Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS WAF è un firewall per applicazioni Web che puoi utilizzare per proteggere il tuo servizio App Runner. Con AWS WAF gli elenchi di controllo degli accessi Web (web ACLs), puoi proteggere gli endpoint del servizio App Runner da exploit Web comuni e bot indesiderati.
Un ACL web ti offre un controllo dettagliato su tutte le richieste web in arrivo al tuo servizio App Runner. È possibile definire regole in un ACL Web per consentire, bloccare o monitorare il traffico Web, per garantire che solo le richieste autorizzate e legittime raggiungano le applicazioni Web e. APIs È possibile personalizzare le regole ACL Web in base alle esigenze aziendali e di sicurezza specifiche. Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sulle best practice per l'applicazione della rete ACLs, consulta Control network traffic nella Amazon VPC User Guide.
Importante
Le regole IP di origine per i servizi privati di App Runner associati al web WAF ACLs non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le regole Web WAF. ACLs
Flusso di richieste web in entrata
Quando un ACL AWS WAF Web è associato a un servizio App Runner, le richieste Web in entrata passano attraverso il seguente processo:
-
App Runner inoltra il contenuto della richiesta di origine a. AWS WAF
-
AWS WAF ispeziona la richiesta e ne confronta il contenuto con le regole specificate nell'ACL web.
-
In base alla sua ispezione, AWS WAF restituisce una
blockrispostaallowor ad App Runner.-
Se viene restituita una
allowrisposta, App Runner inoltra la richiesta all'applicazione. -
Se viene restituita una
blockrisposta, App Runner impedisce alla richiesta di raggiungere l'applicazione web. Inoltra lablockrisposta AWS WAF all'applicazione.Nota
Per impostazione predefinita, App Runner blocca la richiesta se non viene restituita alcuna risposta. AWS WAF
-
Per ulteriori informazioni sul AWS WAF web ACLs, consulta Web access control lists (web ACLs) nella AWS WAF Developer Guide.
Nota
Paghi un AWS WAF prezzo standard. Non è previsto alcun costo aggiuntivo per l'utilizzo del AWS WAF Web ACLs per i servizi App Runner. Per ulteriori informazioni sui prezzi, consulta Prezzi.AWS WAF
Associazione di WAF web ACLs al servizio App Runner
Di seguito è riportato il processo di alto livello per associare un ACL AWS WAF web al servizio App Runner:
-
Crea un ACL web nella console. AWS WAF Per ulteriori informazioni, consulta Creazione di un ACL Web nella Guida per gli AWS WAF sviluppatori.
-
Aggiorna le tue autorizzazioni AWS Identity and Access Management (IAM) per. AWS WAF Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .
-
Associate l'ACL Web al servizio App Runner utilizzando uno dei seguenti metodi:
-
Console App Runner: associa un ACL Web esistente utilizzando la console App Runner quando crei o aggiorni un servizio App Runner. Per istruzioni, consulta Gestione del web. AWS WAF ACLs
-
AWS WAF console: associa l'ACL Web utilizzando la AWS WAF console per un servizio App Runner esistente. Per ulteriori informazioni, consulta Associare o dissociare un ACL Web con una risorsa AWS nella Developer Guide.AWS WAF
-
AWS CLI: Associa l'ACL web utilizzando l'ACL pubblico. AWS WAF APIs Per ulteriori informazioni su AWS WAF public APIs, consulta AssociateWebACL nella AWS WAF API Reference Guide.
-
Considerazioni
-
Le regole IP di origine per i servizi privati di App Runner associati a WAF web ACLs non rispettano le regole basate sull'IP. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché le regole Web WAF. ACLs
-
Un servizio App Runner può essere associato a un solo ACL web. Tuttavia, è possibile associare un ACL Web a più servizi App Runner e a più risorse. AWS Gli esempi includono i pool di utenti di Amazon Cognito e le risorse Application Load Balancer.
-
Quando crei un ACL Web, passa un breve lasso di tempo prima che l'ACL Web si propaghi completamente e sia disponibile per App Runner. Il tempo di propagazione può variare da pochi secondi a diversi minuti. AWS WAF restituisce a
WAFUnavailableEntityExceptionquando si tenta di associare un ACL Web prima che si sia completamente propagato.Se si aggiorna il browser o si esce dalla console App Runner prima che l'ACL Web sia completamente propagato, l'associazione non viene eseguita. Tuttavia, puoi navigare all'interno della console App Runner.
-
AWS WAF restituisce un
WAFNonexistentItemExceptionerrore quando si chiama una delle seguenti opzioni AWS WAF APIs per un servizio App Runner che si trova in uno stato non valido:-
AssociateWebACL -
DisassociateWebACL -
GetWebACLForResource
Gli stati non validi per il servizio App Runner includono:
-
CREATE_FAILED -
DELETE_FAILED -
DELETED -
OPERATION_IN_PROGRESSNota
OPERATION_IN_PROGRESSlo stato non è valido solo se il servizio App Runner viene eliminato.
-
-
La tua richiesta potrebbe comportare un carico utile superiore ai limiti di ciò AWS WAF che può ispezionare. Per ulteriori informazioni su come AWS WAF gestisce le richieste di grandi dimensioni provenienti da App Runner, consulta Gestione dei componenti di richieste di grandi dimensioni nella Guida per gli AWS WAF sviluppatori per scoprire come AWS WAF gestire le richieste di grandi dimensioni provenienti da App Runner.
-
Se non imposti regole appropriate o i modelli di traffico cambiano, un ACL web potrebbe non essere altrettanto efficace nel proteggere l'applicazione.
Autorizzazioni
Per utilizzare un ACL Web AWS App Runner, aggiungi le seguenti autorizzazioni IAM per: AWS WAF
-
apprunner:ListAssociatedServicesForWebAcl -
apprunner:DescribeWebAclForService -
apprunner:AssociateWebAcl -
apprunner:DisassociateWebAcl
Per ulteriori informazioni sulle autorizzazioni IAM, consulta Policies and permissions in IAM nella IAM User Guide.
Di seguito è riportato un esempio della policy IAM aggiornata per. AWS WAF Questa policy IAM include le autorizzazioni necessarie per lavorare con un servizio App Runner.
{
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"wafv2:ListResourcesForWebACL",
"wafv2:GetWebACLForResource",
"wafv2:AssociateWebACL",
"wafv2:DisassociateWebACL",
"apprunner:ListAssociatedServicesForWebAcl",
"apprunner:DescribeWebAclForService",
"apprunner:AssociateWebAcl",
"apprunner:DisassociateWebAcl"
],
"Resource":"*"
}
]
}Nota
Sebbene sia necessario concedere le autorizzazioni IAM, le azioni elencate fanno riferimento solo alle autorizzazioni e non corrispondono a un'operazione API.
