将保护与 AWS 资源关联或取消关联 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

将保护与 AWS 资源关联或取消关联

您可以使用 AWS WAF,在保护包(web ACL)和资源之间创建以下关联:

  • 将区域保护包(web ACL)与下面列出的任何区域资源关联。对于此选项,保护包(web ACL)必须与您的资源位于同一区域。

    • Amazon API Gateway REST API

    • 应用程序负载均衡器

    • AWS AppSync GraphQL API

    • Amazon Cognito 用户池

    • AWS App Runner 服务

    • AWS 已验证访问实例

    • AWS Amplify

  • 将全局保护包(web ACL)与 Amazon CloudFront 分配关联 全局保护包(web ACL)将具有美国东部(弗吉尼亚州北部)区域的硬编码区域。

您还可以在创建或更新 CloudFront 分配自身时将保护包(web ACL)与该分配关联。有关信息,请参阅Amazon CloudFront 开发者指南中的使用 AWS WAF 控制对您的内容的访问

对多重关联的限制

您可以根据以下限制将单个保护包(web ACL)与一个或多个 AWS 资源关联:

  • 您只能将每个 AWS 资源与一个保护包(web ACL)关联。保护包(web ACL)和 AWS 资源之间的关系是一对多关系。

  • 您可以将保护包(web ACL)与一个或多个 CloudFront 分配相关联。您不能将已与 CloudFront 分配关联的保护包(web ACL)与任何其他 AWS 资源类型相关联。

其他限制。

当关联保护包(web ACL)时,以下限制也将适用:

  • 您只能将保护包(web ACL)关联到 AWS 区域 中的应用程序负载均衡器。例如,您无法将保护包(web ACL)关联到 AWS Outposts 上的应用程序负载均衡器。

  • 您无法将 Amazon Cognito 用户池与使用 AWS WAF 欺诈控制账户创建欺诈预防(ACFP)托管规则组 AWSManagedRulesACFPRuleSet 或 AWS WAF 欺诈控制账户盗用防护(ATP)托管规则组的 AWSManagedRulesATPRuleSet 保护包(web ACL)关联。有关账户创建欺诈预防的信息,请参阅 AWS WAF 欺诈控制账户创建欺诈预防(ACFP)。有关账户盗用防护的信息,请参阅 AWS WAF 欺诈控制账户盗用防护(ATP)

生产流量风险

在为生产流量部署保护包(web ACL)之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对您的规则进行测试和调整。有关指南,请参阅测试和调整您的 AWS WAF 保护