1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 我认为安全组的问题(尽管最近可能有所改变)在于它无法处理所有 CloudFront IP 地址。因此,使用 WAF 是首选的解决方案。
无论您使用哪种方法来限制基于 IP 地址的访问,这些 IP 地址都会被所有 CloudFront 分配使用,因此仅靠这种保护是不够的,我可以创建自己的分配并将其指向您的 ALB。因此,您确实需要在自定义标头中使用共享密钥来访问源。由于 WAF 支持基于标头内容的保护功能,你也可以用它来限制 IP 地址的访问。如果使用自定义标头,是否需要 IP 保护?也许不需要,但最好还是进行深度防御。我之前写了一篇博客文章,虽然与使用MediaStore作为源有关,但讲述了使用共享密钥限制对CloudFront分发的访问。
此外,定期更换自定义标头中的共享密钥也是一种好的做法,但我不知道有特定的博客文章或文档来实现此操作。可以通过使用定时运行的Lambda函数来更新CloudFront配置和WAF来实现此操作(确保有一个合适的窗口同时接受新旧密文)。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前