建立 Web ACL 與AWS資源的關聯或取消關聯 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Web ACL 與AWS資源的關聯或取消關聯

您可以使AWS WAF用在 Web ACL 和資源之間建立下列關聯:

  • 將地區 Web ACL 與以下列出的任何區域資源建立關聯。針對此選項,Web ACL 必須位在與您的資源相同的區域中。

    • Amazon API Gateway REST API

    • Application Load Balancer

    • AWS AppSyncGraphQL API

    • Amazon Cognito 使用者集區

  • 將全球網路 ACL 與亞馬遜 CloudFront 分發產生關聯。全域 Web ACL 會有一個硬式編碼區域,其為美國東部 (維吉尼亞北部) 區域。

您也可以在建立或更新 CloudFront 發佈本身時,將 Web ACL 與分佈相關聯。如需詳細資訊,請參閱 Amazon CloudFront 開發人員指南的使用AWS WAF控制對內容的存取。

有關多個關聯的限制

您可以根據下列限制,將單一 Web ACL 與一或多個 AWS 資源產生關聯:

  • 您只能將每個 AWS 資源與一個 Web ACL 產生關聯。Web ACL 和AWS資源之間的關係是 one-to-many。

  • 您可以將 Web ACL 與一個或多個 CloudFront 分佈建立關聯。您無法將已與 CloudFront 發佈關聯的 Web ACL 與任何其他AWS資源類型相關聯。

額外限制

下列其他限制適用於 Web ACL 關聯:

  • 您只能將 Web ACL 與中的應用程式負載平衡器相關聯AWS 區域。例如,您無法將 Web ACL 與開啟的 Application Load Balancer 相關聯AWS Outposts。

  • 您無法建立 Amazon Cognito 使用者集區與使用AWS WAF詐騙控制帳戶接管預防 (ATP) 受管規則群組的關聯AWSManagedRulesATPRuleSet。如需有關防止帳戶接管的資訊,請參閱AWS WAF防止欺詐控制帳戶接管(ATP)

生產流量風險

在為生產流量部署 Web ACL 之前,請在測試或測試環境中對其進行測試和調整,直到您熟悉流量的潛在影響為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。如需準則,請參閱測試和調整您的AWS WAF保護

將 Web ACL 與AWS資源建立關聯
  1. 請登入AWS Management Console並開啟AWS WAF主控台,網址為 https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,選擇 Web ACL

  3. 選擇您要與資源建立關聯的 Web ACL。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。

  4. 關聯的AWS資源標籤上,選擇新增AWS資源

  5. 出現提示時,選擇資源類型,選取您要關聯之資源旁邊的選項按鈕,然後選擇 Add (新增)。

解除 Web ACL 與AWS資源的關聯
  1. 請登入AWS Management Console並開啟AWS WAF主控台,網址為 https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,選擇 Web ACL

  3. 選擇您想要取消與資源關聯的 Web ACL。主控台會將您帶到 Web ACL 的描述,您可以在其中編輯它。

  4. 在 [關聯的AWS資源] 索引標籤上,選取要取消與此 Web ACL 關聯的資源,然後選擇 [取消關聯]。控制台打開一個確認對話框。確認您選擇取消 Web ACL 與AWS資源的關聯。