本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 是 Web 應用程式防火牆,可用來保護 App Runner 服務。使用 AWS WAF Web 存取控制清單 (Web ACLs),您可以保護 App Runner 服務端點免受常見的 Web 入侵和不需要的機器人影響。
Web ACL 可針對所有傳入的 Web 請求,提供精細的控制,以滿足您的 App Runner 服務。您可以在 Web ACL 中定義規則,以允許、封鎖或監控 Web 流量,以確保只有授權和合法的請求才能到達您的 Web 應用程式和 APIs。您可以根據您的特定業務和安全性需求自訂 Web ACL 規則。若要進一步了解基礎設施安全和套用網路 ACLs的最佳實務,請參閱《Amazon VPC 使用者指南》中的控制網路流量。
重要
與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 WAF Web ACLs。
傳入 Web 請求流程
當 AWS WAF Web ACL 與 App Runner 服務相關聯時,傳入的 Web 請求會經歷下列程序:
-
App Runner 會將原始伺服器請求的內容轉送至 AWS WAF。
-
AWS WAF 會檢查請求,並將其內容與您在 Web ACL 中指定的規則進行比較。
-
根據其檢查, 會 AWS WAF 傳回
allow或block回應給 App Runner。-
如果傳回
allow回應,App Runner 會將請求轉送到您的應用程式。 -
如果傳回
block回應,App Runner 會封鎖請求到達您的 Web 應用程式。它會將block回應從 轉送 AWS WAF 到您的應用程式。注意
如果未傳回任何回應,App Runner 預設會封鎖請求 AWS WAF。
-
如需 AWS WAF Web ACLs的詳細資訊,請參閱《 AWS WAF 開發人員指南》中的 Web 存取控制清單 (Web ACLs)。
注意
您支付標準 AWS WAF 定價。針對 App Runner 服務使用 AWS WAF Web ACLs 不會產生任何額外費用。
如需定價的詳細資訊,請參閱AWS WAF 定價
將 WAF Web ACLs 與您的 App Runner 服務建立關聯
以下是將 AWS WAF Web ACL 與您的 App Runner 服務建立關聯的高階程序:
-
在 AWS WAF 主控台中建立 Web ACL。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的建立 Web ACL。
-
更新您的 AWS Identity and Access Management (IAM) 許可 AWS WAF。如需詳細資訊,請參閱 許可。
-
使用下列其中一種方法,將 Web ACL 與 App Runner 服務建立關聯:
-
App Runner 主控台:建立或更新 App Runner 服務時,使用 App Runner 主控台建立現有 Web ACL 的關聯。如需說明,請參閱管理 AWS WAF Web ACLs。
-
AWS WAF 主控台:使用 AWS WAF 主控台建立 Web ACL 與現有 App Runner 服務的關聯。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的將 Web ACL 與 AWS 資源建立關聯或取消關聯。
-
AWS CLI:使用 AWS WAF 公有 APIs 建立 Web ACL 的關聯。如需 AWS WAF 公有 APIs的詳細資訊,請參閱 API AWS WAF 參考指南中的AssociateWebACL。
-
考量事項
-
與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須針對私有端點使用安全群組規則,而非 WAF Web ACLs。
-
App Runner 服務只能與一個 Web ACL 建立關聯。不過,您可以將一個 Web ACL 與多個 App Runner 服務和多個 AWS 資源建立關聯。範例包括 Amazon Cognito 使用者集區和 Application Load Balancer 資源。
-
當您建立 Web ACL 時,在 Web ACL 完全傳播並可供 App Runner 使用之前,會經過一小段時間。傳播時間可以是幾秒鐘到幾分鐘。當您嘗試在 Web ACL 完全傳播之前建立關聯
WAFUnavailableEntityException時, 會 AWS WAF 傳回 。如果您在 Web ACL 完全傳播之前重新整理瀏覽器或離開 App Runner 主控台,則關聯會失敗。不過,您可以在 App Runner 主控台內導覽。
-
AWS WAF 當您呼叫下列其中一個 AWS WAF APIs來取得處於無效狀態的 App Runner 服務時, 會傳回
WAFNonexistentItemException錯誤:-
AssociateWebACL -
DisassociateWebACL -
GetWebACLForResource
App Runner 服務的無效狀態包括:
-
CREATE_FAILED -
DELETE_FAILED -
DELETED -
OPERATION_IN_PROGRESS注意
OPERATION_IN_PROGRESS只有在刪除您的 App Runner 服務時,狀態才會無效。
-
-
您的請求可能會導致承載大於 AWS WAF 可檢查項目的限制。如需如何處理來自 App Runner AWS WAF 的超大請求的詳細資訊,請參閱《 AWS WAF 開發人員指南》中的超大請求元件處理,以了解如何處理來自 App Runner AWS WAF 的超大請求。
-
如果您未設定適當的規則或流量模式變更,Web ACL 可能無法有效保護您的應用程式。
許可
若要在 中使用 Web ACL AWS App Runner,請新增下列 IAM 許可 AWS WAF:
-
apprunner:ListAssociatedServicesForWebAcl -
apprunner:DescribeWebAclForService -
apprunner:AssociateWebAcl -
apprunner:DisassociateWebAcl
如需 IAM 許可的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的政策和許可。
以下是 的更新 IAM 政策範例 AWS WAF。此 IAM 政策包含使用 App Runner 服務的必要許可。
{
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"wafv2:ListResourcesForWebACL",
"wafv2:GetWebACLForResource",
"wafv2:AssociateWebACL",
"wafv2:DisassociateWebACL",
"apprunner:ListAssociatedServicesForWebAcl",
"apprunner:DescribeWebAclForService",
"apprunner:AssociateWebAcl",
"apprunner:DisassociateWebAcl"
],
"Resource":"*"
}
]
}注意
雖然您必須授與 IAM 許可,但列出的操作僅限許可,並且不對應於 API 操作。
