のトークンラベルのタイプ AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のトークンラベルのタイプ AWS WAF

このセクションでは、 AWS WAF トークン管理がウェブリクエストに追加するラベルについて説明します。ラベルの一般情報については、でのウェブリクエストのラベル付け AWS WAFを参照してください。

AWS WAF ボットまたは不正コントロールマネージドルールグループのいずれかを使用する場合、ルールグループは AWS WAF トークン管理を使用してウェブリクエストトークンを検査し、リクエストにトークンラベルを適用します。マネージドルールグループの詳細については、「AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) ルールグループ」、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ」、「AWS WAF Bot Control ルールグループ」を参照してください。

注記

AWS WAF は、これらのインテリジェントな脅威軽減マネージドルールグループのいずれかを使用する場合にのみトークンラベルを適用します。

トークン管理では、以下のラベルをウェブリクエストに追加できます。

クライアントセッションラベル

ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:identifierが含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。

ブラウザフィンガープリントラベル

ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:fingerprint-identifierが含まれています。この識別子は、複数のトークン取得の試行で同じままです。フィンガープリント識別子は、単一のクライアントに一意ではありません。

注記

AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたは CAPTCHA ソリューション。

    • 有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。

    • ウェブ ACL に有効なドメイン仕様。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved — トークンにチャレンジまたは CAPTCHA ソリューションがない。

    • rejected:expired — ウェブ ACL に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。

    • rejected:domain_mismatch — トークンのドメインが、ウェブ ACL のトークンドメイン設定と一致しない。

    • rejected:invalid - 指定されたトークンを読み取ることが AWS WAF できませんでした。

    例: ラベル awswaf:managed:captcha:rejectedと はawswaf:managed:captcha:rejected:expired、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定された CAPTCHA トークンのイミュニティ時間を超えたため、リクエストに有効な CAPTCHA 解決がなかったことを示します。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。