O uso do AWS WAF com a Amazon CloudFront - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
O uso do AWS WAF com páginas de erro CloudFront personalizadasO uso do AWS WAF com CloudFront para aplicativos executados em seu próprio HTTP servidorEscolhendo os HTTP métodos que CloudFront respondem a

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O uso do AWS WAF com a Amazon CloudFront

Esta seção explica como usar AWS WAF com CloudFront recursos da Amazon.

Ao criar uma webACL, você pode especificar uma ou mais CloudFront distribuições desejadas AWS WAF para inspecionar. AWS WAF começa a inspecionar e gerenciar solicitações da web para essas distribuições com base nos critérios que você identifica na web. ACL CloudFront fornece alguns recursos que aprimoram o AWS WAF funcionalidade. Este capítulo descreve algumas maneiras que você pode configurar CloudFront para fazer CloudFront e AWS WAF trabalhem melhor juntos.

O uso do AWS WAF com páginas de erro CloudFront personalizadas

Por padrão, quando AWS WAF bloqueia uma solicitação da web com base nos critérios que você especifica, ela retorna HTTP o código de status 403 (Forbidden) para CloudFront e CloudFront retorna esse código de status para o visualizador. O visualizador, em seguida, exibirá uma breve mensagem padrão esparsamente formatada, semelhante à seguinte:

Forbidden: You don't have permission to access /myfilename.html on this server.

Você pode substituir esse comportamento em seu AWS WAF ACLregras da web definindo respostas personalizadas. Para obter mais informações sobre como personalizar o comportamento de resposta usando AWS WAF regras, vejaEnviando respostas personalizadas para Block actions.

nota

Respostas que você personaliza usando AWS WAF as regras têm precedência sobre qualquer especificação de resposta que você define nas páginas de erro CloudFront personalizadas.

Se você preferir exibir uma mensagem de erro personalizada CloudFront, possivelmente usando a mesma formatação do resto do seu site, você pode configurar CloudFront para retornar ao visualizador um objeto (por exemplo, um HTML arquivo) que contém sua mensagem de erro personalizada.

nota

CloudFront não consigo distinguir entre um código de HTTP status 403 que é retornado por sua origem e um que é retornado por AWS WAF quando uma solicitação é bloqueada. Isso significa que você não pode retornar páginas de erro personalizadas diferentes com base nas diferentes causas de um código de HTTP status 403.

Para obter mais informações sobre páginas de erro CloudFront personalizadas, consulte Geração de respostas de erro personalizadas no Amazon CloudFront Developer Guide.

O uso do AWS WAF com CloudFront para aplicativos executados em seu próprio HTTP servidor

Quando você usa AWS WAF com CloudFront, você pode proteger seus aplicativos em execução em qualquer HTTP servidor web, seja um servidor web executado no Amazon Elastic Compute Cloud (AmazonEC2) ou um servidor web que você gerencia de forma privada. Você também pode configurar CloudFront para exigir HTTPS entre CloudFront e seu próprio servidor web, bem como entre visualizadores e. CloudFront

Exigindo HTTPS entre CloudFront e seu próprio servidor web

Para solicitar HTTPS entre CloudFront e seu próprio servidor web, você pode usar o recurso de origem CloudFront personalizada e definir a Política de Protocolo de Origem e as configurações do Nome de Domínio de Origem para origens específicas. Na sua CloudFront configuração, você pode especificar o DNS nome do servidor junto com a porta e o protocolo que você deseja usar CloudFront ao buscar objetos da sua origem. Você também deve garantir que o TLS certificadoSSL/em seu servidor de origem personalizado corresponda ao nome de domínio de origem que você configurou. Quando você usa seu próprio HTTP servidor web fora do AWS, você deve usar um certificado assinado por uma autoridade de certificação (CA) terceirizada confiável, por exemplo DigiCert, Comodo ou Symantec. Para obter mais informações sobre a HTTPS necessidade de comunicação entre CloudFront e seu próprio servidor web, consulte o tópico Exigência HTTPS de comunicação entre CloudFront e sua origem personalizada no Amazon CloudFront Developer Guide.

Exigindo HTTPS entre um espectador e CloudFront

Para exigir HTTPS entre visualizadores e CloudFront, você pode alterar a Política de Protocolo do Visualizador para um ou mais comportamentos de cache em sua CloudFront distribuição. Para obter mais informações sobre o uso HTTPS entre espectadores e CloudFront, consulte o tópico Exigência HTTPS de comunicação entre espectadores e CloudFront no Amazon CloudFront Developer Guide. Você também pode trazer seu próprio SSL certificado para que os espectadores possam se conectar à sua CloudFront distribuição HTTPS usando seu próprio nome de domínio, por exemplo https://www.mysite.com. Para obter mais informações, consulte o tópico Configurando nomes de domínio alternativos e HTTPS no Amazon CloudFront Developer Guide.

Escolhendo os HTTP métodos que CloudFront respondem a

Ao criar uma distribuição CloudFront web da Amazon, você escolhe os HTTP métodos que deseja CloudFront processar e encaminhar para sua origem. Você pode escolher entre as seguintes opções:

  • GET, HEAD — Você pode usar CloudFront somente para obter objetos de sua origem ou para obter cabeçalhos de objetos.

  • GET,HEAD, OPTIONS — Você pode usar CloudFront somente para obter objetos da sua origem, obter cabeçalhos de objetos ou recuperar uma lista das opções suportadas pelo seu servidor de origem.

  • GET,HEAD,OPTIONS,PUT,POST,PATCH, DELETE — Você pode usar CloudFront para obter, adicionar, atualizar e excluir objetos e para obter cabeçalhos de objetos. Além disso, você pode executar outras operações de POST, como enviar dados de um formulário da web.

Você também pode usar o AWS WAF instruções de regra de correspondência de bytes para permitir ou bloquear solicitações com base no HTTP método, conforme descrito emInstrução de regra de correspondência de string. Se você quiser usar uma combinação de métodos que CloudFront ofereça suporteHEAD, como GET e, não será necessário configurar AWS WAF para bloquear solicitações que usam os outros métodos. Se você quiser permitir uma combinação de métodos que CloudFront não oferece suporte, como,, e GET HEADPOST, você pode configurar CloudFront para responder a todos os métodos e, em seguida, usar AWS WAF para bloquear solicitações que usam outros métodos.

Para obter mais informações sobre como escolher os métodos que CloudFront respondem, consulte HTTPMétodos permitidos no tópico Valores que você especifica ao criar ou atualizar uma distribuição na Web no Amazon CloudFront Developer Guide.