Vous avez deux options principales :
-
ACL de réseau (NACLs). Elles ressemblent davantage à un pare-feu traditionnel, elles fonctionnent sur le réseau et empêchent le trafic d'atteindre le serveur ou l'instance s'il n'est pas autorisé. Il y a un nombre limité de règles, qui, de mémoire, est inférieur au nombre de serveurs CloudFlare. Ils sont sans état et vous devez donc ajouter des règles entrantes et sortantes.
-
Groupes de sécurité . Il s'agit d'un pare-feu dynamique fonctionnant sur l'instance. Si vous définissez une règle, le trafic de réponse est automatiquement autorisé. Il y a une limite de règles plus élevée que les NACLs.
Vous avez besoin que le groupe de sécurité associé à votre instance EC2 dispose des adresses IP de CloudFlare et de vos propres adresses IP, permettant l'accès sur les ports requis. Je l'ai fait, c'est facile.
Vous pouvez bien sûr effectuer vos demandes d'API via CloudFlare, mais la méthode directe est probablement légèrement plus rapide et plus fiable.
CloudFormation
La configuration de toutes les adresses IP de CloudFlare peut nécessiter quelques copier-coller - peut-être dix minutes, donc pas si mal. Si vous voulez apprendre un peu de CloudFormation, vous pouvez automatiser la création et la mise à jour du groupe de sécurité avec les adresses IP CloudFlare. S'ils ajoutent plus d'IP, il suffit de mettre à jour votre script et de l'exécuter à nouveau. Il est généralement préférable de créer votre VPC, vos sous-réseaux, votre groupe de sécurité, vos règles, etc. dans le script de CloudFormation. Si vous ne voulez pas recommencer, alors vous pouvez lui faire faire référence à des ressources existantes. Je pourrais ajouter un script qui vous donnerait un point de départ, mais cela prendrait un peu de temps pour le peaufiner.
Si vous ne connaissez pas CloudFormation, il vous faudra peut-être un jour ou deux pour le faire fonctionner, mais pour un environnement de production, cette méthode présente de nombreux avantages.