Existe-t-il un moyen de lier une IP statique à ma distribution Cloudfront ? Je me demande si VPC peut faire en sorte que cela fonctionne. J'ai besoin d'une IP statique pour éliminer le problème de l'autorisation de mon pare-feu chaque fois que l'IP de AWS Cloudfront change.
Réponses
Trop de publicités?
"Votre" distribution Cloudfront n'est pas une chose unique à un endroit unique. Il s'agit d'une entité virtuelle sur un réseau distribué mondial, et plus il y a d'endroits à partir desquels on y accède, plus il y a d'adresses IP potentielles, car les demandes sont acheminées vers le point d'extrémité le plus proche du demandeur, à l'aide du DNS. Si j'accède à votre distribution, cela impliquera potentiellement une autre adresse IP que si vous y accédez, si nous sommes dans des endroits différents.
Donc, non, ce n'est pas possible.
La liste des adresses possibles est toutefois publiée...
https://forums.aws.amazon.com/ann.jspa?annID=2051
Toutefois, si vous faites référence aux règles de pare-feu permettant à Cloudfront d'accéder à votre serveur d'origine pour des raisons de sécurité, vous avez une autre faille dans vos hypothèses. Il n'y a aucune raison pour que plusieurs distributions ne puissent pas utiliser un ensemble commun d'adresses IP... et, en effet, elles le font... il est donc concevable que si vous essayez d'obtenir une certaine forme de sécurité de votre contenu en utilisant ces restrictions, qu'un utilisateur malveillant puisse fournir sa propre distribution faisant référence à votre origine et y accéder via Cloudfront, s'il savait comment accéder à votre serveur d'origine.
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html
Il y a une section dans le guide du développeur Amazon CloudFront -- Utilisation d'en-têtes personnalisés pour restreindre l'accès à votre contenu sur une origine personnalisée -- qui décrit une solution de contournement possible : utiliser un en-tête d'origine personnalisé avec une valeur secrète connue uniquement de CloudFront et de votre serveur d'origine. CloudFront les injecte dans la requête, de manière invisible pour le navigateur. Si cet en-tête et sa valeur secrète ne sont pas présents dans une requête, alors la requête ne vous est pas parvenue par la distribution de CloudFront, et peut être refusée ou peut-être redirigée par votre serveur d'origine. Ceci est également utile pour garantir une sémantique d'analyse correcte pour les éléments suivants X-Forwarded-For car sa valeur pour les requêtes passant par CloudFront peut nécessiter une interprétation différente, notamment au niveau d'un serveur d'origine derrière un équilibreur de charge.
tehsis
Points
368
Oui, c'est possible mais cela vous coûtera 600$ par mois :
Pour ce faire, vous devez définir un domaine personnalisé et un certificat SSL personnalisé : https://aws.amazon.com/cloudfront/custom-ssl-domains
