dro*_*our 4 amazon-cloudfront amazon-web-services amazon-vpc
有什么方法可以将静态 IP 绑定到我的 Cloudfront 发行版?我想知道 VPC 是否可以做到这一点。我需要静态 IP 只是为了消除每次 AWS Cloudfront IP 更改时允许进入我的防火墙的问题。
Mic*_*bot 12
“您的” Cloudfront 发行版不是一个地方的单一事物。它是全球分布式网络上的虚拟实体,访问它的位置越多,您可能看到的潜在 IP 地址就越多,因为使用 DNS 将请求路由到请求者最近的端点。如果我访问您的发行版,如果我们在不同的地方,这可能会涉及与您访问它时不同的 IP 地址。
所以,不,那是不可能的。
但是,可能的地址列表已发布...
https://forums.aws.amazon.com/ann.jspa?annID=2051
但是,如果您指的是出于安全原因允许 Cloudfront 访问源服务器的防火墙规则,那么您的假设存在另一个缺陷。没有理由为什么多个发行版不能使用一组通用的 IP 地址……而且确实如此……所以可以想象,如果您试图使用这些限制来实现内容的某种安全性,那如果恶意用户知道如何访问您的源服务器,则他们可以提供他们自己的引用您的源的发行版并通过 Cloudfront 访问它。
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html
Amazon CloudFront 开发人员指南中有一节——使用自定义标头限制对自定义源上的内容的访问——描述了一种可能的解决方法:使用自定义源标头以及只有 CloudFront 和您的源服务器知道的秘密值。CloudFront 将这些注入到请求中,浏览器不可见。如果请求中不存在此标头及其机密值,则该请求不是通过 CloudFront 分配发送给您的,并且可能被您的源服务器拒绝或重定向。这对于确保正确的解析语义也很有用,X-Forwarded-For因为它对来自 CloudFront 的请求的值可能需要不同的解释,特别是在负载均衡器后面的源服务器上。
| 归档时间: |
|
| 查看次数: |
19684 次 |
| 最近记录: |