¿Cómo AWS WAF funciona con las CloudFront funciones de Amazon - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Utilización AWS WAF con páginas de error CloudFront personalizadasAWS WAF CloudFront Utilízalo con aplicaciones que se ejecutan en tu propio servidor HTTPElegir los métodos HTTP a los que CloudFront responde

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Cómo AWS WAF funciona con las CloudFront funciones de Amazon

Al crear una ACL web, puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. AWS WAFcomienza a inspeccionar y gestionar las solicitudes web de esas distribuciones en función de los criterios que usted identifique en la ACL web. CloudFront proporciona algunas funciones que mejoran la AWS WAF funcionalidad. En este capítulo se describen algunas formas que se pueden configurar CloudFront para mejorar CloudFront el AWS WAF funcionamiento conjunto.

Utilización AWS WAF con páginas de error CloudFront personalizadas

De forma predeterminada, cuando AWS WAF bloquea una solicitud web en función de los criterios que especifiques CloudFront, devuelve el código 403 (Forbidden) de estado HTTP y lo CloudFront devuelve al espectador. A continuación, el visualizador muestra un mensaje predeterminado breve y con un formato reducido similar al siguiente:

Forbidden: You don't have permission to access /myfilename.html on this server.

Puede anular este comportamiento en las reglas de ACL AWS WAF web definiendo respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de respuesta mediante AWS WAF reglas, consulte. Respuestas personalizadas para Block las acciones

nota

Las respuestas que personalice mediante AWS WAF reglas tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error CloudFront personalizadas.

Si prefieres mostrar un mensaje de error personalizado CloudFront, posiblemente con el mismo formato que el resto del sitio web, puedes configurarlo para que devuelva CloudFront al espectador un objeto (por ejemplo, un archivo HTML) que contenga tu mensaje de error personalizado.

nota

CloudFront no puedes distinguir entre un código de estado HTTP 403 que devuelve tu origen y otro que devuelve AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error CloudFront personalizadas, consulta Cómo generar respuestas de error personalizadas en la Guía para CloudFront desarrolladores de Amazon.

Usar AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Cuando lo usa AWS WAF con CloudFront, puede proteger las aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administre de forma privada. También puede configurarlo CloudFront para que requiera HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y. CloudFront

Requiere HTTPS entre CloudFront y su propio servidor web

Si necesitas HTTPS entre tu servidor web CloudFront y tu propio servidor web, puedes usar la función de origen CloudFront personalizado y configurar la política de protocolo de origen y los ajustes del nombre de dominio de origen para orígenes específicos. En tu CloudFront configuración, puedes especificar el nombre DNS del servidor junto con el puerto y el protocolo que quieres usar CloudFront para recuperar objetos de tu origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Si utiliza su propio servidor web HTTP fuera deAWS, debe utilizar un certificado firmado por una entidad emisora de certificados (CA) externa de confianza, por ejemplo, Comodo o Symantec DigiCert. Para obtener más información sobre cómo se requiere HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para desarrolladores de Amazon. CloudFront

Requerir HTTPS entre un espectador y CloudFront

Para requerir HTTPS entre los espectadores y CloudFront, puede cambiar la política de protocolo de visualización para uno o más comportamientos de caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores CloudFront, consulte el tema Requerir HTTPS para la comunicación entre espectadores y CloudFront la Guía para CloudFront desarrolladores de Amazon. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo, https://www.mysite.com. Para obtener más información, consulte el tema Configuración de nombres de dominio alternativos y HTTPS en la Guía para CloudFront desarrolladores de Amazon.

Elegir los métodos HTTP a los que CloudFront responde

Al crear una distribución CloudFront web de Amazon, eliges los métodos HTTP que deseas CloudFront procesar y reenviar a tu origen. Puede elegir entre las siguientes opciones:

  • GET, HEAD — CloudFront Solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.

  • GET,HEAD, OPTIONS — CloudFront Solo puedes usarlo para obtener objetos de tu origen, obtener encabezados de objetos o recuperar una lista de las opciones que admite tu servidor de origen.

  • GET,HEAD,OPTIONS,PUT,, POSTPATCH, DELETE — Se puede utilizar CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras POST operaciones, como enviar datos desde un formulario web.

También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir o bloquear solicitudes basadas en el método HTTP, como se describe en Instrucción de regla de coincidencia de cadenas. Si desea utilizar una combinación de métodos CloudFront compatibles, como GET yHEAD, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan los otros métodos. Si desea permitir una combinación de métodos que CloudFront no sea compatible, por ejemplo, y GET HEADPOST, puede configurarla para que responda CloudFront a todos los métodos y, a continuación, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.

Para obtener más información sobre cómo elegir los métodos CloudFront adecuados, consulte Métodos HTTP permitidos en el tema Valores que se especifican al crear o actualizar una distribución web de la Guía para CloudFront desarrolladores de Amazon.