Configuração necessária para Application Load Balancers que são origens do CloudFront - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Configuração necessária para Application Load Balancers que são origens do CloudFront

Leia esta seção se você associar sua web ACL a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição do CloudFront.

Com essa arquitetura, você precisa fornecer a seguinte configuração adicional para que as informações do token sejam tratadas corretamente.

  • Configure o CloudFront para encaminhar o cookie aws-waf-token para o Application Load Balancer. Por padrão, o CloudFront remove os cookies antes de encaminhar a solicitação para a origem. Para manter o cookie do token com a solicitação da web, configure o comportamento do cache do CloudFront para incluir apenas o cookie do token ou todos os cookies. Para obter informações sobre como fazer isso, consulte Conteúdo do armazenamento em cache com base em cookies no Guia do desenvolvedor do Amazon CloudFront.

  • Configure o AWS WAF para que ele reconheça o domínio da distribuição do CloudFront como um domínio de token válido. Por padrão, o CloudFront define o cabeçalho Host como a origem do Application Load Balancer e o AWS WAF usa isso como o domínio do recurso protegido. O navegador do cliente, no entanto, vê a distribuição do CloudFront como o domínio do host, e os tokens gerados para o cliente usam o domínio do CloudFront como o domínio do token. Sem nenhuma configuração adicional, quando o AWS WAF verifica o domínio do recurso protegido em relação ao domínio do token, haverá uma incompatibilidade. Para corrigir isso, adicione o nome de domínio da distribuição do CloudFront à lista de domínios de tokens na sua configuração de web ACL. Para obter informações sobre como fazer isso, consulte Configuração da lista de domínios de tokens da ACL da Web no AWS WAF.