1. Accueil
  2. Question et réponse
  3. AWS CloudFront avec origine HTTPS personnalisée, autorise uniquement les demandes d'origine de CF?

AWS CloudFront avec origine HTTPS personnalisée, autorise uniquement les demandes d'origine de CF?

2017-10-18 14 views
1

Lorsque vous utilisez CloudFront avec une origine HTTPS personnalisé, j'ai ma configuration DNS comme celui-ciAWS CloudFront avec origine HTTPS personnalisée, autorise uniquement les demandes d'origine de CF?

domain.com -> A (Alias) -> CloudFront Distribution Alias 
origin.domain.com -> IPaddress of HTTPS server

Je me rends compte que le serveur d'origine doit être accessible à partir de l'un des emplacements de bord, mais ce serait bien si je pouvais en quelque sorte configurer mon serveur d'origine HTTPS pour accepter uniquement les connexions entrantes à partir des bords CloudFront, éliminant ainsi toute possibilité d'accès direct par un utilisateur/bot. Est-ce possible?

Source

2017-10-18 Hoofamon

+0

Est-ce pour S3 ou un service Web? –

+0

Ceci est pour un serveur HTTPS – Hoofamon

Répondre

2

Vous pouvez limiter aux adresses cloud avant IP,

CloudFront liste d'adresses IP:

https://ip-ranges.amazonaws.com/ip-ranges.json

{ 
     "ip_prefix": "13.32.0.0/15", 
     "region": "GLOBAL", 
     "service": "CLOUDFRONT" 
    }

Rechercher CLOUDFRONT comme service de fichiers et d'appliquer des restrictions IP à vos points d'extrémité ou à votre groupe de sécurité. Cela protégera de toute personne accédant autre que cloudfront.

Exemple de mise en œuvre:

https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/

Plage d'adresses IP Modifier l'événement:

Qu'advient-il si la liste d'adresses IP est changée?

Vous pouvez vous abonner à Lambda et mettre à jour votre liste automatiquement via lambda.

https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/

Sécurité supplémentaire:

têtes Activer secrets de votre CloudFront et assurez-vous que vous recevez la demande que par votre distribution et non par d'autres. Cela vient avec l'entretien supplémentaire de garder l'en-tête dans une rotation.

Espérons que ça aide.

Source

2017-10-18 20:45:16 Kannaiyan

+0

Aussi, j'ai trouvé cette fonction Lambda que je vais tester: https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for- amazon-cloudfront-et-aws-waf-en-utilisant-aws-lambda/ – Hoofamon

+0

C'est une solution potentiellement faible, en soi. Tout le monde peut créer une distribution CloudFront pointant vers votre serveur d'origine. Vous devez également utiliser un en-tête d'origine personnalisé CloudFront secret et rejeter toute demande qui en manque: http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers- restreindre-accès –

+0

@ Michael-sqlbot Merci. Ajouté à la réponse Nous l'utilisons depuis deux ans et aucun problème d'accès à nos contenus. Idéalement, s'ils le font, ils nous rapporteront de l'argent, ce que nous considérons comme positif. – Kannaiyan

 Questions connexes

  • Aucun problème connexe^_^