本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
來源的應用程式負載平衡器所需的組態 CloudFront
如果您將 Web ACL 與應用程式負載平衡器建立關聯,並將應用程 Application Load Balancer 部署為 CloudFront 發佈的來源,請閱讀本節。
使用此架構,您需要提供以下附加配置,以便正確處理令牌信息。
進行設 CloudFront 定以將
aws-waf-tokenCookie 轉寄至 Application Load Balancer。預設情況下, CloudFront 會先從網頁要求中移除 Cookie,然後再將其轉寄至來源。要使用 Web 請求保留令牌 cookie,請配置 CloudFront 緩存行為以僅包含令牌 cookie 或所有 cookie。有關如何執行此操作的詳細資訊,請參閱 Amazon CloudFront 開發人員指南中的根據 Cookie 快取內容。進行配置, AWS WAF 以便它將 CloudFront分發的域識別為有效的令牌域。依預設,會將標
Host頭設 CloudFront 定為應用程式負載平衡器原點,並將其 AWS WAF 用作受保護資源的網域。不過,用戶端瀏覽器會將 CloudFront散佈視為主機網域,而針對用戶端產生的 Token 則會使用該 CloudFront 網域做為 Token 網域。如果沒有任何其他配置,當根據令牌域 AWS WAF 檢查受保護的資源域時,它將得到不匹配。若要修正此問題,請將 CloudFront 分發網域名稱新增至 Web ACL 組態中的權杖網域清單。如需如何進行該服務的詳細資訊,請參閱AWS WAF Web ACL 令牌域列表配置。
