¿Cómo puedo restringir el tráfico directo a un equilibrador de carga de aplicación y permitir el tráfico solo a través de CloudFront?
Quiero restringir el acceso directo a un equilibrador de carga de aplicación y permitir el acceso solo a través de Amazon CloudFront.
Breve descripción
Para restringir el tráfico directo a un equilibrador de carga de aplicación y permitir el acceso solo a través de CloudFront, utilice las reglas del agente de escucha del equilibrador de carga de aplicación. Si ya tiene una lista de control de acceso web (ACL) de AWS WAF, puede usar las reglas de ACL web. Para restringir aún más el acceso a su equilibrador de carga de aplicación, configure su grupo de seguridad para restringir el acceso a su origen. Para ello, utilice la lista de prefijos gestionados por AWS. Se recomienda usar una de estas soluciones y también configurar el grupo de seguridad.
Resolución
Equilibrador de carga de aplicación
Para usar las reglas del agente de escucha del equilibrador de carga de aplicación para restringir el tráfico, consulte Restringir el acceso a los equilibradores de carga de aplicación.
AWS WAF
Nota: Los cargos de AWS WAF se basan en los siguientes factores:
- Cantidad de ACL web que crea
- Cantidad de reglas que agrega para cada ACL web
- Cantidad de solicitudes web que recibe
Para obtener más información, consulte Precios de AWS WAF.
Para usar las reglas de ACL web personalizadas de AWS WAF para restringir el tráfico, siga estos pasos:
- Configure CloudFront para agregar un encabezado HTTP personalizado con un valor secreto en las solicitudes que CloudFront envía al equilibrador de carga de aplicación.
- Cree una regla en la ACL web de AWS WAF asociada al equilibrador de carga de aplicación. Use esta regla para bloquear las solicitudes que no contengan el valor secreto del encabezado HTTP personalizado.
Configurar CloudFront para agregar un encabezado HTTP personalizado
Siga estos pasos:
- Abra la consola de CloudFront.
- En el panel de navegación, elija Distribuciones.
- Seleccione su ID de distribución.
- Elija Orígenes.
- Seleccione su equilibrador de carga de aplicación y, a continuación, elija Editar.
Nota: Si su equilibrador de carga de aplicación no es un origen, actualice su distribución y luego establezca el equilibrador de carga de aplicación como origen. - Para Agregar encabezado personalizado, introduzca el nombre de encabezado y el valor.
Importante: El nombre y el valor del encabezado actúan como credenciales seguras, como un nombre de usuario y una contraseña. Copie estos valores en un archivo de texto para usarlos más adelante en este procedimiento. - Seleccione Guardar los cambios.
Cree una regla en su ACL web para bloquear las solicitudes sin el encabezado
Siga estos pasos:
- Abra la consola de AWS WAF.
- En el panel de navegación, en AWS WAF, seleccione ACL web.
- Para la región, seleccione la región de AWS en la que se encuentra su equilibrador de carga de aplicación.
Nota: Si ya tiene una ACL web asociada a su equilibrador de carga de aplicación, continúe con el paso 9. - Elija Crear ACL web y, a continuación, introduzca un nombre.
- Para los recursos de AWS asociados, seleccione su equilibrador de carga de aplicación y, a continuación, elija Siguiente.
- Para la acción de ACL web predeterminada para las solicitudes que no coinciden con ninguna regla, elija Permitir y, a continuación, elija Siguiente.
- Para las opciones de muestreo de solicitudes, elija Habilitar solicitudes de muestra y, a continuación, seleccione Siguiente.
- Seleccione Crear ACL web.
- Abra la consola de AWS WAF.
- En el panel de navegación, en AWS WAF, seleccione ACL web.
- Para la región, seleccione la región en la que se encuentra su equilibrador de carga de aplicación.
- Seleccione la ACL web asociada a su equilibrador de carga de aplicación.
- En Reglas, elija Agregar reglas y, a continuación, seleccione Agregar reglas y grupos de reglas propios.
- En Nombre, introduzca el nombre de la regla.
- En Tipo, elija Regla regular.
- En Si una solicitud, elija no cumple la afirmación (NOT).
- Configure los siguientes ajustes en la instrucción 1:
En Inspeccionar, elija Encabezado individual.
En Nombre del campo de encabezado, introduzca el nombre del encabezado que creó en CloudFront.
En Tipo de coincidencia, seleccione Coincide exactamente con la cadena.
En Cadena que debe coincidir, indique el valor que desee que ha creado en CloudFront.
Para Transformación de texto, elija Ninguna. - En Acción, seleccione Bloquear.
- Seleccione Guardar regla.
- Para Establecer la prioridad de la regla, si tiene varias reglas, establezca esta regla en la prioridad más alta.
- Seleccione Guardar.
Grupos de seguridad
Para restringir aún más el tráfico a un equilibrador de carga de aplicación, utilice una lista de prefijos administrada por AWS en los grupos de seguridad del equilibrador de carga de aplicación.
Para actualizar un grupo de seguridad existente, consulte Update the associated security groups. Para asociar el equilibrador de carga de aplicación a un grupo de seguridad, complete estos pasos:
- Abra la consola de Amazon Elastic Compute Cloud (Amazon EC2).
- Seleccione Equilibrador de carga de aplicación y, a continuación, seleccione su equilibrador de carga de aplicación.
- Elija Seguridad.
- Seleccione el grupo de seguridad que desea asociar a su equilibrador de carga de aplicación.
- Para modificar las reglas de entrada, seleccione Editar reglas de entrada y, a continuación, actualice las configuraciones según el caso de uso.
Nota: Si tiene una regla que permite 0.0.0.0/0, debe agregar una nueva regla antes de eliminar la regla existente. - Para permitir protocolos específicos, seleccione el protocolo y, a continuación, elija Personalizado.
- Para el tipo de fuente, elija CloudFront y, a continuación, seleccione sus prefijos en la lista de prefijos administrados por AWS.
- Seleccione Guardar.
Nota: Se recomienda permitir solo los puertos utilizados por el equilibrador de carga de aplicación.
La lista de prefijos administrados de CloudFront solo se puede agregar una vez para cada grupo de seguridad con la configuración predeterminada debido al peso de la lista de prefijos. Para agregar otra regla con CloudFront como tipo de fuente en el mismo grupo de seguridad, solicite un aumento de cuota. O bien, utilice dos grupos de seguridad que hagan referencia a la lista de prefijos administrados de CloudFront.
Información relacionada
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 2 años