CloudFront 邊緣伺服器的位置和 IP 地址範圍

如需 CloudFront 邊緣伺服器位置的清單，請參閱 Amazon CloudFront 全球邊緣網路頁面。

Amazon Web Services (AWS) 會以 JSON 格式發佈目前的 IP 地址範圍。若要檢視目前範圍，請下載 ip-ranges.json。如需詳細資訊，請參閱《Amazon Web Services 一般參考》中的 AWS IP 地址範圍。

若要尋找與 CloudFront 邊緣伺服器相關聯的 IP 地址範圍，請在 ip-ranges.json 中搜尋下列字串：

"region": "GLOBAL",
"service": "CLOUDFRONT"

或者，您可以在 https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips 僅檢視 CloudFront IP 範圍。

使用 CloudFront 受管字首清單

CloudFront 受管字首清單包含所有 CloudFront 全球面向原始伺服器的伺服器 IP 地址範圍。如果您的原始伺服器託管在 上 AWS 並由 Amazon VPC 安全群組保護，您可以使用 CloudFront 受管字首清單，僅允許從 CloudFront 的原始伺服器傳入原始伺服器，以防止任何非 CloudFront 流量到達原始伺服器。CloudFront 會維護受管字首清單，讓清單上所有 CloudFront 全球面向原始伺服器的伺服器 IP 地址始終維持在最新狀態。有了 CloudFront 受管字首清單，您就不必親自閱讀或維護 IP 地址範圍清單。

例如，假設您的原始伺服器是位於歐洲 (倫敦) 區域 (eu-west-2) 的 Amazon EC2 執行個體。如果執行個體位於 VPC 中，您可以建立安全群組規則，允許來自 CloudFront 受管字首清單的傳入 HTTPS 存取。如此可讓所有 CloudFront 全球面向原始伺服器的伺服器連至該執行個體。如果您移除了所有其他來自安全群組的傳入規則，則會阻止任何非 CloudFront 流量連至執行個體。

CloudFront 受管字首清單會命名為 com.amazonaws.global.cloudfront.origin-facing。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的使用 AWS受管字首清單。

重要

CloudFront 受管字首清單在應用至 Amazon VPC 配額的方式上，有其獨到之處。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的「AWS受管字首清單權重」。