Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In diesem Abschnitt wird die Verwendung erklärt AWS WAF mit CloudFront Amazon-Funktionen.
Wenn Sie ein Web erstellenACL, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie möchten AWS WAF zu inspizieren. AWS WAF beginnt mit der Prüfung und Verwaltung von Webanfragen für diese Distributionen auf der Grundlage der Kriterien, die Sie im Internet ACL identifizieren. CloudFront bietet einige Funktionen, die das verbessern AWS WAF Funktionalität. In diesem Kapitel werden einige Möglichkeiten beschrieben, die Sie konfigurieren könnenCloudFront , um CloudFront und AWS WAF arbeiten besser zusammen.
Themen
Die Verwendung von AWS WAF mit CloudFront benutzerdefinierten Fehlerseiten
Standardmäßig, wenn AWS WAF blockiert eine Webanforderung auf der Grundlage der von Ihnen angegebenen Kriterien, gibt HTTP den Statuscode 403 (Forbidden) an CloudFront CloudFront zurück und gibt diesen Statuscode an den Betrachter zurück. Dieser zeigt dann eine kurze und kaum formatierte Standardnachricht an, ähnlich wie diese:
Forbidden: You don't have permission to access /myfilename.html on this server.Sie können dieses Verhalten in Ihrem überschreiben AWS WAF ACLWebregeln, indem Sie benutzerdefinierte Antworten definieren. Weitere Informationen zum Anpassen des Antwortverhaltens finden Sie unter AWS WAF Regeln finden Sie unterSenden von benutzerdefinierten Antworten für Block actions.
Anmerkung
Antworten, die Sie anpassen mithilfe AWS WAF Regeln haben Vorrang vor allen Antwortspezifikationen, die Sie auf CloudFront benutzerdefinierten Fehlerseiten definieren.
Wenn Sie lieber eine benutzerdefinierte Fehlermeldung anzeigen und dabei möglicherweise dieselbe Formatierung wie der Rest Ihrer Website verwenden möchten CloudFront, können Sie so konfigurieren CloudFront , dass ein Objekt (z. B. eine HTML Datei), das Ihre benutzerdefinierte Fehlermeldung enthält, an den Betrachter zurückgegeben wird.
Anmerkung
CloudFront kann nicht zwischen einem HTTP Statuscode 403, der von Ihrem Ursprung zurückgegeben wird, und einem, der von zurückgegeben wird, unterscheiden AWS WAF wenn eine Anfrage blockiert ist. Das bedeutet, dass Sie nicht verschiedene benutzerdefinierte Fehlerseiten zurückgeben können, die auf den unterschiedlichen Ursachen eines HTTP Statuscodes 403 basieren.
Weitere Informationen zu CloudFront benutzerdefinierten Fehlerseiten finden Sie unter Generieren benutzerdefinierter Fehlerantworten im Amazon CloudFront Developer Guide.
Die Verwendung von AWS WAF mit CloudFront für Anwendungen, die auf Ihrem eigenen HTTP Server laufen
Wenn Sie verwenden AWS WAF mit können Sie Ihre Anwendungen schützen CloudFront, die auf jedem HTTP Webserver laufen, egal ob es sich um einen Webserver handelt, der in Amazon Elastic Compute Cloud (AmazonEC2) läuft, oder um einen Webserver, den Sie privat verwalten. Sie können auch so konfigurieren CloudFront , dass HTTPS zwischen CloudFront und Ihrem eigenen Webserver sowie zwischen Viewern und. CloudFront
Sie benötigen HTTPS zwischen CloudFront und Ihren eigenen Webservern
Wenn Sie HTTPS zwischen CloudFront und Ihrem eigenen Webserver benötigen, können Sie die Funktion „ CloudFront Benutzerdefinierter Ursprung“ verwenden und die Origin-Protokollrichtlinie und die Einstellungen für den Origin-Domainnamen für bestimmte Ursprünge konfigurieren. In Ihrer CloudFront Konfiguration können Sie den DNS Namen des Servers zusammen mit dem Port und dem Protokoll angeben, das Sie beim Abrufen von Objekten von Ihrem Ursprung verwenden CloudFront möchten. Sie sollten auch sicherstellen, dass dasSSL/TLS-Zertifikat auf Ihrem benutzerdefinierten Ursprungsserver mit dem von Ihnen konfigurierten Ursprungsdomänennamen übereinstimmt. Wenn Sie Ihren eigenen HTTP Webserver außerhalb von verwenden AWS, müssen Sie ein Zertifikat verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters, z. B. Comodo oder Symantec DigiCert, signiert wurde. Weitere Informationen HTTPS zur Anforderung der Kommunikation zwischen CloudFront und Ihrem eigenen Webserver finden Sie im Thema Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich HTTPS im Amazon CloudFront Developer Guide.
Erforderlich HTTPS zwischen einem Zuschauer und CloudFront
Um HTTPS zwischen Zuschauern und zu verlangen CloudFront, können Sie die Viewer-Protokollrichtlinie für ein oder mehrere Cache-Verhaltensweisen in Ihrer CloudFront Distribution ändern. Weitere Informationen zur Verwendung HTTPS zwischen Zuschauern und CloudFront finden Sie im Thema Kommunikation zwischen Zuschauern erforderlich HTTPS und CloudFront im Amazon CloudFront Developer Guide. Sie können auch Ihr eigenes SSL Zertifikat mitbringen, damit Zuschauer beispielsweise HTTPS über Ihren eigenen Domainnamen eine Verbindung zu Ihrer CloudFront Distribution herstellen können https://www.mysite.com. Weitere Informationen finden Sie im Thema Konfiguration alternativer Domainnamen und HTTPS im Amazon CloudFront Developer Guide.
Auswahl der HTTP Methoden, die CloudFront darauf reagieren
Wenn Sie eine CloudFront Amazon-Webdistribution erstellen, wählen Sie die HTTP Methoden aus, die Sie verarbeiten und CloudFront an Ihren Absender weiterleiten möchten. Sie können aus den folgenden Optionen auswählen:
GET,HEAD— Sie können diese Option CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen oder um Objekt-Header abzurufen.GET,HEAD,OPTIONS— Sie können CloudFront nur verwenden, um Objekte von Ihrem Ursprung abzurufen, Objekt-Header abzurufen oder eine Liste der Optionen abzurufen, die Ihr Original-Server unterstützt.GET,HEAD,OPTIONS,PUTPOST,PATCH,DELETE— Sie können CloudFront Objekte abrufen, hinzufügen, aktualisieren und löschen sowie Objekt-Header abrufen. Darüber hinaus können Sie anderePOST-Vorgänge wie das Senden von Daten aus einem Webformular ausführen.
Sie können auch AWS WAF Byte-Match-Regelanweisungen zum Zulassen oder Blockieren von Anfragen, die auf der HTTP Methode basieren, wie unter beschriebenZeichenfolgen-Übereinstimmungsanweisung. Wenn Sie eine Kombination von Methoden verwenden möchten, die CloudFront Unterstützung bieten, z. B. GET undHEAD, müssen Sie keine Konfiguration vornehmen AWS WAF um Anfragen zu blockieren, die die anderen Methoden verwenden. Wenn Sie eine Kombination von Methoden zulassen möchten, die CloudFront nicht unterstützt werden, z. B.GET, und HEADPOST, können Sie so konfigurieren CloudFront , dass sie auf alle Methoden reagiert, und dann AWS WAF um Anfragen zu blockieren, die andere Methoden verwenden.
Weitere Informationen zur Auswahl der Methoden, CloudFront auf die reagiert, finden Sie unter Zulässige HTTP Methoden im Thema Werte, die Sie beim Erstellen oder Aktualisieren einer Web-Distribution angeben im Amazon CloudFront Developer Guide.
