Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront

Lesen Sie diesen Abschnitt, wenn Sie Ihre Web-ACL einem Application Load Balancer zuordnen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen.

Bei dieser Architektur müssen Sie die folgende zusätzliche Konfiguration bereitstellen, damit die Token-Informationen korrekt verarbeitet werden.

  • Konfigurieren Sie CloudFront , dass das aws-waf-token Cookie an den Application Load Balancer weitergeleitet wird. CloudFront Entfernt standardmäßig Cookies aus der Webanfrage, bevor sie an den Ursprung weitergeleitet wird. Um das Token-Cookie zusammen mit der Webanforderung beizubehalten, konfigurieren Sie das CloudFront Cache-Verhalten so, dass entweder nur das Token-Cookie oder alle Cookies enthalten sind. Informationen dazu, wie Sie dies tun können, finden Sie im Amazon CloudFront Developer Guide unter Zwischenspeichern von Inhalten auf Basis von Cookies.

  • Konfigurieren Sie es AWS WAF so, dass die Domain der CloudFront Distribution als gültige Token-Domain erkannt wird. CloudFront Setzt den Host Header standardmäßig auf den Application Load Balancer Balancer-Ursprung und AWS WAF verwendet diesen als Domäne der geschützten Ressource. Der Client-Browser betrachtet die CloudFront Distribution jedoch als Hostdomäne, und Token, die für den Client generiert werden, verwenden die CloudFront Domäne als Tokendomäne. Wenn die geschützte Ressourcendomäne mit AWS WAF der Tokendomäne verglichen wird, kommt es ohne zusätzliche Konfiguration zu einer Diskrepanz. Um dieses Problem zu beheben, fügen Sie den Namen der CloudFront Distributionsdomäne zur Liste der Tokendomänen in Ihrer Web-ACL-Konfiguration hinzu. Weitere Informationen über die entsprechende Vorgehensweise finden Sie unter AWS WAF Konfiguration der ACL Web-Token-Domainliste.