Amazon CloudFront 기능 사용 방법 AWS WAF - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon CloudFront 기능 사용 방법 AWS WAF

웹 ACL을 생성할 때 AWS WAF 검사하려는 하나 이상의 CloudFront 배포를 지정할 수 있습니다. AWS WAF 웹 ACL에서 식별한 기준에 따라 해당 배포에 대한 웹 요청을 검사 및 관리하기 시작합니다. CloudFront 기능을 향상시키는 몇 가지 기능을 제공합니다. AWS WAF 이 장에서는 공동 작업을 더 잘 CloudFront 만들고 더 잘 CloudFront AWS WAF 작동하도록 구성할 수 있는 몇 가지 방법을 설명합니다.

CloudFront 사용자 지정 오류 AWS WAF 페이지와 함께 사용

기본적으로 지정한 기준에 따라 웹 요청을 AWS WAF 차단하면 뷰어에 HTTP 상태 코드가 반환되고 403 (Forbidden) 뷰어에게 CloudFront 해당 상태 코드가 CloudFront 반환됩니다. 최종 사용자에게는 다음과 유사한 짧고 불완전한 형식의 기본 메시지가 표시됩니다.

Forbidden: You don't have permission to access /myfilename.html on this server.

사용자 지정 응답을 정의하여 AWS WAF 웹 ACL 규칙에서 이 동작을 재정의할 수 있습니다. AWS WAF 규칙을 사용하여 응답 동작을 사용자 지정하는 방법에 대한 자세한 내용은 을 참조하십시오. Block 작업에 대한 사용자 지정 응답

참고

AWS WAF 규칙을 사용하여 사용자 지정하는 응답은 사용자 CloudFront 지정 오류 페이지에 정의한 응답 사양보다 우선합니다.

웹 사이트의 나머지 부분과 동일한 형식을 사용하여 사용자 지정 오류 메시지를 표시하려는 경우 사용자 지정 오류 메시지가 포함된 개체 (예: HTML 파일) 를 CloudFront 뷰어에 CloudFront 반환하도록 구성할 수 있습니다.

참고

CloudFront 오리진에서 반환되는 HTTP 상태 코드 403과 요청이 AWS WAF 차단되었을 때 반환되는 HTTP 상태 코드 403을 구분할 수 없습니다. 따라서 HTTP 상태 코드 403의 다른 원인을 기반으로 다른 사용자 지정 오류 페이지를 반환할 수 없습니다.

CloudFront 사용자 지정 오류 페이지에 대한 자세한 내용은 Amazon CloudFront 개발자 안내서의 사용자 지정 오류 응답 생성을 참조하십시오.

자체 HTTP 서버에서 실행되는 CloudFront 애플리케이션에 AWS WAF with 사용

를 AWS WAF 사용하면 CloudFront Amazon Elastic Compute Cloud (Amazon EC2) 에서 실행되는 웹 서버이든 비공개로 관리하는 웹 서버이든 관계없이 모든 HTTP 웹 서버에서 실행되는 애플리케이션을 보호할 수 있습니다. 또한 자체 웹 서버 간에는 물론 최종 사용자 CloudFront 간에도 HTTPS를 CloudFront 요구하도록 구성할 수 있습니다. CloudFront

자체 웹 서버와 웹 서버 간에 CloudFront HTTPS가 필요함

자체 웹 서버 간에 CloudFront HTTPS를 요구하려면 CloudFront 사용자 지정 오리진 기능을 사용하고 특정 오리진에 대한 오리진 프로토콜 정책 및 오리진 도메인 이름 설정을 구성할 수 있습니다. CloudFront 구성에서 오리진에서 객체를 가져올 때 사용할 포트 및 프로토콜과 함께 서버의 DNS 이름을 지정할 수 있습니다. CloudFront 또한 사용자 지정 오리진 서버의 SSL/TLS 인증서가 구성한 원본 도메인 이름과 일치하는지 확인해야 합니다. 외부에서 자체 HTTP 웹 서버를 사용하는 경우 Comodo 또는 Symantec과 같은 신뢰할 수 있는 타사 인증 기관 (CA) 에서 서명한 인증서를 사용해야 합니다. AWSDigiCert 자체 웹 서버 간 통신을 위해 HTTPS를 요구하는 방법에 대한 자세한 내용은 Amazon CloudFront 개발자 안내서의 사용자 지정 CloudFront 오리진과 사용자 지정 오리진 간의 CloudFront 통신을 위한 HTTPS 요구 항목을 참조하십시오.

시청자와 사용자 간에 HTTPS를 요구합니다. CloudFront

최종 사용자 CloudFront 간에 HTTPS를 요구하려면 배포에서 하나 이상의 캐시 동작에 대한 뷰어 프로토콜 정책을 변경할 수 있습니다. CloudFront 최종 사용자와 최종 사용자 간 HTTPS 사용에 대한 자세한 내용은 Amazon CloudFront 개발자 안내서의 “최종 사용자 간 통신을 위한 HTTPS 필요” 주제를 참조하십시오. CloudFront CloudFront 또한 자체 SSL 인증서를 가져와서 시청자가 자신의 도메인 이름 (예: https://www.mysite.com) 을 사용하여 HTTPS를 통해 CloudFront 배포에 연결할 수 있도록 할 수도 있습니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 대체 도메인 이름 및 HTTPS 구성 항목을 참조하십시오.

CloudFront가 응답하는 HTTP 메서드 선택

Amazon CloudFront 웹 배포를 생성할 때 처리하고 오리진에 CloudFront 전달하려는 HTTP 메서드를 선택합니다. 다음 옵션 중에서 선택할 수 있습니다.

  • GET, HEAD — 오리진에서 객체를 가져오거나 객체 헤더를 가져오는 CloudFront 데만 사용할 수 있습니다.

  • GET,HEAD, OPTIONS — 오리진에서 객체를 가져오거나, 객체 헤더를 가져오거나, 오리진 서버가 지원하는 옵션 목록을 검색하는 CloudFront 데만 사용할 수 있습니다.

  • GET,HEAD,OPTIONS,PUT, POSTPATCH, DELETE — 객체를 가져오고, 추가하고, 업데이트하고, 삭제하고, 객체 헤더를 가져오는 CloudFront 데 사용할 수 있습니다. 또한 웹 양식에서 데이터를 제출하는 등의 기타 POST 작업을 수행할 수 있습니다.

에 설명된 대로 AWS WAF 바이트 일치 규칙 문을 사용하여 HTTP 메서드에 따라 요청을 허용하거나 차단할 수도 있습니다. 문자열 일치 규칙 문 GET및 와 HEAD 같이 CloudFront 지원하는 메서드를 조합하여 사용하려는 경우 다른 방법을 사용하는 요청을 AWS WAF 차단하도록 구성하지 않아도 됩니다. , GETHEAD, 같이 CloudFront 지원하지 않는 메서드의 조합을 허용하려면 모든 메서드에 CloudFront 응답하도록 구성한 다음 를 사용하여 다른 방법을 사용하는 요청을 AWS WAF 차단할 수 있습니다. POST

CloudFront 응답하는 메서드를 선택하는 방법에 대한 자세한 내용은 Amazon CloudFront Developer Guide의 웹 배포를 만들거나 업데이트할 때 지정하는 값 항목의 허용된 HTTP 메서드를 참조하십시오.