Ablauf eingehender Webanfragen WAF-Web-ACLs mit Ihrem App Runner-Dienst verknüpfen Überlegungen Berechtigungen

Eine AWS WAF Web-ACL mit Ihrem Service verknüpfen

AWS WAF ist eine Firewall für Webanwendungen, mit der Sie Ihren App Runner-Dienst sichern können. Mit AWS WAF Web Access Control Lists (Web-ACLs) können Sie Ihre App Runner-Dienstendpunkte vor gängigen Web-Exploits und unerwünschten Bots schützen.

Eine Web-ACL bietet Ihnen eine detaillierte Kontrolle über alle eingehenden Webanfragen an Ihren App Runner-Dienst. Sie können in einer Web-ACL Regeln definieren, um den Webverkehr zuzulassen, zu blockieren oder zu überwachen, um sicherzustellen, dass nur autorisierte und legitime Anfragen Ihre Webanwendungen und APIs erreichen. Sie können die Web-ACL-Regeln an Ihre spezifischen Geschäfts- und Sicherheitsanforderungen anpassen. Weitere Informationen zur Infrastruktursicherheit und zu bewährten Methoden für die Anwendung von Netzwerk-ACLs finden Sie unter Steuern des Netzwerkverkehrs im Amazon VPC-Benutzerhandbuch.

Wichtig

Quell-IP-Regeln für private App Runner-Services, die mit WAF-Web-ACLs verknüpft sind, entsprechen nicht IP-basierten Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden.

Ablauf eingehender Webanfragen

Wenn eine AWS WAF Web-ACL mit einem App Runner-Dienst verknüpft ist, durchlaufen eingehende Webanfragen den folgenden Prozess:

App Runner leitet den Inhalt der ursprünglichen Anfrage an AWS WAF weiter.
AWS WAF untersucht die Anfrage und vergleicht ihren Inhalt mit den Regeln, die Sie in Ihrer Web-ACL angegeben haben.
AWS WAF Gibt auf der Grundlage der Prüfung eine block Oder-Antwort an allow App Runner zurück.
- Wenn eine allow Antwort zurückgegeben wird, leitet App Runner die Anfrage an Ihre Anwendung weiter.
- Wenn eine block Antwort zurückgegeben wird, blockiert App Runner, dass die Anfrage Ihre Webanwendung erreicht. Es leitet die block Antwort von AWS WAF an Ihre Anwendung weiter.
  
  Anmerkung
  Standardmäßig blockiert App Runner die Anfrage, wenn keine Antwort von AWS WAF zurückgegeben wird.

Weitere Informationen zu AWS WAF Web-ACLs finden Sie unter Web Access Control Lists (Web ACLs) im AWS WAF Developer Guide.

Anmerkung

Sie zahlen den Standardpreis AWS WAF . Für die Verwendung von AWS WAF Web-ACLs für Ihre App Runner-Dienste fallen keine zusätzlichen Kosten an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS WAF Preise.

WAF-Web-ACLs mit Ihrem App Runner-Dienst verknüpfen

Im Folgenden finden Sie den allgemeinen Prozess zur Verknüpfung einer AWS WAF Web-ACL mit Ihrem App Runner-Dienst:

Erstellen Sie eine Web-ACL in der AWS WAF Konsole. Weitere Informationen finden Sie unter Erstellen einer Web-ACL im AWS WAF Entwicklerhandbuch.
Aktualisieren Sie Ihre AWS Identity and Access Management (IAM-) Berechtigungen für AWS WAF. Weitere Informationen finden Sie unter -Berechtigungen.
Ordnen Sie die Web-ACL mithilfe einer der folgenden Methoden dem App Runner-Dienst zu:
- App Runner-Konsole: Ordnen Sie mithilfe der App Runner-Konsole eine vorhandene Web-ACL zu, wenn Sie einen App Runner-Dienst erstellen oder aktualisieren. Anweisungen finden Sie unter AWS WAF Web-ACLs verwalten.
- AWS WAF Konsole: Ordnen Sie die Web-ACL mithilfe der AWS WAF Konsole für einen vorhandenen App Runner-Dienst zu. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung einer Web-ACL zu einer AWS-Ressource im AWS WAF Entwicklerhandbuch.
- AWS CLI: Ordnen Sie die Web-ACL mithilfe der AWS WAF öffentlichen APIs zu. Weitere Informationen zu AWS WAF öffentlichen APIs finden Sie unter AssociateWebACL im AWS WAF API-Referenzhandbuch.

Überlegungen

Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, entsprechen nicht den IP-basierten Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden.
Ein App Runner-Dienst kann nur einer Web-ACL zugeordnet werden. Sie können jedoch eine Web-ACL mehreren App Runner-Diensten und mehreren AWS Ressourcen zuordnen. Beispiele hierfür sind Amazon Cognito Cognito-Benutzerpools und Application Load Balancer Balancer-Ressourcen.
Wenn Sie eine Web-ACL erstellen, vergeht eine kurze Zeit, bis die Web-ACL vollständig verbreitet ist und App Runner zur Verfügung steht. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. AWS WAF gibt a zurückWAFUnavailableEntityException, wenn Sie versuchen, eine Web-ACL zuzuordnen, bevor sie vollständig weitergegeben wurde.

Wenn Sie den Browser aktualisieren oder die App Runner-Konsole verlassen, bevor die Web-ACL vollständig weitergegeben wurde, schlägt die Zuordnung fehl. Sie können jedoch innerhalb der App Runner-Konsole navigieren.
AWS WAF gibt einen WAFNonexistentItemException Fehler zurück, wenn Sie eine der folgenden AWS WAF APIs für einen App Runner-Dienst aufrufen, der sich in einem ungültigen Zustand befindet:
- AssociateWebACL
- DisassociateWebACL
- GetWebACLForResource
Zu den ungültigen Status für Ihren App Runner-Dienst gehören:
- CREATE_FAILED
- DELETE_FAILED
- DELETED
- OPERATION_IN_PROGRESS
  
  Anmerkung
  OPERATION_IN_PROGRESSDer Status ist nur dann ungültig, wenn Ihr App Runner-Dienst gelöscht wird.
Ihre Anfrage könnte zu einer Nutzlast führen, die die Grenzen dessen, was überprüft werden AWS WAF kann, überschreitet. Weitere Informationen zum Umgang AWS WAF mit übergroßen Anfragen von App Runner finden Sie unter Behandlung von übergroßen Anforderungskomponenten im AWS WAF Entwicklerhandbuch. Dort erfahren Sie, wie mit übergroßen Anfragen von App Runner AWS WAF umgegangen wird.
Wenn Sie keine geeigneten Regeln festlegen oder sich Ihre Datenverkehrsmuster ändern, ist eine Web-ACL möglicherweise nicht so effektiv, um Ihre Anwendung zu schützen.

Berechtigungen

Um mit einer Web-ACL zu arbeiten AWS App Runner, fügen Sie die folgenden IAM-Berechtigungen hinzu für AWS WAF:

apprunner:ListAssociatedServicesForWebAcl
apprunner:DescribeWebAclForService
apprunner:AssociateWebAcl
apprunner:DisassociateWebAcl

Weitere Informationen zu IAM-Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für die aktualisierte IAM-Richtlinie für. AWS WAF Diese IAM-Richtlinie beinhaltet die erforderlichen Berechtigungen für die Arbeit mit einem App Runner-Dienst.


{
  {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "wafv2:ListResourcesForWebACL",
            "wafv2:GetWebACLForResource",
            "wafv2:AssociateWebACL",
            "wafv2:DisassociateWebACL",
            "apprunner:ListAssociatedServicesForWebAcl",
            "apprunner:DescribeWebAclForService",
            "apprunner:AssociateWebAcl",
            "apprunner:DisassociateWebAcl"
         ],
         "Resource":"*"
      }
   ]
}

Anmerkung

Auch wenn Sie IAM-Berechtigungen erteilen müssen, sind die aufgelisteten Aktionen nur für Berechtigungen bestimmt und entsprechen keiner API-Operation.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verfolgung (X-Ray)

Web-ACLs verwalten