rab*_*abs 8 amazon-ec2 amazon-web-services amazon-cloudfront amazon-elb
有谁知道如何将您的cloudfront发行版添加到ELB的安全组入站规则中?
我们为新网站设置了一个cloudfront发行版设置,其中包含一组白名单的安全组规则.我无法看到如何配置安全组以允许来自cloudfront发行版的请求...
有任何想法吗?
如果您按照Amir Mehler在上述评论中提供的链接,博客作者将指向Github上的官方AWS Lambda函数,该函数将使用CloudFront IP更新安全组.我用过这个,效果很好.
如果你不喜欢Lambda,你可以手动完成.
Note 当第一次尝试使用示例测试配置时,更新MD5以匹配当前ip-ranges.json文件的哈希值,否则将出错.
当您在 Cloudfront 分配中说“添加源”并单击“源域名”框时,它会列出该帐户中的所有 AWS 资源(包括 ELB)。你可以选择它。
但是,与 ELB 关联的安全组应允许公共访问(HTTP/HTTPS、0.0.0.0/0)。这并没有降低安全性,因为无论如何您都希望公众通过 cloudfront 访问 ELB。当您通过 CDN 提供内容时,它就可供公众访问。我一直以这种方式配置 ELB 安全组。接受其他建议!
现在对于 ELB 后面的 EC2 的安全组:这里不应允许公共访问。相反,仅允许来自 ELB 安全组的访问(您可以通过从列表中选择 ELB 安全组来实现此目的,而不是键入入站 IP 地址。
现在,如果源是 S3,则配置略有不同。在这里您不需要将存储桶公开。相反,使用存储桶策略(此处不是任何安全组)限制对存储桶的访问,仅允许 IAM 源访问身份。更多信息请参见此处 -通过 CloudFront 提供私有内容 - Amazon CloudFront
| 归档时间: |
|
| 查看次数: |
10246 次 |
| 最近记录: |