Por que o AWS WAF está bloqueando minha solicitação ou respondendo com um erro 403 Proibido?

Breve descrição

Se uma solicitação corresponder a uma regra do AWS WAF definida como Bloquear, por padrão, o AWS WAF retornará um erro 403 Proibido. Se você configurar respostas personalizadas para ações de bloqueio, o AWS WAF retornará sua resposta configurada.

Para solucionar um erro 403 Proibido:

1. Identifique a regra ou o grupo de regras do AWS WAF que está bloqueando a solicitação.
2. Faça alterações na regra identificada para permitir sua solicitação.

Resolução

Identificar a regra ou o grupo de regras do AWS WAF que bloqueou a solicitação

Há duas opções para identificar a regra ou o grupo de regras do AWS WAF que está bloqueando a solicitação.

Opção 1: amostras de solicitações

Se a amostragem de solicitações estiver ativada e sua solicitação tiver sido bloqueada nas últimas três horas, visualize uma amostra de solicitações da Web referente às solicitações bloqueadas.
Observação: se já se passaram mais de três horas desde que sua solicitação foi bloqueada, você pode reenviar a mesma solicitação para gerar uma nova solicitação de amostra.

Use a tabela Solicitações de amostra para identificar qual regra ou grupo de regras bloqueou a solicitação:

1. Identifique a solicitação usando as colunas IP de origem e URI.
2. Identifique a regra ou o grupo de regras que correspondeu à solicitação usando a coluna Nome da métrica. Se a solicitação foi bloqueada por um grupo de regras, use a coluna Regra dentro do grupo de regras para identificar a regra.
3. Usando a coluna Ação, confirme se a regra identificada está definida como Bloquear.

Observe a regra ou o grupo de regras que bloqueou a solicitação. Em seguida, prossiga para Fazer alterações na regra do AWS WAF para permitir sua solicitação.

Opção 2: registros do AWS WAF

Se o registro em log do AWS WAF estiver ativado, você poderá analisar os logs para encontrar a regra ou o grupo de regras que bloqueou a solicitação.

1. Visualize seus registros do AWS WAF.
2. Identifique a solicitação bloqueada nos registros.
3. Visualize o campo terminatingRuleId para identificar qual regra ou grupo de regras do AWS WAF bloqueou a solicitação.

Observe a regra ou o grupo de regras que bloqueou a solicitação. Em seguida, prossiga para Fazer alterações na regra do AWS WAF para permitir sua solicitação.

Observação: se você não tiver o registro em log do AWS WAF ativado no momento da solicitação, primeiro ative o registro em log do AWS WAF. Em seguida, reproduza a solicitação para identificar a regra que está bloqueando a solicitação nos logs do AWS WAF. Para obter mais informações, consulte Como faço para ativar o registro em log do AWS WAF e enviar esses logs para o CloudWatch, Amazon S3 ou Kinesis Data Firehose?

Faça alterações na regra do AWS WAF para permitir sua solicitação

Depois de identificar a regra ou o grupo de regras que bloqueou a solicitação, faça as alterações apropriadas na regra ou no grupo de regras para que a solicitação específica seja permitida.

• Se a regra de bloqueio for uma Regra gerenciada pela AWS, você deverá personalizar o comportamento da regra para permitir que sua solicitação seja identificada. Para obter instruções sobre como personalizar as regras gerenciadas da AWS, consulte How to customize behavior of AWS Managed Rules for AWS WAF (Como personalizar o comportamento das regras gerenciadas da AWS para o AWS WAF).
• Se a regra de bloqueio for uma regra personalizada, atualize seus parâmetros de regra usando uma instrução de regra para que a solicitação seja permitida pela regra personalizada.

---