Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)

YAMASHITA Mitsuhiro(山下 光洋)
November 23, 2022
Technology
0
710

CloudFront のオリジン保護アップデート(マネージドプレフィックスリスト、OAC)

2022/11/24 APNオンラインセミナー「2022年のAWSアップデートを
振り返ろう ~Season 4~」で発表した資料です。

YAMASHITA Mitsuhiro(山下 光洋)

November 23, 2022
Tweet

More Decks by YAMASHITA Mitsuhiro(山下 光洋)

See All by YAMASHITA Mitsuhiro(山下 光洋)
yamashita-kumonokai-vol11.pdf
yamamanx
0
370
Amazon Location Service入門ハンズオン
yamamanx
0
660
AWS re:Invent 2022 re:Cap セキュリティ
yamamanx
0
81
AWSを理解するということ~JAWS DAYS 2022
yamamanx
0
220
Amazon Connectで 自動化による日直からの解放
yamamanx
0
680
Webサイトのモニタリングを可視化する選択肢
yamamanx
0
440
Amazon Connectで自動化はじめました
yamamanx
1
570

Other Decks in Technology

See All in Technology
サーバーレスで楽しよう!お気軽に始められる3つのポイント / Have fun with Serverless!
_kensh
2
230
[2024年10月版] Notebook 2.0のご紹介 / Notebook2.0
databricksjapan
0
1.6k
Site Reliability Engineering on Kubernetes
nwiizo
6
4.4k
Amazon Location Serviceを使ってラーメンマップを作る
ryder472
2
160
Windows Server 2025 へのアップグレードではまった話
tamaiyutaro
2
260
Creative Pair
kawaguti
PRO
1
130
現実的なCompose化戦略 ~既存リスト画面の置き換え~
sansantech
PRO
0
170
例外処理を理解して、設計段階からエラーを「見つけやすく」「起こりにくく」する
kajitack
12
3.8k
Tokyo RubyKaigi 12 - Scaling Ruby at GitHub
jhawthorn
2
210
MCP server を作って Claude Desktop アプリから kintone へアクセスすると楽しい
r3_yamauchi
PRO
1
120
ChatGPTを使ったブログ執筆と校正の実践テクニック/登壇資料(井田 献一朗)
hacobu
1
160
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
300

Featured

See All Featured
A better future with KSS
kneath
238
17k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
51k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Side Projects
sachag
452
42k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Code Review Best Practice
trishagee
65
17k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
30
2.1k
Bash Introduction
62gerente
610
210k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Scaling GitHub
holman
459
140k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k

Transcript

  1. 2022年のAWSアップデートを
 振り返ろう ~Season 4~
 CloudFront のオリジン保護アップデート
 (マネージドプレフィックスリスト、OAC)


  2. •山下 光洋
 トレノケート株式会社 
 AWS認定インストラクター 
 (ATP Award 2018,2019,2020 


    最優秀インストラクター、 
 2021,2022 APN AWS Top Engineers, All Certification ) 
 クラウドトレーニングアドボケイト 
 プロトタイプビルダー
 
 Twitter: @yamamanx 
 自己紹介

  3. 年表
 1990
 2000
 2010
 2020
 🟠1995
 🟠1997
 🟠2002
 🟠2003
 🟠2011


    🟠2009
 🟠2008
 🟠2014
 🟠2016
 🟠2018
 🟠2020
 🟠2021
 🟠2019
 不動産業
 ホテルシステム内製 
 バンド HP、予約フォー ム、掲示板内製
 製造業
 配送管理DB内製
 ソフトウェア業 企業向けソフ トウェア受託開発
 LuggageRoom
 Lotus Awards CTO Innovation Award
 ActRoom
 Lotus Technical Award 2009 for Best Architect
 情シス業
 コーディングに よる自動化
 GoogleApps
 ヤマムギ ブログ
 AWSで自動化
 kintone
 Twilio
 SendGrid
 JAWS DAYS, AWS Summit登 壇
 AAI Champion
 AWS Best Instructor 2018
 AWS Best
 Instructor 2019
 AWS緑本出版
 AWS Best 
 Instructor 2020
 AWS Linux入門ガイ ド出版
 2021 APN AWS Top Engineers
 AWS DVA本出版
 AWS SAP本出版

  4. Trainocate #trainocate

  5. Trainocate #trainocate

  6. Our Locations • India • Japan • China • Thailand

    • Vietnam • Philippines • Singapore • Malaysia • Indonesia • Hong Kong • Taiwan • Sri Lanka • Australia • USA • UAE

  7. アジェンダ 1. これまでのオリジン保護
 2. ALBオリジンの保護(マネージドプレフィックスリスト)
 3. S3オリジンの保護(OAC)


  8. これまでの
 オリジン保護
 カスタムヘッダー+WAF
 カスタムヘッダー+ルーティング
 セキュリティグループ更新Lambda
 OAI


  9. AWS Cloud Region Download distribution Application Load Balancer S3 これまでのオリジン保護

  10. AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー

    + WAF Custom Header Key: Value WAF Web ACL 5USD / 月 ルール 1USD / 月 リクエスト 0.6USD / 100万リクエスト

  11. AWS Cloud Region Download distribution Application Load Balancer S3 カスタムヘッダー

    + ルーティング Custom Header Key: Value Target Group

  12. AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda

    Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json

  13. AWS Cloud Region Download distribution Application Load Balancer S3 OAI

    Orgin Access Identity

  14. ALBオリジンの
 保護
 マネージドプレフィックスリスト


  15. AWS Cloud Region Download distribution Application Load Balancer S3 セキュリティグループ更新Lambda

    Security group Lambda function https://ip-ranges.amazonaws.com/ip-ranges.json • Lambdaのコスト • 運用コスト • コードメンテナンス

  16. AWS Cloud Region Download distribution Application Load Balancer S3 マネージドプレフィックスリスト

    2022年2月 Security group 【注意】 セキュリティグループルール数デフォルト制限値 60 CloudFrontのプレフィックスリストは 55でカウント

  17. S3オリジンの
 保護
 OAC


  18. AWS Cloud Region Download distribution Application Load Balancer S3 OAI

    Orgin Access Identity • SSE-KMSをサポートしていない • 署名バージョン2をサポートしていないリージョンでの PUT には追加ヘッダーが必要 • 署名バージョン2をサポートしていないリージョンでの POSTはサポートしていない

  19. AWS Cloud Region Download distribution Application Load Balancer S3 OAC

    Orgin Access Control • SSE-KMSのサポート • 署名バージョン2をサポートしていないリージョンの PUT、 POSTもサポート

  20. AWS Cloud Region Download distribution Application Load Balancer S3 OAC

    Orgin Access Control KMS

  21. 署名バージョン2をサポートするリージョン 米国東部 (バージニア北部) 
 
 米国西部 (北カリフォルニア) 
 
 米国西部

    (オレゴン) 
 
 ヨーロッパ (アイルランド) 
 
 アジアパシフィック (東京) 
 
 アジアパシフィック (シンガポール) 
 
 アジアパシフィック (シドニー) 
 
 南米 (サンパウロ) 
 【OAI】
 ※ これらのリージョン以外はPUTに追加処理が必要、 POSTはサポートされない
 
 ※ 2022年12月以降のリージョンではOAIはサポートさ れない。


  22. まとめ
 オリジンを保護する選択肢が増えました。
 
 ALBオリジンはルーティングで保護してきました が、今年からセキュリティグループでマネージドプ レフィックスを使用してます。
 
 S3はOAIを新たに使う必要はなし。
 
 OAIもOACに移行しといたほうがよさそう。


    
 re:Invent 2022を楽しみましょう♪


  23. 【ご案内】AWS Discovery Day 2022 リアル開催
 12/6(火) 大阪、12/12(月) 福岡、12/19(月) 名古屋