オリジンの保護 (BP1、BP5)

VPC 内のオリジンで Amazon CloudFront を使用している場合に、CloudFront ディストリビューションのみがリクエストをオリジンに転送できるようにしたいことがあります。Edge-to-Origin リクエストヘッダーを使用すると、CloudFront からオリジンにリクエストを転送する際に、既存のリクエストヘッダーの値への追加または上書きが可能です。X-Shared-Secret ヘッダーなどの Origin カスタムヘッダーを使用すると、オリジンに対して行われたリクエストが CloudFront から送信されたことを検証できます。

オリジンカスタムヘッダーによるオリジンの保護について詳しくは、「オリジンリクエストへのカスタムヘッダーの追加」および「Application Load Balancers へのアクセスを制限する」を参照してください。

オリジンアクセス制限用にオリジンカスタムヘッダーの値を自動的にローテーションするためのサンプルソリューションの実装に関するガイドについては、「How to enhance Amazon CloudFront origin security with AWS WAF and Secrets Manager」を参照してください。

または、CloudFront トラフィックのみを許可するようにセキュリティグループルールを自動的に更新する AWS Lambda 関数を使用することもできます。これはオリジンのセキュリティ向上に効果的です。悪意あるユーザーがウェブアプリケーションにアクセスする際、CloudFront や AWS WAF を迂回できないからです。

セキュリティグループの自動更新によるオリジンの保護について詳しくは、「X-Shared-Secret ヘッダー」および「How to Automatically Update Your Security Groups for Amazon CloudFront and AWS WAF by Using AWS Lambda」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティグループとネットワークアクセス制御リスト (ネットワーク ACL) (BP5)

API エンドポイントの保護 (BP4)