AWS CloudFront и ELB: есть ли способ форсировать соединение, используя только CloudFront?

Question

AWS CloudFront и ELB: есть ли способ форсировать соединение, используя только CloudFront?

У меня есть ELB, который балансирует некоторые экземпляры EC2. ELB предоставляет конечные точки всей системы.

Сейчас я создаю дистрибутив CloudFront для этого ELB. Есть ли способ разрешить пользователям подключаться ТОЛЬКО с помощью конечной точки CloudFront и отказываться от прямых подключений к ELB?

Спасибо

3

amazon-web-services amazon-ec2 amazon-cloudfront vpc

Источник

user5775300 03 фев '17 в 17:19

8 ответов

Другие вопросы по тегам amazon-web-services amazon-ec2 amazon-cloudfront vpc

user13070 03 фев '17 в 17:26 2017-02-03 17:26 · Answer 1 · 2017-02-03 17:26

Вы должны ограничить группу безопасности списком диапазонов IP-адресов, используемых CloudFront. Это часть списка, опубликованного здесь.

К сожалению, этот список может быть изменен, поэтому вы не можете просто установить его один раз и забыть. Amazon опубликовала здесь учебное пособие, в котором рассказывается о настройке лямбда-функции, которая будет автоматически обновлять вашу группу безопасности, когда Amazon публикует обновленный список IP-адресов.

user492405 03 фев '17 в 17:26 2017-02-03 17:26 · Answer 2 · 2017-02-03 17:26

К сожалению, сейчас нет прямого способа сделать это.

Доступ к ELB может быть ограничен только диапазоном IP-адресов. Вы можете попытаться ограничить ELB диапазонами IP-адресов CloudFront, но это довольно хрупко и часто меняется. Если будет введен новый диапазон IP-адресов, вы можете случайно заблокировать CloudFront. Я бы сказал, что такой подход не рекомендуется, но я видел, как это было сделано, когда требование было обязательным. И это сломалось несколько раз.

user11312683 13 окт '19 в 13:02 2019-10-13 13:02 · Answer 3 · 2019-10-13 13:02

Если в R53 нет записи, которая использует ваш балансировщик нагрузки, и только облачный интерфейс определяет альтернативные доменные имена (CNAME), используемые вашим балансировщиком нагрузки, то вы можете связать список управления доступом WAF с балансировщиком нагрузки, который отбрасывает любой запрос, не соответствующий альтернативному. Доменные имена. В этом случае вы принудительно используете CloudFront Distribution для балансировщика нагрузки.

user787918 14 ноя '17 в 10:44 2017-11-14 10:44 · Answer 4 · 2017-11-14 10:44

Вы можете настроить автоматическую группу безопасности, которая разрешает только IP-адреса Cloudfront и позволяет функции Lambda обновлять ее при изменении диапазонов IP-адресов Cloudfront. В моем сообщении в блоге вы можете найти полный шаблон Cloudformation, который настроит это для вас:

https://medium.com/cagataygurturk/restricting-elb-access-to-cloudfront-8b0990dea69f

user273256 28 фев '23 в 22:30 2023-02-28 22:30 · Answer 5 · 2023-02-28 22:30

С последними обновлениями теперь есть более простой способ добиться этого с помощью списков префиксов. В конфигурации вашей группы безопасности вы можете добавить списки префиксов облачного формирования и никогда не беспокоиться о поддержании динамических изменений IP-адресов и т. д.

«Список управляемых префиксов CloudFront содержит диапазоны IP-адресов всех глобально распределенных серверов CloudFront, обращенных к источнику. Если ваш источник размещен на AWS и защищен группой безопасности Amazon VPC, вы можете использовать управляемый список префиксов CloudFront, чтобы разрешить входящий трафик. к вашему источнику только с серверов CloudFront, обращенных к источнику, что предотвращает попадание любого трафика, не относящегося к CloudFront, к вашему источнику». - Из документации AWS

Вот пример того, как это сделать: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list .

Вот анонс этой функции — https://aws.amazon.com/about-aws/whats-new/2022/02/amazon-cloudfront-managed-prefix-list/

а вот списки префиксов - https://us-west-2.console.aws.amazon.com/vpc/home?region=us-west-2#ManagedPrefixLists

user2000301 01 май '20 в 16:17 2020-05-01 16:17 · Answer 6 · 2020-05-01 16:17

В блогах AWS есть решение для этого сценария.

По сути, он создает лямбда-функцию, которая подписывается на тему SNS, которая получает уведомления об изменениях диапазона IP-адресов AWS (эта тема принадлежит AWS). Затем эта лямбда динамически обновляет группу безопасности ELB/ALB. Лямбда-код доступен здесь.

user3070062 06 дек '22 в 10:56 2022-12-06 10:56 · Answer 7 · 2022-12-06 10:56

Начиная с 2022 года AWS, наконец, предлагает решение этой проблемы с помощью управляемых списков префиксов.

Вы можете создать правило безопасности для входящего трафика и в источнике напрямую указать список префиксов вместо того, чтобы вручную указывать IP-адреса:

Чтобы сделать ваш сервер доступным только для серверов Cloudfront, выполните следующие действия:

Перейдите на страницу https://console.aws.amazon.com/vpc/home#ManagedPrefixLists .
Выберите свой регион (регион вашего балансировщика нагрузки) и найдите «com.amazonaws.global.cloudfront.origin-facing» и скопируйте идентификатор (например, «pl-a3a144ca» для europe-central-1)
Отредактируйте свою группу безопасности для балансировщика нагрузки и добавьте новую запись с типом: HTTP, а в качестве источника вставьте префикс-список-идентификатор из шага 2.

Теперь ваша группа безопасности будет автоматически всегда использовать текущие IP-адреса из Cloudfront, теперь требуется обновление. - Предостережение: список префиксов считается как ~50 правил против ограничения правил для группы безопасности. Если у вас есть много других настраиваемых правил, вам, вероятно, придется создать вторую группу безопасности с другими правилами, если эта группа заполнена.

user7632019 29 ноя '22 в 07:03 2022-11-29 07:03 · Answer 8 · 2022-11-29 07:03

По состоянию на февраль 2022 года существует более простое решение. Теперь AWS управляет списком префиксов для Cloudfront, который автоматически обновляется.

Подробности: https://aws.amazon.com/about-aws/whats-new/2022/02/amazon-cloudfront-managed-prefix-list/

-1

Источник

user7632019 29 ноя '22 в 07:03