在 Amazon WAF 中编辑保护包（web ACL）

Using the new console

本节介绍通过 Amazon 控制台编辑保护包（web ACL）的过程。

要在保护包（web ACL）中添加或删除规则或更改配置设置，请使用本页面上的步骤访问保护包（web ACL）。更新保护包（web ACL）时，Amazon WAF 可以持续覆盖您与保护包（web ACL）关联的资源。

生产流量风险

在保护包（web ACL）中为生产流量部署更改之前，请在暂存或测试环境中对其进行测试和调整，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南，请参阅测试和调整您的 Amazon WAF 保护。

注意

在保护包（web ACL）中使用超过 1500 个 WCU 所产生的成本超出了基本保护包（web ACL）的价格。有关更多信息，请参阅 Amazon WAF 中的 Web ACL 容量单位（WCU）数和 Amazon WAF 定价。

编辑保护包（web ACL）

登录到新的 Amazon Web Services 管理控制台，然后打开 Amazon WAF 控制台，网址为：https://console.aws.amazon.com/wafv2-pro。
在导航窗格中，选择资源和保护包（web ACL）。
选择要编辑的保护包（web ACL）。控制台使主保护包（web ACL）卡可编辑，还会打开可在其中编辑详细信息的侧面板。
根据需要编辑保护包（web ACL）。

以下列出可编辑的保护包（web ACL）配置组件。

本节介绍了通过 Amazon 控制台编辑 web ACL 的过程。

要在 web ACL 中添加或删除规则或更改配置设置，请使用本页面上的步骤访问 web ACL。更新 web ACL 时，Amazon WAF 可以持续覆盖您与 web ACL 关联的资源。

生产流量风险

在 web ACL 中为生产流量部署更改之前，请在暂存或测试环境中对其进行测试和调整，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对更新后的规则进行测试和调整。有关指南，请参阅测试和调整您的 Amazon WAF 保护。

注意

更新期间暂时出现不一致

创建或更改保护包（web ACL）或其他 Amazon WAF 资源时，更改只需很短的时间即可传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致：

创建保护包（web ACL）后，如果您尝试将其与资源关联，则可能会出现异常，指示保护包（web ACL）不可用。
将规则组添加到保护包（web ACL）后，新的规则组规则可能在某个使用保护包（web ACL）的区域生效，而在另一个区域不生效。
更改规则操作设置后，可能会在某些位置显示旧操作而在另一些位置显示新操作。
将 IP 地址添加到阻止规则中使用的 IP 集后，新地址可能会在一个区域中被阻止，而在另一个区域中仍然允许。

Using the standard console

本节介绍了通过 Amazon 控制台编辑 web ACL 的过程。

要在 web ACL 中添加或删除规则或更改配置设置，请使用本页面上的步骤访问 web ACL。更新 web ACL 时，Amazon WAF 可以持续覆盖您与 web ACL 关联的资源。

生产流量风险

注意

编辑 web ACL

登录到 Amazon Web Services 管理控制台，然后打开 Amazon WAF 控制台，网址为：https://console.aws.amazon.com/wafv2/homev2。
在导航窗格中，选择 web ACL。
选择要编辑的 web ACL 的名称。控制台会将您转到 web ACL 的描述。
根据需要编辑 web ACL。选择您感兴趣的配置区域的选项卡，然后编辑可变设置。对于您编辑的每个设置，当您选择保存并返回 web ACL 的描述页面时，控制台会保存您对 web ACL 所做的更改。

下面列出了包含 web ACL 配置组件的选项卡。
- 规则选项卡
  - 在 web ACL 中定义的规则：您可以编辑和管理在 web ACL 中定义的规则，正如您创建 web ACL 时的操作一样。
    
    注意
    请勿更改任何未手动添加到 web ACL 的规则的名称。如果您使用其他服务为您管理规则，则更改其名称可能会取消或削弱他们提供预期保护的能力。Amazon Shield Advanced 和 Amazon Firewall Manager 都可以在您的 web ACL 中创建规则。有关信息，请参阅识别其他服务提供的规则组。
    
    注意
    如果您更改了规则的名称，并且希望该规则的指标名称能够反映您的更改，则您还必须更新该指标名称。当您更改规则名称时，Amazon WAF 不会自动更新规则的指标名称。在控制台中编辑规则时，您可以使用规则 JSON 编辑器更改指标名称。您也可以通过 API 以及在用于定义保护包（web ACL）或规则组的任何 JSON 列表中更改这两个名称。
    
    有关规则和规则组设置的信息，请参阅 Amazon WAF 规则和 Amazon WAF 规则组。
  - web ACL 规则使用的容量单位：web ACL 的当前容量使用情况。这一项仅供查看。
  - 与任何规则都不匹配的请求的默认 web ACL 操作：有关此设置的信息，请参阅在 Amazon WAF 中设置保护包（web ACL）默认操作。
  - web ACL 验证码和质询配置：这些免疫时间决定了验证码或质询令牌在被获取后的有效时间。只有在创建 web ACL 之后，才能在此处修改此设置。有关这些设置的信息，请参阅在 Amazon WAF 中设置时间戳过期和令牌免疫时间。
  - 令牌域名列表：Amazon WAF 接受列表中所有域名和关联资源域的令牌。有关更多信息，请参阅 Amazon WAF 保护包（web ACL）令牌域列表配置。
- 关联 Amazon 资源选项卡
  - Web 请求检查的大小限制：仅适用于保护 CloudFront 分配的 web ACL。正文检查的大小限制决定了有多少正文组件被转送到 Amazon WAF 以进行检查。有关该设置的更多信息，请参阅在 Amazon WAF 中管理正文检查的注意事项。
  - 关联 Amazon 资源：web ACL 当前关联并保护的资源列表。您可以找到与 web ACL 位于同一区域的资源，并将它们与 web ACL 关联起来。有关更多信息，请参阅将保护与 Amazon 资源关联或取消关联。
- 自定义响应正文选项卡
  - 自定义响应正文可供将操作设置为 Block 的 web ACL 规则使用。有关更多信息，请参阅发送 Block 操作的自定义响应。
- 日志和指标选项卡
  - 日志记录：记录 web ACL 评估的流量。有关信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。
  - Security Lake 集成：您在 Amazon Security Lake 中为 web ACL 配置的所有数据收集的状态。有关信息，请参阅《Amazon Security Lake 用户指南》中的从 Amazon 服务收集数据。
  - 采样的请求：有关与 web 请求匹配的规则的信息。有关查看采样请求的信息，请参阅查看 web 请求示例。
  - 数据保护设置：您可以为 web ACL 的所有可用数据以及仅针对 Amazon WAF 发送到已配置的 web ACL 日志记录目标的数据配置 web 流量数据编辑和筛选。有关数据保护的信息，请参阅 Amazon WAF 保护包（web ACL）流量的数据保护和日志记录。
  - CloudWatch 指标：web ACL 中规则的指标。有关 Amazon CloudWatch 指标的更多信息，请参阅使用 Amazon CloudWatch 监控。

更新期间暂时出现不一致

创建或更改保护包（web ACL）或其他 Amazon WAF 资源时，更改只需很短的时间即可传播到存储资源的所有区域。传播时间可以从几秒钟到几分钟不等。

以下示例是更改传播过程中可能暂时出现的不一致：

创建保护包（web ACL）后，如果您尝试将其与资源关联，则可能会出现异常，指示保护包（web ACL）不可用。
将规则组添加到保护包（web ACL）后，新的规则组规则可能在某个使用保护包（web ACL）的区域生效，而在另一个区域不生效。
更改规则操作设置后，可能会在某些位置显示旧操作而在另一些位置显示新操作。
将 IP 地址添加到阻止规则中使用的 IP 集后，新地址可能会在一个区域中被阻止，而在另一个区域中仍然允许。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

创建保护包（web ACL）

管理规则组行为