Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du Web ACLs dans AWS WAF
Cette page explique ce qu'est une liste de contrôle d'accès Web (WebACL) et comment elle fonctionne.
Un site Web vous ACL permet de contrôler avec précision toutes les HTTP (S) requêtes Web auxquelles votre ressource protégée répond. Vous pouvez protéger Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync, Amazon Cognito, AWS App Runner, et AWS Ressources d'accès vérifié.
Vous pouvez utiliser des critères tels que les suivants pour autoriser ou bloquer les demandes :
-
Origine de l'adresse IP de la demande
Pays d'origine de la demande
Correspondance de chaîne ou expression régulière (regex) dans une partie de la demande
-
Taille d'une partie particulière de la demande
-
Détection de SQL code ou de script malveillants
Vous pouvez également tester n'importe quelle combinaison de ces conditions. Vous pouvez bloquer ou compter les requêtes Web qui non seulement répondent aux conditions spécifiées, mais qui dépassent également un certain nombre de demandes en une minute. Vous pouvez combiner des conditions à l'aide d'opérateurs logiques. Vous pouvez également lancer CAPTCHA des puzzles et des défis de session client silencieux en réponse à des demandes.
Vous indiquez vos critères de correspondance et les mesures à prendre lors des matchs dans AWS WAF déclarations de règles. Vous pouvez définir des déclarations de règles directement sur votre site Web ACL et dans des groupes de règles réutilisables que vous utilisez sur votre site WebACL. Pour une liste complète des options, reportez-vous aux sections Utilisation d'instructions de règle dans AWS WAF etUtilisation des actions liées aux règles dans AWS WAF.
Lorsque vous créez un site WebACL, vous spécifiez les types de ressources avec lesquels vous souhaitez l'utiliser. Pour plus d’informations, veuillez consulter Création d'un site Web ACL dans AWS WAF. Après avoir défini un site WebACL, vous pouvez l'associer à vos ressources pour commencer à les protéger. Pour de plus amples informations, veuillez consulter Associer ou dissocier un site Web ACL à un AWS ressource.
Note
À certaines occasions, AWS WAF peut rencontrer une erreur interne qui retarde la réponse aux AWS des ressources indiquant s'il faut autoriser ou bloquer une demande. Dans ces cas, il autorise CloudFront généralement la demande ou diffuse le contenu, tandis que les services régionaux refusent généralement la demande et ne diffusent pas le contenu.
Risque lié au trafic de production
Avant de déployer des modifications sur votre site Web ACL pour le trafic de production, testez-les et ajustez-les dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite vos règles mises à jour en mode décompte en fonction de votre trafic de production avant de les activer. Pour de plus amples informations, consultez Tester et régler votre AWS WAF protections.
Note
L'utilisation de plus de 1 500 WCUs dollars sur un site Web ACL entraîne des coûts supérieurs au ACL prix de base du Web. Pour plus d’informations, consultez Unités ACL de capacité Web (WCUs) en AWS WAF et AWS WAF Tarification
Incohérences temporaires lors des mises à jour
Lorsque vous créez ou modifiez un site Web ACL ou autre AWS WAF ressources, les modifications mettent un peu de temps à se propager à toutes les zones où les ressources sont stockées. Le temps de propagation peut aller de quelques secondes à plusieurs minutes.
Voici des exemples d'incohérences temporaires que vous pourriez remarquer lors de la propagation des modifications :
Après avoir créé un site WebACL, si vous essayez de l'associer à une ressource, il se peut que vous obteniez une exception indiquant que le site Web n'ACLest pas disponible.
Une fois que vous avez ajouté un groupe de règles à un site WebACL, les nouvelles règles du groupe de règles peuvent être en vigueur dans un domaine où le Web ACL est utilisé et pas dans un autre.
Une fois que vous avez modifié le paramètre d'une action de règle, vous pouvez voir l'ancienne action à certains endroits et la nouvelle action à d'autres.
Après avoir ajouté une adresse IP à un ensemble d'adresses IP utilisé dans une règle de blocage, la nouvelle adresse peut être bloquée dans une zone alors qu'elle est toujours autorisée dans une autre.
Rubriques
- Création d'un site Web ACL dans AWS WAF
- Modification d'un site Web ACL dans AWS WAF
- Gestion du comportement d'un groupe de règles dans une liste ACL web
- Associer ou dissocier un site Web ACL à un AWS ressource
- Utilisation du Web ACLs avec des règles et des groupes de règles dans AWS WAF
- Configuration de l'action Web ACL par défaut dans AWS WAF
- Gestion des limites de taille des organismes inspectés pour AWS WAF
- ConfigurationCAPTCHA, défi et jetons dans AWS WAF
- Affichage des statistiques du trafic Web dans AWS WAF
- Supprimer un site Web ACL
