BagaimanaAWS WAFbekerja dengan Amazon CloudFront fitur - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

BagaimanaAWS WAFbekerja dengan Amazon CloudFront fitur

Bila Anda membuat ACL web, Anda dapat menentukan satu atau lebih CloudFront distribusi yang Anda inginkanAWS WAFuntuk memeriksa.AWS WAFmulai memeriksa dan mengelola permintaan web untuk distribusi tersebut berdasarkan kriteria yang Anda identifikasi di ACL web. CloudFront menyediakan beberapa fitur yang meningkatkanAWS WAFfungsionalitas. Bab ini menjelaskan beberapa cara yang dapat Anda konfigurasikanCloudFront membuat CloudFront danAWS WAFbekerja lebih baik bersama-sama.

MenggunakanAWS WAFbersama CloudFront halaman kesalahan kustom

Secara default, kapanAWS WAFblok permintaan web berdasarkan kriteria yang Anda tentukan, ia mengembalikan kode status HTTP403 (Forbidden)kepada CloudFront, dan CloudFront mengembalikan kode status tersebut ke penampil. Penampil kemudian menampilkan pesan default yang diformat secara singkat dan jarang serupa dengan yang berikut:

Forbidden: You don't have permission to access /myfilename.html on this server.

Anda dapat mengganti perilaku ini diAWS WAFaturan ACL web dengan mendefinisikan tanggapan kustom. Untuk informasi lebih lanjut tentang menyesuaikan perilaku respons menggunakanAWS WAFaturan, lihatRespons khusus untuk tindakan pemblokiran.

catatan

Respons yang Anda sesuaikanAWS WAFaturan lebih diutamakan daripada spesifikasi respons yang Anda tentukan CloudFront halaman kesalahan kustom.

Jika Anda lebih suka menampilkan pesan kesalahan kustom melalui CloudFront, mungkin menggunakan format yang sama dengan sisa situs web Anda, Anda dapat mengkonfigurasi CloudFront untuk kembali ke penampil objek (misalnya, file HTML) yang berisi pesan kesalahan kustom Anda.

catatan

CloudFront tidak dapat membedakan antara kode status HTTP 403 yang dikembalikan oleh asal Anda dan yang dikembalikan olehAWS WAFketika permintaan diblokir. Ini berarti bahwa Anda tidak dapat mengembalikan halaman kesalahan kustom yang berbeda berdasarkan penyebab yang berbeda dari kode status HTTP 403.

Untuk informasi lebih lanjut tentang CloudFront halaman kesalahan kustom, lihatMembuat respons kesalahan kustomdi dalamAmazon CloudFront Panduan Pengembang.

MenggunakanAWS WAFbersama CloudFrontuntuk aplikasi yang berjalan di server HTTP Anda sendiri

Saat Anda menggunakanAWS WAFbersama CloudFront, Anda dapat melindungi aplikasi yang berjalan di server web HTTP apa pun, baik itu server web yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) atau server web yang Anda kelola secara pribadi. Anda juga dapat mengonfigurasi CloudFront untuk membutuhkan HTTPS antara CloudFrontdan server web Anda sendiri, serta antara pemirsa dan CloudFront.

Memerlukan HTTPS antara CloudFront dan server web Anda sendiri

Untuk membutuhkan HTTPS antara CloudFront dan webserver Anda sendiri, Anda dapat menggunakan CloudFront fitur asal kustom dan mengkonfigurasiKebijakan Protokol AsaldanNama Domain Asalpengaturan untuk asal-usul tertentu. Dalam CloudFront konfigurasi, Anda dapat menentukan nama DNS server bersama dengan port dan protokol yang Anda inginkan CloudFront untuk digunakan saat mengambil objek dari asal Anda. Anda juga harus memastikan bahwa sertifikat SSL/TLS di server asal khusus Anda cocok dengan nama domain asal yang telah Anda konfigurasikan. Ketika Anda menggunakan webserver HTTP Anda sendiri di luarAWS, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga (CA) tepercaya, misalnya, Comodo, DigiCert, atau Symantec. Untuk informasi lebih lanjut tentang mewajibkan HTTPS untuk komunikasi antara CloudFrontdan webserver Anda sendiri, lihat topiknyaMemerlukan HTTPS untuk Komunikasi Antara CloudFront dan Asal Kustom Andadi dalamAmazon CloudFront Panduan Pengembang.

Mengharuskan HTTPS antara penampil dan CloudFront

Untuk mengharuskan HTTPS antara penampil dan CloudFront, Anda dapat mengubahKebijakan Protokol Penampiluntuk satu atau lebih perilaku cache di CloudFrontdistribusi. Untuk informasi selengkapnya tentang penggunaan HTTPS antara penampil dan CloudFront, lihat topikMemerlukan HTTPS untuk Komunikasi Antara Penampil dan CloudFrontdi dalamAmazon CloudFront Panduan Pengembang. Anda juga dapat membawa sertifikat SSL Anda sendiri sehingga penonton dapat terhubung ke Anda CloudFront distribusi melalui HTTPS menggunakan nama domain Anda sendiri, misalnyahttps://www.mysite.com. Untuk informasi selengkapnya, lihat topikMengonfigurasi Nama Domain Alternatif dan HTTPSdi dalamAmazon CloudFront Panduan Pengembang.

Memilih metode HTTP yang CloudFrontmerespons

Saat Anda membuat Amazon CloudFront distribusi web, Anda memilih metode HTTP yang Anda inginkan CloudFront untuk memproses dan meneruskan ke asal Anda. Anda dapat memilih dari opsi berikut:

  • GET,HEAD— Anda dapat menggunakan CloudFront hanya untuk mendapatkan objek dari asal Anda atau untuk mendapatkan header objek.

  • GET,HEAD,OPTIONS— Anda dapat menggunakan CloudFront hanya untuk mendapatkan objek dari asal Anda, mendapatkan header objek, atau mengambil daftar opsi yang didukung server asal Anda.

  • GET,HEAD,OPTIONS,PUT,POST,PATCH,DELETE— Anda dapat menggunakan CloudFront untuk mendapatkan, menambahkan, memperbarui, dan menghapus objek, dan untuk mendapatkan header objek. Selain itu, Anda dapat melakukanPOSToperasi seperti mengirimkan data dari formulir web.

Anda juga dapat menggunakanAWS WAFpernyataan aturan pertandingan byte untuk mengizinkan atau memblokir permintaan berdasarkan metode HTTP, seperti yang dijelaskan dalamString pernyataan aturan pertandingan. Jika Anda ingin menggunakan kombinasi metode itu CloudFront mendukung, sepertiGETdanHEAD, maka Anda tidak perlu mengonfigurasiAWS WAFuntuk memblokir permintaan yang menggunakan metode lain. Jika Anda ingin mengizinkan kombinasi metode itu CloudFront tidak mendukung, sepertiGET,HEAD, danPOST, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian menggunakanAWS WAFuntuk memblokir permintaan yang menggunakan metode lain.

Untuk informasi lebih lanjut tentang memilih metode yang CloudFront merespon, melihatMetode HTTP yang Diizinkandalam topikNilai yang Anda Berikan Saat Membuat atau Memperbarui Distribusi Webdi dalamAmazon CloudFront Panduan Pengembang.