Creazione di un'ACL Web - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un'ACL Web

Per creare un nuovo ACL Web, utilizzare la procedura guidata per la creazione di ACL Web seguendo la procedura riportata in questa pagina.

Rischio legato al traffico di produzione

Prima di implementare modifiche all'ACL Web per il traffico di produzione, testale e ottimizzale in un ambiente di staging o di test finché non ti rendi conto del potenziale impatto sul traffico. Quindi testa e ottimizza le regole aggiornate in modalità di conteggio con il traffico di produzione prima di attivarle. Per le linee guida, consulta Test e ottimizzazione delle protezioni AWS WAF.

Nota

L'utilizzo di più di 1.500 WCU in un ACL Web comporta costi superiori al prezzo base dell'ACL Web. Per ulteriori informazioni, consulta AWS WAF unità di capacità Web ACL (WCU) e Prezzi di AWS WAF.

Per creare un'ACL Web

  1. Accedi AWS Management Console e apri la console all'indirizzo https://console.aws.amazon.com/wafv2/. AWS WAF

  2. Scegliere Web ACLs (ACL Web) nel riquadro di navigazione e selezionare Create web ACL (Crea ACL Web).

  3. Per Name (Nome), immettere il nome che si desidera utilizzare per identificare l'ACL Web.

    Nota

    Non è possibile modificare il nome dopo aver creato l'ACL Web.

  4. (Facoltativo) Per Description - optional (Descrizione - facoltativo), immettere una descrizione più lunga per l'ACL Web, se richiesta.

  5. Per il nome della CloudWatch metrica, modifica il nome predefinito, se applicabile. Seguire le linee guida sulla console per i caratteri validi. Il nome non può contenere caratteri speciali, spazi bianchi o nomi di metriche riservati AWS WAF, inclusi «All» e «Default_Action».

    Nota

    Non è possibile modificare il nome della CloudWatch metrica dopo aver creato l'ACL Web.

  6. In Tipo di risorsa, scegli la categoria di AWS risorsa che desideri associare a questo ACL web, CloudFront distribuzioni Amazon o risorse regionali. Per ulteriori informazioni, consulta Associazione o dissociazione di un ACL Web con una risorsa AWS.

  7. Per Regione, se hai scelto un tipo di risorsa regionale, scegli la regione in cui desideri AWS WAF archiviare l'ACL web.

    Devi scegliere questa opzione solo per i tipi di risorse regionali. Per CloudFront le distribuzioni, la regione è codificata nella regione Stati Uniti orientali (Virginia settentrionale)us-east-1, per le applicazioni Global (). CloudFront

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Per il limite di dimensione dell'ispezione delle richieste Web: facoltativo, se desideri specificare un limite di dimensione diverso per l'ispezione corporea, seleziona il limite. L'ispezione di dimensioni del corpo superiori al valore predefinito di 16 KB può comportare costi aggiuntivi. Per ulteriori informazioni su questa opzione, consulta Gestione dei limiti di dimensione delle ispezioni corporee.

  9. (Facoltativo) Per AWS Risorse associate: facoltativo, se desideri specificare subito le tue risorse, scegli Aggiungi risorse. AWS Nella finestra di dialogo, scegli le risorse che desideri associare, quindi scegli Aggiungi. AWS WAF torna alla pagina Descrivi web ACL e AWS risorse associate.

  10. Seleziona Successivo.

  11. (Facoltativo) Se si desidera aggiungere gruppi di regole gestite, nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Add rules (Aggiungi regole), quindi Add managed rule groups (Aggiungi gruppi di regole gestite). Eseguire le seguenti operazioni per ogni gruppo di regole gestite che si desidera aggiungere:

    1. Nella pagina Aggiungi gruppi di regole gestiti, espandi l'elenco per i gruppi di regole AWS gestiti o per il Marketplace AWS venditore di tua scelta.

    2. Per il gruppo di regole che desideri aggiungere, nella colonna Azione, attiva l'opzione Aggiungi al web ACL.

      Per personalizzare il modo in cui l'ACL Web utilizza il gruppo di regole, scegli Modifica. Di seguito sono riportate le impostazioni di personalizzazione più comuni:

      • Sostituisci le azioni delle regole per alcune o tutte le regole. Se non si definisce un'azione di sostituzione per una regola, la valutazione utilizza l'azione della regola definita all'interno del gruppo di regole. Per ulteriori informazioni su questa opzione, consulta Opzioni di sostituzione delle azioni per i gruppi di regole.

      • Riduci l'ambito delle richieste Web esaminate dal gruppo di regole aggiungendo un'istruzione scope-down. Per ulteriori informazioni su questa opzione, consulta Dichiarazioni delimitate.

      • Alcuni gruppi di regole gestiti richiedono una configurazione aggiuntiva. Consulta la documentazione del tuo fornitore di gruppi di regole gestiti. Per informazioni specifiche sui gruppi di regole AWS Managed Rules, consultaAWS Regole gestite per AWS WAF.

      Quando hai finito con le impostazioni, scegli Salva regola.

    Scegliere Add rules (Aggiungi regole) per completare l'aggiunta di regole gestite e tornare alla pagina Add rules and rule groups (Aggiungi regole e gruppi di regole).

  12. (Facoltativo) Se si desidera aggiungere un proprio gruppo di regole, nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Add rules (Aggiungi regole), quindi selezionare Add my own rules and rule groups (Aggiungi le mie regole e i miei gruppi di regole). Eseguire le seguenti operazioni per ogni gruppo di regole che si desidera aggiungere:

    1. Nella pagina Add my own rules and rule groups (Aggiungi le mie regole e i miei gruppi di regole), scegliere Rule group (Gruppo di regole).

    2. Per Nome, inserisci il nome che desideri utilizzare per la regola del gruppo di regole in questo ACL web. Non utilizzare nomi che iniziano conAWS, ShieldPreFM, oPostFM. Queste stringhe sono riservate o potrebbero creare confusione con i gruppi di regole gestiti dall'utente da altri servizi. Per informazioni, consulta Gruppi di regole forniti da altri servizi.

    3. Scegliere il gruppo di regole dall'elenco.

      Nota

      Se desideri sovrascrivere le azioni delle regole per un tuo gruppo di regole, salvalo prima nell'ACL Web, quindi modifica l'ACL Web e la dichiarazione di riferimento del gruppo di regole nell'elenco delle regole dell'ACL Web. È possibile sostituire le azioni delle regole con qualsiasi impostazione di azione valida, come si può fare per i gruppi di regole gestiti.

    4. Scegli Aggiungi regola.

  13. (Facoltativo) Se si desidera aggiungere la propria regola, nella pagina Add rules and rule groups (Aggiungi regole e gruppi di regole), scegliere Add rules (Aggiungi regole), Add my own rules and rule groups (Aggiungi le mie regole e i miei gruppi di regole), Rule builder (Generatore di regole), quindi Rule visual editor (Editor visivo delle regole).

    Nota

    Il Rule visual editor (Editor visivo delle regole) della console supporta un livello di nidificazione. Ad esempio, è possibile utilizzare una singola OR istruzione AND o logica e inserire al suo interno un livello di altre istruzioni, ma non è possibile annidare istruzioni logiche all'interno di istruzioni logiche. Per gestire istruzioni delle regole più complesse, utilizzare Rule JSON editor (Editor JSON delle regole). Per informazioni su tutte le opzioni per le regole, consulta AWS WAF regole.

    Questa procedura descrive il Rule visual editor (Editor visivo delle regole).

    1. In Name (Nome), immettere il nome che si desidera utilizzare per identificare questa regola. Non utilizzare nomi che iniziano con AWSShield,PreFM, oPostFM. Queste stringhe sono riservate o potrebbero creare confusione con i gruppi di regole gestiti dall'utente da altri servizi.

    2. Immettere la definizione della regola, in base alle proprie esigenze. È possibile combinare regole all'interno di istruzioni logiche AND e di OR regole. La procedura guidata descrive le opzioni per ogni regola, a seconda del contesto. Per informazioni sulle opzioni delle regole, consulta AWS WAF regole.

    3. In Action (Operazione), selezionare l'operazione che deve essere eseguita dalla regola quando corrisponde a una richiesta Web. Per informazioni sulle scelte, consulta Operazione delle regole e Valutazione delle regole ACL Web e dei gruppi di regole.

      Se si utilizza l'Challengeazione CAPTCHAo, modificare la configurazione del tempo di immunità in base alle esigenze della regola. Se non specifichi l'impostazione, la regola la eredita dall'ACL web. Per modificare le impostazioni relative al tempo di immunità ACL Web, modifica l'ACL Web dopo averlo creato. Per ulteriori informazioni sui tempi di immunità, vedere. Scadenza del timestamp: tempi di immunità AWS WAF dei token

      Nota

      Ti vengono addebitati costi aggiuntivi quando utilizzi l'azione CAPTCHA o Challenge in una delle tue regole o come regola che sostituisce un'azione in un gruppo di regole. Per ulteriori informazioni, consulta la sezione Prezzi di AWS WAF.

      Se desideri personalizzare la richiesta o la risposta, scegli le relative opzioni e inserisci i dettagli della personalizzazione. Per ulteriori informazioni, consulta Richieste e risposte web personalizzate in AWS WAF.

      Se desideri che la tua regola aggiunga etichette alle richieste web corrispondenti, scegli le relative opzioni e inserisci i dettagli dell'etichetta. Per ulteriori informazioni, consulta AWS WAF etichette sulle richieste web.

    4. Scegli Aggiungi regola.

  14. Scegli l'azione predefinita per l'ACL web, Block oppureAllow. Questa è l'azione che viene AWS WAF eseguita su una richiesta quando le regole dell'ACL Web non la consentono o la bloccano esplicitamente. Per ulteriori informazioni, consulta L'azione predefinita dell'ACL Web.

    Se desideri personalizzare l'azione predefinita, scegli le relative opzioni e inserisci i dettagli della personalizzazione. Per ulteriori informazioni, consulta Richieste e risposte web personalizzate in AWS WAF.

  15. È possibile definire un elenco di domini Token per abilitare la condivisione dei token tra applicazioni protette. I token vengono utilizzati dalle Challenge azioni CAPTCHA e e dagli SDK di integrazione delle applicazioni implementati quando si utilizzano i gruppi di regole AWS Managed Rules per AWS WAF Fraud Control, la prevenzione delle frodi (ACFP), la prevenzione delle frodi di account AWS WAF Fraud Control (ATP) e il controllo dei bot. AWS WAF

    I suffissi pubblici non sono consentiti. Ad esempio, non puoi usare gov.au or co.uk come dominio token.

    Per impostazione predefinita, AWS WAF accetta token solo per il dominio della risorsa protetta. Se aggiungi domini token in questo elenco, AWS WAF accetta token per tutti i domini dell'elenco e per il dominio della risorsa associata. Per ulteriori informazioni, consulta la pagina AWS WAF configurazione dell'elenco di domini con token ACL web.

  16. Seleziona Next (Successivo).

  17. Nella pagina Imposta la priorità delle regole, seleziona e sposta le regole e i gruppi di regole nell'ordine in cui desideri AWS WAF elaborarli. AWS WAF elabora le regole a partire dall'inizio dell'elenco. Quando si salva il Web, ACL AWS WAF assegna le impostazioni di priorità numerica alle regole, nell'ordine in cui sono elencate. Per ulteriori informazioni, consulta la pagina Ordine di elaborazione delle regole e dei gruppi di regole in un ACL Web.

  18. Seleziona Next (Successivo).

  19. Nella pagina Configura le metriche, esamina le opzioni e applica gli aggiornamenti necessari. Puoi combinare metriche provenienti da più fonti fornendo loro lo stesso nome di CloudWatch metrica.

  20. Seleziona Successivo.

  21. Nella pagina Review and create Web ACL (Rivedi e crea ACL Web), controllare le definizioni. Se si desidera modificare un'area qualsiasi, scegliere Edit (Modifica) per l'area. Viene visualizzata di nuovo la pagina nella procedura guidata ACL Web. Apportare le eventuali modifiche, quindi scegliere Next (Avanti) nelle varie pagine fino a tornare alla pagina Review and create web ACL (Rivedi e crea ACL Web) .

  22. Scegliere Create web ACL (Crea ACL Web). La nuova ACL Web è elencata nella pagina Web ACLs (ACL Web) .