Cara AWS WAF bekerja dengan CloudFront fitur Amazon

Saat membuat ACL web, Anda dapat menentukan satu atau CloudFront beberapa distribusi yang AWS WAF ingin Anda periksa. AWS WAF mulai memeriksa dan mengelola permintaan web untuk distribusi tersebut berdasarkan kriteria yang Anda identifikasi di ACL web. CloudFront menyediakan beberapa fitur yang meningkatkan AWS WAF fungsionalitas. Bab ini menjelaskan beberapa cara yang dapat Anda konfigurasikan CloudFront untuk membuat CloudFront dan AWS WAF bekerja sama dengan lebih baik.

Menggunakan AWS WAF dengan halaman kesalahan CloudFront kustom

Secara default, ketika AWS WAF memblokir permintaan web berdasarkan kriteria yang Anda tentukan, ia mengembalikan kode status HTTP 403 (Forbidden) ke CloudFront, dan CloudFront mengembalikan kode status tersebut ke penampil. Penampil kemudian menampilkan pesan default singkat dan jarang diformat mirip dengan berikut ini:

Forbidden: You don't have permission to access /myfilename.html on this server.

Anda dapat mengganti perilaku ini dalam aturan ACL AWS WAF web Anda dengan menentukan respons khusus. Untuk informasi selengkapnya tentang menyesuaikan perilaku respons menggunakan AWS WAF aturan, lihatTanggapan khusus untuk Block tindakan.

catatan

Respons yang Anda sesuaikan menggunakan AWS WAF aturan lebih diutamakan daripada spesifikasi respons apa pun yang Anda tentukan di halaman kesalahan CloudFront kustom.

Jika Anda lebih suka menampilkan pesan kesalahan kustom melalui CloudFront, mungkin menggunakan format yang sama seperti situs web Anda lainnya, Anda dapat mengonfigurasi CloudFront untuk kembali ke penampil objek (misalnya, file HTML) yang berisi pesan kesalahan kustom Anda.

catatan

CloudFront tidak dapat membedakan antara kode status HTTP 403 yang dikembalikan oleh asal Anda dan yang dikembalikan oleh AWS WAF ketika permintaan diblokir. Ini berarti bahwa Anda tidak dapat mengembalikan halaman kesalahan kustom yang berbeda berdasarkan penyebab yang berbeda dari kode status HTTP 403.

Untuk informasi selengkapnya tentang halaman kesalahan CloudFront kustom, lihat Menghasilkan respons kesalahan kustom di Panduan CloudFront Pengembang Amazon.

Menggunakan AWS WAF dengan CloudFront untuk aplikasi yang berjalan di server HTTP Anda sendiri

Saat menggunakannya AWS WAF CloudFront, Anda dapat melindungi aplikasi yang berjalan di server web HTTP apa pun, baik itu server web yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) atau server web yang Anda kelola secara pribadi. Anda juga dapat mengonfigurasi CloudFront untuk meminta HTTPS antara CloudFront dan server web Anda sendiri, serta antara pemirsa dan CloudFront.

Membutuhkan HTTPS antara CloudFront dan server web Anda sendiri

Untuk mewajibkan HTTPS antara CloudFront dan server web Anda sendiri, Anda dapat menggunakan fitur asal CloudFront kustom dan mengonfigurasi Kebijakan Protokol Asal dan pengaturan Nama Domain Asal untuk asal tertentu. Dalam CloudFront konfigurasi Anda, Anda dapat menentukan nama DNS server bersama dengan port dan protokol yang CloudFront ingin Anda gunakan saat mengambil objek dari asal Anda. Anda juga harus memastikan bahwa sertifikat SSL/TLS di server asal kustom Anda cocok dengan nama domain asal yang telah Anda konfigurasikan. Ketika Anda menggunakan server web HTTP Anda sendiri di luar AWS, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga tepercaya (CA), misalnya, Comodo DigiCert, atau Symantec. Untuk informasi selengkapnya tentang mewajibkan HTTPS untuk komunikasi antara CloudFront dan server web Anda sendiri, lihat topik Memerlukan HTTPS untuk Komunikasi Antara CloudFront dan Asal Kustom Anda di Panduan CloudFront Pengembang Amazon.

Membutuhkan HTTPS antara penampil dan CloudFront

Untuk mewajibkan HTTPS antara pemirsa dan CloudFront, Anda dapat mengubah Kebijakan Protokol Penampil untuk satu atau beberapa perilaku cache dalam CloudFront distribusi Anda. Untuk informasi selengkapnya tentang penggunaan HTTPS antar pemirsa dan CloudFront, lihat topik Memerlukan HTTPS untuk Komunikasi Antar CloudFront Pemirsa dan di Panduan CloudFront Pengembang Amazon. Anda juga dapat membawa sertifikat SSL Anda sendiri sehingga pemirsa dapat terhubung ke CloudFront distribusi Anda melalui HTTPS menggunakan nama domain Anda sendiri, misalnya https://www.mysite.com. Untuk informasi selengkapnya, lihat topik Mengonfigurasi Nama Domain Alternatif dan HTTPS di Panduan CloudFront Pengembang Amazon.

Memilih metode HTTP yang CloudFront merespons

Saat Anda membuat distribusi CloudFront web Amazon, Anda memilih metode HTTP yang ingin CloudFront Anda proses dan teruskan ke asal Anda. Anda dapat memilih dari opsi berikut:

• GET, HEAD — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda atau untuk mendapatkan header objek.

• GET,HEAD, OPTIONS — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda, mendapatkan header objek, atau mengambil daftar opsi yang didukung server asal Anda.

• GET,HEAD,OPTIONS,PUT,POST,PATCH, DELETE — Anda dapat menggunakan CloudFront untuk mendapatkan, menambah, memperbarui, dan menghapus objek, dan untuk mendapatkan header objek. Selain itu, Anda dapat melakukan POST operasi lain seperti mengirimkan data dari formulir web.

Anda juga dapat menggunakan pernyataan aturan pencocokan AWS WAF byte untuk mengizinkan atau memblokir permintaan berdasarkan metode HTTP, seperti yang dijelaskan dalamPernyataan aturan kecocokan string. Jika Anda ingin menggunakan kombinasi metode yang CloudFront mendukung, seperti GET danHEAD, maka Anda tidak perlu mengkonfigurasi AWS WAF untuk memblokir permintaan yang menggunakan metode lain. Jika Anda ingin mengizinkan kombinasi metode yang CloudFront tidak mendukung, seperti,, dan GET HEADPOST, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian gunakan AWS WAF untuk memblokir permintaan yang menggunakan metode lain.

Untuk informasi selengkapnya tentang memilih metode yang CloudFront merespons, lihat Metode HTTP yang Diizinkan dalam topik Nilai yang Anda Tentukan Saat Membuat atau Memperbarui Distribusi Web di Panduan CloudFront Pengembang Amazon.