Статический IP для облачного фронта
Есть ли способ привязать статический IP к моему дистрибутиву облачного фронта? Мне интересно, сможет ли VPC сделать эту работу. Мне нужен статический IP-адрес только для того, чтобы устранить проблему, связанную с тем, чтобы в моем брандмауэре происходило изменение IP-адреса AWS Cloudfront.
2 ответа
"Ваш" дистрибутив Cloudfront - это не единое целое. Это виртуальная сущность в глобальной распределенной сети, и чем больше мест, к которым к ней обращаются, тем больше потенциальных IP-адресов вы можете видеть, потому что запросы направляются в ближайшую конечную точку запрашивающей стороны с использованием DNS. Если я получу доступ к вашему дистрибутиву, возможно, будет задействован другой IP-адрес, чем если бы вы получили к нему доступ, если мы находимся в разных местах.
Так что нет, это невозможно.
Список возможных адресов, однако, опубликован...
https://forums.aws.amazon.com/ann.jspa?annID=2051
Однако если вы ссылаетесь на правила брандмауэра, позволяющие Cloudfront получить доступ к вашему исходному серверу по соображениям безопасности, у вас есть еще один недостаток в ваших предположениях. Нет причин, по которым несколько дистрибутивов не могли бы использовать общий набор IP-адресов... и, действительно, они используют... так что вполне возможно, что если вы пытаетесь достичь какой-то безопасности вашего контента, используя эти ограничения, то злоумышленник может предоставить свой собственный дистрибутив, ссылающийся на ваш источник, и получить к нему доступ через Cloudfront, если он знает, как получить доступ к вашему серверу происхождения.
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html
В руководстве разработчика Amazon CloudFront есть раздел " Использование пользовательских заголовков для ограничения доступа к вашему контенту в пользовательском источнике", в котором описывается один из возможных способов: использовать пользовательский заголовок источника с секретным значением, известным только CloudFront и вашему серверу происхождения. CloudFront внедряет их в запрос, невидимый для браузера. Если этот заголовок и его секретное значение не присутствуют в запросе, запрос не поступил к вам через дистрибутив CloudFront и может быть отклонен или, возможно, перенаправлен вашим сервером происхождения. Это также полезно для обеспечения правильной семантики синтаксического анализа для X-Forwarded-For поскольку его значение для запросов, поступающих через CloudFront, может потребовать другой интерпретации, особенно на исходном сервере за балансировщиком нагрузки.
Да, это возможно, но это будет стоить вам 600$ в месяц:
Для этого вам нужно настроить собственный домен и собственный сертификат SSL: https://aws.amazon.com/cloudfront/custom-ssl-domains