可以用于保护 Amazon WAF 的资源 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

可以用于保护 Amazon WAF 的资源

您可以使用 Amazon WAF 保护包(web ACL)来保护全局或区域资源类型。为此,您可以将保护包(web ACL)与要保护的资源关联起来。保护包(web ACL)及其使用的任何 Amazon WAF 资源都必须位于关联资源所在的区域。对于 Amazon CloudFront 分配,设置为美国东部(弗吉尼亚州北部)。

Amazon CloudFront 分配

您可以使用 Amazon WAF 控制台或 API 将 Amazon WAF 保护包(web ACL)与 CloudFront 分配相关联。您还可以在创建或更新 CloudFront 分配自身时将保护包(web ACL)与该分配关联。要在 Amazon CloudFormation 中配置关联,您必须使用 CloudFront 分配配置。有关 Amazon CloudFront 的信息,请参阅《Amazon CloudFront 开发者指南》中的使用 Amazon WAF 控制对您的内容的访问

Amazon WAF 可在全局范围内用于 CloudFront 分配,但您必须使用美国东部(弗吉尼亚州北部)区域来创建保护包(web ACL)以及在保护包(web ACL)中使用的任何资源,例如规则组、IP 集和正则表达式模式集。有些接口提供“全局(CloudFront)”区域选择。选择此选项等同于选择美国东部(弗吉尼亚州北部)地区或“us-east-1”。

区域性资源

您可以保护所有 Amazon WAF 可用区域的区域资源。您可以参阅 Amazon Web Services 一般参考 中的 Amazon WAF 端点和限额

您可以使用 Amazon WAF 保护以下区域资源类型:

  • Amazon API Gateway REST API

  • 应用程序负载均衡器

  • Amazon AppSync GraphQL API

  • Amazon Cognito 用户池

  • Amazon App Runner 服务

  • Amazon 已验证访问实例

  • Amazon Amplify

您只能将保护包(web ACL)关联到 Amazon Web Services 区域 中的应用程序负载均衡器。例如,您无法将保护包(web ACL)关联到 Amazon Outposts 上的应用程序负载均衡器。

您必须创建要与全局 CloudFront 区域中 Amplify 应用程序相关联的任何保护包(web ACL)。您可能已具备 Amazon Web Services 账户 中的区域保护包(web ACL),但这些保护包与 Amplify 不兼容。

保护包(web ACL)及其使用的任何其他 Amazon WAF 资源都必须位于受保护资源所在的区域。在监控和管理受保护区域资源的 web 请求时,Amazon WAF 会将所有数据保存在受保护资源所在的区域。

对多重资源关联的限制

您可以根据以下限制将单个保护包(web ACL)与一个或多个 Amazon 资源关联:

  • 您只能将每个 Amazon 资源与一个保护包(web ACL)关联。保护包(web ACL)和 Amazon 资源之间的关系是一对多关系。

  • 您可以将保护包(web ACL)与一个或多个 CloudFront 分配相关联。您不能将已与 CloudFront 分配关联的保护包(web ACL)与任何其他 Amazon 资源类型相关联。