**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF
<a name="web-acl-processing"></a>

このセクションでは、保護パック (ウェブ ACL) とウェブ ACL がルールとルールグループと連携する方法について説明します。

保護パック (ウェブ ACL) がウェブリクエストを処理する方法は、次に応じて異なります。
+ 保護パック (ウェブ ACL) およびルールグループ内のルールの優先順位の数値設定
+ ルールおよび保護パック (ウェブ ACL) のアクション設定
+ 追加したルールグループ内のルールに設定した上書き

ルールアクション設定のリストについては、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。

ルールアクション設定とデフォルトの保護パック (ウェブ ACL) アクション設定で、リクエストと応答の処理をカスタマイズできます。詳細については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。

**Topics**
+ [ルールの優先度を設定する](web-acl-processing-order.md)
+ [がルールとルールグループのアクション AWS WAF を処理する方法](web-acl-rule-actions.md)
+ [でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)

# ルールの優先度を設定する
<a name="web-acl-processing-order"></a>

このセクションでは、 AWS WAF が数値優先度設定を使用してルールの評価順序を設定する方法について説明します。

保護パック (ウェブ ACL) および任意のルールグループ内では、優先順位の数値設定を使用してルールの評価順序を決定します。保護パック (ウェブ ACL) 内の各ルールには、その保護パック (ウェブ ACL) 内で一意の優先順位を設定する必要があります。また、ルールグループ内の各ルールには、そのルールグループ内で一意の優先順位を設定する必要があります。

**注記**  
コンソールを使用してルールグループ、保護パック (ウェブ ACLs) を管理すると、 はリスト内のルールの順序に基づいて一意の数値優先度設定 AWS WAF を割り当てます。 はリストの上部にあるルールに最小の数値優先度を割り当て、下部にあるルールに最大の数値優先度を AWS WAF 割り当てます。

は、ウェブリクエストに対してルールグループ、保護パック (ウェブ ACL) AWS WAF を評価すると、評価を終了するか、すべてのルールを使い果たす一致が見つかるまで、 の最小の数値優先度設定からルールを評価します。

例えば、保護パック (ウェブ ACL) に次のルールとルールグループがあり、次のように優先順位付けされているとします。
+ Rule1 — 優先度 0
+ RuleGroupA – 優先度 100
  + RuleA1 – 優先度 10,000
  + RuleA2 – 優先度 20,000
+ Rule2 — 優先度 200
+ RuleGroupB – 優先度 300
  + RuleB1 – 優先度 0
  + RuleB2 – 優先度 1

AWS WAF は、この保護パック (ウェブ ACL) のルールを次の順序で評価します。
+ Rule1
+ RuleGroupA RuleA1
+ RuleGroupA RuleA2
+ Rule2
+ RuleGroupB RuleB1
+ RuleGroupB RuleB2

# がルールとルールグループのアクション AWS WAF を処理する方法
<a name="web-acl-rule-actions"></a>

このセクションでは、 AWS WAF がルールとルールグループを使用してアクションを処理する方法について説明します。

ルールとルールグループを設定するときは、一致するウェブリクエスト AWS WAF の処理方法を選択します。
+ **Allow および Block は終了アクションです** – Allow および Block アクションは、一致するウェブリクエストにおける保護パック (ウェブ ACL) のその他の処理をすべて停止されます。保護パック (ウェブ ACL) のルールがリクエストの一致を検出し、ルールアクションが Allowまたは の場合Block、その一致によって保護パック (ウェブ ACL) のウェブリクエストの最終処理が決まります。 AWS WAF は、一致するルールの後にある保護パック (ウェブ ACL) 内の他のルールを処理しません。これに該当するのは、保護パック (ウェブ ACL) に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。
+ **Count は非終了アクションです** – Count アクションのあるルールがリクエストと一致すると、 AWS WAF はリクエストをカウントし、その後に保護パック (ウェブ ACL) ルールセットに従うルールの処理を続行します。
+ **CAPTCHA および は、非終了アクションまたは終了アクションChallengeにすることができます** – これらのアクションのいずれかを持つルールがリクエストに一致すると、 はそのトークンステータス AWS WAF をチェックします。リクエストに有効なトークンがある場合、 は一致と同様にCount一致 AWS WAF を処理し、保護パック (ウェブ ACL) ルールセットに続くルールの処理を続行します。リクエストに有効なトークンがない場合、 は評価 AWS WAF を終了し、解決する CAPTCHA パズルまたはサイレントバックグラウンドクライアントセッションチャレンジをクライアントに送信します。

ルール評価で終了アクションが発生しない場合、 は保護パック (ウェブ ACL) のデフォルトアクションをリクエスト AWS WAF に適用します。詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。

保護パック (ウェブ ACL) では、ルールグループ内のルールのアクション設定をオーバーライドしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。

**アクションと優先度設定の相互作用**  
ウェブリクエスト AWS WAF に適用されるアクションは、保護パック (ウェブ ACL) のルールの数値優先度設定の影響を受けます。例えば、保護パック (ウェブ ACL) に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。 AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。Allow は終了アクションであるため、 AWS WAF はこの一致で評価を停止し、カウントルールに対してリクエストを評価しません。
+ 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。
+ 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「[ルールの優先度を設定する](web-acl-processing-order.md)」を参照してください。

# でのルールグループアクションの上書き AWS WAF
<a name="web-acl-rule-group-override-options"></a>

このセクションでは、ルールグループアクションを上書きする方法について説明します。

ルールグループを保護パック (ウェブ ACL) に追加するとき、一致するウェブリクエストに対して実行されるアクションをオーバーライドできます。保護パック (ウェブ ACL) 設定内のルールグループのアクションをオーバーライドしても、ルールグループ自体は変更されません。保護パック (ウェブ ACL) のコンテキストで がルールグループ AWS WAF を使用する方法のみを変更します。

## ルールグループのルールアクションの上書き
<a name="web-acl-rule-group-override-options-rules"></a>

ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。

**注記**  
ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストの保護パック (ウェブ ACL) 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。

ルールアクションのオプションは以下のとおりです。
+ **Allow** – AWS WAF リクエストを保護された AWS リソースに転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。
+ **Block** – リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP `403 (Forbidden)`ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに返すレスポンスが決まります。
+ **Count** – リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは非終了アクションです。 AWS WAF は保護パック (ウェブ ACL) の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。
+ **CAPTCHA および Challenge** – CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用して、リクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用して最近成功したクライアントレスポンスを追跡します。

  CAPTCHA パズルとサイレントチャレンジは、ブラウザが HTTPS エンドポイントにアクセスしている場合にのみ実行できます。トークンを取得するには、ブラウザクライアントが安全なコンテキストで実行されている必要があります。
**注記**  
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

  これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。
  + **有効で有効期限が切れていないトークンの非終了** – トークンが有効で、設定された CAPTCHA またはチャレンジイミュニティ時間に従って有効期限が切れていない場合、 は Count action のようなリクエスト AWS WAF を処理します。 AWS WAF は引き続き、保護パック (ウェブ ACL) の残りのルールに基づいてウェブリクエストを検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。
  + 無効**または期限切れのトークンのブロックされたリクエストで終了** – トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、 は Block アクションと同様にウェブリクエストの検査 AWS WAF を終了し、リクエストをブロックします。 AWS WAF その後、 はカスタムレスポンスコードでクライアントに応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、 AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、 は、通常のブラウザをボットによって実行されているセッションと区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

  詳細については、「[CAPTCHA および Challengeの AWS WAF](waf-captcha-and-challenge.md)」を参照してください。

このオプションの使用方法については、「[ルールグループ内のルールアクションのオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)」を参照してください。

### ルールアクションを Count にオーバーライド
<a name="web-acl-rule-group-override-to-count"></a>

ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。

これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。

テストでルールアクションのオーバーライドを使用する詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

### JSON リスト: `RuleActionOverrides` を `ExcludedRules` に置き換えます
<a name="web-acl-rule-group-override-replaces-exclude"></a>

2022 年 10 月 27 日より前に保護パック (ウェブ ACL) 設定Countでルールグループのルールアクションを に設定した場合、 は保護パック (ウェブ ACL) JSON にオーバーライドを として AWS WAF 保存しました`ExcludedRules`。これで、ルールを Count にオーバーライドする JSON 設定が `RuleActionOverrides` 設定に追加されました。

JSON リストですべての `ExcludedRules` 設定は、アクションを Count に設定した `RuleActionOverrides` 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい `RuleActionOverrides` 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。

**注記**  
 AWS WAF コンソールでは、保護パック (ウェブ ACL) **のサンプルリクエスト**タブには、古い設定のルールのサンプルは表示されません。詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。

 AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON のすべての`RuleActionOverrides`設定を `ExcludedRules` 設定に自動的に変換し、オーバーライドアクションは に設定されますCount。
+ 現在の設定例: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ 古い設定例: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## ルールグループの戻り値アクションを Count に上書き
<a name="web-acl-rule-group-override-options-rule-group"></a>

ルールグループが返すアクションをオーバーライドして、Count に設定できます。

**注記**  
これは、 がルールグループ自体 AWS WAF を評価する方法を変更しないため、ルールグループのルールをテストするには適していません。ルールグループ評価から保護パック (ウェブ ACL) に返される結果 AWS WAF の処理方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション [ルールグループのルールアクションの上書き](#web-acl-rule-group-override-options-rules) を使用します。

ルールグループアクションを に上書きするとCount、 はルールグループ評価を正常に AWS WAF 処理します。

ルールグループ内のルールが一致しない、あるいはすべての一致するルールに Count アクションがある場合、このオーバーライドはルールグループまたは保護パック (ウェブ ACL) の処理に影響を与えません。

ウェブリクエストに一致し、終了ルールアクションを持つルールグループの最初のルールは、 AWS WAF がルールグループの評価を停止し、終了アクションの結果を保護パック (ウェブ ACL) 評価レベルに返します。この時点で、保護パック (ウェブ ACL) 評価では、このオーバーライドが有効になります。ルールグループ評価の結果がアクションのみになるように、このオーバーライドは終了Countアクションを AWS WAF 上書きします。 AWS WAF その後、 は保護パック (ウェブ ACL) の残りのルールの処理を続行します。

このオプションの使用方法については、「[ルールグループの評価結果を Count にオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-action-override)」を参照してください。