Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
YAMASHITA Mitsuhiro(山下 光洋)
November 23, 2022
Technology
0
900
CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)
2022/11/24 APNオンラインセミナー「2022年のAWSアップデートを 振り返ろう ~Season 4~」で発表した資料です。
YAMASHITA Mitsuhiro(山下 光洋)
November 23, 2022
Tweet
Share
More Decks by YAMASHITA Mitsuhiro(山下 光洋)
See All by YAMASHITA Mitsuhiro(山下 光洋)
yamashita-kumonokai-vol11.pdf
yamamanx
0
450
Amazon Location Service入門ハンズオン
yamamanx
0
790
AWS re:Invent 2022 re:Cap セキュリティ
yamamanx
0
94
AWSを理解するということ~JAWS DAYS 2022
yamamanx
0
290
Amazon Connectで 自動化による日直からの解放
yamamanx
0
780
Webサイトのモニタリングを可視化する選択肢
yamamanx
0
520
Amazon Connectで自動化はじめました
yamamanx
1
640
Other Decks in Technology
See All in Technology
どこで打鍵するのが良い? IaCの実行基盤選定について
nrinetcom
PRO
2
170
20260305_【白金鉱業】分析者が地理情報を武器にするための軽量なアドホック分析環境
yucho147
1
180
大規模サービスにおける レガシーコードからReactへの移行
magicpod
1
130
Datadog Cloud Cost Management で実現するFinOps
taiponrock
PRO
0
140
Shifting from MCP to Skills / ベストプラクティスの変遷を辿る
yamanoku
2
340
Kaggleで鍛えたスキルの実務での活かし方 競技とプロダクト開発のリアル
recruitengineers
PRO
1
160
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
44k
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.4k
オンプレとGoogle Cloudを安全に繋ぐための、セキュア通信の勘所
waiwai2111
3
1.1k
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
taka_aki
0
330
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
5
1.1k
Featured
See All Featured
Are puppies a ranking factor?
jonoalderson
1
3.1k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.1k
From π to Pie charts
rasagy
0
150
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
620
How Software Deployment tools have changed in the past 20 years
geshan
0
32k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.1k
Into the Great Unknown - MozCon
thekraken
40
2.3k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
60
42k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.4k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
130
Raft: Consensus for Rubyists
vanstee
141
7.3k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Transcript
2022年のAWSアップデートを 振り返ろう ~Season 4~ CloudFront のオリジン保護アップデート (マネージドプレフィックスリスト、OAC)
•山下 光洋 トレノケート株式会社 AWS認定インストラクター (ATP Award 2018,2019,2020
最優秀インストラクター、 2021,2022 APN AWS Top Engineers, All Certification ) クラウドトレーニングアドボケイト プロトタイプビルダー Twitter: @yamamanx 自己紹介
年表 1990 2000 2010 2020 🟠1995 🟠1997 🟠2002 🟠2003 🟠2011
🟠2009 🟠2008 🟠2014 🟠2016 🟠2018 🟠2020 🟠2021 🟠2019 不動産業 ホテルシステム内製 バンド HP、予約フォー ム、掲示板内製 製造業 配送管理DB内製 ソフトウェア業 企業向けソフ トウェア受託開発 LuggageRoom Lotus Awards CTO Innovation Award ActRoom Lotus Technical Award 2009 for Best Architect 情シス業 コーディングに よる自動化 GoogleApps ヤマムギ ブログ AWSで自動化 kintone Twilio SendGrid JAWS DAYS, AWS Summit登 壇 AAI Champion AWS Best Instructor 2018 AWS Best Instructor 2019 AWS緑本出版 AWS Best Instructor 2020 AWS Linux入門ガイ ド出版 2021 APN AWS Top Engineers AWS DVA本出版 AWS SAP本出版
Trainocate #trainocate
Trainocate #trainocate
Our Locations • India • Japan • China • Thailand
• Vietnam • Philippines • Singapore • Malaysia • Indonesia • Hong Kong • Taiwan • Sri Lanka • Australia • USA • UAE
アジェンダ 1. これまでのオリジン保護 2. ALBオリジンの保護(マネージドプレフィックスリスト) 3. S3オリジンの保護(OAC)
これまでの オリジン保護 カスタムヘッダー+WAF カスタムヘッダー+ルーティング セキュリティグループ更新Lambda OAI
AWS Cloud Region Download distribution Application Load Balancer S3 これまでのオリジン保護
AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー
+ WAF Custom Header Key: Value WAF Web ACL 5USD / 月 ルール 1USD / 月 リクエスト 0.6USD / 100万リクエスト
AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー
+ ルーティング Custom Header Key: Value Target Group
AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda
Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json
AWS Cloud Region Download distribution Application Load Balancer S3 OAI
Orgin Access Identity
ALBオリジンの 保護 マネージドプレフィックスリスト
AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda
Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json • Lambdaのコスト • 運用コスト • コードメンテナンス
AWS Cloud Region Download distribution Application Load Balancer S3 マネージドプレフィックスリスト
2022年2月 Security group 【注意】 セキュリティグループルール数デフォルト制限値 60 CloudFrontのプレフィックスリストは 55でカウント
S3オリジンの 保護 OAC
AWS Cloud Region Download distribution Application Load Balancer S3 OAI
Orgin Access Identity • SSE-KMSをサポートしていない • 署名バージョン2をサポートしていないリージョンでの PUT には追加ヘッダーが必要 • 署名バージョン2をサポートしていないリージョンでの POSTはサポートしていない
AWS Cloud Region Download distribution Application Load Balancer S3 OAC
Orgin Access Control • SSE-KMSのサポート • 署名バージョン2をサポートしていないリージョンの PUT、 POSTもサポート
AWS Cloud Region Download distribution Application Load Balancer S3 OAC
Orgin Access Control KMS
署名バージョン2をサポートするリージョン 米国東部 (バージニア北部) 米国西部 (北カリフォルニア) 米国西部
(オレゴン) ヨーロッパ (アイルランド) アジアパシフィック (東京) アジアパシフィック (シンガポール) アジアパシフィック (シドニー) 南米 (サンパウロ) 【OAI】 ※ これらのリージョン以外はPUTに追加処理が必要、 POSTはサポートされない ※ 2022年12月以降のリージョンではOAIはサポートさ れない。
まとめ オリジンを保護する選択肢が増えました。 ALBオリジンはルーティングで保護してきました が、今年からセキュリティグループでマネージドプ レフィックスを使用してます。 S3はOAIを新たに使う必要はなし。 OAIもOACに移行しといたほうがよさそう。
re:Invent 2022を楽しみましょう♪
【ご案内】AWS Discovery Day 2022 リアル開催 12/6(火) 大阪、12/12(月) 福岡、12/19(月) 名古屋
SiteGround - Reliable hosting with speed, security, and support you can count on.
yamamanx
nrinetcom
yucho147
magicpod
taiponrock
yamanoku
recruitengineers
safie_recruit
sansan33
waiwai2111
taka_aki
oracle4engineer
jonoalderson
maggiecrowley
rasagy
baasie
geshan
inesmontani
thekraken
rkaga
palkan
katarinadahlin
vanstee
