本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以用来保护的资源Amazon WAF
您可以使用Amazon WAF Web ACL 来保护全球或区域资源类型。为此,您可以将 Web ACL 与要保护的资源相关联。Web ACL 及其使用的任何Amazon WAF资源都必须位于关联资源所在的区域。对于亚马逊 CloudFront 发行版,此设置为美国东部(弗吉尼亚北部)。
亚马逊 CloudFront 分发
您可以使用Amazon WAF控制台或 API 将Amazon WAF Web ACL 与 CloudFront 分配相关联。在创建或更新 CloudFront 分配本身时,也可以将 Web ACL 与分配相关联。要在中配置关联Amazon CloudFormation,必须使用 CloudFront 分发配置。有关亚马逊的信息 CloudFront,请参阅《亚马逊 CloudFront 开发者指南》中的 “使用Amazon WAF控制对您的内容的访问权限”。
Amazon WAF可在全球范围内进行 CloudFront 分发,但您必须使用美国东部区域(弗吉尼亚北部)来创建 Web ACL 和 Web ACL 中使用的任何资源,例如规则组、IP 集和正则表达式模式集。有些接口提供 “Global (CloudFront)” 的区域选择。选择此选项与选择美国东部地区(弗吉尼亚北部)或 “us-east-1” 相同。
区域资源
您可以在所有可用的区域保护区域资源。Amazon WAF您可以在 Amazon Web Services 一般参考中查看Amazon WAF终端节点和配额列表。
您可以使用Amazon WAF来保护以下区域资源类型:
Amazon API Gateway I
Application Load Balancer
Amazon AppSyncGraphQL API
Amazon Cognito 用户池
Amazon App Runner 服务
您只能将 Web ACL 关联到其中的Application Load BalancerAmazon Web Services 区域。例如,您无法将 Web ACL 关联到已开启的Application Load BalancerAmazon Outposts。
Web ACL 及其使用的任何其他Amazon WAF资源必须位于与受保护资源相同的区域中。在监控和管理受保护区域资源的 Web 请求时,Amazon WAF将所有数据与受保护资源保持在同一个区域中。
对多个资源关联的限制
您可以将单个 Web ACL 与一个或多个Amazon资源相关联,但有以下限制:
-
您只能将每个 Amazon 资源与一个 Web ACL 关联。Web ACL 和Amazon资源之间的关系是 one-to-many。
-
您可以将 Web ACL 与一个或多个 CloudFront 分配相关联。您无法将与 CloudFront 分配关联的 Web ACL 与任何其他Amazon资源类型相关联。