本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在允許和拒絕的 IP 集上設定 AWS WAF IP 保留
您可以在解決方案建立的允許和拒絕 IP 集上設定 AWS WAF IP 保留。下列各節說明運作方式,並提供設定步驟。
運作方式
允許和拒絕 IP 集的 WAF IP 保留
-
當使用者更新 (新增或刪除 IP 地址) 允許或拒絕的 WAF IP 集時,此動作會叫用
UpdateIPSetAPI呼叫 AWS WAF 並建立事件。 -
Amazon EventBridge
事件規則會根據預先定義的事件模式來偵測事件,並叫用 Lambda 函數來設定更新後存在於 IP 集中的所有 IP 地址的保留期。 -
Lambda 函數會處理事件、將相關資料擷取至 IP 保留 (例如 IP 集名稱、ID、範圍、IP 地址),並將其插入 DynamoDB 資料表。它也會為每個 DynamoDB 項目插入
ExpirationTime屬性。解決方案會將使用者定義的保留期間新增至事件時間,以計算過期時間。資料表已開啟 DynamoDB 串流和存留時間 (TTL)。TTL 屬性為ExpirationTime。 -
當項目達到其過期時間時, TTL 會叫用,而 DynamoDB 會在其過期時間後從資料表中刪除該項目。刪除項目時,已刪除的項目會新增至 DynamoDB 串流,該串流會叫用 Lambda 函數進行下游處理。
-
Lambda 函數會從 DynamoDB 串流取得已刪除項目的相關資訊, AWS WAF 並API呼叫 從目標 IP 集移除項目中包含的過期 AWS WAF IP 地址。
開啟 IP 保留
請依照下列步驟開啟 IP 保留:
-
在您部署或更新的 Cloudformation 堆疊中,輸入允許 IP 集的 IP 保留期 (分鐘) 和遭拒 IP 集的 IP 保留期 (分鐘)。最短保留期間為 15 分鐘。解決方案會將
0和 之間的任何數字15視為15。如需部署組態的詳細資訊,請參閱步驟 1。啟動堆疊。 -
如果您想要在 IP AWS WAF 集移除過期 IP 地址時收到電子郵件通知,請輸入電子郵件地址。如果您選擇接收電子郵件通知,則必須使用解決方案成功部署後所收到電子郵件中的連結來確認訂閱。如需部署組態的詳細資訊,請參閱步驟 1。啟動堆疊。
-
透過新增或刪除 AWS WAF IP 地址來更新 IP 集。這會啟動 IP 保留程序並建立 DynamoDB 項目,包括 IP 過期清單。此過期清單包含更新 IP 集之後存在於其中的 AWS WAF IP 地址。
-
當 DynamoDB 項目達到其過期時間並從資料表中刪除時,解決方案會從 IP 集刪除項目 IP 過期清單中包含的 WAF IP 地址。
注意
根據 DynamoDB 刪除 過期項目的時間TTL,過期 IP 地址的實際刪除操作 AWS WAF 可能會有所不同。DynamoDB TTL刪除主要取決於資料表的大小和活動層級。由於 DynamoDB AWS WAF 刪除操作可能延遲,預期刪除操作會延遲。一般而言,解決方案會在 DynamoDB 刪除後不久從 IP 集TTL刪除過期的 AWS WAF IP 地址。如需詳細資訊,請參閱《Amazon DynamoDB 開發人員指南》中的 DynamoDB 存留時間 (TTL)。 DynamoDB
