Amazon CloudFront
开发人员指南 (API 版本 2016-09-29)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AWS WAF 控制对您的内容的访问

AWS WAF 是一个 Web 应用程序防火墙,可以监视转发到 CloudFront 的 HTTP 和 HTTPS 请求,并控制对内容的访问。根据指定的条件 (如请求源自的 IP 地址或查询字符串的值),CloudFront 会使用所请求的内容或使用 HTTP 状态代码 403 (Forbidden) 来响应请求。还可以将 CloudFront 配置为在请求被阻止时返回自定义错误页面。有关 AWS WAF 的更多信息,请参阅 AWS WAF 开发人员指南

在创建 AWS WAF Web 访问控制列表 (Web ACL) 后,您可以创建或更新 Web 分配并将其与 Web ACL 关联。您可以将所需数目的 CloudFront 分配与同一 Web ACL 或不同的 Web ACL 关联。有关创建 Web 分配并将其与 Web ACL 关联的信息,请参阅创建分配

要关联或取消关联 Web ACL 与现有分配,或更改与分配关联的 Web ACL,请执行以下过程。

使用 CloudFront 控制台将 AWS WAF Web ACL 和现有的 CloudFront 分配关联或取消关联

  1. 登录 AWS 管理控制台,通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/

  2. 为要更新的分配选择 ID。

  3. General 选项卡上,选择 Edit

  4. 分配设置页面上的 AWS WAF Web ACL 列表中,选择要与该分配关联的 Web ACL。

    如果您希望从所有 Web ACL 取消分配关联,请选择 None。如果您希望将分配与其他 Web ACL 关联,请选择新的 Web ACL。

  5. 选择是,编辑

  6. 如果要为其他分配(如果有)添加、删除或更改与 AWS WAF Web ACL 的关联,请重复步骤 2 到步骤 5。

  7. 在更改设置后,在 CloudFront 将更改传播到边缘站点时,更新的分配的状态列的值将变为正在进行。在分配的状态变为已部署时,分配已准备好在处理请求时使用 AWS WAF。(分配的状态列的值也必须为已启用。) 在您保存对分发的上一更改后,这可能需要花费不到 15 分钟的时间。

注意

AWS Firewall Manager 是一项安全管理服务,可让您更轻松地跨账户和应用程序集中配置和管理 AWS WAF 规则。使用 Firewall Manager,您可以在 AWS Organizations 中跨账户将 AWS WAF 规则部署到您的 CloudFront 分发。有关更多信息,请参阅 AWS Firewall Manager 开发人员指南