Mengelola ACL AWS WAF web - AWS App Runner
Konsol Pelari AplikasiAWS CLIMenguji dan mencatat ACL AWS WAF web

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola ACL AWS WAF web

Mengelola ACL AWS WAF web untuk layanan App Runner Anda dengan menggunakan salah satu metode berikut:

Konsol Pelari Aplikasi

Saat membuat layanan atau memperbarui layanan yang sudah ada di konsol App Runner, Anda dapat mengaitkan atau memisahkan ACL AWS WAF web.

catatan

  • Layanan App Runner hanya dapat dikaitkan dengan satu ACL web. Namun, Anda dapat mengaitkan satu ACL web dengan lebih dari satu layanan App Runner selain sumber daya lainnya AWS .

  • Sebelum Anda mengaitkan ACL web, pastikan untuk memperbarui izin IAM Anda untuk. AWS WAF Untuk informasi selengkapnya, lihat Izin.

Mengaitkan AWS WAF web ACL

penting

Aturan IP sumber untuk layanan pribadi App Runner yang terkait dengan ACL web WAF tidak mematuhi aturan berbasis IP. Ini karena saat ini kami tidak mendukung penerusan data IP sumber permintaan ke layanan pribadi App Runner yang terkait dengan WAF. Jika aplikasi App Runner Anda memerlukan aturan kontrol lalu lintas masuk IP/CIDR sumber, Anda harus menggunakan aturan grup keamanan untuk titik akhir pribadi, bukan ACL web WAF.

Untuk mengaitkan ACL AWS WAF web

  1. Buka konsol App Runner, dan di daftar Wilayah, pilih konsol Anda Wilayah AWS.

  2. Berdasarkan apakah Anda membuat atau memperbarui layanan, lakukan salah satu langkah berikut:

    • Jika Anda membuat layanan baru, pilih Buat layanan Pelari Aplikasi dan buka Konfigurasi Layanan.

    • Jika Anda memperbarui layanan yang ada, pilih tab Konfigurasi, lalu pilih Edit di bawah Konfigurasi layanan.

  3. Buka firewall aplikasi Web di bawah Keamanan.

  4. Pilih tombol sakelar Aktifkan untuk melihat opsi.

    Tata letak konsol App Runner, menampilkan opsi Firewall Aplikasi Web.

  5. Lakukan salah satu langkah berikut:

    • Untuk mengaitkan ACL web yang ada: Pilih ACL web yang diperlukan dari tabel Pilih ACL web untuk dikaitkan dengan layanan App Runner Anda.

    • Untuk membuat ACL web baru: Pilih Buat ACL web untuk membuat ACL web baru menggunakan konsol. AWS WAF Untuk informasi selengkapnya, lihat Membuat ACL web di Panduan AWS WAF Pengembang.

      1. Pilih tombol refresh untuk melihat ACL web yang baru dibuat di tabel Choose a web ACL.

      2. Pilih ACL web yang diperlukan.

  6. Pilih Berikutnya jika Anda membuat layanan baru atau Simpan perubahan jika Anda memperbarui layanan yang ada. ACL web yang dipilih dikaitkan dengan layanan App Runner Anda.

  7. Untuk memverifikasi asosiasi ACL web, pilih tab Konfigurasi layanan Anda dan buka Konfigurasi layanan. Gulir ke firewall aplikasi Web di bawah Keamanan untuk melihat detail ACL web yang terkait dengan layanan Anda.

    catatan

    Saat Anda membuat ACL web, sejumlah kecil waktu berlalu sebelum ACL web sepenuhnya menyebar dan tersedia untuk App Runner. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. AWS WAF mengembalikan a WAFUnavailableEntityException ketika Anda mencoba mengaitkan ACL web sebelum sepenuhnya disebarkan.

    Jika Anda menyegarkan browser atau menjauh dari konsol App Runner sebelum ACL web disebarkan sepenuhnya, asosiasi gagal terjadi. Namun, Anda dapat menavigasi di dalam konsol App Runner.

Memutuskan hubungan ACL web AWS WAF

Anda dapat memisahkan ACL AWS WAF web yang tidak lagi Anda perlukan dengan memperbarui layanan App Runner Anda.

Untuk memisahkan aCl AWS WAF web

  1. Buka konsol App Runner, dan di daftar Wilayah, pilih konsol Anda Wilayah AWS.

  2. Buka tab Konfigurasi layanan yang ingin Anda perbarui dan pilih Edit di bawah Konfigurasi layanan.

  3. Buka firewall aplikasi Web di bawah Keamanan.

  4. Nonaktifkan tombol sakelar Aktifkan. Anda menerima pesan untuk mengonfirmasi penghapusan.

  5. Pilih Konfirmasi. ACL web dipisahkan dari layanan App Runner Anda.

    catatan

    • Jika Anda ingin mengaitkan layanan Anda dengan ACL web lain, pilih ACL web dari tabel Pilih ACL web. App Runner memisahkan ACL web saat ini dan memulai proses untuk mengaitkan dengan ACL web yang dipilih.

    • Jika tidak ada layanan atau sumber daya App Runner lain yang menggunakan ACL web yang tidak terkait, pertimbangkan untuk menghapus ACL web. Jika tidak, Anda akan terus mengeluarkan biaya. Untuk informasi lebih lanjut tentang harga, lihat AWS WAF Harga. Untuk instruksi tentang cara menghapus ACL web, lihat DeleteWebACL di Referensi AWS WAF API.

    • Anda tidak dapat menghapus ACL web yang terkait dengan layanan App Runner aktif lainnya atau sumber daya lainnya.

AWS CLI

Anda dapat mengaitkan atau memisahkan ACL AWS WAF web dengan menggunakan API AWS WAF publik. Layanan App Runner, yang dengannya Anda ingin mengaitkan atau memisahkan ACL web, harus dalam keadaan valid.

AWS WAF mengembalikan WAFNonexistentItemException kesalahan saat Anda memanggil salah satu AWS WAF API berikut untuk layanan App Runner yang berada dalam status tidak valid:

  • AssociateWebACL

  • DisassociateWebACL

  • GetWebACLForResource

Status tidak valid untuk layanan App Runner Anda meliputi:

  • CREATE_FAILED

  • DELETE_FAILED

  • DELETED

  • OPERATION_IN_PROGRESS

    catatan

    OPERATION_IN_PROGRESSstatus tidak valid hanya jika layanan App Runner Anda sedang dihapus.

Untuk informasi selengkapnya tentang API AWS WAF publik, lihat Panduan Referensi AWS WAF API.

catatan

Perbarui izin IAM Anda untuk. AWS WAF Untuk informasi selengkapnya, lihat Izin.

Mengaitkan AWS WAF web ACL menggunakan AWS CLI

penting

Aturan IP sumber untuk layanan pribadi App Runner yang terkait dengan ACL web WAF tidak mematuhi aturan berbasis IP. Ini karena saat ini kami tidak mendukung penerusan data IP sumber permintaan ke layanan pribadi App Runner yang terkait dengan WAF. Jika aplikasi App Runner Anda memerlukan aturan kontrol lalu lintas masuk IP/CIDR sumber, Anda harus menggunakan aturan grup keamanan untuk titik akhir pribadi, bukan ACL web WAF.

Untuk mengaitkan ACL AWS WAF web

  1. Buat ACL AWS WAF web untuk layanan Anda dengan serangkaian tindakan aturan pilihan Anda Allow atau Block permintaan web ke layanan Anda. Untuk informasi selengkapnya tentang AWS WAF API, lihat CreateWebACL di Panduan Referensi AWS WAF API.

    contoh Buat ACL web - Permintaan
    aws wafv2
create-web-acl
--region <region>
--name <web-acl-name>
--scope REGIONAL
--default-action Allow={}
--visibility-config <file-name.json>
# This is the file containing the WAF web ACL rules.

  2. Kaitkan ACL web yang Anda buat dengan layanan App Runner menggunakan API associate-web-acl AWS WAF publik. Untuk informasi selengkapnya tentang AWS WAF API, lihat AssociateWebACL di Panduan Referensi AWS WAF API.

    catatan

    Saat Anda membuat ACL web, sejumlah kecil waktu berlalu sebelum ACL web sepenuhnya menyebar dan tersedia untuk App Runner. Waktu propagasi bisa dari beberapa detik hingga beberapa menit. AWS WAF mengembalikan a WAFUnavailableEntityException ketika Anda mencoba mengaitkan ACL web sebelum sepenuhnya disebarkan.

    Jika Anda menyegarkan browser atau menjauh dari konsol App Runner sebelum ACL web disebarkan sepenuhnya, asosiasi gagal terjadi. Namun, Anda dapat menavigasi di dalam konsol App Runner.

    contoh Mengaitkan ACL web - Permintaan
    aws wafv2 associate-web-acl
--resource-arn <apprunner_service_arn>
--web-acl-arn <web_acl_arn>
--region <region>

  3. Verifikasi bahwa ACL web dikaitkan dengan layanan App Runner Anda menggunakan API get-web-acl-for-resource AWS WAF publik. Untuk informasi selengkapnya tentang AWS WAF API, lihat GetWebACL ForResource di Panduan Referensi AWS WAF API.

    contoh Verifikasi ACL web untuk sumber daya - Permintaan
    aws wafv2 get-web-acl-for-resource
--resource-arn <apprunner_service_arn>
--region <region>

    Jika tidak ada ACL web yang terkait dengan layanan Anda, Anda menerima respons kosong.

Menghapus ACL AWS WAF web menggunakan AWS CLI

Anda tidak dapat menghapus ACL AWS WAF web jika dikaitkan dengan layanan App Runner.

Untuk menghapus ACL AWS WAF web

  1. Putuskan hubungan ACL web dari layanan App Runner Anda dengan menggunakan API publik. disassociate-web-acl AWS WAF Untuk informasi selengkapnya tentang AWS WAF API, lihat DisassociateWebACL di Panduan Referensi AWS WAF API.

    contoh Memutuskan hubungan ACL web - Permintaan
    aws wafv2 disassociate-web-acl
--resource-arn <apprunner_service_arn>
--region <region>

  2. Verifikasi bahwa ACL web terputus dari layanan App Runner Anda menggunakan API publik. get-web-acl-for-resource AWS WAF

    contoh Verifikasi bahwa ACL web tidak terkait - Permintaan
    aws wafv2 get-web-acl-for-resource
--resource-arn <apprunner_service_arn>
--region <region>

    ACL web yang tidak terkait tidak terdaftar untuk layanan App Runner Anda. Jika tidak ada ACL web yang terkait dengan layanan Anda, Anda menerima respons kosong.

  3. Hapus ACL web yang tidak terkait menggunakan API delete-web-acl AWS WAF publik. Untuk informasi selengkapnya tentang AWS WAF API, lihat DeleteWebACL di Panduan Referensi AWS WAF API.

    contoh Hapus ACL web - Permintaan
    aws wafv2 delete-web-acl
--name <web_acl_name>
--scope REGIONAL
--id <web_acl_id>
--lock-token <web_acl_lock_token>
--region <region>

  4. Verifikasi bahwa ACL web dihapus menggunakan API list-web-acl AWS WAF publik. Untuk informasi selengkapnya tentang AWS WAF API, lihat ListWebACL di Panduan Referensi AWS WAF API.

    contoh Verifikasi bahwa ACL web dihapus - Permintaan
    aws wafv2 list-web-acls 
--scope REGIONAL
--region <region>

    ACL web yang dihapus tidak lagi terdaftar.

    catatan

    Jika ACL web dikaitkan dengan layanan App Runner aktif lainnya atau sumber daya lainnya, seperti kumpulan pengguna Amazon Cognito, ACL web tidak dapat dihapus.

Daftar layanan App Runner yang terkait dengan ACL web

ACL web dapat dikaitkan dengan beberapa layanan App Runner dan sumber daya lainnya. Buat daftar layanan App Runner yang terkait dengan ACL web menggunakan API list-resources-for-web-acl AWS WAF publik. Untuk informasi selengkapnya tentang AWS WAF API, lihat ListResourcesForWebACL di Panduan Referensi AWS WAF API.

contoh Daftar layanan App Runner yang terkait dengan ACL web - Permintaan
aws wafv2 list-resources-for-web-acl
--web-acl-arn <WEB_ACL_ARN>
--resource-type APP_RUNNER_SERVICE
--region <REGION>
contoh Daftar layanan App Runner yang terkait dengan ACL web - Response

Contoh berikut mengilustrasikan respons ketika tidak ada layanan App Runner yang terkait dengan ACL web.

{
  "ResourceArns": []
}
contoh Daftar layanan App Runner yang terkait dengan ACL web - Response

Contoh berikut mengilustrasikan respons ketika ada layanan App Runner yang terkait dengan ACL web.

{
  "ResourceArns": [
    "arn:aws:apprunner:<region>:<aws_account_id>:service/<service_name>/<service_id>"
  ]
}

Menguji dan mencatat ACL AWS WAF web

Saat Anda menetapkan tindakan aturan ke Count di ACL web Anda, AWS WAF tambahkan permintaan ke hitungan permintaan yang cocok dengan aturan. Untuk menguji ACL web dengan layanan App Runner Anda, tetapkan tindakan aturan ke Hitung dan pertimbangkan volume permintaan yang cocok dengan setiap aturan. Misalnya, Anda menetapkan aturan untuk Block tindakan yang cocok dengan sejumlah besar permintaan yang Anda tentukan sebagai lalu lintas pengguna normal. Dalam hal ini, Anda mungkin perlu mengkonfigurasi ulang aturan Anda. Untuk informasi selengkapnya, lihat Menguji dan menyetel AWS WAF perlindungan Anda di Panduan AWS WAF Pengembang.

Anda juga dapat mengonfigurasi header permintaan log AWS WAF ke grup CloudWatch log Amazon Logs, bucket Amazon Simple Storage Service (Amazon S3), atau Amazon Data Firehose. Untuk informasi selengkapnya, lihat Mencatat lalu lintas ACL web di Panduan AWS WAF Pengembang.

Untuk mengakses log yang terkait dengan ACL web yang terkait dengan layanan App Runner Anda, lihat bidang log berikut:

  • httpSourceName: Berisi APPRUNNER

  • httpSourceId: Berisi customeraccountid-apprunnerserviceid

Untuk informasi selengkapnya, lihat Contoh Log di Panduan AWS WAF Pengembang.

penting

Aturan IP sumber untuk layanan pribadi App Runner yang terkait dengan ACL web WAF tidak mematuhi aturan berbasis IP. Ini karena saat ini kami tidak mendukung penerusan data IP sumber permintaan ke layanan pribadi App Runner yang terkait dengan WAF. Jika aplikasi App Runner Anda memerlukan aturan kontrol lalu lintas masuk IP/CIDR sumber, Anda harus menggunakan aturan grup keamanan untuk titik akhir pribadi, bukan ACL web WAF.