Activation AWS WAF d'une application Amplify Dissocier un site Web ACL d'une application Amplify Comment Amplify s'intègre à AWS WAF Limites de prévisualisation du pare-feu Tarification du pare-feu

Support de pare-feu pour les sites hébergés

Note

La prise en charge du pare-feu pour les applications hébergées n'est qu'une version préliminaire et est sujette à modification. Pour de plus amples informations, veuillez consulter Limites de prévisualisation du pare-feu.

La prise en charge du pare-feu est disponible aujourd'hui, en version préliminaire, dans tous les Régions AWS pays dans lesquels Amplify Hosting fonctionne, à l'exception des régions optionnelles. Cette intégration s'inscrit dans le cadre d'une ressource AWS WAF globale, similaire à CloudFront. Le Web ACLs peut être connecté à plusieurs applications d'hébergement Amplify, mais elles doivent résider dans la même région.

La prise en charge du pare-feu pour les sites hébergés vous permet de protéger vos applications Web grâce à une intégration directe avec AWS WAF. AWS WAF vous permet de configurer un ensemble de règles, appelé liste de contrôle d'accès Web (WebACL), qui autorisent, bloquent ou surveillent (comptent) les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Lorsque vous intégrez votre application Amplify à AWS WAF, vous gagnez en contrôle et en visibilité sur le HTTP trafic accepté par votre application. Pour en savoir plus AWS WAF, consultez la section Comment AWS WAF fonctionne dans le guide du AWS WAF développeur.

Vous pouvez l'utiliser AWS WAF pour protéger votre application Amplify contre les exploits Web courants, tels que l'SQLinjection et les scripts intersites. Cela peut affecter la disponibilité et les performances de votre application, compromettre la sécurité ou consommer des ressources excessives. Par exemple, vous pouvez créer des règles pour autoriser ou bloquer les demandes provenant de plages d'adresses IP spécifiées, les demandes provenant de CIDR blocs, les demandes provenant d'un pays ou d'une région spécifique, ou les demandes contenant SQL du code ou des scripts inattendus.

Vous pouvez également créer des règles qui correspondent à une chaîne spécifiée ou à un modèle d'expression régulière dans HTTP les en-têtes, la méthode, la chaîne de requête et le corps de la demande (limité aux 8 premiers Ko). URI En outre, vous pouvez créer des règles pour bloquer les événements provenant d'agents utilisateurs, de robots ou de scrapers de contenu spécifiques. Par exemple, vous pouvez utiliser des règles basées sur le débit pour spécifier le nombre de requêtes web que chaque adresse IP du client est autorisée à envoyer au cours d'une période de 5 minutes mise à jour en continu.

Pour en savoir plus sur les types de règles pris en charge et sur les AWS WAF fonctionnalités supplémentaires, consultez le guide du AWS WAF développeur et la AWS WAF APIréférence.

Important

La sécurité est une responsabilité partagée entre vous AWS et vous. AWS WAF n'est pas la solution à tous les problèmes de sécurité Internet et vous devez le configurer pour répondre à vos objectifs de sécurité et de conformité. Pour vous aider à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation AWS WAF, consultez la section Sécurité lors de votre utilisation du AWS WAF service.

Activation AWS WAF d'une application Amplify

Vous pouvez activer les fonctionnalités du pare-feu soit lorsque vous créez une nouvelle application, soit en modifiant les paramètres d'une application Amplify existante. Dans les deux flux de travail, vous associerez un AWS WAF site Web ACL à votre application Amplify Hosting.

Utilisez la procédure suivante AWS WAF pour activer une application existante dans la console Amplify.

Activer AWS WAF pour une application Amplify existante

Connectez-vous à la console Amplify AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/amplify/
Sur la page Toutes les applications, choisissez le nom de l'application déployée pour activer la fonctionnalité Pare-feu.
Dans le volet de navigation, choisissez Hosting, puis Firewall.

La capture d'écran suivante montre comment accéder à la page Ajouter un pare-feu dans la console Amplify.
Sur la page Ajouter un pare-feu, vos actions varient selon que vous souhaitez créer une nouvelle AWS WAF configuration ou utiliser une configuration existante.
- Créez une nouvelle AWS WAF configuration.
  1. Choisissez Créer.
  2. Activez éventuellement l'une des configurations suivantes :
    1. Activez Activer la protection par pare-feu recommandée par Amplify.
    2. Activez Restreindre l'accès à amplifyapp.com pour empêcher l'accès à votre application sur le domaine Amplify par défaut.
    3. Pour les adresses IP, activez Activer la protection des adresses IP.
      1. Pour Action, choisissez Autoriser si vous souhaitez spécifier les adresses IP qui y auront accès et toutes les autres seront bloquées. Choisissez Bloquer si vous souhaitez spécifier les adresses IP qui seront bloquées et auxquelles toutes les autres auront accès.
      2. Pour la version IP, sélectionnez IPV4soit IPV6.
      3. Dans la zone de texte Adresses IP, entrez vos adresses IP autorisées ou bloquées, une par ligne, au CIDR format.
    4. Pour les pays, activez Activer la protection du pays.
      1. Pour Action, choisissez Autoriser si vous souhaitez spécifier les pays qui y auront accès et tous les autres seront bloqués. Choisissez Bloquer si vous souhaitez spécifier les pays qui seront bloqués et auxquels tous les autres auront accès.
      2. Pour les pays, sélectionnez les pays autorisés ou bloqués dans la liste.
  La capture d'écran suivante montre comment activer une nouvelle AWS WAF configuration pour une application.
- Utilisez une AWS WAF configuration existante.
  1. Choisissez Utiliser la AWS WAF configuration existante.
  2. Sélectionnez une configuration enregistrée dans la liste des sites Web ACLs AWS WAF de votre Compte AWS.
Choisissez Ajouter un pare-feu.
Sur la page Pare-feu, l'état d'association est affiché pour indiquer que les AWS WAF paramètres sont en cours de propagation. Lorsque le processus est terminé, le statut passe à Activé.

Les captures d'écran suivantes montrent l'état de progression du pare-feu dans la console Amplify, indiquant à quel moment la AWS WAF configuration est associée et activée.

Dissocier un site Web ACL d'une application Amplify

Vous ne pouvez pas supprimer un site Web ACL associé à une application Amplify. Vous devez d'abord dissocier le Web ACL de l'application dans la console Amplify. Vous pouvez ensuite le supprimer dans la AWS WAF console.

Pour dissocier un site Web ACL d'une application Amplify

Connectez-vous à la console Amplify AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/amplify/
Sur la page Toutes les applications, choisissez le nom de l'application dont vous souhaitez dissocier un site WebACL.
Dans le volet de navigation, choisissez Hosting, puis Firewall.
Sur la page Pare-feu, choisissez Actions, puis Dissocier le pare-feu.
Dans le mode de confirmation, entrezdisassociate, puis choisissez Dissocier le pare-feu.
Sur la page Pare-feu, l'état de dissociation est affiché pour indiquer que les AWS WAF paramètres sont en cours de propagation.

Lorsque le processus est terminé, vous pouvez supprimer le Web ACL dans la AWS WAF console.

Comment Amplify s'intègre à AWS WAF

La liste suivante fournit des informations spécifiques sur la manière dont le support du pare-feu est intégré AWS WAF et sur les contraintes à prendre en compte lors de la création de sites Web ACLs et de leur association aux applications Amplify.

Vous pouvez l'activer AWS WAF pour n'importe quel type d'application Amplify. Cela inclut tous les frameworks pris en charge, les applications rendues côté serveur (SSR) et les sites entièrement statiques. AWS WAF est compatible avec les applications Amplify Gen 1 et Gen 2.
Vous devez créer un site Web ACLs que vous souhaitez associer à une application Amplify dans la région Global (CloudFront). Le Web régional existe ACLs peut-être déjà dans votre environnement Compte AWS, mais il n'est pas compatible avec Amplify.
Le Web ACL et l'application Amplify doivent être créés de la même manière. Compte AWS Vous pouvez l'utiliser AWS Firewall Manager pour répliquer AWS WAF les règles Comptes AWS, afin de simplifier la centralisation et la distribution des règles d'entreprise sur plusieurs Comptes AWS sites. Pour plus d’informations, consultez AWS Firewall Manager dans le Guide du développeur AWS WAF .
Vous pouvez partager le même site Web ACL sur plusieurs applications Amplify en même temps. Compte AWS Toutes les applications doivent se trouver dans la même région.
Lorsque vous associez un site Web ACL à une application Amplify, le Web est ACL attaché par défaut à chaque branche de l'application. Lorsque vous créez de nouvelles branches, elles auront le WebACL.
Lorsque vous associez un site Web ACL à une application Amplify, celui-ci est automatiquement associé à tous les domaines de l'application. Cependant, vous pouvez configurer des règles qui s'appliquent à un seul nom de domaine à l'aide des règles de correspondance des en-têtes d'hôte.
Vous ne pouvez pas supprimer un site Web ACL associé à une application Amplify. Avant de supprimer un site Web ACL dans la AWS WAF console, vous devez le dissocier de l'application.

Politique d'Amplify en matière de ressources Web ACL

Pour permettre à Amplify d'accéder à votre site WebACL, une politique de ressources est attachée au Web ACL lors de l'association. Amplify construit automatiquement cette politique de ressources, mais vous pouvez la consulter à l'aide du. AWS WAFV2 GetPermissionPolicyAPI Les IAM autorisations suivantes sont requises pour associer un site Web ACL à une application Amplify.

amplifier : AssociateWeb ACL
wafv2 : AssociateWeb ACL
wafv2 : PutPermissionPolicy
wafv2 : GetPermissionPolicy

Limites de prévisualisation du pare-feu

La version préliminaire de Firewall présente les limites suivantes.

Pendant la période de prévisualisation, Amplify prend en charge l'intégration partielle avec. CloudTrail Certains événements de gestion pendant ACL l'association Web n'apparaîtront pas dans les CloudTrail journaux.
Lors de l'aperçu, lorsque votre site Web ACL est associé à une ressource Amplify, cette nouvelle ressource Amplify ne s'affiche pas dans les AWS ressources associées de la console. AWS WAF Vous pouvez utiliser l'Amplify GetAppAPIpour afficher le Web ACL associé à une application. Vous pouvez associer et dissocier la ressource Amplify du pare-feu en accédant à la page Pare-feu d'une application dans la console d'hébergement Amplify.
Pendant la version préliminaire, AWS Config l'intégration ne sera pas disponible.
La fonctionnalité Firewall n'est pas disponible dans les régions où Amplify existe aujourd'hui : Asie-Pacifique (Hong Kong) (ap-east-1), Europe (Milan) (eu-south-1) et Moyen-Orient (Bahreïn) (me-south-1).

Tarification du pare-feu

Pendant la version préliminaire, le service ne vous facturera que des frais basés sur l'utilisation. AWS WAF AWS WAF facture 5$ par mois par site Web ACL et 1$ par règle, entre autres frais. Au minimum, vous paierez 7$ pour cette intégration, en supposant que vous ayez un seul site Web ACL avec deux règles. Pour plus d'informations sur la tarification, consultez la page AWS WAF Pricing (Tarification).

Les fonctionnalités du pare-feu nécessiteront de souscrire à un nouveau niveau avancé d'Amplify Hosting chez GA et celui-ci inclura des fonctionnalités supplémentaires au lancement. Pendant la version préliminaire, l'activation du pare-feu vous abonnera automatiquement à ce niveau avancé, mais il n'y aura aucun frais supplémentaire jusqu'à ce que la fonctionnalité de pare-feu soit généralement disponible. À tout moment, vous pouvez supprimer le pare-feu et vous ne serez pas débité après l'AG. Les détails des prix pour ce niveau seront communiqués à GA. Il n'y a aucun engagement ni aucun investissement initial.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des performances des applications

Sécurité