View a markdown version of this page

Utilisation AWS WAF avec Amazon CloudFront - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, et AWS Shield directeur de la sécurité réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section Utilisation de la console.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS WAF avec Amazon CloudFront

Découvrez comment utiliser les CloudFront fonctionnalités AWS WAF d'Amazon.

Lorsque vous créez un pack de protection (ACL Web), vous pouvez spécifier une ou plusieurs CloudFront distributions que vous AWS WAF souhaitez inspecter. CloudFront prend en charge deux types de distributions : les distributions standard qui protègent les locataires individuels et les distributions multi-locataires qui protègent plusieurs locataires via un modèle de configuration unique et partagé. AWS WAF inspecte les requêtes Web pour les deux types de distribution en fonction des règles que vous définissez dans vos packs de protection (ACL Web), avec des modèles d'implémentation différents pour chaque type.

Comment ? AWS WAF fonctionne avec différents types de distribution

Types de distribution

AWS WAF fournit des fonctionnalités de pare-feu d'applications Web pour les CloudFront distributions de distribution standard et multi-locataires.

Distributions standard

Pour les distributions standard, AWS WAF ajoute une protection à l'aide d'un pack de protection unique (ACL Web) pour chaque distribution. Vous pouvez activer cette protection en associant un pack de protection existant (ACL Web) à une CloudFront distribution ou en utilisant la protection en un clic dans la CloudFront console. Cela vous permet de gérer les contrôles de sécurité pour chacune de vos distributions indépendamment, car toute modification apportée à un pack de protection (ACL Web) n'affectera que la distribution qui lui est associée.

Cette méthode simple de protection des CloudFront distributions est optimale pour fournir à des domaines individuels des protections spécifiques à partir d'un seul pack de protection (ACL Web).

Considérations relatives à la distribution standard
  • Les modifications apportées à un pack de protection (ACL Web) affectent uniquement sa distribution associée

  • Chaque distribution nécessite une configuration de pack de protection (ACL Web) indépendante

  • Les règles et les groupes de règles sont gérés séparément pour chaque distribution

Multi-tenant distributions

Pour les distributions multi-locataires, AWS WAF renforce la protection sur plusieurs domaines à l'aide d'un seul pack de protection (ACL Web). Les domaines gérés par des distributions multi-locataires sont appelés locataires de distribution. Vous ne pouvez activer AWS WAF la protection des distributions mutualisées que dans la CloudFront console, pendant ou après le processus de création des distributions mutualisées. Cependant, les modifications apportées à un pack de protection (ACL Web) sont toujours gérées via la AWS WAF console ou l'API.

Multi-tenant les distributions offrent la flexibilité nécessaire pour activer AWS WAF les protections à deux niveaux :

  • Multi-tenant niveau de distribution : les packs de protection associés (ACL Web) fournissent des contrôles de sécurité de base qui s'appliquent à toutes les applications partageant cette distribution

  • Niveau du locataire de distribution : les locataires individuels d'une distribution multi-locataires peuvent disposer de leurs propres packs de protection (ACL Web) pour mettre en œuvre des contrôles de sécurité supplémentaires ou annuler les paramètres de distribution multi-locataires

Ces deux niveaux rendent les distributions multi-locataires optimales pour partager les AWS WAF protections entre plusieurs domaines sans perdre la possibilité de personnaliser la sécurité pour une distribution individuelle.

Multi-tenant considérations relatives à la distribution

  • Les locataires de distribution individuels héritent des modifications apportées aux packs de protection (ACL Web) associés aux distributions multi-locataires associées

  • Les packs de protection (ACL Web) associés à des locataires de distribution spécifiques peuvent remplacer les paramètres configurés au niveau du pack de protection multi-locataires (ACL Web)

  • Les groupes de règles gérés peuvent être mis en œuvre à la fois au niveau de la distribution et au niveau du locataire de distribution

  • Les identifiants des applications peuvent être localisés dans les journaux pour suivre les événements de sécurité par distribution

AWS WAF fonctionnalités par type de distribution

Comparaison des implémentations de packs de protection (ACL Web)
AWS WAF Fonctionnalité Distributions standard Multi-tenant distributions
Associer des packs de protection (ACL Web) Un pack de protection (ACL Web) par distribution Vous pouvez partager des packs de protection (ACL Web) entre les locataires, avec des packs de protection spécifiques aux locataires (ACL Web) optionnels
Gestion des règles Les règles concernent une distribution unique Multi-tenant les règles de distribution affectent tous les locataires associés ; les règles spécifiques au locataire de distribution n'affectent que ce locataire
Groupes de règles gérés Appliqué aux distributions individuelles Peut être appliqué au niveau de la distribution multi-locataires pour tous les locataires ou au niveau du locataire pour des applications spécifiques
Logging AWS WAF Journaux standard Les journaux incluent les identifiants des locataires pour l'attribution des événements de sécurité

Utilisation AWS WAF avec CloudFront Flat-Rate des plans tarifaires

CloudFront les plans tarifaires forfaitaires combinent le réseau CloudFront mondial de diffusion de contenu (CDN) Amazon avec plusieurs Services AWS fonctionnalités dans un prix mensuel sans frais d'excédent, indépendamment des pics de trafic ou des attaques.

Flat-rate les plans tarifaires incluent Services AWS les fonctionnalités suivantes pour un prix mensuel simple :

  • CloudFront CDN

  • AWS WAF et protection contre les attaques DDoS

  • Gestion et analyse des bots

  • DNS d'Amazon Route 53

  • Ingestion d'Amazon CloudWatch Logs

  • Certificat TLS

  • Calcul périphérique sans serveur

  • Crédits de stockage Amazon S3 par mois

Les plans sont disponibles aux niveaux Free, Pro, Business et Premium pour répondre aux besoins de votre application. Les forfaits ne nécessitent pas d'engagement annuel pour obtenir les meilleurs tarifs disponibles. Commencez par le plan gratuit et passez à une mise à niveau pour accéder à davantage de fonctionnalités et à des limites d'utilisation plus importantes.

Pour plus d'informations et une liste complète des forfaits et fonctionnalités, consultez les plans tarifaires CloudFront forfaitaires dans le manuel Amazon CloudFront Developer Guide.

Important

Un pack de AWS WAF protection valide (ACL Web) doit rester associé à votre CloudFront distribution, quel que soit le plan tarifaire utilisé. Vous ne pouvez pas supprimer l'association du pack de protection (ACL Web) à moins de revenir à la tarification à l'utilisation.

Bien qu'une ACL AWS WAF Web doive rester associée à votre distribution, vous conservez le contrôle total de votre configuration de sécurité. Vous pouvez personnaliser votre protection en ajustant les règles activées ou désactivées dans votre ACL Web, et en modifiant les paramètres des règles en fonction de vos exigences de sécurité. Pour plus d'informations sur la gestion des règles ACL Web, consultez la section AWS WAF Règles.

Monétisation du trafic par IA avec CloudFront

La monétisation du trafic AI est disponible exclusivement pour les ressources ACL AWS WAF Web associées aux CloudFront distributions Amazon. La vérification et le règlement des paiements ont lieu sur des sites CloudFront périphériques, minimisant ainsi le temps de latence pour les agents du monde entier.

Considérations relatives à l'utilisation de la monétisation du trafic AI avec CloudFront Functions et Lambda @Edge

Lorsque vous utilisez CloudFront Functions ou Lambda @Edge avec des distributions contenant des règles de monétisation AWS WAF, notez le comportement suivant pour les réponses générées. AWS WAF

AWS WAF-réponses générées (402 Payment Required Challenge)

Viewer-response La fonction (CloudFront Functions et Lambda @Edge) ne s'exécute pas sur la réponse AWS WAF 402 générée. Vous ne pouvez pas utiliser ces fonctions pour personnaliser le Défi des paiements requis. Vous ne pouvez pas non plus y ajouter d'en-têtes ni le modifier. Si vous devez ajouter des en-têtes personnalisés à 402 réponses (par exemple, des en-têtes CORS ou analytiques), utilisez plutôt une politique d'en-têtes de réponse. Les politiques relatives aux en-têtes de réponse s'appliquent aux réponses AWS WAF générées.

Pour plus d'informations sur CloudFront les fonctions et les politiques relatives aux en-têtes de réponse, consultez les rubriques suivantes :

Réponses payantes (200 après le règlement)

Une fois le règlement du paiement réussi, la réponse d'origine passe par le pipeline de CloudFront réponse normal, y compris la fonction de réponse du spectateur. Une fonction de réponse du spectateur peut modifier la réponse que l'agent reçoit après le paiement. Par exemple, il peut modifier le code d'état ou supprimer des en-têtes.

Monétisation du trafic par IA avec CloudFront

La monétisation du trafic AI est disponible exclusivement pour les ACL Web associées aux distributions Amazon CloudFront . La vérification des paiements et l'émission de jetons d'accès ont lieu sur des sites CloudFront périphériques, minimisant ainsi le temps de latence pour les agents du monde entier.

Pourquoi CloudFront seulement

La monétisation nécessite :

  • Edge-native vérification des paiements — Les preuves de paiement sont vérifiées à la périphérie, sans allers-retours jusqu'au point d'origine.

  • Émission mondiale de jetons — Les jetons d'accès délimités sont émis à la périphérie et honorés par tous les sites périphériques desservant la même distribution.

  • Génération du manifeste des prix — La réponse 402 contenant les détails des prix est générée à la périphérie, ce qui permet de maintenir le flux en dessous de l'objectif de latence pour les protocoles de paiement de machine à machine.

Les ACL Web régionales (Application Load Balancer,,, Cognito, App Runner, Verified Access) ne prennent pas en charge l'action Monétiser. Si une règle de monétisation est configurée sur une ACL Web régionale, la règle est ignorée et la demande passe à la règle suivante.

Comportement du cache avec du contenu monétisé

Les ressources monétisées nécessitent une configuration de cache spéciale pour empêcher l'accès payant d'un agent de diffuser du contenu mis en cache à un autre agent.

Paramètres de cache recommandés pour les chemins monétisés :

ParamètreValueRaison
Politique de cacheCachingDisabled ou sur mesureEmpêche le partage de cache entre agents
Politique de demande d'origineInclure X-Agent-Id et X-Access-Token en-têtesPermet à Origin de valider les jetons spécifiques à l'agent
TTL0 (ou en abrégé, selon les besoins de fraîcheur du contenu)Garantit que chaque demande d'agent est évaluée par AWS WAF

Si vous avez besoin de la mise en cache pour améliorer les performances, configurez une clé de cache par agent :

  • Ajoutez X-Agent-Id à la clé de cache à l'aide d'une politique de cache personnalisée.

  • Cela garantit que chaque agent reçoit sa propre copie en cache après le paiement, sans diffuser de contenu payant à d'autres agents.

Important

Si vous activez la mise en cache sans clés de cache par agent, une réponse payante peut être envoyée depuis le cache aux agents suivants sans vérification du paiement. Incluez toujours l'identité de l'agent dans la clé de cache pour les chemins monétisés.

Caractéristiques de latence

PhaseLatence typiqueRemarques
Classification + génération 402<10 msFonctionne en ligne sur le bord
Vérification du paiement<30 msLa validation des preuves est cryptographique, aucun appel externe
Émission de jetons et récupération de l'origine CloudFront Latence standardIdentique à une demande normale
Total des frais généraux supplémentaires<50 msLatence de demande supérieure à la norme

CloudFront configuration de distribution

Aucune modification de vos paramètres CloudFront de distribution n'est requise pour activer la monétisation. La fonctionnalité est entièrement contrôlée via l'ACL AWS WAF Web et la configuration du pack de protection.

Vérifiez les points suivants :

  • Association ACL Web : votre distribution doit être associée à une ACL AWS WAF Web avec Bot Control et à une règle de monétisation.

  • En-têtes de réponse d'origine : si votre origine définit Cache-Control des en-têtes, vérifiez qu'ils n'entrent pas en conflit avec la stratégie de mise en cache par agent pour les chemins monétisés.

  • Pages d'erreur CloudFront personnalisées : les pages d'erreur personnalisées pour les réponses 4xx ne s'appliquent pas aux réponses 402 AWS WAF générées. Le manifeste des prix est fourni directement par AWS WAF.