Memperkenalkan pengalaman konsol baru untuk AWS WAF
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan konsol.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penggunaan AWS WAF dengan Amazon CloudFront
Pelajari cara menggunakan AWS WAF CloudFront fitur Amazon.
Saat Anda membuat paket perlindungan (web ACL), Anda dapat menentukan satu atau CloudFront beberapa distribusi yang AWS WAF ingin Anda periksa. CloudFront mendukung dua jenis distribusi: distribusi standar yang melindungi penyewa individu, dan distribusi multi-penyewa yang melindungi beberapa penyewa melalui satu templat konfigurasi bersama. AWS WAF memeriksa permintaan web untuk kedua jenis distribusi berdasarkan aturan yang Anda tetapkan dalam paket perlindungan (ACL web), dengan pola implementasi yang berbeda untuk setiap jenis.
Topik
Bagaimana AWS WAF bekerja dengan berbagai jenis distribusi
Jenis distribusi
AWS WAF menyediakan kemampuan firewall aplikasi web untuk distribusi distribusi CloudFront standar dan multi-tenant.
Distribusi standar
Untuk distribusi standar, AWS WAF tambahkan perlindungan menggunakan paket perlindungan tunggal (web ACL) untuk setiap distribusi. Anda dapat mengaktifkan perlindungan ini dengan mengaitkan paket perlindungan yang ada (web ACL) dengan CloudFront distribusi atau dengan menggunakan perlindungan satu klik di konsol. CloudFront Ini memungkinkan Anda mengelola kontrol keamanan untuk setiap distribusi Anda secara independen, karena setiap perubahan pada paket perlindungan (web ACL) hanya akan memengaruhi distribusi yang terkait dengannya.
Metode sederhana untuk melindungi CloudFront distribusi ini optimal untuk menyediakan domain individu dengan perlindungan khusus dari paket perlindungan tunggal (web ACL).
Pertimbangan distribusi standar
-
Perubahan pada paket perlindungan (web ACL) hanya memengaruhi distribusi terkaitnya
-
Setiap distribusi memerlukan konfigurasi paket perlindungan independen (web ACL)
-
Aturan dan kelompok aturan dikelola secara terpisah untuk setiap distribusi
Multi-tenant distribusi
Untuk distribusi multi-tenant, AWS WAF tambahkan perlindungan di beberapa domain menggunakan paket perlindungan tunggal (web ACL). Domain yang dikelola oleh distribusi multi-tenant dikenal sebagai penyewa distribusi. Anda hanya dapat mengaktifkan AWS WAF perlindungan untuk distribusi multi-tenant di CloudFront konsol, baik selama atau setelah proses pembuatan distribusi multi-tenant. Namun, perubahan pada paket perlindungan (web ACL) masih dikelola melalui AWS WAF konsol atau API.
Multi-tenant distribusi menawarkan fleksibilitas untuk memungkinkan AWS WAF perlindungan pada dua tingkat:
-
Multi-tenant Tingkat distribusi — Paket perlindungan terkait (ACL web) menyediakan kontrol keamanan dasar yang berlaku untuk semua aplikasi yang berbagi distribusi itu
-
Tingkat penyewa distribusi - Penyewa individu dalam distribusi multi-penyewa dapat memiliki paket perlindungan mereka sendiri (ACL web) untuk menerapkan kontrol keamanan tambahan atau mengganti pengaturan distribusi multi-penyewa
Kedua tingkatan ini membuat distribusi multi-tenant optimal untuk berbagi AWS WAF perlindungan di beberapa domain tanpa kehilangan kemampuan untuk menyesuaikan keamanan untuk distribusi individual.
Multi-tenant pertimbangan distribusi
-
Penyewa distribusi individu mewarisi perubahan yang dibuat pada paket perlindungan (ACL web) yang terkait dengan distribusi multi-penyewa terkait
-
Paket perlindungan (web ACL) yang terkait dengan penyewa distribusi tertentu dapat mengganti pengaturan yang dikonfigurasi pada tingkat paket perlindungan multi-tenant (web ACL)
-
Kelompok aturan terkelola dapat diimplementasikan pada tingkat penyewa distribusi dan distribusi
-
Pengidentifikasi aplikasi dapat ditemukan di log untuk melacak peristiwa keamanan dengan distribusi
AWS WAF fitur berdasarkan jenis distribusi
| AWS WAF Fitur | Distribusi standar | Multi-tenant distribusi |
|---|---|---|
| Mengaitkan paket perlindungan (ACL web) | Satu paket perlindungan (web ACL) per distribusi | Anda dapat berbagi paket perlindungan (ACL web) di seluruh penyewa, dengan paket perlindungan khusus penyewa opsional (ACL web) |
| Manajemen aturan | Aturan mempengaruhi distribusi tunggal | Multi-tenant aturan distribusi mempengaruhi semua penyewa terkait; aturan khusus penyewa distribusi hanya memengaruhi penyewa itu |
| Grup aturan terkelola | Diterapkan pada distribusi individu | Dapat diterapkan pada tingkat distribusi multi-tenant untuk semua penyewa atau di tingkat penyewa untuk aplikasi tertentu |
| Pencatatan log | AWS WAF Log standar | Log menyertakan pengenal penyewa untuk atribusi peristiwa keamanan |
Penggunaan AWS WAF dengan CloudFront Flat-Rate Pricing Plan
CloudFront Paket harga flat-rate menggabungkan jaringan pengiriman konten CloudFront global Amazon (CDN) dengan beberapa fitur Layanan AWS dan menjadi harga bulanan tanpa biaya kelebihan, terlepas dari lonjakan atau serangan lalu lintas.
Flat-rate paket harga termasuk yang berikut Layanan AWS dan fitur untuk harga bulanan sederhana:
-
CloudFront CDN
-
AWS WAF dan perlindungan DDoS
-
Manajemen dan analitik bot
-
Amazon Route 53 DNS
-
Amazon CloudWatch Logs konsumsi
-
Sertifikat TLS
-
Komputasi tepi tanpa server
-
Kredit penyimpanan Amazon S3 setiap bulan
Paket tersedia dalam tingkatan Gratis, Pro, Bisnis, dan Premium agar sesuai dengan kebutuhan aplikasi Anda. Paket tidak memerlukan komitmen tahunan untuk mendapatkan harga terbaik yang tersedia. Mulailah dengan paket Gratis dan tingkatkan untuk mengakses lebih banyak kemampuan dan tunjangan penggunaan yang lebih besar.
Untuk informasi selengkapnya dan daftar lengkap paket dan fitur, lihat paket CloudFront harga tarif tetap di Panduan CloudFront Pengembang Amazon.
penting
Paket AWS WAF perlindungan yang valid (web ACL) harus tetap terkait dengan CloudFront distribusi Anda saat menggunakan paket harga apa pun. Anda tidak dapat menghapus asosiasi paket perlindungan (web ACL) kecuali Anda beralih kembali ke harga pay-as-you-go.
Meskipun ACL AWS WAF web harus tetap terkait dengan distribusi Anda, Anda mempertahankan kontrol penuh atas konfigurasi keamanan Anda. Anda dapat menyesuaikan perlindungan dengan menyesuaikan aturan mana yang diaktifkan atau dinonaktifkan di ACL web Anda, dan memodifikasi pengaturan aturan agar sesuai dengan persyaratan keamanan Anda. Untuk informasi tentang mengelola aturan ACL web, lihat AWS WAF Aturan.
Monetisasi lalu lintas AI dengan CloudFront
Monetisasi lalu lintas AI tersedia secara eksklusif untuk sumber daya ACL AWS WAF web yang terkait dengan distribusi Amazon. CloudFront Verifikasi dan penyelesaian pembayaran terjadi di lokasi CloudFront tepi, meminimalkan latensi untuk agen di seluruh dunia.
Pertimbangan saat menggunakan Monetisasi Lalu Lintas AI dengan Fungsi CloudFront dan Lambda @Edge
Saat Anda menggunakan CloudFront Fungsi atau Lambda @Edge dengan distribusi yang memiliki aturan Monetisasi AWS WAF, perhatikan perilaku berikut untuk respons yang dihasilkan. AWS WAF
AWS WAF tanggapan yang dihasilkan (402 Tantangan yang Diperlukan Pembayaran)
Viewer-response fungsi (CloudFront Fungsi dan Lambda @Edge) tidak berjalan pada respons 402 AWS WAF yang dihasilkan. Anda tidak dapat menggunakan fungsi ini untuk menyesuaikan Tantangan Pembayaran yang Diperlukan. Anda juga tidak dapat menambahkan header ke dalamnya atau memodifikasinya. Jika Anda perlu menambahkan header kustom ke 402 respons (misalnya, CORS atau header analitik), gunakan Kebijakan Header Respons sebagai gantinya. Kebijakan Header Respons berlaku untuk respons AWS WAF yang dihasilkan.
Untuk informasi selengkapnya tentang CloudFront Fungsi dan kebijakan header respons, lihat berikut ini:
-
Viewer-response fungsi tidak berjalan pada kode status HTTP 400 dan lebih tinggi. Untuk informasi selengkapnya tentang pembatasan fungsi edge, lihat kode status HTTP.
-
Untuk informasi selengkapnya tentang kebijakan header respons, lihat Memahami kebijakan header respons.
Tanggapan berbayar (200 setelah penyelesaian)
Setelah penyelesaian pembayaran berhasil, respons asal melewati jalur respons normal, termasuk fungsi CloudFront respons pemirsa. Fungsi respons-pemirsa dapat mengubah respons yang diterima agen setelah membayar. Misalnya, dapat mengubah kode status atau menghapus header.
Monetisasi lalu lintas AI dengan CloudFront
Monetisasi lalu lintas AI tersedia secara eksklusif untuk ACL web yang terkait dengan distribusi Amazon. CloudFront Verifikasi pembayaran dan penerbitan token akses terjadi di lokasi CloudFront edge, meminimalkan latensi untuk agen di seluruh dunia.
Mengapa CloudFront hanya
Monetisasi membutuhkan:
Edge-native verifikasi pembayaran — Bukti pembayaran diverifikasi di tepi tanpa pulang pergi ke tempat asal.
Penerbitan token global — Token akses cakupan dikeluarkan di tepi dan dihormati oleh semua lokasi tepi yang melayani distribusi yang sama.
Generasi manifes harga - Respons 402 dengan detail harga dihasilkan di tepi, menjaga aliran di bawah target latensi untuk protokol pembayaran mesin-ke-mesin.
ACL web regional (Application Load Balancer,,, Cognito, App Runner, Akses Terverifikasi) tidak mendukung tindakan Monetisasi. Jika aturan Monetisasi dikonfigurasi pada ACL web regional, aturan dilewati dan permintaan berlanjut ke aturan berikutnya.
Perilaku cache dengan konten yang dimonetisasi
Sumber daya yang dimonetisasi memerlukan konfigurasi cache khusus untuk mencegah akses berbayar satu agen menyajikan konten yang di-cache ke agen lain.
Pengaturan cache yang disarankan untuk jalur yang dimonetisasi:
| Pengaturan | Nilai | Alasan |
|---|---|---|
| Kebijakan cache | CachingDisabled atau kustom | Mencegah berbagi cache lintas agen |
| Kebijakan permintaan asal | Sertakan X-Agent-Id dan X-Access-Token header | Memungkinkan asal untuk memvalidasi token khusus agen |
| TTL | 0 (atau pendek, sesuai kebutuhan kesegaran konten) | Memastikan setiap permintaan agen dievaluasi oleh AWS WAF |
Jika Anda memerlukan caching untuk kinerja, konfigurasikan kunci cache per-agen:
Tambahkan
X-Agent-Idke kunci cache menggunakan kebijakan cache khusus.Ini memastikan setiap agen menerima salinan cache sendiri setelah pembayaran, tanpa menyajikan konten berbayar ke agen lain.
penting
Jika Anda mengaktifkan caching tanpa kunci cache per-agen, respons berbayar mungkin disajikan dari cache ke agen berikutnya tanpa verifikasi pembayaran. Selalu sertakan identitas agen dalam kunci cache untuk jalur yang dimonetisasi.
Karakteristik latensi
| Fase | Latensi khas | Catatan |
|---|---|---|
| Klasifikasi + 402 generasi | <10 ms | Berjalan sebaris di tepi |
| Verifikasi pembayaran | <30 ms | Validasi bukti bersifat kriptografi, tidak ada panggilan eksternal |
| Penerbitan token+pengambilan asal | CloudFront Latensi standar | Sama seperti permintaan normal |
| Total overhead tambahan | <50 ms | Di atas latensi permintaan standar |
CloudFront konfigurasi distribusi
Tidak ada perubahan pada setelan CloudFront distribusi Anda yang diperlukan untuk mengaktifkan monetisasi. Fitur ini dikendalikan sepenuhnya melalui ACL AWS WAF web dan konfigurasi paket perlindungan.
Pastikan yang berikut ini:
Asosiasi ACL Web — Distribusi Anda harus memiliki ACL AWS WAF web terkait dengan Kontrol Bot dan aturan Monetisasi.
Header respons asal — Jika asal Anda menetapkan
Cache-Controlheader, pastikan header tersebut tidak bertentangan dengan strategi caching per-agen untuk jalur yang dimonetisasi.Halaman kesalahan CloudFront kustom - halaman kesalahan kustom untuk tanggapan 4xx tidak berlaku untuk tanggapan 402 AWS WAF-dihasilkan. Manifes harga dilayani langsung oleh AWS WAF.