Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden AWS WAF mit Amazon CloudFront
Erfahren Sie, wie Sie die CloudFront Funktionen von Amazon verwenden AWS WAF können.
Wenn Sie ein Schutzpaket (Web-ACL) erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie überprüfen AWS WAF möchten. CloudFront unterstützt zwei Arten von Verteilungen: Standardverteilungen, die einzelne Mandanten schützen, und Mehrmandantenverteilungen, die mehrere Mandanten über eine einzige, gemeinsam genutzte Konfigurationsvorlage schützen. AWS WAF überprüft Webanfragen für beide Verteilungstypen auf der Grundlage der Regeln, die Sie in Ihren Schutzpaketen (Web-ACLs) definieren, mit unterschiedlichen Implementierungsmustern für jeden Typ.
Themen
Wie AWS WAF funktioniert mit unterschiedlichen Verteilungstypen
Verteilungstypen
AWS WAF bietet Firewall-Funktionen für Webanwendungen sowohl für Standard- als auch für Mehrmandantenverteilungen. CloudFront
Standardverteilungen
Fügt bei Standardverteilungen Schutz AWS WAF hinzu, indem für jede Distribution ein einziges Schutzpaket (Web-ACL) verwendet wird. Sie können diesen Schutz aktivieren, indem Sie ein vorhandenes Schutzpaket (Web-ACL) einer CloudFront Distribution zuordnen oder indem Sie den Ein-Klick-Schutz in der Konsole verwenden. CloudFront Auf diese Weise können Sie die Sicherheitskontrollen für jede Ihrer Distributionen unabhängig voneinander verwalten, da sich alle Änderungen an einem Schutzpaket (Web-ACL) nur auf die zugehörige Distribution auswirken.
Diese einfache Methode zum Schutz von CloudFront Distributionen ist optimal, um einzelnen Domänen mit einem einzigen Schutzpaket (Web-ACL) spezifische Schutzmaßnahmen zu bieten.
Überlegungen zur Standardverteilung
-
Änderungen an einem Schutzpaket (Web-ACL) wirken sich nur auf die zugehörige Distribution aus
-
Für jede Distribution ist eine unabhängige Konfiguration des Protection Packs (Web-ACL) erforderlich
-
Regeln und Regelgruppen werden für jede Distribution separat verwaltet
Multi-tenant Verteilungen
AWS WAF Fügt bei Distributionen mit mehreren Mandanten mithilfe eines einzigen Schutzpakets (Web-ACL) Schutz für mehrere Domänen hinzu. Domänen, die von Mehrmandantenverteilungen verwaltet werden, werden als Verteilungsmandanten bezeichnet. Sie können den AWS WAF Schutz für Mehrmandantenverteilungen nur in der CloudFront Konsole aktivieren, entweder während oder nach der Erstellung der Mehrmandantenverteilung. Änderungen an einem Schutzpaket (Web-ACL) werden jedoch weiterhin über die AWS WAF Konsole oder API verwaltet.
Multi-tenant Distributionen bieten die Flexibilität, AWS WAF Schutzmaßnahmen auf zwei Ebenen zu aktivieren:
-
Multi-tenant Verteilungsebene — Assoziierte Schutzpakete (Web-ACLs) bieten grundlegende Sicherheitskontrollen, die für alle Anwendungen gelten, die diese Distribution gemeinsam nutzen
-
Verteilungsmandantenebene — Einzelne Mandanten innerhalb einer Mehrmandantenverteilung können über eigene Schutzpakete (Web-ACLs) verfügen, um zusätzliche Sicherheitskontrollen zu implementieren oder die Einstellungen für die Mehrmandantenverteilung außer Kraft zu setzen
Durch diese beiden Stufen eignen sich Mehrmandantenverteilungen optimal für die gemeinsame Nutzung von AWS WAF Schutzmaßnahmen über mehrere Domänen hinweg, ohne dass die Möglichkeit verloren geht, die Sicherheit für eine einzelne Verteilung individuell anzupassen.
Multi-tenant Überlegungen zur Verteilung
-
Einzelne Distributionsmandanten übernehmen Änderungen, die an Schutzpaketen (Web-ACLs) vorgenommen wurden, die mit verwandten Mehrmandantenverteilungen verknüpft sind
-
Die Schutzpakete (Web-ACLs), die bestimmten Verteilungsmandanten zugeordnet sind, können Einstellungen außer Kraft setzen, die auf der Ebene des Multi-Tenant Protection Packs (Web-ACL) konfiguriert wurden
-
Verwaltete Regelgruppen können sowohl auf Verteilungs- als auch auf Verteilungsmandantenebene implementiert werden
-
Anwendungskennungen können in Protokollen gespeichert werden, um Sicherheitsereignisse nach Verteilung nachzuverfolgen
AWS WAF Funktionen nach Verteilungstyp
| AWS WAF Funktion | Standardverteilungen | Multi-tenant Verteilungen |
|---|---|---|
| Zuordnen von Schutzpaketen (Web-ACLs) | Ein Schutzpaket (Web-ACL) pro Distribution | Sie können Schutzpakete (Web-ACLs) mandantenübergreifend gemeinsam nutzen, wobei optionale mandantenspezifische Schutzpakete (Web-ACLs) erhältlich sind |
| Verwaltung von Regeln | Regeln wirken sich auf eine einzelne Verteilung aus | Multi-tenant Verteilungsregeln wirken sich auf alle zugehörigen Mandanten aus; verteilungsmandantenspezifische Regeln wirken sich nur auf diesen Mandanten aus |
| Verwaltete Regelgruppen | Wird auf einzelne Verteilungen angewendet | Kann auf Verteilungsebene für mehrere Mandanten für alle Mandanten oder auf Mandantenebene für bestimmte Anwendungen angewendet werden |
| Protokollierung | Standardprotokolle AWS WAF | Die Protokolle enthalten Mandantenkennungen für die Zuordnung von Sicherheitsereignissen |
Verwenden AWS WAF mit Preisplänen CloudFront Flat-Rate
CloudFront Pauschalpreise kombinieren das Amazon CloudFront Global Content Delivery Network (CDN) mit mehreren AWS-Services Funktionen zu einem monatlichen Preis ohne zusätzliche Gebühren, unabhängig von Traffic-Spitzen oder Angriffen.
Flat-rate Die Preispläne beinhalten Folgendes AWS-Services und Funktionen zu einem einfachen monatlichen Preis:
-
CloudFront CDN
-
AWS WAF und DDoS-Schutz
-
Bot-Management und Analytik
-
Amazon Route 53 DNS
-
Amazon CloudWatch protokolliert die Aufnahme
-
TLS-Zertifikat
-
Serverloses Edge-Computing
-
Amazon S3 S3-Speicherguthaben pro Monat
Die Tarife sind in den Tarifen Free, Pro, Business und Premium erhältlich, um den Anforderungen Ihrer Anwendung gerecht zu werden. Für die Tarife ist kein jährliches Abonnement erforderlich, um die besten verfügbaren Tarife zu erhalten. Beginnen Sie mit dem kostenlosen Tarif und führen Sie ein Upgrade durch, um auf mehr Funktionen und größere Nutzungsrechte zuzugreifen.
Weitere Informationen und eine vollständige Liste der Pläne und Funktionen finden Sie unter CloudFront Pauschalpreise im Amazon CloudFront Developer Guide.
Wichtig
Wenn Sie einen beliebigen Preisplan verwenden, muss Ihrer CloudFront Distribution weiterhin ein gültiges AWS WAF Schutzpaket (Web-ACL) zugeordnet sein. Sie können die Zuordnung des Schutzpakets (Web-ACL) nicht entfernen, es sei denn, Sie kehren zur nutzungsabhängigen Preisgestaltung zurück.
Eine AWS WAF Web-ACL muss zwar mit Ihrer Distribution verknüpft bleiben, Sie behalten jedoch die volle Kontrolle über Ihre Sicherheitskonfiguration. Sie können Ihren Schutz individuell anpassen, indem Sie anpassen, welche Regeln in Ihrer Web-ACL aktiviert oder deaktiviert sind, und die Regeleinstellungen an Ihre Sicherheitsanforderungen anpassen. Informationen zur Verwaltung von Web-ACL-Regeln finden Sie unter AWS WAF Regeln.
Monetarisierung von KI-Verkehr mit CloudFront
Die Monetarisierung des KI-Datenverkehrs ist ausschließlich für AWS WAF Web-ACL-Ressourcen verfügbar, die mit CloudFront Amazon-Distributionen verknüpft sind. Die Überprüfung und Abrechnung von Zahlungen erfolgt an CloudFront Edge-Standorten, wodurch die Latenz für Agenten auf der ganzen Welt minimiert wird.
Überlegungen zur Verwendung von KI Traffic Monetarization mit CloudFront Funktionen und Lambda @Edge
Wenn Sie CloudFront Functions oder Lambda @Edge mit Verteilungen verwenden, die Monetarisierungsregeln enthalten AWS WAF, beachten Sie das folgende Verhalten für -generierte Antworten. AWS WAF
AWS WAF-generierte Antworten (402 Herausforderung „Zahlung erforderlich“)
Viewer-response function (CloudFront Functions und Lambda @Edge) läuft nicht auf einer AWS WAF-generierten 402-Antwort. Sie können diese Funktionen nicht verwenden, um die Payment Required Challenge anzupassen. Sie können ihr auch keine Überschriften hinzufügen oder sie ändern. Wenn Sie 402 Antworten benutzerdefinierte Header hinzufügen müssen (z. B. CORS- oder Analytics-Header), verwenden Sie stattdessen eine Response-Header-Richtlinie. Die Richtlinien für Antwort-Header gelten für -generierte Antworten. AWS WAF
Weitere Informationen zu CloudFront Funktionen und Richtlinien für Antwort-Header finden Sie im Folgenden:
-
Viewer-response Funktionen laufen nicht auf HTTP-Statuscodes 400 und höher. Weitere Informationen zu Einschränkungen von Edge-Funktionen finden Sie unter HTTP-Statuscodes.
-
Weitere Informationen zu Antwort-Header-Richtlinien finden Sie unter Grundlegendes zu Antwort-Header-Richtlinien.
Bezahlte Antworten (200 nach Abrechnung)
Nach erfolgreicher Zahlungsabwicklung durchläuft die ursprüngliche Antwort die normale Antwortpipeline, einschließlich der CloudFront Antwortfunktion für Zuschauer. Eine Zuschauer-Antwort-Funktion kann die Antwort ändern, die der Agent nach der Zahlung erhält. Sie kann beispielsweise den Statuscode ändern oder Header entfernen.
Monetarisierung des KI-Verkehrs mit CloudFront
Die Monetarisierung von KI-Verkehr ist ausschließlich für Web-ACLs verfügbar, die mit Amazon-Distributionen verknüpft sind. CloudFront Die Zahlungsverifizierung und die Ausgabe von Zugriffstoken erfolgen an CloudFront Edge-Standorten, wodurch die Latenz für Agenten auf der ganzen Welt minimiert wird.
Warum nur CloudFront
Monetarisierung erfordert:
Edge-native Zahlungsverifizierung — Zahlungsnachweise werden vor Ort verifiziert, ohne dass der Kunde zum Ausgangspunkt zurückgeschickt werden muss.
Weltweite Token-Ausgabe — Zugriffstoken mit begrenztem Geltungsbereich werden am Edge ausgegeben und von allen Edge-Standorten, die dieselbe Verteilung anbieten, akzeptiert.
Generierung von Preismanifesten — Die 402-Antwort mit Preisdetails wird am Netzwerkrand generiert, sodass der Datenfluss unter dem Latenzziel für Machine-to-Machine-Zahlungsprotokolle bleibt.
Regionale Web-ACLs (Application Load Balancer,,, Cognito, App Runner, Verified Access) unterstützen die Aktion Monetize nicht. Wenn eine Monetarisierungsregel auf einer regionalen Web-ACL konfiguriert ist, wird die Regel übersprungen und die Anfrage wird mit der nächsten Regel fortgesetzt.
Verhalten im Cache bei monetarisiertem Inhalt
Monetarisierte Ressourcen erfordern eine spezielle Cache-Konfiguration, um zu verhindern, dass der kostenpflichtige Zugriff eines Agenten zwischengespeicherte Inhalte an einen anderen Agenten weiterleitet.
Empfohlene Cache-Einstellungen für monetarisierte Pfade:
| Einstellung | Wert | Grund |
|---|---|---|
| Cache-Richtlinie | CachingDisabled oder benutzerdefiniert | Verhindert die gemeinsame Nutzung des Caches durch mehrere Agenten |
| Ursprungsanforderungsrichtlinie | Include X-Agent-Id und Header X-Access-Token | Ermöglicht Origin, agentenspezifische Token zu validieren |
| TTL | 0 (oder kurz, je nach Aktualitätsanforderungen des Inhalts) | Stellt sicher, dass jede Agentenanfrage bewertet wird von AWS WAF |
Wenn Sie aus Leistungsgründen Caching benötigen, konfigurieren Sie einen Cache-Schlüssel pro Agent:
Fügen Sie
X-Agent-Iddem Cache-Schlüssel mithilfe einer benutzerdefinierten Cache-Richtlinie etwas hinzu.Dadurch wird sichergestellt, dass jeder Agent nach der Zahlung seine eigene zwischengespeicherte Kopie erhält, ohne dass kostenpflichtige Inhalte an andere Agenten weitergegeben werden.
Wichtig
Wenn Sie das Caching ohne Cache-Schlüssel pro Agent aktivieren, kann es sein, dass eine bezahlte Antwort ohne Zahlungsbestätigung vom Cache an nachfolgende Agenten gesendet wird. Nehmen Sie bei monetarisierten Pfaden immer die Agentenidentität in den Cache-Schlüssel auf.
Eigenschaften der Latenz
| Phase | Typische Latenz | Hinweise |
|---|---|---|
| Klassifizierung + Generation 402 | <10 ms | Läuft am Rand inline |
| Zahlungsbestätigung | <30 ms | Die Beweisvalidierung erfolgt kryptografisch, kein externer Anruf |
| Ausgabe von Tokens und Abruf der Herkunft | Standardlatenz CloudFront | Entspricht einer normalen Anfrage |
| Summe zusätzlicher Gemeinkosten | <50 ms | Liegt über der Standardlatenz bei Anfragen |
CloudFront Konfiguration der Verteilung
Für die Monetarisierung sind keine Änderungen an Ihren CloudFront Vertriebseinstellungen erforderlich. Die Funktion wird vollständig über die AWS WAF Web-ACL und die Konfiguration des Protection Packs gesteuert.
Stellen Sie Folgendes sicher:
Web-ACL-Zuordnung — Ihrer Distribution muss eine AWS WAF Web-ACL mit Bot Control und einer Monetarisierungsregel verknüpft sein.
Origin-Response-Header — Wenn Ihr Origin
Cache-ControlHeader festlegt, stellen Sie sicher, dass diese nicht mit der Caching-Strategie pro Agent für monetarisierte Pfade kollidieren.Benutzerdefinierte Fehlerseiten — CloudFront benutzerdefinierte Fehlerseiten für 4xx-Antworten gelten nicht für -generierte 402-Antworten. AWS WAF Das Preisverzeichnis wird direkt von zugestellt. AWS WAF