Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schützen Sie Ihre Herkunft (BP1,BP5)
Wenn Sie Amazon CloudFront mit einer Herkunft verwenden, die innerhalb Ihres liegtVPC, sollten Sie sicherstellen, dass nur Ihr CloudFront Vertrieb Anfragen an Ihren Ursprung weiterleiten kann. Mit Edge-to-Origin-Anforderungsheadern können Sie den Wert vorhandener Anforderungsheader hinzufügen oder deren Wert überschreiben, wenn Anfragen an Ihren Absender weitergeleitet werden CloudFront . Du kannst die benutzerdefinierten Origin-Header verwenden, zum Beispiel den X-Shared-Secret Header, um zu überprüfen, ob die Anfragen an deinen Absender gesendet wurden. CloudFront
Weitere Informationen zum Schutz Ihres Ursprungs mit benutzerdefinierten Origin-Headern finden Sie unter Benutzerdefinierte Header zu ursprünglichen Anfragen hinzufügen und Zugriff auf Application Load Balancers einschränken.
Eine Anleitung zur Implementierung einer Musterlösung zur automatischen Rotation des Werts von Origin Custom Headers für die Ursprungszugriffsbeschränkung finden Sie unter How to enhance Amazon CloudFront Origin Security with AWS WAF and Secrets Manager
Alternativ können Sie eine AWS Lambda
Weitere Informationen darüber, wie Sie Ihren Ursprung schützen können, indem Sie Ihre Sicherheitsgruppen und den X-Shared-Secret Header automatisch aktualisieren, finden Sie unter So aktualisieren Sie Ihre Sicherheitsgruppen für Amazon CloudFront und mithilfe AWS WAFAWS Lambda von
Die Lösung erfordert jedoch zusätzliche Konfiguration und die Kosten für die Ausführung von Lambda-Funktionen. Um dies zu vereinfachen, haben wir jetzt eine von AWS-verwaltete Präfixliste eingeführt, mit der Sie den eingehenden HTTP HTTPS /-Traffic CloudFront auf Ihre Ursprünge beschränken können, und zwar nur von den IP-Adressen, an die der Absender gerichtet CloudFront ist. AWS-verwaltete Präfixlisten werden von erstellt und verwaltet AWS und können ohne zusätzliche Kosten verwendet werden. Sie können CloudFront in Ihren (Amazon-VPC) Sicherheitsgruppenregeln, Subnetz-Routing-Tabellen, allgemeinen Sicherheitsgruppenregeln für und allen anderen AWS Ressourcen, die eine verwaltete Präfixliste verwenden können AWS Firewall Manager, auf die Liste der verwalteten Präfixe verweisen.
Weitere Informationen zur Verwendung der AWS-managed prefix list für Amazon CloudFront finden Sie unter Beschränken Sie den Zugriff auf Ihre Ursprünge mithilfe der AWS-managed prefix list für
Anmerkung
Wie bereits in anderen Abschnitten dieses Dokuments beschrieben, kann der Einsatz von Sicherheitsgruppen zum Schutz Ihrer Herkunft die Verbindungsverfolgung von Sicherheitsgruppen als potenzieller Engpass bei einer Flut von Anfragen mit sich bringen. Sofern Sie nicht in der Lage sind, bösartige Anfragen CloudFront mithilfe einer Caching-Richtlinie zu filtern, die das Zwischenspeichern ermöglicht, ist es möglicherweise besser, sich auf die zuvor erläuterten benutzerdefinierten Origin-Header zu verlassen, um zu überprüfen, ob die Anfragen an Ihren Ursprung gesendet wurden, anstatt Sicherheitsgruppen zu verwenden. CloudFront Die Verwendung eines benutzerdefinierten Anforderungsheaders mit einer Application Load Balancer-Listener-Regel verhindert Drosselungen aufgrund von Tracking-Limits, die sich auf den Aufbau neuer Verbindungen zu einem Load Balancer auswirken können, sodass Application Load Balancer im Falle eines Angriffs auf die Zunahme des Datenverkehrs skalieren kann. DDoS
