Tengo un ELB que equilibra algunas instancias de EC2. El ELB expone los puntos finales de todo el sistema.
Ahora estoy creando una distribución de CloudFront sobre este ELB. ¿Hay alguna forma de permitir a los usuarios conectarse SOLAMENTE utilizando el punto final de CloudFront y rechazar las conexiones directas a ELB?
Gracias
Respuestas
3 para la respuesta № 1Tendría que restringir el grupo de seguridad a la lista de rangos de direcciones IP que usa CloudFront. Este es un subconjunto de la lista publicada. aquí.
Desafortunadamente, esa lista está sujeta a cambios, por lo que no puede "configurarla una vez y olvidarlo. Amazon ha publicado un tutorial aquí eso lo guiará a través de la configuración de una función Lambda que actualizará automáticamente su grupo de seguridad cuando Amazon publique una lista de IP actualizada.
1 para la respuesta № 2
Desafortunadamente, no hay una manera directa de hacerlo en este momento.
El acceso a ELB solo puede estar limitado por rangos de IP. Tú podría intenta limitar el ELB a Rangos de IP de CloudFront, pero esto es bastante quebradizo y cambiafrecuentemente. Si se introduce un nuevo rango de IP, puede terminar bloqueando accidentalmente CloudFront. Yo diría que este enfoque no es recomendable, pero lo he visto hecho cuando el requisito era obligatorio. Y se rompió algunas veces.
1 para la respuesta № 3
Puede configurar un grupo de seguridad automatizado quesolo permite a los IP de Cloudfront y permite que una función Lambda lo actualice cuando cambian los rangos de IP de Cloudfront. En la publicación de mi blog, puede encontrar una plantilla de Cloudformation completa que lo configurará por usted:
https://medium.com/cagataygurturk/restricting-elb-access-to-cloudfront-8b0990dea69f