AWS WAF에서 토큰 도메인 및 도메인 목록 지정 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
웹 ACL 토큰 도메인 목록토큰 도메인 설정

AWS WAF에서 토큰 도메인 및 도메인 목록 지정

이 섹션에서는 AWS WAF에서 토큰에서 사용하고 허용하는 도메인을 구성하는 방법에 대해 설명합니다.

AWS WAF는 클라이언트용 토큰을 생성할 때 이 토큰을 토큰 도메인을 사용하여 구성합니다. AWS WAF는 웹 요청에서 토큰을 검사할 때 해당 도메인이 웹 ACL에 유효한 것으로 간주되는 도메인과 일치하지 않는 경우 토큰을 유효하지 않은 것으로 간주하여 거부합니다.

기본적으로 AWS WAF는 도메인 설정이 웹 ACL과 연결된 리소스의 호스트 도메인과 정확히 일치하는 토큰만 수락합니다. 웹 요청의 Host 헤더 값입니다. 브라우저의 avaScript window.location.hostname 속성과 사용자의 주소 표시줄에 표시되는 주소에서 이 도메인을 찾을 수 있습니다.

다음 섹션에 설명된 바와 같이 웹 ACL 구성에서 허용 가능한 토큰 도메인을 지정할 수도 있습니다. 이 경우 AWS WAF는 호스트 헤더와 정확히 일치하는 항목과 토큰 도메인 목록에 있는 도메인과 일치하는 항목을 모두 허용합니다.

도메인을 설정할 때와 웹 ACL에서 토큰을 평가할 때 AWS WAF에서 사용할 토큰 도메인을 지정할 수 있습니다. gov.au와 같은 공개 접미사는 도메인으로 지정할 수 없습니다. 사용할 수 없는 도메인의 경우 공개 접미사 목록의 https://publicsuffix.org/list/public_suffix_list.dat 목록을 참조하세요.

AWS WAF 웹 ACL 토큰 도메인 목록 구성

AWS WAF에서 허용할 추가 도메인이 포함된 토큰 도메인 목록을 제공하여 보호된 여러 리소스 간에 토큰을 공유하도록 웹 ACL을 구성할 수 있습니다. AWS WAF는 토큰 도메인 목록을 사용하여 여전히 리소스의 호스트 도메인을 허용합니다. 또한 접두사가 붙은 하위 도메인을 포함하여 토큰 도메인 목록의 모든 도메인을 허용합니다.

예를 들어 토큰 도메인 목록의 도메인 사양 example.comexample.com(http://example.com/), api.example.com(http://api.example.com/) 및 www.example.com(http://www.example.com/)와 일치합니다. example.api.com(http://example.api.com/) 또는 apiexample.com(http://apiexample.com/)과는 일치하지 않습니다.

웹 ACL을 만들거나 편집할 때 웹 ACL에서 토큰 도메인 목록을 구성할 수 있습니다. 웹 ACL의 관리에 대한 일반적인 정보는 AWS WAF에서 웹 트래픽 지표 보기 섹션을 참조하세요.

AWS WAF 토큰 도메인 설정

AWS WAF는 챌린지 스크립트의 요청에 따라 토큰을 생성합니다. 그러면 이러한 토큰은 애플리케이션 통합 SDK와 Challenge 및 CAPTCHA 규칙 작업에 의해 실행됩니다.

AWS WAF가 토큰에 설정하는 도메인은 토큰을 요청하는 챌린지 스크립트의 유형과 사용자가 제공하는 추가 토큰 도메인 구성에 따라 결정됩니다. AWS WAF는 토큰의 도메인을 구성에서 찾을 수 있는 가장 짧고 가장 일반적인 설정으로 설정합니다.

  • JavaScript SDK - 토큰 도메인 사양을 사용하여 JavaScript SDK를 구성할 수 있으며, 이 사양에는 하나 이상의 도메인이 포함될 수 있습니다. 구성하는 도메인은 AWS WAF에서 보호된 호스트 도메인과 웹 ACL의 토큰 도메인 목록에 기반하여 허용할 도메인이어야 합니다.

    AWS WAF는 클라이언트용 토큰을 발급할 때 토큰 도메인을 호스트 도메인과 일치하고 호스트 도메인 및 구성된 목록에 있는 도메인 중에서 가장 짧은 것으로 설정합니다. 예를 들어, 호스트 도메인이 api.example.com 이고 토큰 도메인 목록에 example.com이 있는 경우, AWS WAF는 토큰에서 example.com를 사용합니다. 이 도메인이 호스트 이름과 일치하고 더 짧기 때문입니다. JavaScript API 구성에 토큰 도메인 목록을 제공하지 않는 경우 AWS WAF는 도메인을 보호된 리소스의 호스트 도메인으로 설정합니다.

    자세한 내용은 토큰에 사용할 도메인 제공 섹션을 참조하세요.

  • 모바일 SDK - 애플리케이션 코드에서 토큰 도메인 속성을 사용하여 모바일 SDK를 구성해야 합니다. 이 속성은 AWS WAF에서 보호된 호스트 도메인과 웹 ACL의 토큰 도메인 목록에 기반하여 허용할 도메인이어야 합니다.

    AWS WAF는 클라이언트용 토큰을 발행할 때 이 속성을 토큰 도메인으로 사용합니다. AWS WAF는 모바일 SDK 클라이언트용으로 발행하는 토큰의 호스트 도메인을 사용하지 않습니다.

    자세한 내용은 AWS WAF 모바일 SDK 사양WAFConfiguration domainName 설정을 참조하세요.

  • Challenge 작업 - 웹 ACL에서 토큰 도메인 목록을 지정하는 경우, AWS WAF는 호스트 도메인과 일치하고 호스트 도메인 및 목록에 있는 도메인 중에서 가장 짧은 도메인으로 토큰 도메인을 설정합니다. 예를 들어, 호스트 도메인이 api.example.com이고 토큰 도메인 목록에 example.com이 있는 경우, AWS WAF는 토큰에서 example.com를 사용합니다. 이 도메인이 호스트 이름과 일치하고 더 짧기 때문입니다. 웹 ACL에 토큰 도메인 목록을 제공하지 않는 경우 AWS WAF는 도메인을 보호된 리소스의 호스트 도메인으로 설정합니다.