CloudFront实战技巧-简单三步骤轻松配置CloudFront + EC2 OAI(二)

2022-03-22 20:53

上一期学会了在S3的场景下配置Cloudfront,

今天要教大家

简单三步骤轻松配置CloudFront + EC2 OAI,

大幅提升源站安全性

尝试跟我操作看看吧!

重温一下了OAI是什么?

l    Origin Access Identity(OAI) 源访问身份,简单来说,就是使终端用户只能通过 CloudFront 访问您的文件,而不能直接从源站的URL或域名访问。


l   OAI配置大幅提高源站的安全性,避免恶意流量绕过CloudFront对源站直接进行访问。


l    OAI的设定使得CloudFront是唯一入口,透过CloudFront众多Pop点的特性,也能大幅提升流量承载量,避免恶意攻击发生时源站毫无抵御能力。

CloudFront + EC2 OAI


  EC2及ALB皆可使用AWS 托管式前缀列表实现类似OAI效果,提高源站安全。

  什么是AWS 托管式前缀列表?

  • 简单地说,AWS 管理的前缀列表是 AWS 服务的 IP 地址范围集。

  • AWS已经把CloudFront的IP范围都进行管理及维护,无需自行维护及更新。

   首先,创建 CloudFront 并将源指向所使用的EC2或ALB

  接着我们只需要简单三步骤,将托管前缀列表写入源站的安全组即可实现。

1.在VPC界面找到CloudFront托管前缀列表 ID

2.修改源站安全组配置

注意:已创建的安全组无法直接添加前缀列表规则,会出现以下报错!

▪   如果安全组规则不多,可以选择重新创建新的安全组

▪   如果安全组规则较为复杂,可以选择复制到新的安全组,如下图:

您还可能会遇到以下报错!

因为Amazon CloudFront 托管前缀列表权重在影响 Amazon VPC 配额方面是独一无二的:

▪   它算作安全组中的 55 条规则。而默认配额为每个安全组 60条规则。

▪   它在路由表中计为 55 条路由。默认配额为 50 个路由。但不必担心,只需要申请提升配额即可解决此问题!

3.源站关联新的安全组

▪ 添加新的安全组,删除旧的安全组。

  透过CloudFront域名访问测试 (成功!)

  透过EC2域名访问测试 (失败!)

• end •