本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudFront 邊緣伺服器的位置和 IP 位址範圍
如需 CloudFront 邊緣伺服器位置的清單,請參閱 [Amazon CloudFront 全球邊緣網路](https://aws.amazon.com/cloudfront/features/#Global_Edge_Network)頁面。
Amazon Web Services (AWS) 會以 JSON 格式發佈目前的 IP 位址範圍。若要檢視目前範圍,請下載 [ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json)。如需詳細資訊,請參閱 *Amazon Web Services 一般參考*中的 [AWS IP 位址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。
若要尋找與 CloudFront 邊緣伺服器相關聯的 IP 位址範圍,請在 ip-ranges.json 中搜尋下列字串:
```
"region": "GLOBAL",
"service": "CLOUDFRONT"
```
或者,您可以在 [https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips](https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips) 僅檢視 CloudFront IP 範圍。
## 使用 CloudFront 受管字首清單
CloudFront 受管字首清單包含所有 CloudFront 全球面向原始伺服器的伺服器 IP 位址範圍。如果您的原始伺服器託管在 AWS 上並由 Amazon VPC [安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)保護,您可以使用 CloudFront 受管字首清單,僅允許從 CloudFront 面向原始伺服器的傳入流量傳送至原始伺服器,以防止任何非 CloudFront 流量到達原始伺服器。CloudFront 會維護受管字首清單,讓清單上所有 CloudFront 全球面向原始伺服器的伺服器 IP 位址始終維持在最新狀態。有了 CloudFront 受管字首清單,您就不必親自閱讀或維護 IP 位址範圍清單。
例如,假設您的原始伺服器是位於歐洲 (倫敦) 區域 (`eu-west-2`) 的 Amazon EC2 執行個體。如果執行個體位於 VPC 中,您可以建立安全群組規則,允許來自 CloudFront 受管字首清單的傳入 HTTPS 存取。如此可讓所有 CloudFront 全球面向原始伺服器的伺服器連至該執行個體。如果您移除了所有其他來自安全群組的傳入規則,則會阻止任何非 CloudFront 流量連至執行個體。
CloudFront 受管字首清單如下所示:
+ `com.amazonaws.global.cloudfront.origin-facing` (IPv4)
+ `com.amazonaws.global.ipv6.cloudfront.origin-facing` (IPv6)
如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用 AWS受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#use-aws-managed-prefix-list)。
**重要**
CloudFront 受管字首清單在應用至 Amazon VPC 配額的方式上,有其獨到之處。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[「AWS受管字首清單權重](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#aws-managed-prefix-list-weights)」。