HTTPS-Anfragen an AWS WAF oder Shield Advanced stellen

AWS WAF und Shield Advanced-Anfragen sind HTTPS-Anfragen, wie in RFC 2616 definiert. Wie jede HTTP-Anfrage enthält eine Anfrage an AWS WAF oder Shield Advanced eine Anforderungsmethode, einen URI, Anforderungsheader und einen Anforderungstext. Die Antwort enthält einen HTTP-Statuscode, Antwort-Header und manchmal auch Antworttext.

Anforderungs-URI

Die Anforderungs-URI ist immer ein einzelner Schrägstrich /.

HTTP-Header

AWS WAF und Shield Advanced benötigen die folgenden Informationen im Header einer HTTP-Anfrage:

Host (erforderlich)

Dieser Endpunkt gibt an, wo die Ressourcen erstellt werden. Informationen zu Endpunkten finden Sie unter AWS Dienstendpunkte. Der Wert der Host Kopfzeile für für eine CloudFront Verteilung ist AWS WAF beispielsweise. waf.amazonaws.com:443

x-amz-date oder Datum (erforderlich)

Das Datum, an dem die im Header Authorization enthaltene Signatur erstellt wurde. Geben Sie das Datum wie folgt im ISO 8601-Standardformat in UTC-Zeit an:

x-amz-date: 20151007T174952Z

Sie müssen entweder x-amz-date oder Date angeben. (Einige HTTP-Client-Bibliotheken lassen den Header Date nicht zu). Wenn ein x-amz-date Header vorhanden ist, werden alle Date Header bei der Authentifizierung der Anfrage AWS WAF ignoriert.

Der Zeitstempel muss innerhalb von 15 Minuten nach der AWS Systemzeit liegen, zu der die Anfrage eingegangen ist. Ist das nicht der Fall, schlägt die Anforderung mit dem Fehlercode RequestExpired fehl, damit niemand sonst Ihre Anforderungen wiedergeben kann.

Autorisierung (erforderlich)

Die erforderlichen Informationen für die Anforderungsauthentifizierung. Weitere Informationen zum Erstellen dieses Headers finden Sie unter Authentifizieren von Anforderungen.

X-Amz-Target (Erforderlich)

Eine Kombination aus AWSWAF_ oder AWSShield_, der API-Version ohne Zeichensetzung, einem Punkt (.) und dem Vorgangsnamen, z. B.:

AWSWAF_20150824.CreateWebACL

Content-Type (bedingt)

Gibt als Inhaltstyp JSON sowie die JSON-Version an, z. B.:

Content-Type: application/x-amz-json-1.1

Bedingung: Für POST Anfragen erforderlich.

Content-Length (bedingt)

Länge der Nachricht (ohne Header) gemäß RFC 2616.

Bedingung: Erforderlich, wenn der Anforderungstext selbst Informationen enthält (die meisten Toolkits fügen diesen Header automatisch hinzu).

Im Folgenden finden Sie einen Beispiel-Header für eine HTTP-Anfrage zur Erstellung eines Schutzpakets (Web-ACL) in AWS WAF:

POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256 
               Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
               SignedHeaders=host;x-amz-date;x-amz-target,
               Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.CreateWebACL
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 231
Connection: Keep-Alive

HTTP-Anforderungstext

Bei vielen AWS WAF und Shield Advanced API-Aktionen müssen Sie Daten im JSON-Format in den Hauptteil der Anfrage aufnehmen.

Die folgende Beispielanforderung verwendet eine einfache JSON-Anweisung, um eine so zu aktualisieren, dass sie die IP-Adresse 192.0.2.44 (in der CIDR-Notation als 192.0.2.44/32 dargestellt) enthält: IPSet

POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256 
               Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
               SignedHeaders=host;x-amz-date;x-amz-target,
               Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.UpdateIPSet
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 283
Connection: Keep-Alive

{
   "ChangeToken": "d4c4f53b-9c7e-47ce-9140-0ee5ffffffff",
   "IPSetId": "69d4d072-170c-463d-ab82-0643ffffffff",
   "Updates": [
      {
         "Action": "INSERT",
         "IPSetDescriptor": {
            "Type": "IPV4",
            "Value": "192.0.2.44/32"
         }
      }
   ]
}