Uso de AWS WAF con páginas de error personalizadas de CloudFront Uso de AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP Elegir los métodos HTTP a los que CloudFront responde Consideraciones sobre el registro Recursos adicionales

Casos de uso habituales para proteger las distribuciones de CloudFront con AWS WAF

Las siguientes características de AWS WAF funcionan de la misma manera en todas las distribuciones de CloudFront. Las consideraciones para las distribuciones de varios inquilinos se enumeran después de cada escenario de característica.

Uso de AWS WAF con páginas de error personalizadas de CloudFront

De forma predeterminada, cuando AWS WAF bloquea una solicitud web en función de los criterios que especifique, devuelve el código de estado HTTP 403 (Forbidden) a CloudFront y CloudFront se lo devuelve al lector. El visor muestra un breve mensaje predeterminado con formato elemental similar al que se muestra a continuación:


Forbidden: You don't have permission to access /myfilename.html on this server.

Puede anular este comportamiento en las reglas del paquete de protección (ACL web) de AWS WAF si define respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de respuesta mediante reglas de AWS WAF, consulte Envío de respuestas personalizadas para las acciones Block.

nota

Las respuestas que personalice mediante reglas de AWS WAF tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error personalizadas de CloudFront.

Si prefiere mostrar un mensaje de error personalizado en CloudFront, posiblemente utilizando el mismo formato que el resto de su sitio web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que contenga el mensaje de error personalizado.

nota

CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno devuelto por AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.

Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte Generar respuestas de error personalizadas en la Guía para desarrolladores de Amazon CloudFront.

Páginas de error personalizadas en distribuciones de varios inquilinos

En el caso de las distribuciones de varios inquilinos de CloudFront, puede configurar las páginas de error personalizadas de las siguientes maneras:

A nivel de varios inquilinos: estos ajustes se aplican a todas las distribuciones de inquilinos que usan la plantilla de distribución de varios inquilinos
Mediante reglas AWS WAF: las respuestas personalizadas definidas en los paquetes de protección (ACL web) tienen prioridad tanto sobre la distribución de varios inquilinos como sobre las páginas de error personalizadas a nivel de inquilino

Uso de AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor HTTP

Si utiliza AWS WAF con , puede proteger sus aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecuta en Amazon Elastic Compute Cloud (Amazon EC2) o un servidor web que administra de forma privada. También puede configurar CloudFront para que exija HTTPS entre CloudFront y su propio servidor web, así como entre visores y CloudFront.

Exigir HTTPS entre CloudFront y su propio servidor web

Para exigir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen personalizado de CloudFront y configurar la política de protocolo de origen y la configuración de nombre de dominio de origen para orígenes específicos. En su configuración de CloudFront puede especificar el nombre de DNS del servidor junto con el puerto y el protocolo que desea que CloudFront utilice al recuperar objetos del origen. También debe asegurarse de que el certificado SSL/TLS del servidor de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad de certificación (CA) externa de confianza, como Comodo, DigiCert o Symantec. Para obtener más información acerca de cómo exigir HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la Guía para desarrolladores de Amazon CloudFront.

Exigir HTTPS entre un visor y CloudFront

Para exigir HTTPS entre visores y CloudFront, puede cambiar la política de protocolo de visor para uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para desarrolladores de Amazon CloudFront.

En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP siguen esta jerarquía:

La configuración a nivel de plantilla define los métodos HTTP de referencia permitidos para todas las distribuciones de inquilinos
Las distribuciones de inquilinos pueden anular esta configuración para lo siguiente:
- Permitir menos métodos que la distribución de varios inquilinos (usa reglas de AWS WAF para bloquear métodos adicionales)
- Permitir más métodos si la distribución de varios inquilinos está configurada para admitirlos
Las reglas de AWS WAF tanto a nivel de distribución de varios inquilinos como de inquilino pueden restringir aún más los métodos HTTP independientemente de la configuración de CloudFront

Elegir los métodos HTTP a los que CloudFront responde

Al crear una distribución web de Amazon CloudFront, puede seleccionar los métodos HTTP que desea que CloudFront procese y reenvíe a su origen. Puede elegir entre las siguientes opciones:

GET, HEAD – puede usar CloudFront solo para obtener los objetos desde su origen o para obtener encabezados de objeto.
GET, HEAD, OPTIONS – puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE – puede utilizar CloudFront para obtener, agregar, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir o bloquear solicitudes basadas en el método HTTP, como se describe en Instrucción de regla de coincidencia de cadenas. Si desea utilizar una combinación de métodos admitidos por CloudFront, como GET y HEAD, no es necesario que configure AWS WAF para bloquear las solicitudes que utilizan los demás métodos. Si desea permitir una combinación de métodos que no admitidos por CloudFront, como GET, HEAD y POST, puede configurar CloudFront para responder a todos los métodos y, a continuación, utilizar AWS WAF para bloquear solicitudes que utilicen otros métodos.

Para obtener más información acerca de la elección de los métodos a los que responde CloudFront, consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución web en la Guía para desarrolladores de Amazon CloudFront.

Configuraciones de métodos HTTP permitidas en distribuciones de varios inquilinos

En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP establecidas en el nivel de distribución de varios inquilinos se aplican a todas las distribuciones de inquilino de forma predeterminada. Las distribuciones de inquilino pueden anular esta configuración si es necesario.

Si desea usar una combinación de métodos que admite CloudFront, como GET y HEAD, no es necesario que configure AWS WAF para bloquear las solicitudes que utilizan los demás métodos.
Si desea permitir una combinación de métodos que CloudFront no admite de forma predeterminada, como GET, HEAD y POST, puede configurar CloudFront para responder a todos los métodos y, a continuación, usar AWS WAF para bloquear solicitudes que usen otros métodos.

Al implementar encabezados de seguridad en distribuciones de varios inquilinos, tenga en cuenta lo siguiente:

Los encabezados de seguridad a nivel de plantilla proporcionan una protección básica en todas las distribuciones de inquilino
Las distribuciones de inquilino pueden:
- Agregar nuevos encabezados de seguridad no definidos en la distribución de varios inquilinos
- Modificar los valores de los encabezados específicos de cada inquilino
- No se pueden eliminar ni anular los encabezados de seguridad establecidos en el nivel de distribución de varios inquilinos
Considere la posibilidad de utilizar encabezados a nivel de distribución de varios inquilinos para los controles de seguridad críticos que deberían aplicarse a todos los inquilinos

Consideraciones sobre el registro

Tanto las distribuciones estándar como las de varios inquilinos admiten el registro de AWS WAF, pero existen diferencias importantes en la forma en que se estructuran y administran los registros:

Comparación de registros
Distribuciones estándar	Distribuciones de varios inquilinos
Una configuración de registro por distribución	Plantilla y opciones de registro a nivel de inquilino
Campos de registro estándar	Campos de identificación de inquilinos adicionales
Destino único por distribución	Destinos individuales posibles para registros de distribuciones de varios inquilinos y de inquilino

Recursos adicionales

Para obtener más información sobre las distribuciones de varios inquilinos, consulte Configurar distribuciones en la Guía para desarrolladores de Amazon CloudFront.
Para obtener más información sobre el uso de AWS WAF con CloudFront, consulte Uso de la protección de AWS WAF en la Guía para desarrolladores de Amazon CloudFront.
Para obtener más información acerca de los registros de AWS WAF, consulte Campos de registro para el tráfico del paquete de protección (ACL web).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Usar AWS WAF con Amazon CloudFront

Seguridad en el uso del servicio de AWS WAF