まとめ X-Forwarded-For ヘッダの右から 2 つ目が接続元 IP アドレスです。 ただし X-Forwarded-For の不正な書き換えを防止するため、 CloudFront=>ELB=>EC2 それぞれの通信を保護する必要があります。 CloudFront => ELB を保護する CloudFrontのELBオリジンへ直接アクセスする通信を制限する方法 | Developers.IO に詳しいです。 要約すると、 CloudFront のカスタムヘッダに秘密の文字列を設定し、 ELB や EC2 側でそれを検証する ELB のセキュリティグループで、 CloudFront の IP アドレスだけを許可するよう設定する (要定期更新) の 2 種類になります。 ELB => EC2(nginx) を保護する EC2 のセキュリティグループで、 ELB (もしくは ELB