具有自定义HTTPS来源的AWS CloudFront只允许来自CF的原始请求?
当使用CloudFront的使用自定义HTTPS出身,我有这样的具有自定义HTTPS来源的AWS CloudFront只允许来自CF的原始请求?
domain.com -> A (Alias) -> CloudFront Distribution Alias
origin.domain.com -> IPaddress of HTTPS server
我意识到,源服务器需要从任何边缘位置的可访问的DNS设置,但它会如果我能成为伟大以某种方式将我的HTTPS原始服务器配置为仅接受来自CloudFront边缘的传入连接,从而消除了可能由用户/机器人直接访问的可能性。这可能吗?
你可以用云锋IP地址限制,
CloudFront的IP地址列表:
https://ip-ranges.amazonaws.com/ip-ranges.json
{
"ip_prefix": "13.32.0.0/15",
"region": "GLOBAL",
"service": "CLOUDFRONT"
}
搜索CLOUDFRONT
在文件和地点的IP限制到您的终端服务或您的安全组。这将防止任何人访问除了cloudfront以外的其他人。实施
例子:
IP地址范围更改事件:
发生什么情况,如果IP地址列表中得到改变?
您可以订阅Lambda并通过lambda自动更新您的列表。
https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/
其他安全:
启用从您的CloudFront的秘密头,并确保你只通过你的分布,而不是通过其他人接收到请求。这与保持标题旋转的额外维护一起提供。
希望它有帮助。
另外,我发现这个Lambda函数,我将测试:https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for- amazon-cloudfront-and-aws-waf-by-aws-lambda/ – Hoofamon
这本身就是一个潜在的弱解决方案。任何人都可以创建指向原始服务器的CloudFront分配。您还应该使用一个秘密的CloudFront自定义源标题并拒绝任何缺少它的请求:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers-限制访问 –
@ Michael-sqlbot谢谢。添加到答案中。过去两年我们一直在使用它,没有任何人访问我们的内容。理想情况下,如果他们这样做,他们会为我们赚钱,我们认为这是积极的。 – Kannaiyan
这是用于S3还是Web服务? –
这是为HTTPS服务器 – Hoofamon