Ich habe einen ELB, der einige EC2-Instanzen ausgleicht. Der ELB legt die Endpunkte des gesamten Systems offen.AWS CloudFront und ELB: Gibt es eine Möglichkeit, die Verbindung nur mit CloudFront zu erzwingen?
Jetzt bin die Schaffung ich eine Cloudfront Verteilung über dieses ELB. Gibt es eine Möglichkeit, Benutzern zu gestatten, NUR über den CloudFront-Endpunkt eine Verbindung herzustellen und direkte Verbindungen zu ELB abzulehnen?
Dank
Leider gibt es keinen geraden Weg nach vorn, dass gerade jetzt zu tun.
ELB Zugriff kann nur durch IP-Bereiche begrenzt werden. Sie könnte versuchen, die ELB auf CloudFront's IP ranges zu begrenzen, aber das ist ziemlich spröde und ändert sich häufig. Wenn ein neuer IP-Bereich eingeführt wird, kann es passieren, dass Sie CloudFront versehentlich blockieren. Ich würde sagen, dass dieser Ansatz nicht ratsam ist, aber ich habe es gesehen, als die Anforderung obligatorisch war. Und es hat ein paar Mal gebrochen.
Das ist sehr schlecht, aber ... Danke für die schnelle Erklärung! – ThinThonThan
@ThinThonThan Die folgende Antwort von Mark beschreibt einen Prozess, um dies zu automatisieren, aber ich bin wieder in Situationen gelaufen, in denen die JSON-Liste der IP-Bereiche nicht vollständig auf dem neuesten Stand war. – vcsjones
Sie müßten die Sicherheitsgruppe in der Liste der IP-Adressbereiche von Cloudfront verwendet beschränken. Dies ist eine Teilmenge der veröffentlichten Liste here.
Leider ist diese Liste ändern Thema, so dass Sie es nicht nur einmal eingestellt und es vergessen. Amazon hat ein Tutorial here veröffentlicht, das Sie durch die Einrichtung einer Lambda-Funktion führt, die Ihre Sicherheitsgruppe automatisch aktualisiert, wenn Amazon eine aktualisierte IP-Liste veröffentlicht.
Sie können eine automatische Sicherheitsgruppe einrichten, die nur Cloudfront IP ermöglicht und lassen eine Lambda-Funktion, es zu aktualisieren, wenn Cloudfront IP Änderung reicht. Auf meinem Blog-Post, können Sie eine komplette Cloudformation-Vorlage, die für Sie diese Angaben gemacht werden:
https://medium.com/cagataygurturk/restricting-elb-access-to-cloudfront-8b0990dea69f
IP-Adressfilter ist nicht die Lösung, hier. Die folgenden Antworten haben eine brauchbare Lösung für dieses Problem übersehen. Es gibt eine Lösung, aber bevor ich es im Detail erkläre, brauche ich eine Klarstellung, damit ich mich auf relevante Details konzentrieren kann: Was ist Ihre Motivation, den direkten Zugang zum Ursprungs-ELB zu verhindern? Ist es ein ELB Classic/1.0 oder ist es ein ELB 2.0 - auch bekannt als ALB (Application Load Balancer)? –