Livraison d'applications Web à la périphérie (BP1) - AWS Meilleures pratiques en matière de DDoS résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Livraison d'applications Web à la périphérie (BP1)

Amazon CloudFront est un service qui peut être utilisé pour diffuser l'intégralité de votre site Web, y compris du contenu statique, dynamique, en streaming et interactif. Les connexions persistantes et les paramètres variables time-to-live (TTL) peuvent être utilisés pour décharger le trafic de votre source, même si vous ne diffusez pas de contenu pouvant être mis en cache. L'utilisation de ces CloudFront fonctionnalités réduit le nombre de demandes et de TCP connexions renvoyant à votre origine, ce qui contribue à protéger votre application Web des HTTP inondations.

CloudFront n'accepte que les connexions bien établies, ce qui permet d'empêcher de nombreuses DDoS attaques courantes, telles que SYN les inondations et les attaques par UDP réflexion, d'atteindre votre point d'origine. DDoSles attaques sont également isolées géographiquement à proximité de leur source, ce qui empêche le trafic d'avoir un impact sur d'autres sites. Ces fonctionnalités peuvent considérablement améliorer votre capacité à continuer à fournir du trafic aux utilisateurs lors d'DDoSattaques de grande envergure. Vous pouvez l' CloudFront utiliser pour protéger une origine sur Internet AWS ou ailleurs.

Si vous utilisez Amazon Simple Storage Service (Amazon S3) pour diffuser du contenu statique sur Internet, nous vous AWS recommandons d'utiliser Amazon CloudFront pour protéger votre compartiment en offrant les avantages suivants :

  • Restreint l'accès au compartiment Amazon S3 afin qu'il ne soit pas accessible au public.

  • Veille à ce que les spectateurs (utilisateurs) puissent accéder au contenu du bucket uniquement par le biais de la CloudFront distribution spécifiée, c'est-à-dire qu'il les empêche d'accéder au contenu directement depuis le bucket ou par le biais d'une distribution involontaire. CloudFront

Pour ce faire, configurez CloudFront pour envoyer des demandes authentifiées à Amazon S3, et configurez Amazon S3 pour autoriser uniquement l'accès aux demandes authentifiées provenant de. CloudFront CloudFront propose deux méthodes pour envoyer des demandes authentifiées à une origine Amazon S3 : le contrôle d'accès à l'origine (OAC) et l'identité d'accès à l'origine (OAI). Nous vous recommandons de l'utiliser OAC car il prend en charge :

  • Tous les compartiments Amazon S3 en tout Régions AWS, y compris les régions optionnelles lancées après décembre 2022

  • Chiffrement côté serveur Amazon S3 avec AWS KMS (SSE-) KMS

  • Demandes dynamiques (PUT et DELETE) vers Amazon S3

Pour plus d'informations sur OAC etOAI, reportez-vous à Restreindre l'accès à l'origine Amazon S3.

Pour plus d'informations sur la protection et l'optimisation des performances des applications Web avec Amazon CloudFront, consultez Getting Started with Amazon CloudFront.