开启AWS WAF地理位置限制

Question

在悉尼地区，我有一个由Elastic Beanstalk调配的EC2上运行的nodejs API。

我为此Elastic Beanstalk设置了Cloudfront发行版。

我想通过限制AWS WAF地理位置限制来使用AWS WAF保护我的API，比如说只允许澳大利亚访问该API。

我不确定是否有一些Lambda（也在悉尼）调用此API，打开WAF时这些调用会被阻止吗？

Answer 1

1. CloudFront具有自己的地理限制功能，您不需要WAF（除非您需要将CloudFront上的IP地址列入白名单）。
2. 如果SYD区域中的lambda向API发出了请求，那么如果您在CloudFront中将澳大利亚列入白名单，则将允许它。 Lambda基本上属于Ec2 IP范围类别。

此外，您可以在VPC中启动Lambda函数，并将NAT网关IP列入NAT规则的WAF白名单中。