将CloudFront与自定义HTTPS源一起使用时,我的DNS设置就像这样
domain.com -> A (Alias) -> CloudFront Distribution Alias
origin.domain.com -> IPaddress of HTTPS server
我意识到原始服务器需要从任何边缘位置都可以访问,但是如果我能以某种方式将我的HTTPS源服务器配置为仅接受来自CloudFront边缘的传入连接,那将是很好的,这样就不会有任何可能被访问的连接直接由用户/机器人。这可能吗?
答案 0 :(得分:2)
您可以使用云前端IP地址进行限制,
CloudFront IP地址列表:
https://ip-ranges.amazonaws.com/ip-ranges.json
{
"ip_prefix": "13.32.0.0/15",
"region": "GLOBAL",
"service": "CLOUDFRONT"
}
在文件中搜索CLOUDFRONT作为服务,并将IP限制放置到您的终端或安全组。这样可以防止任何访问除cloudfront之外的人。
实施示例:
IP地址范围更改事件:
如果IP地址列表发生变化会怎样?
您可以订阅Lambda并通过lambda自动更新列表。
https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/
其他安全性:
从您的CloudFront启用秘密标头,并确保您仅通过您的分发而不是通过其他人收到请求。这需要额外维护保持标题旋转。
希望它有所帮助。