Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS WAF Classic fonctionne avec les CloudFront fonctionnalités d'Amazon
Avertissement
AWS WAF Le support classique prendra fin le 30 septembre 2025.
Note
Il s'agit d'une documentation AWS WAF classique. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et du WebACLs, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer votre site WebACLs, consultezMigration de vos ressources AWS WAF classiques vers AWS WAF.
Pour la dernière version de AWS WAF, voirAWS WAF.
Lorsque vous créez un site WebACL, vous pouvez spécifier une ou plusieurs CloudFront distributions que AWS WAF Classic doit inspecter. AWS WAF Classic commence à autoriser, à bloquer ou à compter les requêtes Web pour ces distributions en fonction des conditions que vous identifiez sur le WebACL. CloudFront fournit certaines fonctionnalités qui améliorent les fonctionnalités AWS WAF classiques. Ce chapitre décrit quelques méthodes que vous pouvez configurer CloudFront pour que AWS WAF Classic CloudFront et Classic fonctionnent mieux ensemble.
Rubriques
Utilisation de AWS WAF Classic avec des pages d'erreur CloudFront personnalisées
Lorsque AWS WAF Classic bloque une requête Web en fonction des conditions que vous spécifiez, il renvoie le code d'HTTPétat 403 (Interdit) à CloudFront. CloudFront Renvoie ensuite ce code d'état au visualiseur. La visionneuse affiche ensuite un court message par défaut peu formaté similaire au message suivant :
Forbidden: You don't have permission to access /myfilename.html on this server.
Si vous préférez afficher un message d'erreur personnalisé, éventuellement en utilisant le même format que le reste de votre site Web, vous pouvez configurer CloudFront pour renvoyer au lecteur un objet (par exemple, un HTML fichier) contenant votre message d'erreur personnalisé.
Note
CloudFront Impossible de faire la distinction entre un code de HTTP statut 403 renvoyé par votre origine et un code renvoyé par AWS WAF Classic lorsqu'une demande est bloquée. Cela signifie que vous ne pouvez pas renvoyer différentes pages d'erreur personnalisées en fonction des différentes causes d'un code d'HTTPétat 403.
Pour plus d'informations sur les pages d'erreur CloudFront personnalisées, consultez la section Personnalisation des réponses aux erreurs dans le manuel Amazon CloudFront Developer Guide.
Utilisation de AWS WAF Classic CloudFront pour les applications exécutées sur votre propre HTTP serveur
Lorsque vous utilisez AWS WAF Classic avec CloudFront, vous pouvez protéger vos applications exécutées sur n'importe quel HTTP serveur Web, qu'il s'agisse d'un serveur Web exécuté dans Amazon Elastic Compute Cloud EC2 (Amazon) ou d'un serveur Web que vous gérez en privé. Vous pouvez également configurer CloudFront pour exiger HTTPS entre CloudFront et votre propre serveur Web, ainsi qu'entre les spectateurs et CloudFront.
HTTPSNécessite entre CloudFront et votre propre serveur Web
Pour avoir besoin de HTTPS CloudFront Between et de votre propre serveur Web, vous pouvez utiliser la fonctionnalité d'origine CloudFront personnalisée et configurer la politique du protocole d'origine et les paramètres du nom de domaine d'origine pour des origines spécifiques. Dans votre CloudFront configuration, vous pouvez spécifier le DNS nom du serveur ainsi que le port et le protocole que vous souhaitez utiliser CloudFront pour récupérer des objets depuis votre origine. Vous devez également vous assurer que le TLS certificatSSL/de votre serveur d'origine personnalisé correspond au nom de domaine d'origine que vous avez configuré. Lorsque vous utilisez votre propre HTTP serveur Web en dehors de AWS, vous devez utiliser un certificat signé par une autorité de certification (CA) tierce de confiance, par exemple Comodo ou DigiCert Symantec. Pour plus d'informations sur l'obligation HTTPS de communiquer entre votre propre serveur Web CloudFront et votre propre serveur Web, consultez la rubrique HTTPSNécessité de communiquer entre CloudFront et votre origine personnalisée dans le manuel du CloudFront développeur Amazon.
Exiger HTTPS entre un téléspectateur et CloudFront
Pour exiger HTTPS entre les utilisateurs et CloudFront, vous pouvez modifier la politique du protocole de visionnage pour un ou plusieurs comportements de cache dans votre CloudFront distribution. Pour plus d'informations sur l'utilisation HTTPS entre spectateurs et utilisateurs CloudFront, consultez la rubrique Nécessitant HTTPS la communication entre les spectateurs et CloudFront dans le manuel Amazon CloudFront Developer Guide. Vous pouvez également apporter votre propre SSL certificat afin que les spectateurs puissent se connecter à votre CloudFront distribution HTTPS en utilisant votre propre nom de domaine, par exemple https://www.mysite.com. Pour plus d'informations, consultez la rubrique Configuration des noms de domaine alternatifs et HTTPS le manuel Amazon CloudFront Developer Guide.
Choisir les HTTP méthodes qui CloudFront répondent aux
Lorsque vous créez une distribution CloudFront Web Amazon, vous choisissez les HTTP méthodes que vous CloudFront souhaitez traiter et transmettre à votre source. Choisissez parmi les options suivantes :
GET, HEAD — Vous ne pouvez l'utiliser CloudFront que pour récupérer des objets depuis votre origine ou pour obtenir des en-têtes d'objets.
GET,HEAD, OPTIONS — Vous CloudFront ne pouvez l'utiliser que pour obtenir des objets depuis votre origine, obtenir des en-têtes d'objets ou récupérer une liste des options prises en charge par votre serveur d'origine.
GET,HEAD,,OPTIONS,PUT, POSTPATCH, DELETE — Vous pouvez l'utiliser CloudFront pour obtenir, ajouter, mettre à jour et supprimer des objets, ainsi que pour obtenir des en-têtes d'objets. En outre, vous pouvez effectuer d'autres POST opérations, telles que l'envoi de données à partir d'un formulaire Web.
Vous pouvez également utiliser les conditions AWS WAF classiques de correspondance de chaînes pour autoriser ou bloquer les demandes en fonction de la HTTP méthode, comme décrit dansUtilisation des conditions de correspondance de chaîne. Si vous souhaitez utiliser une combinaison de méthodes compatibles CloudFront , telles que GET etHEAD, vous n'avez pas besoin de configurer AWS WAF Classic pour bloquer les demandes utilisant les autres méthodes. Si vous souhaitez autoriser une combinaison de méthodes non CloudFront compatibles, telles que, et GET HEADPOST, vous pouvez configurer CloudFront pour répondre à toutes les méthodes, puis utiliser AWS WAF Classic pour bloquer les demandes utilisant d'autres méthodes.
Pour plus d'informations sur le choix des méthodes qui CloudFront répondent, consultez la section HTTPMéthodes autorisées dans la rubrique Valeurs que vous spécifiez lors de la création ou de la mise à jour d'une distribution Web du manuel Amazon CloudFront Developer Guide.
