**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将保护与资源关联或取消关联 AWS
<a name="web-acl-associating-aws-resource"></a>

您可以使用 AWS WAF 在保护包 (Web ACLs) 和您的资源之间创建以下关联：
+ 将区域保护包（web ACL）与下面列出的任何区域资源关联。对于此选项，保护包（web ACL）必须与您的资源位于同一区域。
  + Amazon API Gateway REST API
  + 应用程序负载均衡器
  + AWS AppSync GraphQL API
  + Amazon Cognito 用户池
  + AWS App Runner 服务
  + AWS 已验证访问实例
  + AWS Amplify
+ 将全球保护包 (Web ACL) 与 Amazon CloudFront 发行版相关联。全局保护包（web ACL）将具有美国东部（弗吉尼亚州北部）区域的硬编码区域。

在创建或更新 CloudFront 分发本身时，也可以将保护包 (Web ACL) 与发行版相关联。有关信息，请参阅《*Amazon CloudFront 开发者指南》*中的[使用 AWS WAF 来控制对您的内容的访问权限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。

**对多重关联的限制**  
您可以根据以下限制将单个保护包 (Web ACL) 与一个或多个 AWS 资源相关联：
+ 您只能将每个 AWS 资源与一个保护包（Web ACL）相关联。保护包 (Web ACL) 和 AWS 资源之间的关系是 one-to-many。
+ 您可以将保护包 (Web ACL) 与一个或多个 CloudFront 发行版相关联。您不能将已与 CloudFront 分配关联的保护包 (Web ACL) 与任何其他 AWS 资源类型相关联。

**其他限制。**  
当关联保护包（web ACL）时，以下限制也将适用：
+ 您只能将保护包（web ACL）关联到 AWS 区域中的应用程序负载均衡器。例如，您无法将保护包（web ACL）关联到 AWS Outposts上的应用程序负载均衡器。
+ 您无法将 Amazon Cognito 用户池与使用 AWS WAF 欺诈控制账户创建防欺诈 (ACFP) 托管规则组`AWSManagedRulesACFPRuleSet`或欺 AWS WAF 诈控制账户接管预防 (ATP) 托管规则组的保护包 (Web ACL) 相关联。`AWSManagedRulesATPRuleSet`有关账户创建欺诈预防的信息，请参阅 [AWS WAF 欺诈控制账户创建欺诈预防 (ACFP)](waf-acfp.md)。有关账户盗用防护的信息，请参阅 [AWS WAF 防欺诈控制账户接管 (ATP)](waf-atp.md)。

**生产流量风险**  
在为生产流量部署保护包（web ACL）之前，请在暂存或测试环境中对其进行测试和调整，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对您的规则进行测试和调整。有关指南，请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。