本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
保護您的來源 (BP1,BP5)
如果您使用的 Amazon 來源位於您的原產地VPC,您可能需要確保只 CloudFront 有您的 CloudFront 分發才能將請求轉發到您的來源。使用邊對來源請求標頭,您可以在將請求 CloudFront 轉發到來源時,新增或覆寫現有請求標頭的值。您可以使用 Origin 自訂標頭 (例如標X-Shared-Secret頭) 來協助驗證對您來源所發出的要求是從中傳送的 CloudFront。
如需有關使用 Origin 自訂標頭保護來源的詳細資訊,請參閱將自訂標頭新增至原始要求和限制應用程式負載平衡器的存取權。
如需實作範例解決方案以自動輪替原始存取限制的 Origin 自訂標頭值的指南,請參閱如何使用 AWS WAF 和 Secrets Manager 來增強 Amazon CloudFront 來源安全性
或者,您可以使用AWS Lambda
如需如何透過自動更新安全群組和X-Shared-Secret標頭來保護原始伺服器的詳細資訊,請參閱如何自動更新 Amazon 的安全群組 CloudFront 和使 AWS WAF 用 AWS Lambda
不過,該解決方案涉及額外的組態和執行 Lambda 函數的成本。為了簡化此操作,我們現在引入了一個 AWS-managed 前綴列表,用 CloudFront於僅限從 CloudFront面向起點的 IP 地址將入站HTTP/HTTPS流量限制到您的來源。 AWS-managed 前綴列表由創建和維護, AWS 並且可以使用,無需額外費用。您可以參考 (AmazonVPC) 安全群組規則、子網路路由表、一般安全群組規則,以及任何其他可使用受 AWS 管前置詞清單的受管前置詞清單。 CloudFront AWS Firewall Manager
如需有關在 Amazon 使用 AWS-managed 前置詞清單的詳細資訊 CloudFront,請參閱使用 Amazon 的 AWS-managed 前置詞清單限制對來源的存
注意
如本文件其他章節所討論的,依賴安全群組來保護您的來源,可以在要求氾濫期間,將安全性群組連線追蹤新增為潛在的瓶頸。除非您能夠 CloudFront 使用啟用快取的快取政策來篩選惡意要求,否則最好依賴先前討論過的 Origin 自訂標頭,以協助驗證對您來源所發出的要求是從中傳送的 CloudFront,而不是使用安全性群組。將自訂要求標頭與 Application Load Balancer 接聽程式規則搭配使用,可防止因追蹤限制而影響到負載平衡器建立新連線而導致的限制進行調整,進而允許「Application Load Balancer」根據發生攻擊時的流量增加進行調整。DDoS
