원본 보호(BP1, BP5)
VPC 내부에 있는 원본과 함께 Amazon CloudFront를 사용하는 경우 CloudFront 배포만 원본에 요청을 전달할 수 있도록 할 수 있습니다. Edge-to-Origin 요청 헤더를 사용하면 CloudFront에서 원본으로 요청을 전달할 때 기존 요청 헤더 값을 추가하거나 재정의할 수 있습니다. 원본 사용자 지정 헤더(예: X-Shared-Secret 헤더)를 사용하여 원본에 대한 요청이 CloudFront에서 전송되었는지 확인할 수 있습니다.
원본 사용자 지정 헤더로 원본을 보호하는 방법에 대한 자세한 내용은 사용자 지정 헤더를 원본 요청에 추가 및 Application Load Balancer에 대한 액세스 제한을 참조하세요.
원본 액세스 제한에 대해 원본 사용자 지정 헤더 값을 자동으로 교체하는 샘플 솔루션 구현에 대한 지침은 AWS WAF 및 Secrets Manager를 사용하여 Amazon CloudFront 원본 보안을 강화하는 방법
또는 AWS Lambda 함수를 사용하여 CloudFront 트래픽만 허용하도록 보안 그룹 규칙을 자동으로 업데이트할 수 있습니다. 이렇게 하면 악의적인 사용자가 웹 애플리케이션에 액세스할 때 CloudFront 및 AWS WAF를 우회할 수 없어 원본의 보안이 향상됩니다.
보안 그룹을 자동으로 업데이트하여 원본을 보호하는 방법에 대한 자세한 내용은 X-Shared-Secret 헤더, AWS Lambda를 이용하여 Amazon CloudFront 및 AWS WAF용 보안 그룹을 자동 업데이트하는 방법