Gestione degli AWS WAF ACL Web - AWS App Runner
Console App RunnerAWS CLITest e registrazione degli ACL Web AWS WAF

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli AWS WAF ACL Web

Gestisci gli ACL AWS WAF Web per il tuo servizio App Runner utilizzando uno dei seguenti metodi:

Console App Runner

Quando crei un servizio o ne aggiorni uno esistente sulla console App Runner, puoi associare o dissociare un AWS WAF ACL Web.

Nota

  • Un servizio App Runner può essere associato a un solo ACL web. Tuttavia, è possibile associare un ACL Web a più di un servizio App Runner oltre ad altre risorse. AWS

  • Prima di associare un ACL web, assicurati di aggiornare le autorizzazioni IAM per. AWS WAF Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .

Associazione AWS WAF di un ACL web

Importante

Le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le ACL Web WAF.

AWS WAF Per associare un ACL web

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. A seconda che tu stia creando o aggiornando un servizio, esegui una delle seguenti operazioni:

    • Se stai creando un nuovo servizio, scegli Crea un servizio App Runner e vai a Configura servizio.

    • Se stai aggiornando un servizio esistente, scegli la scheda Configurazione, quindi scegli Modifica in Configura servizio.

  3. Vai a Web Application Firewall in Sicurezza.

  4. Scegli il pulsante Attiva per visualizzare le opzioni.

    Il layout della console App Runner, che mostra le opzioni del Web Application Firewall.

  5. Eseguire una delle seguenti fasi:

    • Per associare un ACL Web esistente: scegli l'ACL Web richiesto dalla tabella Scegli un ACL Web da associare al servizio App Runner.

    • Per creare un nuovo ACL Web: scegli Crea ACL Web per creare un nuovo ACL Web utilizzando la console. AWS WAF Per ulteriori informazioni, consulta Creazione di un ACL Web nella Guida per gli sviluppatori.AWS WAF

      1. Scegli il pulsante di aggiornamento per visualizzare l'ACL web appena creato nella tabella Scegli un ACL web.

      2. Seleziona l'ACL web richiesto.

  6. Scegli Avanti se stai creando un nuovo servizio o Salva modifiche se stai aggiornando un servizio esistente. L'ACL web selezionato è associato al servizio App Runner.

  7. Per verificare l'associazione ACL web, scegli la scheda Configurazione del tuo servizio e vai a Configura servizio. Scorri fino a Web Application Firewall in Sicurezza per visualizzare i dettagli dell'ACL web associato al tuo servizio.

    Nota

    Quando crei un ACL Web, trascorre un breve periodo di tempo prima che l'ACL Web si propaghi completamente e sia disponibile per App Runner. Il tempo di propagazione può variare da pochi secondi a diversi minuti. AWS WAF restituisce a WAFUnavailableEntityException quando si tenta di associare un ACL Web prima che si sia completamente propagato.

    Se si aggiorna il browser o si esce dalla console App Runner prima che l'ACL Web sia completamente propagato, l'associazione non viene eseguita. Tuttavia, puoi navigare all'interno della console App Runner.

Dissociazione di un ACL Web AWS WAF

Puoi dissociare l'ACL AWS WAF web che non ti serve più aggiornando il servizio App Runner.

Per dissociare un Web ACl AWS WAF

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Vai alla scheda Configurazione del servizio che desideri aggiornare e scegli Modifica in Configura servizio.

  3. Vai a Web Application Firewall in Sicurezza.

  4. Disattiva il pulsante Attiva. Riceverai un messaggio per confermare l'eliminazione.

  5. Scegli Conferma. L'ACL web è dissociato dal servizio App Runner.

    Nota

    • Se desideri associare il tuo servizio a un altro ACL web, seleziona un ACL web dalla tabella Scegli un ACL web. App Runner dissocia l'ACL web corrente e avvia il processo di associazione all'ACL web selezionato.

    • Se nessun altro servizio o risorsa di App Runner utilizza un ACL web dissociato, valuta la possibilità di eliminare l'ACL web. In caso contrario, continuerai a sostenere dei costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS WAF. Per istruzioni su come eliminare un ACL Web, consulta DeleteWebACL nell'API Reference.AWS WAF

    • Non puoi eliminare un ACL web associato ad altri servizi App Runner attivi o ad altre risorse.

AWS CLI

È possibile associare o dissociare un ACL AWS WAF Web utilizzando le API pubbliche. AWS WAF Il servizio App Runner, a cui si desidera associare o dissociare un ACL Web, deve trovarsi in uno stato valido.

AWS WAF restituisce un WAFNonexistentItemException errore quando si chiama una delle seguenti AWS WAF API per un servizio App Runner che si trova in uno stato non valido:

  • AssociateWebACL

  • DisassociateWebACL

  • GetWebACLForResource

Gli stati non validi per il servizio App Runner includono:

  • CREATE_FAILED

  • DELETE_FAILED

  • DELETED

  • OPERATION_IN_PROGRESS

    Nota

    OPERATION_IN_PROGRESSlo stato non è valido solo se il servizio App Runner viene eliminato.

Per ulteriori informazioni sulle API AWS WAF pubbliche, consulta la Guida di riferimento delle AWS WAF API.

Nota

Aggiorna le tue autorizzazioni IAM per. AWS WAF Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .

Associazione dell'ACL AWS WAF web tramite AWS CLI

Importante

Le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le ACL Web WAF.

AWS WAF Per associare un ACL web

  1. Crea un ACL AWS WAF Web per il tuo servizio con il set preferito di azioni di regole Allow o richieste Web Block al tuo servizio. Per ulteriori informazioni sulle AWS WAF API, consulta CreateWebACL nella Guida di riferimento delle AWS WAF API.

    Esempio Crea un ACL web - Richiesta
    aws wafv2
create-web-acl
--region <region>
--name <web-acl-name>
--scope REGIONAL
--default-action Allow={}
--visibility-config <file-name.json>
# This is the file containing the WAF web ACL rules.

  2. Associa l'ACL web che hai creato al servizio App Runner utilizzando l'associate-web-acl AWS WAF API pubblica. Per ulteriori informazioni sulle AWS WAF API, consulta AssociateWebACL nella Guida di riferimento delle AWS WAF API.

    Nota

    Quando si crea un ACL Web, trascorre un breve lasso di tempo prima che l'ACL Web si propaghi completamente e sia disponibile per App Runner. Il tempo di propagazione può variare da pochi secondi a diversi minuti. AWS WAF restituisce a WAFUnavailableEntityException quando si tenta di associare un ACL Web prima che si sia completamente propagato.

    Se si aggiorna il browser o si esce dalla console App Runner prima che l'ACL Web sia completamente propagato, l'associazione non viene eseguita. Tuttavia, puoi navigare all'interno della console App Runner.

    Esempio Associazione di un ACL web - Richiesta
    aws wafv2 associate-web-acl
--resource-arn <apprunner_service_arn>
--web-acl-arn <web_acl_arn>
--region <region>

  3. Verifica che l'ACL web sia associato al tuo servizio App Runner utilizzando l'API pubblica. get-web-acl-for-resource AWS WAF Per ulteriori informazioni sulle AWS WAF API, consulta GetWebACL ForResource nella Guida di riferimento delle AWS WAF API.

    Esempio Verifica l'ACL web per la risorsa - Request
    aws wafv2 get-web-acl-for-resource
--resource-arn <apprunner_service_arn>
--region <region>

    Se non ci sono ACL web associati al tuo servizio, riceverai una risposta vuota.

Eliminazione di un ACL AWS WAF Web utilizzando AWS CLI

Non è possibile eliminare un ACL AWS WAF Web se è associato a un servizio App Runner.

Per eliminare un ACL web AWS WAF

  1. Dissocia l'ACL web dal tuo servizio App Runner utilizzando l'API pubblica. disassociate-web-acl AWS WAF Per ulteriori informazioni sulle AWS WAF API, consulta DisassociateWebACL nella Guida di riferimento delle API.AWS WAF

    Esempio Dissociazione di un ACL web - Richiesta
    aws wafv2 disassociate-web-acl
--resource-arn <apprunner_service_arn>
--region <region>

  2. Verifica che l'ACL Web sia dissociato dal servizio App Runner utilizzando l'API pubblica. get-web-acl-for-resource AWS WAF

    Esempio Verifica che l'ACL web sia dissociato - Richiesta
    aws wafv2 get-web-acl-for-resource
--resource-arn <apprunner_service_arn>
--region <region>

    L'ACL web dissociato non è elencato per il tuo servizio App Runner. Se non ci sono ACL web associati al tuo servizio, riceverai una risposta vuota.

  3. Elimina l'ACL web dissociato utilizzando l'delete-web-acl AWS WAF API pubblica. Per ulteriori informazioni sulle AWS WAF API, consulta DeleteWebACL nella Guida di riferimento delle AWS WAF API.

    Esempio Eliminare un ACL Web - Richiesta
    aws wafv2 delete-web-acl
--name <web_acl_name>
--scope REGIONAL
--id <web_acl_id>
--lock-token <web_acl_lock_token>
--region <region>

  4. Verifica che l'ACL Web venga eliminato utilizzando l'API list-web-acl AWS WAF pubblica. Per ulteriori informazioni sulle AWS WAF API, consulta gli ListWebACL nella Guida di riferimento delle AWS WAF API.

    Esempio Verifica che l'ACL Web sia eliminato - Richiesta
    aws wafv2 list-web-acls 
--scope REGIONAL
--region <region>

    L'ACL web eliminato non è più presente nell'elenco.

    Nota

    Se un ACL Web è associato ad altri servizi App Runner attivi o ad altre risorse, come i pool di utenti di Amazon Cognito, l'ACL Web non può essere eliminato.

Elenco dei servizi App Runner associati a un ACL web

Un ACL web può essere associato a più servizi App Runner e altre risorse. Elenca i servizi App Runner associati a un ACL Web utilizzando l'API pubblica. list-resources-for-web-acl AWS WAF Per ulteriori informazioni sulle AWS WAF API, consulta ListResourcesForWebACL nella Guida di riferimento delle AWS WAF API.

Esempio Elenca i servizi App Runner associati a un ACL web - Request
aws wafv2 list-resources-for-web-acl
--web-acl-arn <WEB_ACL_ARN>
--resource-type APP_RUNNER_SERVICE
--region <REGION>
Esempio Elenca i servizi App Runner associati a un ACL web - Response

L'esempio seguente illustra la risposta quando non ci sono servizi App Runner associati a un ACL web.

{
  "ResourceArns": []
}
Esempio Elenca i servizi App Runner associati a un ACL web - Response

L'esempio seguente illustra la risposta quando esistono servizi App Runner associati a un ACL Web.

{
  "ResourceArns": [
    "arn:aws:apprunner:<region>:<aws_account_id>:service/<service_name>/<service_id>"
  ]
}

Test e registrazione degli ACL Web AWS WAF

Quando imposti un'azione della regola su Count nell'ACL web, AWS WAF aggiunge la richiesta a un conteggio di richieste che corrispondono alla regola. Per testare un ACL web con il servizio App Runner, imposta le azioni delle regole su Count e considera il volume di richieste che corrispondono a ciascuna regola. Ad esempio, imposti una regola per l'Blockazione che corrisponde a un gran numero di richieste che ritieni essere il normale traffico utente. In tal caso, potrebbe essere necessario riconfigurare la regola. Per ulteriori informazioni, consulta Testare e ottimizzare AWS WAF le protezioni nella Guida per gli AWS WAF sviluppatori.

Puoi anche configurare AWS WAF per registrare le intestazioni delle richieste in un gruppo di log di Amazon CloudWatch Logs, un bucket Amazon Simple Storage Service (Amazon S3) o un Amazon Data Firehose. Per ulteriori informazioni, consulta Registrazione del traffico ACL Web nella Guida per gli sviluppatori di AWS WAF .

Per accedere ai log relativi all'ACL web associato al tuo servizio App Runner, consulta i seguenti campi di registro:

  • httpSourceName: Contiene APPRUNNER

  • httpSourceId: Contiene customeraccountid-apprunnerserviceid

Per ulteriori informazioni, consulta Log Examples nella AWS WAF Developer Guide.

Importante

Le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le ACL Web WAF.