Cómo AWS WAF funciona con las CloudFront funciones de Amazon - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS WAF funciona con las CloudFront funciones de Amazon

Al crear una ACL web, puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. AWS WAF comienza a inspeccionar y gestionar las solicitudes web de esas distribuciones en función de los criterios que usted identifique en la ACL web. CloudFront proporciona algunas funciones que mejoran la AWS WAF funcionalidad. En este capítulo se describen algunas formas que se pueden configurar CloudFront para mejorar CloudFront el AWS WAF funcionamiento conjunto.

Utilización AWS WAF con páginas de error CloudFront personalizadas

De forma predeterminada, cuando AWS WAF bloquea una solicitud web en función de los criterios que especifiques CloudFront, devuelve el código 403 (Forbidden) de estado HTTP y lo CloudFront devuelve al espectador. El visor muestra un breve mensaje predeterminado con formato elemental similar al que se muestra a continuación:

Forbidden: You don't have permission to access /myfilename.html on this server.

Puede anular este comportamiento en las reglas de ACL AWS WAF web definiendo respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de respuesta mediante AWS WAF reglas, consulte. Respuestas personalizadas para las acciones Block

nota

Las respuestas que personalice mediante AWS WAF reglas tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error CloudFront personalizadas.

Si prefieres mostrar un mensaje de error personalizado CloudFront, posiblemente con el mismo formato que el resto del sitio web, puedes configurarlo para que devuelva CloudFront al espectador un objeto (por ejemplo, un archivo HTML) que contenga tu mensaje de error personalizado.

nota

CloudFront no puedes distinguir entre un código de estado HTTP 403 que devuelve tu origen y otro que devuelve AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error CloudFront personalizadas, consulta Generar respuestas de error personalizadas en la Guía para CloudFront desarrolladores de Amazon.

AWS WAF CloudFrontUtilízalo con aplicaciones que se ejecutan en tu propio servidor HTTP

Cuando lo usas AWS WAF con CloudFront, puedes proteger tus aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administres de forma privada. También puede configurarlo CloudFront para que requiera HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y. CloudFront

Requiere HTTPS entre CloudFront y su propio servidor web

Si necesitas HTTPS entre tu servidor web CloudFront y tu propio servidor web, puedes usar la función de origen CloudFront personalizado y configurar la política de protocolo de origen y los ajustes del nombre de dominio de origen para orígenes específicos. En tu CloudFront configuración, puedes especificar el nombre DNS del servidor junto con el puerto y el protocolo que quieres usar CloudFront para recuperar objetos de tu origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Si utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad emisora de certificados (CA) externa de confianza, por ejemplo, Comodo o Symantec DigiCert. Para obtener más información sobre cómo se requiere HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema Requerir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para CloudFront desarrolladores de Amazon.

Requerir HTTPS entre un espectador y CloudFront

Para requerir HTTPS entre los espectadores y CloudFront, puede cambiar la política de protocolo de visualización para uno o más comportamientos de caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores CloudFront, consulte el tema Exigir HTTPS para la comunicación entre espectadores y CloudFront en la Guía para CloudFront desarrolladores de Amazon. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo, https://www.mysite.com. Para obtener más información, consulte el tema Configuración de nombres de dominio alternativos y HTTPS en la Guía para CloudFront desarrolladores de Amazon.

Elegir los métodos HTTP a los que CloudFront responde

Cuando creas una distribución CloudFront web de Amazon, eliges los métodos HTTP que quieres CloudFront procesar y reenviar a tu origen. Puede elegir entre las siguientes opciones:

  • GET, HEAD — CloudFront Solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.

  • GET,HEAD, OPTIONS — CloudFront Solo puedes usarlo para obtener objetos de tu origen, obtener encabezados de objetos o recuperar una lista de las opciones que admite tu servidor de origen.

  • GET,HEAD,OPTIONS,PUT,, POSTPATCH, DELETE — Se puede utilizar CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

También puede usar sentencias de reglas de coincidencia de AWS WAF bytes para permitir o bloquear las solicitudes según el método HTTP, tal y como se describe enInstrucción de regla de coincidencia de cadenas. Si desea utilizar una combinación de métodos CloudFront compatibles, como GET yHEAD, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan los otros métodos. Si desea permitir una combinación de métodos que CloudFront no sea compatible, por ejemplo, y GET HEADPOST, puede configurarla para que responda CloudFront a todos los métodos y, a continuación, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.

Para obtener más información sobre cómo elegir los métodos CloudFront adecuados, consulte Métodos HTTP permitidos en el tema Valores que se especifican al crear o actualizar una distribución web de la Guía para CloudFront desarrolladores de Amazon.