WafCharm Liteでは、WafCharmでご提供しているAdvanced Ruleポリシーとの互換性を維持するため、以下のルール順序でご利用いただくことを想定しております。

1. お客様ルール（プライオリティ：0〜99）

   WafCharm Liteが適用するルールあるいはCSC Managed Rules以外で、お客様にて適用されたルールです。AWS Managed Rulesも含みます。

   なお、仕組み上、以下の条件に合致するときはこの範囲からルールが自動的に移動してしまう場合があります。お手数ですが、移動してしまった際には、再度お客様にて0〜99の位置へ戻していただけますと幸いです。

   • WAF Configの初回登録の時
     • 初期登録時にこの範囲にルールが存在する場合は、一時的に1000以降のプライオリティに移動します。WAF Configの登録が完了した後はご利用可能ですので、お手数ですが初期登録後にご調整ください。
   • [ルールのプライオリティを変更する] ボタンを使用した時
     • CSC Managed Rulesのプライオリティが1000より下の値になっている場合、 [ルールのプライオリティを変更する] ボタンをクリックしてプライオリティを調整いただけるようお願いしております。このボタンをクリックすると、プライオリティ0〜99に存在するルールについても、1000より上に移動する仕組みとなっております。
2. WafCharm LiteのBypassルール（プライオリティ：111）

   IPアドレスによるAllowルール（Allowlist）など、リクエストを許可するためのルールと、後続のルールから除外するためのルールが含まれるルールグループです。

3. WafCharm LiteのScopingルール（プライオリティ：301）

   IPアドレスによるBlockルール（Denylist）など、リクエストをさらに絞り込むためのルールが含まれるルールグループです。

4. お客様ルール（プライオリティ1000以降）

   WafCharm Liteが適用するルールあるいはCSC Managed Rules以外で、お客様にて適用されたルールです。AWS Managed Rulesも含みます。お客様ルールは、CSC Managed Rulesの前にも追加いただけます。

5. CSC Managed Rules（プライオリティ1000以降）
6. お客様ルール（プライオリティ1000以降）

   WafCharm Liteが適用するルールあるいはCSC Managed Rules以外で、お客様にて適用されたルールです。AWS Managed Rulesも含みます。お客様ルールは、CSC Managed Rulesの後ろにも追加いただけます。

CSC Managed Rulesがプライオリティ1000より下に存在する場合など、状況によってはルールプライオリティの調整をお願いするメッセージがWAF Config上で表示されます。その際には、以下のいずれかの方法で調整をお願いいたします。

方法1： [ルールのプライオリティを変更する] ボタンをクリックする

現在のWeb ACL上のルール状況を確認した結果、CSC Managed Rulesがプライオリティ1000より下に存在する場合には、WAF Configの [CSC MR設定] タブの編集画面に [ルールのプライオリティを変更する] ボタンが表示されますので、以下の手順で対応が可能です。

1. 対象のWAF Configをクリックする
2. [CSC MR設定] タブをクリックする
3. [編集] をクリックする
4. [ルールのプライオリティを変更する] をクリックする

[ルールのプライオリティを変更する] ボタンをクリックすると、お客様ルールのその時点のプライオリティ値に1000が加算されます。
例：プライオリティ100でルールが登録された場合、変更後は1100になります。プライオリティ100と200のルールがあった場合、それぞれ1100と1200になります。

なお、プライオリティ0〜99にあるお客様ルールも、上記の仕組みにより1000以降に移動してしまいます。

お客様にてあらかじめ何らかの条件で許可するルールなど、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールを適用されていた場合、プライオリティを1000以降に変更すると、意図通り動作しない可能性がございます。
お手数ですが、プライオリティ：0〜99にお客様ルールが登録されている場合、 [ルールのプライオリティを変更する] ボタンをクリックした後に、再度0〜99の位置にご移動いただけますと幸いです。

IPアドレスをもとに許可するルールについては、WafCharm LiteのAllowルール（Allowlist）をご利用いただくことを推奨いたします。

方法2：AWSマネージメントコンソールから、あるいはAWS CLIを用いて変更する

ルールのプライオリティは、AWSマネージメントコンソールから、あるいはAWS CLIを用いて変更が可能です。
詳細については、Advanced RuleポリシーでStatusが「設定エラー: 適用失敗」となるケースへの対応方法例（Priority起因の場合） をご確認ください。

※Advanced Ruleポリシーと記載がございますが、手順は同じです。
※すでにプライオリティ0〜99にお客様ルールが存在しているため、 [ルールのプライオリティを変更する] ボタンを使いたくない、という場合にも、こちらの方法をご利用いただいて問題ございません。

ルールプライオリティに関する注意点・補足事項

• WafCharm Liteが提供するルール（BypassやScopingなど）以外のルールでは、プライオリティ0〜99のいずれか、または1000以降をご利用ください。それ以外のプライオリティをご利用の場合、動作保証ができません。WAF Configの登録が行えない、WafCharm Liteからの更新時にエラーになるといった影響も考えられますため、プライオリティ値をご確認ください。
• WafCharm Liteのご利用開始前にお客様にてルールを適用されていた場合、初期登録のタイミングで、一時的にそのルールはIPアドレスによるBlockルール（Denylist）よりも後ろに配置されます。お客様にて作成された既存のルールが特定の条件で必ず許可するものだった場合、状況によっては一時的に想定通り動作しない可能性がございますこと、あらかじめご了承ください。初期登録完了後は、0〜99のプライオリティへご移動いただいて問題ございませんので、初期登録後にプライオリティのご調整をお願いいたします。
• [ルールのプライオリティを変更する] ボタンをクリックして調整される場合、その時点のプライオリティ値に1000を追加します。

  例：プライオリティ100でルールが登録された場合、変更後は1100になります。プライオリティ100と200のルールがあった場合、それぞれ1100と1200になります。

• お客様にて追加されたルールの順序を入れ替えることはございませんが、上記の通り、 [ルールのプライオリティを変更する] ボタンをクリックした場合には現状のプライオリティ値＋1000という数値に変更されます。0〜99の位置に優先して評価したいルールがあった場合は、お手数ですがお客様にて再度0〜99へプライオリティの変更をお願いします。
• プライオリティ111および301はWafCharm Liteで予約済みのプライオリティ値です。仮にこの値をお客様ルールで使用された場合、エラーが発生し、WafCharm Liteからの更新や、プライオリティ値の変更が行えなくなる可能性があります。万が一このような状態になってしまった場合には、方法2：AWSマネージメントコンソールから、あるいはAWS CLIを用いて変更する に記載の手順でご変更いただくか、WafCharmサポートに お問い合わせください。
• AWSマネージメントコンソール上で、WafCharm Liteが提供するルールおよびルールグループ（BypassやScopingなど）を編集することは動作保証外となりますので、お控えください。仮にAWSマネージメントコンソール上で編集した場合でも、WafCharm Liteで想定している状態に戻りますので、変更は維持されません。
  • IPアドレスによるAllowルール（Allowlist）およびBlockルール（Denylist）に手動で登録されているIPアドレスの追加・削除は、WafCharmコンソールの [ルール設定] タブからご実施ください。
  • 動的Denylist機能によって追加されたIPアドレスを削除する機能はございません。[例外設定] にて [例外IPアドレス] としてご登録いただくと、Blockルール（Denylist）から除外され、ブロックされなくなります。

ルールプライオリティの状態を確認する方法

WafCharm Liteをご利用中のWeb ACLでルールプライオリティが想定されている状態になっているかどうかは、WAF Configの詳細画面でご確認いただけます。

1. WafCharmコンソールを開く
2. 左のメニューで [WAF] をクリックする
3. 対象のWAF Configをクリックする
4. [CSC MR設定] タブをクリックする

   画面を開いたタイミングで使用状況を取得いたします。再度使用状況を取得したい場合は、タブ内の [使用状況を再確認する] ボタンをクリックしてください。

ルールプライオリティの変更方法

ルールプライオリティが想定した状態ではない場合、WAF Configの [CSC MR設定] タブの [ルールプライオリティ] の箇所に、確認をお願いするメッセージが表示されます。その際には、以下の方法で調整をお願いいたします。

方法1： [ルールのプライオリティを変更する] ボタンをクリックする

現在のWeb ACL上のルール状況を確認した結果、CSC Managed Rulesがプライオリティ1000より下に存在する場合には、WAF Configの [CSC MR設定] タブの編集画面に [ルールのプライオリティを変更する] ボタンが表示されますので、以下の手順で対応が可能です。

1. 対象のWAF Configをクリックする
2. [CSC MR設定] タブをクリックする
3. [編集] をクリックする
4. [ルールのプライオリティを変更する] をクリックする

[ルールのプライオリティを変更する] ボタンをクリックすると、お客様ルールのその時点のプライオリティ値に1000が加算されます。
例：プライオリティ100でルールが登録された場合、変更後は1100になります。プライオリティ100と200のルールがあった場合、それぞれ1100と1200になります。

なお、プライオリティ0〜99にあるお客様ルールも、上記の仕組みにより1000以降に移動してしまいます。

お客様にてあらかじめ何らかの条件で許可するルールなど、IPアドレスによるBlockルール（Denylist）よりも前に判定させたいルールを適用されていた場合、プライオリティを1000以降に変更すると、意図通り動作しない可能性がございます。
お手数ですが、プライオリティ：0〜99にお客様ルールが登録されている場合、 [ルールのプライオリティを変更する] ボタンをクリックした後に、再度0〜99の位置にご移動いただけますと幸いです。

IPアドレスをもとに許可するルールについては、WafCharm LiteのAllowルール（Allowlist）をご利用いただくことを推奨いたします。

方法2：AWSマネージメントコンソールから、あるいはAWS CLIを用いて変更する

ルールのプライオリティは、AWSマネージメントコンソールから、あるいはAWS CLIを用いて変更が可能です。
詳細については、Advanced RuleポリシーでStatusが「設定エラー: 適用失敗」となるケースへの対応方法例（Priority起因の場合） をご確認ください。

※Advanced Ruleポリシーと記載がございますが、手順は同じです。
※すでにプライオリティ0〜99にお客様ルールが存在しているため、 [ルールのプライオリティを変更する] ボタンを使いたくない、という場合にも、こちらの方法をご利用いただいて問題ございません。

なお、「方法1： [ルールのプライオリティを変更する] ボタンをクリックする」を実施すると、AWS Managed Rulesなどお客様にて適用されたルールと、 CSC Managed Rulesの現在のプライオリティ値に1000が加算され、現状の順序は維持したまま1000以降に移動します。

例：

1. お客様ルールA（プライオリティ：1）
2. CSC Managed Rules（プライオリティ：1000）
3. お客様ルールB（プライオリティ：1001）

上記のような状態だった場合、[ルールのプライオリティを変更する] をクリックすると以下の通りになります。

1. お客様ルールA（プライオリティ：1001）
2. CSC Managed Rules（プライオリティ：2000）
3. お客様ルールB（プライオリティ：2001）

上記のケースで、「お客様ルールA」が他のルール（Denylistなど）より前に評価したいルールだった場合、お手数ですが「お客様ルールA（プライオリティ：1001）」の状態になったあと、再度プライオリティを0〜99のいずれかにご変更ください。