Можно ли использовать AWS Web Application Firewall (WAF) для защиты настраиваемого веб-приложения, работающего на экземпляре EC2, который требует аутентификации пользователя?

ВОПРОС
Можно ли использовать WAF для защиты веб-приложения, которое требует, чтобы пользователь проходил аутентификацию у стороннего поставщика удостоверений, прежде чем получить доступ к любому из ресурсов?

Мотивация задать вопрос
Я бы хотел, чтобы мое пользовательское приложение было защищено брандмауэром, чтобы я мог создавать правила, которые будут защищать мое приложение от гнусных запросов. Когда я читал о WAF, это звучало как правильное решение. Я стал беспокоиться, когда прочитал, что WAF должен использоваться вместе с AWS CloudFront, а CloudFront может только кэшировать общедоступный контент. Я начал задаваться вопросом, не помешает ли ограничение CloudFront для кэширования частного контента запретить применение моих правил WAF к запросам, предназначенным для частного контента.

Исходная информация
Я создал пользовательское веб-приложение, размещенное на экземпляре AWS EC2. Веб-приложение содержит динамический контент и поддерживает глаголы HTTP GET/OPTIONS/POST/PUT/DELETE. Пользовательское веб-приложение требует, чтобы каждый пользователь проходил аутентификацию у провайдера идентификации. Если неаутентифицированный пользователь пытается получить доступ к ресурсу, его браузер перенаправляет на общедоступную страницу входа, размещенную веб-приложением. На странице входа пользователь может выбрать провайдера идентификации. После выбора провайдера идентификации браузер пользователя будет перенаправлен в диалоговое окно входа провайдера идентификации, где ему будет предложено ввести свои учетные данные. После аутентификации они будут перенаправлены обратно на запрошенный ресурс в веб-приложении.