你可以用来保护的资源 AWS WAF

您可以使用 AWS WAF Web ACL 来保护全球或区域资源类型。为此，您可以将 Web ACL 与要保护的资源关联起来。Web ACL 及其使用的任何 AWS WAF 资源都必须位于关联资源所在的区域。对于 Amazon CloudFront 分配，设置为美国东部（弗吉尼亚北部）。

亚马逊配 CloudFront 送

您可以使用 AWS WAF 控制台或 API 将 AWS WAF Web ACL 与 CloudFront 分配相关联。在创建或更新 CloudFront 分配本身时，也可以将 Web ACL 与分配相关联。要在中配置关联 AWS CloudFormation，必须使用 CloudFront 分发配置。有关亚马逊的信息 CloudFront，请参阅《亚马逊 CloudFront 开发者指南》中的 “使用 AWS WAF 来控制对您的内容的访问权限”。

AWS WAF 可在全球范围内 CloudFront 分发，但您必须使用美国东部区域（弗吉尼亚北部）来创建 Web ACL 和 Web ACL 中使用的任何资源，例如规则组、IP 集和正则表达式模式集。有些接口提供了 “全局 (CloudFront)” 的区域选择。选择此选项等同于选择美国东部（弗吉尼亚州北部）地区或“us-east-1”。

区域性资源

您可以保护所有可用区域的 AWS WAF 区域资源。您可以参阅 Amazon Web Services 一般参考 中的 AWS WAF 端点和限额。

您可以使用 AWS WAF 保护以下区域资源类型：

• Amazon API Gateway REST API

• 应用程序负载均衡器

• AWS AppSync GraphQL API

• Amazon Cognito 用户池

• AWS App Runner 服务

• AWS 已验证访问实例

您只能将 Web ACL 关联到 AWS 区域中的应用程序负载均衡器。例如，您无法将 Web ACL 关联到 AWS Outposts上的应用程序负载均衡器。

Web ACL 及其使用的任何其他 AWS WAF 资源必须与受保护资源位于同一区域。在监控和管理受保护区域资源的 Web 请求时，请 AWS WAF 将所有数据与受保护资源保存在同一个区域。

对多重资源关联的限制

您可以将单个 Web ACL 与一个或多个 AWS 资源关联，但有以下限制：

• 每个 AWS 资源只能与一个 Web ACL 关联。Web ACL 和 AWS 资源之间的关系是 one-to-many。

• 您可以将 Web ACL 与一个或多个 CloudFront 分配相关联。您不能将已与 CloudFront 分配关联的 Web ACL 与任何其他 AWS 资源类型相关联。