我目前在VPC中有一个Elastic Beanstalk网络应用程序,我想把它放在WAF后面。为了做到这一点,我已经添加了CloudFront和WAF。为了安全起见,我只允许从AWS CloudFront IP地址访问Elastic Beanstalk应用程序,这是我使用安全组完成的(当这些IP地址发生变化时自动更新)。
但是,如果阻止其他人将我的EB应用程序Web地址添加到他们自己的CloudFront实例,是否会绕过我对VPC安全组的IP地址限制并在不通过我的WAF的情况下授予他们访问权限?
答案 0 :(得分:2)
我认为可能有用的是在您的CloudFront分配(http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html)中添加一些秘密自定义标头,并使您的源检查是否存在标头。这将确保只有您的发行版可以从您的源服务器获取数据。