¿Cómo?AWS WAFFunciona con características de Amazon CloudFront - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Cómo?AWS WAFFunciona con características de Amazon CloudFront

Al crear una ACL web, puede especificar una o más distribuciones de CloudFront que deseaAWS WAFpara inspeccionar.AWS WAFempieza a permitir, bloquear o contar solicitudes web para las distribuciones en función de las condiciones que se identifique en la ACL web. CloudFront proporciona algunas características que mejoran laAWS WAFfuncionalidad. En este capítulo se describen algunas formas de configurar CloudFront para realizar que CloudFront yAWS WAFtrabajar mejor juntos.

Uso deAWS WAFPáginas de error personalizadas de CloudFront

CuandoAWS WAFCuando bloquea una solicitud web basada en las condiciones que especifique, devuelve el código de estado HTTP 403 (Prohibido) a CloudFront. A continuación, CloudFront devuelve ese código de estado al visor. El visor muestra un breve mensaje predeterminado con formato elemental similar a este:

Forbidden: You don't have permission to access /myfilename.html on this server.

Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que contenga el mensaje de error personalizado.

nota

CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno devuelto porAWS WAFCuando bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de errores personalizadas de CloudFront, consultePersonalizar respuestas de erroren laGuía para desarrolladores de Amazon CloudFront.

Uso deAWS WAFRestricción geográfica de CloudFront

Puede utilizar Amazon CloudFrontRestricción geográfica, también conocida comogeoblocaciónPara evitar que usuarios de ubicaciones geográficas específicas accedan a contenido que distribuye a través de una distribución web de CloudFront. Si desea bloquear solicitudes web de determinados países y bloquear las solicitudes en función de otras condiciones, puede utilizar la restricción geográfica de CloudFront junto conAWS WAF. CloudFront devuelve el mismo código de estado HTTP a los usuarios (HTTP 403 (Prohibido)), ya sea si intentan acceder a su contenido desde un país que figure en una lista de denegación de restricción geográfica de CloudFront como si la solicitud es bloqueada porAWS WAF.

nota

Puede ver el código de dos letras del país en el que se originan las solicitudes mediante la plantilla de solicitudes web de una ACL web. Para obtener más información, consulte Visualizar una muestra de solicitudes web .

Para obtener más información sobre la restricción geográfica de CloudFront, consulteRestringir la distribución geográfica de su contenidoen laGuía para desarrolladores de Amazon CloudFront.

Uso deAWS WAFCloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Cuando utilizaAWS WAFCon CloudFront, puede proteger sus aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecuta en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administra de forma privada. También puede configurar CloudFront para que exija HTTPS entre CloudFront y su propio servidor web, así como entre visores y CloudFront.

Exigir HTTPS entre CloudFront y su propio servidor web

Para requerir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen personalizado de CloudFront y configurar la propiedadOrigin Protocol Policyy laNombre de dominio de origenpara orígenes específicos. En la configuración de CloudFront, puede especificar el nombre de DNS del servidor junto con el puerto y el protocolo que desea que CloudFront utilice al recuperar objetos del origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad de certificación (CA) externa de confianza, como Comodo, DigiCert o Symantec. Para obtener más información acerca de cómo exigir HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el temaExigir HTTPS para la comunicación entre CloudFront y su origen personalizadoen laGuía para desarrolladores de Amazon CloudFront.

Exigir HTTPS entre un visor y CloudFront

Para solicitar HTTPS entre lectores y CloudFront, puede cambiar laViewer Protocol PolicyPara obtener uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información acerca del uso de HTTPS entre los lectores y CloudFront, consulte el temaExigir HTTPS para la comunicación entre lectores y CloudFronten laGuía para desarrolladores de Amazon CloudFront. También puede traer su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través de HTTPS mediante su propio nombre de dominio, por ejemplo,https://www.mysite.com. Para obtener más información, consulte el tema de la.Configurar nombres de dominio alternativos y HTTPSen laGuía para desarrolladores de Amazon CloudFront.

Elegir los métodos HTTP a los que responde CloudFront

Al crear una distribución web de Amazon CloudFront, puede seleccionar los métodos HTTP que desea que CloudFront procese y reenvíe al origen. Puede elegir entre las siguientes opciones:

  • , HEAD: puede usar CloudFront solo para obtener los objetos desde su origen o para obtener encabezados de objeto.

  • OBTENER, CABEZA, OPCIONES: puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.

  • OBTENER, CABEZA, OPCIONES, PONER, PUBLICAR, PARCHE, ELIMINAR: puede utilizar CloudFront para obtener, agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir o bloquear solicitudes basadas en el método HTTP, como se describe en Instrucción de regla de coincidencia de cadenas. Si desea utilizar una combinación de métodos compatibles con CloudFront, comoGETyHEAD, no necesita configurarAWS WAFPara bloquear las solicitudes que utilizan los demás métodos. Si desea permitir una combinación de métodos que CloudFront no admite, comoGET,HEAD, yPOST, puede configurar CloudFront para que responda a todos los métodos y, a continuación, utilizarAWS WAFpara bloquear solicitudes que utilizan otros métodos.

Para obtener más información acerca de la elección de los métodos a los que responde CloudFront, consulteMétodos HTTP permitidosEn el temaValores que deben especificarse al crear o actualizar una distribución weben laGuía para desarrolladores de Amazon CloudFront.