Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)
Search
YAMASHITA Mitsuhiro(山下 光洋)
November 23, 2022
Technology
950
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)
2022/11/24 APNオンラインセミナー「2022年のAWSアップデートを 振り返ろう ~Season 4~」で発表した資料です。
YAMASHITA Mitsuhiro(山下 光洋)
November 23, 2022
More Decks by YAMASHITA Mitsuhiro(山下 光洋)
See All by YAMASHITA Mitsuhiro(山下 光洋)
yamashita-kumonokai-vol11.pdf
yamamanx
0
480
Amazon Location Service入門ハンズオン
yamamanx
0
820
AWS re:Invent 2022 re:Cap セキュリティ
yamamanx
0
98
AWSを理解するということ~JAWS DAYS 2022
yamamanx
0
300
Amazon Connectで 自動化による日直からの解放
yamamanx
0
830
Webサイトのモニタリングを可視化する選択肢
yamamanx
0
540
Amazon Connectで自動化はじめました
yamamanx
1
660
Other Decks in Technology
See All in Technology
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
1
170
コミットの「なぜ」を読む
ota1022
0
110
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
450
GitHub Copilot app最速の発信の裏側
tomokusaba
1
240
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
130
感情と身体を置き去りにしない、エンジニアの生きのこり方 ──いまから、ここから「自分の状態」を扱うという選択
saorimurooka
0
270
ぼっちではじめた登壇が「51名」「241件」の発信に化けた
subroh0508
1
300
Chainlitで作るお手軽チャットUI
ynt0485
0
290
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
civitaspo
1
300
自宅LLMの話
jacopen
1
700
脱SaaS!FDEを支えるプロビジョニングと分離設計
knih
0
260
SONiCの統計情報を取得したい
sonic
0
280
Featured
See All Featured
Leading Effective Engineering Teams in the AI Era
addyosmani
9
2.1k
Utilizing Notion as your number one productivity tool
mfonobong
4
320
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
370
Navigating Weather and Climate Data
rabernat
0
230
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
140
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
170
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
320
The Mindset for Success: Future Career Progression
greggifford
PRO
0
360
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
360
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
170
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
490
Transcript
2022年のAWSアップデートを 振り返ろう ~Season 4~ CloudFront のオリジン保護アップデート (マネージドプレフィックスリスト、OAC)
•山下 光洋 トレノケート株式会社 AWS認定インストラクター (ATP Award 2018,2019,2020
最優秀インストラクター、 2021,2022 APN AWS Top Engineers, All Certification ) クラウドトレーニングアドボケイト プロトタイプビルダー Twitter: @yamamanx 自己紹介
年表 1990 2000 2010 2020 🟠1995 🟠1997 🟠2002 🟠2003 🟠2011
🟠2009 🟠2008 🟠2014 🟠2016 🟠2018 🟠2020 🟠2021 🟠2019 不動産業 ホテルシステム内製 バンド HP、予約フォー ム、掲示板内製 製造業 配送管理DB内製 ソフトウェア業 企業向けソフ トウェア受託開発 LuggageRoom Lotus Awards CTO Innovation Award ActRoom Lotus Technical Award 2009 for Best Architect 情シス業 コーディングに よる自動化 GoogleApps ヤマムギ ブログ AWSで自動化 kintone Twilio SendGrid JAWS DAYS, AWS Summit登 壇 AAI Champion AWS Best Instructor 2018 AWS Best Instructor 2019 AWS緑本出版 AWS Best Instructor 2020 AWS Linux入門ガイ ド出版 2021 APN AWS Top Engineers AWS DVA本出版 AWS SAP本出版
Trainocate #trainocate
Trainocate #trainocate
Our Locations • India • Japan • China • Thailand
• Vietnam • Philippines • Singapore • Malaysia • Indonesia • Hong Kong • Taiwan • Sri Lanka • Australia • USA • UAE
アジェンダ 1. これまでのオリジン保護 2. ALBオリジンの保護(マネージドプレフィックスリスト) 3. S3オリジンの保護(OAC)
これまでの オリジン保護 カスタムヘッダー+WAF カスタムヘッダー+ルーティング セキュリティグループ更新Lambda OAI
AWS Cloud Region Download distribution Application Load Balancer S3 これまでのオリジン保護
AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー
+ WAF Custom Header Key: Value WAF Web ACL 5USD / 月 ルール 1USD / 月 リクエスト 0.6USD / 100万リクエスト
AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー
+ ルーティング Custom Header Key: Value Target Group
AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda
Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json
AWS Cloud Region Download distribution Application Load Balancer S3 OAI
Orgin Access Identity
ALBオリジンの 保護 マネージドプレフィックスリスト
AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda
Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json • Lambdaのコスト • 運用コスト • コードメンテナンス
AWS Cloud Region Download distribution Application Load Balancer S3 マネージドプレフィックスリスト
2022年2月 Security group 【注意】 セキュリティグループルール数デフォルト制限値 60 CloudFrontのプレフィックスリストは 55でカウント
S3オリジンの 保護 OAC
AWS Cloud Region Download distribution Application Load Balancer S3 OAI
Orgin Access Identity • SSE-KMSをサポートしていない • 署名バージョン2をサポートしていないリージョンでの PUT には追加ヘッダーが必要 • 署名バージョン2をサポートしていないリージョンでの POSTはサポートしていない
AWS Cloud Region Download distribution Application Load Balancer S3 OAC
Orgin Access Control • SSE-KMSのサポート • 署名バージョン2をサポートしていないリージョンの PUT、 POSTもサポート
AWS Cloud Region Download distribution Application Load Balancer S3 OAC
Orgin Access Control KMS
署名バージョン2をサポートするリージョン 米国東部 (バージニア北部) 米国西部 (北カリフォルニア) 米国西部
(オレゴン) ヨーロッパ (アイルランド) アジアパシフィック (東京) アジアパシフィック (シンガポール) アジアパシフィック (シドニー) 南米 (サンパウロ) 【OAI】 ※ これらのリージョン以外はPUTに追加処理が必要、 POSTはサポートされない ※ 2022年12月以降のリージョンではOAIはサポートさ れない。
まとめ オリジンを保護する選択肢が増えました。 ALBオリジンはルーティングで保護してきました が、今年からセキュリティグループでマネージドプ レフィックスを使用してます。 S3はOAIを新たに使う必要はなし。 OAIもOACに移行しといたほうがよさそう。
re:Invent 2022を楽しみましょう♪
【ご案内】AWS Discovery Day 2022 リアル開催 12/6(火) 大阪、12/12(月) 福岡、12/19(月) 名古屋
yamamanx
edeandrea
ota1022
masahirokawahara
tomokusaba
appleboy
saorimurooka
subroh0508
ynt0485
civitaspo
jacopen
knih
sonic
addyosmani
mfonobong
tmiket
rabernat
livdayseo
kevinliebholz
marketingsoph
axbom
greggifford
kimpetersen
davidcarrasco
marktimemedia
