Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protéger votre origine (BP1,BP5)
Si vous utilisez Amazon CloudFront avec une origine qui se trouve dans le vôtreVPC, vous voudrez peut-être vous assurer que seule votre CloudFront distribution peut transmettre les demandes à votre origine. Avec les en-têtes de demande Edge-to-Origin, vous pouvez ajouter ou remplacer la valeur des en-têtes de demande existants lorsque CloudFront vous transférez des demandes à votre origine. Vous pouvez utiliser les en-têtes personnalisés d'Origin, par exemple l'X-Shared-Secret
en-tête, pour vérifier que les demandes adressées à votre origine ont été envoyées depuis CloudFront.
Pour plus d'informations sur la protection de votre origine avec des en-têtes personnalisés Origin, reportez-vous aux sections Ajouter des en-têtes personnalisés aux demandes d'origine et Restreindre l'accès aux équilibreurs de charge d'application.
Pour un guide sur la mise en œuvre d'un exemple de solution permettant de faire automatiquement pivoter la valeur des en-têtes personnalisés d'Origin pour la restriction d'accès à l'origine, reportez-vous à la section Comment améliorer la sécurité des CloudFront origines d'Amazon avec AWS WAF et Secrets Manager
Vous pouvez également utiliser une AWS Lambda
Pour plus d'informations sur la manière de protéger votre origine en mettant automatiquement à jour vos groupes de sécurité et l'X-Shared-Secret
en-tête, consultez Comment mettre à jour automatiquement vos groupes de sécurité pour Amazon CloudFront et en AWS WAF utilisant AWS Lambda
Cependant, la solution implique une configuration supplémentaire et le coût d'exécution des fonctions Lambda. Pour simplifier les choses, nous avons introduit une liste de AWS préfixes gérée afin de limiter le HTTPS trafic entrant CloudFront HTTP vers vos origines à partir des seules adresses IP orientées vers l' CloudFrontorigine. AWS-les listes de préfixes gérées sont créées et maintenues par AWS et peuvent être utilisées sans frais supplémentaires. Vous pouvez faire référence à la liste des préfixes gérés CloudFront dans les règles de votre groupe de sécurité (AmazonVPC), dans les tables de routage des sous-réseaux, dans les règles communes des AWS Firewall Manager groupes de sécurité et dans toute autre AWS ressource pouvant utiliser une liste de préfixes gérés.
Pour plus d'informations sur l'utilisation de la liste de préfixes AWS gérée par -pour Amazon CloudFront, consultez Limiter l'accès à vos origines à l'aide de la liste de AWS préfixes -gérée
Note
Comme indiqué dans d'autres sections de ce document, le fait de s'appuyer sur des groupes de sécurité pour protéger votre origine peut ajouter au suivi des connexions des groupes de sécurité un obstacle potentiel lors d'un afflux de demandes. À moins que vous ne soyez en mesure de filtrer les demandes malveillantes à CloudFront l'aide d'une politique de mise en cache qui active la mise en cache, il peut être préférable de vous fier aux en-têtes personnalisés d'origine, évoqués précédemment, pour vérifier que les demandes adressées à votre origine ont été envoyées depuis CloudFront, plutôt que d'utiliser des groupes de sécurité. L'utilisation d'un en-tête de demande personnalisé avec une règle d'écoute Application Load Balancer permet d'éviter les ralentissements dus aux limites de suivi susceptibles d'affecter l'établissement de nouvelles connexions à un équilibreur de charge, ce qui permet à Application Load Balancer de s'adapter en fonction de l'augmentation du trafic en cas d'attaque. DDoS