У меня есть ELB, который балансирует некоторые экземпляры EC2. ELB предоставляет конечные точки всей системы.AWS CloudFront и ELB: Есть ли способ принудительно подключиться, используя только CloudFront?
Теперь я создаю распределение CloudFront над этим ELB. Есть ли способ разрешить пользователям подключаться ТОЛЬКО с использованием конечной точки CloudFront и отказывать в прямых подключениях к ELB?
Thanks
К сожалению, нет прямого способа сделать это прямо сейчас.
Доступ к ELB может быть ограничен только диапазонами IP. Вы можете попытаться ограничить ELB до CloudFront's IP ranges, но это довольно хрупкое и часто меняется. Если введен новый диапазон IP, вы можете случайно заблокировать CloudFront. Я бы сказал, что этот подход нецелесообразен, но я видел это, когда требование было обязательным. И это разрывалось несколько раз.
Это очень плохо, но .. спасибо за быстрое объяснение! – ThinThonThan
@ В приведенном ниже ответе @ThinThonThan Mark описывается процесс автоматизации этого процесса, но опять же я столкнулся с ситуациями, когда список диапазонов IP-адресов JSON не был полностью обновлен. – vcsjones
Вам нужно будет ограничить группу безопасности списком диапазонов IP-адресов, используемых CloudFront. Это подмножество списка, опубликованного here.
К сожалению, этот список подлежит изменению, поэтому вы не можете просто установить его один раз и забыть об этом. Amazon опубликовала урок here, в котором вы можете настроить функцию Lambda, которая автоматически обновит вашу группу безопасности, когда Amazon опубликует обновленный список IP-адресов.
Вы можете настроить автоматическую группу безопасности, которая позволяет только облачным облачным IP-сетям, и пусть функция Lambda обновляет ее при изменении диапазонов IP-адресов Cloudfront. На моем блоге, вы можете найти полный шаблон CloudFormation, который установит это для вас: фильтрация
https://medium.com/cagataygurturk/restricting-elb-access-to-cloudfront-8b0990dea69f
IP-адрес не является решением, здесь. В приведенных ниже ответах не учтено жизнеспособное решение этой проблемы. Решение существует, но прежде чем я объясню его подробно, мне нужно уточнить, чтобы я мог сосредоточиться на соответствующих деталях: какова ваша мотивация для предотвращения прямого доступа к исходному ELB? Кроме того, это ELB Classic/1.0, или это ELB 2.0 - также известный как ALB (Application Load Balancer)? –