**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Casi d'uso comuni per proteggere CloudFront le distribuzioni con AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Le seguenti AWS WAF funzionalità funzionano allo stesso modo per tutte le CloudFront distribuzioni. Le considerazioni per le distribuzioni multi-tenant sono elencate dopo ogni scenario di funzionalità.

## Utilizzo con pagine di errore personalizzate AWS WAF CloudFront
<a name="cloudfront-features-custom-error-pages"></a>

Per impostazione predefinita, quando AWS WAF blocca una richiesta Web in base ai criteri specificati, restituisce il codice di stato HTTP `403 (Forbidden)` a CloudFront e lo CloudFront restituisce al visualizzatore. Il visualizzatore visualizza quindi un messaggio predefinito breve e poco formattato simile al seguente:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

È possibile ignorare questo comportamento nelle regole del AWS WAF Protection Pack (Web ACL) definendo risposte personalizzate. Per ulteriori informazioni sulla personalizzazione del comportamento di risposta mediante AWS WAF le regole, consulta. [Invio di risposte personalizzate per Block le azioni](customizing-the-response-for-blocked-requests.md)

**Nota**  
Le risposte personalizzate utilizzando AWS WAF le regole hanno la precedenza su tutte le specifiche di risposta definite nelle pagine di errore CloudFront personalizzate.

Se preferisci visualizzare un messaggio di errore personalizzato CloudFront, possibilmente utilizzando la stessa formattazione del resto del sito Web, puoi configurare CloudFront la visualizzazione di un oggetto (ad esempio un file HTML) che contenga il tuo messaggio di errore personalizzato.

**Nota**  
CloudFront non è in grado di distinguere tra un codice di stato HTTP 403 restituito dall'origine e uno restituito da AWS WAF quando una richiesta viene bloccata. Ciò significa che non è possibile restituire pagine di errore personalizzate diverse a seconda delle diverse cause di un codice di stato HTTP 403.

Per ulteriori informazioni sulle pagine di errore CloudFront personalizzate, consulta [Generazione di risposte di errore personalizzate](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) nell'*Amazon CloudFront Developer Guide*.

### Pagine di errore personalizzate nelle distribuzioni multi-tenant
<a name="custom-error-pages-template-distributions"></a>

Per le distribuzioni CloudFront multi-tenant, è possibile configurare pagine di errore personalizzate nei seguenti modi:
+ A livello multi-tenant: queste impostazioni si applicano a tutte le distribuzioni tenant che utilizzano il modello di distribuzione multi-tenant
+ Tramite AWS WAF regole: le risposte personalizzate definite nei protection pack (web ACLs) hanno la precedenza sia sulla distribuzione multi-tenant che sulle pagine di errore personalizzate a livello di tenant

## Utilizzo di AWS WAF with CloudFront per le applicazioni in esecuzione sul proprio server HTTP
<a name="cloudfront-features-your-own-http-server"></a>

Quando utilizzi AWS WAF con CloudFront, puoi proteggere le tue applicazioni in esecuzione su qualsiasi server Web HTTP, che si tratti di un server Web in esecuzione in Amazon Elastic Compute Cloud (Amazon EC2) o di un server Web gestito privatamente. Puoi anche configurare in modo CloudFront da richiedere l'HTTPS tra il tuo server web CloudFront e tra i visualizzatori e. CloudFront

**Richiedere HTTPS tra CloudFront e il proprio server web**  
Per richiedere HTTPS tra CloudFront e il tuo server web, puoi utilizzare la funzionalità di origine CloudFront personalizzata e configurare la Origin **Protocol Policy** e le impostazioni del **nome di dominio di origine** per origini specifiche. Nella CloudFront configurazione, è possibile specificare il nome DNS del server insieme alla porta e al protocollo che si desidera utilizzare CloudFront per recuperare oggetti dall'origine. Dovresti anche assicurarti che il SSL/TLS certificato sul tuo server di origine personalizzato corrisponda al nome di dominio di origine che hai configurato. Quando utilizzi il tuo server web HTTP all'esterno di AWS, devi usare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o DigiCert Symantec. Per ulteriori informazioni sulla richiesta di HTTPS per la comunicazione tra CloudFront e il tuo server web, consulta l'argomento [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.

**Richiedere HTTPS tra un visualizzatore e CloudFront**  
Per richiedere HTTPS tra i visualizzatori e CloudFront, puoi modificare la **Viewer Protocol Policy** per uno o più comportamenti della cache nella tua CloudFront distribuzione. Per ulteriori informazioni sull'utilizzo di HTTPS tra visualizzatori e CloudFront, consulta l'argomento [Richiedere HTTPS per la comunicazione tra visualizzatori e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) nella *Amazon CloudFront Developer* Guide. Puoi anche portare il tuo certificato SSL in modo che gli spettatori possano connettersi alla tua CloudFront distribuzione tramite HTTPS utilizzando, ad esempio, il tuo nome di dominio. *https://www.mysite.com* Per ulteriori informazioni, consulta l'argomento [Configurazione di nomi di dominio alternativi e HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) nella *Amazon CloudFront Developer Guide*.

Per le distribuzioni multi-tenant, le configurazioni dei metodi HTTP seguono questa gerarchia:
+ Le impostazioni a livello di modello definiscono i metodi HTTP di base consentiti per tutte le distribuzioni tenant
+ Le distribuzioni tenant possono sovrascrivere queste impostazioni per:
  + Consenti un numero inferiore di metodi rispetto alla distribuzione multi-tenant (utilizzando AWS WAF regole per bloccare metodi aggiuntivi)
  + Consenti più metodi se la distribuzione multi-tenant è configurata per supportarli
+ AWS WAF le regole sia a livello di distribuzione multi-tenant che a livello di tenant possono limitare ulteriormente i metodi HTTP indipendentemente dalla configurazione CloudFront 

## Scelta dei metodi HTTP che rispondono a CloudFront
<a name="cloudfront-features-allowed-http-methods"></a>

Quando crei una distribuzione CloudFront web Amazon, scegli i metodi HTTP che desideri CloudFront elaborare e inoltrare all'origine. Scegliere tra le seguenti opzioni:
+ **`GET`, `HEAD`** — Puoi utilizzarli CloudFront solo per recuperare oggetti dall'origine o per ottenere le intestazioni degli oggetti.
+ **`GET`,`HEAD`, `OPTIONS`** — È possibile utilizzarlo CloudFront solo per recuperare oggetti dall'origine, ottenere le intestazioni degli oggetti o recuperare un elenco delle opzioni supportate dal server di origine.
+ **`GET`,`HEAD`,`OPTIONS`,,`PUT`, `POST``PATCH`, `DELETE`** — È possibile utilizzarlo CloudFront per ottenere, aggiungere, aggiornare ed eliminare oggetti e per ottenere le intestazioni degli oggetti. Inoltre, è possibile eseguire altre `POST` operazioni come l'invio di dati da un modulo Web.

È inoltre possibile utilizzare le istruzioni delle regole di corrispondenza dei AWS WAF byte per consentire o bloccare le richieste in base al metodo HTTP, come descritto in. [Istruzione regola di corrispondenza stringa](waf-rule-statement-type-string-match.md) Se desideri utilizzare una combinazione di metodi che CloudFront supporti, ad esempio `GET` e`HEAD`, non è necessario configurare AWS WAF per bloccare le richieste che utilizzano gli altri metodi. Se desideri consentire una combinazione di metodi che CloudFront non supporta, ad esempio, e `GET` `HEAD``POST`, puoi configurare in modo che CloudFront risponda a tutti i metodi e quindi utilizzarla AWS WAF per bloccare le richieste che utilizzano altri metodi.

Per ulteriori informazioni sulla scelta dei metodi a cui CloudFront rispondere, consulta [Metodi HTTP consentiti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) nell'argomento [Valori che specifichi quando crei o aggiorni una distribuzione Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) nella *Amazon CloudFront Developer Guide*.

**Configurazioni dei metodi HTTP consentite nelle distribuzioni multi-tenant**  
Per le distribuzioni multi-tenant, le configurazioni dei metodi HTTP impostate a livello di distribuzione multi-tenant si applicano a tutte le distribuzioni tenant per impostazione predefinita. Le distribuzioni tenant possono sovrascrivere queste impostazioni, se necessario.
+ Se si desidera utilizzare una combinazione di metodi che CloudFront supporti, ad esempio `GET` e`HEAD`, non è necessario configurare in modo da AWS WAF bloccare le richieste che utilizzano altri metodi.
+ Se desideri consentire una combinazione di metodi che CloudFront non supporta per impostazione predefinita, ad esempio, e `GET` `HEAD``POST`, puoi configurare in modo che risponda CloudFront a tutti i metodi e quindi utilizzarla AWS WAF per bloccare le richieste che utilizzano altri metodi.

Quando implementate gli header di sicurezza nelle distribuzioni multi-tenant, tenete presente quanto segue:
+ Le intestazioni di sicurezza a livello di modello forniscono una protezione di base in tutte le distribuzioni tenant
+ Le distribuzioni tenant possono:
  + Aggiungere nuove intestazioni di sicurezza non definite nella distribuzione multi-tenant
  + Modifica i valori per le intestazioni specifiche del tenant
  + Impossibile rimuovere o sovrascrivere le intestazioni di sicurezza impostate a livello di distribuzione multi-tenant
+ Prendi in considerazione l'utilizzo di intestazioni a livello di distribuzione multi-tenant per i controlli di sicurezza critici che dovrebbero applicarsi a tutti i tenant

## Considerazioni sulla registrazione
<a name="cloudfront-features-logging"></a>

Sia le distribuzioni standard che quelle multi-tenant supportano la AWS WAF registrazione, ma esistono differenze importanti nel modo in cui i log sono strutturati e gestiti:


**Confronto dei log**  

| Distribuzioni standard | Distribuzioni multi-tenant | 
| --- | --- | 
| Una configurazione di log per distribuzione | Opzioni di registrazione a livello di modello e tenant | 
| Campi di registro standard | Campi identificativi del tenant aggiuntivi | 
| Singola destinazione per distribuzione | Sono possibili destinazioni separate per la distribuzione multi-tenant e i log dei tenant | 

## Risorse aggiuntive
<a name="cloudfront-saas-additional-resources"></a>
+ *Per ulteriori informazioni sulle distribuzioni multi-tenant, consulta [Configura le distribuzioni nell'Amazon Developer](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Guide. CloudFront *
+ Per ulteriori informazioni sull'utilizzo AWS WAF con CloudFront, consulta [Using AWS WAF protection](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) nella *Amazon CloudFront Developer Guide*.
+ Per ulteriori informazioni sui AWS WAF log, consulta[Campi di registro per il traffico del Protection Pack (Web ACL)](logging-fields.md).