将 Web ACL 与Amazon资源关联或取消关联 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Web ACL 与Amazon资源关联或取消关联

您可以使用Amazon WAF在 Web ACLS 和您的资源之间创建以下关联:

  • 将区域 Web ACL 与下面列出的任何区域资源相关联。对于此选项,Web ACL 必须与您的资源位于相同区域中。

    • Amazon API Gateway I

    • Application Load Balancer

    • Amazon AppSyncGraphQL API

    • Amazon Cognito 用户池

    • Amazon App Runner 服务

  • 将全球网络 ACL 与亚马逊 CloudFront 发行版相关联。全局 Web ACL 将具有美国东部(弗吉尼亚北部)区域的硬编码区域。

在创建或更新 CloudFront 分配本身时,也可以将 Web ACL 与分配相关联。有关信息,请参阅《亚马逊 CloudFront 开发者指南》中的 “使用Amazon WAF控制对您的内容的访问权限”。

对多重关联的限制

您可以根据以下限制将单个 Web ACL 与一个或多个 Amazon 资源关联:

  • 您只能将每个 Amazon 资源与一个 Web ACL 关联。Web ACL 和Amazon资源之间的关系是 one-to-many。

  • 您可以将 Web ACL 与一个或多个 CloudFront 分配相关联。您无法将与 CloudFront 分配关联的 Web ACL 与任何其他Amazon资源类型相关联。

其他限制

以下附加限制适用于 Web ACL 关联:

  • 您只能将 Web ACL 关联到其中的Application Load BalancerAmazon Web Services 区域。例如,您无法将 Web ACL 关联到已开启的Application Load BalancerAmazon Outposts。

  • 您无法将 Amazon Cognito 用户池与使用Amazon WAF欺诈控制账户接管预防 (ATP) 托管规则组的 Web ACL 关联AWSManagedRulesATPRuleSet。有关防止账户接管的信息,请参阅Amazon WAF欺诈控制账户收购预防 (ATP)

生产流量风险

在为生产流量部署 Web ACL 之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量的潜在影响感到满意。然后在计数模式下使用生产流量测试和调整规则,然后再启用这些规则。有关操作指南,请参阅 测试和调整您的Amazon WAF保护措施

将 Web ACL 与Amazon资源相关联
  1. 登录Amazon Web Services Management Console并打开Amazon WAF主机,网址为 https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中,选择 Web ACL

  3. 选择要与资源关联的 Web ACL 的名称。控制台会将您转到 Web ACL 的描述,您可以在其中对其进行编辑。

  4. 关联Amazon资源选项卡上,选择添加Amazon资源

  5. 出现提示时,选择资源类型,选择要关联的资源旁边的单选按钮,然后选择 Add(添加)。

取消 Web ACL 与Amazon资源的关联
  1. 登录Amazon Web Services Management Console并打开Amazon WAF主机,网址为 https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中,选择 Web ACL

  3. 选择要与资源取消关联的 Web ACL 的名称。控制台会将您转到 Web ACL 的描述,您可以在其中对其进行编辑。

  4. 关联Amazon资源选项卡上,选择要取消此 Web ACL 与之关联的资源,然后选择取消关联。控制台会打开一个确认对话框。确认您选择解除 Web ACL 与Amazon资源的关联。