**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation AWS WAF avec Amazon CloudFront
Découvrez comment utiliser les CloudFront fonctionnalités AWS WAF d'Amazon.
Lorsque vous créez un pack de protection (ACL Web), vous pouvez spécifier une ou plusieurs CloudFront distributions que vous AWS WAF souhaitez inspecter. CloudFront prend en charge deux types de distributions : les distributions standard qui protègent les locataires individuels et les distributions multi-locataires qui protègent plusieurs locataires via un modèle de configuration unique et partagé. AWS WAF inspecte les requêtes Web pour les deux types de distribution en fonction des règles que vous définissez dans vos packs de protection (Web ACLs), avec des modèles d'implémentation différents pour chaque type.
**Topics**
+ [Comment AWS WAF fonctionne avec les différents types de distribution](#cloudfront-features-distribution-types)
+ [Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires](#waf-cf-pricing-plans)
+ [Cas d'utilisation courants pour protéger les CloudFront distributions avec AWS WAF](cloudfront-waf-use-cases.md)
## Comment AWS WAF fonctionne avec les différents types de distribution
### Types de distribution
AWS WAF fournit des fonctionnalités de pare-feu d'applications Web pour les CloudFront distributions de distribution standard et multi-locataires.
#### Distributions standard
Pour les distributions standard, AWS WAF ajoute une protection à l'aide d'un pack de protection unique (ACL Web) pour chaque distribution. Vous pouvez activer cette protection en associant un pack de protection existant (ACL Web) à une CloudFront distribution ou en utilisant la protection en un clic dans la CloudFront console. Cela vous permet de gérer les contrôles de sécurité pour chacune de vos distributions indépendamment, car toute modification apportée à un pack de protection (ACL Web) n'affectera que la distribution qui lui est associée.
Cette méthode simple de protection des CloudFront distributions est optimale pour fournir à des domaines individuels des protections spécifiques à partir d'un seul pack de protection (ACL Web).
##### Considérations relatives à la distribution standard
+ Les modifications apportées à un pack de protection (ACL Web) affectent uniquement sa distribution associée
+ Chaque distribution nécessite une configuration de pack de protection (ACL Web) indépendante
+ Les règles et les groupes de règles sont gérés séparément pour chaque distribution
#### Distributions entre locataires
Pour les distributions multi-locataires, AWS WAF renforce la protection sur plusieurs domaines à l'aide d'un seul pack de protection (ACL Web). Les domaines gérés par des distributions multi-locataires sont appelés locataires de distribution. Vous ne pouvez activer AWS WAF la protection des distributions mutualisées que dans la CloudFront console, pendant ou après le processus de création des distributions mutualisées. Cependant, les modifications apportées à un pack de protection (ACL Web) sont toujours gérées via la AWS WAF console ou l'API.
Les distributions multi-locataires offrent la flexibilité nécessaire pour permettre AWS WAF des protections à deux niveaux :
+ **Niveau de distribution mutualisé** : les packs de protection associés (Web ACLs) fournissent des contrôles de sécurité de base qui s'appliquent à toutes les applications partageant cette distribution
+ **Niveau du locataire de distribution** : les locataires individuels d'une distribution multi-locataires peuvent disposer de leurs propres packs de protection (Web ACLs) pour mettre en œuvre des contrôles de sécurité supplémentaires ou annuler les paramètres de distribution multi-locataires
Ces deux niveaux rendent les distributions multi-locataires optimales pour partager les AWS WAF protections entre plusieurs domaines sans perdre la possibilité de personnaliser la sécurité pour une distribution individuelle.
#### Considérations relatives à la distribution entre locataires
+ Les locataires de distribution individuels héritent des modifications apportées aux packs de protection (Web ACLs) associés aux distributions mutualisées associées
+ Les packs de protection (Web ACLs) associés à des locataires de distribution spécifiques peuvent remplacer les paramètres configurés au niveau du pack de protection multi-locataires (ACL Web)
+ Les groupes de règles gérés peuvent être mis en œuvre à la fois au niveau de la distribution et au niveau du locataire de distribution
+ Les identifiants des applications peuvent être localisés dans les journaux pour suivre les événements de sécurité par distribution
### AWS WAF fonctionnalités par type de distribution
**Comparaison des implémentations de packs de protection (ACL Web)**
| AWS WAF Fonctionnalité | Distributions standard | Distributions entre locataires |
| --- | --- | --- |
| Associer des packs de protection (Web ACLs) | Un pack de protection (ACL Web) par distribution | Vous pouvez partager des packs de protection (Web ACLs) entre les locataires, avec des packs de protection spécifiques optionnels (Web) ACLs |
| Gestion des règles | Les règles concernent une distribution unique | Les règles de distribution multi-locataires affectent tous les locataires associés ; les règles de distribution spécifiques au locataire n'affectent que ce locataire |
| Groupes de règles gérés | Appliqué aux distributions individuelles | Peut être appliqué au niveau de la distribution multi-locataires pour tous les locataires ou au niveau du locataire pour des applications spécifiques |
| Logging | AWS WAF Journaux standard | Les journaux incluent les identifiants des locataires pour l'attribution des événements de sécurité |
## Utilisation AWS WAF avec des plans CloudFront de tarification forfaitaires
CloudFront les plans tarifaires forfaitaires combinent le réseau CloudFront mondial de diffusion de contenu (CDN) Amazon avec plusieurs Services AWS fonctionnalités dans un prix mensuel sans frais d'excédent, indépendamment des pics de trafic ou des attaques.
Les plans tarifaires forfaitaires incluent Services AWS les fonctionnalités suivantes pour un prix mensuel simple :
+ CloudFront CDN
+ AWS WAF et protection DDo S
+ Gestion et analyse des bots
+ DNS d'Amazon Route 53
+ Ingestion d'Amazon CloudWatch Logs
+ Certificat TLS
+ Calcul périphérique sans serveur
+ Crédits de stockage Amazon S3 par mois
Les plans sont disponibles aux niveaux Free, Pro, Business et Premium pour répondre aux besoins de votre application. Les forfaits ne nécessitent pas d'engagement annuel pour obtenir les meilleurs tarifs disponibles. Commencez par le plan gratuit et passez à une mise à niveau pour accéder à davantage de fonctionnalités et à des limites d'utilisation plus importantes.
Pour plus d'informations et une liste complète des forfaits et fonctionnalités, consultez les [plans tarifaires CloudFront forfaitaires](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) dans le manuel *Amazon CloudFront Developer Guide*.
**Important**
Un pack de AWS WAF protection valide (ACL Web) doit rester associé à votre CloudFront distribution, quel que soit le plan tarifaire utilisé. Vous ne pouvez pas supprimer l'association du pack de protection (ACL Web) à moins de revenir à la pay-as-you-go tarification.
Bien qu'une ACL AWS WAF Web doive rester associée à votre distribution, vous conservez le contrôle total de votre configuration de sécurité. Vous pouvez personnaliser votre protection en ajustant les règles activées ou désactivées dans votre ACL Web, et en modifiant les paramètres des règles en fonction de vos exigences de sécurité. Pour plus d'informations sur la gestion des règles ACL Web, consultez la section [AWS WAF Règles](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).
# Cas d'utilisation courants pour protéger les CloudFront distributions avec AWS WAF
Les AWS WAF fonctionnalités suivantes fonctionnent de la même manière pour toutes les CloudFront distributions. Les considérations relatives aux distributions multi-locataires sont répertoriées après chaque scénario de fonctionnalité.
## Utilisation AWS WAF avec des pages d'erreur CloudFront personnalisées
Par défaut, lorsque vous AWS WAF bloquez une requête Web en fonction des critères que vous spécifiez, elle renvoie le code `403 (Forbidden)` d'état HTTP à et le CloudFront renvoie au lecteur. CloudFront Le visualiseur affiche ensuite un message par défaut bref et peu formaté, semblable au suivant :
```
Forbidden: You don't have permission to access /myfilename.html on this server.
```
Vous pouvez annuler ce comportement dans les règles de votre pack de AWS WAF protection (ACL Web) en définissant des réponses personnalisées. Pour plus d'informations sur la personnalisation du comportement des réponses à l'aide de AWS WAF règles, consultez[Envoi de réponses personnalisées pour les Block actions](customizing-the-response-for-blocked-requests.md).
**Note**
Les réponses que vous personnalisez à l'aide de AWS WAF règles ont priorité sur les spécifications de réponse que vous définissez dans les pages d'erreur CloudFront personnalisées.
Si vous préférez afficher un message d'erreur personnalisé CloudFront, éventuellement en utilisant le même format que le reste de votre site Web, vous pouvez configurer CloudFront pour renvoyer au lecteur un objet (par exemple, un fichier HTML) contenant votre message d'erreur personnalisé.
**Note**
CloudFront Impossible de faire la distinction entre un code d'état HTTP 403 renvoyé par votre origine et un code renvoyé AWS WAF lorsqu'une requête est bloquée. Par conséquent, vous ne pouvez pas renvoyer différentes pages d'erreur personnalisées en fonction des différentes causes d'un code de statut HTTP 403.
Pour plus d'informations sur les pages d'erreur CloudFront personnalisées, consultez la section [Génération de réponses d'erreur personnalisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) dans le manuel *Amazon CloudFront Developer Guide*.
### Pages d'erreur personnalisées dans les distributions multi-locataires
Pour les distributions CloudFront multi-locataires, vous pouvez configurer des pages d'erreur personnalisées de la manière suivante :
+ Au niveau du multi-tenant : ces paramètres s'appliquent à toutes les distributions de locataires qui utilisent le modèle de distribution multi-locataires
+ Par le biais de AWS WAF règles : les réponses personnalisées définies dans les packs de protection (Web ACLs) ont priorité à la fois sur la distribution multi-locataires et sur les pages d'erreur personnalisées au niveau des locataires
## Utilisation AWS WAF de with CloudFront pour les applications exécutées sur votre propre serveur HTTP
Lorsque vous utilisez AWS WAF avec CloudFront, vous pouvez protéger vos applications exécutées sur n'importe quel serveur Web HTTP, qu'il s'agisse d'un serveur Web exécuté dans Amazon Elastic Compute Cloud EC2 (Amazon) ou d'un serveur Web que vous gérez en privé. Vous pouvez également configurer CloudFront pour exiger le protocole HTTPS entre CloudFront et votre propre serveur Web, ainsi qu'entre les utilisateurs et CloudFront.
**Exiger le protocole HTTPS entre CloudFront et votre propre serveur Web**
Pour exiger le protocole HTTPS entre votre propre serveur Web CloudFront et votre propre serveur Web, vous pouvez utiliser la fonctionnalité d'origine CloudFront personnalisée et configurer la **politique du protocole d'origine** et les paramètres du **nom de domaine d'origine** pour des origines spécifiques. Dans votre CloudFront configuration, vous pouvez spécifier le nom DNS du serveur ainsi que le port et le protocole que vous souhaitez utiliser CloudFront pour récupérer des objets depuis votre origine. Vous devez également vous assurer que le SSL/TLS certificat de votre serveur d'origine personnalisé correspond au nom de domaine d'origine que vous avez configuré. Lorsque vous utilisez votre propre serveur Web HTTP en dehors de AWS, vous devez utiliser un certificat signé par une autorité de certification (CA) tierce de confiance, par exemple Comodo ou DigiCert Symantec. Pour plus d'informations sur l'exigence du protocole HTTPS pour les communications entre votre propre serveur Web CloudFront et votre propre serveur Web, consultez la rubrique [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le manuel *Amazon CloudFront Developer Guide*.
**Exiger le protocole HTTPS entre un utilisateur et CloudFront**
Pour exiger le protocole HTTPS entre les spectateurs et CloudFront, vous pouvez modifier la **politique du protocole de visionnage** pour un ou plusieurs comportements de cache dans votre CloudFront distribution. Pour plus d'informations sur l'utilisation du protocole HTTPS entre utilisateurs CloudFront, consultez la rubrique Requirement [du protocole HTTPS pour la communication entre utilisateurs et CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans le manuel *Amazon CloudFront Developer Guide*. Vous pouvez également apporter votre propre certificat SSL afin que les utilisateurs puissent se connecter à votre CloudFront distribution via HTTPS en utilisant votre propre nom de domaine, par exemple *https://www.mysite.com*. Pour plus d'informations, consultez la rubrique [Configuration des noms de domaine alternatifs et du protocole HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) dans le manuel *Amazon CloudFront Developer Guide*.
Pour les distributions multi-locataires, les configurations des méthodes HTTP suivent cette hiérarchie :
+ Les paramètres au niveau du modèle définissent les méthodes HTTP de base autorisées pour toutes les distributions mutualisées
+ Les distributions des locataires peuvent remplacer ces paramètres pour :
+ Autoriser moins de méthodes que la distribution multi-locataires (utilisation de AWS WAF règles pour bloquer des méthodes supplémentaires)
+ Autoriser davantage de méthodes si la distribution multi-locataires est configurée pour les prendre en charge
+ AWS WAF les règles au niveau de la distribution multi-locataires et au niveau du locataire peuvent restreindre davantage les méthodes HTTP, quelle que soit la configuration CloudFront
## Choix des méthodes HTTP qui CloudFront répondent à
Lorsque vous créez une distribution CloudFront Web Amazon, vous choisissez les méthodes HTTP que vous CloudFront souhaitez traiter et transmettre à votre source. Choisissez parmi les options suivantes :
+ **`GET`, `HEAD`** — Vous ne pouvez l'utiliser CloudFront que pour récupérer des objets depuis votre origine ou pour obtenir des en-têtes d'objets.
+ **`GET`,`HEAD`, `OPTIONS`** — Vous CloudFront ne pouvez l'utiliser que pour obtenir des objets depuis votre origine, obtenir des en-têtes d'objets ou récupérer une liste des options prises en charge par votre serveur d'origine.
+ **`GET`,`HEAD`,,`OPTIONS`,`PUT`, `POST``PATCH`, `DELETE`** — Vous pouvez l'utiliser CloudFront pour obtenir, ajouter, mettre à jour et supprimer des objets, ainsi que pour obtenir des en-têtes d'objets. En outre, vous pouvez effectuer d'autres `POST` opérations, telles que l'envoi de données à partir d'un formulaire Web.
Vous pouvez également utiliser des instructions de règle de correspondance des AWS WAF octets pour autoriser ou bloquer les demandes en fonction de la méthode HTTP, comme décrit dans[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md). Si vous souhaitez utiliser une combinaison de méthodes compatibles CloudFront , telles que `GET` et`HEAD`, vous n'avez pas besoin de configurer AWS WAF pour bloquer les demandes utilisant les autres méthodes. Si vous souhaitez autoriser une combinaison de méthodes non CloudFront compatibles, telles que, et `GET` `HEAD``POST`, vous pouvez configurer CloudFront pour répondre à toutes les méthodes, puis utiliser AWS WAF pour bloquer les demandes utilisant d'autres méthodes.
Pour plus d'informations sur le choix des méthodes qui CloudFront répondent, consultez la section [Méthodes HTTP autorisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) dans la rubrique [Valeurs que vous spécifiez lors de la création ou de la mise à jour d'une distribution Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) du manuel *Amazon CloudFront Developer Guide*.
**Configurations de méthodes HTTP autorisées dans les distributions multi-locataires**
Pour les distributions multi-locataires, les configurations de méthode HTTP définies au niveau de la distribution multi-locataires s'appliquent par défaut à toutes les distributions mutualisées. La distribution des locataires peut remplacer ces paramètres si nécessaire.
+ Si vous souhaitez utiliser une combinaison de méthodes compatibles, CloudFront telles que `GET` et`HEAD`, vous n'avez pas besoin de configurer pour AWS WAF bloquer les demandes utilisant d'autres méthodes.
+ Si vous souhaitez autoriser une combinaison de méthodes qui CloudFront ne sont pas prises en charge par défaut, telles que `GET``HEAD`, et`POST`, vous pouvez configurer CloudFront pour répondre à toutes les méthodes, puis utiliser AWS WAF pour bloquer les demandes utilisant d'autres méthodes.
Lorsque vous implémentez des en-têtes de sécurité dans des distributions multi-locataires, tenez compte des points suivants :
+ Les en-têtes de sécurité au niveau du modèle fournissent une protection de base pour toutes les distributions mutualisées
+ Les distributions aux locataires peuvent :
+ Ajouter de nouveaux en-têtes de sécurité non définis dans la distribution multi-locataires
+ Modifier les valeurs des en-têtes spécifiques au locataire
+ Impossible de supprimer ou de remplacer les en-têtes de sécurité définis au niveau de la distribution multi-locataires
+ Envisagez d'utiliser des en-têtes au niveau de la distribution à locataires multiples pour les contrôles de sécurité essentiels qui devraient s'appliquer à tous les locataires
## Considérations relatives à la
Les distributions standard et multi-locataires prennent en charge la AWS WAF journalisation, mais il existe des différences importantes dans la manière dont les journaux sont structurés et gérés :
**Comparaison de journalisation**
| Distributions standard | Distributions entre locataires |
| --- | --- |
| Une configuration de journal par distribution | Options de journalisation au niveau du modèle et du locataire |
| Champs de journal standard | Champs d'identification du locataire supplémentaires |
| Destination unique par distribution | Des destinations distinctes sont possibles pour la distribution multi-locataires et les journaux des locataires |
## Ressources supplémentaires
+ Pour en savoir plus sur les distributions multi-locataires, consultez [Configurer les distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) dans le manuel *Amazon CloudFront Developer Guide*.
+ Pour en savoir plus sur l'utilisation AWS WAF avec CloudFront, consultez la section [Utilisation de AWS WAF la protection](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.
+ Pour en savoir plus sur AWS WAF les journaux, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).