- vừa được xem lúc

Amazon API Gateway integration with AWS WAF

0 0 18

Người đăng: AWS Community Builder

Theo Viblo Asia

Create an Amazon API Gateway integration with AWS WAF

This pattern in CDK offers a example to generate an Amazon API Gateway with a greedy proxy ("{proxy+}") and "ANY" method from the specified path. This means it will accept by default any method and any path. The Lambda function is configured for VPC access and returns only the path.

import { CfnWebACL, CfnWebACLAssociation } from '@aws-cdk/aws-wafv2';
import * as cdk from "@aws-cdk/core"; export class WafStack extends cdk.Stack { constructor(scope: cdk.Construct, id: string) { super(scope, id); // const CustomHeader = new cdk.CfnParameter(this, "CustomHeader", { // type: "String", // default: "x-key" // }); //Web ACL const APIGatewayWebACL = new CfnWebACL(this, "APIGatewayWebACL", { name: "demo-api-gateway-webacl", description: "This is WebACL for Auth APi Gateway", scope: "REGIONAL", defaultAction: { block: {} }, visibilityConfig: { metricName: "demo-APIWebACL", cloudWatchMetricsEnabled: true, sampledRequestsEnabled: true }, rules: [ { name: "demo-rateLimitRule", priority: 20, action: { block: {} }, visibilityConfig: { metricName: "demo-rateLimitRule", cloudWatchMetricsEnabled: true, sampledRequestsEnabled: false }, statement: { rateBasedStatement: { aggregateKeyType: "IP", limit: 100 } } }, { name: `demo-api-auth-gateway-geolocation-rule`, priority: 30, action: { allow: {} }, visibilityConfig: { metricName: `demo-AuthAPIGeoLocationUS`, cloudWatchMetricsEnabled: true, sampledRequestsEnabled: false }, statement: { geoMatchStatement: { countryCodes: ['US'] } } }, { name: `demo-api-auth-gateway-sqli-rule`, priority: 40, action: { block: {} }, visibilityConfig: { metricName: `demo-APIAuthGatewaySqliRule`, cloudWatchMetricsEnabled: true, sampledRequestsEnabled: false }, statement: { orStatement: { statements: [{ sqliMatchStatement: { fieldToMatch: { allQueryArguments: {} }, textTransformations: [{ priority: 1, type: "URL_DECODE" }, { priority: 2, type: "HTML_ENTITY_DECODE" }] } }, { sqliMatchStatement: { fieldToMatch: { body: {} }, textTransformations: [{ priority: 1, type: "URL_DECODE" }, { priority: 2, type: "HTML_ENTITY_DECODE" }] } }, { sqliMatchStatement: { fieldToMatch: { uriPath: {} }, textTransformations: [{ priority: 1, type: "URL_DECODE" }] } }] } } }, { name: `demo-detect-xss`, priority: 60, action: { block: {} }, visibilityConfig: { metricName: `demo-detect-xss`, cloudWatchMetricsEnabled: true, sampledRequestsEnabled: false }, statement: { orStatement: { statements: [ { xssMatchStatement: { fieldToMatch: { uriPath: {} }, textTransformations: [{ priority: 1, type: "URL_DECODE" }, { priority: 2, type: "HTML_ENTITY_DECODE" }] } }, { xssMatchStatement: { fieldToMatch: { allQueryArguments: {} }, textTransformations: [{ priority: 1, type: "URL_DECODE" }, { priority: 2, type: "HTML_ENTITY_DECODE" }] } }, ] } } } ] }); // Web ACL Association // const APIGatewayWebACLAssociation = new CfnWebACLAssociation(this, "APIGatewayWebACLAssociation", { webAclArn: APIGatewayWebACL.attrArn, resourceArn: cdk.Fn.join("", ["arn:aws:apigateway:us-east-1::/restapis/", cdk.Fn.importValue("demorestapiid"), "/stages/prod", ]) }); }
}

Amazon API Gateway integration with WAF

This pattern in CDK offers a example to generate an Amazon API Gateway with a greedy proxy ("{proxy+}") and "ANY" method from the specified path, meaning it will accept by default any method and any path. The VPC Lambda function provided in JavaScript only returns the path.

Learn more about this pattern at Serverless Land Patterns: https://serverlessland.com/patterns/apigw-waf-cdk

Important: this application uses various AWS services and there are costs associated with these services after the Free Tier usage - please see the AWS Pricing page for details. You are responsible for any AWS costs incurred. No warranty is implied in this example.

Requirements

Deployment Instructions

  1. Create a new directory, navigate to that directory in a terminal and clone the GitHub repository:
    git clone https://github.com/aws-samples/serverless-patterns
    
  2. Change directory to the pattern directory its source code folder:
     cd apig-waf/src
    
  3. From the command line, use npm to install the development dependencies:
     npm install
    
  4. To deploy from the command line use the following:
     npx cdk bootstrap aws://accountnumber/region npx cdk deploy --app 'ts-node .' --all
    

Testing

  • Locate WAFAPIGatewayApi.ApiUrl from output printed by cdk, this is the api endpoint to be invoked In a browser
```https://<api_id>.execute-api.<region>.amazonaws.com/prod``` You should see: ```Success path: "/"```

Cleanup

  1. From the command line, use the following in the source folder
    npx cdk destroy --app 'ts-node .' --all
    
  2. Confirm the removal and wait for the resource deletion to complete.

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 117