特定のラベルを使用してリクエストをレート制限する - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

特定のラベルを使用してリクエストをレート制限する

さまざまなカテゴリのリクエスト数を制限するには、レート制限を、リクエストにラベルを追加するルールまたはルールグループと組み合わせることができます。これを行うには、ウェブをACL次のように設定します。

  • ラベルを追加するルールまたはルールグループを追加し、レート制限するリクエストがブロックまたは許可されないように設定します。マネージドルールグループを使用する場合は、一部のルールグループルールアクションを に上書きする必要がある場合があります。Count この動作を実現するための 。

  • ラベル付けルールとルールグループよりも高い優先度の番号設定ACLを使用して、レートベースのルールをウェブに追加します。 AWS WAF は、ルールを最も低い順に評価するため、レートベースのルールはラベル付けルールの後に実行されます。ルールのスコープダウンステートメントのラベル一致とラベル集約を組み合わせて、ラベルのレート制限を設定します。

次の例では、Amazon IP の評価リストを使用しています。 AWS マネージドルールのルールグループ。ルールグループルールIPsは、DDoSアクティビティに積極的に関与していることがわかっているリクエストAWSManagedIPDDoSListを検出してラベル付けします。ルールのアクションは に設定されます。Count ルールグループ定義の 。ルールグループの詳細については、「Amazon IP 評価リストマネージドルールグループ」を参照してください。

次のウェブACLJSONリストでは、IP 評価ルールグループに続いてラベルマッチングレートベースのルールを使用しています。レートベースのルールでは、スコープダウンステートメントを使用して、ルールグループのルールでマークされたリクエストをフィルタリングします。レートベースのルールステートメントは、フィルタリングされたリクエストを IP アドレスで集約してレート制限します。

{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}