本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amplify 如何与之集成 AWS WAF
<a name="amplify-waf-configuration"></a>

以下列表详细介绍了如何与防火墙支持集成，以及在创建网页并将其与 AWS WAF Amplify ACLs 应用程序关联时需要考虑的限制。
+ 您可以 AWS WAF 为任何类型的 Amplify 应用程序启用。这包括任何支持的框架、服务器端渲染 (SSR) 应用程序和完全静态的站点。 AWS WAF 支持 Amplify 第 1 代和第 2 代应用程序。
+ 您必须创建要与全球 (CloudFront) 区域中的 Amplify 应用程序关联的网站 ACLs 。您 ACLs 可能已经存在区域网络 AWS 账户，但它们与 Amplify 不兼容。
+ Web ACL 和 Amplify 应用程序必须在同一 AWS 账户中创建。您可以使用 AWS Firewall Manager 在多个之间复制 AWS WAF 规则 AWS 账户，以简化组织规则的集中化和分布在多个组织中的过程 AWS 账户。有关更多信息，请参阅《 AWS WAF 开发人员指南》**中的 [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
+ 您可以在同一 AWS 账户中的多个 Amplify 应用程序之间共享同一 Web ACL。所有应用程序都必须位于同一区域。
+ 将 Web ACL 关联到 Amplify 应用程序时，默认情况下该 Web ACL 会附加到该应用程序中的每个分支。当您创建新分支时，这些分支将会关联该 Web ACL。
+ 将 Web ACL 关联到 Amplify 应用程序时，将会自动关联到该应用程序的所有域。不过您可以使用主机标头匹配规则，来配置适用于单独域名的规则。
+ 您无法删除已关联到 Amplify 应用程序的 Web ACL。在 AWS WAF 控制台中删除 Web ACL 之前，需要将其与应用程序解除关联。

## Amplify Web ACL 资源策略
<a name="webacl-resource-policy"></a>

为允许 Amplify 访问您的 Web ACL，系统会在关联过程中间将一个资源策略附加到该 Web ACL。Amplify 会自动构造此资源策略，但你可以使用 API 进行查看。 AWS WAFV2 [GetPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetPermissionPolicy.html)需要具备以下 IAM 权限才能将 Web ACL 关联到 Amplify 应用程序。
+ 放大：AssociateWeb前交叉韧带
+ wafv2：前交叉韧带 AssociateWeb
+ wafv2：PutPermissionPolicy
+ wafv2：GetPermissionPolicy