Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Eine AWS WAF Web-ACL mit Ihrem Service verknüpfen

PDF
Fokusmodus
Eine AWS WAF Web-ACL mit Ihrem Service verknüpfen - AWS App Runner
Ablauf eingehender WebanfragenWAF-Web mit Ihrem App ACLs Runner-Dienst verknüpfenÜberlegungenBerechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS WAF ist eine Firewall für Webanwendungen, mit der Sie Ihren App Runner-Dienst sichern können. Mit AWS WAF Web-Zugriffskontrolllisten (Web ACLs) können Sie Ihre App Runner-Dienstendpunkte vor gängigen Web-Exploits und unerwünschten Bots schützen.

Eine Web-ACL bietet Ihnen eine detaillierte Kontrolle über alle eingehenden Webanfragen an Ihren App Runner-Dienst. Sie können in einer Web-ACL Regeln definieren, um den Webverkehr zuzulassen, zu blockieren oder zu überwachen, um sicherzustellen, dass nur autorisierte und legitime Anfragen Ihre Webanwendungen erreichen und. APIs Sie können die Web-ACL-Regeln an Ihre spezifischen Geschäfts- und Sicherheitsanforderungen anpassen. Weitere Informationen zur Infrastruktursicherheit und zu bewährten Methoden für die Netzwerkanwendung ACLs finden Sie unter Steuern des Netzwerkverkehrs im Amazon VPC-Benutzerhandbuch.

Wichtig

Quell-IP-Regeln für private App Runner-Services, die mit dem WAF-Web verknüpft sind, entsprechen ACLs nicht den IP-basierten Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF Web verwenden. ACLs

Ablauf eingehender Webanfragen

Wenn eine AWS WAF Web-ACL einem App Runner-Dienst zugeordnet ist, durchlaufen eingehende Webanfragen den folgenden Prozess:

  1. App Runner leitet den Inhalt der ursprünglichen Anfrage an AWS WAF weiter.

  2. AWS WAF untersucht die Anfrage und vergleicht ihren Inhalt mit den Regeln, die Sie in Ihrer Web-ACL angegeben haben.

  3. AWS WAF Gibt auf der Grundlage der Prüfung eine block Oder-Antwort an allow App Runner zurück.

    • Wenn eine allow Antwort zurückgegeben wird, leitet App Runner die Anfrage an Ihre Anwendung weiter.

    • Wenn eine block Antwort zurückgegeben wird, blockiert App Runner, dass die Anfrage Ihre Webanwendung erreicht. Es leitet die block Antwort von AWS WAF an Ihre Anwendung weiter.

      Anmerkung

      Standardmäßig blockiert App Runner die Anfrage, wenn keine Antwort von AWS WAF zurückgegeben wird.

Weitere Informationen zum AWS WAF Web ACLs finden Sie unter Web Access Control Lists (Web ACLs) im AWS WAF Developer Guide.

Anmerkung

Sie zahlen den AWS WAF Standardpreis. Für die Nutzung des AWS WAF Internets ACLs für Ihre App Runner-Dienste fallen keine zusätzlichen Kosten an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS WAF Preise.

WAF-Web mit Ihrem App ACLs Runner-Dienst verknüpfen

Im Folgenden finden Sie den allgemeinen Prozess zur Verknüpfung einer AWS WAF Web-ACL mit Ihrem App Runner-Dienst:

  1. Erstellen Sie eine Web-ACL in der AWS WAF Konsole. Weitere Informationen finden Sie unter Erstellen einer Web-ACL im AWS WAF Entwicklerhandbuch.

  2. Aktualisieren Sie Ihre AWS Identity and Access Management (IAM-) Berechtigungen für AWS WAF. Weitere Informationen finden Sie unter -Berechtigungen.

  3. Ordnen Sie die Web-ACL mithilfe einer der folgenden Methoden dem App Runner-Dienst zu:

Überlegungen

  • Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, entsprechen ACLs nicht den IP-basierten Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF Web verwenden. ACLs

  • Ein App Runner-Dienst kann nur einer Web-ACL zugeordnet werden. Sie können jedoch eine Web-ACL mehreren App Runner-Diensten und mehreren AWS Ressourcen zuordnen. Beispiele hierfür sind Amazon Cognito Cognito-Benutzerpools und Application Load Balancer Balancer-Ressourcen.

  • Wenn Sie eine Web-ACL erstellen, vergeht eine kurze Zeit, bis die Web-ACL vollständig verbreitet ist und App Runner zur Verfügung steht. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. AWS WAF gibt a zurückWAFUnavailableEntityException, wenn Sie versuchen, eine Web-ACL zuzuordnen, bevor sie vollständig weitergegeben wurde.

    Wenn Sie den Browser aktualisieren oder die App Runner-Konsole verlassen, bevor die Web-ACL vollständig weitergegeben wurde, schlägt die Zuordnung fehl. Sie können jedoch innerhalb der App Runner-Konsole navigieren.

  • AWS WAF gibt einen WAFNonexistentItemException Fehler zurück, wenn Sie eine der folgenden Optionen AWS WAF APIs für einen App Runner-Dienst aufrufen, der sich in einem ungültigen Zustand befindet:

    • AssociateWebACL

    • DisassociateWebACL

    • GetWebACLForResource

    Zu den ungültigen Status für Ihren App Runner-Dienst gehören:

    • CREATE_FAILED

    • DELETE_FAILED

    • DELETED

    • OPERATION_IN_PROGRESS

      Anmerkung

      OPERATION_IN_PROGRESSDer Status ist nur dann ungültig, wenn Ihr App Runner-Dienst gelöscht wird.

  • Ihre Anfrage könnte zu einer Nutzlast führen, die die Grenzen dessen, was überprüft werden AWS WAF kann, überschreitet. Weitere Informationen zum Umgang AWS WAF mit übergroßen Anfragen von App Runner finden Sie unter Behandlung von übergroßen Anforderungskomponenten im AWS WAF Entwicklerhandbuch. Dort erfahren Sie, wie mit übergroßen Anfragen von App Runner AWS WAF umgegangen wird.

  • Wenn Sie keine geeigneten Regeln festlegen oder sich Ihre Datenverkehrsmuster ändern, ist eine Web-ACL möglicherweise nicht so effektiv, um Ihre Anwendung zu schützen.

Berechtigungen

Um mit einer Web-ACL zu arbeiten AWS App Runner, fügen Sie die folgenden IAM-Berechtigungen hinzu für AWS WAF:

  • apprunner:ListAssociatedServicesForWebAcl

  • apprunner:DescribeWebAclForService

  • apprunner:AssociateWebAcl

  • apprunner:DisassociateWebAcl

Weitere Informationen zu IAM-Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für die aktualisierte IAM-Richtlinie für. AWS WAF Diese IAM-Richtlinie beinhaltet die erforderlichen Berechtigungen für die Arbeit mit einem App Runner-Dienst.

{
  {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "wafv2:ListResourcesForWebACL",
            "wafv2:GetWebACLForResource",
            "wafv2:AssociateWebACL",
            "wafv2:DisassociateWebACL",
            "apprunner:ListAssociatedServicesForWebAcl",
            "apprunner:DescribeWebAclForService",
            "apprunner:AssociateWebAcl",
            "apprunner:DisassociateWebAcl"
         ],
         "Resource":"*"
      }
   ]
}
Anmerkung

Auch wenn Sie IAM-Berechtigungen erteilen müssen, sind die aufgelisteten Aktionen nur für Berechtigungen bestimmt und entsprechen keiner API-Operation.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.