View a markdown version of this page

你可以用来保护的资源 AWS WAF - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、和 AWS Shield 网络安全总监

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

你可以用来保护的资源 AWS WAF

您可以使用 AWS WAF 保护包 (Web ACL) 来保护全球或区域资源类型。为此,您可以将保护包(web ACL)与要保护的资源关联起来。保护包(Web ACL)及其使用的任何 AWS WAF 资源都必须位于关联资源所在的区域。对于 Amazon CloudFront 分配,设置为美国东部(弗吉尼亚北部)。

亚马逊配 CloudFront 送

您可以使用 AWS WAF 控制台或将 AWS WAF 保护包 (Web ACL) 与 CloudFront 发行版相关联 APIs。在创建或更新 CloudFront 分发本身时,也可以将保护包 (Web ACL) 与发行版相关联。要在中配置关联 AWS CloudFormation,必须使用 CloudFront 分发配置。有关亚马逊的信息 CloudFront,请参阅《亚马逊 CloudFront 开发者指南》中的 “使用 AWS WAF 来控制对您的内容的访问权限”。

AWS WAF 可在全球范围内 CloudFront 分发,但您必须使用美国东部区域(弗吉尼亚北部)来创建您的保护包(Web ACL)以及保护包中使用的任何资源(Web ACL),例如规则组、IP 集和正则表达式模式集。有些接口提供 “Global (CloudFront)” 的区域选择。选择此选项等同于选择美国东部(弗吉尼亚州北部)地区或“us-east-1”。

区域性资源

您可以保护所有可用的区域中的区域资源。 AWS WAF 您可以参阅 Amazon Web Services 一般参考 中的 AWS WAF 端点和限额

您可以使用 AWS WAF 来保护以下区域资源类型:

  • Amazon API Gateway REST API

  • 应用程序负载均衡器

  • AWS AppSync GraphQL API

  • Amazon Cognito 用户池

  • AWS App Runner 服务

  • AWS 已验证访问实例

  • AWS Amplify

您只能将保护包(web ACL)关联到 AWS 区域中的应用程序负载均衡器。例如,您无法将保护包(web ACL)关联到 AWS Outposts上的应用程序负载均衡器。

您必须创建任何要与全球 CloudFront 区域的 Amplify 应用程序关联的保护包(Web ACL)。您的区域保护包(Web ACL)中可能已经有了 AWS 账户,但它们与 Amplify 不兼容。

保护包(Web ACL)及其使用的任何其他 AWS WAF 资源必须与受保护资源位于同一区域。在监控和管理受保护区域资源的 Web 请求时,请 AWS WAF 将所有数据与受保护资源保存在同一个区域。

对多重资源关联的限制

您可以将单个保护包 (Web ACL) 与一个或多个 AWS 资源关联,但有以下限制:

  • 您只能将每个 AWS 资源与一个保护包(Web ACL)相关联。保护包 (Web ACL) 和 AWS 资源之间的关系是 one-to-many。

  • 您可以将保护包 (Web ACL) 与一个或多个 CloudFront 发行版相关联。您不能将已与 CloudFront 分配关联的保护包 (Web ACL) 与任何其他 AWS 资源类型相关联。