CómoAWS WAF funciona con las CloudFront funciones de Amazon - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CómoAWS WAF funciona con las CloudFront funciones de Amazon

Al crear una ACL web, puede especificar una o más CloudFront distribuciones que deseeAWS WAF inspeccionar. AWS WAFcomienza a inspeccionar y administrar las solicitudes web para esas distribuciones en función de los criterios que identifique en la ACL web. CloudFront proporciona algunas funciones que mejoran laAWS WAF funcionalidad. En este capítulo se describen algunas formas de configurarCloudFront para mejorar CloudFront yAWS WAF trabajar juntos.

UsoAWS WAF con páginas de error CloudFront personalizadas

De forma predeterminada, cuandoAWS WAF bloquea una solicitud web según los criterios que especifique, devuelve el código403 (Forbidden) de estado HTTP y CloudFront devuelve ese código de estado al visor. CloudFront A continuación, el espectador muestra un breve mensaje predeterminado con un formato elemental similar al siguiente:

Forbidden: You don't have permission to access /myfilename.html on this server.

Puede anular este comportamiento en las reglas de ACLAWS WAF web definiendo respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de las respuestas medianteAWS WAF reglas, consulteRespuestas personalizadas paraBlock acciones.

nota

Las respuestas que personalice medianteAWS WAF reglas tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error CloudFront personalizadas.

Si prefiere mostrar un mensaje de error personalizado CloudFront, posiblemente con el mismo formato que el resto del sitio web, puede configurar CloudFront para que devuelva al lector un objeto (por ejemplo, un archivo HTML) que contenga el mensaje de error personalizado.

nota

CloudFront no puedo distinguir entre un código de estado HTTP 403 devuelto por tu origen y otro que se devuelveAWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error CloudFront personalizadas, consulte Generar respuestas de error personalizadas en la Guía para CloudFront desarrolladores de Amazon.

Usar AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Cuando lo usaAWS WAF CloudFront, puede proteger las aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administre de forma privada. También puede configurarlo CloudFront para requerir HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y CloudFront.

Requerir HTTPS entre CloudFront y tu propio servidor web

Para requerir HTTPS entre tu propio servidor web CloudFront y tu propio servidor web, puedes usar la función de origen CloudFront personalizada y configurar la Política de protocolo de origen y los ajustes del nombre de dominio de origen para orígenes específicos. En la CloudFront configuración, puede especificar el nombre DNS del servidor junto con el puerto y el protocolo que desea utilizar CloudFront al obtener objetos de su origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando utilice su propio servidor web HTTP fuera deAWS, debe utilizar un certificado firmado por una entidad de certificación (CA) de terceros de confianza, como Comodo o Symantec. DigiCert Para obtener más información sobre cómo solicitar HTTPS para la comunicación entre su propio servidor web CloudFront y su propio servidor web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para CloudFront desarrolladores de Amazon.

Exigir HTTPS entre un espectador y CloudFront

Para solicitar HTTPS entre lectores CloudFront, puede cambiar la Política de protocolo de visualización para uno o varios comportamientos de la caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores y CloudFront consulte el tema Exigir HTTPS para la comunicación entre espectadores y CloudFront en la Guía para CloudFront desarrolladores de Amazon. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo, https://www.mysite.com. Para obtener más información, consulte Configurar nombres de dominio alternativos y HTTPS en la Guía para CloudFront desarrolladores de Amazon.

Elegir los métodos HTTP a los que CloudFront responde

Cuando crea una distribución CloudFront web de Amazon, elige los métodos HTTP que desea CloudFront procesar y reenviar a su origen. Puede elegir entre las siguientes opciones:

  • GET,HEAD: puede usarlo CloudFront solo para obtener los objetos desde su origen o para obtener encabezados de objeto.

  • GET,HEAD,OPTIONS: CloudFront solo se puede utilizar para obtener objetos de su origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.

  • GET,HEAD,OPTIONS,PUT,POSTPATCH,DELETE — Se puede utilizar CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener los encabezados de los objetos. Además, puede realizar otrasPOST operaciones como enviar datos desde un formulario web.

También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir o bloquear solicitudes basadas en el método HTTP, como se describe en Instrucción de regla de coincidencia de cadenas. Si quieres usar una combinación de métodos CloudFront compatibles, comoGET yHEAD, entonces no necesitas configurarloAWS WAF para bloquear las solicitudes que utilizan los otros métodos. Si quieres permitir una combinación de métodos que CloudFront no son compatibles, como, yGETHEADPOST, puedes configurarlos para que respondan CloudFront a todos los métodos y, a continuación, usarlosAWS WAF para bloquear las solicitudes que utilizan otros métodos.

Para obtener más información acerca de cómo elegir los métodos a los que CloudFront responde, consulte Métodos HTTP permitidos en el tema Valores que deben especificarse al crear o actualizar una distribución web en la Guía para CloudFront desarrolladores de Amazon.