Amazon web services AWS CloudFront具有自定义HTTPS来源，仅允许来自CF的来源请求？_Amazon Web Services_Amazon Cloudfront

Amazon web services AWS CloudFront具有自定义HTTPS来源，仅允许来自CF的来源请求？

amazon-web-services

Amazon web services AWS CloudFront具有自定义HTTPS来源，仅允许来自CF的来源请求？,amazon-web-services,amazon-cloudfront,Amazon Web Services,Amazon Cloudfront,当使用带有自定义HTTPS源的CloudFront时，我的DNS设置如下 domain.com -> A (Alias) -> CloudFront Distribution Alias origin.domain.com -> IPaddress of HTTPS server 我意识到需要从任何边缘位置都可以访问源服务器，但是如果我能够以某种方式将我的HTTPS源服务器配置为只接受来自CloudFront边缘的传入连接，从而消除用户/机器人直接访问它的可能性，那就太好了。

当使用带有自定义HTTPS源的CloudFront时，我的DNS设置如下

domain.com -> A (Alias) -> CloudFront Distribution Alias
origin.domain.com -> IPaddress of HTTPS server

我意识到需要从任何边缘位置都可以访问源服务器，但是如果我能够以某种方式将我的HTTPS源服务器配置为只接受来自CloudFront边缘的传入连接，从而消除用户/机器人直接访问它的可能性，那就太好了。这可能吗？

您可以使用云前端IP地址进行限制

CloudFront IP地址列表：

在文件中搜索

CLOUDFRONT

as服务，并对端点或安全组设置IP限制。这将防止除cloudfront之外的任何人访问

实施示例：

IP地址范围更改事件：

如果IP地址列表发生更改，会发生什么情况

您可以订阅Lambda并通过Lambda自动更新列表

附加安全性：

从CloudFront启用机密头，并确保您仅通过您的发行版而不是通过其他发行版接收请求。这与保持收割台旋转的附加维护一起提供

希望有帮助。

这是针对S3还是web服务？这是针对HTTPS服务器的。另外，我发现了这个Lambda函数，我将对其进行测试：这本身就是一个潜在的弱解决方案。任何人都可以创建指向您的源服务器的CloudFront发行版。您还应该使用一个秘密的CloudFront自定义源标题，并拒绝任何缺少该标题的请求：@Michael sqlbot谢谢。补充到答案中。我们在过去两年中一直在使用它，没有其他人访问我们的内容的问题。理想情况下，如果他们这样做，他们将为我们赚钱，我们认为这是积极的。

    {
      "ip_prefix": "13.32.0.0/15",
      "region": "GLOBAL",
      "service": "CLOUDFRONT"
    }