**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ
<a name="aws-managed-rule-groups-acfp"></a>

このセクションでは、 AWS WAF Fraud Control アカウント作成不正防止 (ACFP) マネージドルールグループの動作について説明します。

VendorName: `AWS`、名前: `AWSManagedRulesACFPRuleSet`、WCU: 50

**注記**  
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。  
 AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。  
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。

 AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) マネージドルールグループは、不正なアカウント作成の試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントがアプリケーションの登録エンドポイントとアカウント作成エンドポイントに送信するアカウント作成リクエストを検査することでこれを行います。

ACFP ルールグループは、さまざまな方法でアカウント作成の試みを検査し、悪意のある可能性のあるインタラクションを可視化し、コントロールできるようにします。ルールグループは、リクエストトークンを使用して、クライアントブラウザに関する情報と、アカウント作成リクエストの作成における人間のインタラクティビティのレベルに関する情報を収集します。ルールグループは、IP アドレスとクライアントセッションごとにリクエストを集計し、物理アドレスや電話番号などの提供されたアカウント情報ごとに集計することで、一括アカウント作成の試みを検出および管理します。さらに、ルールグループは、侵害された認証情報を使用した新しいアカウントの作成を検出してブロックします。これは、アプリケーションと新しいユーザーのセキュリティ体制の保護に役立ちます。

## このルールグループの使用に関する考慮事項
<a name="aws-managed-rule-groups-acfp-using"></a>

このルールグループには、アプリケーションのアカウント登録パスとアカウント作成パスの仕様を含むカスタム設定が必要です。特に明記されている場合を除き、このルールグループのルールは、クライアントがこれらの 2 つのエンドポイントに送信するすべてのリクエストを検査します。このルールグループを設定および実装するには、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」のガイダンスを参照してください。

**注記**  
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「[でのインテリジェントな脅威の軽減 AWS WAF](waf-managed-protections.md)」を参照してください。

コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md) のガイダンスに従ってこのルールグループを使用してください。

このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループを使用する保護パック (ウェブ ACL) をユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けられた保護パック (ウェブ ACL) に追加することはできません。

## このルールグループによって追加されるラベル
<a name="aws-managed-rule-groups-acfp-labels"></a>

このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「[ウェブリクエストのラベル付け](waf-labels.md)」および「[ラベルメトリクスとディメンション](waf-metrics.md#waf-metrics-label)」を参照してください。

### トークンラベル
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。

トークンおよびトークンの管理の詳細については、「[AWS WAF インテリジェントな脅威の軽減におけるトークンの使用](waf-tokens.md)」を参照してください。

ここで説明するラベルコンポーネントについては、「[でのラベル構文と命名要件 AWS WAF](waf-rule-label-requirements.md)」を参照してください。

**クライアントセッションラベル**  
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子`awswaf:managed:token:id:identifier`が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

**注記**  
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

**ブラウザフィンガープリントラベル**  
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子`awswaf:managed:token:fingerprint:fingerprint-identifier`が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。

**注記**  
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

**トークンステータスラベル: ラベル名前空間プレフィックス**  
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
+ `awswaf:managed:token:`— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。
+ `awswaf:managed:captcha:`— トークンの CAPTCHA 情報のステータスを報告するために使用されます。

**トークンステータスラベル: ラベル名**  
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
+ `accepted` - リクエストトークンが存在し、以下の内容が含まれています。
  + 有効なチャレンジまたは CAPTCHA ソリューション。
  + 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
  + 保護パック (ウェブ ACL) に有効なドメイン仕様。

  例: ラベル `awswaf:managed:token:accepted` には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。
+ `rejected` - リクエストトークンは存在するが、承認基準を満たしていない。

  トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
  + `rejected:not_solved` — トークンにチャレンジまたは CAPTCHA ソリューションがない。
  + `rejected:expired` — 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。
  + `rejected:domain_mismatch` — トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。
  + `rejected:invalid` – 指定されたトークンを読み取ることが AWS WAF できませんでした。

  例: ラベル `awswaf:managed:captcha:rejected` と `awswaf:managed:captcha:rejected:expired` とともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。
+ `absent` — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

  例: ラベル `awswaf:managed:captcha:absent` には、リクエストにトークンがないことが示されています。

### ACFP ラベル
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

このルールグループは、名前空間プレフィックス `awswaf:managed:aws:acfp:` が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。ルールグループは、リクエストに複数のラベルを追加する場合があります。

`DescribeManagedRuleGroup` を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の `AvailableLabels` プロパティにリストされています。

## Account Creation Fraud Prevention ルールリスト
<a name="aws-managed-rule-groups-acfp-rules"></a>

次のセクションには、`AWSManagedRulesACFPRuleSet` の ACFP ルールとルールグループがウェブリクエストに追加するラベルが示されています。

このルールグループ内のすべてのルールでは、最初の 2 つの `UnsupportedCognitoIDP` と `AllRequests` を除き、ウェブリクエストトークンが必要です。トークンが提供する情報の説明については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。

特に明記されていない限り、このルールグループのルールは、ルールグループの設定で指定したアカウント登録ページのパスとアカウント作成ページのパスにクライアントが送信するすべてのリクエストを検査します。このルールグループの設定の詳細については、「[AWS WAF Fraud Control アカウント作成不正防止 (ACFP)](waf-acfp.md)」を参照してください。

**注記**  
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、[AWS マネージドルールの変更ログ](aws-managed-rule-groups-changelog.md) の変更ログにレポートされます。他のバージョンの情報については、API コマンド [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html) を使用してください。  
 AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。  
ここに記載されている以上の情報が必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/) にお問い合わせください。


| ルール名 | 説明とラベル | 
| --- | --- | 
| UnsupportedCognitoIDP |  Amazon Cognito ユーザープールに向かうウェブトラフィックの有無を検査します。ACFP は Amazon Cognito ユーザープールでは使用できません。このルールは、他の ACFP ルールグループのルールがユーザープールのトラフィックの評価に使用されないようにすることに役立ちます。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:unsupported:cognito_idp` および `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  登録ページのパスにアクセスするリクエストにルールアクションを適用します。ルールグループを設定するときに、登録ページのパスを設定します。 デフォルトでは、このルールは Challenge をリクエストに適用します。このアクションを適用することにより、ルールは、ルールグループ内の残りのルールによってリクエストが評価される前に、クライアントがチャレンジトークンを取得するようにします。 エンドユーザーがアカウント作成リクエストを送信する前に、登録ページのパスをロードするようにします。 トークンは、クライアントアプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。最も効率的にトークンを取得するために、アプリケーション統合 SDK を使用することを強くお勧めします。詳細については、「[でのクライアントアプリケーション統合 AWS WAF](waf-application-integration.md)」を参照してください。 ルールアクション: Challenge ラベル: なし  | 
| RiskScoreHigh |  IP アドレスやその他の非常に疑わしい要素が含まれるアカウント作成リクエストを検査します。この評価は通常、複数の寄与要因に基づいており、ルールグループがリクエストに追加する `risk_score` ラベルで確認できます。 ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:risk_score:high` および `awswaf:managed:aws:acfp:RiskScoreHigh`  このルールは、`medium` または `low` のリスクスコアラベルをリクエストに適用することもできます。  AWS WAF がウェブリクエストのリスクスコアの評価に成功しない場合、ルールはラベルを追加します。 `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` さらに、このルールは、IP レピュテーションや盗難された認証情報の評価など、特定のリスクスコアの寄与要因のリスクスコアの評価ステータスと結果を含む名前空間 `awswaf:managed:aws:acfp:risk_score:contributor:` のラベルを追加します。  | 
| SignalCredentialCompromised |  盗まれた認証情報データベースで、アカウント作成リクエストで送信された認証情報を検索します。 このルールにより、新しいクライアントは、好ましいセキュリティ体制でアカウントを初期化するようになります。  カスタムブロックレスポンスを追加して、エンドユーザーに問題を説明し、続行方法を伝えることができます。詳細については、「[ACFP の例: 侵害された認証情報についてのカスタムレスポンス](waf-acfp-control-example-compromised-credentials.md)」を参照してください。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:signal:credential_compromised` および `awswaf:managed:aws:acfp:SignalCredentialCompromised`  ルールグループは次の関連ラベルを適用しますが、アカウント作成のすべてのリクエストに認証情報があるわけではないため、それに対するアクションは実行されません: `awswaf:managed:aws:acfp:signal:missing_credential`。  | 
| SignalClientHumanInteractivityAbsentLow |  アカウント作成リクエストのトークンで、人間によるアプリケーションとの異常なインタラクティブ性を示すデータがないかどうかを検査します。人間のインタラクティビティは、マウスの動きやキーの押下などのインタラクションを通じて検出されます。ページに HTML フォームがある場合、人間によるインタラクションにはフォームとのインタラクションが含まれます。  このルールは、アカウント作成パスに対するリクエストのみを検査し、アプリケーション統合 SDK を実装している場合にのみ評価されます。SDK を実装することで、人間のインタラクティブ性を受動的にキャプチャし、その情報をリクエストトークンに保存できます。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」および「[でのクライアントアプリケーション統合 AWS WAF](waf-application-integration.md)」を参照してください。  ルールアクション: CAPTCHA ラベル: なし。このルールはさまざまな要因に基づいて一致を決定するため、考えられるすべての一致シナリオに適用される個別のラベルはありません。 ルールグループは、次の 1 つ以上のラベルをリクエストに適用できます。 `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  クライアントブラウザが自動化されている可能性を示す要素がないかを検査します。 ルールアクション: Block  ラベル: `awswaf:managed:aws:acfp:signal:automated_browser` および `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  ブラウザ調査のデータに一貫性がないかどうかを確認するために、リクエストのトークンを検査します。詳細については、「[AWS WAF トークンの特性](waf-tokens-details.md)」を参照してください。 ルールアクション: CAPTCHA  ラベル: `awswaf:managed:aws:acfp:signal:browser_inconsistency` および `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  個々の IP アドレスから送信された大量のアカウント作成リクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。 このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。 ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` および `awswaf:managed:aws:acfp:VolumetricIpHigh`  ルールは、中程度の量 (10 分間の時間枠あたり 15 件以上のリクエスト）および少量 (10 分間の時間枠あたり 10 件以上のリクエスト）のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low` を適用しますが、アクションは実行しません。  | 
| VolumetricSessionHigh |  個々のクライアントセッションから送信された大量のアカウントリクエストを検査します。大量とは、30 分間の時間枠にリクエストが 10 件を超えることです。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` および `awswaf:managed:aws:acfp:VolumetricSessionHigh`  ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low` を適用しますが、アクションは実行しません。  | 
| AttributeUsernameTraversalHigh |  異なるユーザー名を使用する単一のクライアントセッションからアカウント作成リクエストが高頻度で発生していないかどうかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` および `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  ルールグループは、ユーザー名トラバーサルリクエストの中程度の量 (30分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト) に対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` および `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low` を適用しますが、アクションは実行しません。  | 
| VolumetricPhoneNumberHigh |  同じ電話番号を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` および `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` および `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low` を適用しますが、アクションは実行しません。  | 
| VolumetricAddressHigh |  同じ物理的な住所を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間の時間枠あたりのリクエスト数が 100 件を超えている場合は、大量であると評価されます。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` および `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  同じ物理的な住所を使用する少量または中程度の量のアカウント作成リクエストが発生していないかを検査します。中程度の評価のしきい値は 30 分間の時間枠あたり 50 件以上のリクエストであり、低評価のしきい値は 30 分間の時間枠あたり 10 件以上のリクエストです。 このルールは、中程度の量または少量のいずれかの場合にアクションを適用します。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: CAPTCHA ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` および `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  単一の IP アドレスに対する大量の正常なアカウント作成リクエストを検査します。このルールは、保護されたリソースからのアカウント作成リクエストに対する成功レスポンスを集計します。10 分間の時間枠あたりのリクエスト数が 10 件を超えている場合は、大量であると評価されます。 このルールは、アカウントの一括作成の試みからの保護に役立ちます。リクエストのみをカウントするルール `VolumetricIpHigh` よりもしきい値が低くなります。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。  AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。   このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、正常なアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` および `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`、1 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low`、10 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`、5 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` です。  | 
| VolumetricSessionSuccessfulResponse |  単一のクライアントセッションから送信されるアカウント作成リクエストに対する、保護されたリソースからの少量の成功したレスポンスを検査します。これは、アカウントの一括作成の試みからの保護に役立ちます。30 分間の時間枠あたりのリクエスト数が 1 件を超えている場合は、少量であると評価されます。 これは、アカウントの一括作成の試みからの保護に役立ちます。このルールは、リクエストのみをカウントするルール `VolumetricSessionHigh` よりも低いしきい値を使用します。 レスポンス本文または JSON コンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。  AWS WAF は、Amazon CloudFront ディストリビューションを保護する保護パック (ウェブ ACLs) でのみこのルールを評価します。   このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、失敗したアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` および `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  ルールグループは、次の関連ラベルもリクエストに適用します。すべてのカウントは 30 分間の時間枠のものです。10 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`、5 件以上の成功したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`、10 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high`、5 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`、1 件以上の失敗したリクエストには `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` です。  | 
| VolumetricSessionTokenReuseIp |  アカウント作成リクエストを検査して、5 つを超える異なる IP アドレス間で単一のトークンが使用されていないかどうかをチェックします。  このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。  ルールアクション: Block ラベル: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` および `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  |