将保护与资源关联或取消关联 Amazon - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将保护与资源关联或取消关联 Amazon

您可以使用 Amazon WAF 在保护包或 Web ACLs 与您的资源之间创建以下关联:

  • 将区域保护包或 Web ACL 与下面列出的任何区域资源相关联。对于此选项,保护包或 Web ACL 必须与您的资源位于同一区域。

    • Amazon API Gateway REST API

    • 应用程序负载均衡器

    • Amazon AppSync GraphQL API

    • Amazon Cognito 用户池

    • Amazon App Runner 服务

    • Amazon 已验证访问实例

    • Amazon Amplify

  • 将全球保护包或网络 ACL 与 Amazon CloudFront 发行版相关联。全球保护包或 Web ACL 将有一个硬编码的美国东部(弗吉尼亚北部)区域。

在创建或更新 CloudFront 分发本身时,也可以将保护包或 Web ACL 与发行版相关联。有关信息,请参阅《Amazon CloudFront 开发者指南》中的使用 Amazon WAF 来控制对您的内容的访问权限

对多重关联的限制

您可以根据以下限制将单个保护包或 Web ACL 与一个或多个 Amazon 资源相关联:

  • 您只能将每个 Amazon 资源与一个保护包或 Web ACL 关联。保护包或 Web ACL 与 Amazon 资源之间的关系是 one-to-many。

  • 您可以将保护包或 Web ACL 与一个或多个 CloudFront 发行版相关联。您不能将已与 CloudFront 分配关联的保护包或 Web ACL 与任何其他 Amazon 资源类型相关联。

其他限制。

以下其他限制适用于保护包或 Web ACL 关联:

  • 您只能将保护包或 Web ACL 关联到其中的 Application Load Balancer Amazon Web Services 区域。例如,您无法将保护包或 Web ACL 关联到已开启的 Application Load Balancer Amazon Outposts。

  • 您不能将 Amazon Cognito 用户池与使用 Amazon WAF 欺诈控制账户创建欺诈 (ACFP) 托管规则组或欺 Amazon WAF 诈控制账户接管预防 (ATP) 托管规则组的保护包AWSManagedRulesACFPRuleSet或网络 ACL 相关联。AWSManagedRulesATPRuleSet有关账户创建欺诈预防的信息,请参阅 Amazon WAF 欺诈控制账户创建欺诈预防 (ACFP)。有关账户盗用防护的信息,请参阅 Amazon WAF 防欺诈控制账户接管 (ATP)

生产流量风险

在为生产流量部署保护包或 Web ACL 之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对您的规则进行测试和调整。有关指南,请参阅测试和调整您的 Amazon WAF 保护措施