2017-10-18 126 views
1

當使用CloudFront的使用自定義HTTPS出身,我有這樣的具有自定義HTTPS來源的AWS CloudFront只允許來自CF的原始請求?

domain.com -> A (Alias) -> CloudFront Distribution Alias 
origin.domain.com -> IPaddress of HTTPS server 

我意識到,源服務器需要從任何邊緣位置的可訪問的DNS設置,但它會如果我能成爲偉大以某種方式將我的HTTPS原始服務器配置爲僅接受來自CloudFront邊緣的傳入連接,從而消除了可能由用戶/機器人直接訪問的可能性。這可能嗎?

+0

這是用於S3還是Web服務? –

+0

這是爲HTTPS服務器 – Hoofamon

回答

2

你可以用雲鋒IP地址限制,

CloudFront的IP地址列表:

https://ip-ranges.amazonaws.com/ip-ranges.json

{ 
     "ip_prefix": "13.32.0.0/15", 
     "region": "GLOBAL", 
     "service": "CLOUDFRONT" 
    } 

搜索CLOUDFRONT在文件和地點的IP限制到您的終端服務或您的安全組。這將防止任何人訪問除了cloudfront以外的其他人。實施

例子:

https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/

IP地址範圍更改事件:

發生什麼情況,如果IP地址列表中得到改變?

您可以訂閱Lambda並通過lambda自動更新您的列表。

https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/

其他安全:

啓用從您的CloudFront的祕密頭,並確保你只通過你的分佈,而不是通過其他人接收到請求。這與保持標題旋轉的額外維護一起提供。

希望它有幫助。

+0

另外,我發現這個Lambda函數,我將測試:https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for- amazon-cloudfront-and-aws-waf-by-aws-lambda/ – Hoofamon

+0

這本身就是一個潛在的弱解決方案。任何人都可以創建指向原始服務器的CloudFront分配。您還應該使用一個祕密的CloudFront自定義源標題並拒絕任何缺少它的請求:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers-限制訪問 –

+0

@ Michael-sqlbot謝謝。添加到答案中。過去兩年我們一直在使用它,沒有任何人訪問我們的內容。理想情況下,如果他們這樣做,他們會爲我們賺錢,我們認爲這是積極的。 – Kannaiyan

相關問題