私はElastic IPを使用してAWS EC2でWebサイトをホストしており、私はこの地域のユーザーのみからこのWebサイトへのアクセスを制限したいと考えています。ウェブサイトはApacheによって提供されています。米国地域へのAWS Elastic IPへのアクセスを制限する
.htaccessによれば、オプションである可能性がありますが、私のウェブサイトを排他的に米国の地域ユーザーのみにロックする方法は見つかりませんでした。
EC2セキュリティグループとVPN管理アクセスを含むVPCを使用して実行できます。あなたのVPC セキュリティグループの
セキュリティグループは、インバウンドとアウトバウンドのトラフィックを制御するためにあなたのインスタンスの仮想ファイアウォールとして機能します。 VPCでインスタンスを起動すると、最大5つのセキュリティグループをインスタンスに割り当てることができます。セキュリティグループは、サブネットレベルではなくインスタンスレベルで動作します。したがって、VPC内のサブネット内の各インスタンスを異なるセキュリティグループセットに割り当てることができます。起動時に特定のグループを指定しないと、そのインスタンスは自動的にVPCのデフォルトセキュリティグループに割り当てられます。
"http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html
これは質問に答えません。 OPは地域ごとのアクセスを制限する方法を尋ねています。また、ユーザーは特に、S3ではなくApache(つまりEC2)を使用していると言います。 –
よろしいですか。 EC2を設定するときに、IPアドレスを指定することができます。弾力的なアドレスはこれとは関係ありません – silfrede
この**まだ**はOPの質問に答えていません。彼らは、米国からの接続を受け入れるしか方法を知り、他のすべてを拒否したい。そして、彼らはApacheを使用しています、彼らはそれ自身でプログラミングしていません。 –
あなたは、CloudFrontののgeoblockingを使用することができます。米国を除くすべてをブロックする。 100%ブロックすることはできません。あなたはIPと位置を偽装することができますが、それは始まりです。そこ
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html
特定の領域にユーザーを制限するために使用することができAWSで利用可能ないくつかのクラウドネイティブのオプション。 (あなたがジオ制限およびその他のIPベースのホワイトリストを行うことができます)AWS CloudFrontの+ AWS WAF with Geo Matching Conditionsを使用して
私はアマゾンサービスへの私の答えを制限します。
今日、世界の場所によるアクセスをブロックできることは重要な問題です。コンテンツがどこにあるか/格納されているかに関する様々な政府規制のすべてで、アクセスを制御することは状況によっては法的要件になる場合があります。
アマゾンには、地理的位置情報をサポートするRoute53、CloudFront、WAF(Web Application Firewall)の3つのサービスがあります。サービスは完全に防弾ではありませんが、Amazonのネットワークのサイズ、認定、政府のコンプライアンスなどすべてを考慮すると、私はAmazonのジオロケーションが自家製の設定より優れていると考える傾向があります。
あなたの質問は、弾性IPアドレスを指定しています。私はあなたのEIPのジオロケーションブロックをサポートするAmazonサービスを認識していません。代わりにRoute53を使用して、そのEIPへのリソースレコードセット(RRS)または一般的にドメイン名またはサブドメイン名と呼ばれるものを作成することが必要になります。次に、サーバーをプライベートサブネットに配置するか、フロントエンドサービス(CloudFrontおよび/またはALB)を同じセキュリティグループに配置して、EIPにアクセスできるユーザーを制限します。注:プライベートサブネットはEIPをサポートしていないため、ALBでは必須ではありません。 Route53、CloudFrontのか、WAF(これらのサービスのより良い組み合わせ)のためのセットアップの一部として
設定ジオロケーション。世界中からのトラフィックを受け入れ、他のメンバーをブロックするために、世界中の一部(米国など)を選択できます。
私が自動スケーリングを必要としない小さなセットアップを構築していた場合は、サーバーの前でRoute53とCloudFrontを使用します。フォールトトレランスと高可用性を向上させるために、サーバーをプライベートサブネットに配置し、CloudFrontとRoute53の背後にASG(自動スケーリンググループ)を持つロードバランサを追加し、CloudFront(またはALB)にWAFを追加します。
NACLとセキュリティグループによるAmazon VPCは、どのような形式のジオロケーションもサポートしていません。セキュリティグループとNACLは、特定の機能が設定された非常に高速なファイアウォールです。顧客基盤が厳重に管理されている場合(例えば、開発者またはビジネスパートナーのグループ)、公的にアクセスされるウェブサーバ(顧客ポータルなど)には適用できない場合は、VPNを使用することができます。ユーザー名やSSHキーを使用できると思うかもしれませんが、認証だけでは地理を制御することはできません。ユーザーはまだロシアからフランスのサーバーにアクセスできます。要件がジオロケーションである場合、スレッド内の3つのAmazonサービスがジオロケーションベースのポリシーに適しています。
Route53:
CloudFrontは:
Restricting the Geographic Distribution of Your Content
Amason WAF:
あなたは "米国地域のユーザー" とはどういう意味ですか? 「AWSユーザー」を意味しますか? 「AWS地域」を意味しますか?あるいは、「米国にあるインターネット上のコンピュータ」を意味しますか? –
米国にあるインターネット上のコンピュータ –