将保护与 Amazon 资源关联或取消关联 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

将保护与 Amazon 资源关联或取消关联

您可以使用 Amazon WAF,在保护包(web ACL)和资源之间创建以下关联:

  • 将区域保护包(web ACL)与下面列出的任何区域资源关联。对于此选项,保护包(web ACL)必须与您的资源位于同一区域。

    • Amazon API Gateway REST API

    • 应用程序负载均衡器

    • Amazon AppSync GraphQL API

    • Amazon Cognito 用户池

    • Amazon App Runner 服务

    • Amazon 已验证访问实例

    • Amazon Amplify

  • 将全局保护包(web ACL)与 Amazon CloudFront 分配关联 全局保护包(web ACL)将具有美国东部(弗吉尼亚州北部)区域的硬编码区域。

您还可以在创建或更新 CloudFront 分配自身时将保护包(web ACL)与该分配关联。有关信息,请参阅Amazon CloudFront 开发者指南中的使用 Amazon WAF 控制对您的内容的访问

对多重关联的限制

您可以根据以下限制将单个保护包(web ACL)与一个或多个 Amazon 资源关联:

  • 您只能将每个 Amazon 资源与一个保护包(web ACL)关联。保护包(web ACL)和 Amazon 资源之间的关系是一对多关系。

  • 您可以将保护包(web ACL)与一个或多个 CloudFront 分配相关联。您不能将已与 CloudFront 分配关联的保护包(web ACL)与任何其他 Amazon 资源类型相关联。

其他限制。

当关联保护包(web ACL)时,以下限制也将适用:

  • 您只能将保护包(web ACL)关联到 Amazon Web Services 区域 中的应用程序负载均衡器。例如,您无法将保护包(web ACL)关联到 Amazon Outposts 上的应用程序负载均衡器。

  • 您无法将 Amazon Cognito 用户池与使用 Amazon WAF 欺诈控制账户创建欺诈预防(ACFP)托管规则组 AWSManagedRulesACFPRuleSet 或 Amazon WAF 欺诈控制账户盗用防护(ATP)托管规则组的 AWSManagedRulesATPRuleSet 保护包(web ACL)关联。有关账户创建欺诈预防的信息,请参阅 Amazon WAF 欺诈控制账户创建欺诈预防(ACFP)。有关账户盗用防护的信息,请参阅 Amazon WAF 欺诈控制账户盗用防护(ATP)

生产流量风险

在为生产流量部署保护包(web ACL)之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对您的规则进行测试和调整。有关指南,请参阅测试和调整您的 Amazon WAF 保护