目次
はじめに
こんにちは、クラウド事業部の上村です。
今回は、以前から興味のあった新機能であるCloudFront VPC Originを触ってみようと思います。
この機能により、プライベートサブネット内のアプリケーションからコンテンツを安全に配信できるようになりました。
CloudFront + ALB の組み合わせの場合は、ALBへの直接アクセスを防ぐためにManagedPrefixを利用して、CloudFrontのIPを許可するようにして制限をしていましたが、InternalALBから配信することで直接アクセスを防ぐことも可能となり、よりセキュアな構成にすることが可能です。
どんなひとに読んで欲しい
- VPC Originを知りたい方
- CloudFront構成において、セキュアな構成を検討している方
前準備
VPC Originの動作確認が目的なので、下記を先に準備しています。
・VPC
・プライベートサブネット
・Internal ALB
・ECS (httpd)
VPC Originの作成
最初にVPC Originの作成をしていきます。
オリジンARN は、作成したInternal ALB のARNを選択してください。
CloudFrontの設定
VPC Origin作成後は、CloudFrontのオリジンに作成したVPC Originを追加します。
オリジンに追加後は、ビヘイビアに先ほど追加したオリジンを設定します。
ALBのセキュリティグループ設定
VPC Origin作成後に、ENI + セキュリティグループが作成されています。
InternalALBのセキュリティグループに追加します。
動作確認
準備は完了したので、実際にアクセスできるか確認してみます。
今回は省略しましたが、InternalALBにhttpdコンテナを紐づけて起動しています。
無事にアクセスできることが確認できました!
おわりに
以前は、CloudFront経由でALBを利用する場合はManagedPrefixを利用してアクセス制限を行ったり、カスタムヘッダー設定で制限を行っていました。
VPC Originを利用することでよりセキュアな構成で実現することが可能となりました。
お知らせ
APCはAWS Advanced Tier Services(アドバンストティアサービスパートナー)認定を受けております。
その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jp
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
