CloudFront の AWS managed prefix list の重みが 55 であることの注意点 - サーバーワークスエンジニアブログ
営業部 佐竹です。 本日は、最近リリースされた機能である「CloudFront の AWS managed prefix list」利用時における Security Group に関する運用上の注意点を記載します。 はじめに AWS managed prefix list の一覧 東京リージョンにおける AWS managed prefix list の一覧 Security Group 設定時の注意点 AWS-managed prefix list weight CloudFront の AWS managed prefix list の重みは 55 Security Group の設定ルール数制限の確認方法 1つの Security Group に2つルールを設定したい場合にエラー どのように Security Group を上限緩和するのが良いか まとめ はじめに 以下のブログ記事で
CloudFront が AWS-managed prefix list に対応しました - サーバーワークスエンジニアブログ
どうもこんにちは 技術課の山本です 休日は山に登っています 山中湖パノラマ台付近 そして新内眞衣さん卒業おめでとうございます(これを言いたくてブログを書きました) さて本題です CloudFront が AWS-managed prefix list に対応しました aws.amazon.com prefix list (プレフィクスリスト)ってなに? docs.aws.amazon.com Cidr ブロックをリストにして束ねたものです セキュリティグループやルートテーブルの設定・管理を楽にしてくれます 例として 2つの Cidr ブロックを 1つのプレフィクスリストに束ねて pl-my.network と名前を付けます ※カスタマー管理プレフィクスリスト プレフィクスリストの名前 エントリするCidr ブロック pl-my.network 172.32.1.1/32 172.32.2.
AWS WAF Fraud Control アカウント乗っ取り防止が Amazon CloudFront をサポート
AWS WAF Fraud Control アカウント乗っ取り防止機能が、Amazon CloudFront に対応しました。AWS WAF Fraud Control アカウント乗っ取り防止は、アプリケーションのログインページを、クレデンシャルスタッフィング攻撃やブルートフォース試行などの異常なログインアクティビティから保護する機能です。この機能を使用すれば、ネットワークのエッジでアカウントの乗っ取りを未然に防げます。また、不正行為につながる未承認のアクセスを阻止したり、影響が及ぶユーザーに通知を行って予防措置を促したりできます。 アカウント乗っ取り防止は、AWS マネージドルールを通じて提供されています。AWS WAF ウェブ ACL に追加すると、アプリケーションに送信されたユーザー名とパスワードが、ウェブの他の場所で漏洩した認証情報と比較されます。また、長期的に行われたリクエストを
[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! | DevelopersIO
[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! CloudFrontからS3へのアクセス制限として従来のOAIに加えて、新たにOACが利用可能になりました。セキュリティが強化されSSE-KMSなどのサポートが行われています。OAIも引き続き利用可能ですが、今後はOACを使用しましょう。 はじめに 清水です。今朝(日本時間2022/08/26、現地時間2022/08/25)のアップデートでAWSのCDNサービスであるAmazon CloudFrontにOrigin Access Control (OAC)という機能が追加されました。CloudFrontからオブジェクトストレージサービスAmazon S3へのアクセス制限を行う新たな方法となります。これまでもOrigin Access Identi
![[NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/17d6fdb640a27970efada177996eba4546025db8/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-cloudfront.png)
Amazon CloudFront オリジンアクセスコントロール(OAC)のご紹介 | Amazon Web Services
Amazon Web Services ブログ Amazon CloudFront オリジンアクセスコントロール(OAC)のご紹介 本記事は、「Amazon CloudFront introduces Origin Access Control (OAC)」と題された記事の翻訳となります。 Amazon CloudFront は、アプリケーション、ウェブサイト、動画、API を世界中の視聴者にミリ秒で安全に配信するグローバルなコンテンツ配信ネットワークです。CloudFront を利用することで、お客様はユースケースに合わせて様々なタイプのオリジンサービスにアクセスすることができます。お客様が採用されているパフォーマンスの高いアーキテクチャの1つは、Amazon S3 をオリジンとして Web サイトや動画などのコンテンツをホストし、CloudFront を使用して視聴者に配信するものです
【AWS】CloudFrontで署名付きURLの設定方法(プライベートコンテンツの配信) - Qiita
導入 CloudFrontでプライベートコンテンツを配信する場合、署名付きURLを発行する必要性がある。 署名付きURLを発行することによって、下記のことを設定することが出来る。 URLに期限をつけることが出来る。 URLを知っているだけではアクセス出来ない。 また、CloudFrontで署名付きURLを発行するためには、2つの方法がある。 CloudFrontキーペアを使用する方法 信頼されたキーグループを使用した方法 1の方法は、以前から存在していたが、 CloudFrontキーペアを作成するにあたって、AWSのrootユーザーを使用しなければならないということもあり、現在は 非推奨 の方法となっている。 2の方法は、最近追加された方法で、 CloudFrontのAPIを使用すれば、キーペアの作成やローテーションの自動化をすることができ、AWSのrootユーザーを使用せずに(IAMユー
CloudFront+S3で署名付きURLでプライベートコンテンツを配信する | DevelopersIO
はじめに S3をWebコンテンツの置き場所として使う場合、Webアプリケーション側でそのS3上のコンテンツに対するPre-signed URLを生成することで、Webアプリケーションで認証されたユーザに限りコンテンツにアクセス可能とするような仕組みを作ることは良くあります。 ただしこのS3アクセス用として生成したPre-signed URLは、CloudFrontを経由した形では使えません。 CloudFront経由で、限られたユーザのみS3からコンテンツを取得出来るようにするためには、CloudFront用の署名付きURLを発行する必要があります。 そこで今回は、CloudFront+Amazon S3を組み合わせて、署名付きURLを使った制限されたコンテンツ(プライベートコンテンツ)の配信を試してみました。 やってみる 今回試したことは、以下のAWSのドキュメントを参照しながら行ってい
Lambda@Edge で CloudFront キャッシュヒット率を向上させるんや! | DevelopersIO
CloudFront はクエリ文字列毎のキャッシュが可能ですが、パラメータの順序、大文字小文字の違いによって、別のキャッシュと判断されます。Lambda@Edge でクエリ文字列を標準化し、キャッシュヒット率を向上させる方法をご紹介します。 みなさん、Lambda@Edge 使ってますか!?「いまいち使い所がわからない・・・」という方も少なくないのではないでしょうか?今回はユースケースの一例として、クエリ文字列を標準化することでキャッシュヒット率を向上させる方法についてご紹介したいと思います。 クエリ文字列のキャッシュについて理解する CloudFront では Query String Forwarding and Caching の設定により、クエリ文字列パラメータに基づいて個別にキャッシュすることが可能ですが、ここで注意したいポイントは、パラメータの順番や、大文字小文字のレベルで別の
CloudFront試験対策知識
OAIとは何か? OAI(オリジンアクセスアイデンティティ) 特別なCloudFrontユーザーのこと。 このOAIを使用して、S3のバケット内のファイルにアクセスし、条件下のユーザーにだけS3バケットのアクセス許可を設定します。 ユーザーがS3バケットのダイレクトURLを使用して、そこにあるファイルをアクセスできないようにします。 このステップを実行すると、ユーザーはS3バケットに直接ではなく、CloudFront経由のみアクセスできるようになります。 信頼された署名者とはなにか? 上記でも少し出てきた、CloudFrontの署名付きURL、またはCookieを作成するには、署名者が必要です。 署名者は、CloudFrontが作成したグループ、または、CloudFrontのキーペアを含むAWSアカウントのどちらかです。 署名者を作る目的として2つ 署名者をディストリビューションに追加する
S3+cloudFrontで静的Webサイトのホストティング - Gattino
構成 S3とCloudFrontを使った静的Webホスティングの構成は、CloudFormationのテンプレートが用意されているのでこれを使うことで簡単に構築することができます。 このテンプレートでは以下のような構成で作成されます。 安全な静的ウェブサイトの使用開始 S3での静的Webホスティング コンテンツ保持用とログ用の2つのバケットが作成されます。CloudFrontでの高速配信 高速な配信のためにCloudFront ディストリビューションを利用します。S3にはCloudFrontを通したアクセスのみを許可するOAI(origin access identitiy)を使います。ACMの証明書を使ったHTTPSアクセス カスタムドメインに対して、AWS Certificate Manager (ACM) で SSL/TLS 証明書を作成し、CloudFormationにアタッチされ
CloudFormation で OAI を使った CloudFront + S3 の静的コンテンツ配信インフラを作る | DevelopersIO
よく訓練されたアップル信者、都元です。年末に Fitbit Alta HR を買いました。 睡眠や心拍がほぼ24時間体制でトラッキングされるって面白いですね。え? アップルウォッうわなにをする はじめに さて、S3 + CloudFront で静的コンテンツ配信をしよう、というのはもう今さら言うまでもない鉄板構成だと思います。かつてAWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む)でご紹介した「横綱」パターンですね。 公開サイトとして、この構成を雑に作る場合 CloudFront を介して配信するということは基本的に公開サイトとして配信するユースケースが多いと思います。 つまり、原則としてはみんな CloudFront を介してコンテンツにアクセスして欲しいのですが、最悪 S3 に直接アクセスしてコンテンツを読まれたとしてもセキュリティ上は問題ない、ということです。 こ
AWS WAF を急に導入することになったときに参考にした資料まとめ | DevelopersIO
急ぎのご依頼で AWS WAF の導入を支援をする機会がありました。本当に急な話だったので準備する時間もなく必要な設定の資料を都度見繕っていたので、また急に依頼されたときに備えて今回の対応で必要だった資料をまとめます。 AWS WAF を急に設定することになったあなたへ向けの記事です。 応急処置として以下の構成に AWS WAF を急遽導入することになったときのお話です。 2023/3/8追記 非常に良い記事でしたので紹介します。こちらもご覧ください。 状況と対応内容 Webサイトに不正なアクセスを受けていることがわかり、AWS WAF を導入して急場を凌ぎたい。 WordPress が起動している(Webサイトを提供しているサービス) 不正なアクセスはCloudFront経由と、Classic Load Blancerから直接の2パターン確認されている Classic Load Blan
[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO
本日のアップデートで Amazon CloudFront の署名付き URL および署名付き Cookie に対する公開鍵の管理を、IAM ユーザー権限で行えるようになりました! Amazon CloudFront announces support for public key management through IAM user permissions for signed URLs and signed cookies IAM ユーザー権限による公開鍵管理が可能に 従来、CloudFront で署名付き URL および 署名付き Cookie を利用する場合、「CloudFront のキーペア」を作成する必要がありました。このキーペアの作成は AWS アカウントの root ユーザーしか行うことが出来ません。そのため必要になった際にアカウント管理者に連絡しキーペアを作成してもらう、
![[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fde6f7c8a9687a84d77b4283284f2288984c2659/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloud-front.png)
CloudFront の地理的制限を使用して特定地域からのアクセスを制限する
解決策 CloudFront の地理的制限を有効にする CloudFront コンソールを開きます。 地域制限を適用するディストリビューションを選択します。 [地理的制限] タブを選択します。 [編集] を選択します。 各国からのアクセスを許可するには、[制限タイプ] で [許可リスト] を選択します。特定の国からのアクセスをブロックするには、[ブロックリスト] を選択します。 [国] で、許可またはブロックする国を選択します。次に、[追加] を選択します。 [変更を保存] を選択します。 詳細については、「CloudFront の地域制限の使用」を参照してください。 別の方法でコンテンツを制限する CloudFront ディストリビューションが配信するウェブコンテンツへのアクセスを制限する方法としては、以下のような方法もあります。 AWS WAF を使用して HTTP および HTTPS
キャッシュさせないCloudFrontディストリビューションを設定してみた(CloudFormationテンプレート付) | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。今回は題名通り「キャッシュしない」CloudFront設定を行ってみました。 CDN(Contents Delivery Network)であるCloudFrontにキャッシュさせないのって意味があるの?と思われるかもしれませんが、理由は色々あります。 基本キャッシュしてほしくないけど、一部のパス(CSSとか画像とか)は同じドメインでキャッシュさせたい LINEやTwitterでの告知するページだけキャッシュさせたいので、事前にCloudFrontは準備しておきたい パス毎にオリジンを変えたい(L7ロード・バランシングしたい) Amazon WAF使いたいけどキャッシュはしたくない(私の今回の目的です) ネットで調べると同じ思いの方は結構いらっしゃるようですね。 キャッシュしない cloudfront - Google 検索(2016/0
CloudFrontを導入しました! Part2
こんにちは。 IDCソリューションチームAWS推進担当の知花です。 またまたCloudFrontネタ投入します。 Part1ではCDNについて概要だけをお伝えしましたが、Part2ではCloudFrontの構築・導入フローを詳細に載せたいと思います。 CloudFront構築 CloudFrontの構築は、CloudFrontの管理画面より「Create Distribution」を選択。続いて「Download」を選択。 以下、詳細設定となります。 Origin Domain Name:オリジンサーバへ割り当てたサブドメインを指定します。 Origin ID:自動入力されるため変更不要。 Origin Protocol Policy:今回はHTTPのみのサイトのため「HTTP Only」を選択。 Object Caching:オリジンサーバ側の設定で制御したいため「Use Origin
[新機能] Amazon CloudFrontでHostヘッダを転送する | DevelopersIO
ども、大瀧です。 本日CloudFrontの大規模アップデートが実施され、様々な機能拡張が行われました。 その中でも、個人的にインパクトが大きかったのがHostヘッダが転送できるようになったことです。 Hostヘッダはデフォルトでは転送されない これまでCloudFrontでWebコンテンツを配信する場合、リバースプロキシ/キャッシュサーバーとして動作することからHTTPヘッダが書き換えられていました。以下の簡単なPHPスクリプトを作成し、EC2への直接アクセスとCloudFront経由のアクセスでの結果を比較してみます。 <pre><?php var_dump(getallheaders()) ?></pre> EC2の場合 array(7) { ["Host"]=> string(10) "ec2-XX-XX-XX-XX.ap-northeast-1.compute.amazonaws
WordPressサイトをCloudFrontで配信する - Qiita
概要 CloudFrontとは CloudFrontはAWSのCDN(Contents Delivery Network)サービスで、Webサイトの前段に入れるだけでサイトアクセスが爆速になります。爆速になる理由は主に下記2点。 初回リクエストはCloudFrontがオリジンにコンテンツを取りに行きますが、2回目以降は超高速でCloudFrontのキャッシュから返答します。ただし、TTL(有効期間)を過ぎたキャッシュは削除されます ユーザーがアクセスするCloudFrontのエッジロケーションは全世界に54ヶ所(2016年1月現在)あり、ユーザーはネットワーク的に最も近いエッジロケーションに誘導されます。それぞれのエッジロケーションは、超広帯域なネットワークと超大容量なキャッシュ処理機構に支えられており、ユーザーがサイジングに悩む必要はありません メディア暴露によるスパイク、いわゆるxx砲
CloudFrontのアクセスログを集計・分析したい! | DevelopersIO
よく訓練されたアップル信者、都元です。CloudFrontにはDistributionの設定により、アクセスログを出力する機能があります。アクセスログは定期的に *1、gzip圧縮ファイルとして、指定したS3バケットに配信されます。 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html さてこの設定を行いますと、指定したバケットがこんな感じになります。どんな単位で集約されているのかは定かではありませんが、同じ時間帯に複数のファイルがありますね。これでも数が少ない時間帯を選んだのですが。要するに物凄い数のログファイルがガンガン配信されてくるようになります。アクセス数にもよりますが、今回の検証環境では1日あたり1000ファイルほどが配信されました。 さて、このログファイルを集計してくだ
[新機能] Amazon CloudFrontがジオターゲティングに対応しました | DevelopersIO
はじめに 6/26のCloudFront大規模アップデートについて、本ブログでは以下の3つの記事で各機能をご紹介致しました。 [新機能] Amazon CloudFrontでHostヘッダを転送する [新機能] Amazon CloudFrontでモバイル端末を判定できるようになりました [新機能] Amazon CloudFrontがCORSに対応しました しかし、今回はまだまだたくさんのアップデートがあります。そこで今回はGeo Targeting(ジオターゲティング)に注目したいと思います! 新機能として追加されたこと 今回の新機能では、以下のカスタムヘッダが追加されました。 CloudFront-Viewer-Country このヘッダには、アクセス元の国を特定出来る国コードがセットされます。詳細な技術資料が見つかりませんでしたが、おそらくIPアドレスからマッピングしているのでしょ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
