使用 Amazon WAF 控制对您的内容的访问 - Amazon CloudFront
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon WAF 控制对您的内容的访问

Amazon WAF 是一种 Web 应用程序防火墙,可让您监视转发到 CloudFront 的 HTTP 和 HTTPS 请求,并控制对您的内容的访问。根据指定的条件(例如,查询字符串的值或请求源自的 IP 地址),CloudFront 会使用所请求的内容或使用 HTTP 状态代码 403 (Forbidden) 来响应请求。还可以将 CloudFront 配置为在请求被阻止时返回自定义错误页面。有关 Amazon WAF 的更多信息,请参阅 Amazon WAF 开发人员指南

在创建 Amazon WAF Web 访问控制列表 (Web ACL) 后,可以创建或更新 Web 分配并将其与 Web ACL 关联。您可以将所需数目的 CloudFront 分配与同一 Web ACL 或不同的 Web ACL 关联。有关创建分配并将其与 Web ACL 关联的信息,请参阅创建分配

要关联或取消关联 Web ACL 与现有分配,或更改与分配关联的 Web ACL,请执行以下过程。

使用 CloudFront 控制台关联或取消关联 Amazon WAF Web ACL 与现有 CloudFront 分配

  1. 登录 Amazon Web Services Management Console,并通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v3/home

  2. 为要更新的分配选择 ID。

  3. General 选项卡上,选择 Edit

  4. 分配设置页面上的 Amazon WAF Web ACL 列表中,选择要与该分配关联的 Web ACL。

    如果您希望从所有 Web ACL 取消分配关联,请选择 None。如果您希望将分配与其他 Web ACL 关联,请选择新的 Web ACL。

  5. 选择是,编辑

  6. 如果要为其他分配(如果有)添加、删除或更改与 Amazon WAF Web ACL 的关联,请重复步骤 2 到步骤 5。

  7. 更改设置后,在 CloudFront 将更改传播到边缘站点时,已更新的分配的状态列的值将变为进行中。在分配的状态变为已部署时,分配已准备好在处理请求时使用 Amazon WAF。(分配的状态列的值也必须为已启用。) 在您保存对分发的上一更改后,这可能需要花费不到 15 分钟的时间。

注意

Amazon Firewall Manager 是一项安全管理服务,可让您更轻松地跨账户和应用程序集中配置和管理 Amazon WAF 规则。使用 Firewall Manager,您可以轻松地跨 Amazon Organizations 中的账户针对 CloudFront 分配推行 Amazon WAF 规则。有关更多信息,请参阅 Amazon Firewall Manager 开发人员指南