カスタムHTTPSの原点とCloudFrontのを使用している場合、私はこのカスタムHTTPS起点のAWS CloudFrontは、CFからの起点リクエストのみを許可しますか?
domain.com -> A (Alias) -> CloudFront Distribution Alias
origin.domain.com -> IPaddress of HTTPS server
ように私のDNSを設定している私は、私はできればしかし、それは素晴らしいことだ、オリジンサーバは、エッジのいずれかの場所から到達可能にする必要があることを認識何らかの形で私のHTTPSオリジンサーバがCloudFrontエッジからの着信接続を受け入れるように設定して、ユーザ/ボットが直接アクセスできる可能性を排除します。これは可能ですか?あなたはクラウドフロントIPアドレスを制限することができます
、
CloudFrontのIPアドレスリスト:あなたのエンドポイントへのファイルと場所IP制限でサービスとしてCLOUDFRONTため
https://ip-ranges.amazonaws.com/ip-ranges.json
{
"ip_prefix": "13.32.0.0/15",
"region": "GLOBAL",
"service": "CLOUDFRONT"
}
検索またはセキュリティグループに送信します。クラウドフロント以外にアクセスしている誰からも保護されます。実装の
例:
IP範囲の変更イベントをアドレス:IPアドレスのリストが変更されます場合はどうなります
?
ラムダに登録して、ラムダ経由で自動的にリストを更新することができます。
https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/
その他のセキュリティ:
あなたのCloudFrontのから秘密ヘッダを有効にして、あなたが他の人を通じてのみ配布を通じて要求を受信していないことを確認してください。これは、ヘッダーを回転させて保持するという追加メンテナンスを伴います。
希望します。
また、私はこのラムダ機能をテストしました:https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for- amazon-cloudfront-and-aws-waf-by-using-aws-lambda/ – Hoofamon
これは潜在的に弱い解決策です。誰でもオリジナルサーバーを指すCloudFrontディストリビューションを作成できます。また、秘密のCloudFrontカスタムオリジンヘッダーを使用して、それがないリクエストを拒否する必要があります。http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers-制限アクセス –
@ Michael-sqlbotありがとうございます。答えに追加されました。私たちは過去2年間これを使用しており、他の誰も私たちのコンテンツにアクセスすることはありません。理想的には、もしそうであれば、彼らは私たちのためにお金を稼ぐことになります。私たちはそれを肯定的なものと見なします。 – Kannaiyan
これはS3またはWebサービス用ですか? –
これはHTTPSサーバ向けです – Hoofamon