**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのルールグループアクションの上書き AWS WAF
<a name="web-acl-rule-group-override-options"></a>

このセクションでは、ルールグループアクションを上書きする方法について説明します。

ルールグループを保護パック (ウェブ ACL) に追加するとき、一致するウェブリクエストに対して実行されるアクションをオーバーライドできます。保護パック (ウェブ ACL) 設定内のルールグループのアクションをオーバーライドしても、ルールグループ自体は変更されません。保護パック (ウェブ ACL) のコンテキストで がルールグループ AWS WAF を使用する方法のみを変更します。

## ルールグループのルールアクションの上書き
<a name="web-acl-rule-group-override-options-rules"></a>

ルールグループ内のルールのアクションは、任意の有効なルールアクションにオーバーライドきできます。これを実行すると、一致するリクエストは、設定されたルールのアクションがオーバーライド設定である場合とまったく同様に処理されます。

**注記**  
ルールアクションは、終了アクションまたは非終了アクションである場合があります。終了アクションは、リクエストの保護パック (ウェブ ACL) 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。

ルールアクションのオプションは以下のとおりです。
+ **Allow** – AWS WAF リクエストを保護された AWS リソースに転送して処理および応答できるようにします。これは終了アクションです。定義したルールでは、リクエストを保護されたリソースに転送する前に、カスタムヘッダーを挿入できます。
+ **Block** – リクエストを AWS WAF ブロックします。これは終了アクションです。デフォルトでは、保護された AWS リソースは HTTP `403 (Forbidden)`ステータスコードで応答します。定義したルールでは、応答をカスタマイズできます。がリクエストを AWS WAF ブロックすると、Blockアクション設定によって、保護されたリソースがクライアントに返すレスポンスが決まります。
+ **Count** – リクエストを AWS WAF カウントしますが、許可するかブロックするかは決定しません。これは非終了アクションです。 AWS WAF は保護パック (ウェブ ACL) の残りのルールの処理を継続します。定義したルールでは、リクエストにカスタムヘッダーを挿入し、他のルールで一致するラベルを追加できます。
+ **CAPTCHA および Challenge** – CAPTCHA パズルとサイレントチャレンジ AWS WAF を使用して、リクエストがボットから送信されていないことを確認し、トークン AWS WAF を使用して最近成功したクライアントレスポンスを追跡します。

  CAPTCHA パズルとサイレントチャレンジは、ブラウザが HTTPS エンドポイントにアクセスしている場合にのみ実行できます。トークンを取得するには、ブラウザクライアントが安全なコンテキストで実行されている必要があります。
**注記**  
CAPTCHA または Challenge ルールアクションを 1 つのルールで使用、あるいはルールグループでルールアクションのオーバーライドとして使用すると、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

  これらのルールアクションは、リクエスト内のトークンの状態に応じて、終了アクションまたは非終了アクションである場合があります。
  + **有効で有効期限が切れていないトークンの非終了** – トークンが有効で、設定された CAPTCHA またはチャレンジイミュニティ時間に従って有効期限が切れていない場合、 は Count action のようなリクエスト AWS WAF を処理します。 AWS WAF は引き続き、保護パック (ウェブ ACL) の残りのルールに基づいてウェブリクエストを検査します。Count 設定と同様に、定義したルールでは、リクエストに挿入するカスタムヘッダーを使用してこれらのアクションを設定したり (オプション)、他のルールが照合できるラベルを追加したりできます。
  + 無効**または期限切れのトークンのブロックされたリクエストで終了** – トークンが無効であるか、指定されたタイムスタンプの有効期限が切れている場合、 は Block アクションと同様にウェブリクエストの検査 AWS WAF を終了し、リクエストをブロックします。 AWS WAF その後、 はカスタムレスポンスコードでクライアントに応答します。CAPTCHA には、リクエスト内容はクライアントのブラウザが処理できることが示された場合、 AWS WAF は人間のクライアントとボットを区別するように設計された JavaScript インタースティシャルで CAPTCHA パズルを送信します。Challenge アクションの場合、 は、通常のブラウザをボットによって実行されているセッションと区別するように設計されたサイレントチャレンジで JavaScript インタースティシャル AWS WAF を送信します。

  詳細については、「[CAPTCHA および Challengeの AWS WAF](waf-captcha-and-challenge.md)」を参照してください。

このオプションの使用方法については、「[ルールグループ内のルールアクションのオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)」を参照してください。

### ルールアクションを Count にオーバーライド
<a name="web-acl-rule-group-override-to-count"></a>

ルールアクションオーバーライドの最も一般的な使用例は、ルールアクションの一部またはすべてを Count にオーバーライドして、ルールグループの動作を本番稼働に移行する前にテストおよびモニタリングすることです。

これを使用して誤検出を生成しているルールグループをトラブルシューティングすることもできます。誤検出は、ブロックすると想定していないトラフィックをルールグループがブロックするときに発生します。ルールグループ内で、許可したいリクエストをブロックするルールを特定した場合、そのルールに対するこのカウントアクションのオーバーライドを保持し、リクエストに対するアクションを除外できます。

テストでルールアクションのオーバーライドを使用する詳細については、「[AWS WAF 保護のテストとチューニング](web-acl-testing.md)」を参照してください。

### JSON リスト: `RuleActionOverrides` を `ExcludedRules` に置き換えます
<a name="web-acl-rule-group-override-replaces-exclude"></a>

2022 年 10 月 27 日より前に保護パック (ウェブ ACL) 設定Countでルールグループのルールアクションを に設定した場合、 は保護パック (ウェブ ACL) JSON にオーバーライドを として AWS WAF 保存しました`ExcludedRules`。これで、ルールを Count にオーバーライドする JSON 設定が `RuleActionOverrides` 設定に追加されました。

JSON リストですべての `ExcludedRules` 設定は、アクションを Count に設定した `RuleActionOverrides` 設定に更新することをお勧めします。API はどちらの設定も受け付けますが、新しい `RuleActionOverrides` 設定のみを使用した場合、コンソール作業と API 作業の間で JSON リストの一貫性が保たれます。

**注記**  
 AWS WAF コンソールでは、保護パック (ウェブ ACL) **のサンプルリクエスト**タブには、古い設定のルールのサンプルは表示されません。詳細については、「[ウェブリクエストのサンプルの表示](web-acl-testing-view-sample.md)」を参照してください。

 AWS WAF コンソールを使用して既存のルールグループ設定を編集すると、コンソールは JSON のすべての`RuleActionOverrides`設定を `ExcludedRules` 設定に自動的に変換し、オーバーライドアクションは に設定されますCount。
+ 現在の設定例: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ 古い設定例: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## ルールグループの戻り値アクションを Count に上書き
<a name="web-acl-rule-group-override-options-rule-group"></a>

ルールグループが返すアクションをオーバーライドして、Count に設定できます。

**注記**  
これは、 がルールグループ自体 AWS WAF を評価する方法を変更しないため、ルールグループのルールをテストするには適していません。ルールグループ評価から保護パック (ウェブ ACL) に返される結果 AWS WAF の処理方法にのみ影響します。ルールグループ内のルールをテストする場合は、前述のセクションで説明したオプション [ルールグループのルールアクションの上書き](#web-acl-rule-group-override-options-rules) を使用します。

ルールグループアクションを に上書きするとCount、 はルールグループ評価を正常に AWS WAF 処理します。

ルールグループ内のルールが一致しない、あるいはすべての一致するルールに Count アクションがある場合、このオーバーライドはルールグループまたは保護パック (ウェブ ACL) の処理に影響を与えません。

ウェブリクエストに一致し、終了ルールアクションを持つルールグループの最初のルールは、 AWS WAF がルールグループの評価を停止し、終了アクションの結果を保護パック (ウェブ ACL) 評価レベルに返します。この時点で、保護パック (ウェブ ACL) 評価では、このオーバーライドが有効になります。ルールグループ評価の結果がアクションのみになるように、このオーバーライドは終了Countアクションを AWS WAF 上書きします。 AWS WAF その後、 は保護パック (ウェブ ACL) の残りのルールの処理を続行します。

このオプションの使用方法については、「[ルールグループの評価結果を Count にオーバーライド](web-acl-rule-group-settings.md#web-acl-rule-group-action-override)」を参照してください。