Configuración requerida para los equilibradores de carga de aplicaciones que tengan su origen en CloudFront
Lea esta sección si asocia su ACL web a un equilibrador de carga de aplicación e implementa el equilibrador de carga de aplicación como origen de una distribución de CloudFront.
Con esta arquitectura, debe proporcionar la siguiente configuración adicional para que la información del token se gestione correctamente.
Configure CloudFront para que reenvíe la
aws-waf-tokencookie al equilibrador de carga de aplicación. De manera predeterminada, CloudFront elimina las cookies de la solicitud de la web antes de reenviarla al origen. Para conservar la cookie de token con la solicitud web, configure el comportamiento de la caché de CloudFront para que incluya solo la cookie de token o todas las cookies. Para obtener información sobre esto, consulte Almacenamiento de contenido en caché basado en las cookies en la Guía para desarrolladores de Amazon CloudFront.Configure AWS WAF para que reconozca el dominio de la distribución de CloudFront como un dominio de token válido. De forma predeterminada, CloudFront establece el encabezado de
Hosten el origen del equilibrador de carga de aplicación y AWS WAF lo usa como dominio del recurso protegido. Sin embargo, el navegador del cliente ve la distribución de CloudFront como el dominio del host y los tokens que se generan para el cliente utilizan el dominio de CloudFront como dominio de token. Sin ninguna configuración adicional, cuando AWS WAF compara el dominio del recurso protegido con el dominio de token, se produce una discrepancia. Para solucionar este problema, añada el nombre del dominio de distribución de CloudFront a la lista de dominios de tokens en su configuración de ACL web. Para obtener información acerca de cómo hacerlo, consulte Configuración de la lista de dominios de tóquenes de la ACL web de AWS WAF.
