のトークンラベルのタイプ AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のトークンラベルのタイプ AWS WAF

このセクションでは、 AWS WAF トークン管理がウェブリクエストに追加するラベルについて説明します。ラベルの一般情報については、でのウェブリクエストのラベル付け AWS WAFを参照してください。

AWS WAF ボットまたは不正コントロールマネージドルールグループのいずれかを使用する場合、ルールグループは AWS WAF トークン管理を使用してウェブリクエストトークンを検査し、リクエストにトークンラベルを適用します。マネージドルールグループの詳細については、「AWS WAF Fraud Control アカウント作成の不正防止 (ACFP) ルールグループ」、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ」、「AWS WAF Bot Control ルールグループ」を参照してください。

注記

AWS WAF は、これらのインテリジェントな脅威軽減マネージドルールグループのいずれかを使用する場合にのみトークンラベルを適用します。

トークン管理では、以下のラベルをウェブリクエストに追加できます。

クライアントセッションラベル

ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:identifierが含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。

ブラウザフィンガープリントラベル

ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:fingerprint-identifierが含まれています。この識別子は、複数のトークン取得の試行で同じままです。フィンガープリント識別子は、単一のクライアントに固有ではありません。

注記

AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークンのステータス、チャレンジのステータス、およびトークンに含まれるCAPTCHA情報についてレポートします。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha: – トークンCAPTCHAの情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたはCAPTCHAソリューション。

    • 有効期限が切れていないチャレンジまたはCAPTCHAタイムスタンプ。

    • ウェブ に有効なドメイン仕様ACL。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved – トークンにチャレンジまたはCAPTCHAソリューションがありません。

    • rejected:expired – ウェブ で設定されたトークンのイミュニティ時間に従って、トークンACLのチャレンジまたはCAPTCHAタイムスタンプの有効期限が切れています。

    • rejected:domain_mismatch – トークンのドメインがウェブのACLトークンドメイン設定と一致しません。

    • rejected:invalid - 指定されたトークンを読み取ることが AWS WAF できませんでした。

    例: トークンのCAPTCHAタイムスタンプがウェブ で設定されたCAPTCHAトークンイミュニティ時間を超えたためにリクエストが拒否されたawswaf:managed:captcha:rejected:expiredことを示すラベル awswaf:managed:captcha:rejectedと ACL。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。