반응형
안녕하세요 서후아빠입니다. ^_^
이번 세션은 CloudFront IP를 수동으로 등록하고 있으시다면 자동 처리가 가능한 방법에 대해서 알아보도록 하겠습니다.
보안 그룹에서 CloudFront IP를 허용하는 방법
방법 3가지 : Any Open, Lambda 이용한 자동화, 관리 접두사 목록 사용(추천)
패킷 흐름도(예시)
관리 접두사 목록을 이용한 조치 방법 - VPC > Managed prefix lists > Prefix list name (com.amazonaws.global.cloudfront.origin-facing) ID 확인
- VPC > Security Group > ALB(Security Group) 선택 > Inbound rules (tab) > Edit
| Source에 "관리 접두사 목록"의 ID를 지정하여 정책을 적용하면 44개 정책이 반영됩니다. (ap-northeast-2, 2022.07 기준) ALB~Service Instance 구간 : ALB에서 SNAT되어 패킷이 전달되기 때문에 ALB가 바뀌지 않는 이상 Service Instance Security Group은 변경이 필요없습니다. |
CloudFront에 특정 IP에서만 액세스하도록 구성하는 방법
패킷 흐름도(예시)
설정 방법
- AWS WAF > IP sets > Create IP set > 허용하는 대역 등록(ex : 100.0.0.0/24)
- AWS WAF > Web ACLs > Create web ACL > 앞에서 생성한 IP sets 등록
반응형
'Security' 카테고리의 다른 글
| [이론] Amazon Network ACLs (NACL) 및 Security groups (SG, 보안그룹) 기본 개념 (0) | 2022.07.21 |
|---|---|
| [Tip] AWS 관리 콘솔에서 EC2 접속을 차단하는 방법에 대해서 알아보기 (0) | 2022.07.09 |
| [Tip] AWS 관리 콘솔에 접근제한(소스 IP) 설정하는 방법 알아보기 (0) | 2022.07.09 |
| [실습] AWS 관리 콘솔에 접근할 때 AWS MFA 사용하는 방법 알아보기 (0) | 2022.07.09 |
| [Tip] AWS Amplify 접근 시 List apps call failed 발생으로 접근 차단 증상 해결하기 (0) | 2022.07.01 |
