將 Verified Access 與 整合 AWS WAF - AWS 已驗證的存取
所需的 IAM 許可關聯 AWS WAF Web ACL檢查關聯的狀態取消與 AWS WAF Web ACL 的關聯

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Verified Access 與 整合 AWS WAF

除了 Verified Access 強制執行的身分驗證和授權規則之外,您可能也想要套用周邊保護。這可協助您保護您的應用程式免受其他威脅。您可以將 整合 AWS WAF 到 Verified Access 部署中來完成此操作。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送至受保護 Web 應用程式資源的 HTTP 請求。如需詳細資訊,請參閱《AWS WAF 開發人員指南》

您可以將 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體建立關聯,藉此 AWS WAF 與 Verified Access 整合。Web ACL 是一種 AWS WAF 資源,可讓您精細控制受保護資源回應的所有 HTTP Web 請求。處理 AWS WAF 關聯或取消關聯請求時,連接到執行個體的任何 Verified Access 端點的狀態會顯示為 updating。請求完成後,狀態會傳回 active。您可以使用 描述端點,在 AWS Management Console 或 中檢視狀態 AWS CLI。

使用者身分信任提供者決定 何時 AWS WAF 檢查流量。如果您使用 IAM Identity Center, 會在使用者身分驗證之前 AWS WAF 檢查流量。如果您使用 OpenID Connect (OIDC) AWS WAF , 會在使用者身分驗證後檢查流量。

所需的 IAM 許可

AWS WAF 與 Verified Access 整合包含未直接對應至 API 操作的僅限許可動作。這些動作會在 的服務授權參考中 AWS Identity and Access Management 指出[permission only]。請參閱《服務授權參考》中的 Amazon EC2 的動作、資源和條件索引鍵

若要使用 Web ACL,您的 AWS Identity and Access Management 委託人必須具有下列許可。

  • ec2:AssociateVerifiedAccessInstanceWebAcl

  • ec2:DisassociateVerifiedAccessInstanceWebAcl

  • ec2:DescribeVerifiedAccessInstanceWebAclAssociations

  • ec2:GetVerifiedAccessInstanceWebAcl

關聯 AWS WAF Web ACL

下列步驟示範如何使用 Verified Access 主控台將 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體建立關聯。

先決條件

開始之前,請先建立 AWS WAF Web ACL。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的建立 Web ACL

將 AWS WAF Web ACL 與 Verified Access 執行個體建立關聯

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇已驗證存取執行個體

  3. 選取 Verified Access 執行個體。

  4. 選取整合索引標籤。

  5. 選擇動作,然後選擇關聯 Web ACL

  6. 針對 Web ACL,選擇現有的 Web ACL,然後選擇關聯 Web ACL

或者,您可以使用 AWS WAF 主控台。如果您使用 AWS WAF 主控台或 API,則需要 Verified Access 執行個體的 Amazon Resource Name (ARN)。AVA ARN 的格式如下:arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的將 Web ACL 與 AWS 資源建立關聯

檢查關聯的狀態

您可以使用 Verified Access 主控台,驗證 AWS WAF Web 存取控制清單 (ACL) 是否與 Verified Access 執行個體相關聯。

檢視與 Verified Access 執行個體 AWS WAF 整合的狀態

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇已驗證存取執行個體

  3. 選取 Verified Access 執行個體。

  4. 選取整合索引標籤。

  5. 檢查 WAF 整合狀態下列出的詳細資訊。如果處於關聯狀態,狀態會顯示為關聯或未關聯,以及 Web ACL 識別符。

取消與 AWS WAF Web ACL 的關聯

下列步驟示範如何使用 Verified Access 主控台取消 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體的關聯。

取消 AWS WAF Web ACL 與已驗證存取執行個體的關聯

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇已驗證存取執行個體

  3. 選取 Verified Access 執行個體。

  4. 選取整合索引標籤。

  5. 選擇動作,然後取消與 Web ACL 的關聯

  6. 選擇取消關聯 Web ACL 進行確認。

或者,您可以使用 AWS WAF 主控台。如需詳細資訊,請參閱《 開發人員指南》中的取消 Web ACL 與 AWS 資源的關聯AWS WAF