**Memperkenalkan pengalaman konsol baru untuk AWS WAF**
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan AWS WAF dengan Amazon CloudFront
Pelajari cara menggunakan AWS WAF CloudFront fitur Amazon.
Saat Anda membuat paket perlindungan (web ACL), Anda dapat menentukan satu atau CloudFront beberapa distribusi yang AWS WAF ingin Anda periksa. CloudFront mendukung dua jenis distribusi: distribusi standar yang melindungi penyewa individu, dan distribusi multi-penyewa yang melindungi beberapa penyewa melalui satu templat konfigurasi bersama. AWS WAF memeriksa permintaan web untuk kedua jenis distribusi berdasarkan aturan yang Anda tetapkan dalam paket perlindungan Anda (web ACLs), dengan pola implementasi yang berbeda untuk setiap jenis.
**Topics**
+ [
## Cara AWS WAF kerja dengan jenis distribusi yang berbeda
](#cloudfront-features-distribution-types)
+ [
## Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate
](#waf-cf-pricing-plans)
+ [
# Kasus penggunaan umum untuk melindungi CloudFront distribusi dengan AWS WAF
](cloudfront-waf-use-cases.md)
## Cara AWS WAF kerja dengan jenis distribusi yang berbeda
### Jenis distribusi
AWS WAF menyediakan kemampuan firewall aplikasi web untuk distribusi distribusi CloudFront standar dan multi-tenant.
#### Distribusi standar
Untuk distribusi standar, AWS WAF tambahkan perlindungan menggunakan paket perlindungan tunggal (web ACL) untuk setiap distribusi. Anda dapat mengaktifkan perlindungan ini dengan mengaitkan paket perlindungan yang ada (web ACL) dengan CloudFront distribusi atau dengan menggunakan perlindungan satu klik di konsol. CloudFront Ini memungkinkan Anda mengelola kontrol keamanan untuk setiap distribusi Anda secara independen, karena setiap perubahan pada paket perlindungan (web ACL) hanya akan memengaruhi distribusi yang terkait dengannya.
Metode sederhana untuk melindungi CloudFront distribusi ini optimal untuk menyediakan domain individu dengan perlindungan khusus dari paket perlindungan tunggal (web ACL).
##### Pertimbangan distribusi standar
+ Perubahan pada paket perlindungan (web ACL) hanya memengaruhi distribusi terkaitnya
+ Setiap distribusi memerlukan konfigurasi paket perlindungan independen (web ACL)
+ Aturan dan kelompok aturan dikelola secara terpisah untuk setiap distribusi
#### Distribusi multi-penyewa
Untuk distribusi multi-tenant, AWS WAF tambahkan perlindungan di beberapa domain menggunakan paket perlindungan tunggal (web ACL). Domain yang dikelola oleh distribusi multi-tenant dikenal sebagai penyewa distribusi. Anda hanya dapat mengaktifkan AWS WAF perlindungan untuk distribusi multi-tenant di CloudFront konsol, baik selama atau setelah proses pembuatan distribusi multi-tenant. Namun, perubahan pada paket perlindungan (web ACL) masih dikelola melalui AWS WAF konsol atau API.
Distribusi multi-tenant menawarkan fleksibilitas untuk memungkinkan AWS WAF perlindungan pada dua tingkat:
+ **Tingkat distribusi multi-tenant** — Paket perlindungan terkait (web ACLs) menyediakan kontrol keamanan dasar yang berlaku untuk semua aplikasi yang berbagi distribusi itu
+ **Tingkat penyewa distribusi** - Penyewa individu dalam distribusi multi-penyewa dapat memiliki paket perlindungan sendiri (web ACLs) untuk menerapkan kontrol keamanan tambahan atau mengganti pengaturan distribusi multi-penyewa
Kedua tingkatan ini membuat distribusi multi-tenant optimal untuk berbagi AWS WAF perlindungan di beberapa domain tanpa kehilangan kemampuan untuk menyesuaikan keamanan untuk distribusi individual.
#### Pertimbangan distribusi multi-penyewa
+ Penyewa distribusi individu mewarisi perubahan yang dibuat pada paket perlindungan (web ACLs) yang terkait dengan distribusi multi-penyewa terkait
+ Paket perlindungan (web ACLs) yang terkait dengan penyewa distribusi tertentu dapat mengganti pengaturan yang dikonfigurasi pada tingkat paket perlindungan multi-tenant (web ACL)
+ Kelompok aturan terkelola dapat diimplementasikan pada tingkat penyewa distribusi dan distribusi
+ Pengidentifikasi aplikasi dapat ditemukan di log untuk melacak peristiwa keamanan dengan distribusi
### AWS WAF fitur berdasarkan jenis distribusi
**Bandingkan implementasi paket perlindungan (web ACL)**
| AWS WAF Fitur | Distribusi standar | Distribusi multi-penyewa |
| --- | --- | --- |
| Mengaitkan paket perlindungan (web ACLs) | Satu paket perlindungan (web ACL) per distribusi | Anda dapat berbagi paket perlindungan (web ACLs) di seluruh penyewa, dengan paket perlindungan khusus penyewa opsional (web) ACLs |
| Manajemen aturan | Aturan mempengaruhi distribusi tunggal | Aturan distribusi multi-penyewa mempengaruhi semua penyewa terkait; aturan khusus penyewa distribusi hanya memengaruhi penyewa itu |
| Grup aturan terkelola | Diterapkan pada distribusi individu | Dapat diterapkan pada tingkat distribusi multi-tenant untuk semua penyewa atau di tingkat penyewa untuk aplikasi tertentu |
| Pencatatan log | AWS WAF Log standar | Log menyertakan pengenal penyewa untuk atribusi peristiwa keamanan |
## Menggunakan AWS WAF dengan Paket Harga CloudFront Flat-Rate
CloudFront Paket harga flat-rate menggabungkan jaringan pengiriman konten CloudFront global Amazon (CDN) dengan beberapa fitur Layanan AWS dan menjadi harga bulanan tanpa biaya kelebihan, terlepas dari lonjakan atau serangan lalu lintas.
Paket harga flat-rate mencakup hal-hal berikut Layanan AWS dan fitur untuk harga bulanan sederhana:
+ CloudFront CDN
+ AWS WAF dan perlindungan DDo S
+ Manajemen dan analitik bot
+ Amazon Route 53 DNS
+ Amazon CloudWatch Logs konsumsi
+ Sertifikat TLS
+ Perhitungan tepi tanpa server
+ Kredit penyimpanan Amazon S3 setiap bulan
Paket tersedia dalam tingkatan Gratis, Pro, Bisnis, dan Premium agar sesuai dengan kebutuhan aplikasi Anda. Paket tidak memerlukan komitmen tahunan untuk mendapatkan harga terbaik yang tersedia. Mulailah dengan paket Gratis dan tingkatkan untuk mengakses lebih banyak kemampuan dan tunjangan penggunaan yang lebih besar.
Untuk informasi selengkapnya dan daftar lengkap paket dan fitur, lihat [paket CloudFront harga tarif tetap di Panduan CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) *Pengembang Amazon*.
**penting**
Paket AWS WAF perlindungan yang valid (web ACL) harus tetap terkait dengan CloudFront distribusi Anda saat menggunakan paket harga apa pun. Anda tidak dapat menghapus asosiasi paket perlindungan (web ACL) kecuali Anda beralih kembali ke pay-as-you-go harga.
Meskipun ACL AWS WAF web harus tetap terkait dengan distribusi Anda, Anda mempertahankan kontrol penuh atas konfigurasi keamanan Anda. Anda dapat menyesuaikan perlindungan dengan menyesuaikan aturan mana yang diaktifkan atau dinonaktifkan di ACL web Anda, dan memodifikasi pengaturan aturan agar sesuai dengan persyaratan keamanan Anda. Untuk informasi tentang mengelola aturan ACL web, lihat [AWS WAF Aturan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).
# Kasus penggunaan umum untuk melindungi CloudFront distribusi dengan AWS WAF
AWS WAF Fitur-fitur berikut bekerja dengan cara yang sama untuk semua CloudFront distribusi. Pertimbangan untuk distribusi multi-tenant dicantumkan mengikuti setiap skenario fitur.
## Menggunakan AWS WAF dengan halaman kesalahan CloudFront kustom
Secara default, ketika AWS WAF memblokir permintaan web berdasarkan kriteria yang Anda tentukan, ia mengembalikan kode status HTTP `403 (Forbidden)` ke CloudFront, dan CloudFront mengembalikan kode status tersebut ke penampil. Penampil kemudian menampilkan pesan default singkat dan jarang diformat mirip dengan berikut ini:
```
Forbidden: You don't have permission to access /myfilename.html on this server.
```
Anda dapat mengganti perilaku ini dalam aturan paket AWS WAF perlindungan (web ACL) dengan menentukan respons khusus. Untuk informasi selengkapnya tentang menyesuaikan perilaku respons menggunakan AWS WAF aturan, lihat[Mengirim tanggapan khusus untuk Block tindakan](customizing-the-response-for-blocked-requests.md).
**catatan**
Respons yang Anda sesuaikan menggunakan AWS WAF aturan lebih diutamakan daripada spesifikasi respons apa pun yang Anda tentukan di halaman kesalahan CloudFront kustom.
Jika Anda lebih suka menampilkan pesan kesalahan kustom melalui CloudFront, mungkin menggunakan format yang sama seperti situs web Anda lainnya, Anda dapat mengonfigurasi CloudFront untuk kembali ke penampil objek (misalnya, file HTML) yang berisi pesan kesalahan kustom Anda.
**catatan**
CloudFront tidak dapat membedakan antara kode status HTTP 403 yang dikembalikan oleh asal Anda dan yang dikembalikan oleh AWS WAF ketika permintaan diblokir. Ini berarti bahwa Anda tidak dapat mengembalikan halaman kesalahan kustom yang berbeda berdasarkan penyebab yang berbeda dari kode status HTTP 403.
Untuk informasi selengkapnya tentang halaman kesalahan CloudFront kustom, lihat [Menghasilkan respons kesalahan kustom](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) di *Panduan CloudFront Pengembang Amazon*.
### Halaman kesalahan kustom dalam distribusi multi-penyewa
Untuk distribusi CloudFront multi-tenant, Anda dapat mengonfigurasi halaman kesalahan kustom dengan cara berikut:
+ Pada tingkat multi-tenant - Pengaturan ini berlaku untuk semua distribusi penyewa yang menggunakan template distribusi multi-tenant
+ Melalui AWS WAF aturan - Respons khusus yang didefinisikan dalam paket perlindungan (web ACLs) lebih diutamakan daripada distribusi multi-penyewa dan halaman kesalahan kustom tingkat penyewa
## Menggunakan AWS WAF dengan CloudFront untuk aplikasi yang berjalan di server HTTP Anda sendiri
Saat menggunakannya AWS WAF CloudFront, Anda dapat melindungi aplikasi yang berjalan di server web HTTP apa pun, baik itu server web yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) atau server web yang Anda kelola secara pribadi. Anda juga dapat mengonfigurasi CloudFront untuk meminta HTTPS antara CloudFront dan server web Anda sendiri, serta antara pemirsa dan CloudFront.
**Membutuhkan HTTPS antara CloudFront dan server web Anda sendiri**
Untuk mewajibkan HTTPS antara CloudFront dan server web Anda sendiri, Anda dapat menggunakan fitur asal CloudFront kustom dan mengonfigurasi **Kebijakan Protokol Asal** dan pengaturan **Nama Domain Asal untuk asal** tertentu. Dalam CloudFront konfigurasi Anda, Anda dapat menentukan nama DNS server bersama dengan port dan protokol yang CloudFront ingin Anda gunakan saat mengambil objek dari asal Anda. Anda juga harus memastikan bahwa SSL/TLS sertifikat di server asal kustom Anda cocok dengan nama domain asal yang telah Anda konfigurasikan. Ketika Anda menggunakan server web HTTP Anda sendiri di luar AWS, Anda harus menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat pihak ketiga tepercaya (CA), misalnya, Comodo DigiCert, atau Symantec. Untuk informasi selengkapnya tentang mewajibkan HTTPS untuk komunikasi antara CloudFront dan server web Anda sendiri, lihat topik [Memerlukan HTTPS untuk Komunikasi Antara CloudFront dan Asal Kustom Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) di *Panduan CloudFront Pengembang Amazon*.
**Membutuhkan HTTPS antara penampil dan CloudFront**
Untuk mewajibkan HTTPS antara pemirsa dan CloudFront, Anda dapat mengubah **Kebijakan Protokol Penampil** untuk satu atau beberapa perilaku cache dalam CloudFront distribusi Anda. Untuk informasi selengkapnya tentang penggunaan HTTPS antar pemirsa dan CloudFront, lihat topik [Memerlukan HTTPS untuk Komunikasi Antar CloudFront Pemirsa dan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) di *Panduan CloudFront Pengembang Amazon*. Anda juga dapat membawa sertifikat SSL Anda sendiri sehingga pemirsa dapat terhubung ke CloudFront distribusi Anda melalui HTTPS menggunakan nama domain Anda sendiri, misalnya *https://www.mysite.com*. Untuk informasi selengkapnya, lihat topik [Mengonfigurasi Nama Domain Alternatif dan HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) di *Panduan CloudFront Pengembang Amazon*.
Untuk distribusi multi-tenant, konfigurasi metode HTTP mengikuti hierarki ini:
+ Pengaturan tingkat templat menentukan metode HTTP dasar yang diizinkan untuk semua distribusi penyewa
+ Distribusi penyewa dapat mengganti pengaturan ini ke:
+ Izinkan metode yang lebih sedikit daripada distribusi multi-tenant (menggunakan AWS WAF aturan untuk memblokir metode tambahan)
+ Izinkan lebih banyak metode jika distribusi multi-tenant dikonfigurasi untuk mendukungnya
+ AWS WAF aturan di distribusi multi-penyewa dan tingkat penyewa dapat lebih membatasi metode HTTP terlepas dari konfigurasi CloudFront
## Memilih metode HTTP yang CloudFront merespons
Saat Anda membuat distribusi CloudFront web Amazon, Anda memilih metode HTTP yang ingin CloudFront Anda proses dan teruskan ke asal Anda. Anda dapat memilih dari opsi berikut:
+ **`GET`, `HEAD`** — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda atau untuk mendapatkan header objek.
+ **`GET`,`HEAD`, `OPTIONS`** — Anda CloudFront hanya dapat menggunakan untuk mendapatkan objek dari asal Anda, mendapatkan header objek, atau mengambil daftar opsi yang didukung server asal Anda.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,`POST`,`PATCH`, `DELETE`** — Anda dapat menggunakan CloudFront untuk mendapatkan, menambah, memperbarui, dan menghapus objek, dan untuk mendapatkan header objek. Selain itu, Anda dapat melakukan `POST` operasi lain seperti mengirimkan data dari formulir web.
Anda juga dapat menggunakan pernyataan aturan pencocokan AWS WAF byte untuk mengizinkan atau memblokir permintaan berdasarkan metode HTTP, seperti yang dijelaskan dalam[Pernyataan aturan kecocokan string](waf-rule-statement-type-string-match.md). Jika Anda ingin menggunakan kombinasi metode yang CloudFront mendukung, seperti `GET` dan`HEAD`, maka Anda tidak perlu mengkonfigurasi AWS WAF untuk memblokir permintaan yang menggunakan metode lain. Jika Anda ingin mengizinkan kombinasi metode yang CloudFront tidak mendukung, seperti,, dan `GET` `HEAD``POST`, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian gunakan AWS WAF untuk memblokir permintaan yang menggunakan metode lain.
Untuk informasi selengkapnya tentang memilih metode yang CloudFront merespons, lihat [Metode HTTP yang Diizinkan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) dalam topik [Nilai yang Anda Tentukan Saat Membuat atau Memperbarui Distribusi Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) di *Panduan CloudFront Pengembang Amazon*.
**Konfigurasi metode HTTP yang diizinkan dalam distribusi multi-tenant**
Untuk distribusi multi-tenant, konfigurasi metode HTTP yang ditetapkan pada tingkat distribusi multi-tenant berlaku untuk semua distribusi penyewa secara default. Distribusi penyewa dapat mengganti pengaturan ini jika diperlukan.
+ Jika Anda ingin menggunakan kombinasi metode yang CloudFront mendukung, seperti `GET` dan`HEAD`, Anda tidak perlu mengonfigurasi AWS WAF untuk memblokir permintaan yang menggunakan metode lain.
+ Jika Anda ingin mengizinkan kombinasi metode yang CloudFront tidak mendukung secara default, seperti,, dan `GET` `HEAD``POST`, Anda dapat mengonfigurasi CloudFront untuk menanggapi semua metode, dan kemudian gunakan AWS WAF untuk memblokir permintaan yang menggunakan metode lain.
Saat menerapkan header keamanan dalam distribusi multi-tenant, pertimbangkan hal berikut:
+ Header keamanan tingkat templat memberikan perlindungan dasar di semua distribusi penyewa
+ Distribusi penyewa dapat:
+ Tambahkan header keamanan baru yang tidak ditentukan dalam distribusi multi-tenant
+ Ubah nilai untuk header khusus penyewa
+ Tidak dapat menghapus atau mengganti header keamanan yang disetel pada tingkat distribusi multi-penyewa
+ Pertimbangkan untuk menggunakan header tingkat distribusi multi-tenant untuk kontrol keamanan penting yang harus berlaku untuk semua penyewa
## Pertimbangan penebangan
Distribusi standar dan multi-tenant mendukung AWS WAF pencatatan, tetapi ada perbedaan penting dalam bagaimana log disusun dan dikelola:
**Perbandingan logging**
| Distribusi standar | Distribusi multi-penyewa |
| --- | --- |
| Satu konfigurasi log per distribusi | Opsi pencatatan template dan tingkat penyewa |
| Bidang log standar | Bidang pengenal penyewa tambahan |
| Tujuan tunggal per distribusi | Tujuan terpisah dimungkinkan untuk distribusi multi-penyewa dan log penyewa |
## Sumber daya tambahan
+ *Untuk mempelajari lebih lanjut tentang distribusi multi-penyewa, lihat [Mengonfigurasi distribusi di Panduan Pengembang](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Amazon. CloudFront *
+ Untuk mempelajari lebih lanjut tentang menggunakan AWS WAF dengan CloudFront, lihat [Menggunakan AWS WAF perlindungan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) di *Panduan CloudFront Pengembang Amazon*.
+ Untuk mempelajari lebih lanjut tentang AWS WAF log, lihat[Bidang log untuk lalu lintas paket perlindungan (web ACL)](logging-fields.md).