

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将经过验证的访问权限与 AWS WAF
<a name="waf-integration"></a>

除了 Verified Access 强制执行的身份验证和授权规则外，您可能还需要应用外围保护。这可以帮助您保护应用程序免受其他威胁。您可以通过 AWS WAF 集成到已验证访问部署中来实现此目的。 AWS WAF 是一个 Web 应用程序防火墙，允许您监控转发到受保护的 Web 应用程序资源的 HTTP 请求。有关更多信息，请参见[AWS WAF 开发人员指南](https://docs.aws.amazon.com/waf/latest/developerguide/)。

您可以通过将 AWS WAF Web 访问控制列表 (ACL) AWS WAF 与已验证访问实例关联来与已验证访问集成。Web ACL 是一种 AWS WAF 资源，可让您精细控制受保护资源响应的所有 HTTP Web 请求。在处理 AWS WAF 关联或取消关联请求时，连接到实例的所有已验证访问终端节点的状态都显示为`updating`。请求完成后，状态将恢复为 `active`。您可以通过使用描述终端节点来查看 AWS 管理控制台 或中的状态 AWS CLI。

用户身份信任提供商决定何时 AWS WAF 检查流量。如果您使用 IAM 身份中心，则会在用户身份验证之前 AWS WAF 检查流量。如果您使用 OpenID Connect (OIDC)，则会在用户身份验证后 AWS WAF 检查流量。

**Topics**
+ [所需的 IAM 权限](#waf-permissions)
+ [关联 AWS WAF Web ACL](#associate-web-acl)
+ [检查关联的状态](#waf-integration-status)
+ [取消关联 AWS WAF Web ACL](#disassociate-web-acl)

## 所需的 IAM 权限
<a name="waf-permissions"></a>

 AWS WAF 与 Verified Access 集成包括与 API 操作不直接对应的仅限权限的操作。 AWS Identity and Access Management *服务授权参考*中用 `[permission only]` 指明这些操作。请参阅*服务授权参考*中的 [Amazon EC2 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)。

要使用 Web ACL，您的 AWS Identity and Access Management 委托人必须具有以下权限。
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`

## 关联 AWS WAF Web ACL
<a name="associate-web-acl"></a>

以下步骤演示如何使用已验证访问控制台将 AWS WAF Web 访问控制列表 (ACL) 与已验证访问实例关联。

**先决条件**  
在开始之前，请创建一个 AWS WAF Web ACL。有关更多信息，请参阅《AWS WAF 开发人员指南》**中的[创建 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html)。

**将 AWS WAF Web ACL 与已验证访问权限实例关联**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 实例**。

1. 选择 Verified Access 实例。

1. 选择**集成**选项卡。

1. 选择**操作**，然后选择**关联 Web ACL**。

1. 对于 **Web ACL**，选择现有 Web ACL，然后选择**关联 Web ACL**。

或者，您可以使用 AWS WAF 控制台。如果您使用 AWS WAF 控制台或 API，则需要已验证访问实例的 Amazon 资源名称 (ARN)。AVA ARN 具有以下格式：`arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}`。有关更多信息，请参阅*AWS WAF 开发人员指南*中的将 [Web ACL 与 AWS 资源关联](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html)。

## 检查关联的状态
<a name="waf-integration-status"></a>

您可以使用已验证访问控制台来验证 AWS WAF Web 访问控制列表 (ACL) 是否与已验证访问实例相关联。

**查看与已验证访问权限实例的 AWS WAF 集成状态**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 实例**。

1. 选择 Verified Access 实例。

1. 选择**集成**选项卡。

1. 查看 **WAF 集成状态**下列出的详细信息。状态将显示为**已关联**或**未关联**，如果处于**已关联**状态，还会显示 Web ACL 标识符。

## 取消关联 AWS WAF Web ACL
<a name="disassociate-web-acl"></a>

以下步骤演示如何使用已验证访问控制台解除 AWS WAF Web 访问控制列表 (ACL) 与已验证访问实例的关联。

**解除 AWS WAF Web ACL 与已验证访问权限实例的关联**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Verified Access 实例**。

1. 选择 Verified Access 实例。

1. 选择**集成**选项卡。

1. 选择**操作**，然后选择**取消关联 Web ACL**。

1. 选择**取消关联 Web ACL** 进行确认。

或者，您可以使用 AWS WAF 控制台。有关更多信息，请参阅《*AWS WAF 开发人员指南》*[中的 “解除 Web ACL 与 AWS 资源的关联](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html)”。