CloudFront のオリジン保護アップデート（マネージドプレフィックスリスト、OAC）

Transcript

1. 2022年のAWSアップデートを
 振り返ろう ~Season 4~
 CloudFront のオリジン保護アップデート
 （マネージドプレフィックスリスト、OAC）


2. •山下 光洋
 トレノケート株式会社 
 AWS認定インストラクター 
 (ATP Award 2018,2019,2020 


   最優秀インストラクター、 
 2021,2022 APN AWS Top Engineers, All Certification ) 
 クラウドトレーニングアドボケイト 
 プロトタイプビルダー
 
 Twitter: @yamamanx 
 自己紹介

3. 年表
 1990
 2000
 2010
 2020
 🟠1995
 🟠1997
 🟠2002
 🟠2003
 🟠2011


   🟠2009
 🟠2008
 🟠2014
 🟠2016
 🟠2018
 🟠2020
 🟠2021
 🟠2019
 不動産業
 ホテルシステム内製 
 バンド HP、予約フォー ム、掲示板内製
 製造業
 配送管理DB内製
 ソフトウェア業 企業向けソフ トウェア受託開発
 LuggageRoom
 Lotus Awards CTO Innovation Award
 ActRoom
 Lotus Technical Award 2009 for Best Architect
 情シス業
 コーディングに よる自動化
 GoogleApps
 ヤマムギ ブログ
 AWSで自動化
 kintone
 Twilio
 SendGrid
 JAWS DAYS, AWS Summit登 壇
 AAI Champion
 AWS Best Instructor 2018
 AWS Best
 Instructor 2019
 AWS緑本出版
 AWS Best 
 Instructor 2020
 AWS Linux入門ガイ ド出版
 2021 APN AWS Top Engineers
 AWS DVA本出版
 AWS SAP本出版

4. Trainocate #trainocate

5. Trainocate #trainocate

6. Our Locations • India • Japan • China • Thailand

   • Vietnam • Philippines • Singapore • Malaysia • Indonesia • Hong Kong • Taiwan • Sri Lanka • Australia • USA • UAE

7. アジェンダ 1. これまでのオリジン保護
 2. ALBオリジンの保護(マネージドプレフィックスリスト)
 3. S3オリジンの保護(OAC)


8. これまでの
 オリジン保護
 カスタムヘッダー+WAF
 カスタムヘッダー+ルーティング
 セキュリティグループ更新Lambda
 OAI


9. AWS Cloud Region Download distribution Application Load Balancer S3 これまでのオリジン保護

10. AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー

    + WAF Custom Header Key: Value WAF Web ACL 5USD / 月 ルール 1USD / 月 リクエスト 0.6USD / 100万リクエスト

11. AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー

    + ルーティング Custom Header Key: Value Target Group

12. AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda

    Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json

13. AWS Cloud Region Download distribution Application Load Balancer S3 OAI

    Orgin Access Identity

14. ALBオリジンの
 保護
 マネージドプレフィックスリスト


15. AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda

    Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json • Lambdaのコスト • 運用コスト • コードメンテナンス

16. AWS Cloud Region Download distribution Application Load Balancer S3 マネージドプレフィックスリスト

    2022年2月 Security group 【注意】 セキュリティグループルール数デフォルト制限値 60 CloudFrontのプレフィックスリストは 55でカウント

17. S3オリジンの
 保護
 OAC


18. AWS Cloud Region Download distribution Application Load Balancer S3 OAI

    Orgin Access Identity • SSE-KMSをサポートしていない • 署名バージョン2をサポートしていないリージョンでの PUT には追加ヘッダーが必要 • 署名バージョン2をサポートしていないリージョンでの POSTはサポートしていない

19. AWS Cloud Region Download distribution Application Load Balancer S3 OAC

    Orgin Access Control • SSE-KMSのサポート • 署名バージョン2をサポートしていないリージョンの PUT、 POSTもサポート

20. AWS Cloud Region Download distribution Application Load Balancer S3 OAC

    Orgin Access Control KMS

21. 署名バージョン2をサポートするリージョン 米国東部 (バージニア北部) 
 
 米国西部 (北カリフォルニア) 
 
 米国西部

    (オレゴン) 
 
 ヨーロッパ (アイルランド) 
 
 アジアパシフィック (東京) 
 
 アジアパシフィック (シンガポール) 
 
 アジアパシフィック (シドニー) 
 
 南米 (サンパウロ) 
 【OAI】
 ※ これらのリージョン以外はPUTに追加処理が必要、 POSTはサポートされない
 
 ※ 2022年12月以降のリージョンではOAIはサポートさ れない。


22. まとめ
 オリジンを保護する選択肢が増えました。
 
 ALBオリジンはルーティングで保護してきました が、今年からセキュリティグループでマネージドプ レフィックスを使用してます。
 
 S3はOAIを新たに使う必要はなし。
 
 OAIもOACに移行しといたほうがよさそう。


    
 re:Invent 2022を楽しみましょう♪


23. 【ご案内】AWS Discovery Day 2022 リアル開催
 12/6(火) 大阪、12/12(月) 福岡、12/19(月) 名古屋