作为 CloudFront来源的应用程序负载均衡器需要配置 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

作为 CloudFront来源的应用程序负载均衡器需要配置

如果您将 Web ACL 关联到Application Load Balancer,并将Application Load Balancer 部署为 CloudFront 分配的来源,请阅读本节。

使用此架构,您需要提供以下额外配置,以便正确处理令牌信息。

  • 配置为将aws-waf-token cookie 转发 CloudFront 到Application Load Balancer。默认情况下,在将 Web 请求转发到源之前,将其从 Web 请求中 CloudFront 删除 Cookie。要在网络请求中保留令牌 cookie,请将 CloudFront 缓存行为配置为仅包含令牌 cookie 或所有 Cookie。有关如何执行此操作的信息,请参阅亚马逊 CloudFront开发者指南中的基于 Cookie 缓存内容

  • 进行配置,Amazon WAF使其将 CloudFront分配的域识别为有效的令牌域。默认情况下, CloudFront 将Host标头设置为Application Load Balancer 源,并将其Amazon WAF用作受保护资源的域。但是,客户端浏览器将 CloudFront发行版视为主机域,为客户端生成的令牌使用该 CloudFront 域作为令牌域。如果不进行任何其他配置,当Amazon WAF将受保护的资源域与令牌域进行对比时,会出现不匹配的情况。要解决此问题,请将 CloudFront 分发域名添加到 Web ACL 配置中的令牌域列表中。有关如何执行此操作的信息,请参阅 配置 Web ACL 令牌域列表