Comment autoriser ou bloquer les requêtes provenant d'un pays ou d'une géolocalisation spécifiques à l'aide d'AWS WAF ?

Brève description

Pour bloquer l'accès à votre site depuis des pays spécifiques ou autoriser l'accès uniquement à des pays spécifiques, utilisez l’instruction de règle de correspondance géographique.

Tout d'abord, ajoutez une instruction de règle de correspondance géographique pour autoriser les requêtes Web provenant des pays que vous souhaitez autoriser. Ajoutez ensuite une deuxième instruction de règle de correspondance géographique pour les pays que vous souhaitez bloquer.

Remarque : Si vous utilisez les restrictions géographiques Amazon CloudFront pour bloquer l'accès d'un pays à votre contenu, CloudFront bloque toutes les requêtes provenant de ce pays. CloudFront ne transmet pas les requêtes à AWS WAF. Pour utiliser les critères AWS WAF afin d'autoriser ou de bloquer les requêtes en fonction de la zone géographique, utilisez plutôt une instruction de règle de correspondance géographique AWS WAF.

Résolution

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, sous AWS WAF, sélectionnez Listes ACL Web.
3. Pour Région, sélectionnez la région AWS dans laquelle vous avez créé votre liste de contrôle d'accès Web (liste ACL Web).
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
4. Sélectionnez votre liste ACL Web.
5. Sous Règles, sélectionnez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
6. Dans Type de règle, sélectionnez Générateur de règles.
7. Dans Nom, saisissez le nom de votre règle.
8. Dans Type, sélectionnez Règle régulière.
9. Dans S’il s’agit d’une requête, sélectionnez correspond à l'instruction.
10. Dans Choisir une option d'inspection, sélectionnez Originaire d'un pays dans.
11. Dans Choisir les codes de pays, sélectionnez le pays que vous souhaitez autoriser ou bloquer.
12. (Facultatif) Choisissez Adresse IP source ou Adresse IP dans l'en-tête pour définir le pays d'origine de la requête.
    Important : Lorsqu'une requête passe par un réseau de diffusion de contenu (CDN) ou un autre réseau proxy, l'adresse IP source identifie le proxy. Dans ce cas, la requête envoie l'adresse IP d'origine dans un en-tête. Les proxys peuvent gérer les en-têtes de manière incohérente et les modifier pour contourner l'inspection.
13. Dans Action, sélectionnez Autoriser ou Bloquer.
    Remarque : Si l'action par défaut de l'ACL Web est Bloquer, définissez l'action de règle sur Autoriser. Cette configuration ne permet pas à AWS WAF d'inspecter les requêtes. Si l'action par défaut est Autoriser, définissez l'action de règle sur Bloquer et ajoutez une instruction NOT qui spécifie les pays à ne pas bloquer.
14. Sélectionnez Ajouter une règle.
15. (Facultatif) Dans Définir la priorité de la règle, choisissez votre règle, puis définissez la priorité de la règle.
16. Sélectionnez Enregistrer.