CloudFront 边缘服务器的位置和 IP 地址范围
有关 CloudFront 边缘服务器位置的列表,请参阅 Amazon CloudFront 全球边缘网络
Amazon Web Services (AWS) 以 JSON 格式发布其当前的 IP 地址范围。要查看当前范围,请下载 ip-ranges.json
要查找与 CloudFront 边缘服务器关联的 IP 地址范围,请在 ip-ranges.json 中搜索以下字符串:
"region": "GLOBAL",
"service": "CLOUDFRONT"
或者,您可以在 https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips
使用 CloudFront 托管前缀列表
CloudFront 托管式前缀列表包含所有 CloudFront 全球分布的面向源的服务器的 IP 地址范围。如果源托管在 AWS 上且受 Amazon VPC 安全组保护,则您可以使用 CloudFront 托管式前缀列表仅允许从 CloudFront 面向源的服务器传入到源的流量,从而阻止任何非 CloudFront 流量达到您的源。CloudFront 使用所有 CloudFront 全球面向源的服务器的 IP 地址来维护托管式前缀列表,使其始终保持最新状态。使用 CloudFront 托管式前缀列表,您无需自己读取或维护 IP 地址范围列表。
例如,假设您的源是位于欧洲地区(伦敦)区域(eu-west-2
)的 Amazon EC2 实例。如果实例位于 VPC 中,则可以创建安全组规则,允许从 CloudFront 托管前缀列表的入站 HTTPS 访问。这使所有 CloudFront 全球面向源的服务器均可达到此实例。如果您从安全组中删除所有其他入站规则,则可以阻止任何非 CloudFront 流量到达该实例。
CloudFront 托管前缀列表被命名为 com.amazonaws.global.cloudfront.origin-facing。有关更多信息,请参阅《Amazon VPC 用户指南》中的 使用 AWS 托管前缀列表。
重要
CloudFront 托管前缀列表在其应用于 Amazon VPC 配额的方式方面是唯一的。有关更多信息,请参阅《Amazon VPC 用户指南》中的AWS 托管前缀列表权重。