Come AWS WAF funziona con le CloudFront funzionalità di Amazon

Quando crei un ACL web, puoi specificare una o più CloudFront distribuzioni che desideri AWS WAF ispezionare. AWS WAF inizia a ispezionare e gestire le richieste Web per tali distribuzioni in base ai criteri identificati nell'ACL Web. CloudFront fornisce alcune funzionalità che migliorano la funzionalità. AWS WAF Questo capitolo descrive alcuni modi in cui è possibile configurare CloudFront per creare CloudFront e AWS WAF lavorare meglio insieme.

Utilizzo AWS WAF con pagine di errore CloudFront personalizzate

Per impostazione predefinita, quando AWS WAF blocca una richiesta Web in base ai criteri specificati, restituisce il codice di stato HTTP 403 (Forbidden) a CloudFront e lo CloudFront restituisce al visualizzatore. Il visualizzatore visualizza quindi un messaggio predefinito breve e poco formattato simile al seguente:

Forbidden: You don't have permission to access /myfilename.html on this server.

È possibile ignorare questo comportamento nelle regole ACL AWS WAF Web definendo risposte personalizzate. Per ulteriori informazioni sulla personalizzazione del comportamento di risposta mediante AWS WAF le regole, consulta. Risposte personalizzate per Block le azioni

Nota

Le risposte personalizzate utilizzando AWS WAF le regole hanno la precedenza su tutte le specifiche di risposta definite nelle pagine di errore CloudFront personalizzate.

Se preferisci visualizzare un messaggio di errore personalizzato CloudFront, possibilmente utilizzando la stessa formattazione del resto del sito Web, puoi configurare CloudFront la visualizzazione di un oggetto (ad esempio un file HTML) che contenga il tuo messaggio di errore personalizzato.

Nota

CloudFront non è in grado di distinguere tra un codice di stato HTTP 403 restituito dall'origine e uno restituito da AWS WAF quando una richiesta viene bloccata. Ciò significa che non è possibile restituire pagine di errore personalizzate diverse a seconda delle diverse cause di un codice di stato HTTP 403.

Per ulteriori informazioni sulle pagine di errore CloudFront personalizzate, consulta Generazione di risposte di errore personalizzate nell'Amazon CloudFront Developer Guide.

Utilizzo di AWS WAF with CloudFront per le applicazioni in esecuzione sul tuo server HTTP

Quando utilizzi AWS WAF con CloudFront, puoi proteggere le tue applicazioni in esecuzione su qualsiasi server Web HTTP, che si tratti di un server Web in esecuzione su Amazon Elastic Compute Cloud (Amazon EC2) o di un server Web gestito privatamente. Puoi anche configurare in modo CloudFront da richiedere l'HTTPS tra il tuo server web CloudFront e tra i visualizzatori e. CloudFront

Richiedere HTTPS tra CloudFront e il proprio server web

Per richiedere HTTPS tra CloudFront e il tuo server web, puoi utilizzare la funzionalità di origine CloudFront personalizzata e configurare la Origin Protocol Policy e le impostazioni del nome di dominio di origine per origini specifiche. Nella CloudFront configurazione, è possibile specificare il nome DNS del server insieme alla porta e al protocollo che si desidera utilizzare CloudFront per recuperare oggetti dall'origine. È inoltre necessario assicurarsi che il certificato SSL/TLS sul server di origine personalizzato corrisponda al nome di dominio di origine configurato. Quando si utilizza il proprio server web HTTP all'esterno di AWS, è necessario utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o Symantec DigiCert. Per ulteriori informazioni sulla richiesta di HTTPS per la comunicazione tra CloudFront e il tuo server web, consulta l'argomento Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata nella Amazon CloudFront Developer Guide.

Richiedere HTTPS tra un visualizzatore e CloudFront

Per richiedere HTTPS tra i visualizzatori e CloudFront, puoi modificare la Viewer Protocol Policy per uno o più comportamenti della cache nella tua CloudFront distribuzione. Per ulteriori informazioni sull'utilizzo di HTTPS tra visualizzatori e CloudFront, consulta l'argomento Richiedere HTTPS per la comunicazione tra visualizzatori e CloudFront nella Amazon CloudFront Developer Guide. Puoi anche portare il tuo certificato SSL in modo che gli spettatori possano connettersi alla tua CloudFront distribuzione tramite HTTPS utilizzando il tuo nome di dominio, ad esempio https://www.mysite.com. Per ulteriori informazioni, consulta l'argomento Configurazione di nomi di dominio alternativi e HTTPS nella Amazon CloudFront Developer Guide.

Scelta dei metodi HTTP che CloudFront rispondono a

Quando crei una distribuzione CloudFront web Amazon, scegli i metodi HTTP che desideri CloudFront elaborare e inoltrare all'origine. Puoi scegliere tra le seguenti opzioni:

• GET, HEAD — Puoi utilizzarli CloudFront solo per recuperare oggetti dall'origine o per ottenere le intestazioni degli oggetti.

• GET,HEAD, OPTIONS — È possibile utilizzarlo CloudFront solo per recuperare oggetti dall'origine, ottenere le intestazioni degli oggetti o recuperare un elenco delle opzioni supportate dal server di origine.

• GET,HEAD,OPTIONS,,PUT, POSTPATCH, DELETE — È possibile utilizzarlo CloudFront per ottenere, aggiungere, aggiornare ed eliminare oggetti e per ottenere le intestazioni degli oggetti. Inoltre, è possibile eseguire altre POST operazioni come l'invio di dati da un modulo Web.

È inoltre possibile utilizzare le istruzioni delle regole di corrispondenza dei AWS WAF byte per consentire o bloccare le richieste in base al metodo HTTP, come descritto in. Istruzione regola di corrispondenza stringa Se desideri utilizzare una combinazione di metodi che CloudFront supporti, ad esempio GET eHEAD, non è necessario configurare AWS WAF per bloccare le richieste che utilizzano gli altri metodi. Se desideri consentire una combinazione di metodi che CloudFront non supporta, ad esempio, e GET HEADPOST, puoi configurare in modo che CloudFront risponda a tutti i metodi e quindi utilizzarla AWS WAF per bloccare le richieste che utilizzano altri metodi.

Per ulteriori informazioni sulla scelta dei metodi a cui CloudFront rispondere, consulta Metodi HTTP consentiti nell'argomento Valori che specifichi quando crei o aggiorni una distribuzione Web nella Amazon CloudFront Developer Guide.