本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 Verified Access 與 整合 AWS WAF
除了 Verified Access 強制執行的身分驗證和授權規則之外,您可能還想要套用周邊保護。這可協助您保護應用程式免受其他威脅。您可以將 整合 AWS WAF 到 Verified Access 部署中來完成此操作。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送至受保護 Web 應用程式資源的 HTTP 請求。如需詳細資訊,請參閱《AWS WAF 開發人員指南》[https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/)。
您可以將 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體建立關聯,以 AWS WAF 與 Verified Access 整合。Web ACL 是一種 AWS WAF 資源,可讓您精細控制受保護資源回應的所有 HTTP Web 請求。處理 AWS WAF 關聯或取消關聯請求時,連接到執行個體的任何 Verified Access 端點的狀態會顯示為 `updating`。請求完成後,狀態會傳回 `active`。您可以使用 描述端點,在 AWS 管理主控台 或 中檢視狀態 AWS CLI。
使用者身分信任提供者決定 何時 AWS WAF 檢查流量。如果您使用 IAM Identity Center, 會在使用者身分驗證之前 AWS WAF 檢查流量。如果您使用 OpenID Connect (OIDC) AWS WAF , 會在使用者身分驗證後檢查流量。
**Topics**
+ [所需的 IAM 許可](#waf-permissions)
+ [關聯 AWS WAF Web ACL](#associate-web-acl)
+ [檢查關聯的狀態](#waf-integration-status)
+ [取消與 AWS WAF Web ACL 的關聯](#disassociate-web-acl)
## 所需的 IAM 許可
AWS WAF 與 Verified Access 整合包含未直接對應至 API 操作的僅限許可動作。這些動作會在 *的服務授權參考*中 AWS Identity and Access Management 指出`[permission only]`。請參閱*《服務授權參考*》中的 [Amazon EC2 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)。
若要使用 Web ACL,您的 AWS Identity and Access Management 委託人必須具有下列許可。
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`
## 關聯 AWS WAF Web ACL
下列步驟示範如何使用 Verified Access 主控台將 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體建立關聯。
**先決條件**
開始之前,請先建立 AWS WAF Web ACL。如需詳細資訊,請參閱《 *AWS WAF 開發人員指南*》中的[建立 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html)。
**將 AWS WAF Web ACL 與 Verified Access 執行個體建立關聯**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取執行個體**。
1. 選取 Verified Access 執行個體。
1. 選取**整合**索引標籤。
1. 選擇**動作**,然後選擇**關聯 Web ACL**。
1. 針對 **Web ACL**,選擇現有的 Web ACL,然後選擇**關聯 Web ACL**。
或者,您可以使用 AWS WAF 主控台。如果您使用 AWS WAF 主控台或 API,則需要 Verified Access 執行個體的 Amazon Resource Name (ARN)。AVA ARN 的格式如下:`arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}`。如需詳細資訊,請參閱《 *AWS WAF 開發人員指南*》中的[將 Web ACL 與 AWS 資源建立關聯](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html)。
## 檢查關聯的狀態
您可以使用 Verified Access 主控台,驗證 AWS WAF Web 存取控制清單 (ACL) 是否與 Verified Access 執行個體相關聯。
**檢視與 Verified Access 執行個體 AWS WAF 整合的狀態**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取執行個體**。
1. 選取 Verified Access 執行個體。
1. 選取**整合**索引標籤。
1. 檢查 **WAF 整合狀態**下列出的詳細資訊。如果處於**關聯**狀態,狀態會顯示為**關聯****或未關聯**,以及 Web ACL 識別符。
## 取消與 AWS WAF Web ACL 的關聯
下列步驟示範如何使用 Verified Access 主控台取消 AWS WAF Web 存取控制清單 (ACL) 與 Verified Access 執行個體的關聯。
**取消 AWS WAF Web ACL 與已驗證存取執行個體的關聯**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取執行個體**。
1. 選取 Verified Access 執行個體。
1. 選取**整合**索引標籤。
1. 選擇**動作**,然後**取消與 Web ACL 的關聯**。
1. 選擇**取消關聯 Web ACL** 進行確認。
或者,您可以使用 AWS WAF 主控台。如需詳細資訊,請參閱[《 開發人員指南》中的取消 Web ACL 與 AWS 資源的關聯](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html)。 *AWS WAF *