[Menyediakan domain untuk digunakan dalam token](waf-js-challenge-api-set-token-domain.md). 

1. **Dapatkan kunci API terenkripsi untuk klien** — CAPTCHA API memerlukan kunci API terenkripsi yang berisi daftar domain klien yang valid. AWS WAF menggunakan kunci ini untuk memverifikasi bahwa domain klien yang Anda gunakan dengan integrasi disetujui untuk menggunakan AWS WAF CAPTCHA. Untuk membuat kunci API Anda, ikuti panduan di[Mengelola kunci API untuk JS CAPTCHA API](waf-js-captcha-api-key.md).

1. **Kode implementasi widget CAPTCHA Anda** - Terapkan panggilan `renderCaptcha()` API di halaman Anda, di lokasi di mana Anda ingin menggunakannya. Untuk informasi tentang mengkonfigurasi dan menggunakan fungsi ini, lihat bagian berikut, [Spesifikasi CAPTCHA API JavaScript](waf-js-captcha-api-specification.md) dan[Cara membuat teka-teki CAPTCHA](waf-js-captcha-api-render.md). 

   Implementasi CAPTCHA terintegrasi dengan integrasi ancaman cerdas APIs untuk manajemen token dan menjalankan panggilan pengambilan yang menggunakan token. AWS WAF Untuk panduan tentang menggunakan ini APIs, lihat[Menggunakan JavaScript API ancaman cerdas](waf-js-challenge-api.md).

1. **Tambahkan verifikasi token dalam paket perlindungan Anda (web ACL)** — Tambahkan setidaknya satu aturan ke paket perlindungan Anda (web ACL) yang memeriksa token CAPTCHA yang valid dalam permintaan web yang dikirim klien Anda. Anda dapat menggunakan tindakan CAPTCHA aturan untuk memeriksa, seperti yang dijelaskan dalam[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md). 

   Penambahan paket perlindungan (web ACL) memverifikasi bahwa permintaan yang masuk ke titik akhir yang dilindungi menyertakan token yang telah Anda peroleh dalam integrasi klien Anda. Permintaan yang menyertakan token CAPTCHA yang valid dan belum kedaluwarsa lulus inspeksi tindakan CAPTCHA aturan dan tidak menghadirkan teka-teki CAPTCHA lain kepada pengguna akhir Anda. 

Setelah menerapkan JavaScript API, Anda dapat meninjau CloudWatch metrik untuk upaya dan solusi teka-teki CAPTCHA. Untuk detail metrik dan dimensi, lihat[Metrik dan dimensi akun](waf-metrics.md#waf-metrics-account).

**Topics**
+ [Spesifikasi CAPTCHA API JavaScript](waf-js-captcha-api-specification.md)
+ [Cara membuat teka-teki CAPTCHA](waf-js-captcha-api-render.md)
+ [Menangani respons CAPTCHA dari AWS WAF](waf-js-captcha-api-conditional.md)
+ [Mengelola kunci API untuk JS CAPTCHA API](waf-js-captcha-api-key.md)

# Spesifikasi CAPTCHA API JavaScript
<a name="waf-js-captcha-api-specification"></a>

Bagian ini mencantumkan spesifikasi untuk metode dan properti JavaScript APIs CAPTCHA. Gunakan CAPTCHA JavaScript APIs untuk menjalankan teka-teki CAPTCHA khusus di aplikasi klien Anda. 

API ini dibangun di atas ancaman cerdas APIs, yang Anda gunakan untuk mengonfigurasi dan mengelola akuisisi dan penggunaan AWS WAF token. Lihat[Spesifikasi API ancaman cerdas](waf-js-challenge-api-specification.md).

**`AwsWafCaptcha.renderCaptcha(container, configuration)`**  
Menyajikan teka-teki AWS WAF CAPTCHA kepada pengguna akhir dan, setelah berhasil, memperbarui token klien dengan validasi CAPTCHA. Ini hanya tersedia dengan integrasi CAPTCHA. Gunakan panggilan ini bersama dengan ancaman cerdas APIs untuk mengelola pengambilan token dan untuk memberikan token dalam `fetch` panggilan Anda. Lihat ancaman cerdas APIs di[Spesifikasi API ancaman cerdas](waf-js-challenge-api-specification.md).  
Berbeda dengan pengantara CAPTCHA yang AWS WAF mengirim, teka-teki CAPTCHA yang diberikan oleh metode ini menampilkan teka-teki segera, tanpa layar judul awal.     
**`container`**  
`Element`Objek untuk elemen kontainer target pada halaman. Ini biasanya diambil dengan menelepon `document.getElementById()` atau`document.querySelector()`.  
Wajib: Ya  
Tipe: `Element`  
**konfigurasi**  
Objek yang berisi pengaturan konfigurasi CAPTCHA, sebagai berikut: ****    
**`apiKey`**   
Kunci API terenkripsi yang memungkinkan izin untuk domain klien. Gunakan AWS WAF konsol untuk membuat kunci API Anda untuk domain klien Anda. Anda dapat menggunakan satu kunci hingga lima domain. Untuk informasi, lihat [Mengelola kunci API untuk JS CAPTCHA API](waf-js-captcha-api-key.md).   
Wajib: Ya  
Tipe: `string`  
**`onSuccess: (wafToken: string) => void;`**   
Dipanggil dengan AWS WAF token yang valid ketika pengguna akhir berhasil menyelesaikan teka-teki CAPTCHA. Gunakan token dalam permintaan yang Anda kirim ke titik akhir yang Anda lindungi dengan paket AWS WAF perlindungan (web ACL). Token memberikan bukti dan stempel waktu penyelesaian teka-teki terbaru yang berhasil.   
Wajib: Ya  
**`onError?: (error: CaptchaError) => void;`**   
Dipanggil dengan objek kesalahan ketika terjadi kesalahan selama operasi CAPTCHA.   
Wajib: Tidak  
**`CaptchaError`definisi kelas** - `onError` Handler menyediakan jenis kesalahan dengan definisi kelas berikut.   

```
CaptchaError extends Error {
    kind: "internal_error" | "network_error" | "token_error" | "client_error";
    statusCode?: number;
}
```
+ `kind`— Jenis kesalahan yang dikembalikan. 
+ `statusCode`— Kode status HTTP, jika tersedia. Ini digunakan oleh `network_error` jika kesalahan disebabkan oleh kesalahan HTTP.  
**`onLoad?: () => void;`**   
Dipanggil ketika teka-teki CAPTCHA baru dimuat.  
Wajib: Tidak  
**`onPuzzleTimeout?: () => void;`**   
Dipanggil ketika teka-teki CAPTCHA tidak selesai sebelum kedaluwarsa.  
Wajib: Tidak  
**`onPuzzleCorrect?: () => void;`**   
Dipanggil ketika jawaban yang benar diberikan untuk teka-teki CAPTCHA.  
Wajib: Tidak  
**`onPuzzleIncorrect?: () => void;`**   
Dipanggil ketika jawaban yang salah diberikan untuk teka-teki CAPTCHA.  
Wajib: Tidak  
**`defaultLocale`**   
Lokal default yang digunakan untuk teka-teki CAPTCHA. Instruksi tertulis untuk teka-teki CAPTCHA tersedia dalam bahasa Arab (ar-sa), bahasa Mandarin sederhana (Zh-CN), Belanda (nl-NL), Inggris (en-US), Prancis (fr-Fr), Jerman (de-DE), Italia (IT-it), Jepang (Ja-jp), Portugis Brasil (Pt-BR), Spanyol (es-ES), dan Turki (Tr-tr). Instruksi audio tersedia untuk semua bahasa tertulis kecuali bahasa Mandarin dan Jepang, yang default ke bahasa Inggris. Untuk mengubah bahasa default, berikan bahasa internasional dan kode lokal, misalnya,`ar-SA`.  
Default: Bahasa yang saat ini digunakan di browser pengguna akhir  
Wajib: Tidak  
Tipe: `string`  
**`disableLanguageSelector`**   
Jika diatur ke`true`, teka-teki CAPTCHA menyembunyikan pemilih bahasa.   
Default: `false`  
Wajib: Tidak  
Tipe: `boolean`  
**`dynamicWidth`**   
Jika diatur ke`true`, teka-teki CAPTCHA mengubah lebar untuk kompatibilitas dengan lebar jendela browser.   
Default: `false`  
Wajib: Tidak  
Tipe: `boolean`  
**`skipTitle`**   
Jika diatur ke`true`, teka-teki CAPTCHA tidak menampilkan judul puzzle **Pecahkan teka-teki.**   
Default: `false`  
Wajib: Tidak  
Tipe: `boolean`

# Cara membuat teka-teki CAPTCHA
<a name="waf-js-captcha-api-render"></a>

Bagian ini memberikan contoh `renderCaptcha` implementasi.

Anda dapat menggunakan AWS WAF `renderCaptcha` panggilan di mana Anda ingin di antarmuka klien Anda. Panggilan mengambil teka-teki CAPTCHA dari AWS WAF, merendernya, dan mengirimkan hasilnya untuk verifikasi. AWS WAF Saat Anda melakukan panggilan, Anda menyediakan konfigurasi rendering teka-teki dan panggilan balik yang ingin Anda jalankan saat pengguna akhir menyelesaikan teka-teki. Untuk detail tentang opsi, lihat bagian sebelumnya,. [Spesifikasi CAPTCHA API JavaScript](waf-js-captcha-api-specification.md)

Gunakan panggilan ini bersama dengan fungsionalitas manajemen token dari integrasi APIs ancaman cerdas. Panggilan ini memberi klien Anda token yang memverifikasi keberhasilan penyelesaian teka-teki CAPTCHA. Gunakan integrasi ancaman cerdas APIs untuk mengelola token dan untuk menyediakan token dalam panggilan klien Anda ke titik akhir yang dilindungi dengan paket AWS WAF perlindungan (web ACLs). Untuk informasi tentang ancaman cerdas APIs, lihat[Menggunakan JavaScript API ancaman cerdas](waf-js-challenge-api.md).

**Contoh implementasi**  
Daftar contoh berikut menunjukkan implementasi CAPTCHA standar, termasuk penempatan URL AWS WAF integrasi di bagian`<head>`. 

Daftar ini mengonfigurasi `renderCaptcha` fungsi dengan callback sukses yang menggunakan `AwsWafIntegration.fetch` pembungkus integrasi ancaman cerdas. APIs Untuk informasi tentang fungsi ini, lihat[Cara menggunakan `fetch` pembungkus integrasi](waf-js-challenge-api-fetch-wrapper.md).

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Captcha completed. wafToken contains a valid WAF token. Store it for
        // use later or call AwsWafIntegration.fetch() to use it easily.
        // It will expire after a time, so calling AwsWafIntegration.getToken()
        // again is advised if the token is needed later on, outside of using the
        // fetch wrapper.
        
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            headers: {
                "Content-Type": "application/json",
            },
            body: "{ ... }" /* body content */
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Contoh pengaturan konfigurasi**  
Contoh daftar berikut menunjukkan `renderCaptcha` dengan pengaturan non-default untuk lebar dan pilihan judul. 

```
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            dynamicWidth: true, 
            skipTitle: true
        });
```

Untuk informasi selengkapnya tentang opsi konfigurasi, lihat[Spesifikasi CAPTCHA API JavaScript](waf-js-captcha-api-specification.md).

# Menangani respons CAPTCHA dari AWS WAF
<a name="waf-js-captcha-api-conditional"></a>

Bagian ini memberikan contoh penanganan respons CAPTCHA.

 AWS WAF Aturan dengan CAPTCHA tindakan menghentikan evaluasi permintaan web yang cocok jika permintaan tidak memiliki token dengan stempel waktu CAPTCHA yang valid. Jika permintaan adalah `GET` text/html panggilan, CAPTCHA tindakan kemudian melayani klien pengantara dengan teka-teki CAPTCHA. Ketika Anda tidak mengintegrasikan CAPTCHA JavaScript API, pengantara menjalankan teka-teki dan, jika pengguna akhir berhasil menyelesaikannya, secara otomatis mengirimkan kembali permintaan. 

Saat Anda mengintegrasikan CAPTCHA JavaScript API dan menyesuaikan penanganan CAPTCHA Anda, Anda perlu mendeteksi respons CAPTCHA yang mengakhiri, menyajikan CAPTCHA kustom Anda, dan kemudian jika pengguna akhir berhasil memecahkan teka-teki, kirimkan kembali permintaan web klien. 

Contoh kode berikut ini menunjukkan cara untuk melakukannya. 

**catatan**  
Respons AWS WAF CAPTCHA tindakan memiliki kode status HTTP 405, yang kami gunakan untuk mengenali CAPTCHA respons dalam kode ini. Jika titik akhir Anda yang dilindungi menggunakan kode status HTTP 405 untuk mengkomunikasikan jenis respons lain untuk panggilan yang sama, kode contoh ini akan membuat teka-teki CAPTCHA untuk tanggapan tersebut juga. 

```
<!DOCTYPE html>
<html>
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>
<body>
    <div id="my-captcha-box"></div>
    <div id="my-output-box"></div>

    <script type="text/javascript">
    async function loadData() {
        // Attempt to fetch a resource that's configured to trigger a CAPTCHA
        // action if the rule matches. The CAPTCHA response has status=HTTP 405.
        const result = await AwsWafIntegration.fetch("/protected-resource");

        // If the action was CAPTCHA, render the CAPTCHA and return

        // NOTE: If the endpoint you're calling in the fetch call responds with HTTP 405
        // as an expected response status code, then this check won't be able to tell the
        // difference between that and the CAPTCHA rule action response.

        if (result.status === 405) {
            const container = document.querySelector("#my-captcha-box");
            AwsWafCaptcha.renderCaptcha(container, {
                apiKey: "...API key goes here...",
                onSuccess() {
                    // Try loading again, now that there is a valid CAPTCHA token
                    loadData();
                },
            });
            return;
        }

        const container = document.querySelector("#my-output-box");
        const response = await result.text();
        container.innerHTML = response;
    }

    window.addEventListener("load", () => {
        loadData();
    });
    </script>
</body>
</html>
```

# Mengelola kunci API untuk JS CAPTCHA API
<a name="waf-js-captcha-api-key"></a>

Bagian ini memberikan petunjuk untuk membuat dan menghapus kunci API.

Untuk mengintegrasikan AWS WAF CAPTCHA ke dalam aplikasi klien dengan JavaScript API, Anda memerlukan tag integrasi JavaScript API dan kunci API terenkripsi untuk domain klien tempat Anda ingin menjalankan teka-teki CAPTCHA Anda. 

Integrasi aplikasi CAPTCHA untuk JavaScript menggunakan kunci API terenkripsi untuk memverifikasi bahwa domain aplikasi klien memiliki izin untuk menggunakan CAPTCHA API. AWS WAF Ketika Anda memanggil CAPTCHA API dari JavaScript klien Anda, Anda menyediakan kunci API dengan daftar domain yang menyertakan domain untuk klien saat ini. Anda dapat mencantumkan hingga 5 domain dalam satu kunci terenkripsi. 

**Persyaratan kunci API**  
Kunci API yang Anda gunakan dalam integrasi CAPTCHA harus berisi domain yang berlaku untuk klien tempat Anda menggunakan kunci tersebut. 
+ Jika Anda menentukan a `window.awsWafCookieDomainList` dalam integrasi ancaman cerdas klien Anda, maka setidaknya satu domain dalam kunci API Anda harus sama persis dengan salah satu domain token di dalamnya `window.awsWafCookieDomainList` atau domain tersebut harus menjadi domain puncak dari salah satu domain token tersebut. 

  Misalnya, untuk domain token`mySubdomain.myApex.com`, kunci `mySubdomain.myApex.com` API sama persis dan kunci API `myApex.com` adalah domain apex. Salah satu kunci cocok dengan domain token. 

  Untuk informasi tentang pengaturan daftar domain token, lihat[Menyediakan domain untuk digunakan dalam token](waf-js-challenge-api-set-token-domain.md).
+ Jika tidak, domain saat ini harus terkandung dalam kunci API. Domain saat ini adalah domain yang dapat Anda lihat di bilah alamat browser. 

Domain yang Anda gunakan haruslah yang AWS WAF akan menerima, berdasarkan domain host yang dilindungi dan daftar domain token yang dikonfigurasi untuk ACL web. Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).

**Cara memilih Region untuk kunci API Anda**  
AWS WAF dapat menghasilkan kunci API CAPTCHA di Wilayah mana pun yang AWS WAF tersedia. 

Sebagai aturan umum, Anda harus menggunakan Region yang sama untuk kunci API CAPTCHA Anda seperti yang Anda gunakan untuk paket perlindungan Anda (web ACL). Namun, jika Anda mengharapkan audiens global untuk paket perlindungan regional (web ACL), Anda dapat memperoleh tag JavaScript integrasi CAPTCHA yang dicakup CloudFront dan kunci API yang dicakup CloudFront, dan menggunakannya dengan paket perlindungan regional (web ACL). Pendekatan ini memungkinkan klien memuat teka-teki CAPTCHA dari Wilayah yang paling dekat dengan mereka, yang mengurangi latensi. 

Kunci API CAPTCHA yang dicakup ke Wilayah selain tidak didukung untuk digunakan CloudFront di beberapa Wilayah. Mereka hanya dapat digunakan di Wilayah yang mereka cakupkan. 

**Untuk menghasilkan kunci API untuk domain klien Anda**  
Untuk mendapatkan URL integrasi dan menghasilkan serta mengambil kunci API melalui konsol. 

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Integrasi aplikasi**. 

1. Di panel, **paket perlindungan (web ACLs) yang diaktifkan untuk integrasi aplikasi**, pilih Wilayah yang ingin Anda gunakan untuk kunci API Anda. Anda juga dapat memilih Wilayah di panel **kunci API** pada tab integrasi **CAPTCHA**.

1. Pilih tab Integrasi **CAPTCHA**. Tab ini menyediakan tag JavaScript integrasi CAPTCHA, yang dapat Anda gunakan dalam integrasi Anda, dan daftar kunci API. Keduanya tercakup ke Wilayah yang dipilih.

1. Di panel **kunci API**, pilih **Generate key**. Dialog generasi kunci muncul. 

1. Masukkan domain klien yang ingin Anda sertakan dalam kunci. Anda dapat memasukkan hingga 5. Setelah selesai, pilih **Generate key**. Antarmuka kembali ke tab integrasi CAPTCHA, di mana kunci baru Anda terdaftar. 

   Setelah dibuat, kunci API tidak dapat diubah. Jika Anda perlu membuat perubahan pada kunci, buat kunci baru dan gunakan itu sebagai gantinya. 

1. (Opsional) Salin kunci yang baru dibuat untuk digunakan dalam integrasi Anda. 

Anda juga dapat menggunakan REST APIs atau salah satu bahasa khusus AWS SDKs untuk pekerjaan ini. Panggilan REST API adalah [Create APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateAPIKey.html) and [List APIKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListAPIKeys.html). 

**Untuk menghapus kunci API**  
Untuk menghapus kunci API, Anda harus menggunakan REST API atau salah satu bahasa khusus AWS SDKs. Panggilan REST API adalah [Delete APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteAPIKey.html). Anda tidak dapat menggunakan konsol untuk menghapus kunci. 

Setelah Anda menghapus kunci, diperlukan waktu hingga 24 jam AWS WAF untuk melarang penggunaan kunci di semua wilayah. 

# AWS WAF integrasi aplikasi seluler
<a name="waf-mobile-sdk"></a>

Bagian ini memperkenalkan topik penggunaan AWS WAF ponsel SDKs untuk menerapkan integrasi ancaman AWS WAF cerdas SDKs untuk aplikasi seluler dan TV Android dan iOS. Untuk aplikasi TV, ini SDKs kompatibel dengan platform TV pintar utama, termasuk Android TV dan Apple TV.
+ Untuk aplikasi seluler dan TV Android, SDKs berfungsi untuk Android API versi 23 (Android versi 6) dan yang lebih baru. Untuk informasi tentang versi Android, lihat [catatan rilis SDK Platform](https://developer.android.com/tools/releases/platforms).
+ Untuk aplikasi seluler iOS, SDKs berfungsi untuk iOS versi 13 dan yang lebih baru. Untuk informasi tentang versi iOS, lihat Catatan [Rilis iOS & iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Untuk aplikasi Apple TV, SDKs berfungsi untuk tvOS versi 14 atau yang lebih baru. Untuk informasi tentang versi tvOS, lihat Catatan Rilis [tvOS](https://developer.apple.com/documentation/tvos-release-notes).

Dengan AWS WAF SDK seluler, Anda dapat mengelola otorisasi token, dan menyertakan token dalam permintaan yang Anda kirim ke sumber daya yang dilindungi. Dengan menggunakan SDKs, Anda memastikan bahwa panggilan prosedur jarak jauh ini oleh klien Anda berisi token yang valid. Selain itu, ketika integrasi ini diterapkan pada halaman aplikasi Anda, Anda dapat menerapkan aturan mitigasi dalam paket perlindungan Anda (web ACL), seperti memblokir permintaan yang tidak berisi token yang valid.

Untuk akses ke ponsel SDKs, hubungi dukungan di [Kontak AWS](https://aws.amazon.com/contact-us).

**catatan**  
 AWS WAF Ponsel SDKs tidak tersedia untuk kustomisasi CAPTCHA.

Pendekatan dasar untuk menggunakan SDK adalah membuat penyedia token menggunakan objek konfigurasi, kemudian menggunakan penyedia token untuk mengambil token dari. AWS WAF Secara default, penyedia token menyertakan token yang diambil dalam permintaan web Anda ke sumber daya yang dilindungi. 

Berikut ini adalah sebagian daftar implementasi SDK, yang menunjukkan komponen utama. Untuk contoh lebih detail, lihat [Contoh kode untuk SDK AWS WAF seluler](waf-mobile-sdk-coding-examples.md).

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
	let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
	let tokenProvider = WAFTokenProvider(configuration)
	let token = tokenProvider.getToken()
```

------
#### [ Android ]

```
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");
	String domainName = "Domain name";
	WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
	WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);
	WAFToken token = tokenProvider.getToken();
```

------

# Menginstal SDK AWS WAF seluler
<a name="waf-mobile-sdk-installing"></a>

Bagian ini memberikan instruksi untuk menginstal SDK AWS WAF seluler.

Untuk akses ke ponsel SDKs, hubungi dukungan di [Kontak AWS](https://aws.amazon.com/contact-us).

Terapkan SDK seluler terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

**Untuk menginstal SDK AWS WAF seluler**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **Integrasi aplikasi**. 

1. Di tab **Integrasi ancaman cerdas**, lakukan hal berikut: 

   1. Dalam **paket perlindungan panel (web ACLs) yang diaktifkan untuk integrasi aplikasi**, cari paket perlindungan (web ACL) yang Anda integrasikan. Salin dan simpan URL integrasi paket perlindungan (web ACL) untuk digunakan dalam implementasi Anda. Anda juga dapat memperoleh URL ini melalui panggilan API`GetWebACL`.

   1. Pilih jenis dan versi perangkat seluler, lalu pilih **Unduh**. Anda dapat memilih versi apa pun yang Anda suka, tetapi kami sarankan menggunakan versi terbaru. AWS WAF mengunduh `zip` file untuk perangkat Anda ke lokasi unduhan standar Anda.

1. Di lingkungan pengembangan aplikasi Anda, unzip file ke lokasi kerja pilihan Anda. Di direktori tingkat atas file zip, cari dan buka file. `README` Ikuti petunjuk dalam `README` file untuk menginstal SDK AWS WAF seluler untuk digunakan dalam kode aplikasi seluler Anda. 

1. Program aplikasi Anda sesuai dengan panduan di bagian berikut.

# AWS WAF spesifikasi SDK seluler
<a name="waf-mobile-sdk-specification"></a>

Bagian ini mencantumkan objek SDK, operasi, dan pengaturan konfigurasi untuk versi SDK AWS WAF seluler terbaru yang tersedia. Untuk informasi terperinci tentang cara kerja penyedia token dan operasi untuk berbagai kombinasi pengaturan konfigurasi, lihat[Cara kerja SDK AWS WAF seluler](waf-mobile-sdk-how-it-works.md). 

**`WAFToken`**  
Memegang AWS WAF token.    
**`getValue()`**  
Mengambil `String` representasi dari. `WAFToken` 

**`WAFTokenProvider`**  
Mengelola token di aplikasi seluler Anda. Menerapkan ini menggunakan `WAFConfiguration` objek.    
**`getToken()`**  
Jika penyegaran latar belakang diaktifkan, ini mengembalikan token yang di-cache. Jika penyegaran latar belakang dinonaktifkan, ini membuat panggilan pemblokiran sinkron AWS WAF untuk mengambil token baru.   
**`loadTokenIntoProvider(WAFToken)`**  
Memuat token yang ditentukan ke dalam`WAFTokenProvider`, menggantikan token apa pun yang dikelola penyedia. Penyedia token mengambil kepemilikan token baru dan menangani penyegarannya ke depan. Operasi ini juga memperbarui token di toko cookie, jika `setTokenCookie` diaktifkan di`WAFConfiguration`.  
**`onTokenReady(WAFTokenResultCallback)`**  
Menginstruksikan penyedia token untuk me-refresh token dan memanggil panggilan balik yang disediakan saat token aktif siap. Penyedia token akan memanggil panggilan balik Anda di utas latar belakang saat token di-cache dan siap. Panggil ini saat aplikasi Anda pertama kali dimuat dan juga saat kembali ke status aktif. Untuk informasi selengkapnya tentang kembali ke status aktif, lihat[Mengambil token setelah aplikasi tidak aktif](waf-mobile-sdk-how-it-works.md#waf-mobile-sdk-how-back-from-inactive).   
Untuk aplikasi Android atau iOS, Anda dapat mengatur `WAFTokenResultCallback` ke operasi yang ingin dijalankan oleh penyedia token saat token yang diminta sudah siap. Implementasi Anda `WAFTokenResultCallback` harus mengambil parameter`WAFToken`,`SdkError`. Untuk aplikasi iOS, Anda dapat membuat fungsi inline secara bergantian.   
**`storeTokenInCookieStorage(WAFToken)`**  
Menginstruksikan `WAFTokenProvider` untuk menyimpan AWS WAF token yang ditentukan ke dalam manajer cookie SDK. Secara default, token hanya ditambahkan ke toko cookie saat pertama kali diperoleh dan saat di-refresh. Jika aplikasi menghapus penyimpanan cookie bersama karena alasan apa pun, SDK tidak secara otomatis menambahkan AWS WAF token kembali hingga penyegaran berikutnya. 

**`WAFConfiguration`**  
Memegang konfigurasi untuk implementasi`WAFTokenProvider`. Saat menerapkan ini, Anda memberikan URL integrasi paket perlindungan (web ACL), nama domain yang akan digunakan dalam token, dan pengaturan non-default apa pun yang ingin digunakan oleh penyedia token.   
Daftar berikut menentukan pengaturan konfigurasi yang dapat Anda kelola dalam `WAFConfiguration` objek.    
**`applicationIntegrationUrl`**   
URL integrasi aplikasi. Dapatkan ini dari AWS WAF konsol atau melalui panggilan `getWebACL` API.  
Wajib: Ya  
Jenis: URL khusus aplikasi. Untuk iOS, lihat [URL iOS](https://developer.apple.com/documentation/foundation/url). Untuk Android, lihat URL [java.net](https://docs.oracle.com/javase/7/docs/api/java/net/URL.html).   
**`backgroundRefreshEnabled`**   
Menunjukkan apakah Anda ingin penyedia token menyegarkan token di latar belakang. Jika Anda menyetel ini, penyedia token akan menyegarkan token Anda di latar belakang sesuai dengan pengaturan konfigurasi yang mengatur aktivitas penyegaran token otomatis.   
Wajib: Tidak  
Tipe: `Boolean`  
Nilai default: `TRUE`  
**`domainName`**   
Domain yang akan digunakan dalam token, yang digunakan dalam akuisisi token dan penyimpanan cookie. Misalnya, `example.com` atau `aws.amazon.com`. Ini biasanya domain host dari sumber daya Anda yang terkait dengan paket perlindungan (web ACL), tempat Anda akan mengirim permintaan web. Untuk grup aturan terkelola ACFP`AWSManagedRulesACFPRuleSet`, ini biasanya akan menjadi domain tunggal yang cocok dengan domain di jalur pembuatan akun yang Anda berikan dalam konfigurasi grup aturan. Untuk grup aturan terkelola ATP`AWSManagedRulesATPRuleSet`, ini biasanya akan menjadi domain tunggal yang cocok dengan domain di jalur login yang Anda berikan dalam konfigurasi grup aturan.   
Sufiks publik tidak diizinkan. Misalnya, Anda tidak dapat menggunakan `gov.au` atau `co.uk` sebagai domain token.  
Domain harus menjadi salah satu yang AWS WAF akan menerima, berdasarkan domain host yang dilindungi dan daftar domain token paket perlindungan (web ACL). Untuk informasi selengkapnya, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists).  
Wajib: Ya  
Tipe: `String`   
**`maxErrorTokenRefreshDelayMsec`**   
Waktu maksimum dalam milidetik untuk menunggu sebelum mengulangi penyegaran token setelah upaya gagal. Untuk setiap percobaan ulang otomatis untuk upaya yang gagal, itu akan menambahkan cadangan eksponensial hingga waktu tunda input yang diberikan. Nilai ini digunakan setelah pengambilan token gagal dan berulang kali dicoba`maxRetryCount`.   
Wajib: Tidak  
Tipe: `Integer`  
Nilai default: `5000` (5 detik)  
Nilai minimum yang diizinkan: `1` (1 milidetik)  
Nilai maksimum yang diizinkan: `30000` (30 detik)  
**`maxRetryCount`**   
Jumlah maksimum percobaan ulang untuk dilakukan dengan backoff eksponensial ketika token diminta.   
Wajib: Tidak  
Tipe: `Integer`  
Nilai default: `Infinity`  
Nilai minimum yang diizinkan: `0`  
Nilai maksimum yang diizinkan: `100`  
**`setTokenCookie`**   
Menunjukkan apakah Anda ingin pengelola cookie SDK menambahkan cookie token ke dalam permintaan dan di area lain.   
Dengan `TRUE` nilai:   
+ Manajer cookie menambahkan cookie token ke semua permintaan yang jalurnya berada di bawah jalur yang ditentukan dalam`tokenCookiePath`. 
+ `WAFTokenProvider`Operasi `loadTokenIntoProvider()` memperbarui token di toko cookie, selain memuatnya ke penyedia token.
Wajib: Tidak  
Tipe: `Boolean`  
Nilai default: `TRUE`  
**`tokenCookiePath`**   
Digunakan kapan `setTokenCookie``TRUE`. Menunjukkan jalur tingkat atas tempat Anda ingin pengelola cookie SDK menambahkan cookie token. Manajer menambahkan cookie token ke semua permintaan yang Anda kirim ke jalur ini dan ke semua jalur anak.   
Misalnya, jika Anda menyetel ini`/web/login`, maka manajer menyertakan cookie token untuk semua yang dikirim ke `/web/login` dan jalur turunannya, seperti`/web/login/help`. Itu tidak termasuk token untuk permintaan yang dikirim ke jalur lain, seperti`/`,`/web`, atau`/web/order`.   
Wajib: Tidak  
Tipe: `String`  
Nilai default: `/`  
**`tokenRefreshDelaySec`**   
Digunakan untuk penyegaran latar belakang. Jumlah waktu maksimum dalam hitungan detik antara token latar belakang menyegarkan.  
Wajib: Tidak  
Tipe: `Integer`  
Nilai default: `88`  
Nilai minimum yang diizinkan: `88`  
Nilai maksimum yang diizinkan: `300` (5 menit)

## AWS WAF kesalahan SDK seluler
<a name="waf-mobile-sdk-errors"></a>

Bagian ini mencantumkan kemungkinan kesalahan untuk versi SDK AWS WAF seluler saat ini.

**`SdkError`**  
Jenis kesalahan dikembalikan saat gagal mengambil token. SDK Android dan iOS memiliki jenis kesalahan yang sama.  
SDK AWS WAF seluler memiliki jenis kesalahan berikut:    
**`invalidChallenge`**  
Kesalahan ini dikembalikan ketika server token mengembalikan data tantangan yang tidak valid, atau gumpalan respons dimutasi oleh penyerang.  
**`errorInvokingGetChallengeEndpoint`**  
Kesalahan ini dikembalikan ketika server token mengirimkan kode respons yang tidak berhasil kembali ke klien atau ketika terjadi kesalahan jaringan.  
**`invalidVerifyChallengeResponse`**  
Kesalahan ini dikembalikan ketika ada kesalahan mengambil `aws-waf-token` dari respons verifikasi AWS WAF server, atau respons server dirusak.  
**`errorInvokingVerifyEndpoint`**  
Kesalahan ini dikembalikan ketika klien menerima respons buruk dari AWS WAF server atau kesalahan jaringan saat memverifikasi tantangan yang diselesaikan.  
**`internalError`**  
Kesalahan ini dikembalikan pada semua kesalahan lain yang mungkin terjadi dalam SDK itu sendiri.

**`socketTimeoutException`**  
Kesalahan ini sering dikembalikan saat mengalami kesalahan jaringan selama pengambilan token.  
Kesalahan ini mungkin disebabkan oleh hal-hal berikut:  
+ Bandwidth jaringan rendah: Konfirmasikan pengaturan konektivitas jaringan Anda
+ URL Integrasi Aplikasi Bermutasi: Konfirmasikan bahwa URL integrasi tidak dimodifikasi dari apa yang muncul di konsol AWS WAF 

# Cara kerja SDK AWS WAF seluler
<a name="waf-mobile-sdk-how-it-works"></a>

Bagian ini menjelaskan bagaimana kelas, properti, dan operasi SDK AWS WAF seluler bekerja sama.

Ponsel SDKs memberi Anda penyedia token yang dapat dikonfigurasi yang dapat Anda gunakan untuk pengambilan dan penggunaan token. Penyedia token memverifikasi bahwa permintaan yang Anda izinkan berasal dari pelanggan yang sah. Saat Anda mengirim permintaan ke AWS sumber daya yang Anda lindungi AWS WAF, Anda menyertakan token dalam cookie, untuk memvalidasi permintaan tersebut. Anda dapat menangani cookie token secara manual atau meminta penyedia token melakukannya untuk Anda.

Bagian ini mencakup interaksi antara kelas, properti, dan metode yang disertakan dalam SDK seluler. Untuk spesifikasi SDK, lihat[AWS WAF spesifikasi SDK seluler](waf-mobile-sdk-specification.md). 

## Pengambilan dan caching token
<a name="waf-mobile-sdk-how-token-basics"></a>

Saat membuat instance penyedia token di aplikasi seluler, Anda mengonfigurasi cara mengelola token dan pengambilan token. Pilihan utama Anda adalah cara mempertahankan token yang valid dan belum kedaluwarsa untuk digunakan dalam permintaan web aplikasi Anda:
+ **Penyegaran latar belakang diaktifkan** - Ini adalah default. Penyedia token secara otomatis menyegarkan token di latar belakang dan menyimpannya dalam cache. Dengan penyegaran latar belakang diaktifkan, saat Anda menelepon`getToken()`, operasi mengambil token yang di-cache. 

  Penyedia token melakukan penyegaran token pada interval yang dapat dikonfigurasi, sehingga token yang belum kedaluwarsa selalu tersedia di cache saat aplikasi aktif. Penyegaran latar belakang dijeda saat aplikasi Anda dalam keadaan tidak aktif. Untuk informasi tentang ini, lihat[Mengambil token setelah aplikasi tidak aktif](#waf-mobile-sdk-how-back-from-inactive).
+ **Penyegaran latar belakang dinonaktifkan** — Anda dapat menonaktifkan penyegaran token latar belakang, dan kemudian mengambil token hanya sesuai permintaan. Token yang diambil sesuai permintaan tidak di-cache, dan Anda dapat mengambil lebih dari satu jika Anda mau. Setiap token independen dari token lain yang Anda ambil, dan masing-masing memiliki stempel waktu sendiri yang digunakan untuk menghitung kedaluwarsa.

  Anda memiliki pilihan berikut untuk pengambilan token saat penyegaran latar belakang dinonaktifkan: 
  + **`getToken()`**— Saat Anda menelepon `getToken()` dengan penyegaran latar belakang dinonaktifkan, panggilan secara sinkron mengambil token baru dari. AWS WAF Ini adalah panggilan yang berpotensi memblokir yang dapat memengaruhi respons aplikasi jika Anda memanggilnya di utas utama. 
  + **`onTokenReady(WAFTokenResultCallback)`**— Panggilan ini secara asinkron mengambil token baru dan kemudian memanggil panggilan balik hasil yang disediakan di utas latar belakang saat token siap. 

### Bagaimana penyedia token mencoba kembali pengambilan token yang gagal
<a name="waf-mobile-sdk-how-token-retrieval-retries"></a>

Penyedia token secara otomatis mencoba kembali pengambilan token saat pengambilan gagal. Percobaan ulang awalnya dilakukan menggunakan backoff eksponensial dengan waktu tunggu coba lagi mulai 100 ms. Untuk informasi tentang percobaan ulang eksponensial, lihat [Error retries dan](https://docs.aws.amazon.com/general/latest/gr/api-retries.html) exponential backoff di. AWS

Ketika jumlah percobaan ulang mencapai konfigurasi`maxRetryCount`, penyedia token berhenti mencoba atau beralih ke mencoba setiap `maxErrorTokenRefreshDelayMsec` milidetik, tergantung pada jenis pengambilan token: 
+ **`onTokenReady()`**— Penyedia token beralih ke `maxErrorTokenRefreshDelayMsec` milidetik menunggu di antara upaya, dan terus mencoba mengambil token. 
+ **Penyegaran latar belakang** — Penyedia token beralih ke `maxErrorTokenRefreshDelayMsec` milidetik menunggu di antara upaya, dan terus mencoba mengambil token. 
+ **`getToken()`Panggilan sesuai permintaan, saat penyegaran latar belakang dinonaktifkan** — Penyedia token berhenti mencoba mengambil token dan mengembalikan nilai token sebelumnya, atau nilai nol jika tidak ada token sebelumnya. 

## Skenario coba lagi pengambilan token
<a name="waf-mobile-sdk-how-token-retrieval-retry-scenarios"></a>

Ketika penyedia token mencoba mengambil token, itu mungkin mengakibatkan percobaan ulang otomatis tergantung di mana pengambilan token gagal dalam aliran akuisisi token. Bagian ini mencantumkan kemungkinan tempat di mana Anda mungkin melihat percobaan ulang otomatis.
+ **Memperoleh atau memverifikasi AWS WAF Tantangan melalui /input atau/verifikasi:**
  + Ketika permintaan untuk mendapatkan dan memverifikasi AWS WAF tantangan dibuat dan gagal, itu dapat mengakibatkan percobaan ulang otomatis.
  + Anda mungkin mengamati percobaan ulang otomatis terjadi di sini bersama dengan `socketTimeoutException` kesalahan. Ini dapat memiliki beberapa penyebab termasuk:
    + Bandwidth jaringan rendah: Konfirmasikan pengaturan konektivitas jaringan Anda
    + URL Integrasi Aplikasi Bermutasi: Konfirmasikan bahwa URL integrasi tidak dimodifikasi dari apa yang muncul di konsol AWS WAF 
  + Hitungan coba ulang otomatis dapat dikonfigurasi dengan fungsi `maxRetryCount()`
+ **Menyegarkan token:**
  + Ketika permintaan untuk menyegarkan token dibuat melalui penangan token, itu mungkin menghasilkan percobaan ulang otomatis.
  + Hitungan coba ulang otomatis di sini dapat dikonfigurasi dengan fungsi. `maxRetryCount()`

Konfigurasi tanpa percobaan ulang otomatis dimungkinkan dengan pengaturan. `maxRetryCount(0)`

## Waktu kekebalan token dan penyegaran latar belakang
<a name="waf-mobile-sdk-how-token-immunity"></a>

Waktu kekebalan token yang Anda konfigurasikan di ACL Web tidak tergantung pada interval penyegaran token yang Anda tetapkan di SDK AWS WAF seluler. Saat Anda mengaktifkan penyegaran latar belakang, SDK akan menyegarkan token pada interval yang Anda tentukan. `tokenRefreshDelaySec()` Ini dapat menghasilkan beberapa token valid yang ada secara bersamaan, tergantung pada waktu kekebalan Anda yang dikonfigurasi.

Untuk mencegah beberapa token yang valid, Anda dapat menonaktifkan penyegaran latar belakang dan menggunakan `getToken()` fungsi untuk mengelola siklus hidup token di aplikasi seluler Anda.

## Mengambil token setelah aplikasi tidak aktif
<a name="waf-mobile-sdk-how-back-from-inactive"></a>

Penyegaran latar belakang hanya dilakukan saat aplikasi Anda dianggap aktif untuk jenis aplikasi Anda: 
+ **iOS** — Penyegaran latar belakang dilakukan saat aplikasi berada di latar depan.
+ **Android** — Penyegaran latar belakang dilakukan saat aplikasi tidak ditutup, baik itu di latar depan atau latar belakang.

Jika aplikasi Anda tetap dalam status apa pun yang tidak mendukung penyegaran latar belakang lebih lama dari `tokenRefreshDelaySec` detik yang dikonfigurasi, penyedia token akan menghentikan penyegaran latar belakang. Misalnya, untuk aplikasi iOS, jika `tokenRefreshDelaySec` 300 dan aplikasi ditutup atau masuk ke latar belakang selama lebih dari 300 detik, penyedia token berhenti menyegarkan token. Saat aplikasi kembali ke status aktif, penyedia token secara otomatis memulai ulang penyegaran latar belakang. 

Saat aplikasi Anda kembali ke status aktif, hubungi `onTokenReady()` agar Anda dapat diberi tahu saat penyedia token telah mengambil dan menyimpan token baru dalam cache. Jangan hanya menelepon`getToken()`, karena cache mungkin belum berisi token yang valid saat ini. 

## URL Integrasi Aplikasi
<a name="waf-mobile-sdk-application-integration-url"></a>

URL integrasi aplikasi SDK AWS WAF seluler menunjuk ke ACL Web yang telah Anda aktifkan untuk integrasi aplikasi. URL ini merutekan permintaan ke server backend yang benar dan mengaitkannya dengan pelanggan Anda. Ini tidak berfungsi sebagai kontrol keamanan yang keras, jadi mengekspos URL integrasi tidak menimbulkan risiko keamanan.

Anda secara teknis dapat memodifikasi URL integrasi yang disediakan dan masih mendapatkan token. Namun, kami tidak merekomendasikan ini karena Anda mungkin kehilangan visibilitas ke tingkat pemecahan tantangan atau mengalami kegagalan pengambilan token dengan `socketTimeoutException` kesalahan.

## Dependensi
<a name="waf-mobile-sdk-dependencies"></a>

Setiap SDK AWS WAF seluler yang dapat diunduh menyertakan file README yang mencantumkan dependensi untuk versi SDK spesifiknya. Lihat README untuk dependensi untuk versi SDK seluler Anda.

## Kekaburan/ (Hanya ProGuard Android SDK)
<a name="waf-mobile-sdk-obfuscation"></a>

Jika Anda menggunakan produk penyamaran atau minifikasi seperti ProGuard, Anda mungkin perlu mengecualikan ruang nama tertentu untuk memastikan SDK seluler berfungsi dengan benar. Periksa README untuk versi SDK seluler Anda untuk menemukan daftar ruang nama dan aturan pengecualian.

# Contoh kode untuk SDK AWS WAF seluler
<a name="waf-mobile-sdk-coding-examples"></a>

Bagian ini memberikan contoh kode untuk menggunakan SDK seluler. 

## Menginisialisasi penyedia token dan mendapatkan token
<a name="waf-mobile-sdk-coding-basic"></a>

Anda memulai instance penyedia token Anda menggunakan objek konfigurasi. Kemudian Anda dapat mengambil token menggunakan operasi yang tersedia. Berikut ini menunjukkan komponen dasar dari kode yang diperlukan.

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
let tokenProvider = WAFTokenProvider(configuration)

//onTokenReady can be add as an observer for UIApplication.willEnterForegroundNotification
self.tokenProvider.onTokenReady() { token, error in
	if let token = token {
	//token available
	}

	if let error = error {
	//error occurred after exhausting all retries
	}
}

//getToken()
let token = tokenProvider.getToken()
```

------
#### [ Android ]

Contoh Java:

```
String applicationIntegrationURL = "protection pack (web ACL) integration URL";
//Or
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");

String domainName = "Domain name";

WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);

// implement a token result callback
WAFTokenResultCallback callback = (wafToken, error) -> {
	if (wafToken != null) {
	// token available
	} else {  
	// error occurred in token refresh  
	}
};

// Add this callback to application creation or activity creation where token will be used
tokenProvider.onTokenReady(callback);

// Once you have token in token result callback
// if background refresh is enabled you can call getToken() from same tokenprovider object
// if background refresh is disabled you can directly call getToken()(blocking call) for new token
WAFToken token = tokenProvider.getToken();
```

Contoh Kotlin:

```
import com.amazonaws.waf.mobilesdk.token.WAFConfiguration
import com.amazonaws.waf.mobilesdk.token.WAFTokenProvider

private lateinit var wafConfiguration: WAFConfiguration
private lateinit var wafTokenProvider: WAFTokenProvider

private val WAF_INTEGRATION_URL = "protection pack (web ACL) integration URL"
private val WAF_DOMAIN_NAME = "Domain name"

fun initWaf() {
	// Initialize the tokenprovider instance
	val applicationIntegrationURL = URL(WAF_INTEGRATION_URL)
	wafConfiguration =
		WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL)
			.domainName(WAF_DOMAIN_NAME).backgroundRefreshEnabled(true).build()
	wafTokenProvider = WAFTokenProvider(getApplication(), wafConfiguration)
	
		// getToken from tokenprovider object
		println("WAF: "+ wafTokenProvider.token.value)
	
		// implement callback for where token will be used
		wafTokenProvider.onTokenReady {
			wafToken, sdkError ->
		run {
			println("WAF Token:" + wafToken.value)
		}
	}
}
```

------

## Mengizinkan SDK menyediakan cookie token dalam permintaan HTTP Anda
<a name="waf-mobile-sdk-coding-auto-token-cookie"></a>

Jika `setTokenCookie` ya`TRUE`, penyedia token menyertakan cookie token untuk Anda dalam permintaan web Anda ke semua lokasi di bawah jalur yang ditentukan`tokenCookiePath`. Secara default, `setTokenCookie` adalah `TRUE` dan `tokenCookiePath` adalah`/`. 

Anda dapat mempersempit cakupan permintaan yang menyertakan cookie token dengan menentukan jalur cookie token, misalnya,`/web/login`. Jika Anda melakukan ini, periksa apakah AWS WAF aturan Anda tidak memeriksa token dalam permintaan yang Anda kirim ke jalur lain. Saat Anda menggunakan grup `AWSManagedRulesACFPRuleSet` aturan, Anda mengonfigurasi jalur pendaftaran dan pembuatan akun, dan grup aturan memeriksa token dalam permintaan yang dikirim ke jalur tersebut. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ACFP ke ACL web Anda](waf-acfp-rg-using.md). Demikian pula, saat Anda menggunakan grup `AWSManagedRulesATPRuleSet` aturan, Anda mengonfigurasi jalur masuk, dan grup aturan memeriksa token dalam permintaan yang dikirim ke jalur tersebut. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola ATP ke paket perlindungan Anda (web ACL)](waf-atp-rg-using.md). 

------
#### [ iOS ]

`setTokenCookie`Kapan`TRUE`, penyedia token menyimpan AWS WAF token dalam a `HTTPCookieStorage.shared` dan secara otomatis menyertakan cookie dalam permintaan ke domain yang Anda tentukan`WAFConfiguration`.

```
let request = URLRequest(url: URL(string: domainEndpointUrl)!)
//The token cookie is set automatically as cookie header
let task = URLSession.shared.dataTask(with: request) { data, urlResponse, error  in
}.resume()
```

------
#### [ Android ]

`setTokenCookie`Kapan`TRUE`, penyedia token menyimpan AWS WAF token dalam `CookieHandler` instance yang dibagikan di seluruh aplikasi. Penyedia token secara otomatis menyertakan cookie dalam permintaan ke domain yang Anda tentukan`WAFConfiguration`.

Contoh Java:

```
URL url = new URL("Domain name");
//The token cookie is set automatically as cookie header
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.getResponseCode();
```

Contoh Kotlin:

```
val url = URL("Domain name")
//The token cookie is set automatically as cookie header
val connection = (url.openConnection() as HttpsURLConnection)
connection.responseCode
```

Jika Anda sudah menginisialisasi instance `CookieHandler` default, penyedia token akan menggunakannya untuk mengelola cookie. Jika tidak, penyedia token akan menginisialisasi `CookieManager` instance baru dengan AWS WAF token `CookiePolicy.ACCEPT_ORIGINAL_SERVER` dan kemudian mengatur instance baru ini sebagai instance default di`CookieHandler`.

Kode berikut menunjukkan cara SDK menginisialisasi pengelola cookie dan penangan cookie saat tidak tersedia di aplikasi Anda. 

Contoh Java:

```
CookieManager cookieManager = (CookieManager) CookieHandler.getDefault();
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = new CookieManager();
	CookieHandler.setDefault(cookieManager);
}
```

Contoh Kotlin:

```
var cookieManager = CookieHandler.getDefault() as? CookieManager
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = CookieManager()
	CookieHandler.setDefault(cookieManager)
}
```

------

## Menyediakan cookie token secara manual dalam permintaan HTTP Anda
<a name="waf-mobile-sdk-coding-manual-token-cookie"></a>

Jika Anda menyetel `setTokenCookie` ke`FALSE`, maka Anda perlu memberikan cookie token secara manual, sebagai header permintaan HTTP Cookie, dalam permintaan Anda ke titik akhir yang dilindungi. Kode berikut menunjukkan bagaimana melakukan ini.

------
#### [ iOS ]

```
var request = URLRequest(url: wafProtectedEndpoint)
request.setValue("aws-waf-token=token from token provider", forHTTPHeaderField: "Cookie")
request.httpShouldHandleCookies = true
URLSession.shared.dataTask(with: request) { data, response, error in }
```

------
#### [ Android ]

Contoh Java:

```
URL url = new URL("Domain name");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
String wafTokenCookie = "aws-waf-token=token from token provider";
connection.setRequestProperty("Cookie", wafTokenCookie);
connection.getInputStream();
```

Contoh Kotlin:

```
val url = URL("Domain name")
val connection = (url.openConnection() as HttpsURLConnection)
val wafTokenCookie = "aws-waf-token=token from token provider"
connection.setRequestProperty("Cookie", wafTokenCookie)
connection.inputStream
```

------

# CAPTCHAdan Challenge di AWS WAF
<a name="waf-captcha-and-challenge"></a>

Bagian ini menjelaskan bagaimana CAPTCHA dan Challenge bekerja dengan AWS WAF.

Anda dapat mengonfigurasi AWS WAF aturan untuk menjalankan Challenge tindakan CAPTCHA atau terhadap permintaan web yang sesuai dengan kriteria pemeriksaan aturan Anda. Anda juga dapat memprogram aplikasi JavaScript klien Anda untuk menjalankan teka-teki CAPTCHA dan tantangan browser secara lokal. 

Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token. 
+ **CAPTCHA**— Membutuhkan pengguna akhir untuk memecahkan teka-teki CAPTCHA untuk membuktikan bahwa manusia mengirim permintaan. Teka-teki CAPTCHA dimaksudkan untuk menjadi cukup mudah dan cepat bagi manusia untuk menyelesaikan dengan sukses dan sulit bagi komputer untuk menyelesaikan dengan sukses atau secara acak menyelesaikan dengan tingkat keberhasilan yang berarti. 

  Dalam aturan paket perlindungan (web ACL), CAPTCHA biasanya digunakan ketika suatu Block tindakan akan menghentikan terlalu banyak permintaan yang sah, tetapi membiarkan semua lalu lintas lewat akan menghasilkan tingkat permintaan yang tidak diinginkan yang sangat tinggi, seperti dari bot. Untuk informasi tentang perilaku tindakan aturan, lihat[Bagaimana tindakan AWS WAF CAPTCHA dan Challenge aturan bekerja](waf-captcha-and-challenge-how-it-works.md).

  Anda juga dapat memprogram implementasi teka-teki CAPTCHA dalam integrasi aplikasi klien Anda. APIs Ketika Anda melakukan ini, Anda dapat menyesuaikan perilaku dan penempatan teka-teki dalam aplikasi klien Anda. Untuk informasi selengkapnya, lihat [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). 
+ **Challenge**— Menjalankan tantangan diam yang mengharuskan sesi klien untuk memverifikasi bahwa itu adalah browser, dan bukan bot. Verifikasi berjalan di latar belakang tanpa melibatkan pengguna akhir. Ini adalah opsi yang baik untuk memverifikasi klien yang Anda curigai tidak valid tanpa berdampak negatif pada pengalaman pengguna akhir dengan teka-teki CAPTCHA. Untuk informasi tentang perilaku tindakan aturan, lihat[Bagaimana tindakan AWS WAF CAPTCHA dan Challenge aturan bekerja](waf-captcha-and-challenge-how-it-works.md).

  Tindakan Challenge aturan mirip dengan tantangan yang dijalankan oleh integrasi ancaman cerdas klien APIs, dijelaskan di[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).

**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

Untuk deskripsi semua opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). 

**Topics**
+ [AWS WAF Teka-teki CAPTCHA](waf-captcha-puzzle.md)
+ [Bagaimana tindakan AWS WAF CAPTCHA dan Challenge aturan bekerja](waf-captcha-and-challenge-how-it-works.md)
+ [Praktik terbaik untuk menggunakan CAPTCHA dan Challenge tindakan](waf-captcha-and-challenge-best-practices.md)

# AWS WAF Teka-teki CAPTCHA
<a name="waf-captcha-puzzle"></a>

Bagian ini menjelaskan fitur dan fungsionalitas teka-teki AWS WAF CAPTCHA.

AWS WAF menyediakan fungsionalitas CAPTCHA standar yang menantang pengguna untuk mengonfirmasi bahwa mereka adalah manusia. CAPTCHA adalah singkatan dari Completely Automated Public Turing Test untuk memberitahu komputer dan manusia terpisah. Teka-teki CAPTCHA dirancang untuk memverifikasi bahwa manusia mengirim permintaan dan untuk mencegah aktivitas seperti pengikisan web, isian kredenal, dan spam. Teka-teki CAPTCHA tidak dapat menyingkirkan semua permintaan yang tidak diinginkan. Banyak teka-teki telah dipecahkan menggunakan pembelajaran mesin dan kecerdasan buatan. Dalam upaya untuk menghindari CAPTCHA, beberapa organisasi melengkapi teknik otomatis dengan intervensi manusia. Meskipun demikian, CAPTCHA terus menjadi alat yang berguna untuk mencegah lalu lintas bot yang kurang canggih dan untuk meningkatkan sumber daya yang dibutuhkan untuk operasi skala besar. 

AWS WAF secara acak menghasilkan teka-teki CAPTCHA dan memutarnya untuk memastikan bahwa pengguna disajikan dengan tantangan unik. AWS WAF secara teratur menambahkan jenis dan gaya teka-teki baru agar tetap efektif melawan teknik otomatisasi. Selain teka-teki, skrip AWS WAF CAPTCHA mengumpulkan data tentang klien untuk memastikan bahwa tugas diselesaikan oleh manusia dan untuk mencegah serangan replay. 

Setiap teka-teki CAPTCHA mencakup seperangkat kontrol standar bagi pengguna akhir untuk meminta teka-teki baru, beralih antara teka-teki audio dan visual, mengakses instruksi tambahan, dan mengirimkan solusi teka-teki. Semua teka-teki termasuk dukungan untuk pembaca layar, kontrol keyboard, dan warna yang kontras. 

Teka-teki AWS WAF CAPTCHA memenuhi persyaratan Pedoman Aksesibilitas Konten Web (WCAG). Untuk selengkapnya, lihat [Tinjauan Panduan Aksesibilitas Konten Web (WCAG)](https://www.w3.org/WAI/standards-guidelines/wcag/) di situs web World Wide Web Consortium (W3C).

**Topics**
+ [Dukungan bahasa teka-teki CAPTCHA](waf-captcha-puzzle-language-support.md)
+ [Contoh teka-teki CAPTCHA](waf-captcha-puzzle-examples.md)

# Dukungan bahasa teka-teki CAPTCHA
<a name="waf-captcha-puzzle-language-support"></a>

Bagian ini mencantumkan bahasa apa yang didukung dalam teka-teki AWS WAF CAPTCHA.

Teka-teki CAPTCHA dimulai dengan instruksi tertulis dalam bahasa browser klien atau, jika bahasa browser tidak didukung, dalam bahasa Inggris. Teka-teki ini menyediakan opsi bahasa alternatif melalui menu tarik-turun.

Pengguna dapat beralih ke instruksi audio dengan memilih ikon headphone di bagian bawah halaman. Versi audio teka-teki memberikan instruksi lisan tentang teks yang harus diketik pengguna ke dalam kotak teks, dilapisi oleh kebisingan latar belakang. 

Tabel berikut mencantumkan bahasa yang dapat Anda pilih untuk instruksi tertulis dalam teka-teki CAPTCHA dan dukungan audio untuk setiap pilihan. 


**AWS WAF Teka-teki CAPTCHA mendukung bahasa**  

| Dukungan instruksi tertulis | Kode lokal | Instruksi audio dukungan | 
| --- | --- | --- | 
|  Arab  |  AR-sa  |  Arab  | 
|  Bahasa Mandarin Sederhana  |  Zh-CN  |  Audio dalam bahasa Inggris  | 
|  Bahasa Belanda  |  Nl-NL  |  Bahasa Belanda  | 
|  Bahasa Inggris  |  en-US  |  Bahasa Inggris  | 
|  Prancis  |  FR-fr  |  Bahasa Prancis  | 
|  Bahasa Jerman  |  De-de  |  Bahasa Jerman  | 
|  Bahasa Italia  |  It-itu  |  Bahasa Italia  | 
|  Bahasa Jepang  |  Ja-JP  |  Audio dalam bahasa Inggris  | 
|  Portugis Brasil  |  Pt-BR  |  Portugis Brasil  | 
|  Bahasa Spanyol  |  ES-es  |  Bahasa Spanyol  | 
|  Turki  |  TR-TR  |  Turki  | 

# Contoh teka-teki CAPTCHA
<a name="waf-captcha-puzzle-examples"></a>

Teka-teki CAPTCHA visual yang khas membutuhkan interaksi untuk menunjukkan bahwa pengguna dapat memahami dan berinteraksi dengan satu atau lebih gambar. 

Tangkapan layar berikut menunjukkan contoh teka-teki kisi gambar. Teka-teki ini mengharuskan Anda untuk memilih semua gambar di grid yang menyertakan jenis objek tertentu. 

![\[Layar berisi judul “Mari kita konfirmasikan Anda manusia” dan teks “Pilih semua kursi”. Di bawah teks adalah kotak gambar 3x3, beberapa di antaranya berisi kursi dan lainnya yang berisi benda-benda non-kursi, seperti tempat tidur dan jendela. Di bagian bawah layar terdapat opsi untuk memuat teka-teki yang berbeda, beralih kotak informasi ke dalam dan di luar tampilan, beralih ke teka-teki audio, dan mengubah bahasa. Juga di bagian bawah adalah tombol “Konfirmasi”.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


Teka-teki audio memberikan kebisingan latar belakang yang dilapisi dengan instruksi lisan tentang teks yang harus diketik pengguna ke dalam kotak teks.

Tangkapan layar berikut menunjukkan tampilan untuk pilihan puzzle audio. 

![\[Layar berisi judul “Selesaikan teka-teki” dan teks “Klik putar untuk mendengarkan instruksi”. Di bawah teks adalah gambar yang menunjukkan tombol Putar. Di bawah gambar adalah teks “Keyboard audio toggle: alt + space”. Di bawah ini adalah judul “Masukkan tanggapan Anda” dengan kotak entri teks di bawahnya. Kotak informasi terbuka memiliki teks “Selesaikan dengan mendengarkan rekaman dan mengetik jawaban Anda ke dalam kotak teks.” Di bagian bawah layar terdapat opsi untuk memuat teka-teki yang berbeda, beralih kotak informasi ke dalam dan keluar dari tampilan, dan beralih ke teka-teki visual. Juga di bagian bawah adalah tombol “Kirim”.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# Bagaimana tindakan AWS WAF CAPTCHA dan Challenge aturan bekerja
<a name="waf-captcha-and-challenge-how-it-works"></a>

Bagian ini menjelaskan bagaimana CAPTCHA dan Challenge bekerja.

AWS WAF CAPTCHAdan Challenge merupakan tindakan aturan standar, sehingga relatif mudah diterapkan. Untuk menggunakan salah satu dari mereka, Anda membuat kriteria inspeksi untuk aturan Anda yang mengidentifikasi permintaan yang ingin Anda periksa, lalu tentukan salah satu dari dua tindakan aturan. Untuk informasi umum tentang opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

Selain menerapkan tantangan diam dan teka-teki CAPTCHA dari sisi server, Anda dapat mengintegrasikan tantangan diam dalam aplikasi klien JavaScript iOS dan Android Anda, dan Anda dapat membuat teka-teki CAPTCHA di klien Anda. JavaScript Integrasi ini memungkinkan Anda untuk memberi pengguna akhir Anda kinerja yang lebih baik dan pengalaman teka-teki CAPTCHA, dan mereka dapat mengurangi biaya yang terkait dengan penggunaan tindakan aturan dan kelompok aturan mitigasi ancaman cerdas. Untuk informasi selengkapnya tentang opsi ini, lihat [Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi harga, lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md)
+ [CAPTCHAdan Challenge tindakan dalam log dan metrik](waf-captcha-and-challenge-logs-metrics.md)

# CAPTCHAdan perilaku Challenge tindakan
<a name="waf-captcha-and-challenge-actions"></a>

Bagian ini menjelaskan apa yang dilakukan CAPTCHA dan Challenge tindakan.

Ketika permintaan web cocok dengan kriteria inspeksi aturan dengan CAPTCHA atau Challenge tindakan, AWS WAF menentukan cara menangani permintaan sesuai dengan status token dan konfigurasi waktu imunitasnya. AWS WAF juga mempertimbangkan apakah permintaan dapat menangani teka-teki CAPTCHA atau pengantara skrip tantangan. Script dirancang untuk ditangani sebagai konten HTML, dan mereka hanya dapat ditangani dengan benar oleh klien yang mengharapkan konten HTML. 

**catatan**  
Anda akan dikenakan biaya tambahan ketika Anda menggunakan tindakan CAPTCHA atau Challenge aturan di salah satu aturan Anda atau sebagai penggantian tindakan aturan dalam grup aturan. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Bagaimana tindakan menangani permintaan web**  
AWS WAF menerapkan CAPTCHA atau Challenge tindakan untuk permintaan web sebagai berikut:
+ **Token yang valid** — AWS WAF menangani ini mirip dengan Count tindakan. AWS WAF menerapkan label dan kustomisasi permintaan apa pun yang telah Anda konfigurasikan untuk tindakan aturan, dan kemudian terus mengevaluasi permintaan menggunakan aturan yang tersisa dalam paket perlindungan (web ACL). 
+ **Token yang hilang, tidak valid, atau kedaluwarsa** — AWS WAF menghentikan evaluasi paket perlindungan (web ACL) atas permintaan dan memblokirnya pergi ke tujuan yang dimaksudkan. 

  AWS WAF menghasilkan respons yang dikirim kembali ke klien, sesuai dengan jenis tindakan aturan: 
  + **Challenge**— AWS WAF termasuk yang berikut dalam tanggapan:
    + Header `x-amzn-waf-action` dengan nilai`challenge`.
**catatan**  
Untuk aplikasi Javascript yang berjalan di browser klien, header ini hanya tersedia dalam domain aplikasi. Header tidak tersedia untuk pengambilan lintas domain. Untuk detailnya, lihat bagian berikut.
    + Kode status HTTP`202 Request Accepted`.
    + Jika permintaan berisi `Accept` header dengan nilai`text/html`, responsnya menyertakan pengantara JavaScript halaman dengan skrip tantangan.
  + **CAPTCHA**— AWS WAF termasuk yang berikut dalam tanggapan:
    + Header `x-amzn-waf-action` dengan nilai`captcha`.
**catatan**  
Untuk aplikasi Javascript yang berjalan di browser klien, header ini hanya tersedia dalam domain aplikasi. Header tidak tersedia untuk pengambilan lintas domain. Untuk detailnya, lihat bagian berikut.
    + Kode status HTTP`405 Method Not Allowed`.
    + Jika permintaan berisi `Accept` header dengan nilai`text/html`, responsnya mencakup pengantara JavaScript halaman dengan skrip CAPTCHA. 

Untuk mengonfigurasi waktu kedaluwarsa token pada paket perlindungan (web ACL) atau tingkat aturan, lihat. [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md)

**Header tidak tersedia untuk JavaScript aplikasi yang berjalan di browser klien**  
Saat AWS WAF menanggapi permintaan klien dengan CAPTCHA atau respons tantangan, itu tidak menyertakan header berbagi sumber daya lintas asal (CORS). Header CORS adalah seperangkat header kontrol akses yang memberi tahu browser web klien domain, metode HTTP, dan header HTTP mana yang dapat digunakan oleh aplikasi. JavaScript Tanpa header CORS, JavaScript aplikasi yang berjalan di browser klien tidak diberikan akses ke header HTTP sehingga tidak dapat membaca `x-amzn-waf-action` header yang disediakan di dan tanggapan. CAPTCHA Challenge 

**Apa yang dilakukan tantangan dan pengantara CAPTCHA**  
Ketika pengantara tantangan berjalan, setelah klien merespons dengan sukses, jika belum memiliki token, pengantara menginisialisasi satu untuk itu. Kemudian memperbarui token dengan stempel waktu pemecahan tantangan.

Ketika pengantara CAPTCHA berjalan, jika klien belum memiliki token, pengantara CAPTCHA memanggil skrip tantangan terlebih dahulu untuk menantang browser dan menginisialisasi token. Kemudian interstisial menjalankan teka-teki CAPTCHA. Ketika pengguna akhir berhasil menyelesaikan teka-teki, pengantara memperbarui token dengan cap waktu pemecahan CAPTCHA. 

Dalam kedua kasus, setelah klien merespons dengan sukses dan skrip memperbarui token, skrip mengirimkan kembali permintaan web asli menggunakan token yang diperbarui. 

Anda dapat mengonfigurasi cara AWS WAF menangani token. Untuk informasi, lihat [Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md).

# CAPTCHAdan Challenge tindakan dalam log dan metrik
<a name="waf-captcha-and-challenge-logs-metrics"></a>

Bagian ini menjelaskan cara AWS WAF menangani logging dan metrik untuk CAPTCHA dan Challenge tindakan.

ChallengeTindakan CAPTCHA dan dapat berupa non-terminating, like, atau terminatingCount, like. Block Hasilnya tergantung pada apakah permintaan memiliki token yang valid dengan stempel waktu yang belum kedaluwarsa untuk tipe tindakan. 
+ **Token yang valid** — Saat tindakan menemukan token yang valid dan tidak memblokir permintaan, AWS WAF menangkap metrik dan log sebagai berikut:
  + Meningkatkan metrik untuk salah satu `CaptchaRequests` dan `RequestsWithValidCaptchaToken` atau `ChallengeRequests` dan. `RequestsWithValidChallengeToken` 
  + Log pertandingan sebagai `nonTerminatingMatchingRules` entri dengan aksi CAPTCHA atauChallenge. Daftar berikut menunjukkan bagian log untuk jenis kecocokan ini dengan CAPTCHA tindakan.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ Token **hilang, tidak valid, atau kedaluwarsa — Saat tindakan memblokir permintaan karena token** yang hilang atau tidak valid, AWS WAF menangkap metrik dan log sebagai berikut:
  + Menambah metrik untuk `CaptchaRequests` atau`ChallengeRequests`. 
  + Log kecocokan sebagai `CaptchaResponse` entri dengan kode `405` status HTTP atau sebagai `ChallengeResponse` entri dengan kode `202` status HTTP. Log menunjukkan apakah permintaan tidak ada token atau memiliki stempel waktu yang kedaluwarsa. Log juga menunjukkan apakah AWS WAF mengirim halaman pengantara CAPTCHA ke klien atau tantangan diam ke browser klien. Daftar berikut menunjukkan bagian log untuk jenis kecocokan ini dengan CAPTCHA tindakan.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Untuk informasi tentang AWS WAF log, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

Untuk informasi tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md).

Untuk informasi umum tentang opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

**Permintaan tanpa token tampaknya muncul dua kali di log dan metrik**  
Berdasarkan dan logging [CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md) dan metrik yang dijelaskan di bagian ini, permintaan tanpa token umumnya akan direpresentasikan dua kali dalam log dan metrik. Ini karena satu permintaan yang dimaksudkan sebenarnya dikirim dua kali oleh klien.
+ Permintaan pertama, tanpa token, menerima pencatatan dan penanganan metrik yang dijelaskan di atas untuk token yang hilang, tidak valid, atau kedaluwarsa. ChallengeTindakan CAPTCHA atau mengakhiri permintaan pertama ini, dan kemudian merespons kembali ke klien dengan tantangan diam atau teka-teki CAPTCHA. 
+ Klien mengevaluasi tantangan atau teka-teki dan, jika browser klien atau pengguna akhir merespons dengan sukses, mengirimkan permintaan untuk kedua kalinya dengan token yang baru diperoleh. Permintaan kedua ini menerima pencatatan dan penanganan metrik yang dijelaskan di atas untuk permintaan dengan token yang valid. 

# Praktik terbaik untuk menggunakan CAPTCHA dan Challenge tindakan
<a name="waf-captcha-and-challenge-best-practices"></a>

Ikuti panduan di bagian ini untuk merencanakan dan mengimplementasikan AWS WAF CAPTCHA atau tantangan.

**Rencanakan CAPTCHA Anda dan tantang implementasi**  
Tentukan di mana menempatkan teka-teki CAPTCHA atau tantangan diam berdasarkan penggunaan situs web Anda, sensitivitas data yang ingin Anda lindungi, dan jenis permintaan. Pilih permintaan di mana Anda akan menerapkan CAPTCHA sehingga Anda menyajikan teka-teki sesuai kebutuhan, tetapi hindari menyajikannya di tempat yang tidak berguna dan dapat menurunkan pengalaman pengguna. Gunakan Challenge tindakan untuk menjalankan tantangan diam yang berdampak lebih kecil pada pengguna akhir, tetapi tetap membantu memverifikasi bahwa permintaan tersebut berasal dari browser yang JavaScript diaktifkan. 

Teka-teki CAPTCHA dan tantangan diam hanya dapat berjalan ketika browser mengakses titik akhir HTTPS. Klien browser harus berjalan dalam konteks aman untuk mendapatkan token. 

**Putuskan di mana menjalankan teka-teki CAPTCHA dan tantangan diam pada klien Anda**  
Identifikasi permintaan yang Anda tidak ingin terpengaruh oleh CAPTCHA, misalnya, permintaan untuk CSS atau gambar. Gunakan CAPTCHA hanya jika diperlukan. Misalnya, jika Anda berencana untuk memeriksa CAPTCHA saat login, dan pengguna selalu dibawa langsung dari login ke layar lain, memerlukan pemeriksaan CAPTCHA di layar kedua mungkin tidak diperlukan dan mungkin menurunkan pengalaman pengguna akhir Anda. 

Konfigurasikan Challenge dan CAPTCHA gunakan sehingga AWS WAF hanya mengirimkan teka-teki CAPTCHA dan tantangan diam sebagai tanggapan atas permintaan. `GET` `text/html` Anda tidak dapat menjalankan teka-teki atau tantangan dalam menanggapi `POST` permintaan, permintaan preflight Cross-Origin Resource Sharing (CORS), atau jenis `OPTIONS` `GET` non-permintaan lainnya. Perilaku browser untuk jenis permintaan lain dapat bervariasi dan mungkin tidak dapat menangani pengantara dengan benar. 

Ada kemungkinan bagi klien untuk menerima HTML tetapi masih tidak dapat menangani CAPTCHA atau menantang pengantara. Misalnya, widget pada halaman web dengan iFrame kecil mungkin menerima HTML tetapi tidak dapat menampilkan CAPTCHA atau memprosesnya. Hindari menempatkan tindakan aturan untuk jenis permintaan ini, sama seperti permintaan yang tidak menerima HTML.

**Gunakan CAPTCHA atau Challenge untuk memverifikasi akuisisi token sebelumnya**  
Anda dapat menggunakan tindakan aturan semata-mata untuk memverifikasi keberadaan token yang valid, di lokasi di mana pengguna yang sah harus selalu memilikinya. Dalam situasi ini, tidak masalah apakah permintaan dapat menangani pengantara. 

Misalnya, jika Anda menerapkan aplikasi JavaScript klien CAPTCHA API, dan menjalankan teka-teki CAPTCHA pada klien segera sebelum Anda mengirim permintaan pertama ke titik akhir yang dilindungi, permintaan pertama Anda harus selalu menyertakan token yang valid untuk tantangan dan CAPTCHA. Untuk informasi tentang integrasi aplikasi JavaScript klien, lihat[AWS WAF JavaScript integrasi](waf-javascript-api.md). 

Untuk situasi ini, dalam paket perlindungan Anda (web ACL), Anda dapat menambahkan aturan yang cocok dengan panggilan pertama ini dan mengonfigurasinya dengan tindakan CAPTCHA aturan Challenge atau. Ketika aturan cocok untuk pengguna akhir dan browser yang sah, tindakan akan menemukan token yang valid, dan karena itu tidak akan memblokir permintaan atau mengirim tantangan atau teka-teki CAPTCHA sebagai tanggapan. Untuk informasi selengkapnya tentang cara kerja tindakan aturan, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md).

**Lindungi data non-HTML sensitif Anda dengan CAPTCHA dan Challenge**  
Anda dapat menggunakan CAPTCHA dan Challenge perlindungan untuk data non-HTML yang sensitif, sepertiAPIs, dengan pendekatan berikut. 

1. Identifikasi permintaan yang mengambil respons HTML dan yang dijalankan di dekat permintaan untuk data sensitif dan non-HTML Anda. 

1. Tulis CAPTCHA atau Challenge aturan yang cocok dengan permintaan HTML dan yang cocok dengan permintaan untuk data sensitif Anda. 

1. Sesuaikan pengaturan waktu Anda CAPTCHA dan Challenge kekebalan sehingga, untuk interaksi pengguna normal, token yang diperoleh klien dari permintaan HTML tersedia dan belum kedaluwarsa dalam permintaan mereka untuk data sensitif Anda. Untuk informasi penyetelan, lihat[Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).

Ketika permintaan untuk data sensitif Anda cocok dengan Challenge aturan CAPTCHA atau, itu tidak akan diblokir jika klien masih memiliki token yang valid dari teka-teki atau tantangan sebelumnya. Jika token tidak tersedia atau stempel waktu kedaluwarsa, permintaan untuk mengakses data sensitif Anda akan gagal. Untuk informasi selengkapnya tentang cara kerja tindakan aturan, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md).

**Gunakan CAPTCHA dan Challenge untuk menyesuaikan aturan yang ada**  
Tinjau aturan yang ada, untuk melihat apakah Anda ingin mengubah atau menambahkannya. Berikut ini adalah beberapa skenario umum yang perlu dipertimbangkan. 
+ Jika Anda memiliki aturan berbasis tarif yang memblokir lalu lintas, tetapi Anda menjaga batas tarif relatif tinggi untuk menghindari pemblokiran pengguna yang sah, pertimbangkan untuk menambahkan aturan berbasis tarif kedua setelah aturan pemblokiran. Berikan aturan kedua batas yang lebih rendah dari aturan pemblokiran dan tetapkan tindakan aturan ke CAPTCHA atauChallenge. Aturan pemblokiran masih akan memblokir permintaan yang datang pada tingkat yang terlalu tinggi, dan aturan baru akan memblokir sebagian besar lalu lintas otomatis pada tingkat yang lebih rendah. Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)
+ Jika Anda memiliki grup aturan terkelola yang memblokir permintaan, Anda dapat mengalihkan perilaku untuk beberapa atau semua aturan dari Block ke CAPTCHA atauChallenge. Untuk melakukannya, dalam konfigurasi grup aturan terkelola, ganti setelan tindakan aturan. Untuk informasi tentang tindakan aturan utama, lihat[Pengesampingan tindakan aturan kelompok aturan](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Uji CAPTCHA Anda dan tantang implementasi sebelum Anda menerapkannya**  
Adapun semua fungsionalitas baru, ikuti panduan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

Selama pengujian, tinjau persyaratan kedaluwarsa stempel waktu token Anda dan atur ACL web Anda dan konfigurasi waktu kekebalan tingkat aturan sehingga Anda mencapai keseimbangan yang baik antara mengontrol akses ke situs web Anda dan memberikan pengalaman yang baik bagi pelanggan Anda. Untuk informasi, lihat [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md).

# Perlindungan data dan pencatatan untuk AWS WAF lalu lintas paket perlindungan (web ACL)
<a name="waf-data-protection-and-logging"></a>

Bagian ini menjelaskan opsi pencatatan data, pengumpulan, dan perlindungan yang dapat Anda gunakan AWS WAF. Opsi nya adalah sebagai berikut: 
+ **Logging** — Anda dapat mengonfigurasi paket perlindungan (web ACL) untuk mengirim log untuk lalu lintas permintaan web ke tujuan pencatatan pilihan Anda. Anda dapat mengonfigurasi redaksi bidang dan pemfilteran untuk pilihan ini. Logging menggunakan data yang tersedia setelah pengaturan perlindungan data diterapkan. 

  Untuk informasi tentang opsi ini, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
+ **Permintaan pengambilan sampel** — Anda dapat mengonfigurasi paket perlindungan Anda (web ACL) untuk mengambil sampel permintaan web yang dievaluasi, untuk mendapatkan gambaran tentang jenis lalu lintas yang diterima aplikasi Anda. Request sampling menggunakan data yang tersedia setelah pengaturan perlindungan data diterapkan. 

  Untuk informasi tentang opsi ini, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 
+ **Amazon Security Lake** - Anda dapat mengonfigurasi Security Lake untuk mengumpulkan data paket perlindungan (web ACL). Security Lake mengumpulkan data log dan peristiwa dari berbagai AWS sumber untuk normalisasi, analisis, dan manajemen. Security Lake mengumpulkan dari data yang tersedia setelah pengaturan perlindungan data diterapkan. 

  Untuk informasi tentang opsi ini, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 

  AWS WAF tidak mengenakan biaya untuk menggunakan opsi ini. Untuk informasi harga, lihat Harga [Security Lake](https://aws.amazon.com/security-lake/pricing/) dan [Cara penetapan harga Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) di *panduan pengguna Amazon Security Lake*.
+ **Perlindungan data** — Anda dapat mengonfigurasi perlindungan data untuk data lalu lintas web pada dua tingkat: 
  + **Perlindungan data untuk paket perlindungan (web ACL)** — Anda dapat mengonfigurasi perlindungan data untuk setiap paket perlindungan (web ACL), yang memungkinkan Anda mengganti data lalu lintas web tertentu dengan string statis atau hashing kriptografi. Perlindungan data pada tingkat ini dapat dikonfigurasi secara terpusat, dan berlaku di semua opsi pencatatan dan pengumpulan data.

    Untuk informasi tentang opsi ini, lihat[Perlindungan data](data-protection-masking.md). 
  + **Pencatatan redaksi dan penyaringan** — Untuk logging saja, Anda dapat mengonfigurasi beberapa data lalu lintas web untuk redaksi dari log, dan Anda dapat memfilter data yang Anda log. Opsi ini merupakan tambahan dari pengaturan perlindungan data apa pun yang telah Anda konfigurasi, dan itu hanya memengaruhi data yang AWS WAF dikirim ke tujuan pencatatan yang dikonfigurasi. 

**Topics**
+ [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md)
+ [Perlindungan data](data-protection-masking.md)

# Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)
<a name="logging"></a>

Bagian ini menjelaskan opsi pencatatan untuk paket AWS WAF perlindungan Anda (web ACLs). 

Anda dapat mengaktifkan logging untuk mendapatkan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Informasi yang dicatat mencakup waktu AWS WAF menerima permintaan web dari AWS sumber daya Anda, informasi terperinci tentang permintaan, dan detail tentang aturan yang cocok dengan permintaan tersebut. Anda dapat mengirim log paket perlindungan (web ACL) ke grup CloudWatch log Amazon Logs, bucket Amazon Simple Storage Service (Amazon S3), atau aliran pengiriman Amazon Data Firehose.

Selain log yang dapat Anda aktifkan untuk paket perlindungan Anda (web ACLs), AWS juga menggunakan log layanan situs web atau lalu lintas aplikasi yang diproses oleh AWS WAF untuk memberikan dukungan dan melindungi keamanan AWS pelanggan dan layanan.

**catatan**  
Konfigurasi logging protection pack (web ACL) hanya memengaruhi AWS WAF log. Secara khusus, konfigurasi bidang yang disunting untuk pencatatan tidak berdampak pada pengambilan sampel permintaan atau pengumpulan data Security Lake. Anda dapat mengecualikan bidang dari pengumpulan atau pengambilan sampel dengan mengonfigurasi perlindungan data paket perlindungan (web ACL). Selain perlindungan data, pengumpulan data Security Lake dikonfigurasi sepenuhnya melalui layanan Security Lake. 

**Topics**
+ [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md)
+ [AWS WAF tujuan pencatatan](logging-destinations.md)
+ [Mengkonfigurasi logging untuk paket perlindungan (web ACL)](logging-management-configure.md)
+ [Menemukan catatan paket perlindungan Anda (web ACL)](logging-management.md)
+ [Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md)
+ [Contoh log untuk lalu lintas paket perlindungan (web ACL)](logging-examples.md)

**Opsi pengumpulan dan analisis data lainnya**  
Selain pencatatan, Anda dapat mengaktifkan opsi berikut untuk pengumpulan dan analisis data: 
+ **Amazon Security Lake** - Anda dapat mengonfigurasi Security Lake untuk mengumpulkan data paket perlindungan (web ACL). Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber untuk normalisasi, analisis, dan manajemen. Untuk informasi tentang opsi ini, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 

  AWS WAF tidak mengenakan biaya untuk menggunakan opsi ini. Untuk informasi harga, lihat Harga [Security Lake](https://aws.amazon.com/security-lake/pricing/) dan [Cara penetapan harga Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) di *panduan pengguna Amazon Security Lake*. 
+ **Permintaan pengambilan sampel** — Anda dapat mengonfigurasi paket perlindungan Anda (web ACL) untuk mengambil sampel permintaan web yang dievaluasi, untuk mendapatkan gambaran tentang jenis lalu lintas yang diterima aplikasi Anda. Untuk informasi tentang opsi ini, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

# Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)
<a name="logging-pricing"></a>

Bagian ini menjelaskan pertimbangan harga untuk menggunakan log lalu lintas paket perlindungan (web ACL).

Anda dikenakan biaya untuk informasi lalu lintas paket perlindungan pencatatan (ACL web) sesuai dengan biaya yang terkait dengan setiap jenis tujuan log. Biaya ini merupakan tambahan dari biaya untuk menggunakan AWS WAF. Biaya Anda dapat bervariasi tergantung pada faktor-faktor seperti jenis tujuan yang Anda pilih dan jumlah data yang Anda log. 

Berikut ini menyediakan tautan ke informasi harga untuk setiap jenis tujuan pencatatan:
+ **CloudWatch Log** — Biaya adalah untuk pengiriman log yang dijual. Lihat [Harga CloudWatch Log Amazon](https://aws.amazon.com/cloudwatch/pricing/). Di bawah **Tingkat Berbayar**, pilih tab **Log**, lalu di bawah **Vended Logs**, lihat informasi untuk **Pengiriman ke CloudWatch Log**.
+ **Bucket Amazon S3** — Biaya Amazon S3 adalah biaya gabungan untuk pengiriman CloudWatch log penjual Log ke ember Amazon S3 dan untuk menggunakan Amazon S3. 
  + Untuk Amazon S3, lihat Harga [Amazon S3](https://aws.amazon.com/s3/pricing/). 
  + Untuk pengiriman CloudWatch log terjual Log ke Amazon S3, lihat Harga Log [ CloudWatch Amazon](https://aws.amazon.com/cloudwatch/pricing/). Di bawah **Tingkat Berbayar**, pilih tab **Log**, lalu di bawah **Vended Logs**, lihat informasi untuk **Pengiriman ke** S3
+ **Firehose — Lihat** Harga [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/pricing/).

Untuk informasi tentang AWS WAF harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/). 

# AWS WAF tujuan pencatatan
<a name="logging-destinations"></a>

Bagian ini menjelaskan opsi pencatatan yang dapat Anda pilih untuk AWS WAF log Anda. Setiap bagian menyediakan panduan untuk mengonfigurasi logging termasuk informasi tentang perilaku apa pun yang spesifik untuk jenis tujuan. Setelah mengonfigurasi tujuan pencatatan, Anda dapat memberikan spesifikasinya ke konfigurasi logging paket perlindungan (web ACL) Anda untuk mulai masuk ke sana.

**Topics**
+ [CloudWatch Log](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehouse](logging-kinesis.md)

# Mengirim log lalu lintas paket perlindungan (ACL web) ke grup CloudWatch log Amazon Logs
<a name="logging-cw-logs"></a>

Topik ini memberikan informasi untuk mengirim log lalu lintas paket perlindungan (ACL web) Anda ke grup CloudWatch log Log. 

**catatan**  
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md).

Untuk mengirim log ke Amazon CloudWatch Logs, Anda membuat grup CloudWatch log Log. Saat Anda mengaktifkan login AWS WAF, Anda memberikan grup log ARN. Setelah mengaktifkan pencatatan untuk paket perlindungan (web ACL), AWS WAF kirimkan log ke grup CloudWatch log Log di aliran log. 

Saat menggunakan CloudWatch Log, Anda dapat menjelajahi log untuk paket perlindungan (web ACL) di AWS WAF konsol. Di halaman paket perlindungan (web ACL) Anda, pilih tab **Wawasan log**. Opsi ini merupakan tambahan dari wawasan logging yang disediakan untuk CloudWatch Log melalui CloudWatch konsol. 

Konfigurasikan log grup log untuk log paket AWS WAF perlindungan (web ACL) di Wilayah yang sama dengan paket perlindungan (web ACL) dan gunakan akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan (web ACL). Untuk informasi tentang mengonfigurasi grup CloudWatch log Log, lihat [Bekerja dengan Grup Log dan Aliran Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).

## Kuota untuk grup CloudWatch log Log
<a name="logging-cw-logs-quotas"></a>

CloudWatch Log memiliki kuota maksimum default untuk throughput, dibagikan di semua grup log dalam suatu wilayah, yang dapat Anda minta untuk ditingkatkan. Jika persyaratan pencatatan Anda terlalu tinggi untuk pengaturan throughput saat ini, Anda akan melihat metrik pembatasan untuk `PutLogEvents` akun Anda. Untuk melihat limit di konsol Service Quotas dan meminta peningkatan, lihat kuota [CloudWatch Log PutLogEvents ](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).

## Penamaan grup log
<a name="logging-cw-logs-naming"></a>

Nama grup log Anda harus dimulai dengan `aws-waf-logs-` dan dapat diakhiri dengan akhiran apa pun yang Anda suka, misalnya,`aws-waf-logs-testLogGroup2`.

Format ARN yang dihasilkan adalah sebagai berikut: 

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

Aliran log memiliki format penamaan berikut: 

```
Region_web-acl-name_log-stream-number
```

Berikut ini menunjukkan contoh aliran log untuk paket perlindungan (web ACL) `TestWebACL` di Wilayah`us-east-1`. 

```
us-east-1_TestWebACL_0
```

## Izin yang diperlukan untuk mempublikasikan log ke CloudWatch Log
<a name="logging-cw-logs-permissions"></a>

Mengkonfigurasi log lalu lintas paket perlindungan (ACL web) untuk grup CloudWatch log Log memerlukan pengaturan izin yang dijelaskan di bagian ini. Izin ditetapkan untuk Anda saat Anda menggunakan salah satu kebijakan terkelola akses AWS WAF penuh, `AWSWAFConsoleFullAccess` atau`AWSWAFFullAccess`. Jika Anda ingin mengelola akses berbutir halus ke pencatatan dan AWS WAF sumber daya, Anda dapat mengatur sendiri izin tersebut. Untuk informasi tentang mengelola izin, lihat [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di *Panduan Pengguna IAM*. Untuk informasi tentang kebijakan AWS WAF terkelola, lihat[AWS kebijakan terkelola untuk AWS WAF](security-iam-awsmanpol.md). 

Izin ini memungkinkan Anda mengubah konfigurasi logging protection pack (web ACL), mengonfigurasi pengiriman CloudWatch log untuk Log, dan untuk mengambil informasi tentang grup log Anda. Izin ini harus dilampirkan ke pengguna yang Anda gunakan untuk mengelola AWS WAF. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Ketika tindakan diizinkan pada semua AWS sumber daya, itu ditunjukkan dalam kebijakan dengan `"Resource"` pengaturan`"*"`. Ini berarti bahwa tindakan diizinkan pada semua AWS sumber daya *yang didukung oleh setiap tindakan*. Misalnya, tindakan hanya `wafv2:PutLoggingConfiguration` didukung untuk `wafv2` mencatat sumber daya konfigurasi. 

# Mengirim log lalu lintas paket perlindungan (ACL web) ke bucket Amazon Simple Storage Service
<a name="logging-s3"></a>

Topik ini memberikan informasi untuk mengirim log lalu lintas paket perlindungan (ACL web) Anda ke bucket Amazon S3. 

**catatan**  
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md).

Untuk mengirim log lalu lintas paket perlindungan (web ACL) ke Amazon S3, Anda menyiapkan bucket Amazon S3 dari akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan (web ACL), dan beri nama bucket tersebut dimulai. `aws-waf-logs-` Saat mengaktifkan login AWS WAF, Anda memberikan nama bucket. Untuk informasi tentang membuat bucket logging, lihat [Membuat Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

Anda dapat mengakses dan menganalisis log Amazon S3 Anda menggunakan layanan kueri interaktif Amazon Athena. Athena memudahkan untuk menganalisis data secara langsung di Amazon S3 menggunakan SQL standar. Dengan beberapa tindakan di dalamnya Konsol Manajemen AWS, Anda dapat mengarahkan Athena ke data yang disimpan di Amazon S3 dan dengan cepat mulai menggunakan SQL standar untuk menjalankan kueri ad-hoc dan mendapatkan hasil. Untuk informasi selengkapnya, lihat [Menanyakan AWS WAF log](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) di panduan *pengguna Amazon Athena*. Untuk contoh tambahan kueri Amazon Athena, lihat [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries di situs web. GitHub 

**catatan**  
AWS WAF mendukung enkripsi dengan bucket Amazon S3 untuk kunci jenis kunci Amazon S3 (SSE-S3) dan untuk (SSE-KMS). AWS Key Management Service AWS KMS keys AWS WAF tidak mendukung enkripsi untuk AWS Key Management Service kunci yang dikelola oleh AWS.

File log dari paket perlindungan Anda (web ACL) dipublikasikan ke bucket Amazon S3 dengan interval 5 menit. Setiap file log berisi catatan log untuk lalu lintas yang direkam dalam 5 menit sebelumnya.

Ukuran file maksimum untuk berkas log adalah 75 MB. Jika file log mencapai batas ukuran file dalam periode 5 menit, log berhenti menambahkan catatan ke dalamnya, menerbitkannya ke bucket Amazon S3, dan kemudian membuat file log baru.

Berkas log dikompresi. Jika Anda membuka file menggunakan konsol Amazon S3, Amazon S3 mendekompresi catatan log dan menampilkannya. Jika Anda mengunduh file log, Anda harus mendekompresnya untuk melihat catatan.

Sebuah file log tunggal berisi entri interleaved dengan beberapa catatan. Untuk melihat semua file log untuk paket perlindungan (web ACL), cari entri yang digabungkan dengan nama paket perlindungan (web ACL), Wilayah, dan ID akun Anda.

## Persyaratan penamaan dan sintaks
<a name="logging-s3-naming"></a>

Nama bucket untuk AWS WAF logging harus dimulai dengan `aws-waf-logs-` dan dapat diakhiri dengan akhiran apa pun yang Anda inginkan. Misalnya, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. 

**Lokasi ember**  
Lokasi bucket menggunakan sintaks berikut: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```

**ARN Bucket**  
Format bucket Amazon Resource Name (ARN) adalah sebagai berikut: 

```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```

**Lokasi bucket dengan awalan**  
Jika Anda menggunakan awalan dalam nama kunci objek untuk mengatur data yang disimpan di bucket, Anda dapat memberikan awalan dalam nama bucket logging Anda.

**catatan**  
Opsi ini tidak tersedia melalui konsol. Gunakan AWS WAF APIs, CLI, atau. AWS CloudFormation

Untuk informasi tentang menggunakan awalan di Amazon S3, [lihat Mengatur objek menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) awalan di Panduan Pengguna Layanan Penyimpanan *Sederhana Amazon*. 

Lokasi bucket dengan awalan menggunakan sintaks berikut: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```

**Folder bucket dan nama file**  
Di dalam bucket Anda, dan mengikuti awalan apa pun yang Anda berikan, AWS WAF log Anda ditulis di bawah struktur folder yang ditentukan oleh ID akun Anda, Wilayah, nama paket perlindungan (web ACL), serta tanggal dan waktu. 

```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```

Di dalam folder, nama file log mengikuti format yang sama: 

```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```

Spesifikasi waktu yang digunakan dalam struktur folder dan nama file log mematuhi spesifikasi format stempel waktu. `YYYYMMddTHHmmZ`

Berikut ini menunjukkan contoh file log di bucket Amazon S3 untuk bucket bernama. `aws-waf-logs-LOGGING-BUCKET-SUFFIX` Akun AWS adalah`11111111111`. Paket perlindungan (web ACL) adalah `TEST-WEBACL` dan Wilayah adalah`us-east-1`.

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```

**catatan**  
Nama bucket Anda untuk AWS WAF logging harus dimulai dengan `aws-waf-logs-` dan dapat diakhiri dengan akhiran apa pun yang Anda inginkan. 

## Izin diperlukan untuk mempublikasikan log ke Amazon S3
<a name="logging-s3-permissions"></a>

Mengonfigurasi pencatatan lalu lintas paket perlindungan (ACL web) untuk bucket Amazon S3 memerlukan pengaturan izin berikut. Izin ini ditetapkan untuk Anda saat Anda menggunakan salah satu kebijakan terkelola akses AWS WAF penuh, `AWSWAFConsoleFullAccess` atau`AWSWAFFullAccess`. Jika Anda ingin mengelola akses lebih lanjut ke pencatatan dan AWS WAF sumber daya Anda, Anda dapat mengatur izin ini sendiri. Untuk informasi tentang mengelola izin, lihat [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di *Panduan Pengguna IAM*. Untuk informasi tentang kebijakan yang AWS WAF dikelola, lihat[AWS kebijakan terkelola untuk AWS WAF](security-iam-awsmanpol.md). 

Izin berikut memungkinkan Anda mengubah konfigurasi logging protection pack (web ACL) dan mengonfigurasi pengiriman log ke bucket Amazon S3 Anda. Izin ini harus dilampirkan ke pengguna yang Anda gunakan untuk mengelola AWS WAF. 

**catatan**  
Saat Anda menetapkan izin yang tercantum di bawah ini, Anda mungkin melihat kesalahan dalam AWS CloudTrail log yang menunjukkan akses ditolak, tetapi izin tersebut benar untuk AWS WAF pencatatan. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
         "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
         ],
         "Effect":"Allow"
      }
   ]
}
```

------

Ketika tindakan diizinkan pada semua AWS sumber daya, itu ditunjukkan dalam kebijakan dengan `"Resource"` pengaturan`"*"`. Ini berarti bahwa tindakan diizinkan pada semua AWS sumber daya *yang didukung oleh setiap tindakan*. Misalnya, tindakan hanya `wafv2:PutLoggingConfiguration` didukung untuk `wafv2` mencatat sumber daya konfigurasi. 

Secara default, ember Amazon S3 dan objek yang dikandungnya bersifat pribadi. Hanya pemilik bucket yang bisa mengakses bucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses ke sumber daya dan pengguna lain dengan menulis kebijakan akses.

Jika pengguna yang membuat log memiliki bucket, layanan akan secara otomatis melampirkan kebijakan berikut ke bucket untuk memberikan izin log untuk memublikasikan log ke bucket: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    }
  ]
}
```

------

**catatan**  
Nama bucket Anda untuk AWS WAF logging harus dimulai dengan `aws-waf-logs-` dan dapat diakhiri dengan akhiran apa pun yang Anda inginkan. 

Jika pengguna yang membuat log tidak memiliki bucket, atau tidak memiliki `PutBucketPolicy` izin `GetBucketPolicy` dan untuk bucket, pembuatan log gagal. Dalam hal ini, pemilik bucket harus menambahkan kebijakan sebelumnya secara manual ke bucket dan menentukan ID pembuat log. Akun AWS Untuk informasi selengkapnya, lihat [Bagaimana Cara Menambahkan Kebijakan Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)? di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. Jika bucket menerima log dari beberapa akun, tambahkan entri `Resource` elemen ke pernyataan `AWSLogDeliveryWrite` kebijakan untuk setiap akun. 

Misalnya, kebijakan bucket berikut memungkinkan Akun AWS `111122223333` untuk memublikasikan log ke bucket bernama`aws-waf-logs-LOGGING-BUCKET-SUFFIX`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}
```

------

**catatan**  
Dalam beberapa kasus, Anda mungkin melihat `AccessDenied` kesalahan AWS CloudTrail jika `s3:ListBucket` izin belum diberikan`delivery.logs.amazonaws.com`. Untuk menghindari kesalahan ini di CloudTrail log Anda, Anda harus memberikan `s3:ListBucket` izin `delivery.logs.amazonaws.com` dan Anda harus menyertakan `Condition` parameter yang ditampilkan dengan `s3:GetBucketAcl ` izin yang ditetapkan dalam kebijakan bucket sebelumnya. Untuk membuatnya lebih sederhana, alih-alih membuat yang baru`Statement`, Anda dapat langsung memperbarui `AWSLogDeliveryAclCheck` menjadi`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.

## Izin untuk menggunakan AWS Key Management Service dengan kunci KMS
<a name="logging-s3-permissions-encrypt-kms"></a>

Jika tujuan pencatatan Anda menggunakan enkripsi sisi server dengan kunci yang disimpan di AWS Key Management Service (SSE-KMS) dan Anda menggunakan kunci terkelola pelanggan (kunci KMS), Anda harus memberikan AWS WAF izin untuk menggunakan kunci KMS Anda. Untuk melakukan ini, Anda menambahkan kebijakan kunci ke kunci KMS untuk tujuan yang Anda pilih. Ini memungkinkan AWS WAF logging untuk menulis file log Anda ke tujuan Anda. 

Tambahkan kebijakan kunci berikut ke kunci KMS Anda untuk memungkinkan masuk AWS WAF ke bucket Amazon S3 Anda.

```
{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}
```

## Izin diperlukan untuk mengakses file log Amazon S3
<a name="logging-s3-log-file-access"></a>

Amazon S3 menggunakan daftar kontrol akses (ACLs) untuk mengelola akses ke file log yang dibuat oleh log. AWS WAF Secara default, pemilik bucket memiliki izin `FULL_CONTROL` pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket, tidak memiliki izin. Akun pengiriman log memiliki izin `READ` dan `WRITE`. Untuk informasi selengkapnya, lihat [Ikhtisar Daftar Kontrol Akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

# Mengirim log lalu lintas paket perlindungan (ACL web) ke aliran pengiriman Amazon Data Firehose
<a name="logging-kinesis"></a>

Bagian ini memberikan informasi untuk mengirim log lalu lintas paket perlindungan (ACL web) Anda ke aliran pengiriman Amazon Data Firehose. 

**catatan**  
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md).

Untuk mengirim log ke Amazon Data Firehose, Anda mengirim log dari paket perlindungan (web ACL) ke aliran pengiriman Amazon Data Firehose yang Anda konfigurasikan di Firehose. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log ke tujuan penyimpanan Anda melalui titik akhir HTTPS Firehose. 

Satu AWS WAF log setara dengan satu catatan Firehose. Jika Anda biasanya menerima 10.000 permintaan per detik dan mengaktifkan log penuh, Anda harus memiliki pengaturan 10.000 catatan per detik di Firehose. Jika Anda tidak mengonfigurasi Firehose dengan benar, tidak AWS WAF akan merekam semua log. Untuk informasi selengkapnya, lihat [kuota Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html). 

Untuk informasi tentang cara membuat aliran pengiriman Amazon Data Firehose dan meninjau log yang disimpan, lihat [Apa itu Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)? 

Untuk informasi tentang membuat aliran pengiriman, lihat [Membuat aliran pengiriman Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Mengonfigurasi aliran pengiriman Amazon Data Firehose untuk paket perlindungan Anda (web ACL)
<a name="logging-kinesis-configuration"></a>

Konfigurasikan aliran pengiriman Amazon Data Firehose untuk paket perlindungan (web ACL) Anda sebagai berikut.
+ Buat menggunakan akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan (web ACL).
+ Buat di Wilayah yang sama dengan paket perlindungan (web ACL). Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di Wilayah AS Timur (Virginia N.),. `us-east-1`
+ Berikan firehose data nama yang dimulai dengan awalan`aws-waf-logs-`. Misalnya, `aws-waf-logs-us-east-2-analytics`.
+ Konfigurasikan untuk direct put, yang memungkinkan aplikasi mengakses aliran pengiriman secara langsung. Di [konsol Amazon Data Firehose](https://console.aws.amazon.com/firehose), untuk setelan **Sumber** aliran pengiriman, pilih **Direct PUT atau sumber lainnya**. Melalui API, atur properti aliran pengiriman `DeliveryStreamType` ke`DirectPut`.
**catatan**  
Jangan gunakan `Kinesis stream` sebagai sumber Anda.

## Izin yang diperlukan untuk memublikasikan log ke aliran pengiriman Amazon Data Firehose
<a name="logging-kinesis-permissions"></a>

Untuk memahami izin yang diperlukan untuk konfigurasi Firehose Data Kinesis, [lihat Mengontrol Akses dengan Amazon Kinesis Data](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html) Firehose.

Anda harus memiliki izin berikut agar berhasil mengaktifkan pencatatan paket perlindungan (web ACL) dengan aliran pengiriman Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Untuk informasi tentang peran terkait layanan dan `iam:CreateServiceLinkedRole` izin, lihat. [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md)

# Mengkonfigurasi logging untuk paket perlindungan (web ACL)
<a name="logging-management-configure"></a>

Bagian ini memberikan instruksi untuk mengkonfigurasi perlindungan data untuk paket perlindungan (web ACL).

**catatan**  
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md).

Untuk mengaktifkan logging untuk paket perlindungan (web ACL), Anda harus sudah mengonfigurasi tujuan pencatatan yang akan Anda gunakan. Untuk informasi tentang pilihan tujuan Anda dan persyaratan untuk masing-masing, lihat[AWS WAF tujuan pencatatan](logging-destinations.md).

**Untuk mengonfigurasi logging untuk paket perlindungan (web ACL)**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **paket perlindungan (web ACLs)**.

1. Pilih nama paket perlindungan (web ACL) yang ingin Anda aktifkan untuk login. Konsol membawa Anda ke deskripsi paket perlindungan (web ACL), tempat Anda dapat mengeditnya.

1. Pada tab **Logging dan metrics**, pilih **Aktifkan logging**.

1. Pilih jenis tujuan pencatatan, lalu pilih tujuan pencatatan yang Anda konfigurasikan. Anda harus memilih tujuan pencatatan yang namanya dimulai dengan`aws-waf-logs-`.

1. (Opsional) Jika Anda tidak ingin beberapa bidang disertakan dalam log, edit. Pilih bidang yang akan disunting, lalu pilih **Tambah**. Ulangi seperlunya untuk menyunting bidang tambahan. Bidang yang disunting muncul di log sebagai`xxx`.
**catatan**  
Pengaturan ini tidak berdampak pada pengambilan sampel permintaan. Anda dapat mengecualikan bidang dari pengambilan sampel permintaan dengan mengonfigurasi perlindungan data paket perlindungan (web ACL) atau dengan menonaktifkan pengambilan sampel untuk paket perlindungan (web ACL). 

1. (Opsional) Jika Anda tidak ingin mengirim semua permintaan ke log, tambahkan kriteria dan perilaku pemfilteran Anda. Di bawah **Filter log**, untuk setiap filter yang ingin Anda terapkan, pilih **Tambahkan filter**, lalu pilih kriteria pemfilteran Anda dan tentukan apakah Anda ingin menyimpan atau menghapus permintaan yang sesuai dengan kriteria. Ketika Anda selesai menambahkan filter, jika diperlukan, ubah **perilaku logging Default**. 
**catatan**  
Jika Anda menambahkan beberapa filter, AWS WAF evaluasi mereka mulai dari atas.

1. Pilih **Aktifkan pencatatan**.
**catatan**  
Bila Anda berhasil mengaktifkan logging, AWS WAF akan membuat peran service-linked dengan izin yang diperlukan untuk menulis log ke tujuan logging. Lihat informasi yang lebih lengkap di [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md).

# Menemukan catatan paket perlindungan Anda (web ACL)
<a name="logging-management"></a>

Bagian ini menjelaskan cara menemukan catatan paket perlindungan (web ACL) Anda.

**catatan**  
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat [Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL)](logging-pricing.md).

**Jika Anda tidak dapat menemukan catatan log di log Anda**  
Pada kesempatan langka, pengiriman AWS WAF log mungkin turun di bawah 100%, dengan log dikirim dengan upaya terbaik. AWS WAF Arsitektur memprioritaskan keamanan aplikasi Anda di atas semua pertimbangan lainnya. Dalam beberapa situasi, seperti ketika arus logging mengalami pelambatan lalu lintas, ini dapat mengakibatkan catatan dijatuhkan. Ini seharusnya tidak mempengaruhi lebih dari beberapa catatan. Jika Anda melihat sejumlah entri log yang hilang, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).

Dalam konfigurasi logging untuk paket perlindungan Anda (web ACL), Anda dapat menyesuaikan apa yang AWS WAF dikirim ke log.
+ **Redaksi bidang** - Anda dapat menyunting bidang berikut dari catatan log untuk aturan yang menggunakan pengaturan kecocokan yang sesuai: **jalur URI**, **String kueri**, **Header tunggal**, dan metode **HTTP**. Bidang yang disunting muncul seperti `REDACTED` di log. Misalnya, jika Anda menyunting bidang **string Query**, di log, itu akan terdaftar sebagai `REDACTED` untuk semua aturan yang menggunakan pengaturan komponen pencocokan **string Query**. **Redaksi hanya berlaku untuk komponen permintaan yang Anda tentukan untuk pencocokan dalam aturan, sehingga redaksi komponen **header Tunggal** tidak berlaku untuk aturan yang cocok di Header.** Untuk daftar bidang log, lihat[Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).
**catatan**  
Pengaturan ini tidak berdampak pada pengambilan sampel permintaan. Anda dapat mengecualikan bidang dari pengambilan sampel permintaan dengan mengonfigurasi perlindungan data paket perlindungan (web ACL) atau dengan menonaktifkan pengambilan sampel untuk paket perlindungan (web ACL). 
+ **Pemfilteran log** - Anda dapat menambahkan pemfilteran untuk menentukan permintaan web mana yang disimpan di log dan mana yang dijatuhkan. Anda memfilter pengaturan yang AWS WAF berlaku selama evaluasi permintaan web. Anda dapat memfilter pada pengaturan berikut: 
  + **Label yang sepenuhnya memenuhi** syarat - Label yang sepenuhnya memenuhi syarat memiliki awalan, ruang nama opsional, dan nama label. Awalan mengidentifikasi kelompok aturan atau paket perlindungan (web ACL) konteks aturan yang menambahkan label. Untuk informasi tentang label, lihat[Pelabelan permintaan web di AWS WAF](waf-labels.md).
  + **Tindakan aturan** - Anda dapat memfilter pada setelan tindakan aturan normal dan juga pada opsi `EXCLUDED_AS_COUNT` penggantian lama untuk aturan grup aturan. Untuk informasi tentang setelan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi tentang penggantian tindakan aturan saat ini dan lama untuk aturan grup aturan, lihat. [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md) 
    + Filter tindakan aturan normal berlaku untuk tindakan yang dikonfigurasi dalam aturan dan juga tindakan yang dikonfigurasi menggunakan opsi saat ini untuk mengganti tindakan aturan grup aturan. 
    + Filter `EXCLUDED_AS_COUNT` log tumpang tindih dengan filter log `Count` tindakan. `EXCLUDED_AS_COUNT`memfilter opsi saat ini dan lama untuk mengganti tindakan aturan grup aturan ke. Count 

# Bidang log untuk lalu lintas paket perlindungan (web ACL)
<a name="logging-fields"></a>

Daftar berikut menjelaskan bidang log yang mungkin. 

**tindakan**  
Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.

**args**  
String kueri.

**CaptCharesponse**  
Status tindakan CAPTCHA untuk permintaan, diisi saat CAPTCHA tindakan diterapkan ke permintaan. Bidang ini diisi untuk CAPTCHA tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki CAPTCHA tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.   
CAPTCHATindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika CAPTCHA tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong `failureReason` di bidang ini.

**cfDistributionTenantId**  
Pengidentifikasi untuk penyewa CloudFront distribusi yang terkait dengan permintaan web. Bidang ini bersifat opsional dan hanya berlaku untuk paket perlindungan (web ACLs) yang terkait dengan penyewa CloudFront distribusi.

**ChallengeResponse**  
Status tindakan tantangan untuk permintaan, diisi saat Challenge tindakan diterapkan pada permintaan. Bidang ini diisi untuk Challenge tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki Challenge tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.   
ChallengeTindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika Challenge tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong `failureReason` di bidang ini.

**ClientaSN**  
Autonomous System Number (ASN) yang terkait dengan alamat IP asal permintaan web.  
**ClientASN** login AWS WAF log hanya ketika pernyataan pencocokan ASN digunakan. Bidang ini tidak dicatat sebaliknya.

**clientIp**  
Alamat IP klien yang mengirim permintaan.

**negeri**  
Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini ke`-`. 

**negeri**  
Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini ke`-`. 

**excludedRules**  
Digunakan hanya untuk aturan kelompok aturan. Daftar aturan dalam grup aturan yang telah Anda kecualikan. Tindakan untuk aturan-aturan ini diatur keCount.   
Jika Anda mengganti aturan untuk dihitung menggunakan opsi tindakan aturan ganti, kecocokan tidak tercantum di sini. Mereka terdaftar sebagai pasangan aksi `action` dan`overriddenAction`.    
exclusionType  
Jenis yang menunjukkan bahwa aturan yang dikecualikan memiliki tindakanCount.  
ruleId  
ID aturan dalam kelompok aturan yang dikecualikan.

**formatVersion**  
Versi format untuk log.

**TerusanDASN**  
Autonomous System Number (ASN) terkait dengan alamat IP dari entitas yang meneruskan permintaan web.

**headers**  
Daftar header.

**httpMethod**  
Metode HTTP dalam permintaan.

**httpRequest**  
Metadata tentang permintaan.

**httpSourceId**  
ID sumber daya terkait:   
+ Untuk CloudFront distribusi Amazon, ID adalah `distribution-id` dalam sintaks ARN: 

  `arn:partitioncloudfront::account-id:distribution/distribution-id` 
+ Untuk Application Load Balancer, ID adalah `load-balancer-id` dalam sintaks ARN: 

  `arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id`
+ Untuk API REST Amazon API Gateway, ID adalah `api-id` dalam sintaks ARN: 

  `arn:partition:apigateway:region::/restapis/api-id/stages/stage-name`
+ Untuk AWS AppSync GraphQL API, ID adalah `GraphQLApiId` dalam sintaks ARN: 

  `arn:partition:appsync:region:account-id:apis/GraphQLApiId`
+ Untuk kumpulan pengguna Amazon Cognito, ID adalah `user-pool-id` dalam sintaks ARN: 

  `arn:partition:cognito-idp:region:account-id:userpool/user-pool-id`
+ Untuk AWS App Runner layanan, ID adalah `apprunner-service-id` dalam sintaks ARN: 

  `arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id`

**httpSourceName**  
Sumber permintaan. Nilai yang memungkinkan: `CF` untuk Amazon CloudFront, `APIGW` untuk Amazon API Gateway, `ALB` untuk Application Load Balancer, `APPSYNC` untuk, untuk Amazon Cognito AWS AppSync, `COGNITOIDP` untuk App Runner`APPRUNNER`, `VERIFIED_ACCESS` dan untuk Akses Terverifikasi.

**httpVersion**  
Versi HTTP.

**Ja3sidik jari**  
 JA3 Sidik jari permintaan.  
JA3 pemeriksaan sidik jari hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.
 JA3 Sidik jari adalah hash 32 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.   
Anda memberikan nilai ini saat mengonfigurasi kecocokan JA3 sidik jari dalam aturan paket perlindungan (web ACL) Anda. Untuk informasi tentang membuat kecocokan dengan JA3 sidik jari, lihat [JA3 sidik jari](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) di pernyataan [Minta komponen di AWS WAF](waf-rule-statement-fields-list.md) untuk aturan.

**Ja4sidik jari**  
 JA4 Sidik jari permintaan.  
JA4 pemeriksaan sidik jari hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.
 JA4 Sidik jari adalah hash 36 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.   
Anda memberikan nilai ini saat mengonfigurasi kecocokan JA4 sidik jari dalam aturan paket perlindungan (web ACL) Anda. Untuk informasi tentang membuat kecocokan dengan JA4 sidik jari, lihat [JA4 sidik jari](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) di pernyataan [Minta komponen di AWS WAF](waf-rule-statement-fields-list.md) untuk aturan.

**label**  
Label pada permintaan web. Label ini diterapkan oleh aturan yang digunakan untuk mengevaluasi permintaan. AWS WAF mencatat 100 label pertama. 

**nonTerminatingMatchingAturan**  
Daftar aturan non-penghentian yang cocok dengan permintaan. Setiap item dalam daftar berisi informasi berikut.     
tindakan  
Tindakan yang AWS WAF diterapkan pada permintaan. Ini menunjukkan hitungan, CAPTCHA, atau tantangan. The CAPTCHA and Challenge non-terminating ketika permintaan web berisi token yang valid.  
ruleId  
ID aturan yang cocok dengan permintaan dan tidak mengakhiri.   
ruleMatchDetails  
Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan. 
Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, `captchaResponse` atau `challengeResponse` akan terdaftar. Jika aturan yang cocok ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. `overriddenAction` 

**OversizeFields**  
Daftar bidang dalam permintaan web yang diperiksa oleh paket perlindungan (web ACL) dan yang melebihi batas AWS WAF inspeksi. Jika bidang terlalu besar tetapi paket perlindungan (web ACL) tidak memeriksanya, itu tidak akan tercantum di sini.   
Daftar ini dapat berisi nol atau lebih dari nilai-nilai berikut:`REQUEST_BODY`,`REQUEST_JSON_BODY`,`REQUEST_HEADERS`, dan`REQUEST_COOKIES`. Untuk informasi selengkapnya tentang bidang oversize, lihat[Komponen permintaan web yang terlalu besar di AWS WAF](waf-oversize-request-components.md).

**rateBasedRuleDaftar**  
Daftar aturan berbasis tarif yang bertindak atas permintaan. Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)    
rateBasedRuleId  
ID aturan berbasis tarif yang bertindak atas permintaan. Jika ini telah menghentikan permintaan, ID untuk `rateBasedRuleId` sama dengan ID untuk`terminatingRuleId`.  
rateBasedRuleNama  
Nama aturan berbasis tarif yang bertindak atas permintaan.   
limitKey  
Jenis agregasi yang digunakan aturan. Nilai yang mungkin adalah `IP` untuk asal permintaan web, `FORWARDED_IP` untuk IP yang diteruskan dalam header dalam permintaan, `CUSTOMKEYS` untuk pengaturan kunci agregat kustom. dan `CONSTANT` untuk menghitung semua permintaan bersama-sama, tanpa agregasi.   
LimitValue  
Digunakan hanya ketika tingkat dibatasi oleh satu jenis alamat IP. Jika permintaan berisi alamat IP yang tidak valid, `limitvalue` adalah`INVALID`.  
maxRateAllowed  
Jumlah maksimum permintaan yang diizinkan dalam jendela waktu yang ditentukan untuk contoh agregasi tertentu. Instans agregasi ditentukan oleh `limitKey` plus setiap spesifikasi kunci tambahan yang telah Anda berikan dalam konfigurasi aturan berbasis laju.   
evaluationWindowSec  
Jumlah waktu yang AWS WAF termasuk dalam permintaannya dihitung, dalam hitungan detik.   
CustomValues  
Nilai unik yang diidentifikasi oleh aturan berbasis tarif dalam permintaan. Untuk nilai string, log mencetak 32 karakter pertama dari nilai string. Tergantung pada jenis kunci, nilai-nilai ini mungkin hanya untuk kunci, seperti untuk metode HTTP atau string kueri, atau mereka mungkin untuk kunci dan nama, seperti untuk header dan nama header. 

**requestHeadersInserted**  
Daftar header yang disisipkan untuk penanganan permintaan kustom.

**requestId**  
ID permintaan, yang dihasilkan oleh layanan host yang mendasarinya. Untuk Application Load Balancer, ini adalah ID jejak. Untuk semua yang lain, ini adalah ID permintaan. 

**responseCodeSent**  
Kode respon dikirim dengan respon kustom.

**ruleGroupId**  
 ID dari grup aturan. Jika aturan memblokir permintaan, ID `ruleGroupID` untuk sama dengan ID untuk`terminatingRuleId`. 

**ruleGroupList**  
Daftar grup aturan yang bertindak atas permintaan ini, dengan informasi kecocokan.

**terminatingRule**  
Aturan yang mengakhiri permintaan. Jika ini ada, itu berisi informasi berikut.     
tindakan  
Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.  
ruleId  
ID aturan yang cocok dengan permintaan.   
ruleMatchDetails  
Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan. 
Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, `captchaResponse` atau `challengeResponse` akan terdaftar. Jika aturan yang cocok ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. `overriddenAction` 

**terminatingRuleId**  
ID aturan yang mengakhiri permintaan. Jika tidak ada yang mengakhiri permintaan, nilainya adalah`Default_Action`.

**terminatingRuleMatchDetail**  
Informasi terperinci tentang aturan penghentian yang cocok dengan permintaan. Aturan penghentian memiliki tindakan yang mengakhiri proses inspeksi terhadap permintaan web. Tindakan yang mungkin untuk aturan penghentian termasukAllow,, BlockCAPTCHA, danChallenge. Selama inspeksi permintaan web, pada aturan pertama yang cocok dengan permintaan dan yang memiliki tindakan AWS WAF penghentian, menghentikan inspeksi dan menerapkan tindakan. Permintaan web mungkin berisi ancaman lain, selain yang dilaporkan dalam log untuk aturan penghentian yang cocok.  
Ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan. 

**terminatingRuleType**  
Jenis aturan yang mengakhiri permintaan. Nilai yang mungkin: RATE\$1BASED, REGULAR, GROUP, dan MANAGED\$1RULE\$1GROUP.

**timestamp**  
Stempel waktu dalam milidetik.

**uri**  
URI permintaan. 

**fragmen**  
Bagian dari URL yang mengikuti simbol “\$1”, memberikan informasi tambahan tentang sumber daya, misalnya, \$1section2.

**webaclId**  
GUID paket perlindungan (web ACL).

# Contoh log untuk lalu lintas paket perlindungan (web ACL)
<a name="logging-examples"></a>

Bagian ini memberikan contoh untuk lalu lintas logging protection pack (web ACL).

**Example Aturan berbasis tingkat 1: Konfigurasi aturan dengan satu kunci, atur ke `Header:dogname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Aturan berbasis tarif 1: Entri log untuk permintaan yang diblokir oleh aturan berbasis tarif**  

```
{
   "timestamp":1683355579981,
   "formatVersion":1,
   "webaclId": ...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId": ...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.45",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.45"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"RateBasedRuleTestKoipOneKeyModulePV2"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"Ed0AiHF_CGYF-DA="
   }
}
```

**Example Aturan berbasis tingkat 2: Konfigurasi aturan dengan dua tombol, diatur ke dan `Header:dogname` `Header:catname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            },
            {
              "Header": {
                "Name": "catname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Aturan berbasis tarif 2: Entri log untuk permintaan yang diblokir oleh aturan berbasis tarif**  

```
{
   "timestamp":1633322211194,
   "formatVersion":1,
   "webaclId":...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId":...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            },
            {
               "key":"HEADER",
               "name":"catname",
               "value":"goofie"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.35",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.35"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"23llbyn8v3.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-64556629-17ac754c2ed9f0620e0f2a0c"
         },
         {
            "name":"catname",
            "value":"goofie"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"Apache-HttpClient/UNAVAILABLE (Java/11.0.19)"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"EdzmlH5OCGYF1vQ="
   }
}
```

**Example Keluaran log untuk aturan yang dipicu saat SQLi deteksi (penghentian)**  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:111122223333:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "HEADER",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "-",
    "httpSourceId": "-",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [
            {
                "name": "Host",
                "value": "localhost:1989"
            },
            {
                "name": "User-Agent",
                "value": "curl/7.61.1"
            },
            {
                "name": "Accept",
                "value": "*/*"
            },
            {
                "name": "x-stm-test",
                "value": "10 AND 1=1"
            }
        ],
        "uri": "/myUri",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Keluaran log untuk aturan yang dipicu saat SQLi deteksi (non-terminating)**  

```
{
    "timestamp":1592357192516
    ,"formatVersion":1
    ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"Default_Action"
    ,"terminatingRuleType":"REGULAR"
    ,"action":"ALLOW"
    ,"terminatingRuleMatchDetails":[]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":[]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":
    [{
        "ruleId":"TestRule"
        ,"action":"COUNT"
        ,"ruleMatchDetails":
        [{
            "conditionType":"SQL_INJECTION"
            ,"sensitivityLevel": "HIGH"
            ,"location":"HEADER"
            ,"matchedData":[
                "10"
                ,"and"
                ,"1"]
            }]
    }]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":[
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader","myValue":"10 AND 1=1"}
            ]
            ,"uri":"/myUri","args":""
            ,"httpVersion":"HTTP/1.1"
            ,"httpMethod":"GET"
            ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Keluaran log untuk beberapa aturan yang dipicu di dalam grup aturan (Aturan-XSS berakhir dan Aturan-B tidak berakhir)**  

```
{
    "timestamp":1592361810888,
    "formatVersion":1,
    "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"RG-Reference"
    ,"terminatingRuleType":"GROUP"
    ,"action":"BLOCK",
    "terminatingRuleMatchDetails":
    [{
        "conditionType":"XSS"
        ,"location":"HEADER"
        ,"matchedData":["<","frameset"]
    }]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":
    [{
        "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b"
        ,"terminatingRule":{
            "ruleId":"RuleA-XSS"
            ,"action":"BLOCK"
            ,"ruleMatchDetails":null
            }
        ,"nonTerminatingMatchingRules":
        [{
            "ruleId":"RuleB-SQLi"
            ,"action":"COUNT"
            ,"ruleMatchDetails":
            [{
                "conditionType":"SQL_INJECTION"
                ,"sensitivityLevel": "LOW"
                ,"location":"HEADER"
                ,"matchedData":[
                    "10"
                    ,"and"
                    ,"1"]
            }]
        }]
        ,"excludedRules":null
    }]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":[]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":
        [
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader1","value":"<frameset onload=alert(1)>"}
            ,{"name":"myHeader2","value":"10 AND 1=1"}
            ]
        ,"uri":"/myUri"
        ,"args":""
        ,"httpVersion":"HTTP/1.1"
        ,"httpMethod":"GET"
        ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Keluaran log untuk aturan yang dipicu untuk inspeksi badan permintaan dengan tipe konten JSON**  
AWS WAF saat ini melaporkan lokasi untuk inspeksi badan JSON sebagai`UNKNOWN`.  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:123456789012:regional/webacl/test/111",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "LOW",
            "location": "UNKNOWN",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "ALB",
    "httpSourceId": "alb",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted":null,
    "responseCodeSent":null,
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [],
        "uri": "",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "POST",
        "requestId": "null"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Keluaran log untuk aturan CAPTCHA terhadap permintaan web dengan token CAPTCHA yang valid dan belum kedaluwarsa**  
Daftar log berikut adalah untuk permintaan web yang cocok dengan aturan dengan CAPTCHA tindakan. Permintaan web memiliki token CAPTCHA yang valid dan belum kedaluwarsa, dan hanya dicatat sebagai kecocokan CAPTCHA oleh AWS WAF, mirip dengan perilaku untuk tindakan tersebut. Count Pertandingan CAPTCHA ini dicatat di bawah. `nonTerminatingMatchingRules`  

```
{
  "timestamp": 1632420429309,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "Default_Action",
  "terminatingRuleType": "REGULAR",
  "action": "ALLOW",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [
    {
      "ruleId": "captcha-rule",
      "action": "CAPTCHA",
      "ruleMatchDetails": [],
      "captchaResponse": {
        "responseCode": 0,
        "solveTimestamp": 1632420429
      }
    }
  ],
  "requestHeadersInserted": [
    {
      "name": "x-amzn-waf-test-header-name",
      "value": "test-header-value"
    }
  ],
  "responseCodeSent": null,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc24d-5ad89a09181910c43917a888"
      },
      {
        "name": "cache-control",
        "value": "max-age=0"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "same-origin"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "referer",
        "value": "https://b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com/pen-test/pets"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      },
      {
        "name": "cookie",
        "value": "aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINMHHUgoAMFxug="
  }
}
```

**Example Keluaran log untuk aturan CAPTCHA terhadap permintaan web yang tidak memiliki token CAPTCHA**  
Daftar log berikut adalah untuk permintaan web yang cocok dengan aturan dengan CAPTCHA tindakan. Permintaan web tidak memiliki token CAPTCHA, dan diblokir oleh. AWS WAF  

```
{
  "timestamp": 1632420416512,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "captcha-rule",
  "terminatingRuleType": "REGULAR",
  "action": "CAPTCHA",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [],
  "requestHeadersInserted": null,
  "responseCodeSent": 405,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc240-18b57ff33c10e5c016b508c5"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "cross-site"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINKHEssoAMFsrg="
  },
  "captchaResponse": {
    "responseCode": 405,
    "solveTimestamp": 0,
    "failureReason": "TOKEN_MISSING"
  }
}
```

# Perlindungan data
<a name="data-protection-masking"></a>

AWS WAF Pengaturan perlindungan data memungkinkan Anda menerapkan perlindungan informasi sensitif yang disesuaikan dan terperinci (kata sandi, kunci API, token otentikasi, dan data rahasia lainnya) pada bidang data tertentu seperti header, parameter, dan konten isi.

Anda dapat mengonfigurasi perlindungan data di:
+ Tingkat paket perlindungan (web ACL), yang berlaku di semua tujuan keluaran.
+ Logging saja, yang hanya memengaruhi data yang AWS WAF dikirim ke tujuan logging yang dikonfigurasi. 

Perlindungan data dapat ditentukan sebagai substitusi atau hashing. 

Substitusi mengacu pada mengganti konten dengan kata`REDACTED`. 

 Hashing mengacu pada penggantian konten, dari string ke biner SHA-256 ke Base64:

1. Pertama, algoritma membangun string dari account\$1number dan content.

1. Kemudian menerapkan SHA-256 untuk menghasilkan hash biner.

1. Akhirnya, ia mengkodekan byte tersebut menggunakan Base64.

**Tip**  
 Anda harus meninjau karakteristik hashing SHA-256 untuk menentukan apakah itu memenuhi persyaratan Anda sebelum Anda memilih metode perlindungan data yang sesuai. Kami tidak menyarankan untuk mengandalkan hashing SHA-256 jika Anda ingin mencapai hasil yang setara dengan enkripsi atau tokenisasi.

**Topics**
+ [Mengaktifkan perlindungan data](enable-protection.md)
+ [Pengecualian perlindungan data](data-protection-exceptions.md)
+ [Batasan perlindungan data](data-protection-limitations.md)
+ [Contoh perlindungan data](data-protection-examples.md)
+ [Mengkonfigurasi perlindungan data untuk paket perlindungan (web ACL)](data-protection-configure.md)

# Mengaktifkan perlindungan data
<a name="enable-protection"></a>

Bagian ini menjelaskan perlindungan data dan opsi konfigurasi log yang dapat Anda pilih dari konsol. Anda dapat melindungi data yang muncul di log dengan mengaktifkan perlindungan data pada bidang tertentu. Perlindungan data dapat diterapkan untuk mengubah informasi sensitif dalam berbagai jenis output, termasuk log lengkap, permintaan sampel, dan Security Lake.

**Untuk mengaktifkan perlindungan data di AWS WAF konsol**

Arahkan ke halaman **paket perlindungan (web ACLs)** di konsol untuk **mengaktifkan pengaturan perlindungan**. Untuk mengaktifkan perlindungan data untuk log Anda, pilih apakah akan menerapkannya ke semua log atau ke tujuan pencatatan tertentu. Untuk informasi, lihat [Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).

**catatan**  
Anda tidak perlu mengaktifkan logging untuk menerapkan perlindungan data pada semua logging. Perlindungan data akan diterapkan di semua tujuan keluaran, terlepas dari apakah pencatatan diaktifkan. 

Di bagian bawah halaman **Aktifkan pengaturan perlindungan**, pilih tombol **Tambah bidang** pada panel **bidang perlindungan data**. Pilih jenis bidang dari menu drop-down. Untuk informasi tentang bagaimana data setiap bidang dilindungi dengan perlindungan data, lihat tabel di bawah ini.


| Jenis bidang | Detail | 
| --- | --- | 
|  `Single header`  |  Secara permanen mengubah nilai kunci header yang ditentukan sesuai dengan opsi yang ditentukan (hashing atau subsitusi). Nilai yang ditransformasikan juga akan tercermin dalam Log penuh.  | 
|  `Body`  |  Secara permanen mengubah nilai tubuh. Hanya berlaku untuk `RuleMatchDetails` di log.  | 
|  `Query string`  |  Secara permanen mengubah string kueri sesuai dengan opsi yang ditentukan (hashing atau subsitusi). Nilai yang ditransformasikan juga akan tercermin dalam Log penuh.  | 
|  `Single query argument`  |  Secara permanen mengubah nilai query arg yang ditentukan sesuai dengan opsi yang ditentukan (hashing atau subsitusi). Nilai yang ditransformasikan juga akan tercermin dalam Log penuh.  | 
|  `Single cookie`  |  Ubah nilai cookie secara permanen sesuai dengan opsi yang ditentukan (hashing atau subsitusi). Nilai yang ditransformasikan juga akan tercermin dalam Log penuh.  | 

# Pengecualian perlindungan data
<a name="data-protection-exceptions"></a>

Ketika diaktifkan, perlindungan data akan berlaku untuk bidang yang diaktifkan, termasuk `RuleMatchDetails` dan`rateBasedRuleList`. Namun, ada beberapa contoh ketika Anda mungkin ingin menyertakan data dan konten yang dilindungi di dalam dan `rateBasedRuleList` untuk tujuan pemecahan masalah `RuleMatchDetails` dan visibilitas. Dalam skenario ini, Anda dapat menentukan pengecualian untuk perlindungan data untuk bidang itu.
+ **`ExcludeRuleMatchDetails`**: Jika Anda menentukan pengecualian ini untuk bidang tertentu, `RuleMatchDetails` akan menampilkan nilai bidang dan tidak akan berada dalam cakupan untuk perlindungan data. 
+ **`ExcludeRateBasedDetails`**: Jika Anda menentukan pengecualian ini untuk bidang tertentu, `rateBasedRuleList` akan menampilkan nilai bidang dan tidak akan berada dalam cakupan untuk perlindungan data.

  Contoh: `ExcludeRateBasedDetails` Aturan diaktifkan pada **SINGLE\$1HEADER dan **HEADER\$1NAME**** untuk “dogname”.

  Jika pengecualian tidak diterapkan pada aturan, nilai untuk “dogname” akan muncul sebagai. `REDACTED`

  ```
  "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"REDACTED" } ] } ]
  ```

  Jika pengecualian diaktifkan pada aturan, nilai “dogname” akan muncul di log.

  ```
   "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"ELLA" } ] } ]
  ```

**Awas**  
Fitur perlindungan data berpotensi memengaruhi kemampuan pemecahan masalah AWS WAF . Pengaturan ini dapat menyebabkan deteksi dan perilaku mitigasi yang tidak terduga. Batasi perlindungan data untuk parameter tertentu hanya untuk parameter yang mutlak diperlukan.

# Batasan perlindungan data
<a name="data-protection-limitations"></a>

Berikut ini adalah batasan yang perlu dipertimbangkan saat menggunakan perlindungan data.

## QueryString dan SingleQueryArg
<a name="queries"></a>

**QueryString Perlindungan**
+ Perlindungan data `QueryString` berlaku untuk semua argumen kueri, substituting/hashing baik kunci maupun nilai sesuai dengan pengaturan yang ditentukan.

**QueryString dalam `RuleMatch` rincian dan daftar `RateBased` aturan**
+ Jika perlindungan data diterapkan pada argumen kueri tunggal, maka seluruh string kueri akan berada substituted/hashed di `RateBasedRule` bagian `RuleMatchDetails` dan di log lengkap.
+ Jika metode perlindungan yang berbeda ditentukan (substitusi dan hashing) dalam beberapa argumen kueri tunggal, metode yang lebih ketat, substitusi, akan diterapkan ke seluruh string kueri di bagian `RuleMatchDetails` dan `RateBasedRule` di log lengkap.

## Cookie
<a name="cookies"></a>

**catatan**  
 Perlindungan data hanya diterapkan pada nilai cookie ketika cookie header tunggal dilindungi. 

**Cookie tunggal dalam `RuleMatchDetails` dan `RateBasedRule` daftar**
+ Jika perlindungan data diterapkan pada satu cookie, maka seluruh header cookie akan berada substituted/hashed di `RateBasedRule` bagian `RuleMatchDetails` dan di log penuh.
+ Jika metode perlindungan yang berbeda ditentukan (substitusi dan hashing), metode yang lebih ketat, substitusi, akan diterapkan ke seluruh cookie di `RateBasedRule` bagian `RuleMatchDetails` dan di log penuh.

# Contoh perlindungan data
<a name="data-protection-examples"></a>

Bagian ini memberikan contoh log dari data protection logging of protection pack (web ACL) lalu lintas.

## DataProtection hashing
<a name="dataprotection-hashing"></a>

Konfigurasi Webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Contoh DataProtection hashing: Entri log dengan SingleQuery argumen “hoppy” dilindungi.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## DataProtection substitusi
<a name="dataprotection-substitution"></a>

Konfigurasi Webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "SUBSTITUTION",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Contoh DataProtection substitusi: Entri log dengan Argumen Kueri Tunggal “hoppy” dilindungi

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": []
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=REDACTED&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Mempertahankan data di RuleMatchDetails
<a name="rulematchdetails-retain-data"></a>

Konfigurasi Webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": true,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Contoh penyimpanan data di RuleMatchDetails: Entri log dengan satu `Header` “hoppy” dilindungi tetapi nilainya dipertahankan hanya di. `RuleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "HEADER",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "hoppy",
        "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }, {
        "name": "hoppy",
        "value": "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM="
    }],
    "uri": "/CanaryTest",
    "args": "happy=true",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Mempertahankan data di rateBasedRule
<a name="ratebasedrule-retain-data"></a>

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": true
                }
             ]
           }
```

Contoh Mempertahankan data dalam rateBasedRule Daftar: Entri log dengan satu `Header` “hoppy” dilindungi tetapi nilainya dipertahankan hanya di `rateBasedRuleList`

```
{
    "timestamp": 1683355579981,
    "formatVersion": 1,
    "webaclId": ...,
    "terminatingRuleId": "RateBasedRule",
    "terminatingRuleType": "RATE_BASED",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "EXAMPLE11:rjvegx5guh:CanaryTest",
    "ruleGroupList": [],
    "rateBasedRuleList": [{
        "rateBasedRuleId": ...,
        "rateBasedRuleName": "RateBasedRule",
        "limitKey": "CUSTOMKEYS",
        "maxRateAllowed": 100,
        "evaluationWindowSec": "120",
        "customValues": [{
            "key": "HEADER",
            "name": "hoppy",
            "value": "ella"
        }]
    }],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "52.46.82.45",
        "country": "FR",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "52.46.82.45"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
        }, {
            "name": "hoppy",
            "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
        }, {
            "name": "User-Agent",
            "value": "RateBasedRuleTestKoipOneKeyModulePV2"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip,deflate"
        }],
        "uri": "/CanaryTest",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "Ed0AiHF_CGYF-DA="
    }
}
```

## Perlindungan data untuk Tubuh
<a name="dataprotection-body"></a>

AWS WAF hanya subset log dari Body in`RuleMatchDetails`.

Konfigurasi Webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "BODY"
                    },
                    "action": "SUBSTITUTE",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Contoh DataProtection untuk Tubuh: Entri log dengan Body Subsituted in. `ruleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIBody",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "BODY",
            "matchedData": ["REDACTED"]
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Perlindungan data untuk `SINGLE_COOKIE`
<a name="single-cookie-data-protection"></a>

Konfigurasi Webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_COOKIE",
                        "field_keys": [
                            "MILO"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Contoh DataProtection untuk`SINGLE_COOKIE`: Entri log dengan `SINGLE_COOKIE` nama “MILO” dilindungi.

Log lengkap menunjukkan Cookie bernama MILO dilindungi `ruleMatchDetails` dan header cookie. Hanya nilai cookie yang dilindungi dan nama kunci dikecualikan.

**catatan**  
Semua bidang yang dilindungi (header tunggal, cookie, argumen kueri) tidak peka huruf besar/kecil. Jadi, untuk contoh ini, “MILO” cocok dengan “milo”.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "COOKIE",
            "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
            "matchedFieldName": "milo"
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;milo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Perlindungan data untuk semua cookie
<a name="all-cookies-data-protection"></a>

Anda dapat mengonfigurasi perlindungan data untuk cookie dengan menggunakan`SINGLE_HEADER`. Hanya nilai cookie yang dilindungi dan nama kunci dikecualikan.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_HEADER",
                "FieldKeys": ["cookie"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Contoh DataProtection untuk `header ` “COOKIE”: Entri log dengan header cookie dilindungi.

**catatan**  
Nama cookie `AWS-WAF-TOKEN` berada di luar cakupan untuk perlindungan data.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=REDACTED;milo=REDACTED;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=xyz=&hoppy-query=abc&x-hoppy-extra=abc",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Perlindungan data untuk argumen kueri tunggal
<a name="single-query-argument"></a>

Anda dapat mengonfigurasi perlindungan data untuk string kueri dengan menggunakan`SINGLE_QUERY_ARGUMENT`. Ini mempengaruhi kunci dan nilai dari semua argumen kueri. Untuk contoh berikut, string kueri asli adalah`baloo=10 AND 1=1&hoppy=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Konfigurasi Webacl

```
"DataProtectionConfig": {
   "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Contoh DataProtection untuk`SINGLE_QUERY_ARGUEMENT`: Entri log dengan string kueri “hoppy” yang dilindungi dengan substitusi.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "FullQueryStringInspectionWhichDetectsTheFirstFieldWithSQLi_Baloo_IsAlsoMaskedMasked",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "baloo"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=10 AND 1=1&hoppy=REDACTED&x-hoppy-extra=generic-%3Cwords",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Perlindungan data untuk string kueri
<a name="data-protection-query-string"></a>

Anda dapat mengonfigurasi perlindungan data untuk string kueri dengan menggunakan`QUERY_STRING`. Ini mempengaruhi kunci dan nilai dari semua argumen kueri. Untuk contoh berikut, string kueri asli adalah`baloo=10 AND 1=1&hoppy-query=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Konfigurasi Webacl

```
"DataProtectionConfig": {
 "DataProtections": [
 {
 "Field": {
 "FieldType": "QUERY_STRING"
 },
 "Action": "SUBSTITUTION",
 "ExcludeRuleMatchDetails": false,
 "ExcludeRateBasedDetails": false
 }
 ]
}
```

Contoh DataProtection untuk`QUERY_STRING`: Entri log dengan string kueri dilindungi dengan substitusi.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_STRING",
                "matchedData": ["REDACTED"]
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "REDACTED" ],
                "matchedFieldName": "REDACTED"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "REDACTED",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Perlindungan data untuk beberapa argumen kueri
<a name="data-protection-multiple-query-arguments"></a>

Anda dapat mengonfigurasi perlindungan data untuk argumen kueri individual dengan menggunakan`SINGLE_QUERY_ARGUMENT`. Saat melaporkan informasi lokal, kami menggunakan perlindungan lokal. Namun, string yang cocok dalam string kueri dan header cookie memiliki banyak konfigurasi perlindungan yang dapat diterapkan. Untuk menyederhanakan, perlindungan ketat untuk `RuleMatchDetails` diterapkan, bahkan jika itu tidak tumpang tindih dengan rentang data spesifik yang cocok.

Untuk contoh berikut, string kueri asli adalah`baloo=is_a_good_boy&hoppy=likes_to_sleep&x-hoppy-extra=10 AND 1=1`.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        },
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["baloo"]
            },
            "Action": "HASH",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Contoh DataProtection untuk beberapa argumen kueri.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
                "matchedFieldName": "baloo"
            }]
      },
      {
        "ruleId": "FullQueryStringDetects_x-hoppy-extra_IsSubstituted",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],  // Harshest of Protection Config
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=&hoppy=REDACTED&x-hoppy-extra=10 AND 1=1",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

**catatan**  
Anda tidak dapat menentukan **QueryString Masking** dan **Single Query Arg Masking** di WebACL yang sama.

# Mengkonfigurasi perlindungan data untuk paket perlindungan (web ACL)
<a name="data-protection-configure"></a>

Bagian ini memberikan instruksi untuk mengkonfigurasi perlindungan data untuk paket perlindungan (web ACL).

**Untuk mengkonfigurasi perlindungan data untuk paket perlindungan (web ACL)**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **paket perlindungan (web ACLs)**.

1. Pilih nama paket perlindungan (web ACL) yang ingin Anda aktifkan perlindungan data. Konsol membawa Anda ke deskripsi paket perlindungan (web ACL), tempat Anda dapat mengeditnya.

1. **Pada tab **Pencatatan dan metrik**, di panel **Pengaturan perlindungan data**, pilih **Aktifkan** atau Edit.**

1. Pilih lingkup **Global** dan kemudian buat pilihan perlindungan data bidang Anda. Untuk setiap konfigurasi perlindungan data bidang, Anda juga dapat menentukan pengecualian untuk dikecualikan dari perilaku perlindungan. 

1. Setelah menyelesaikan pilihan, pilih **Simpan**. Antarmuka kembali ke tab **Logging dan metrik** tempat pilihan Anda dirangkum.

# Menguji dan menyetel perlindungan Anda AWS WAF
<a name="web-acl-testing"></a>

Bagian ini memberikan panduan untuk menguji dan menyetel paket AWS WAF perlindungan (web ACLs), aturan, grup aturan, set IP, dan set pola regex Anda.

Kami menyarankan Anda menguji dan menyetel perubahan apa pun pada paket AWS WAF perlindungan Anda (ACL web) sebelum menerapkannya ke lalu lintas situs web atau aplikasi web Anda. 

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

Bagian ini juga memberikan panduan umum untuk menguji penggunaan grup aturan yang dikelola oleh orang lain. Ini termasuk grup aturan Aturan AWS AWS Marketplace Terkelola, grup aturan terkelola, dan grup aturan yang dibagikan dengan Anda oleh akun lain. Untuk grup aturan ini, ikuti juga panduan apa pun yang Anda dapatkan dari penyedia grup aturan.
+ Untuk grup aturan Aturan AWS Terkelola Kontrol Bot, lihat juga[Menguji dan menerapkan Kontrol AWS WAF Bot](waf-bot-control-deploying.md). 
+ Untuk grup aturan pencegahan pengambilalihan akun Aturan AWS Terkelola, lihat [Menguji dan menerapkan ATP](waf-atp-deploying.md) juga. 
+ Untuk grup aturan Aturan AWS Terkelola pencegahan penipuan pembuatan akun, lihat juga[Menguji dan menerapkan ACFP](waf-acfp-deploying.md). 

**Ketidakkonsistenan sementara selama pembaruan**  
Saat Anda membuat atau mengubah paket perlindungan (web ACL) atau AWS WAF sumber daya lainnya, perubahan membutuhkan sedikit waktu untuk menyebar ke semua area tempat sumber daya disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. 

Berikut ini adalah contoh inkonsistensi sementara yang mungkin Anda perhatikan selama propagasi perubahan: 
+ Setelah Anda membuat paket perlindungan (web ACL), jika Anda mencoba mengaitkannya dengan sumber daya, Anda mungkin mendapatkan pengecualian yang menunjukkan bahwa paket perlindungan (web ACL) tidak tersedia. 
+ Setelah Anda menambahkan grup aturan ke paket perlindungan (web ACL), aturan grup aturan baru mungkin berlaku di satu area di mana paket perlindungan (web ACL) digunakan dan bukan di area lain.
+ Setelah mengubah setelan tindakan aturan, Anda mungkin melihat tindakan lama di beberapa tempat dan tindakan baru di tempat lain. 
+ Setelah Anda menambahkan alamat IP ke set IP yang digunakan dalam aturan pemblokiran, alamat baru mungkin diblokir di satu area sementara masih diizinkan di area lain.

# Menguji dan menyetel langkah-langkah tingkat tinggi
<a name="web-acl-testing-high-level"></a>

Bagian ini menyediakan daftar periksa langkah-langkah untuk menguji perubahan pada ACL web Anda, termasuk aturan atau grup aturan apa pun yang digunakannya. 

**catatan**  
Untuk mengikuti panduan di bagian ini, Anda perlu memahami cara membuat dan mengelola AWS WAF perlindungan seperti paket perlindungan (web ACLs), aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

**Untuk menguji dan menyetel paket perlindungan Anda (web ACL)**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Bersiaplah untuk pengujian**

   Persiapkan lingkungan pemantauan Anda, alihkan AWS WAF perlindungan baru Anda ke mode hitungan untuk pengujian, dan buat asosiasi sumber daya apa pun yang Anda butuhkan. 

   Lihat [Bersiap untuk menguji AWS WAF perlindungan Anda](web-acl-testing-prep.md). 

1. 

**Pantau dan dengarkan lingkungan pengujian dan produksi**

   Pantau dan sesuaikan AWS WAF perlindungan Anda terlebih dahulu di lingkungan pengujian atau pementasan, kemudian dalam produksi, hingga Anda puas bahwa mereka dapat menangani lalu lintas sesuai kebutuhan Anda. 

   Lihat [Memantau dan menyetel perlindungan Anda AWS WAF](web-acl-testing-activities.md). 

1. 

**Aktifkan perlindungan Anda dalam produksi**

   Saat Anda puas dengan perlindungan pengujian Anda, alihkan ke mode produksi, bersihkan artefak pengujian yang tidak perlu, dan lanjutkan pemantauan.

   Lihat [Mengaktifkan perlindungan Anda dalam produksi](web-acl-testing-enable-production.md). 

Setelah Anda selesai menerapkan perubahan Anda, lanjutkan memantau lalu lintas web Anda dan perlindungan dalam produksi untuk memastikan bahwa mereka bekerja seperti yang Anda inginkan. Pola lalu lintas web dapat berubah seiring waktu, jadi Anda mungkin perlu menyesuaikan perlindungan sesekali.

# Bersiap untuk menguji AWS WAF perlindungan Anda
<a name="web-acl-testing-prep"></a>

Bagian ini menjelaskan cara mengatur untuk menguji dan menyetel AWS WAF perlindungan Anda. 

**catatan**  
Untuk mengikuti panduan di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelola AWS WAF perlindungan seperti paket perlindungan (web ACLs), aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

**Untuk mempersiapkan pengujian**

1. 

**Aktifkan pencatatan paket perlindungan (web ACL), CloudWatch metrik Amazon, dan pengambilan sampel permintaan web untuk paket perlindungan (web ACL)**

   Gunakan logging, metrik, dan sampling untuk memantau interaksi aturan paket perlindungan (web ACL) dengan lalu lintas web Anda. 
   + **Logging** — Anda dapat mengonfigurasi AWS WAF untuk mencatat permintaan web yang dievaluasi oleh paket perlindungan (web ACL). Anda dapat mengirim log ke CloudWatch log, bucket Amazon S3, atau aliran pengiriman Amazon Data Firehose. Anda dapat menyunting bidang dan menerapkan pemfilteran. Untuk informasi selengkapnya, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + **Amazon Security Lake** - Anda dapat mengonfigurasi Security Lake untuk mengumpulkan data paket perlindungan (web ACL). Security Lake mengumpulkan data log dan peristiwa dari berbagai sumber untuk normalisasi, analisis, dan manajemen. Untuk informasi tentang opsi ini, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + ** CloudWatch Metrik Amazon** — Dalam konfigurasi paket perlindungan (web ACL) Anda, berikan spesifikasi metrik untuk semua yang ingin Anda pantau. Anda dapat melihat metrik melalui AWS WAF dan CloudWatch konsol. Untuk informasi selengkapnya, lihat [Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + **Pengambilan sampel permintaan web** — Anda dapat melihat contoh semua permintaan web yang dievaluasi oleh paket perlindungan (web ACL) Anda. Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Atur perlindungan Anda ke mode Count**

   Dalam konfigurasi paket perlindungan (web ACL) Anda, alihkan apa pun yang ingin Anda uji ke mode hitung. Hal ini menyebabkan perlindungan pengujian merekam kecocokan terhadap permintaan web tanpa mengubah cara permintaan ditangani. Anda akan dapat melihat kecocokan dalam metrik, log, dan permintaan sampel Anda, untuk memverifikasi kriteria kecocokan dan untuk memahami apa efeknya pada lalu lintas web Anda. Aturan yang menambahkan label ke permintaan yang cocok akan menambahkan label terlepas dari tindakan aturan. 
   + **Aturan yang didefinisikan dalam paket perlindungan (web ACL)** — Edit aturan dalam paket perlindungan (web ACL) dan atur tindakannya. Count 
   + **Grup aturan** - Dalam konfigurasi paket perlindungan (web ACL) Anda, edit pernyataan aturan untuk grup aturan dan, di panel **Aturan**, buka tarik-turun Ganti **semua tindakan aturan** dan pilih. **Count** Jika Anda mengelola paket perlindungan (web ACL) di JSON, tambahkan aturan ke `RuleActionOverrides` pengaturan dalam pernyataan referensi grup aturan, dengan `ActionToUse` disetel ke. Count Contoh daftar berikut menunjukkan penggantian untuk dua aturan dalam grup aturan Aturan `AWSManagedRulesAnonymousIpList` AWS Terkelola. 

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     Untuk informasi selengkapnya tentang penggantian tindakan aturan, lihat. [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)

     Untuk grup aturan Anda sendiri, jangan mengubah tindakan aturan di grup aturan itu sendiri. Aturan grup aturan dengan Count tindakan tidak menghasilkan metrik atau artefak lain yang Anda perlukan untuk pengujian Anda. Selain itu, mengubah grup aturan memengaruhi semua paket perlindungan (web ACLs) yang menggunakannya, sedangkan perubahan di dalam konfigurasi paket perlindungan (web ACL) hanya memengaruhi paket perlindungan tunggal (web ACL). 
   + **paket perlindungan (web ACL)** - Jika Anda menguji paket perlindungan baru (web ACL), setel tindakan default untuk paket perlindungan (web ACL) untuk mengizinkan permintaan. Ini memungkinkan Anda mencoba ACL web tanpa mempengaruhi lalu lintas dengan cara apa pun. 

   Secara umum, mode hitung menghasilkan lebih banyak kecocokan daripada produksi. Ini karena aturan yang menghitung permintaan tidak menghentikan evaluasi permintaan oleh paket perlindungan (web ACL), jadi aturan yang berjalan nanti dalam paket perlindungan (web ACL) mungkin juga cocok dengan permintaan. Saat Anda mengubah tindakan aturan ke setelan produksinya, aturan yang mengizinkan atau memblokir permintaan akan menghentikan evaluasi permintaan yang cocok. Akibatnya, permintaan yang cocok umumnya akan diperiksa oleh aturan yang lebih sedikit dalam paket perlindungan (web ACL). Untuk informasi selengkapnya tentang efek tindakan aturan pada evaluasi keseluruhan permintaan web, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). 

   Dengan pengaturan ini, perlindungan baru Anda tidak akan mengubah lalu lintas web, tetapi akan menghasilkan informasi kecocokan dalam metrik, log paket perlindungan (web ACL), dan sampel permintaan. 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya, kaitkan. 

   Lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

Anda sekarang siap untuk memantau dan menyetel paket perlindungan Anda (web ACL). 

# Memantau dan menyetel perlindungan Anda AWS WAF
<a name="web-acl-testing-activities"></a>

Pantau dan sesuaikan AWS WAF perlindungan Anda.

**catatan**  
Untuk mengikuti panduan di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelola AWS WAF perlindungan seperti paket perlindungan (web ACLs), aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

Pantau lalu lintas web dan kecocokan aturan untuk memverifikasi perilaku paket perlindungan (web ACL). Jika Anda menemukan masalah, sesuaikan aturan Anda untuk memperbaiki dan kemudian memantau untuk memverifikasi penyesuaian. 

Ulangi prosedur berikut sampai paket perlindungan (web ACL) mengelola lalu lintas web Anda sesuai kebutuhan. 

**Untuk memantau dan menyetel**

1. 

**Pantau lalu lintas dan kecocokan aturan**

   Pastikan lalu lintas mengalir dan aturan pengujian Anda menemukan permintaan yang cocok. 

   Cari informasi berikut untuk perlindungan yang Anda uji: 
   + **Log** — Mengakses informasi tentang aturan yang cocok dengan permintaan web: 
     + **Aturan Anda** - Aturan dalam paket perlindungan (web ACL) yang memiliki Count tindakan tercantum di bawah`nonTerminatingMatchingRules`. Aturan dengan Allow atau Block terdaftar sebagai`terminatingRule`. Aturan dengan CAPTCHA atau Challenge dapat berupa penghentian atau non-penghentian, dan terdaftar di bawah salah satu dari dua kategori, sesuai dengan hasil pencocokan aturan.
     + **Grup aturan** - Grup aturan diidentifikasi di `ruleGroupId` lapangan, dengan kecocokan aturan mereka dikategorikan sama dengan aturan mandiri. 
     + **Label** - Label yang aturan telah diterapkan pada permintaan tercantum di `Labels` bidang.

     Untuk informasi selengkapnya, lihat [Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).
   + ** CloudWatch Metrik Amazon** — Anda dapat mengakses metrik berikut untuk evaluasi permintaan paket perlindungan (web ACL) Anda. 
     + **Aturan Anda** — Metrik dikelompokkan berdasarkan tindakan aturan. Misalnya, saat Anda menguji aturan dalam Count mode, kecocokannya dicantumkan sebagai `Count` metrik untuk paket perlindungan (web ACL). 
     + **Grup aturan Anda** — Metrik untuk grup aturan Anda tercantum di bawah metrik grup aturan. 
     + **Grup aturan yang dimiliki oleh akun lain** — Metrik grup aturan umumnya hanya dapat dilihat oleh pemilik grup aturan. Namun, jika Anda mengganti tindakan aturan untuk suatu aturan, metrik untuk aturan tersebut akan dicantumkan di bawah metrik paket perlindungan (web ACL) Anda. Selain itu, label yang ditambahkan oleh grup aturan apa pun tercantum dalam metrik paket perlindungan (web ACL) Anda. 

       Aturan tindakan hitung dalam grup aturan TIDAK memancarkan metrik dimensi ACL web - hanya dimensi Aturan, RuleGroup, dan Wilayah. Ini berlaku bahkan ketika grup aturan direferensikan dalam ACL web.

       Grup aturan dalam kategori ini adalah[AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md),[AWS Marketplace kelompok aturan](marketplace-rule-groups.md),[Mengenali kelompok aturan yang disediakan oleh layanan lain](waf-service-owned-rule-groups.md), dan grup aturan yang dibagikan dengan Anda oleh akun lain. Ketika paket perlindungan (web ACL) digunakan melalui Firewall Manager, aturan apa pun dalam WebACL yang memiliki tindakan Count tidak akan menampilkan metriknya di akun anggota.
     + **Label** - Label yang ditambahkan ke permintaan web selama evaluasi tercantum dalam metrik label paket perlindungan (web ACL). Anda dapat mengakses metrik untuk semua label, terlepas dari apakah itu ditambahkan oleh aturan dan grup aturan Anda atau oleh aturan dalam grup aturan yang dimiliki akun lain. 

     Untuk informasi selengkapnya, lihat [Melihat metrik untuk ACL web Anda](web-acl-testing-view-metrics.md).
   + **paket perlindungan (web ACL) dasbor ikhtisar lalu lintas** **— Akses ringkasan lalu lintas web yang telah dievaluasi oleh paket perlindungan (web ACL) dengan membuka halaman paket perlindungan (web ACL) di AWS WAF konsol dan membuka tab ikhtisar Lalu lintas.** 

     Dasbor ikhtisar lalu lintas menyediakan ringkasan hampir real-time dari CloudWatch metrik Amazon yang AWS WAF dikumpulkan saat mengevaluasi lalu lintas web aplikasi Anda. 

     Untuk informasi selengkapnya, lihat [Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md).
   + **Permintaan web sampel** — Akses informasi untuk aturan yang cocok dengan pengambilan sampel permintaan web. Informasi sampel mengidentifikasi aturan yang cocok dengan nama metrik untuk aturan dalam paket perlindungan (web ACL). Untuk grup aturan, metrik mengidentifikasi pernyataan referensi grup aturan. Untuk aturan di dalam grup aturan, sampel mencantumkan nama aturan yang cocok di`RuleWithinRuleGroup`. 

     Untuk informasi selengkapnya, lihat [Melihat contoh permintaan web](web-acl-testing-view-sample.md).

1. 

**Konfigurasikan mitigasi untuk mengatasi positif palsu**

   Jika Anda menentukan bahwa aturan menghasilkan positif palsu, dengan mencocokkan permintaan web ketika seharusnya tidak, opsi berikut dapat membantu Anda menyetel perlindungan paket perlindungan (web ACL) Anda untuk mengurangi. 

**Memperbaiki kriteria inspeksi aturan**  
Untuk aturan Anda sendiri, Anda sering hanya perlu menyesuaikan pengaturan yang Anda gunakan untuk memeriksa permintaan web. Contohnya termasuk mengubah spesifikasi dalam kumpulan pola regex, menyesuaikan transformasi teks yang Anda terapkan ke komponen permintaan sebelum pemeriksaan, atau beralih menggunakan alamat IP yang diteruskan. Lihat panduan untuk jenis aturan yang menyebabkan masalah, di bawah[Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md). 

**Memperbaiki masalah yang lebih kompleks**  
Untuk kriteria inspeksi yang tidak Anda kendalikan dan untuk beberapa aturan kompleks, Anda mungkin perlu membuat perubahan lain, seperti menambahkan aturan yang secara eksplisit mengizinkan atau memblokir permintaan atau yang menghilangkan permintaan dari evaluasi oleh aturan bermasalah. Kelompok aturan terkelola paling sering membutuhkan jenis mitigasi ini, tetapi aturan lain juga bisa. Contohnya termasuk pernyataan aturan berbasis laju dan pernyataan aturan serangan injeksi SQL. 

   Apa yang Anda lakukan untuk mengurangi positif palsu tergantung pada kasus penggunaan Anda. Berikut ini adalah pendekatan umum:
   + **Tambahkan aturan mitigasi — Tambahkan aturan** yang berjalan sebelum aturan baru dan yang secara eksplisit mengizinkan permintaan yang menyebabkan kesalahan positif. Untuk informasi tentang urutan evaluasi aturan di ACL web, lihat[Menetapkan prioritas aturan](web-acl-processing-order.md).

     Dengan pendekatan ini, permintaan yang diizinkan dikirim ke sumber daya yang dilindungi, sehingga mereka tidak pernah mencapai aturan baru untuk evaluasi. Jika aturan baru adalah grup aturan terkelola berbayar, pendekatan ini juga dapat membantu menahan biaya penggunaan grup aturan. 
   + **Tambahkan aturan logis dengan aturan mitigasi** — Gunakan pernyataan aturan logis untuk menggabungkan aturan baru dengan aturan yang mengecualikan positif palsu. Untuk informasi, lihat [Menggunakan pernyataan aturan logis di AWS WAF](waf-rule-statements-logical.md).

     Misalnya, Anda menambahkan pernyataan kecocokan serangan injeksi SQL yang menghasilkan positif palsu untuk kategori permintaan. Buat aturan yang cocok dengan permintaan tersebut, lalu gabungkan aturan menggunakan pernyataan aturan logis sehingga Anda hanya cocok pada permintaan yang keduanya tidak cocok dengan kriteria positif palsu dan cocok dengan kriteria serangan injeksi SQL. 
   + **Tambahkan pernyataan cakupan ke bawah — Untuk pernyataan** berbasis tingkat dan pernyataan referensi grup aturan terkelola, kecualikan permintaan yang menghasilkan positif palsu dari evaluasi dengan menambahkan pernyataan cakupan ke bawah di dalam pernyataan utama. 

     Permintaan yang tidak cocok dengan pernyataan scope-down tidak pernah mencapai kelompok aturan atau evaluasi berbasis tarif. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md) Sebagai contoh, lihat [Tidak termasuk rentang IP dari manajemen bot](waf-bot-control-example-scope-down-ip.md). 
   + **Tambahkan aturan pencocokan label** — Untuk grup aturan yang menggunakan pelabelan, identifikasi label yang diterapkan aturan bermasalah pada permintaan. Anda mungkin perlu mengatur aturan grup aturan dalam mode hitung terlebih dahulu, jika Anda belum melakukannya. Tambahkan aturan pencocokan label, diposisikan untuk dijalankan setelah grup aturan, yang cocok dengan label yang ditambahkan oleh aturan bermasalah. Dalam aturan pencocokan label, Anda dapat memfilter permintaan yang ingin Anda izinkan dari permintaan yang ingin Anda blokir. 

     Jika Anda menggunakan pendekatan ini, saat Anda selesai menguji, pertahankan aturan bermasalah dalam mode hitungan di grup aturan, dan pertahankan aturan pencocokan label kustom Anda. Untuk informasi tentang pernyataan pencocokan label, lihat[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md). Sebagai contoh, lihat [Mengizinkan bot tertentu yang diblokir](waf-bot-control-example-allow-blocked-bot.md) dan [Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan](waf-atp-control-example-user-agent-exception.md). 
   + **Mengubah versi grup aturan terkelola — Untuk grup** aturan terkelola berversi, ubah versi yang Anda gunakan. Misalnya, Anda dapat beralih kembali ke versi statis terakhir yang berhasil Anda gunakan. 

     Ini biasanya perbaikan sementara. Anda dapat mengubah versi untuk lalu lintas produksi saat melanjutkan pengujian versi terbaru di lingkungan pengujian atau pementasan, atau saat Anda menunggu versi yang lebih kompatibel dari penyedia. Untuk informasi tentang versi grup aturan terkelola, lihat[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md).

Ketika Anda puas bahwa aturan baru cocok dengan permintaan yang Anda butuhkan, lanjutkan ke tahap pengujian berikutnya dan ulangi prosedur ini. Lakukan tahap akhir pengujian dan penyetelan di lingkungan produksi Anda.

# Melihat metrik untuk ACL web Anda
<a name="web-acl-testing-view-metrics"></a>

Bagian ini menjelaskan cara melihat metrik untuk paket perlindungan Anda (web ACL).

Setelah mengaitkan paket perlindungan (web ACL) dengan satu atau beberapa AWS sumber daya, Anda dapat melihat metrik yang dihasilkan untuk asosiasi tersebut dalam grafik Amazon CloudWatch . 

Untuk informasi tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md). Untuk informasi tentang CloudWatch metrik, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Untuk setiap aturan Anda dalam paket perlindungan (web ACL) dan untuk semua permintaan yang diteruskan sumber daya terkait AWS WAF untuk paket perlindungan (web ACL), CloudWatch memungkinkan Anda melakukan hal berikut:
+ Lihat data untuk jam sebelumnya atau tiga jam sebelumnya.
+ Ubah interval antara titik data.
+ Ubah perhitungan yang CloudWatch dilakukan pada data, seperti maksimum, minimum, rata-rata, atau jumlah.

**catatan**  
AWS WAF with CloudFront adalah layanan global dan metrik hanya tersedia ketika Anda memilih Wilayah **AS Timur (Virginia N.)** di. Konsol Manajemen AWS Jika Anda memilih Wilayah lain, tidak ada AWS WAF metrik yang akan muncul di CloudWatch konsol.

**Untuk melihat data untuk aturan dalam paket perlindungan (web ACL)**

1. Masuk ke Konsol Manajemen AWS dan buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Jika perlu, ubah Wilayah ke wilayah tempat AWS sumber daya Anda berada. Untuk CloudFront, pilih Wilayah AS Timur (Virginia N.).

1. Di panel navigasi, di bawah **Metrik**, pilih **Semua metrik** dan kemudian cari di bawah tab **Jelajahi**. `AWS::WAFV2` 

1. Pilih kotak centang untuk paket perlindungan (web ACL) yang ingin Anda lihat datanya.

1. Ubah pengaturan yang berlaku:  
**Statistik**  
Pilih perhitungan yang CloudWatch dilakukan pada data.  
**Rentang waktu**  
Pilih apakah Anda ingin melihat data untuk jam sebelumnya atau tiga jam sebelumnya.  
**Periode**  
Pilih interval antara titik data dalam grafik.  
**Aturan**  
Pilih aturan yang ingin Anda lihat datanya.  
Jika Anda mengubah nama aturan dan Anda ingin nama metrik aturan mencerminkan perubahan, Anda harus memperbarui nama metrik juga. AWS WAF tidak secara otomatis memperbarui nama metrik untuk aturan saat Anda mengubah nama aturan. Anda dapat mengubah nama metrik saat mengedit aturan di konsol, dengan menggunakan editor JSON aturan. Anda juga dapat mengubah kedua nama melalui APIs dan dalam daftar JSON apa pun yang Anda gunakan untuk menentukan paket perlindungan (web ACL) atau grup aturan.

   Perhatikan hal-hal berikut:
   + Jika Anda baru-baru ini mengaitkan paket perlindungan (web ACL) dengan AWS sumber daya, Anda mungkin perlu menunggu beberapa menit agar data muncul di grafik dan metrik untuk paket perlindungan (web ACL) muncul dalam daftar metrik yang tersedia.
   + Jika Anda mengaitkan lebih dari satu sumber daya dengan paket perlindungan (web ACL), CloudWatch data akan menyertakan permintaan untuk semuanya.
   + Anda dapat mengarahkan kursor ke titik data untuk mendapatkan informasi lebih lanjut.
   + Grafik tidak menyegarkan diri secara otomatis. Untuk memperbarui tampilan, pilih ikon segarkan (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)).

Untuk informasi selengkapnya tentang CloudWatch metrik, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 

# Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)
<a name="web-acl-dashboards"></a>

Bagian ini menjelaskan dasbor ikhtisar lalu lintas paket perlindungan (web ACL) di konsol. AWS WAF **Setelah Anda mengaitkan paket perlindungan (web ACL) dengan satu atau lebih AWS sumber daya dan mengaktifkan metrik untuk paket perlindungan (web ACL), Anda dapat mengakses ringkasan lalu lintas web yang dievaluasi oleh paket perlindungan (web ACL) dengan membuka tab tinjauan lalu lintas paket perlindungan (web ACL) di konsol.** AWS WAF Dasbor mencakup ringkasan hampir real-time dari CloudWatch metrik Amazon yang AWS WAF dikumpulkan saat mengevaluasi lalu lintas web aplikasi Anda, termasuk bot AI khusus dan analisis aktivitas agen.

**catatan**  
Jika Anda tidak melihat apa pun di dasbor, pastikan metrik Anda diaktifkan untuk paket perlindungan (web ACL). 

Tab **tinjauan lalu lintas** paket perlindungan (web ACL) berisi dasbor tab dengan kategori informasi berikut: 
+ **Wawasan keamanan teratas** — Wawasan tentang AWS WAF perlindungan Anda yang AWS WAF diperoleh dengan menanyakan log Amazon secara langsung. CloudWatch Sisa dasbor menggunakan CloudWatch metrik. Wawasan ini memberikan informasi yang lebih kaya, tetapi menimbulkan biaya tambahan untuk menanyakan log. CloudWatch Untuk informasi tentang biaya tambahan, lihat [Harga CloudWatch Log Amazon](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Analisis Lalu Lintas AI** — Permintaan web yang dianalisis untuk aktivitas bot dan agen AI, termasuk identifikasi bot, klasifikasi maksud, pola akses, dan tren temporal. Tab ini tersedia saat paket perlindungan Anda (web ACL) menerima lalu lintas bot AI
+ **Semua lalu lintas** — Semua permintaan web yang dievaluasi oleh paket perlindungan (web ACL). 

  Fokus dasbor adalah pada penghentian tindakan, tetapi Anda dapat melihat aturan kecocokan untuk hitungan di lokasi berikut: 
  + **10 panel aturan teratas** dasbor ini. Alihkan **Beralih untuk menghitung tindakan untuk** menampilkan kecocokan aturan hitungan. 
  + Tab **permintaan sampel** dari halaman paket perlindungan (web ACL). Tab baru ini menyertakan grafik semua kecocokan aturan. Untuk informasi, lihat [Melihat contoh permintaan web](web-acl-testing-view-sample.md). 
+ **DDoAnti-S** — Web meminta agar paket perlindungan (web ACL) mengevaluasi menggunakan grup aturan terkelola `AntiDDoSRuleSet` Anti- DDo S.

  Tab ini hanya tersedia jika Anda menggunakan grup aturan ini di paket perlindungan (web ACL).
+ **Kontrol Bot** — Web meminta agar paket perlindungan (web ACL) mengevaluasi menggunakan grup aturan terkelola Bot Control. 
+ Jika Anda tidak menggunakan grup aturan ini dalam paket perlindungan (web ACL), tab ini menunjukkan hasil evaluasi pengambilan sampel lalu lintas web Anda terhadap aturan Kontrol Bot. Ini memberi Anda gambaran tentang lalu lintas bot yang diterima aplikasi Anda dan gratis. 

  Kelompok aturan ini adalah bagian dari opsi mitigasi ancaman cerdas yang AWS WAF ditawarkan. Untuk informasi selengkapnya, lihat [AWS WAF Kontrol Bot](waf-bot-control.md) dan [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
+ **Pencegahan pengambilalihan akun** — Web meminta agar paket perlindungan (web ACL) mengevaluasi menggunakan kelompok aturan yang dikelola Pencegahan Pengambilalihan Akun Kontrol AWS WAF Penipuan (ATP). Tab ini hanya tersedia jika Anda menggunakan grup aturan ini di paket perlindungan (web ACL). 

  Kelompok aturan ATP adalah bagian dari penawaran mitigasi ancaman AWS WAF cerdas. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](waf-atp.md) dan [AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)](aws-managed-rule-groups-atp.md).
+ **Pencegahan penipuan pembuatan akun** — Web meminta agar paket perlindungan (web ACL) mengevaluasi menggunakan grup aturan pencegahan AWS WAF penipuan pembuatan akun Kontrol Penipuan (ACFP) yang dikelola. Tab ini hanya tersedia jika Anda menggunakan grup aturan ini di paket perlindungan (web ACL). 

  Kelompok aturan ACFP adalah bagian dari penawaran mitigasi ancaman AWS WAF cerdas. Untuk informasi selengkapnya, lihat [AWS WAF Pencegahan penipuan pembuatan akun Kontrol Penipuan (ACFP)](waf-acfp.md) dan [AWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan](aws-managed-rule-groups-acfp.md).

Dasbor didasarkan pada metrik paket perlindungan (web ACL), dan grafik menyediakan akses ke CloudWatch metrik yang sesuai di. CloudWatch Untuk dasbor mitigasi ancaman cerdas, seperti Bot Control, metrik yang digunakan terutama adalah metrik label. 
+ Untuk daftar metrik yang AWS WAF menyediakan, lihat[AWS WAF metrik dan dimensi](waf-metrics.md).
+ Untuk informasi tentang CloudWatch metrik, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Dasbor memberikan ringkasan pola lalu lintas Anda untuk tindakan penghentian dan rentang tanggal yang Anda pilih. Dasbor mitigasi ancaman cerdas mencakup permintaan yang dievaluasi oleh grup aturan terkelola terkait, terlepas dari apakah grup aturan terkelola itu sendiri menerapkan tindakan penghentian. Misalnya, jika Block dipilih, dasbor **pencegahan pengambilalihan Akun** mencakup informasi untuk semua permintaan web yang dievaluasi oleh grup aturan terkelola ATP dan diblokir di beberapa titik selama evaluasi paket perlindungan (web ACL). Permintaan dapat diblokir oleh grup aturan terkelola ATP, dengan aturan yang dijalankan setelah grup aturan dalam paket perlindungan (web ACL), atau oleh tindakan default paket perlindungan (web ACL). 

# Melihat dasbor untuk paket perlindungan (web ACL)
<a name="web-acl-dashboards-accessing"></a>

Ikuti prosedur di bagian ini untuk mengakses dasbor paket perlindungan (web ACL) dan mengatur kriteria pemfilteran data. Jika Anda baru-baru ini mengaitkan paket perlindungan (web ACL) dengan AWS sumber daya, Anda mungkin perlu menunggu beberapa menit agar data tersedia di dasbor.

Dasbor menyertakan permintaan untuk semua sumber daya yang Anda kaitkan dengan paket perlindungan (web ACL). 

**Untuk melihat dasbor **ikhtisar lalu lintas** untuk paket perlindungan (web ACL)**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **paket perlindungan (web ACLs)** dan kemudian cari ACL web yang Anda minati. 

1. Pilih paket perlindungan (web ACL). Konsol membawa Anda ke halaman paket perlindungan (web ACL). Tab **Ikhtisar lalu lintas** dipilih secara default.

1. Ubah pengaturan **Filter data** sesuai kebutuhan. 
   + **Mengakhiri tindakan aturan** - Pilih tindakan penghentian untuk disertakan di dasbor. Dasbor merangkum metrik untuk permintaan web yang memiliki salah satu tindakan yang dipilih yang diterapkan oleh evaluasi paket perlindungan (web ACL). Jika Anda memilih semua tindakan yang tersedia, dasbor menyertakan semua permintaan web yang dievaluasi. Untuk informasi tentang tindakan, lihat[Bagaimana AWS WAF menangani tindakan kelompok aturan dan aturan](web-acl-rule-actions.md). 
   + **Rentang waktu** - Pilih interval waktu untuk dilihat di dasbor. Anda dapat memilih untuk melihat kerangka waktu relatif terhadap sekarang, misalnya 3 jam terakhir atau minggu terakhir, dan Anda dapat memilih rentang waktu absolut dari kalender. 
   + **Zona waktu** - Pengaturan ini berlaku saat Anda menentukan rentang waktu absolut. Anda dapat menggunakan zona waktu lokal browser Anda atau UTC (Coordinated Universal Time). 

Tinjau informasi di tab yang Anda minati. Pilihan filter data berlaku untuk semua dasbor. Di panel grafik, Anda dapat mengarahkan kursor ke titik data atau area untuk melihat detail tambahan. 

**Countaturan tindakan**  
Anda dapat melihat informasi untuk menghitung kecocokan tindakan di salah satu dari dua tempat. 
+ Di tab **Ikhtisar lalu lintas** ini, di dasbor **Semua lalu lintas**, temukan panel **10 aturan teratas** dan alihkan tindakan **Beralih untuk menghitung**. Dengan sakelar ini aktif, panel menampilkan kecocokan aturan hitungan alih-alih mengakhiri kecocokan aturan.
+ Di tab **Permintaan sampel** paket perlindungan (web ACL), lihat grafik semua kecocokan aturan dan tindakan untuk rentang waktu yang telah Anda tetapkan di tab **Ikhtisar lalu lintas**. Untuk informasi tentang tab **Permintaan sampel**, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

**CloudWatch Metrik Amazon**  
Di panel grafik dasbor, Anda dapat mengakses CloudWatch metrik untuk data grafik. Pilih opsi di bagian atas panel grafik atau dari menu tarik-turun **(**elipsis vertikal) di dalam panel. 

**Menyegarkan dasbor**  
Dasbor tidak disegarkan secara otomatis. Untuk memperbarui tampilan, pilih ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/cloudwatch-refresh-icon.png) ikon penyegaran.

# Contoh dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)
<a name="web-acl-dashboards-screenshots"></a>

Bagian ini menunjukkan contoh layar dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs). 

**catatan**  
Jika Anda sudah menggunakan AWS WAF untuk melindungi sumber daya aplikasi, Anda dapat melihat dasbor untuk paket perlindungan (web ACLs) apa pun di halamannya di AWS WAF konsol. Untuk informasi, lihat [Melihat dasbor untuk paket perlindungan (web ACL)](web-acl-dashboards-accessing.md).

**Contoh layar: Filter data dan **Semua tindakan dasbor lalu lintas** dihitung**  
Tangkapan layar berikut menggambarkan ikhtisar lalu lintas untuk paket perlindungan (web ACL) dengan tab **Semua lalu lintas** yang dipilih. Filter data diatur ke default: semua tindakan penghentian selama tiga jam terakhir. 

Di dalam dasbor semua lalu lintas adalah total tindakan untuk berbagai tindakan penghentian. Setiap panel mencantumkan jumlah permintaan dan menampilkan up/down panah yang menunjukkan perubahan sejak rentang waktu tiga jam sebelumnya. 

![\[AWS WAF Konsol menampilkan tab ikhtisar lalu lintas halaman paket perlindungan (ACL web) dengan filter data default yang dipilih. Opsi tindakan aturan penghentian adalahBlock,, AllowCAPTCHA, danChallenge. Di bawah bagian filter data adalah tab untuk semua lalu lintas, Kontrol Bot, dan pencegahan pengambilalihan Akun.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**Contoh layar: Jumlah tindakan dasbor **Kontrol Bot****  
Tangkapan layar berikut menggambarkan jumlah tindakan untuk dasbor Kontrol Bot. Ini menunjukkan panel total yang sama untuk rentang waktu, tetapi jumlahnya hanya untuk permintaan yang dievaluasi oleh grup aturan Kontrol Bot. Lebih jauh ke bawah, di panel **Total aksi**, Anda dapat melihat jumlah tindakan di seluruh rentang waktu tiga jam yang ditentukan. Untuk rentang waktu ini, CAPTCHA tindakan tidak diterapkan pada permintaan apa pun yang dievaluasi oleh grup aturan.

![\[AWS WAF Konsol menampilkan bagian atas dasbor Kontrol Bot, dengan total aksi untuk rentang waktu dan total tindakan di seluruh rentang waktu.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**Contoh layar: Jumlah tindakan **dasbor dasbor Analisis Lalu Lintas AI****  
Tangkapan layar berikut menggambarkan dasbor Analisis Lalu Lintas AI untuk paket perlindungan (web ACL). Dasbor menampilkan aktivitas bot AI selama rentang waktu yang dipilih dengan filter untuk organisasi bot, tipe maksud, dan status verifikasi.

![\[AWS WAF Konsol menampilkan bagian atas dasbor Analisis Lalu Lintas AI, dengan crawler teratas dan jalur teratas untuk rentang waktu dan total tindakan di seluruh rentang waktu.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


Dasbor meliputi:
+ **Panel Identitas Bot** - Daftar bot AI yang terdeteksi dengan nama dan organisasi
+ **Klasifikasi Maksud** - Mengkategorikan tujuan bot (perayapan, pengindeksan, penelitian, dll.)
+ **Pola Akses** - Teratas URLs diakses oleh agen AI dengan jumlah permintaan
+ **Analisis Temporal** - Tren aktivitas per jam dan harian dengan tampilan historis 14 hari
+ **Rincian Organisasi** — Volume lalu lintas menurut organisasi pemilik bot

**Contoh layar: Grafik ringkasan status token dasbor **Kontrol Bot****  
Tangkapan layar berikut menggambarkan dua grafik ringkasan yang tersedia di dasbor Kontrol Bot. Panel **status Token** menunjukkan jumlah untuk berbagai label status token, dipasangkan dengan tindakan aturan yang diterapkan pada permintaan. Panel **ambang batas tidak ada token IP** menunjukkan data untuk permintaan IPs yang mengirim terlalu banyak permintaan tanpa token. 

Melayang di atas area mana pun dalam grafik memunculkan detail informasi yang tersedia. Di panel **status Token** di tangkapan layar ini, mouse melayang di atas satu titik waktu, tanpa berada di garis grafik apa pun, sehingga konsol menampilkan data untuk semua baris pada saat itu. 

![\[AWS WAF Konsol menampilkan dua panel untuk status Token dan ambang batas tidak ada token IP, dengan garis grafik serupa untuk permintaan yang diblokir dan ditantang di setiap panel. Panel status Token juga memiliki grafik untuk permintaan yang diizinkan.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


Bagian ini hanya menampilkan beberapa ringkasan lalu lintas yang disediakan di dasbor ikhtisar lalu lintas paket perlindungan (web ACL). Untuk melihat dasbor untuk salah satu paket perlindungan Anda (web ACLs), buka halaman paket perlindungan (web ACL) di konsol. Untuk informasi tentang cara melakukan ini, lihat panduan di[Melihat dasbor untuk paket perlindungan (web ACL)](web-acl-dashboards-accessing.md).

# Melihat contoh permintaan web
<a name="web-acl-testing-view-sample"></a>

Bagian ini menjelaskan tab **permintaan sampel** paket perlindungan (web ACL) di konsol. AWS WAF Di tab ini, Anda dapat melihat grafik dari semua aturan yang cocok untuk permintaan web yang AWS WAF telah diperiksa. Selain itu, jika Anda mengaktifkan sampling permintaan untuk paket perlindungan (web ACL), Anda dapat melihat tampilan tabel dari sampel permintaan web yang AWS WAF telah diperiksa. Anda juga dapat mengambil informasi permintaan sampel melalui panggilan API. `GetSampledRequests`

Contoh permintaan berisi hingga 100 permintaan yang cocok dengan kriteria aturan dalam paket perlindungan (web ACL) dan 100 permintaan lainnya untuk permintaan yang tidak cocok dengan aturan apa pun dan menerapkan tindakan default paket perlindungan (web ACL). Permintaan dalam sampel berasal dari semua sumber daya yang dilindungi yang telah menerima permintaan untuk konten Anda dalam tiga jam sebelumnya. 

Ketika permintaan web cocok dengan kriteria dalam aturan dan tindakan untuk aturan tersebut tidak mengakhiri evaluasi permintaan, AWS WAF lanjutkan memeriksa permintaan web menggunakan aturan berikutnya dalam paket perlindungan (web ACL). Karena itu, permintaan web dapat muncul beberapa kali. Untuk informasi tentang perilaku tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

**Untuk melihat grafik semua aturan dan permintaan sampel**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Di panel navigasi, pilih **paket perlindungan (web ACLs)**.

1. Pilih nama paket perlindungan (web ACL) yang ingin Anda lihat permintaannya. Konsol membawa Anda ke deskripsi paket perlindungan (web ACL), tempat Anda dapat mengeditnya.

1. Di tab **Permintaan sampel**, Anda dapat melihat yang berikut: 
   + **Grafik semua aturan** — Grafik ini menunjukkan aturan yang cocok dan tindakan aturan untuk semua evaluasi permintaan web yang dilakukan selama rentang waktu yang ditunjukkan. 
**catatan**  
Rentang waktu untuk grafik ini diatur dalam paket perlindungan (web ACL) tab **ikhtisar lalu lintas**, di bagian **Filter data**. Untuk informasi, lihat [Melihat dasbor untuk paket perlindungan (web ACL)](web-acl-dashboards-accessing.md). 
   + **Tabel permintaan sampel** - Tabel ini menampilkan data permintaan sampel selama 3 jam terakhir. 
**catatan**  
Jika Anda tidak melihat sampel yang Anda harapkan untuk grup aturan terkelola, lihat bagian di bawah prosedur ini. 

     Untuk setiap entri, tabel menampilkan data berikut:  
**Nama metrik**  
Nama CloudWatch metrik untuk aturan dalam paket perlindungan (web ACL) yang cocok dengan permintaan. Jika permintaan web tidak cocok dengan aturan apa pun dalam paket perlindungan (web ACL), nilai ini adalah **Default**.  
Jika Anda mengubah nama aturan dan Anda ingin nama metrik aturan mencerminkan perubahan, Anda harus memperbarui nama metrik juga. AWS WAF tidak secara otomatis memperbarui nama metrik untuk aturan saat Anda mengubah nama aturan. Anda dapat mengubah nama metrik saat mengedit aturan di konsol, dengan menggunakan editor JSON aturan. Anda juga dapat mengubah kedua nama melalui APIs dan dalam daftar JSON apa pun yang Anda gunakan untuk menentukan paket perlindungan (web ACL) atau grup aturan.  
**IP sumber**  
Entah alamat IP tempat permintaan berasal atau, jika penampil menggunakan proxy HTTP atau Application Load Balancer untuk mengirim permintaan, alamat IP proxy atau Application Load Balancer.   
**URI**  
Bagian dari URL yang mengidentifikasi sumber daya, misalnya,`/images/daily-ad.jpg`.  
**Aturan di dalam kelompok aturan**  
Jika nama metrik mengidentifikasi pernyataan referensi grup aturan, ini mengidentifikasi aturan di dalam grup aturan yang cocok dengan permintaan.   
**Tindakan**  
Menunjukkan tindakan untuk aturan yang sesuai. Untuk informasi tentang kemungkinan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).  
Permintaan sampel untuk aturan dengan tindakan Hitung dalam grup aturan tidak tersedia dalam tampilan ACL Web. Metrik hitungan dan permintaan sampel untuk aturan grup aturan hanya dapat dilihat oleh pemilik grup aturan.  
**Waktu**  
Waktu yang AWS WAF menerima permintaan dari sumber daya yang dilindungi. 

     Untuk menampilkan informasi tambahan tentang komponen permintaan web, pilih nama URI di baris permintaan.

**Permintaan sampel untuk aturan dalam grup aturan terkelola**  
Konsol menampilkan metrik untuk grup aturan dengan “aturan di dalam grup aturan” yang menentukan aturan yang dipicu. Anda dapat melihat metrik untuk aturan dan aturan tindakan default menggunakan setelan terbaru. `RuleActionOverrides` Untuk aturan yang menggunakan `ExcludedRules` setelan lama, pilih aturan spesifik dari dalam kumpulan aturan dari menu tarik-turun aturan metrik **Permintaan Sampel**.

Jika Anda melihat pengaturan yang lebih lama, ganti dengan pengaturan baru untuk mulai membuat permintaan sampel tersedia melalui konsol. Anda dapat melakukan ini melalui konsol dengan mengedit grup aturan terkelola di paket perlindungan (web ACL) dan menyimpannya. AWS WAF secara otomatis mengganti pengaturan yang lebih lama dengan `RuleActionOverrides` pengaturan dan menyetel tindakan aturan override ke. Count Untuk informasi selengkapnya tentang dua pengaturan ini, lihat[Daftar JSON: menggantikan `RuleActionOverrides` `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude).

Anda dapat mengakses permintaan sampel untuk aturan yang memiliki penggantian lama melalui AWS WAF REST API SDKs, atau baris perintah. Untuk selengkapnya, lihat [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)di *Referensi AWS WAF API*.

Berikut ini menunjukkan sintaks untuk permintaan baris perintah: 

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# Mengaktifkan perlindungan Anda dalam produksi
<a name="web-acl-testing-enable-production"></a>

Bagian ini memberikan instruksi untuk mengaktifkan perlindungan Anda yang disetel dalam produksi.

Ketika Anda telah menyelesaikan tahap akhir pengujian dan penyetelan di lingkungan produksi Anda, aktifkan perlindungan Anda dalam mode produksi.

**Risiko lalu lintas produksi**  
Sebelum Anda menerapkan paket perlindungan (web ACL) untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Juga uji dan sesuaikan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkan perlindungan Anda untuk lalu lintas produksi. 

**catatan**  
Untuk mengikuti panduan di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelola AWS WAF perlindungan seperti paket perlindungan (web ACLs), aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian Anda, kemudian dalam produksi.

**Aktifkan AWS WAF perlindungan Anda dalam produksi**

1. 

**Beralih ke perlindungan produksi Anda**

   Perbarui paket perlindungan Anda (web ACL) dan alihkan pengaturan Anda untuk produksi. 

   1. 

**Hapus aturan pengujian apa pun yang tidak Anda butuhkan**

      Jika Anda menambahkan aturan pengujian yang tidak Anda perlukan dalam produksi, hapus aturan tersebut. Jika Anda menggunakan aturan pencocokan label apa pun untuk memfilter hasil aturan grup aturan terkelola, pastikan untuk membiarkannya tetap berlaku. 

   1. 

**Beralih ke tindakan produksi**

      Ubah setelan tindakan untuk aturan baru Anda ke pengaturan produksi yang dimaksudkan. 
      + **Aturan yang didefinisikan dalam paket perlindungan (web ACL)** — Edit aturan dalam paket perlindungan (web ACL) dan ubah tindakan mereka dari Count tindakan produksi mereka. 
      + **Grup aturan** — Dalam konfigurasi paket perlindungan (web ACL) grup aturan, alihkan aturan untuk menggunakan tindakan mereka sendiri atau biarkan mereka dengan penggantian Count tindakan, sesuai dengan hasil aktivitas pengujian dan penyetelan Anda. Jika Anda menggunakan aturan pencocokan label untuk memfilter hasil aturan grup aturan, pastikan untuk membiarkan penggantian untuk aturan tersebut di tempatnya. 

        Untuk beralih menggunakan tindakan aturan, dalam konfigurasi paket perlindungan (web ACL) Anda, edit pernyataan aturan untuk grup aturan dan hapus Count penggantian untuk aturan tersebut. Jika Anda mengelola paket perlindungan (web ACL) di JSON, dalam pernyataan referensi grup aturan, hapus entri untuk aturan dari daftar. `RuleActionOverrides` 
      + **paket perlindungan (web ACL)** - Jika Anda mengubah tindakan default paket perlindungan (web ACL) untuk pengujian Anda, alihkan ke pengaturan produksinya. 

      Dengan pengaturan ini, perlindungan baru Anda akan mengelola lalu lintas web sesuai keinginan Anda. 

   Saat Anda menyimpan paket perlindungan (web ACL), sumber daya yang terkait dengannya akan menggunakan pengaturan produksi Anda. 

1. 

**Memantau dan menyetel**

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas baru. Anda akan memantau metrik dan log untuk tindakan aturan produksi, alih-alih tindakan hitungan yang Anda pantau dalam pekerjaan penyetelan Anda. Terus pantau dan sesuaikan perilaku sesuai kebutuhan untuk beradaptasi dengan perubahan lalu lintas web Anda. 

# Menggunakan AWS WAF dengan Amazon CloudFront
<a name="cloudfront-features"></a>

Pelajari cara menggunakan AWS WAF CloudFront fitur Amazon.

Saat Anda membuat paket perlindungan (web ACL), Anda dapat menentukan satu atau CloudFront beberapa distribusi yang AWS WAF ingin Anda periksa. CloudFront mendukung dua jenis distribusi: distribusi standar yang melindungi penyewa individu, dan distribusi multi-penyewa yang melindungi beberapa penyewa melalui satu templat konfigurasi bersama. AWS WAF memeriksa permintaan web untuk kedua jenis distribusi berdasarkan aturan yang Anda tetapkan dalam paket perlindungan Anda (web ACLs), dengan pola implementasi yang berbeda untuk setiap jenis.

**Topics**
+ [Cara AWS WAF kerja dengan jenis distribusi yang berbeda](#cloudfront-features-distribution-types)
+ [Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate](#waf-cf-pricing-plans)
+ [Kasus penggunaan umum untuk melindungi CloudFront distribusi dengan AWS WAF](cloudfront-waf-use-cases.md)

## Cara AWS WAF kerja dengan jenis distribusi yang berbeda
<a name="cloudfront-features-distribution-types"></a>

### Jenis distribusi
<a name="distribution-types-overview"></a>

AWS WAF menyediakan kemampuan firewall aplikasi web untuk distribusi distribusi CloudFront standar dan multi-tenant.

#### Distribusi standar
<a name="standard-distribution-overview"></a>

Untuk distribusi standar, AWS WAF tambahkan perlindungan menggunakan paket perlindungan tunggal (web ACL) untuk setiap distribusi. Anda dapat mengaktifkan perlindungan ini dengan mengaitkan paket perlindungan yang ada (web ACL) dengan CloudFront distribusi atau dengan menggunakan perlindungan satu klik di konsol. CloudFront Ini memungkinkan Anda mengelola kontrol keamanan untuk setiap distribusi Anda secara independen, karena setiap perubahan pada paket perlindungan (web ACL) hanya akan memengaruhi distribusi yang terkait dengannya.

Metode sederhana untuk melindungi CloudFront distribusi ini optimal untuk menyediakan domain individu dengan perlindungan khusus dari paket perlindungan tunggal (web ACL).

##### Pertimbangan distribusi standar
<a name="standard-waf-considerations"></a>
+ Perubahan pada paket perlindungan (web ACL) hanya memengaruhi distribusi terkaitnya
+ Setiap distribusi memerlukan konfigurasi paket perlindungan independen (web ACL)
+ Aturan dan kelompok aturan dikelola secara terpisah untuk setiap distribusi

#### Distribusi multi-penyewa
<a name="tenant-distribution-overview"></a>

Untuk distribusi multi-tenant, AWS WAF tambahkan perlindungan di beberapa domain menggunakan paket perlindungan tunggal (web ACL). Domain yang dikelola oleh distribusi multi-tenant dikenal sebagai penyewa distribusi. Anda hanya dapat mengaktifkan AWS WAF perlindungan untuk distribusi multi-tenant di CloudFront konsol, baik selama atau setelah proses pembuatan distribusi multi-tenant. Namun, perubahan pada paket perlindungan (web ACL) masih dikelola melalui AWS WAF konsol atau API. 

Distribusi multi-tenant menawarkan fleksibilitas untuk memungkinkan AWS WAF perlindungan pada dua tingkat:
+ **Tingkat distribusi multi-tenant** — Paket perlindungan terkait (web ACLs) menyediakan kontrol keamanan dasar yang berlaku untuk semua aplikasi yang berbagi distribusi itu
+ **Tingkat penyewa distribusi** - Penyewa individu dalam distribusi multi-penyewa dapat memiliki paket perlindungan sendiri (web ACLs) untuk menerapkan kontrol keamanan tambahan atau mengganti pengaturan distribusi multi-penyewa

Kedua tingkatan ini membuat distribusi multi-tenant optimal untuk berbagi AWS WAF perlindungan di beberapa domain tanpa kehilangan kemampuan untuk menyesuaikan keamanan untuk distribusi individual. 

#### Pertimbangan distribusi multi-penyewa
<a name="tenant-waf-considerations"></a>
+ Penyewa distribusi individu mewarisi perubahan yang dibuat pada paket perlindungan (web ACLs) yang terkait dengan distribusi multi-penyewa terkait
+ Paket perlindungan (web ACLs) yang terkait dengan penyewa distribusi tertentu dapat mengganti pengaturan yang dikonfigurasi pada tingkat paket perlindungan multi-tenant (web ACL)
+ Kelompok aturan terkelola dapat diimplementasikan pada tingkat penyewa distribusi dan distribusi
+ Pengidentifikasi aplikasi dapat ditemukan di log untuk melacak peristiwa keamanan dengan distribusi

### AWS WAF fitur berdasarkan jenis distribusi
<a name="distribution-types-comparison"></a>


**Bandingkan implementasi paket perlindungan (web ACL)**  

| AWS WAF Fitur | Distribusi standar | Distribusi multi-penyewa | 
| --- | --- | --- | 
| Mengaitkan paket perlindungan (web ACLs) | Satu paket perlindungan (web ACL) per distribusi | Anda dapat berbagi paket perlindungan (web ACLs) di seluruh penyewa, dengan paket perlindungan khusus penyewa opsional (web) ACLs | 
| Manajemen aturan | Aturan mempengaruhi distribusi tunggal | Aturan distribusi multi-penyewa mempengaruhi semua penyewa terkait; aturan khusus penyewa distribusi hanya memengaruhi penyewa itu | 
| Grup aturan terkelola | Diterapkan pada distribusi individu | Dapat diterapkan pada tingkat distribusi multi-tenant untuk semua penyewa atau di tingkat penyewa untuk aplikasi tertentu | 
| Pencatatan log |  AWS WAF Log standar | Log menyertakan pengenal penyewa untuk atribusi peristiwa keamanan | 

## Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate
<a name="waf-cf-pricing-plans"></a>

CloudFront Paket harga flat-rate menggabungkan jaringan pengiriman konten CloudFront global Amazon (CDN) dengan beberapa fitur Layanan AWS dan menjadi harga bulanan tanpa biaya kelebihan, terlepas dari lonjakan atau serangan lalu lintas.

Paket harga flat-rate mencakup hal-hal berikut Layanan AWS dan fitur untuk harga bulanan sederhana:
+ CloudFront CDN
+ AWS WAF dan perlindungan DDo S
+ Manajemen dan analitik bot
+ Amazon Route 53 DNS
+ Amazon CloudWatch Logs konsumsi
+ Sertifikat TLS
+ Perhitungan tepi tanpa server
+ Kredit penyimpanan Amazon S3 setiap bulan

Paket tersedia dalam tingkatan Gratis, Pro, Bisnis, dan Premium agar sesuai dengan kebutuhan aplikasi Anda. Paket tidak memerlukan komitmen tahunan untuk mendapatkan harga terbaik yang tersedia. Mulailah dengan paket Gratis dan tingkatkan untuk mengakses lebih banyak kemampuan dan tunjangan penggunaan yang lebih besar.

Untuk informasi selengkapnya dan daftar lengkap paket dan fitur, lihat [paket CloudFront harga tarif tetap di Panduan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) *Pengembang Amazon*.

**penting**  
Paket AWS WAF perlindungan yang valid (web ACL) harus tetap terkait dengan CloudFront distribusi Anda saat menggunakan paket harga apa pun. Anda tidak dapat menghapus asosiasi paket perlindungan (web ACL) kecuali Anda beralih kembali ke pay-as-you-go harga.  
Meskipun ACL AWS WAF web harus tetap terkait dengan distribusi Anda, Anda mempertahankan kontrol penuh atas konfigurasi keamanan Anda. Anda dapat menyesuaikan perlindungan dengan menyesuaikan aturan mana yang diaktifkan atau dinonaktifkan di ACL web Anda, dan memodifikasi pengaturan aturan agar sesuai dengan persyaratan keamanan Anda. Untuk informasi tentang mengelola aturan ACL web, lihat [AWS WAF Aturan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Kasus penggunaan umum untuk melindungi CloudFront distribusi dengan AWS WAF
<a name="cloudfront-waf-use-cases"></a>

 AWS WAF Fitur-fitur berikut bekerja dengan cara yang sama untuk semua CloudFront distribusi. Pertimbangan untuk distribusi multi-tenant dicantumkan mengikuti setiap skenario fitur.

## Menggunakan AWS WAF dengan halaman kesalahan CloudFront kustom
<a name="cloudfront-features-custom-error-pages"></a>

Secara default, ketika AWS WAF memblokir permintaan web berdasarkan kriteria yang Anda tentukan, ia mengembalikan kode status HTTP `403 (Forbidden)` ke CloudFront, dan CloudFront mengembalikan kode status tersebut ke penampil. Penampil kemudian menampilkan pesan default singkat dan jarang diformat mirip dengan berikut ini:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Anda dapat mengganti perilaku ini dalam aturan paket AWS WAF perlindungan (web ACL) dengan menentukan respons khusus. Untuk informasi selengkapnya tentang menyesuaikan perilaku respons menggunakan AWS WAF aturan, lihat[Mengirim tanggapan khusus untuk Block tindakan](customizing-the-response-for-blocked-requests.md).

**catatan**  
Respons yang Anda sesuaikan menggunakan AWS WAF aturan lebih diutamakan daripada spesifikasi respons apa pun yang Anda tentukan di halaman kesalahan CloudFront kustom.

Jika Anda lebih suka menampilkan pesan kesalahan kustom melalui CloudFront, mungkin menggunakan format yang sama seperti situs web Anda lainnya, Anda dapat mengonfigurasi CloudFront untuk kembali ke penampil objek (misalnya, file HTML) yang berisi pesan kesalahan kustom Anda.

**catatan**  
CloudFront tidak dapat membedakan antara kode status HTTP 403 yang dikembalikan oleh asal Anda dan yang dikembalikan oleh AWS WAF ketika permintaan diblokir. Ini berarti bahwa Anda tidak dapat mengembalikan halaman kesalahan kustom yang berbeda berdasarkan penyebab yang berbeda dari kode status HTTP 403.

Untuk informasi selengkapnya tentang halaman kesalahan CloudFront kustom, lihat [Menghasilkan respons kesalahan kustom](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) di *Panduan CloudFront Pengembang Amazon*.

### Halaman kesalahan kustom dalam distribusi multi-penyewa
<a name="custom-error-pages-template-distributions"></a>

Untuk distribusi CloudFront multi-tenant, Anda dapat mengonfigurasi halaman kesalahan kustom dengan cara berikut:
+ Pada tingkat multi-tenant - Pengaturan ini berlaku untuk semua distribusi penyewa yang menggunakan template distribusi multi-tenant
+ Melalui AWS WAF aturan - Respons khusus yang didefinisikan dalam paket perlindungan (web ACLs) lebih diutamakan daripada distribusi multi-penyewa dan halaman kesalahan kustom tingkat penyewa

## Menggunakan AWS WAF dengan CloudFront untuk aplikasi yang berjalan di server HTTP Anda sendiri
<a name="cloudfront-features-your-own-http-server"></a>

Saat menggunakannya AWS WAF CloudFront, Anda dapat melindungi aplikasi yang berjalan di server web HTTP apa pun, baik itu server web yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) atau server web yang Anda kelola secara pribadi. Anda juga dapat mengonfigurasi CloudFront untuk meminta HTTPS antara CloudFront dan server web Anda sendiri, serta antara pemirsa dan CloudFront.

**Membutuhkan HTTPS antara CloudFront dan server web Anda sendiri**  
Untuk mewajibkan HTTPS antara CloudFront dan server web Anda sendiri, Anda dapat menggunakan fitur asal CloudFront kustom dan mengonfigurasi **Kebijakan Protokol Asal** dan pengaturan **Nama Domain Asal untuk asal** tertentu. Dalam CloudFront konfigurasi Anda, Anda dapat menentukan nama DNS server bersama dengan port dan protokol yang CloudFront ingin Anda gunakan saat mengambil objek dari asal Anda. Anda juga harus memastikan bahwa SSL/TLS sertifikat di server asal kustom Anda cocok dengan nama domain asal yang telah Anda konfigurasikan. Ketika Anda menggunakan server web HTTP Anda sendiri di luar AWS, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga tepercaya (CA), misalnya, Comodo DigiCert, atau Symantec. Untuk informasi selengkapnya tentang mewajibkan HTTPS untuk komunikasi antara CloudFront dan server web Anda sendiri, lihat topik [Memerlukan HTTPS untuk Komunikasi Antara CloudFront dan Asal Kustom Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) di *Panduan CloudFront Pengembang Amazon*.

**Membutuhkan HTTPS antara penampil dan CloudFront**  
Untuk mewajibkan HTTPS antara pemirsa dan CloudFront, Anda dapat mengubah **Kebijakan Protokol Penampil** untuk satu atau beberapa perilaku cache dalam CloudFront distribusi Anda. Untuk informasi selengkapnya tentang penggunaan HTTPS antar pemirsa dan CloudFront, lihat topik [Memerlukan HTTPS untuk Komunikasi Antar CloudFront Pemirsa dan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di *Panduan CloudFront Pengembang Amazon*. Anda juga dapat membawa sertifikat SSL Anda sendiri sehingga pemirsa dapat terhubung ke CloudFront distribusi Anda melalui HTTPS menggunakan nama domain Anda sendiri, misalnya *https://www.mysite.com*. Untuk informasi selengkapnya, lihat topik [Mengonfigurasi Nama Domain Alternatif dan HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) di *Panduan CloudFront Pengembang Amazon*.

Untuk distribusi multi-tenant, konfigurasi metode HTTP mengikuti hierarki ini:
+ Pengaturan tingkat templat menentukan metode HTTP dasar yang diizinkan untuk semua distribusi penyewa
+ Distribusi penyewa dapat mengganti pengaturan ini ke:
  + Izinkan metode yang lebih sedikit daripada distribusi multi-tenant (menggunakan AWS WAF aturan untuk memblokir metode tambahan)
  + Izinkan lebih banyak metode jika distribusi multi-tenant dikonfigurasi untuk mendukungnya
+ AWS WAF aturan di distribusi multi-penyewa dan tingkat penyewa dapat lebih membatasi metode HTTP terlepas dari konfigurasi CloudFront 

## Memilih metode HTTP yang CloudFront merespons
<a name="cloudfront-features-allowed-http-methods"></a>

Saat Anda membuat distribusi CloudFront web Amazon, Anda memilih metode HTTP yang ingin CloudFront Anda proses dan teruskan ke asal Anda. Anda dapat memilih dari opsi berikut:
+ **`GET`, `HEAD`** — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda atau untuk mendapatkan header objek.
+ **`GET`,`HEAD`, `OPTIONS`** — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda, mendapatkan header objek, atau mengambil daftar opsi yang didukung server asal Anda.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,`POST`,`PATCH`, `DELETE`** — Anda dapat menggunakan CloudFront untuk mendapatkan, menambah, memperbarui, dan menghapus objek, dan untuk mendapatkan header objek. Selain itu, Anda dapat melakukan `POST` operasi lain seperti mengirimkan data dari formulir web.

Anda juga dapat menggunakan pernyataan aturan pencocokan AWS WAF byte untuk mengizinkan atau memblokir permintaan berdasarkan metode HTTP, seperti yang dijelaskan dalam[Pernyataan aturan kecocokan string](waf-rule-statement-type-string-match.md). Jika Anda ingin menggunakan kombinasi metode yang CloudFront mendukung, seperti `GET` dan`HEAD`, maka Anda tidak perlu mengkonfigurasi AWS WAF untuk memblokir permintaan yang menggunakan metode lain. Jika Anda ingin mengizinkan kombinasi metode yang CloudFront tidak mendukung, seperti,, dan `GET` `HEAD``POST`, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian gunakan AWS WAF untuk memblokir permintaan yang menggunakan metode lain.

Untuk informasi selengkapnya tentang memilih metode yang CloudFront merespons, lihat [Metode HTTP yang Diizinkan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) dalam topik [Nilai yang Anda Tentukan Saat Membuat atau Memperbarui Distribusi Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) di *Panduan CloudFront Pengembang Amazon*.

**Konfigurasi metode HTTP yang diizinkan dalam distribusi multi-tenant**  
Untuk distribusi multi-tenant, konfigurasi metode HTTP yang ditetapkan pada tingkat distribusi multi-tenant berlaku untuk semua distribusi penyewa secara default. Distribusi penyewa dapat mengganti pengaturan ini jika diperlukan.
+ Jika Anda ingin menggunakan kombinasi metode yang CloudFront mendukung, seperti `GET` dan`HEAD`, Anda tidak perlu mengonfigurasi AWS WAF untuk memblokir permintaan yang menggunakan metode lain.
+ Jika Anda ingin mengizinkan kombinasi metode yang CloudFront tidak mendukung secara default, seperti,, dan `GET` `HEAD``POST`, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian gunakan AWS WAF untuk memblokir permintaan yang menggunakan metode lain.

Saat menerapkan header keamanan dalam distribusi multi-tenant, pertimbangkan hal berikut:
+ Header keamanan tingkat templat memberikan perlindungan dasar di semua distribusi penyewa
+ Distribusi penyewa dapat:
  + Tambahkan header keamanan baru yang tidak ditentukan dalam distribusi multi-tenant
  + Ubah nilai untuk header khusus penyewa
  + Tidak dapat menghapus atau mengganti header keamanan yang disetel pada tingkat distribusi multi-penyewa
+ Pertimbangkan untuk menggunakan header tingkat distribusi multi-tenant untuk kontrol keamanan penting yang harus berlaku untuk semua penyewa

## Pertimbangan penebangan
<a name="cloudfront-features-logging"></a>

Distribusi standar dan multi-tenant mendukung AWS WAF pencatatan, tetapi ada perbedaan penting dalam bagaimana log disusun dan dikelola:


**Perbandingan logging**  

| Distribusi standar | Distribusi multi-penyewa | 
| --- | --- | 
| Satu konfigurasi log per distribusi | Opsi pencatatan template dan tingkat penyewa | 
| Bidang log standar | Bidang pengenal penyewa tambahan | 
| Tujuan tunggal per distribusi | Tujuan terpisah dimungkinkan untuk distribusi multi-penyewa dan log penyewa | 

## Sumber daya tambahan
<a name="cloudfront-saas-additional-resources"></a>
+ *Untuk mempelajari lebih lanjut tentang distribusi multi-penyewa, lihat [Mengonfigurasi distribusi di Panduan Pengembang](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Amazon. CloudFront *
+ Untuk mempelajari lebih lanjut tentang menggunakan AWS WAF dengan CloudFront, lihat [Menggunakan AWS WAF perlindungan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.
+ Untuk mempelajari lebih lanjut tentang AWS WAF log, lihat[Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).

# Keamanan dalam penggunaan AWS WAF layanan Anda
<a name="security"></a>

Bagian ini menjelaskan bagaimana model tanggung jawab bersama berlaku AWS WAF.

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

**catatan**  
Bagian ini memberikan panduan AWS keamanan standar untuk penggunaan Anda atas AWS WAF layanan dan AWS sumber dayanya, seperti paket AWS WAF perlindungan (web ACLs) dan grup aturan.   
Untuk informasi tentang melindungi AWS sumber daya Anda menggunakan AWS WAF, lihat AWS WAF panduan lainnya. 

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku AWS WAF, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku. 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS WAF. Topik berikut menunjukkan cara mengonfigurasi AWS WAF untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS WAF sumber daya Anda. 

**Topics**
+ [Melindungi data Anda di AWS WAF](data-protection.md)
+ [Menggunakan IAM dengan AWS WAF](security-iam.md)
+ [Penebangan dan pemantauan di AWS WAF](waf-incident-response.md)
+ [Memvalidasi kepatuhan di AWS WAF](waf-compliance.md)
+ [Membangun ketahanan di AWS WAF](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS WAF](infrastructure-security.md)

# Melindungi data Anda di AWS WAF
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS WAF. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS WAF atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

AWS WAF entitas — seperti paket perlindungan (web ACLs), grup aturan, dan set IP — dienkripsi saat istirahat, kecuali di Wilayah tertentu di mana enkripsi tidak tersedia, termasuk Tiongkok (Beijing) dan Tiongkok (Ningxia). Kunci enkripsi unik digunakan untuk setiap Wilayah. 

## Menghapus sumber daya AWS WAF
<a name="deleting-resources"></a>

Anda dapat menghapus sumber daya yang Anda buat AWS WAF. Lihat panduan untuk setiap jenis sumber daya di bagian berikut.
+ [Menghapus paket perlindungan (web ACL)](web-acl-deleting.md)
+ [Menghapus grup aturann](waf-rule-group-deleting.md)
+ [Menghapus set IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Menghapus set pola regex](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Menggunakan IAM dengan AWS WAF
<a name="security-iam"></a>

Bagian ini menjelaskan cara menggunakan IAM dengan AWS WAF.



AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS WAF IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS WAF bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk AWS WAF](security-iam-awsmanpol.md)
+ [Memecahkan masalah AWS WAF identitas dan akses](security_iam_troubleshoot.md)
+ [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS WAF identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS WAF bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana AWS WAF bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Bagian ini menjelaskan cara menggunakan fitur IAM dengan AWS WAF.

Sebelum Anda menggunakan IAM untuk mengelola akses AWS WAF, pelajari fitur IAM yang tersedia untuk digunakan. AWS WAF






**Fitur IAM yang dapat Anda gunakan AWS WAF**  

| Fitur IAM | AWS WAF dukungan | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Ya  | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Tidak   | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Parsial  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Ya  | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |   Ya  | 

Untuk mendapatkan tampilan tingkat tinggi tentang cara AWS WAF dan AWS layanan lain bekerja dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Kebijakan berbasis identitas untuk AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

Untuk melihat contoh kebijakan AWS WAF berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya dalam AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya**: Ya

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

AWS WAF menggunakan kebijakan berbasis sumber daya untuk mendukung pembagian grup aturan di seluruh akun. Anda membagikan grup aturan yang Anda miliki dengan AWS akun lain dengan menyediakan setelan kebijakan berbasis sumber daya ke panggilan AWS WAF API `PutPermissionPolicy` atau panggilan CLI atau SDK yang setara. Untuk informasi tambahan, termasuk contoh dan tautan ke dokumentasi untuk bahasa lain yang tersedia, lihat [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)di Referensi AWS WAF API. Fungsionalitas ini tidak tersedia melalui cara lain, seperti konsol atau CloudFormation. 

## Tindakan kebijakan untuk AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



Untuk melihat daftar AWS WAF tindakan dan izin untuk masing-masing tindakan, lihat [Tindakan yang ditentukan oleh AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) di Referensi *Otorisasi Layanan*.

Tindakan kebijakan AWS WAF menggunakan awalan berikut sebelum tindakan:

```
wafv2
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan AWS WAF yang dimulai dengan`List`, sertakan tindakan berikut:

```
"Action": "wafv2:List*"
```

Untuk melihat contoh kebijakan AWS WAF berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md)

### Tindakan yang memerlukan pengaturan izin tambahan
<a name="security_iam_action-additions"></a>

Beberapa tindakan memerlukan izin yang tidak dapat dijelaskan sepenuhnya dalam [Tindakan yang ditentukan oleh AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) di Referensi *Otorisasi Layanan*. Bagian ini memberikan informasi izin tambahan.

**Topics**
+ [Izin untuk `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Izin untuk `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Izin untuk `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Izin untuk `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Izin untuk `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

Bagian ini mencantumkan izin yang diperlukan untuk mengaitkan paket perlindungan (web ACL) ke sumber daya menggunakan tindakan. AWS WAF `AssociateWebACL` 

Untuk CloudFront distribusi Amazon, alih-alih tindakan ini, gunakan CloudFront tindakan`UpdateDistribution`. Untuk selengkapnya, lihat [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)di *Referensi Amazon CloudFront API*. 

**API REST Amazon API Gateway**  
Memerlukan izin untuk memanggil API Gateway `SetWebACL` pada jenis sumber daya REST API dan memanggil AWS WAF `AssociateWebACL` paket perlindungan (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Penyeimbang Beban Aplikasi**  
Memerlukan izin untuk memanggil `elasticloadbalancing:SetWebACL` tindakan pada jenis sumber daya Application Load Balancer dan memanggil AWS WAF `AssociateWebACL` paket perlindungan (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL API**  
Memerlukan izin untuk memanggil AWS AppSync `SetWebACL` tipe sumber daya API GraphQL dan AWS WAF `AssociateWebACL` memanggil paket perlindungan (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Kolam pengguna Amazon Cognito**  
Memerlukan izin untuk memanggil `AssociateWebACL` tindakan Amazon Cognito pada jenis sumber daya kumpulan pengguna dan memanggil AWS WAF `AssociateWebACL` paket perlindungan (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner layanan**  
Memerlukan izin untuk memanggil `AssociateWebACL` tindakan App Runner pada jenis sumber daya layanan App Runner dan memanggil AWS WAF `AssociateWebACL` ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instans Akses Terverifikasi**  
Memerlukan izin untuk memanggil `ec2:AssociateVerifiedAccessInstanceWebAcl` tindakan pada jenis sumber daya instans Akses Terverifikasi dan memanggil AWS WAF `AssociateWebACL` ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Izin untuk `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

Bagian ini mencantumkan izin yang diperlukan untuk memisahkan paket perlindungan (web ACL) dari sumber daya menggunakan tindakan. AWS WAF `DisassociateWebACL` 

Untuk CloudFront distribusi Amazon, alih-alih tindakan ini, gunakan CloudFront tindakan `UpdateDistribution` dengan ID paket perlindungan kosong (web ACL). Untuk selengkapnya, lihat [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)di *Referensi Amazon CloudFront API*. 

**API REST Amazon API Gateway**  
Memerlukan izin untuk memanggil API Gateway `SetWebACL` pada jenis sumber daya REST API. Tidak memerlukan izin untuk menelepon AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Penyeimbang Beban Aplikasi**  
Memerlukan izin untuk memanggil `elasticloadbalancing:SetWebACL` tindakan pada tipe sumber daya Application Load Balancer. Tidak memerlukan izin untuk menelepon AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL API**  
Memerlukan izin untuk memanggil AWS AppSync `SetWebACL` tipe sumber daya GraphQL API. Tidak memerlukan izin untuk menelepon AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Kolam pengguna Amazon Cognito**  
Memerlukan izin untuk memanggil `DisassociateWebACL` tindakan Amazon Cognito pada jenis sumber daya kumpulan pengguna dan untuk memanggil. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner layanan**  
Memerlukan izin untuk memanggil `DisassociateWebACL` tindakan App Runner pada jenis sumber daya layanan App Runner dan untuk memanggil. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instans Akses Terverifikasi**  
Memerlukan izin untuk memanggil `ec2:DisassociateVerifiedAccessInstanceWebAcl` tindakan pada jenis sumber daya instans Akses Terverifikasi dan untuk memanggil AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Izin untuk `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

Bagian ini mencantumkan izin yang diperlukan untuk mendapatkan paket perlindungan (web ACL) untuk sumber daya yang dilindungi menggunakan tindakan. AWS WAF `GetWebACLForResource` 

Untuk CloudFront distribusi Amazon, alih-alih tindakan ini, gunakan CloudFront tindakan`GetDistributionConfig`. Untuk selengkapnya, lihat [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)di *Referensi Amazon CloudFront API*. 

**catatan**  
`GetWebACLForResource`membutuhkan izin untuk menelepon`GetWebACL`. Dalam konteks ini, AWS WAF gunakan `GetWebACL` hanya untuk memverifikasi bahwa akun Anda memiliki izin yang diperlukan untuk mengakses paket perlindungan (web ACL) yang `GetWebACLForResource` kembali. Ketika Anda menelepon`GetWebACLForResource`, Anda mungkin mendapatkan kesalahan yang menunjukkan bahwa akun Anda tidak diizinkan untuk bekerja `wafv2:GetWebACL` pada sumber daya. AWS WAF tidak menambahkan jenis kesalahan ini ke riwayat AWS CloudTrail acara. 

**Amazon API Gateway REST API, Application Load Balancer, dan AWS AppSync GraphQL API**  
Memerlukan izin untuk menelepon AWS WAF `GetWebACLForResource` dan `GetWebACL` untuk paket perlindungan (web ACL). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Kolam pengguna Amazon Cognito**  
Memerlukan izin untuk memanggil `GetWebACLForResource` tindakan Amazon Cognito pada jenis sumber daya kumpulan pengguna dan untuk memanggil AWS WAF `GetWebACLForResource` dan. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner layanan**  
Memerlukan izin untuk memanggil `DescribeWebAclForService` tindakan App Runner pada jenis sumber daya layanan App Runner dan untuk memanggil AWS WAF `GetWebACLForResource` dan. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instans Akses Terverifikasi**  
Memerlukan izin untuk memanggil `ec2:GetVerifiedAccessInstanceWebAcl` tindakan pada jenis sumber daya instans Akses Terverifikasi dan untuk memanggil AWS WAF `GetWebACLForResource` dan`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Izin untuk `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

Bagian ini mencantumkan izin yang diperlukan untuk mengambil daftar sumber daya yang dilindungi untuk paket perlindungan (web ACL) menggunakan tindakan. AWS WAF `ListResourcesForWebACL` 

Untuk CloudFront distribusi Amazon, alih-alih tindakan ini, gunakan CloudFront tindakan`ListDistributionsByWebACLId`. Untuk selengkapnya, lihat [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)di *Referensi Amazon CloudFront API*. 

**Amazon API Gateway REST API, Application Load Balancer, dan AWS AppSync GraphQL API**  
Memerlukan izin AWS WAF `ListResourcesForWebACL` untuk memanggil ACL web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Kolam pengguna Amazon Cognito**  
Memerlukan izin untuk memanggil `ListResourcesForWebACL` tindakan Amazon Cognito pada jenis sumber daya kumpulan pengguna dan untuk memanggil. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner layanan**  
Memerlukan izin untuk memanggil `ListAssociatedServicesForWebAcl` tindakan App Runner pada jenis sumber daya layanan App Runner dan untuk memanggil. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instans Akses Terverifikasi**  
Memerlukan izin untuk memanggil `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` tindakan pada jenis sumber daya instans Akses Terverifikasi dan untuk memanggil AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Sumber daya kebijakan untuk AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Untuk melihat daftar jenis AWS WAF sumber daya dan jenisnya ARNs, lihat Sumber [daya yang ditentukan oleh AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) V2. Untuk mengizinkan atau menolak akses ke subset sumber AWS WAF daya, sertakan ARN sumber daya dalam elemen `resource` kebijakan Anda.

 ARNs Sumber AWS WAF `wafv2` daya memiliki format berikut:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Untuk informasi umum tentang spesifikasi ARN, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di. Referensi Umum Amazon Web Services

Berikut daftar persyaratan yang khusus untuk ARNs sumber `wafv2` daya: 
+ *region*: Untuk AWS WAF sumber daya yang Anda gunakan untuk melindungi CloudFront distribusi Amazon, setel ini ke`us-east-1`. Jika tidak, setel ini ke Wilayah yang Anda gunakan dengan sumber daya regional yang dilindungi. 
+ *scope*: Tetapkan cakupan `global` untuk digunakan dengan CloudFront distribusi Amazon atau `regional` untuk digunakan dengan sumber daya regional mana pun yang AWS WAF mendukung. Sumber daya regional adalah Amazon API Gateway REST API, Application Load Balancer, GraphQL API AWS AppSync , kumpulan pengguna Amazon Cognito, layanan, dan instance Akses Terverifikasi. AWS App Runner AWS 
+ *resource-type*: Tentukan salah satu nilai berikut:`webacl`,`rulegroup`,`ipset`,`regexpatternset`, atau`managedruleset`.
+ *resource-name*: Tentukan nama yang Anda berikan AWS WAF sumber daya, atau tentukan wildcard (`*`) untuk menunjukkan semua sumber daya yang memenuhi spesifikasi lain di ARN. Anda harus menentukan nama sumber daya dan ID sumber daya atau menentukan wildcard untuk keduanya. 
+ *resource-id*: Tentukan ID AWS WAF sumber daya, atau tentukan wildcard (`*`) untuk menunjukkan semua sumber daya yang memenuhi spesifikasi lain di ARN. Anda harus menentukan nama sumber daya dan ID sumber daya atau menentukan wildcard untuk keduanya.

Misalnya, ARN berikut menentukan semua paket perlindungan (web ACLs) dengan cakupan regional untuk akun `111122223333` di Wilayah: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

ARN berikut menentukan grup aturan bernama `MyIPManagementRuleGroup` dengan cakupan global untuk akun `111122223333` di Wilayah: `us-east-1`

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Untuk melihat contoh kebijakan AWS WAF berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Selain itu, AWS WAF mendukung kunci kondisi berikut yang dapat Anda gunakan untuk memberikan pemfilteran halus untuk kebijakan IAM Anda:
+ **wafv2: LogDestinationResource**

  Kunci kondisi ini mengambil spesifikasi Nama Sumber Daya Amazon (ARN) untuk tujuan pencatatan. Ini adalah ARN yang Anda sediakan untuk tujuan pencatatan saat Anda menggunakan panggilan REST API. `PutLoggingConfiguration` 

  Anda dapat secara eksplisit menentukan ARN dan Anda dapat menentukan pemfilteran untuk ARN. Contoh berikut menentukan pemfilteran untuk ARNs bucket Amazon S3 yang memiliki lokasi dan awalan tertentu. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Kunci kondisi ini mendefinisikan sumber konfigurasi logging dalam string. Saat ini, ini selalu diatur ke default`Customer`, yang menunjukkan bahwa tujuan logging dimiliki dan dikelola oleh Anda. 

Untuk melihat daftar kunci AWS WAF kondisi, lihat [Kunci kondisi untuk AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Untuk melihat contoh kebijakan AWS WAF berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs di AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

## ABAC dengan AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tag dalam kebijakan): Sebagian**

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensi sementara dengan AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Teruskan sesi akses untuk layanan AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Ya

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

**Awas**  
Mengubah izin untuk peran layanan dapat merusak AWS WAF fungsionalitas. Edit peran layanan hanya jika AWS WAF memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan**: Ya

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Untuk detail tentang membuat atau mengelola peran AWS WAF terkait layanan, lihat. [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md)

# Contoh kebijakan berbasis identitas untuk AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Bagian ini memberikan contoh kebijakan berbasis identitas untuk. AWS WAF

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS WAF . Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS WAF, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) di *Referensi Otorisasi Layanan*.

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan AWS WAF konsol](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Berikan akses hanya-baca ke AWS WAF,, dan CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Memberikan akses penuh ke AWS WAF, CloudFront, dan CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Berikan akses ke satu Akun AWS](#security_iam_id-based-policy-examples-access-to-account)
+ [Berikan akses ke paket perlindungan tunggal (web ACL)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Berikan akses CLI ke paket perlindungan (web ACL) dan grup aturan](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS WAF sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan AWS WAF konsol
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses AWS WAF konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS WAF sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran dapat menggunakan AWS WAF konsol, lampirkan juga setidaknya kebijakan AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS terkelola ke entitas. Untuk informasi tentang kebijakan terkelola ini, lihat[AWS kebijakan terkelola: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Untuk informasi selengkapnya tentang melampirkan kebijakan terkelola ke pengguna, lihat [Menambahkan izin ke pengguna di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) *IAM*.

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Berikan akses hanya-baca ke AWS WAF,, dan CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

Kebijakan berikut memberi pengguna akses hanya-baca ke AWS WAF sumber daya, distribusi CloudFront web Amazon, dan metrik Amazon. CloudWatch Ini berguna bagi pengguna yang memerlukan izin untuk melihat pengaturan dalam AWS WAF kondisi, aturan, dan paket perlindungan (web ACLs) untuk melihat distribusi mana yang terkait dengan paket perlindungan (web ACL), dan untuk memantau metrik dan contoh permintaan di. CloudWatch Pengguna ini tidak dapat membuat, memperbarui, atau menghapus AWS WAF sumber daya.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Memberikan akses penuh ke AWS WAF, CloudFront, dan CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

Kebijakan berikut memungkinkan pengguna melakukan AWS WAF operasi apa pun, melakukan operasi apa pun pada distribusi CloudFront web, dan memantau metrik dan contoh permintaan di. CloudWatch Ini berguna untuk pengguna yang merupakan AWS WAF administrator.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Kami sangat menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk pengguna yang memiliki izin administratif. *Untuk informasi selengkapnya, lihat [Menggunakan Perangkat Multi-Factor Authentication (MFA) dengan Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html). AWS* 

## Berikan akses ke satu Akun AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Kebijakan ini memberikan izin berikut ke akun 444455556666:
+ Akses penuh ke semua AWS WAF operasi dan sumber daya.
+ Baca dan perbarui akses ke semua CloudFront distribusi, yang memungkinkan Anda mengaitkan paket perlindungan (web ACLs) dan CloudFront distribusi.
+ Baca akses ke semua CloudWatch metrik dan statistik metrik, sehingga Anda dapat melihat CloudWatch data dan sampel permintaan di AWS WAF konsol. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Berikan akses ke paket perlindungan tunggal (web ACL)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

Kebijakan berikut memungkinkan pengguna melakukan AWS WAF operasi apa pun melalui konsol pada paket perlindungan tertentu (web ACL) di akun`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Berikan akses CLI ke paket perlindungan (web ACL) dan grup aturan
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

Kebijakan berikut memungkinkan pengguna melakukan AWS WAF operasi apa pun melalui CLI pada paket perlindungan tertentu (web ACL) dan grup aturan tertentu di akun. `444455556666`

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

Kebijakan berikut memungkinkan pengguna melakukan AWS WAF operasi apa pun melalui konsol pada paket perlindungan tertentu (web ACL) di akun`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS kebijakan terkelola untuk AWS WAF
<a name="security-iam-awsmanpol"></a>

Bagian ini menjelaskan cara menggunakan kebijakan AWS terkelola untuk AWS WAF.

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## AWS kebijakan terkelola: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna mengakses AWS WAF sumber daya dan sumber daya untuk layanan terintegrasi, seperti Amazon, Amazon API CloudFront Gateway, Application Load Balancer, Amazon Cognito,,, AWS AppSync Amazon, dan Akses Terverifikasi AWS App Runner. AWS Amplify CloudWatch AWS Anda dapat melampirkan kebijakan ini ke identitas IAM Anda. AWS WAF juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS WAF untuk melakukan tindakan atas nama Anda.

Untuk detail tentang kebijakan ini, lihat [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)di konsol IAM.

## AWS kebijakan terkelola: AWSWAFFull Akses
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Kebijakan ini memberikan akses penuh ke AWS WAF sumber daya dan sumber daya untuk layanan terintegrasi, seperti Amazon, Amazon API Gateway CloudFront, Application Load Balancer AWS AppSync, Amazon Cognito,,, CloudWatch Amazon AWS App Runner AWS Amplify, dan Akses Terverifikasi. AWS Anda dapat melampirkan kebijakan ini ke identitas IAM Anda. AWS WAF juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS WAF untuk melakukan tindakan atas nama Anda.

Untuk detail tentang kebijakan ini, lihat [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) di konsol IAM.

## AWS kebijakan terkelola: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Kebijakan ini memberikan izin hanya-baca ke AWS WAF konsol, yang mencakup sumber daya untuk AWS WAF dan untuk layanan terintegrasi, seperti Amazon, Amazon API CloudFront Gateway, Application Load Balancer, Amazon Cognito,,, AWS AppSync Amazon, dan Akses Terverifikasi AWS App Runner. AWS Amplify CloudWatch AWS Anda dapat melampirkan kebijakan ini ke identitas IAM Anda.

Untuk detail tentang kebijakan ini, lihat [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)di konsol IAM.

## AWS kebijakan terkelola: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Kebijakan ini memberikan akses penuh ke AWS WAF konsol, yang mencakup sumber daya untuk AWS WAF dan untuk layanan terintegrasi, seperti Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito AWS AppSync,,, CloudWatch Amazon AWS App Runner AWS Amplify, dan Akses Terverifikasi. AWS Anda dapat melampirkan kebijakan ini ke identitas IAM Anda. AWS WAF juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS WAF untuk melakukan tindakan atas nama Anda.

Untuk detail tentang kebijakan ini, lihat [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)di konsol IAM.

## AWS kebijakan terkelola: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Kebijakan ini memungkinkan AWS WAF untuk menulis log ke Amazon Data Firehose. Kebijakan ini hanya digunakan jika Anda mengaktifkan login AWS WAF. Kebijakan ini dilampirkan pada peran terkait layanan. `AWSServiceRoleForWAFV2Logging` Untuk informasi selengkapnya tentang peran tertaut layanan, lihat [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md). 

Untuk detail tentang kebijakan ini, lihat [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)di konsol IAM.

## AWS WAF pembaruan kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola AWS WAF sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat AWS WAF dokumen di. [Riwayat dokumen](doc-history.md)




| Kebijakan | Deskripsi perubahan | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Menambahkan izin berikut untuk paket CloudFront harga. Untuk detail lebih lanjut, lihat [Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18  | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Menambahkan izin berikut untuk paket CloudFront harga. Untuk detail lebih lanjut, lihat [Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Memperbarui izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) Menambahkan izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Memperbarui izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) Menambahkan izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Menambahkan izin AssociateWeb ACL, DisassociateWeb ACL, GetWeb ACLFor Resource, dan ListResourcesForWeb ACL diperlukan untuk. AWS Amplify  | 2025-05-05 | 
| `AWSWAFReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Untuk detail tentang kebijakan ini, lihat [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)di konsol IAM. |  Menambahkan izin GetWeb ACLFor Sumber daya dan ListResourcesForWeb ACL diperlukan untuk. AWS Amplify  | 2025-05-05 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Menambahkan izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Menambahkan izin berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Kebijakan ini memungkinkan AWS WAF untuk menulis log ke Amazon Data Firehose. Ini hanya digunakan jika Anda mengaktifkan logging.  Detail di konsol IAM: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  Menambahkan Pernyataan IDs (Sids) ke setelan izin dalam peran terkait layanan yang dilampirkan kebijakan ini.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Peran terkait layanan ini menyediakan kebijakan izin yang memungkinkan AWS WAF untuk menulis log ke Amazon Data Firehose.  Detail di konsol IAM: [AWSServiceRoleForWAFV2Logging](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging). |  Menambahkan Pernyataan IDs (Sids) ke pengaturan izin.   | 2024-06-03 | 
|  AWS WAF tambahan untuk mengubah pelacakan  |  AWS WAF mulai melacak perubahan untuk kebijakan terkelola `WAFV2LoggingServiceRolePolicy` dan peran terkait layanan. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Izin yang diperluas untuk menambahkan instance Akses AWS Terverifikasi ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-06-17 | 
| `AWSWAFReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan instance Akses AWS Terverifikasi ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-06-17 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan instance Akses AWS Terverifikasi ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-06-17 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan instance Akses AWS Terverifikasi ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-06-17 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Izin yang diperluas untuk memperbaiki pengaturan akses untuk AWS App Runner layanan.  | 2023-06-06 | 
| `AWSWAFReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk memperbaiki pengaturan akses untuk AWS App Runner layanan.  | 2023-06-06 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Izin yang diperluas untuk memperbaiki pengaturan akses untuk AWS App Runner layanan.  | 2023-06-06 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk memperbaiki pengaturan akses untuk AWS App Runner layanan.  | 2023-06-06 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Izin yang diperluas untuk menambahkan AWS App Runner layanan ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-03-30 | 
| `AWSWAFReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan AWS App Runner layanan ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-03-30 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan AWS App Runner layanan ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-03-30 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan AWS App Runner layanan ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2023-03-30 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Izin yang diperluas untuk menambahkan kumpulan pengguna Amazon Cognito ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2022-08-25 | 
| `AWSWAFReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan kumpulan pengguna Amazon Cognito ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan kumpulan pengguna Amazon Cognito ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleReadOnlyAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Izin yang diperluas untuk menambahkan kumpulan pengguna Amazon Cognito ke jenis sumber daya yang dapat Anda lindungi. AWS WAF  | 2022-08-25 | 
| `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Memperbaiki pengaturan izin untuk pengiriman log untuk Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch Perubahan ini menyelesaikan kesalahan akses ditolak yang terjadi selama konfigurasi logging. Untuk informasi tentang mencatat lalu lintas paket perlindungan (ACL web) Anda, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).  | 2022-01-11 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Memperbaiki pengaturan izin untuk pengiriman log untuk Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch Perubahan ini menyelesaikan kesalahan akses yang terjadi selama konfigurasi logging. Untuk informasi tentang mencatat lalu lintas paket perlindungan (ACL web) Anda, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).  | 2022-01-11 | 
|  `AWSWAFFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola AWS sumber daya atas nama Anda di dalam AWS WAF dan dalam layanan terintegrasi. Detail di konsol IAM: [AWSWAFFullAkses](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Menambahkan izin baru untuk opsi logging diperluas. Perubahan ini memberikan AWS WAF akses ke tujuan pencatatan tambahan Amazon Simple Storage Service (Amazon S3) dan CloudWatch Amazon Logs. Untuk informasi tentang mencatat lalu lintas paket perlindungan (ACL web) Anda, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Kebijakan ini memungkinkan AWS WAF untuk mengelola sumber daya AWS konsol dan AWS sumber daya lainnya atas nama Anda di dalam AWS WAF dan di layanan terintegrasi. Detail di konsol IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Menambahkan izin baru untuk opsi logging diperluas. Perubahan ini memberikan AWS WAF akses ke tujuan pencatatan tambahan Amazon Simple Storage Service (Amazon S3) dan CloudWatch Amazon Logs. Untuk informasi tentang mencatat lalu lintas paket perlindungan (ACL web) Anda, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).  | 2021-11-15 | 
|  AWS WAF mulai melacak perubahan  |  AWS WAF mulai melacak perubahan untuk kebijakan yang AWS dikelola.  | 2021-3-01 | 

# Memecahkan masalah AWS WAF identitas dan akses
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS WAF dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS WAF sumber daya saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.

Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `wafv2:GetWidget` rekaan.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `wafv2:GetWidget`.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran AWS WAF.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di AWS WAF. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS WAF sumber daya saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS WAF mendukung fitur-fitur ini, lihat[Bagaimana AWS WAF bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# Menggunakan peran terkait layanan untuk AWS WAF
<a name="using-service-linked-roles"></a>

Bagian ini menjelaskan cara menggunakan peran terkait layanan untuk memberikan AWS WAF akses ke sumber daya di akun Anda AWS .

AWS WAF menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS WAF Peran terkait layanan telah ditentukan sebelumnya oleh AWS WAF dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. 

Peran terkait layanan membuat pengaturan AWS WAF lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS WAF mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS WAF dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terkait layanan hanya setelah terlebih dahulu menghapus sumber daya terkait peran tersebut. Ini melindungi AWS WAF sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

## Izin peran terkait layanan untuk AWS WAF
<a name="slr-permissions"></a>

AWS WAF menggunakan peran terkait layanan `AWSServiceRoleForWAFV2Logging` untuk menulis log ke Amazon Data Firehose. Peran ini hanya digunakan jika Anda mengaktifkan login AWS WAF. Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

Peran terkait layanan ini dilampirkan pada kebijakan AWS terkelola. `WAFV2LoggingServiceRolePolicy` Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

Peran terkait layanan `AWSServiceRoleForWAFV2Logging` memercayai layanan `wafv2.amazonaws.com` untuk menjalankan peran. 

Kebijakan izin peran memungkinkan AWS WAF untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan Amazon Data Firehose: `PutRecord` dan pada sumber daya aliran data `PutRecordBatch` Firehose dengan nama yang dimulai dengan. `aws-waf-logs-` Misalnya, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations tindakan: `DescribeOrganization` pada sumber daya organisasi Organisasi. 

[Lihat peran lengkap terkait layanan di konsol IAM: Logging. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.

## Membuat peran terkait layanan untuk AWS WAF
<a name="create-slr"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan AWS WAF login Konsol Manajemen AWS, atau Anda membuat `PutLoggingConfiguration` permintaan di AWS WAF CLI atau AWS WAF API, AWS WAF membuat peran terkait layanan untuk Anda. 

Anda harus memiliki `iam:CreateServiceLinkedRole` izin untuk mengaktifkan logging.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan AWS WAF pencatatan, AWS WAF buat peran terkait layanan untuk Anda lagi. 

## Mengedit peran terkait layanan untuk AWS WAF
<a name="edit-slr"></a>

AWS WAF tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForWAFV2Logging` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk AWS WAF
<a name="delete-slr"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

**catatan**  
Jika AWS WAF layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus AWS WAF sumber daya yang digunakan oleh `AWSServiceRoleForWAFV2Logging`**

1. Di AWS WAF konsol, hapus logging dari setiap ACL web. Untuk informasi selengkapnya, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

1. Menggunakan API atau CLI, kirimkan `DeleteLoggingConfiguration` permintaan untuk setiap ACL web yang telah mengaktifkan logging. Untuk informasi lebih lanjut, lihat [Referensi API AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**

Gunakan konsol IAM, CLI IAM, atau API CLI untuk menghapus peran tertaut layanan `AWSServiceRoleForWAFV2Logging`. Untuk informasi selengkapnya, lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk AWS WAF peran terkait layanan
<a name="slr-regions"></a>

AWS WAF mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [AWS WAF kuota dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Penebangan dan pemantauan di AWS WAF
<a name="waf-incident-response"></a>

Bagian ini menjelaskan cara menggunakan AWS alat untuk memantau dan menanggapi peristiwa di AWS WAF.

Pemantauan adalah bagian penting dari menjaga keandalan, ketersediaan, dan kinerja AWS WAF dan AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau AWS WAF sumber daya Anda dan menanggapi peristiwa potensial:

** CloudWatch Alarm Amazon**  
Menggunakan CloudWatch alarm, Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, CloudWatch kirimkan pemberitahuan ke topik atau AWS Auto Scaling kebijakan Amazon SNS. Untuk informasi selengkapnya, lihat [Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md).

**AWS CloudTrail log**  
CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di AWS WAF. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat AWS WAF, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Logging panggilan API dengan AWS CloudTrail](logging-using-cloudtrail.md). 

**AWS WAF paket perlindungan (web ACL) log lalu lintas**  
AWS WAF menawarkan pencatatan untuk lalu lintas yang dianalisis oleh paket perlindungan Anda (web ACLs). Log mencakup informasi seperti waktu AWS WAF menerima permintaan dari AWS sumber daya yang dilindungi, informasi terperinci tentang permintaan, dan pengaturan tindakan untuk aturan yang cocok dengan permintaan tersebut. Lihat informasi yang lebih lengkap di [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

# Memvalidasi kepatuhan di AWS WAF
<a name="waf-compliance"></a>

Bagian ini menjelaskan tanggung jawab kepatuhan Anda saat menggunakan AWS WAF.

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Membangun ketahanan di AWS WAF
<a name="disaster-recovery-resiliency"></a>

Bagian ini menjelaskan bagaimana AWS arsitektur mendukung redundansi data untuk. AWS WAF

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data. 

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan infrastruktur di AWS WAF
<a name="infrastructure-security"></a>

Bagian ini menjelaskan bagaimana AWS WAF mengisolasi lalu lintas layanan.

Sebagai layanan terkelola, AWS WAF dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS WAF melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# AWS WAF kuota
<a name="limits"></a>

**catatan**  
Ini adalah versi terbaru dari AWS WAF. Untuk AWS WAF Klasik, lihat[AWS WAF Klasik](classic-waf-chapter.md).

AWS WAF tunduk pada kuota berikut (sebelumnya disebut sebagai batas). Kuota ini sama untuk semua Wilayah yang AWS WAF tersedia. Setiap Wilayah tunduk pada kuota ini secara individual. Kuota tidak kumulatif di seluruh Wilayah.

AWS WAF memiliki kuota default pada jumlah maksimum entitas yang dapat Anda miliki per akun. Anda dapat [meminta peningkatan](https://console.aws.amazon.com/servicequotas/home/services/wafv2/quotas) kuota ini.


| Sumber daya | Kuota default per akun per Wilayah | 
| --- | --- | 
|  Jumlah maksimum paket perlindungan (web ACLs)  |  100  | 
|  Jumlah maksimum kelompok aturan   |  100  | 
| Jumlah maksimum set IP  |  100  | 
| Jumlah maksimum permintaan per detik per paket perlindungan (web ACL)  |  100.000  | 
| Jumlah maksimum header permintaan khusus per paket perlindungan (web ACL) atau grup aturan | 100 | 
| Jumlah maksimum header respons khusus per paket perlindungan (web ACL) atau grup aturan | 100 | 
| Jumlah maksimum badan respons khusus per paket perlindungan (web ACL) atau grup aturan | 50 | 
| Jumlah maksimum domain token dalam daftar domain token paket perlindungan (web ACL) | 10 | 
| Jumlah maksimum set pola regex  |  10  | 
| Jumlah maksimum asosiasi Application Load Balancer per paket perlindungan (web ACL) | 100  | 

Permintaan maksimum per detik (RPS) yang diizinkan untuk AWS WAF CloudFront aktif diatur oleh CloudFront dan dijelaskan dalam [Panduan CloudFront Pengembang](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html).

AWS WAF memiliki kuota tetap pada pengaturan entitas berikut per akun per Wilayah. Kuota-kuota ini tidak dapat diubah.


| Sumber daya | Kuota per akun per Wilayah | 
| --- | --- | 
|  Unit kapasitas paket perlindungan maksimum (web ACL) (WCUs) per paket perlindungan (web ACL) \$1  |  5.000  | 
| Maksimum WCUs per kelompok aturan |  5.000  | 
| Jumlah maksimum pernyataan referensi per kelompok aturan. Dalam kelompok aturan, pernyataan referensi dapat mereferensikan set IP atau set pola regex. |  50  | 
| Jumlah maksimum pernyataan referensi per paket perlindungan (web ACL). Dalam paket perlindungan (web ACL), pernyataan referensi dapat mereferensikan grup aturan, kumpulan IP, atau kumpulan pola regex. |  50  | 
| Jumlah maksimum alamat IP dalam notasi CIDR per set IP |  10.000  | 
| Jumlah maksimum aturan berbasis tarif per paket perlindungan (web ACL)  |  10  | 
| Jumlah maksimum aturan berbasis tarif per kelompok aturan |  4  | 
| Tingkat permintaan minimum yang dapat ditentukan untuk aturan berbasis tarif |  10  | 
| Jumlah maksimum alamat IP unik yang dapat dibatasi tarif per aturan berbasis tarif |  10.000  | 
| Jumlah maksimum karakter dalam pernyataan kecocokan string |  200  | 
| Jumlah maksimum karakter dalam setiap pola regex |  200  | 
| Jumlah maksimum pola regex unik per set pola regex |  10  | 
| Ukuran maksimum badan permintaan web yang dapat diperiksa untuk Application Load AWS AppSync Balancer dan proteksi |  8 KB  | 
| Ukuran maksimum badan permintaan web yang dapat diperiksa CloudFront, API Gateway, Amazon Cognito, App Runner, dan perlindungan Akses Terverifikasi\$1\$1 |  64 KB  | 
| Jumlah maksimum transformasi teks per pernyataan aturan |  10  | 
| Ukuran maksimum konten badan respons khusus untuk satu definisi respons khusus |  4 KB  | 
| Jumlah maksimum header khusus untuk satu definisi respons kustom |  10  | 
| Jumlah maksimum header kustom untuk satu definisi permintaan kustom |  10  | 
| Ukuran gabungan maksimum dari semua konten badan respons untuk grup aturan tunggal atau paket perlindungan tunggal (web ACL) |  50 KB  | 
| Jumlah maksimum kode negara pencocokan Geo dalam satu aturan  |  50  | 

\$1 Menggunakan lebih dari 1.500 WCUs dalam paket perlindungan (web ACL) menimbulkan biaya di luar harga paket perlindungan dasar (web ACL). Untuk informasi selengkapnya, lihat [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md) dan [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

\$1\$1Secara default, batas pemeriksaan tubuh diatur ke 16 KB untukCloudFront, API Gateway, Amazon Cognito, App Runner, dan sumber daya Akses Terverifikasi, tetapi Anda dapat meningkatkannya untuk sumber daya ini dalam konfigurasi paket perlindungan (web ACL) Anda, hingga maksimum yang tercantum. Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md).

AWS WAF memiliki kuota tetap berikut pada panggilan per akun per Wilayah. Kuota ini berlaku untuk total panggilan ke layanan melalui cara apa pun yang tersedia, termasuk konsol, CLI AWS CloudFormation, REST API, dan. SDKs Kuota-kuota ini tidak dapat diubah.


| Jenis panggilan | Kuota per akun per Wilayah | 
| --- | --- | 
| Jumlah maksimum panggilan ke AssociateWebACL |  Satu permintaan setiap 2 detik   | 
| Jumlah maksimum panggilan ke DisassociateWebACL |  Satu permintaan setiap 2 detik   | 
| Jumlah maksimum panggilan ke GetWebACLForResource  |  Satu permintaan per detik  | 
| Jumlah maksimum panggilan ke ListResourcesForWebACL |  Satu permintaan per detik  | 
| Jumlah maksimum panggilan ke GetDecryptedAPIKey |  Satu permintaan setiap 2 detik  | 
| Jumlah maksimum panggilan ke individu Get atau List tindakan mana pun, jika tidak ada kuota lain yang ditentukan untuk itu  |  Lima permintaan per detik  | 
| Jumlah maksimum panggilan ke individuCreate,, atau Update tindakanPut, jika tidak ada kuota lain yang ditentukan untuk itu  |  Satu permintaan per detik  | 

AWS WAF memiliki kuota tetap berikut pada panggilan oleh semua akun dalam satu organisasi di AWS Organizations. Kuota ini berlaku untuk total panggilan ke layanan melalui cara apa pun yang tersedia, termasuk konsol, CLI AWS CloudFormation, REST API, dan. SDKs Kuota-kuota ini tidak dapat diubah.


| Jenis panggilan | Kuota per organisasi dalam satu Wilayah | 
| --- | --- | 
| Jumlah maksimum panggilan oleh semua akun dalam suatu organisasi keListResourcesForWebACL, di Wilayah tunggal mana pun untuk Wilayah AS Timur (Virginia N.) (us-east-1), AS Barat (Oregon) (us-west-2), atau Eropa (Irlandia) (eu-west-1).  |  12 permintaan per detik  | 
| Jumlah maksimum panggilan oleh semua akun dalam organisasi keListResourcesForWebACL, di Wilayah tunggal mana pun yang tidak memiliki kuota berbeda yang tercantum dalam tabel ini.  |  6 permintaan per detik  | 

# Memigrasi sumber daya AWS WAF Klasik Anda ke AWS WAF
<a name="waf-migrating-from-classic"></a>

**Awas**  
AWS WAF Klasik sedang melalui end-of-life proses yang direncanakan. Lihat AWS Health dasbor Anda untuk mengetahui tonggak sejarah dan tanggal khusus untuk Wilayah Anda.

**catatan**  
Ini adalah **AWS WAF**dokumentasi. Anda hanya boleh menggunakan versi ini jika Anda membuat AWS WAF sumber daya, seperti aturan dan web ACLs, AWS WAF sebelum November 2019, dan Anda belum memigrasikannya ke versi terbaru. Untuk memigrasi web Anda ACLs, lihat[Memigrasi sumber daya AWS WAF Klasik Anda ke AWS WAF](#waf-migrating-from-classic).  
**Untuk versi terbaru AWS WAF**, lihat[AWS WAF](waf-chapter.md). 

Bagian ini memberikan panduan untuk memigrasikan aturan dan paket perlindungan (web ACLs) Anda dari AWS WAF Classic ke AWS WAF. AWS WAF dirilis pada November 2019. Jika Anda membuat sumber daya seperti aturan dan paket perlindungan (web ACLs) menggunakan AWS WAF Classic, Anda harus bekerja dengannya menggunakan AWS WAF Classic atau memigrasikannya ke versi terbaru ini. 

**Awas**  
AWS WAF Dukungan klasik akan berakhir pada 30 September 2025. 

Sebelum Anda memulai pekerjaan migrasi Anda, biasakan diri Anda AWS WAF dengan membaca[AWS WAF](waf-chapter.md).

**Topics**
+ [Mengapa bermigrasi ke AWS WAF?](waf-migrating-why-migrate.md)
+ [Peringatan dan batasan migrasi](waf-migrating-caveats.md)
+ [Cara kerja migrasi](waf-migrating-how-it-works.md)
+ [Migrasi paket perlindungan (web ACL) dari AWS WAF Classic ke AWS WAF](waf-migrating-procedure.md)

# Mengapa bermigrasi ke AWS WAF?
<a name="waf-migrating-why-migrate"></a>

Versi terbaru AWS WAF menyediakan banyak perbaikan dibandingkan versi sebelumnya, sambil mempertahankan sebagian besar konsep dan terminologi yang biasa Anda gunakan. 

Daftar berikut menjelaskan perubahan besar yang terbaru AWS WAF. Sebelum melanjutkan migrasi, luangkan waktu untuk meninjau daftar ini dan membiasakan diri dengan AWS WAF panduan lainnya. 
+ **Support for AWS WAF Classic akan berakhir pada 30 September 2025.** 
+ **AWS Aturan Terkelola untuk AWS WAF** — Grup aturan yang sekarang tersedia melalui Aturan AWS Terkelola memberikan perlindungan terhadap ancaman web umum. Sebagian besar kelompok aturan ini disertakan secara gratis AWS WAF. Untuk informasi selengkapnya, lihat [AWS Daftar grup aturan Aturan Terkelola](aws-managed-rule-groups-list.md) dan posting blog [Mengumumkan Aturan AWS Terkelola untuk AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/).
+ ** AWS WAF API baru** — API baru memungkinkan Anda untuk mengkonfigurasi semua sumber AWS WAF daya Anda menggunakan satu set APIs. Untuk membedakan antara aplikasi regional dan global, API baru menyertakan `scope` pengaturan. Untuk informasi selengkapnya tentang API, lihat [AWS WAFV2 Tindakan](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html) dan [Jenis AWS WAFV2 Data](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html).

  Dalam APIs,, SDKs CLIs, dan AWS CloudFormation, AWS WAF Classic mempertahankan skema penamaannya dan versi terbaru ini AWS WAF disebut dengan tambahan `V2` atau`v2`, tergantung pada konteksnya.
+ **Kuota layanan yang disederhanakan (batas)** - AWS WAF sekarang memungkinkan lebih banyak aturan per paket perlindungan (web ACL) dan memungkinkan Anda untuk mengekspresikan pola regex yang lebih panjang. Untuk informasi selengkapnya, lihat [AWS WAF kuota](limits.md).
+ **Kebutuhan komputasi menentukan batas kapasitas** — Batas untuk paket perlindungan (web ACLs) sekarang didasarkan pada unit kapasitas paket perlindungan (web ACL) (WCUs). AWS WAF menghitung aturan WCUs sesuai dengan kapasitas operasi yang dibutuhkan. Total WCUs untuk paket perlindungan (web ACL) sama dengan jumlah WCUs dari semua aturan dan kelompok aturannya.

  Untuk informasi umum tentang WCU, lihat[Bagaimana cara AWS WAF kerja](how-aws-waf-works.md). Untuk informasi tentang penggunaan WCU setiap aturan, lihat[Menggunakan pernyataan aturan di AWS WAF](waf-rule-statements.md).
+ **Penulisan aturan berbasis dokumen** — Anda sekarang dapat menulis dan mengekspresikan aturan, grup aturan, dan paket perlindungan (web ACLs) dalam format JSON. Anda tidak perlu lagi menggunakan panggilan API individual untuk membuat kondisi yang berbeda dan kemudian mengaitkan kondisi dengan aturan. Ini sangat menyederhanakan cara Anda menulis dan memelihara kode Anda. Anda dapat mengakses format JSON paket perlindungan Anda (web ACLs) melalui konsol saat Anda melihat paket perlindungan (web ACL), dengan memilih **Unduh paket perlindungan (web ACL)** sebagai JSON. Ketika Anda membuat aturan Anda sendiri, Anda dapat mengakses representasi JSON dengan memilih **Rule JSON editor**.
+ **Rule nesting dan dukungan operasi logis penuh** — Anda dapat menulis aturan gabungan yang kompleks dengan menggunakan pernyataan aturan logis dan dengan menggunakan nesting. Anda dapat membuat pernyataan seperti`[A AND NOT(B OR C)]`. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan logis di AWS WAF](waf-rule-statements-logical.md).
+ **Aturan berbasis tarif yang ditingkatkan** — Dalam versi terbaru AWS WAF, Anda dapat menyesuaikan jendela waktu yang dievaluasi aturan dan bagaimana aturan mengumpulkan permintaan. Anda dapat menyesuaikan agregasi menggunakan kombinasi sejumlah karakteristik permintaan web. Selain itu aturan berbasis tarif terbaru bereaksi lebih cepat terhadap perubahan lalu lintas. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Dukungan rentang CIDR variabel untuk set IP** - spesifikasi set IP sekarang memiliki lebih banyak fleksibilitas dalam rentang IP. Untuk IPv4, AWS WAF mendukung `/1` untuk`/32`. Untuk IPv6, AWS WAF mendukung `/1` untuk`/128`. Untuk informasi selengkapnya tentang set IP, lihat[Pernyataan aturan kecocokan set IP](waf-rule-statement-type-ipset-match.md).
+ **Transformasi teks berantai — AWS WAF dapat melakukan beberapa transformasi** teks terhadap konten permintaan web sebelum memeriksanya. Untuk informasi selengkapnya, lihat [Menggunakan transformasi teks di AWS WAF](waf-rule-statement-transformation.md).
+ **Pengalaman konsol yang ditingkatkan** — AWS WAF Konsol baru ini menampilkan pembuat aturan visual dan desain konsol yang lebih intuitif pengguna. 
+ **Opsi yang diperluas untuk AWS WAF kebijakan Firewall Manager** — Dalam pengelolaan paket AWS WAF perlindungan Firewall Manager (web ACLs), Anda sekarang dapat membuat satu set grup aturan yang AWS WAF memproses terlebih dahulu dan satu set grup aturan yang AWS WAF memproses terakhir. Setelah menerapkan AWS WAF kebijakan, pemilik akun lokal dapat menambahkan grup aturan mereka sendiri yang AWS WAF memproses di antara dua set ini. Untuk informasi selengkapnya tentang AWS WAF kebijakan Firewall Manager, lihat[Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md). 
+ **AWS CloudFormation dukungan untuk semua jenis pernyataan aturan** — AWS WAF in AWS CloudFormation mendukung semua jenis pernyataan aturan yang didukung AWS WAF konsol dan API. Selain itu, Anda dapat dengan mudah mengonversi aturan yang Anda tulis dalam format JSON ke format YAMAL. 



# Peringatan dan batasan migrasi
<a name="waf-migrating-caveats"></a>

Migrasi hanya menangani konfigurasi paket perlindungan (web ACL), dan migrasi paket perlindungan (web ACL) tidak membawa semua pengaturan persis seperti yang Anda miliki di Classic. AWS WAF Beberapa item konfigurasi memerlukan konfigurasi manual di AWS WAF (v2). Beberapa hal tidak dipetakan persis di antara dua versi, dan Anda harus memutuskan bagaimana Anda ingin mengonfigurasi fungsionalitas di AWS WAF (v2). Beberapa pengaturan, seperti asosiasi paket perlindungan (web ACL) dengan AWS sumber daya, dinonaktifkan pada awalnya di versi baru sehingga Anda dapat menambahkannya saat Anda siap. 

Daftar berikut menjelaskan peringatan migrasi dan menjelaskan langkah apa pun yang mungkin ingin Anda ambil sebagai tanggapan. Gunakan ikhtisar ini untuk merencanakan migrasi Anda. Langkah-langkah migrasi terperinci, nanti, memandu Anda melalui langkah-langkah mitigasi yang direkomendasikan. 
+ **Migrasi akun tunggal** — Anda hanya dapat memigrasikan sumber daya AWS WAF Klasik untuk akun apa pun ke AWS WAF sumber daya untuk akun yang sama. 
+ **Hanya konfigurasi paket perlindungan (web ACL) — Migrasi** hanya memigrasikan paket perlindungan (web ACLs) dan sumber daya yang digunakan paket perlindungan (web ACLs). Untuk memigrasikan sumber daya, seperti grup aturan atau kumpulan IP, yang tidak digunakan oleh ACL web yang dimigrasi, buat sumber daya secara manual di AWS WAF (v2).
+ **Tidak ada aturan AWS Marketplace terkelola** — Migrasi tidak membawa aturan terkelola apa pun dari AWS Marketplace penjual. Beberapa AWS Marketplace penjual memiliki aturan terkelola AWS WAF yang setara untuk Anda dapat berlangganan lagi. Sebelum Anda melakukannya, tinjau Aturan AWS Terkelola yang disediakan dengan versi terbaru AWS WAF. Sebagian besar gratis untuk AWS WAF pengguna. Untuk informasi tentang aturan terkelola, lihat[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md). 
+ **Tidak ada asosiasi paket perlindungan (web ACL)** - Migrasi tidak membawa asosiasi apa pun antara paket perlindungan (web ACL) dan sumber daya yang dilindungi. Ini adalah desain, untuk menghindari mempengaruhi beban kerja produksi Anda. Setelah Anda memverifikasi bahwa semuanya dimigrasikan dengan benar, kaitkan paket perlindungan baru (web ACL) dengan sumber daya Anda.
+ **Logging dinonaktifkan** - Logging untuk paket perlindungan yang dimigrasi (web ACL) dinonaktifkan secara default. Ini dengan desain. Aktifkan logging saat Anda siap untuk beralih dari AWS WAF Classic ke AWS WAF.
+ **Tidak ada grup AWS Firewall Manager aturan** — Migrasi tidak menangani grup aturan yang dikelola oleh Firewall Manager. Anda dapat memigrasikan paket perlindungan (web ACL) yang dikelola oleh Firewall Manager, tetapi migrasi tidak membawa grup aturan. Alih-alih menggunakan alat migrasi untuk paket perlindungan ini (web ACLs), buat ulang kebijakan untuk yang baru AWS WAF di Firewall Manager. 
**catatan**  
Grup aturan yang dikelola Manajer Firewall untuk AWS WAF Classic adalah grup aturan Firewall Manager. Dengan versi baru AWS WAF, grup aturan adalah grup AWS WAF aturan. Secara fungsional, mereka sama. 
+ **AWS WAF Peringatan Otomasi Keamanan** — Jangan mencoba memigrasi Otomasi Keamanan apa pun AWS WAF . Migrasi tidak mengonversi fungsi Lambda, yang mungkin digunakan oleh otomatisasi. Pertimbangkan untuk menerapkan otomatisasi untuk versi terbaru sebagai gantinya. Untuk selengkapnya, lihat [Otomasi AWS WAF Keamanan](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Cara kerja migrasi
<a name="waf-migrating-how-it-works"></a>

Anda dapat memigrasikan web Anda ACLs dari AWS WAF Classic ke AWS WAF v2 menggunakan beberapa metode. Ikuti langkah-langkah berikut untuk menyelesaikan migrasi Anda.

**Untuk bermigrasi dari AWS WAF Classic ke v2 AWS WAF**

1. Identifikasi AWS WAF Classic web Anda ACLs:
   + Lihat daftar web Anda ACLs di AWS Health dasbor.
   + Gunakan [skrip pembersihan ACL AWS WAF Classic web](         https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup          ) untuk mendapatkan daftar semua web Anda ACLs dan asosiasi mereka. Ini membantu Anda mengidentifikasi web mana yang ACLs secara aktif melindungi sumber daya dan memungkinkan Anda menghapus web ACLs yang tidak digunakan.

1. Migrasi web ACLs individual:
   + Ikuti proses migrasi di [Panduan AWS WAF Pengembang](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html).
   + Gunakan wizard migrasi untuk mengurai ACL AWS WAF Classic web Anda dan membuat AWS CloudFormation template.
   + Gunakan template yang dihasilkan untuk membuat ACL web AWS WAF v2 yang setara dan selesaikan migrasi.

1. Untuk beberapa web yang memenuhi syarat ACLs:
   + Gunakan [skrip migrasi AWS WAF massal](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration          ) untuk memigrasi beberapa AWS WAF Classic web yang memenuhi syarat ACLs secara bersamaan.

1. Untuk web yang ACLs dikelola oleh AWS Firewall Manager:
   + Kebijakan Firewall Manager menggunakan AWS WAF Classic web ACLs dengan AWS WAF Classic kebijakan. Untuk kebijakan Shield Advanced yang dibuat sebelum Januari 2022, Firewall Manager juga menggunakan AWS WAF Classic web ACLs. Anda harus memigrasikan kebijakan ini untuk menggunakan AWS WAF v2 web ACLs.

     Ikuti petunjuk di [Migrasi AWS WAF Classic Web ACLs di Firewall Manager](migrate-waf-classic-fms.md).

**penting**  
Kami menyarankan untuk meninjau setiap web yang dimigrasi ACLto untuk memastikan memenuhi persyaratan keamanan Anda sebelum mengaitkannya dengan sumber daya Anda.

# Migrasi paket perlindungan (web ACL) dari AWS WAF Classic ke AWS WAF
<a name="waf-migrating-procedure"></a>

Migrasi otomatis membawa sebagian besar konfigurasi AWS WAF Classic protection pack (web ACL) Anda, meninggalkan beberapa hal yang perlu Anda tangani secara manual.

**catatan**  
Beberapa konfigurasi perlindungan tidak dapat dimigrasi secara otomatis, dan memerlukan konfigurasi manual di AWS WAF (v2). Lihat daftarnya di[Peringatan dan batasan migrasi](waf-migrating-caveats.md).

Berikut ini mencantumkan langkah-langkah tingkat tinggi untuk memigrasikan paket perlindungan (web ACL). 

1. Migrasi otomatis membaca semua yang terkait dengan paket perlindungan yang ada (web ACL), tanpa memodifikasi atau menghapus apa pun di Classic. AWS WAF Ini menciptakan representasi dari ACL web dan sumber daya terkait, kompatibel dengan AWS WAF. Ini menghasilkan CloudFormation template untuk paket perlindungan baru (web ACL) dan menyimpannya di ember Amazon S3. 

1. Anda menyebarkan template ke dalam CloudFormation, untuk membuat ulang paket perlindungan (web ACL) dan sumber daya terkait di. AWS WAF

1. Anda meninjau paket perlindungan (web ACL), dan menyelesaikan migrasi secara manual, memastikan bahwa paket perlindungan baru Anda (web ACL) memanfaatkan sepenuhnya kemampuan yang terbaru. AWS WAF

1. Anda mengalihkan sumber daya yang dilindungi secara manual ke paket perlindungan baru (web ACL). 

**Topics**
+ [Migrasi paket perlindungan (web ACL): migrasi otomatis](waf-migrating-procedure-automatic.md)
+ [Migrasi paket perlindungan (web ACL): tindak lanjut manual](waf-migrating-procedure-manual-finish.md)
+ [Migrasi paket perlindungan (web ACL): pertimbangan tambahan](waf-migrating-procedure-additional.md)
+ [Migrasi paket perlindungan (web ACL): switchover](waf-migrating-procedure-switchover.md)

# Migrasi paket perlindungan (web ACL): migrasi otomatis
<a name="waf-migrating-procedure-automatic"></a>

**Untuk secara otomatis memigrasikan konfigurasi paket perlindungan (web ACL) dari AWS WAF Classic ke AWS WAF**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **Beralih ke AWS WAF Klasik** dan tinjau pengaturan konfigurasi Anda untuk paket perlindungan (web ACL). Catat pengaturan, dengan mempertimbangkan peringatan dan batasan yang dijelaskan di bagian sebelumnya,. [Peringatan dan batasan migrasi](waf-migrating-caveats.md)

1. Dalam dialog informasi di bagian atas, cari kalimat yang dimulai dengan **Migrate protection packs (web ACLs)** dan pilih link ke wizard **migrasi**. Ini meluncurkan wizard migrasi.

   Jika Anda tidak melihat dialog informasi, Anda mungkin telah menutupnya sejak meluncurkan konsol AWS WAF Klasik. Di bilah navigasi, pilih **Beralih ke baru AWS WAF** lalu pilih **Beralih ke AWS WAF Klasik**, dan dialog informasi akan muncul kembali.

1. Pilih paket perlindungan (web ACL) yang ingin Anda migrasi. 

1. Untuk **konfigurasi Migrasi**, sediakan bucket Amazon S3 yang akan digunakan untuk template. Anda memerlukan bucket Amazon S3 yang dikonfigurasi dengan benar untuk API migrasi, untuk menyimpan AWS CloudFormation template yang dihasilkannya. 
   + Jika bucket dienkripsi, enkripsi harus menggunakan kunci Amazon S3 (SSE-S3). Migrasi tidak mendukung enkripsi dengan kunci AWS Key Management Service (SSE-KMS).
   + Nama bucket harus dimulai dengan`aws-waf-migration-`. Misalnya, `aws-waf-migration-my-web-acl`.
   + Bucket harus berada di Wilayah tempat Anda menerapkan template. Misalnya, untuk paket perlindungan (web ACL) di`us-west-2`, Anda harus menggunakan bucket `us-west-2` Amazon S3 dan Anda harus menerapkan tumpukan templat. `us-west-2` 

1. Untuk **kebijakan bucket S3**, sebaiknya pilih **Auto apply kebijakan bucket yang diperlukan untuk migrasi**. Atau, jika Anda ingin mengelola bucket sendiri, Anda harus menerapkan kebijakan bucket berikut secara manual: 
   + Untuk CloudFront aplikasi Amazon global (`waf`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------
   + Untuk aplikasi Amazon API Gateway atau Application Load Balancer regional ()`waf-regional`:

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf-regional.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------

1. Untuk **Pilih cara menangani aturan yang tidak dapat dimigrasi**, pilih salah satu untuk mengecualikan aturan yang tidak dapat dimigrasi, atau untuk menghentikan migrasi. Untuk informasi tentang aturan yang tidak dapat dimigrasikan, lihat[Peringatan dan batasan migrasi](waf-migrating-caveats.md). 

1. Pilih **Berikutnya**. 

1. Untuk **Buat CloudFormation templat**, verifikasi pengaturan Anda, lalu pilih **Mulai membuat CloudFormation templat** untuk memulai proses migrasi. Ini bisa memakan waktu beberapa menit, tergantung pada kompleksitas paket perlindungan Anda (web ACL).

1. Di **Buat dan jalankan CloudFormation tumpukan untuk menyelesaikan migrasi**, Anda dapat memilih untuk pergi ke AWS CloudFormation konsol untuk membuat tumpukan dari template, untuk membuat paket perlindungan baru (web ACL) dan sumber dayanya. Untuk melakukan ini, pilih **Buat CloudFormation tumpukan**. 

Setelah proses migrasi otomatis selesai, Anda siap untuk melanjutkan ke langkah-langkah tindak lanjut manual. Lihat [Migrasi paket perlindungan (web ACL): tindak lanjut manual](waf-migrating-procedure-manual-finish.md).

# Migrasi paket perlindungan (web ACL): tindak lanjut manual
<a name="waf-migrating-procedure-manual-finish"></a>

Setelah migrasi otomatis selesai, tinjau paket perlindungan (web ACL) yang baru dibuat dan isi komponen yang tidak dibawa migrasi untuk Anda. Prosedur berikut mencakup aspek manajemen paket perlindungan (web ACL) yang tidak ditangani migrasi. Untuk daftarnya, lihat[Peringatan dan batasan migrasi](waf-migrating-caveats.md).

**Untuk menyelesaikan migrasi dasar - langkah manual**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Konsol harus secara otomatis menggunakan versi terbaru AWS WAF. Untuk memverifikasi ini, di panel navigasi, periksa apakah Anda dapat melihat opsi **Beralih ke AWS WAF Klasik**. Jika Anda melihat **Beralih ke baru AWS WAF**, pilih yang untuk beralih ke versi terbaru. 

1. Di panel navigasi, pilih **paket perlindungan (web ACLs)**. 

1. Di halaman **paket perlindungan (web ACLs)**, temukan paket perlindungan baru Anda (web ACL) dalam daftar untuk Wilayah tempat Anda membuatnya. Pilih nama paket perlindungan (web ACL) untuk memunculkan pengaturan untuk paket perlindungan (web ACL). 

1. Tinjau semua pengaturan untuk paket perlindungan baru (web ACL) terhadap ACL web AWS WAF Klasik Anda sebelumnya. Secara default, pencatatan dan asosiasi sumber daya yang dilindungi dinonaktifkan. Anda mengaktifkannya saat Anda siap untuk beralih. 

1. Jika paket perlindungan AWS WAF Klasik (ACL web) Anda memiliki grup aturan terkelola, penyertaan grup aturan tidak dibawa dalam migrasi. Anda dapat menambahkan grup aturan terkelola ke paket perlindungan baru (web ACL). Tinjau informasi tentang grup aturan AWS terkelola, termasuk daftar Aturan Terkelola yang tersedia dengan versi baru AWS WAF, at[Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md). Untuk menambahkan grup aturan terkelola, lakukan hal berikut:

   1. Di halaman pengaturan paket perlindungan (web ACL) Anda, pilih tab **Aturan** paket perlindungan (web ACL). 

   1. Pilih **Tambahkan aturan**, lalu pilih **Tambahkan grup aturan terkelola**.

   1. Perluas daftar untuk vendor pilihan Anda dan pilih grup aturan yang ingin Anda tambahkan. Untuk AWS Marketplace penjual, Anda mungkin perlu berlangganan grup aturan. Untuk informasi selengkapnya tentang penggunaan grup aturan terkelola dalam paket perlindungan (web ACL), lihat [Menggunakan grup aturan terkelola di AWS WAF](waf-managed-rule-groups.md) dan[Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

Setelah Anda menyelesaikan proses migrasi dasar, kami sarankan Anda meninjau kebutuhan Anda dan mempertimbangkan opsi tambahan, untuk memastikan bahwa konfigurasi baru seefisien mungkin dan menggunakan opsi keamanan terbaru yang tersedia. Lihat [Migrasi paket perlindungan (web ACL): pertimbangan tambahan](waf-migrating-procedure-additional.md).

# Migrasi paket perlindungan (web ACL): pertimbangan tambahan
<a name="waf-migrating-procedure-additional"></a>

Tinjau paket perlindungan baru Anda (web ACL) dan pertimbangkan opsi yang tersedia AWS WAF untuk Anda di yang baru untuk memastikan bahwa konfigurasi seefisien mungkin dan menggunakan opsi keamanan terbaru yang tersedia. 

**Aturan AWS Terkelola Tambahan**  
Pertimbangkan untuk menerapkan Aturan AWS Terkelola tambahan dalam paket perlindungan (web ACL) untuk meningkatkan postur keamanan aplikasi Anda. Ini termasuk tanpa AWS WAF biaya tambahan. AWS Aturan Terkelola menampilkan jenis grup aturan berikut: 
+ Grup aturan dasar memberikan perlindungan umum terhadap berbagai ancaman umum, seperti menghentikan input buruk yang diketahui agar tidak masuk ke aplikasi Anda dan mencegah akses halaman admin. 
+ Kelompok aturan khusus kasus penggunaan memberikan perlindungan tambahan untuk banyak kasus penggunaan dan lingkungan yang beragam.
+ Daftar reputasi IP memberikan intelijen ancaman berdasarkan IP sumber klien.

Untuk informasi selengkapnya, lihat [AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md).

**Pengoptimalan aturan dan pembersihan**  
Kunjungi kembali aturan lama Anda dan pertimbangkan untuk mengoptimalkannya dengan menulis ulang atau menghapus yang sudah ketinggalan zaman. Misalnya, jika di masa lalu, Anda menggunakan AWS CloudFormation template dari paper teknis untuk 10 Kerentanan Aplikasi Web Teratas OWASP, [Mempersiapkan 10 Kerentanan Aplikasi Web Teratas OWASP AWS WAF dan Buku Putih Baru Kami, Anda harus mempertimbangkan untuk](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/) menggantinya dengan Aturan Terkelola. AWS Meskipun konsep yang ditemukan dalam dokumen masih berlaku dan dapat membantu Anda dalam menulis aturan Anda sendiri, aturan yang dibuat oleh template sebagian besar telah digantikan oleh Aturan AWS Terkelola.

**CloudWatch Metrik dan alarm Amazon**  
Kunjungi kembali CloudWatch metrik Amazon Anda dan atur alarm sesuai kebutuhan. Migrasi tidak membawa CloudWatch alarm dan mungkin saja nama metrik Anda tidak seperti yang Anda inginkan. 

**Tinjau dengan tim aplikasi Anda**  
Bekerja dengan tim aplikasi Anda dan periksa postur keamanan Anda. Cari tahu bidang apa yang sering diuraikan oleh aplikasi dan tambahkan aturan untuk membersihkan input yang sesuai. Periksa kasus tepi dan tambahkan aturan untuk menangkap kasus ini jika logika bisnis aplikasi gagal memprosesnya. 

**Rencanakan peralihan**  
Rencanakan waktu sakelar dengan tim aplikasi Anda. Peralihan dari asosiasi paket perlindungan lama (web ACL) ke yang baru dapat mengambil sedikit waktu untuk menyebar ke semua area di mana sumber daya Anda disimpan. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. Selama waktu ini, beberapa permintaan akan diproses oleh paket perlindungan lama (web ACL) dan lainnya akan diproses oleh paket perlindungan baru (web ACL). Sumber daya Anda akan dilindungi di seluruh sakelar, tetapi Anda mungkin melihat ketidakkonsistenan dalam penanganan permintaan saat sakelar sedang berlangsung. 

Ketika Anda siap untuk beralih, ikuti prosedur di[Migrasi paket perlindungan (web ACL): switchover](waf-migrating-procedure-switchover.md).

# Migrasi paket perlindungan (web ACL): switchover
<a name="waf-migrating-procedure-switchover"></a>

Setelah memverifikasi pengaturan paket perlindungan baru (web ACL), Anda dapat mulai menggunakannya sebagai pengganti paket perlindungan AWS WAF Klasik (ACL web) Anda. 

**Untuk mulai menggunakan paket AWS WAF perlindungan baru Anda (web ACL)**

1. Kaitkan paket AWS WAF perlindungan (web ACL) dengan sumber daya yang ingin Anda lindungi, mengikuti panduan di[Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md). Ini secara otomatis memisahkan sumber daya dari paket perlindungan lama (web ACL). 

   Sakelar dapat memakan waktu dari beberapa detik hingga beberapa menit untuk merambat. Selama waktu ini, beberapa permintaan mungkin diproses oleh paket perlindungan lama (web ACL) dan lainnya oleh paket perlindungan baru (web ACL). Sumber daya Anda akan dilindungi di seluruh sakelar, tetapi Anda mungkin melihat ketidakkonsistenan dalam penanganan permintaan hingga selesai. 

1. Konfigurasikan logging untuk paket perlindungan baru (web ACL), mengikuti panduan di[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 

1. (Opsional) Jika paket perlindungan AWS WAF Klasik (ACL web) Anda tidak lagi terkait dengan sumber daya apa pun, pertimbangkan untuk menghapusnya sepenuhnya dari AWS WAF Classic. Untuk informasi, lihat [Menghapus ACL Web](classic-web-acl-deleting.md).