AWS APIゲートウェイとクラウドフロントの統合原点を公開せず

Question

私はサーバーレスアーキテクチャのプロジェクトで作業しています。

AWSは、API GatewayがDDoS攻撃からリソースを保護できると言いましたが、私はそれを発見しました。

しかし、あなたのサービスにスパムを送り続ける悪いユーザーが存在する場合、

APIゲートウェイは、問題のこの種を処理するための適切な方法を提供することはできません。

だから、私は何ができるかを把握するために開始します。

• AWS WAFは明らかなソリューションです。

私はStackOverflowの上でこの記事を見つけた：

が続い

、セットアップWAFのために、私はAPIゲートウェイの前でクラウドフロント分布を入れAPI gateway with aws waf。

これは解決策の可能性があると認識しましたが、それはありますか？ここで

は、私が見つけた問題です： https://sampleagigw.amazon.com、およびへのパスを設定します。私は雲のフロント分布を有する

1. 、そのドメイン名は、私は私のAPIゲートウェイへの原点パスを設定cdn.net

2. ですその段階dev。

3. GET http://cdn.net/postsを呼び出すと、私は期待した結果を返します。あなたは、ブラウザ上でhttp://cdn.net/postsを置けば

4. はその後、それはあなたの予想以上に驚い、それはまた、ブラウザのURLバーにAPIゲートウェイのURLを公開：https://sampleagigw.amazon.com/dev/posts

それは仕事のすべてを意味WAFとクラウドフロントは無意味です。

私が誤解していることはありますか？

Answer 1

追加のCloudFrontディストリビューション（cdn.net）の「ビューアプロトコルポリシー」をチェックし、「HTTPからHTTPSへのリダイレクト」または「HTTPSのみ」のいずれかに設定されていることを確認してください。また、原点を編集し、 "Origin Protocol Policy"を "HTTPS Only"に設定することもできます。

「ビューアプロトコルポリシー」が「HTTPとHTTPS」に設定され、「オリジナルプロトコルポリシー」が「マッチビューア」に設定されている場合、この結果をどのように得るかがわかります。ブラウザにhttp://cdn.net/postsと入力すると、cdn.netディストリビューションはhttp://sampleagigw.amazon.com（https/tls/sslなし）に接続しようとします。これは、APIゲートウェイによって作成されたCloudFrontディストリビューションに行き、「HTTPからHTTPSへのリダイレクト」に設定されます。 HTTPリクエストを受け取ったので、http://sampleagigw.amazon.comに302リダイレクトを返します。これは、cdn.net配布によってブラウザに返されます。その後、ブラウザは302リダイレクトに続いて、ブラウザのURLバーにhttp://sampleagigw.amazon.comのURLを残します。