本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

将经过验证的访问权限与 AWS WAF

除了 Verified Access 强制执行的身份验证和授权规则外，您可能还需要应用外围保护。这可以帮助您保护应用程序免受其他威胁。您可以通过 AWS WAF 集成到您的已验证访问部署中来实现此目的。 AWS WAF 是一个 Web 应用程序防火墙，允许您监控转发到受保护的 Web 应用程序资源的HTTP请求。有关更多信息，请参见AWS WAF 开发人员指南。

您可以通过将 AWS WAF Web 访问控制列表 (ACL) AWS WAF 与已验证访问实例关联来与已验证访问权限集成。Web ACL 是一种 AWS WAF 资源，可让您精细控制受保护资源响应的所有 HTTP Web 请求。在处理 AWS WAF 关联或取消关联请求时，连接到该实例的所有已验证访问终端节点的状态都显示为updating。请求完成后，状态将恢复为 active。您可以通过使用描述终端节点来查看 AWS Management Console 或中的状态 AWS CLI。

用户身份信任提供商决定何时 AWS WAF 检查流量。如果您使用 IAM Identity Cen AWS WAF ter，则会在用户身份验证之前检查流量。如果您使用 OpenID Connect (OIDC)，则会在用户身份验证后 AWS WAF 检查流量。

所需的 IAM 权限

AWS WAF 与 Verified Access 集成包括与操作不直接对应的仅限权限的API操作。 AWS Identity and Access Management 服务授权参考中用 [permission only] 指明这些操作。参见《服务授权参考》EC2中的 Amazon 操作、资源和条件密钥。

要使用网络ACL，您的 AWS Identity and Access Management 委托人必须具有以下权限。

关联网 AWS WAF 页 ACL

以下步骤演示如何使用已验证访问控制台将 AWS WAF Web 访问控制列表 (ACL) 与已验证的访问权限实例相关联。

先决条件

在开始之前，先创建一个 AWS WAF 网站ACL。有关更多信息，请参阅《AWS WAF 开发者指南》ACL中的创建网站。

或者，您可以使用 AWS WAF 控制台。如果您使用 AWS WAF 控制台或API，则需要已验证访问实例的 Amazon 资源名称 (ARN)。AVAARN的格式如下:arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}. 有关更多信息，请参阅《AWS WAF 开发者指南》中的将网站ACL与 AWS 资源关联。

检查关联的状态

您可以使用已验证访问控制台来验证 AWS WAF Web 访问控制列表 (ACL) 是否与已验证访问实例相关联。

取消与网站的 AWS WAF 关联 ACL

以下步骤演示如何使用已验证访问控制台解除 AWS WAF Web 访问控制列表 (ACL) 与已验证访问实例的关联。

或者，您可以使用 AWS WAF 控制台。有关更多信息，请参阅《AWS WAF 开发者指南》中的取消网站ACL与 AWS 资源的关联。