當使用CloudFront的使用自定義HTTPS出身,我有這樣的具有自定義HTTPS來源的AWS CloudFront只允許來自CF的原始請求?
domain.com -> A (Alias) -> CloudFront Distribution Alias
origin.domain.com -> IPaddress of HTTPS server
我意識到,源服務器需要從任何邊緣位置的可訪問的DNS設置,但它會如果我能成爲偉大以某種方式將我的HTTPS原始服務器配置爲僅接受來自CloudFront邊緣的傳入連接,從而消除了可能由用戶/機器人直接訪問的可能性。這可能嗎?
你可以用雲鋒IP地址限制,
CloudFront的IP地址列表:
https://ip-ranges.amazonaws.com/ip-ranges.json
{
"ip_prefix": "13.32.0.0/15",
"region": "GLOBAL",
"service": "CLOUDFRONT"
}
搜索CLOUDFRONT在文件和地點的IP限制到您的終端服務或您的安全組。這將防止任何人訪問除了cloudfront以外的其他人。實施
例子:
IP地址範圍更改事件:
發生什麼情況,如果IP地址列表中得到改變?
您可以訂閱Lambda並通過lambda自動更新您的列表。
https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/
其他安全:
啓用從您的CloudFront的祕密頭,並確保你只通過你的分佈,而不是通過其他人接收到請求。這與保持標題旋轉的額外維護一起提供。
希望它有幫助。
另外,我發現這個Lambda函數,我將測試:https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for- amazon-cloudfront-and-aws-waf-by-aws-lambda/ – Hoofamon
這本身就是一個潛在的弱解決方案。任何人都可以創建指向原始服務器的CloudFront分配。您還應該使用一個祕密的CloudFront自定義源標題並拒絕任何缺少它的請求:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers-限制訪問 –
@ Michael-sqlbot謝謝。添加到答案中。過去兩年我們一直在使用它,沒有任何人訪問我們的內容。理想情況下,如果他們這樣做,他們會爲我們賺錢,我們認爲這是積極的。 – Kannaiyan
這是用於S3還是Web服務? –
這是爲HTTPS服務器 – Hoofamon