Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Associazione di un AWS WAF Web a un pool di utenti ACL
AWS WAF è un firewall per applicazioni Web. Con una AWS WAF lista di controllo degli accessi Web (webACL), puoi proteggere il tuo pool di utenti da richieste indesiderate all'interfaccia utente ospitata e agli endpoint del API servizio Amazon Cognito. Un Web ti ACL offre un controllo dettagliato su tutte le richieste HTTPS Web a cui risponde il tuo pool di utenti. Per ulteriori informazioni sul AWS WAF webACLs, consulta Gestione e utilizzo di una lista di controllo degli accessi Web (webACL) nella Guida per gli sviluppatori.AWS WAF
Quando hai un AWS WAF Web ACL associato a un pool di utenti, Amazon Cognito inoltra le intestazioni e i contenuti selezionati non riservati delle richieste degli utenti a. AWS WAF AWS WAF esamina il contenuto della richiesta, la confronta con le regole che hai specificato nel tuo sito Web ACL e restituisce una risposta ad Amazon Cognito.
Cose da sapere sul AWS WAF Web ACLs e Amazon Cognito
-
Le richieste bloccate da AWS WAF non vengono conteggiate ai fini della quota di richiesta per nessun tipo di richiesta. Il AWS WAF gestore viene chiamato prima dei gestori di API throttling di livello.
-
Quando crei un WebACL, trascorre un breve lasso di tempo prima che il Web ACL si sia completamente propagato e sia disponibile per Amazon Cognito. Il tempo di propagazione può variare da pochi secondi a diversi minuti. AWS WAF restituisce a
WAFUnavailableEntityException
quando si tenta di associare un Web ACL prima che si sia completamente propagato. -
È possibile associare un Web ACL a un pool di utenti.
-
La richiesta potrebbe comportare un payload superiore ai limiti di quanto AWS WAF può controllare. Consulta Gestione dei componenti di richieste sovradimensionate nella AWS WAF Developer Guide per scoprire come configurare come AWS WAF gestire le richieste sovradimensionate da Amazon Cognito.
-
Non puoi associare un sito Web ACL che utilizza la prevenzione dell'acquisizione di account AWS WAF Fraud Control (ATP) a un pool di utenti di Amazon Cognito. Implementa la ATP funzionalità quando aggiungi il gruppo di regole
AWS-AWSManagedRulesATPRuleSet
gestito. Prima di associarla a un pool di utenti, assicurati che il tuo Web ACL non utilizzi questo gruppo di regole gestito. -
Quando hai un AWS WAF Web ACL associato a un pool di utenti e una regola sul tuo sito web ACL presenta unCAPTCHA, ciò può causare un errore irreversibile nella registrazione dell'interfaccia utente ospitata. TOTP Per creare una regola che abbia un'CAPTCHAazione e non influisca sull'interfaccia utente TOTP ospitata, consulta. Configurazione del AWS WAF Web per l'interfaccia utente ospitata ACL TOTP MFA
AWS WAF esamina le richieste ai seguenti endpoint.
- Interfaccia utente ospitata
-
Richieste a tutti gli endpoint in Endpoint del pool di utenti e riferimento all'interfaccia utente ospitata.
- Operazioni pubbliche API
-
Richieste dalla tua app ad Amazon Cognito API che non utilizzano AWS credenziali per l'autorizzazione. Ciò include API operazioni come InitiateAuth, e RespondToAuthChallenge. GetUser Le API operazioni incluse nell'ambito di AWS WAF non richiedono l'autenticazione con AWS credenziali. Non sono autenticate o sono autorizzate con una stringa di sessione o un token di accesso. Per ulteriori informazioni, consulta Pool di utenti di Amazon Cognito, operazioni autenticate e non autenticate API.
Puoi configurare le regole nel tuo Web ACL con azioni che contano, consentono, bloccano o presentano una CAPTCHAin risposta a una richiesta che corrisponde a una regola. Per ulteriori informazioni, consulta Regole personalizzate AWS WAF nella Guida per gli sviluppatori di AWS WAF . A seconda dell'operazione della regola, è possibile personalizzare la risposta che Amazon Cognito restituisce agli utenti.
Importante
Le opzioni a tua disposizione per personalizzare la risposta all'errore dipendono dal modo in cui effettui una API richiesta.
-
È possibile personalizzare il codice di errore e il corpo della risposta delle richieste dell'interfaccia utente ospitata. Puoi solo presentare un messaggio CAPTCHA da risolvere all'utente nell'interfaccia utente ospitata.
-
Per le richieste effettuate con i pool di utenti di Amazon CognitoAPI, puoi personalizzare il corpo della risposta di una richiesta che riceve una risposta di blocco. È inoltre possibile specificare un codice di errore personalizzato compreso tra 400 e 499.
-
AWS Command Line Interface (AWS CLI) e AWS SDKs restituiscono un
ForbiddenException
errore alle richieste che producono un blocco o una CAPTCHArisposta.
Associazione di un Web ACL al pool di utenti
Per lavorare con un Web ACL nel tuo pool di utenti, il tuo AWS Identity and Access Management (IAM) principal deve disporre dei seguenti Amazon Cognito e AWS WAF delle seguenti autorizzazioni. Per informazioni sulle AWS WAF autorizzazioni, consulta le autorizzazioni nella AWS WAF APIGuida per gli sviluppatori.AWS WAF
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowWebACLUserPool", "Effect": "Allow", "Action": [ "cognito-idp:ListResourcesForWebACL", "cognito-idp:GetWebACLForResource", "cognito-idp:AssociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:
123456789012
:userpool/*" ] }, { "Sid": "AllowWebACLUserPoolWAFv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:AssociateWebACL", "wafv2:DisassociateWebACL", "wafv2:GetWebACLForResource" ], "Resource": "arn:aws:wafv2:*:123456789012
:*/webacl/*/*" }, { "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:DisassociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:123456789012
:userpool/*" ] } ] }
Da attivare AWS WAF per il tuo pool di utenti e associare un sito web ACL
-
Accedi alla console Amazon Cognito
. -
Nel pannello di navigazione, scegli User Pools (Bacini d'utenza) e seleziona i bacini d'utenza che intendi modificare.
-
Scegliere la scheda User pool properties (Proprietà del pool di utenti).
-
Scegliere Edit (Modifica) accanto a AWS WAF.
-
In AWS WAF, seleziona Usa AWS WAF con il tuo pool di utenti.
-
Scegliete un AWS WAF Web ACL già creato oppure scegliete Crea web ACL in AWS WAF per crearne uno in una nuova AWS WAF sessione in. AWS Management Console
-
Scegli Save changes (Salva modifiche).
Per associare a livello di codice un Web ACL al tuo pool di utenti in AWS Command Line Interface or anSDK, usa AssociateWebACLfrom. AWS WAF API Amazon Cognito non dispone di un'APIoperazione separata che associ un Web. ACL
Test e registrazione web AWS WAF ACLs
Quando imposti un'azione della regola su Count nel tuo sito webACL, AWS WAF aggiunge la richiesta a un conteggio di richieste che corrispondono alla regola. Per testare un sito Web ACL con il tuo pool di utenti, imposta le azioni della regola su Count e considera il volume di richieste che corrispondono a ciascuna regola. Ad esempio, se una regola che desideri impostare sull'operazione Block (Blocca) corrisponde a un gran numero di richieste che si ritiene sia un normale traffico utente, potrebbe essere necessario riconfigurare la regola. Per ulteriori informazioni, consulta Testare e ottimizzare AWS WAF le protezioni nella Guida per gli AWS WAF sviluppatori.
Puoi anche configurare AWS WAF per registrare le intestazioni delle richieste in un gruppo di log di Amazon CloudWatch Logs, un bucket Amazon Simple Storage Service (Amazon S3) o un Amazon Data Firehose. Puoi identificare le richieste Amazon Cognito che effettui con i pool API di utenti alla x-amzn-cognito-client-id
fine. x-amzn-cognito-operation-name
Le richieste di interfaccia utente ospitate includono solo l'intestazione x-amzn-cognito-client-id
. Per ulteriori informazioni, consulta la sezione Registrazione ACL del traffico web nella AWS WAF Developer Guide.
AWS WAF il web ACLs non è soggetto ai prezzi
I dati della AWS WAF richiesta di registrazione sono soggetti a una fatturazione aggiuntiva da parte del servizio a cui vengono indirizzati i log. Per ulteriori informazioni, consulta la sezione Prezzi per la registrazione delle informazioni sul ACL traffico web nella Guida per gli sviluppatori.AWS WAF