AWS API Gateway с AWS WAF
Я хочу использовать службу межсетевого экрана веб-приложений AWS с AWS API Gateway. AWS WAF работает только с дистрибутивами AWS CloudFront.
Согласно этому сообщению https://forums.aws.amazon.com/message.jspa?messageID=677382 API Gateway создает дистрибутив CloudFront за кулисами. Хотя я не вижу этот дистрибутив ни в консоли CloudFront, ни в консоли WAF.
Есть ли способ использовать дистрибутив CloudFront, созданный API Gateway для WAF?
2 ответа
К сожалению, нет, API Gateway не предоставляет доступ к бэк-дистрибутиву CloudFront. Чтобы использовать WAF, вам нужно создать второй дистрибутив, который неэффективен, но должен работать функционально.
AWS API Gateway недавно (около ноября 2018 года) добавил эту функцию https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html
Хорошо, ребята, у меня была похожая проблема, что вы можете сделать лучше всего на этом этапе,
сделать так, чтобы шлюз api завершил SSL - сделать вызов из шлюза api к вашему alb, elb или nlb (лучше всего, если это соответствует вашей архитектуре) - иметь защиту альба с помощью WAF с двумя наборами правил 1. белый список всех шлюзов api ip 2. Получить заголовок http только для шлюза API
Таким образом, вы обеспечиваете свою инфраструктуру в лучшем виде.
если у вас есть nlb, то вы можете иметь прямую частную ссылку на NLB, имейте в виду, что NLB не поддерживает маршрутизацию на основе пути и аварийное переключение приложений между зонами
Я попросил AWS поднять запрос функции для того же