作为来源的应用程序负载均衡器的必需配置 CloudFront - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

作为来源的应用程序负载均衡器的必需配置 CloudFront

如果您将 Web ACL 关联到应用程序负载均衡器,并将应用程序负载均衡器部署为 CloudFront 分配的来源,请阅读本节。

使用此架构,您需要提供以下额外配置才能正确处理令牌信息。

  • 配置为将 aws-waf-token Cookie 转发 CloudFront 到 Application Load Balancer。默认情况下, CloudFront 会先从网络请求中删除 Cookie,然后再将其转发到源。要在网络请求中保留令牌 cookie,请将 CloudFront 缓存行为配置为仅包含令牌 cookie 或所有 Cookie。有关如何执行此操作的信息,请参阅《亚马逊 CloudFront开发者指南》中的基于 Cookie 缓存内容

  • 进行配置, Amazon WAF 使其将 CloudFront分配的域识别为有效的令牌域。默认情况下, CloudFront 将Host标头设置为 Application Load Balan Amazon WAF cer 来源,并将其用作受保护资源的域。但是,客户端浏览器将 CloudFront分配视为主机域,而为客户端生成的令牌使用该 CloudFront 域作为令牌域。如果不进行任何其他配置,当根据令牌域 Amazon WAF 检查受保护的资源域时,它将出现不匹配的情况。要解决此问题,请将 CloudFront 分发域名添加到 Web ACL 配置中的令牌域列表中。有关如何执行此操作的信息,请参阅 Amazon WAF Web ACL 令牌域列表配置