Flusso di richieste web in entrata Associazione degli ACL Web WAF al servizio App Runner Considerazioni Autorizzazioni

Associazione di un ACL AWS WAF Web al tuo servizio

AWS WAF è un firewall per applicazioni Web che puoi utilizzare per proteggere il tuo servizio App Runner. Con AWS WAF gli elenchi di controllo degli accessi Web (ACL Web), puoi proteggere gli endpoint del servizio App Runner da exploit Web comuni e bot indesiderati.

Un ACL web ti offre un controllo dettagliato su tutte le richieste web in arrivo al tuo servizio App Runner. È possibile definire regole in un ACL Web per consentire, bloccare o monitorare il traffico Web, per garantire che solo le richieste autorizzate e legittime raggiungano le applicazioni Web e le API. È possibile personalizzare le regole ACL Web in base alle esigenze aziendali e di sicurezza specifiche. Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sulle best practice per l'applicazione degli ACL di rete, consulta Control network traffic nella Amazon VPC User Guide.

Importante

Le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le ACL Web WAF.

Flusso di richieste web in entrata

Quando un ACL AWS WAF Web è associato a un servizio App Runner, le richieste Web in entrata passano attraverso il seguente processo:

App Runner inoltra il contenuto della richiesta di origine a. AWS WAF
AWS WAF ispeziona la richiesta e ne confronta il contenuto con le regole specificate nell'ACL web.
In base alla sua ispezione, AWS WAF restituisce una block risposta allow or ad App Runner.
- Se viene restituita una allow risposta, App Runner inoltra la richiesta all'applicazione.
- Se viene restituita una block risposta, App Runner impedisce alla richiesta di raggiungere l'applicazione web. Inoltra la block risposta AWS WAF alla tua applicazione.
  
  Nota
  Per impostazione predefinita, App Runner blocca la richiesta se non viene restituita alcuna risposta da. AWS WAF

Per ulteriori informazioni sugli ACL AWS WAF Web, consulta Elenchi di controllo degli accessi Web (Web ACL) nella Guida per gli AWS WAF sviluppatori.

Nota

Paghi un prezzo standard AWS WAF . Non è previsto alcun costo aggiuntivo per l'utilizzo degli ACL AWS WAF Web per i servizi App Runner. Per ulteriori informazioni sui prezzi, consulta la sezione Prezzi.AWS WAF

Associazione degli ACL Web WAF al servizio App Runner

Di seguito è riportato il processo di alto livello per associare un ACL AWS WAF Web al servizio App Runner:

Crea un ACL web nella console. AWS WAF Per ulteriori informazioni, consulta Creazione di un ACL Web nella Guida per gli AWS WAF sviluppatori.
Aggiorna le tue autorizzazioni AWS Identity and Access Management (IAM) per. AWS WAF Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .
Associate l'ACL Web al servizio App Runner utilizzando uno dei seguenti metodi:
- Console App Runner: associa un ACL Web esistente utilizzando la console App Runner quando crei o aggiorni un servizio App Runner. Per istruzioni, consulta Gestione degli ACL Web. AWS WAF
- AWS WAF console: associa l'ACL Web utilizzando la AWS WAF console per un servizio App Runner esistente. Per ulteriori informazioni, consulta Associare o dissociare un ACL Web con una risorsa AWS nella Developer Guide.AWS WAF
- AWS CLI: Associa l'ACL web utilizzando le API pubbliche. AWS WAF Per ulteriori informazioni sulle API AWS WAF pubbliche, consulta AssociateWebACL nella Guida di riferimento delle AWS WAF API.

Considerazioni

Le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le ACL Web WAF.
Un servizio App Runner può essere associato a un solo ACL web. Tuttavia, è possibile associare un ACL Web a più servizi App Runner e a più risorse. AWS Gli esempi includono i pool di utenti di Amazon Cognito e le risorse Application Load Balancer.
Quando crei un ACL Web, passa un breve lasso di tempo prima che l'ACL Web si propaghi completamente e sia disponibile per App Runner. Il tempo di propagazione può variare da pochi secondi a diversi minuti. AWS WAF restituisce a WAFUnavailableEntityException quando si tenta di associare un ACL Web prima che si sia completamente propagato.

Se si aggiorna il browser o si esce dalla console di App Runner prima che l'ACL Web sia completamente propagato, l'associazione non viene eseguita. Tuttavia, puoi navigare all'interno della console App Runner.
AWS WAF restituisce un WAFNonexistentItemException errore quando si chiama una delle seguenti AWS WAF API per un servizio App Runner che si trova in uno stato non valido:
- AssociateWebACL
- DisassociateWebACL
- GetWebACLForResource
Gli stati non validi per il servizio App Runner includono:
- CREATE_FAILED
- DELETE_FAILED
- DELETED
- OPERATION_IN_PROGRESS
  
  Nota
  OPERATION_IN_PROGRESSlo stato non è valido solo se il servizio App Runner viene eliminato.
La tua richiesta potrebbe comportare un carico utile superiore ai limiti di ciò AWS WAF che può ispezionare. Per ulteriori informazioni su come AWS WAF gestisce le richieste di grandi dimensioni provenienti da App Runner, consulta Gestione dei componenti di richieste di grandi dimensioni nella Guida per gli AWS WAF sviluppatori per scoprire come AWS WAF gestire le richieste di grandi dimensioni provenienti da App Runner.
Se non imposti regole appropriate o i modelli di traffico cambiano, un ACL web potrebbe non essere altrettanto efficace nel proteggere l'applicazione.

Autorizzazioni

Per utilizzare un ACL Web AWS App Runner, aggiungi le seguenti autorizzazioni IAM per: AWS WAF

apprunner:ListAssociatedServicesForWebAcl
apprunner:DescribeWebAclForService
apprunner:AssociateWebAcl
apprunner:DisassociateWebAcl

Per ulteriori informazioni sulle autorizzazioni IAM, consulta Policies and permissions in IAM nella IAM User Guide.

Di seguito è riportato un esempio della policy IAM aggiornata per. AWS WAF Questa policy IAM include le autorizzazioni necessarie per lavorare con un servizio App Runner.


{
  {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "wafv2:ListResourcesForWebACL",
            "wafv2:GetWebACLForResource",
            "wafv2:AssociateWebACL",
            "wafv2:DisassociateWebACL",
            "apprunner:ListAssociatedServicesForWebAcl",
            "apprunner:DescribeWebAclForService",
            "apprunner:AssociateWebAcl",
            "apprunner:DisassociateWebAcl"
         ],
         "Resource":"*"
      }
   ]
}

Nota

Sebbene sia necessario concedere le autorizzazioni IAM, le azioni elencate fanno riferimento solo alle autorizzazioni e non corrispondono a un'operazione API.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tracciamento (X-Ray)

Gestisci gli ACL web