20241213_JAWS_Kobe - Speaker Deck

Slide 1

Slide 1 text

Slide 2

Slide 2 text

2 © 2024 Japan Digital Design, Inc. 米澤拓也 Software Engineer Technology & Development Div. 前職ではCCoE、現職ではSoftware Engineer フロント/バックエンドの実装からインフラ構築など何でもやってます JAWS DAYS2025/ JAWS DAYS2024 / PANKRATION2024 の運営（WEB） Fin-JAWSの運営もやってます東京→大阪移住完了好きなAWSサービスは CloudFront、Lambda プロフィール @CDK Conference 2024 Not Certified

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

5 © 2024 Japan Digital Design, Inc. 今まで CloudFrontのオリジンに VPCリソース（NLB/ALB/EC2）を設定する場合はPublic Subnetに配置されたものじゃないとダメ！ VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Public ALB CloudFront IGW EC2 アップデート前

Slide 6

Slide 6 text

6 © 2024 Japan Digital Design, Inc. これから CloudFrontのオリジンに PrivateSubnetリソースも設定できるようになった！（Public Subnetももちろん可能） VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Internal ALB CloudFront IGW EC2 アップデート後

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

9 © 2024 Japan Digital Design, Inc. ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Public ALB CloudFront IGW EC2 アップデート前

Slide 10

Slide 10 text

10 © 2024 Japan Digital Design, Inc. ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 VPC Private Subnet Public Subnet AZ Private Subnet AZ IGW CloudFront EC2 Public ALB ECS Service ECS Service アップデート前 Public Subnet

Slide 11

Slide 11 text

11 © 2024 Japan Digital Design, Inc. ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 VPC Private Subnet Public Subnet AZ Private Subnet AZ IGW CloudFront EC2 Public ALB ECS Service ECS Service アップデート前 Public Subnet Public ALB/Public EC2をガードするのであれば - Security Groupで縛る（CloudFrontのPrefix List） - CloudFrontのRefererヘッダー値で弾く - アプリケーション側でCognitoなり認証を挟むあたりかんーーー、面倒！！

Slide 12

Slide 12 text

12 © 2024 Japan Digital Design, Inc. VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Internal ALB CloudFront IGW EC2 アップデート後ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化

Slide 13

Slide 13 text

13 © 2024 Japan Digital Design, Inc. VPC Public Subnet AZ Public Subnet AZ IGW ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 CloudFront ECS Service ECS Service Internal ALB EC2 Private Subnet Private Subnet アップデート後到達不能到達不能ネットワーク的な入口がCloudFrontに限定されるため、 CloudFrontでガードできていればヨシ！

Slide 14

Slide 14 text

14 © 2024 Japan Digital Design, Inc. ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Public ALB CloudFront IGW アップデート前 WAF WAF ENI （Public ALB） ENI （Public ALB）

Slide 15

Slide 15 text

15 © 2024 Japan Digital Design, Inc. ちょうど頭を悩ませていた CloudFrontのオリジンに VPCリソースを設定する際には PublicSubnet制約に起因するいくつもの懸念事項ががが ① 直アタック対応 ② コスト ③ アプリケーションの複雑化 VPC Private Subnet Public Subnet AZ Private Subnet Public Subnet AZ ECS Service ECS Service Internal ALB CloudFront IGW WAF WAF ENI （Public ALB） ENI （Public ALB）アップデート後お払い箱お払い箱お払い箱

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

20 © 2024 Japan Digital Design, Inc. Lambda on VPCはHyperplaneというネットワーク仮想化技術を用いてVPC内リソースにアクセスする https://aws.amazon.com/jp/blogs/news/announcing-improved-vpc-networking-for-aws-lambda-functions/ Hypterplane ENI

Slide 21

Slide 21 text

21 © 2024 Japan Digital Design, Inc. Lambda on VPCはHyperplaneというネットワーク仮想化技術を用いてVPC内リソースにアクセスする https://aws.amazon.com/jp/blogs/news/announcing-improved-vpc-networking-for-aws-lambda-functions/ Hypterplane ENI これがCloudfrontにも対応した！