CloudFront のオリジン保護アップデート（マネージドプレフィックスリスト、OAC）

by YAMASHITA Mitsuhiro(山下光洋)

Slide 1

Slide 1 text

2022年のAWSアップデートを  振り返ろう ~Season 4~  CloudFront のオリジン保護アップデート  （マネージドプレフィックスリスト、OAC） 

Slide 2

Slide 2 text

●山下光洋  トレノケート株式会社   AWS認定インストラクター   (ATP Award 2018,2019,2020   最優秀インストラクター、   2021,2022 APN AWS Top Engineers, All Certification )   クラウドトレーニングアドボケイト   プロトタイプビルダー    Twitter: @yamamanx   自己紹介

Slide 3

Slide 3 text

年表  1990  2000  2010  2020  🟠1995  🟠1997  🟠2002  🟠2003  🟠2011  🟠2009  🟠2008  🟠2014  🟠2016  🟠2018  🟠2020  🟠2021  🟠2019  不動産業  ホテルシステム内製   バンド HP、予約フォーム、掲示板内製  製造業  配送管理DB内製  ソフトウェア業企業向けソフトウェア受託開発  LuggageRoom  Lotus Awards CTO Innovation Award  ActRoom  Lotus Technical Award 2009 for Best Architect  情シス業  コーディングによる自動化  GoogleApps  ヤマムギブログ  AWSで自動化  kintone  Twilio  SendGrid  JAWS DAYS, AWS Summit登壇  AAI Champion  AWS Best Instructor 2018  AWS Best  Instructor 2019  AWS緑本出版  AWS Best   Instructor 2020  AWS Linux入門ガイド出版  2021 APN AWS Top Engineers  AWS DVA本出版  AWS SAP本出版

Slide 4

Slide 4 text

Trainocate #trainocate

Slide 5

Slide 5 text

Trainocate #trainocate

Slide 6

Slide 6 text

Our Locations • India • Japan • China • Thailand • Vietnam • Philippines • Singapore • Malaysia • Indonesia • Hong Kong • Taiwan • Sri Lanka • Australia • USA • UAE

Slide 7

Slide 7 text

アジェンダ 1. これまでのオリジン保護  2. ALBオリジンの保護(マネージドプレフィックスリスト)  3. S3オリジンの保護(OAC) 

Slide 8

Slide 8 text

これまでの  オリジン保護  カスタムヘッダー+WAF  カスタムヘッダー+ルーティング  セキュリティグループ更新Lambda  OAI 

Slide 9

Slide 9 text

AWS Cloud Region Download distribution Application Load Balancer S3 これまでのオリジン保護

Slide 10

Slide 10 text

AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー + WAF Custom Header Key: Value WAF Web ACL 5USD / 月ルール 1USD / 月リクエスト 0.6USD / 100万リクエスト

Slide 11

Slide 11 text

AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー + ルーティング Custom Header Key: Value Target Group

Slide 12

Slide 12 text

AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json

Slide 13

Slide 13 text

AWS Cloud Region Download distribution Application Load Balancer S3 OAI Orgin Access Identity

Slide 14

Slide 14 text

ALBオリジンの  保護  マネージドプレフィックスリスト 

Slide 15

Slide 15 text

AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json ● Lambdaのコスト ● 運用コスト ● コードメンテナンス

Slide 16

Slide 16 text

AWS Cloud Region Download distribution Application Load Balancer S3 マネージドプレフィックスリスト 2022年2月 Security group 【注意】セキュリティグループルール数デフォルト制限値 60 CloudFrontのプレフィックスリストは 55でカウント

Slide 17

Slide 17 text

S3オリジンの  保護  OAC 

Slide 18

Slide 18 text

AWS Cloud Region Download distribution Application Load Balancer S3 OAI Orgin Access Identity ● SSE-KMSをサポートしていない ● 署名バージョン2をサポートしていないリージョンでの PUT には追加ヘッダーが必要 ● 署名バージョン2をサポートしていないリージョンでの POSTはサポートしていない

Slide 19

Slide 19 text

AWS Cloud Region Download distribution Application Load Balancer S3 OAC Orgin Access Control ● SSE-KMSのサポート ● 署名バージョン2をサポートしていないリージョンの PUT、 POSTもサポート

Slide 20

Slide 20 text

AWS Cloud Region Download distribution Application Load Balancer S3 OAC Orgin Access Control KMS

Slide 21

Slide 21 text

署名バージョン2をサポートするリージョン米国東部 (バージニア北部)     米国西部 (北カリフォルニア)     米国西部 (オレゴン)     ヨーロッパ (アイルランド)     アジアパシフィック (東京)     アジアパシフィック (シンガポール)     アジアパシフィック (シドニー)     南米 (サンパウロ)   【OAI】  ※ これらのリージョン以外はPUTに追加処理が必要、 POSTはサポートされない    ※ 2022年12月以降のリージョンではOAIはサポートされない。 

Slide 22

Slide 22 text

まとめ  オリジンを保護する選択肢が増えました。    ALBオリジンはルーティングで保護してきましたが、今年からセキュリティグループでマネージドプレフィックスを使用してます。    S3はOAIを新たに使う必要はなし。    OAIもOACに移行しといたほうがよさそう。    re:Invent 2022を楽しみましょう♪ 

Slide 23

Slide 23 text

【ご案内】AWS Discovery Day 2022 リアル開催  12/6(火) 大阪、12/12(月) 福岡、12/19(月) 名古屋 