でのウェブリクエストでのラベルの使用 AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのウェブリクエストでのラベルの使用 AWS WAF

このセクションでは、 AWS WAF ラベルは です。

ラベルは、ルールがリクエストに一致するときにルールによってウェブリクエストに追加されるメタデータです。追加すると、ウェブACL評価が終了するまで、リクエストでラベルを使用できます。ラベル一致ステートメントを使用して、ウェブACL評価の後半で実行されるルールのラベルにアクセスできます。詳細については、「ラベル一致ルールステートメント」を参照してください。

ウェブリクエストのラベルは Amazon CloudWatch ラベルメトリクスを生成します。メトリクスとディメンションのリストについては、「ラベルメトリクスとディメンション」を参照してください。 CloudWatch および を介したメトリクスとメトリクスの概要へのアクセスについては、 AWS WAF コンソールについては、「」を参照してくださいのモニタリングとチューニング AWS WAF 保護

ラベリングのユースケース

の一般的なユースケース AWS WAF ラベルには以下が含まれます。

  • リクエストに対してアクションを実行する前に、複数のルールステートメントに対してウェブリクエストを評価する – ウェブ でルールとの一致が見つかった後ACL、 AWS WAF ルールアクションがウェブ評価を終了しない場合ACL、 はウェブに対するリクエストACLの評価を続行します。リクエストを許可または拒否するか判断する前、ラベルを使用して複数のルールから情報を評価および収集できます。これを行うには、既存のルールのアクションを に変更します。Count および は、一致するリクエストにラベルを追加するように設定します。その後、他のルールの後に実行する新しいルールを 1 つ以上追加し、ラベルを評価してラベル一致の組み合わせに応じてリクエストを管理するように設定します。

  • 地域別のウェブリクエストの管理 – 地理的一致ルールを単独で使用して、ウェブリクエストを発信国別に管理できます。ロケーションをリージョンレベルまで微調整するには、 で地理一致ルールを使用します。Count アクションの後にラベル一致ルールが続きます。地理一致ルールの情報については、「地理的一致ルールステートメント」を参照してください。

  • 複数のルール間でロジックを再利用する – 複数のルールで同じロジックを再利用する必要がある場合は、ラベルを使用してそのロジックを単一のソースにして、結果をテストします。ネストされたルールステートメントの共通のサブセットを使用する複雑なルールが複数ある場合、複雑なルール間で共通ルールセットを複製すると、時間がかかり、エラーが発生しやすくなります。ラベルを使用すると、一致するリクエストをカウントし、それらにラベルを追加する共通ルールサブセットを使用して新しいルールを作成できます。新しいルールをウェブに追加ACLして、元の複雑なルールの前に実行できるようにします。その後、元のルールで、共有ルールサブセットを、ラベルをチェックする単一のルールに置き換えます。

    例えば、ログインパスにのみ適用する複数のルールがあるとします。各ルールで潜在的なログインパスと一致する同じロジックを指定するのではなく、そのロジックを含む 1 つの新しいルールを実装できます。新しいルールで、一致するリクエストにラベルを追加して、リクエストがログインパス上にあることを示します。ウェブ でACL、この新しいルールに元のルールよりも低い優先順位を設定して、最初に実行されるようにします。その後、元のルールで、共有ロジックをラベルの存在のチェックに置き換えます。ジョブの優先順位の設定については、「ウェブでのルール優先度の設定 ACL」を参照してください。

  • ルールグループ内のルールに対する例外を作成する – このオプションは、表示または変更できないマネージドルールグループに特に役立ちます。多くのマネージドルールグループのルールはウェブリクエストにラベルを追加して一致したルールを示し、場合によってはその一致に関する追加情報を提供します。リクエストにラベルを追加するルールグループを使用すると、ルールグループのルールが一致をカウントするようにオーバーライドし、その後にルールグループラベルに基づいたウェブリクエストを処理するルールグループの後にルールを実行できます。すべて AWS マネージドルールは、一致するウェブリクエストにラベルを追加します。詳細については、「AWS マネージドルールのルールグループリスト」のルールの説明を参照してください。

  • ラベルメトリクスを使用してトラフィックパターンをモニタリングする – ルールを通じて追加するラベルのメトリクスと、ウェブ で使用するマネージドルールグループによって追加されるメトリクスのメトリクスにアクセスできますACL。すべての AWS マネージドルールのルールグループは、評価するウェブリクエストにラベルを追加します。ラベルメトリクスとディメンションのリストについては、「ラベルメトリクスとディメンション」を参照してください。メトリクスとメトリクスの概要には、 CloudWatch および のACLウェブページからアクセスできます。 AWS WAF console。詳細については、のモニタリングとチューニング AWS WAF 保護 を参照してください。