Upgrade to Pro — share decks privately, control downloads, hide ads and more …

えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる

Yuki_Kurono
March 29, 2023
Technology
0
5

えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる

「JAWS-UG 名古屋 推しのAWSサービスを語るLT会」の登壇資料となります。

Yuki_Kurono

March 29, 2023
Tweet

More Decks by Yuki_Kurono

See All by Yuki_Kurono
Cloudflare初心者がIaCから基本構成を学んでみた
yuki_kurono
1
170
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
100
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい
yuki_kurono
0
330
回転re:Invent寿司
yuki_kurono
0
23
AWSのinfrastructure as codeを1年振り返って ~セッションレポート~
yuki_kurono
0
53
Terraform CloudでAWSリソース運用をより楽に
yuki_kurono
0
110
AWS CDK for Terraform 入門してみた
yuki_kurono
0
90
IaC運用してみて感じた 素晴らしさとアンチパターン
yuki_kurono
0
310
CloudFormationアンチパターンのお話
yuki_kurono
0
65

Other Decks in Technology

See All in Technology
バリエーションで差をつける。myshoesの新たな挑戦 #cicd_test_night
whywaita
PRO
0
450
バクラクのAI-OCR機能の体験を支える良質なデータセット作成の仕組み / data-centric-ai-bakuraku-dataset
yuya4
1
380
よくわかるフォルシアのエンジニア 旅行プラットフォーム部編
forcia_dev_pr
0
120
AWSに関するOSS活動で得た貢献までの壁を越えるコツ
bun913
0
300
TrivyでAWSセキュリティをシフトレフトしよう
bitkey
PRO
1
560
ChatGPTとこころを整理してみる
nagauta
0
370
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
2.4k
KEDAで始めるイベント駆動システム #k8snovice / keda-tutorial
chmikata
1
130
とあるQAエンジニアが、マイクロサービスの開発チームと、出会ったーー / Scrum Fest Niigata 2023
yoyakoba
0
130
競プロ作問を支える技術
tsutaj
0
240
Vault Secrets Operator と Dynamic Secrets で安全にシークレットを使おう / Vault Secrets Operator and Dynamic Secrets
nnstt1
3
300
CyberAgent AI事業本部MLOps研修基礎編
hosimesi11
2
460

Featured

See All Featured
Building Applications with DynamoDB
mza
86
5.1k
Code Reviewing Like a Champion
maltzj
508
38k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
110
17k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
5
6.5k
A designer walks into a library…
pauljervisheath
199
17k
Building Flexible Design Systems
yeseniaperezcruz
315
35k
Build your cross-platform service in a week with App Engine
jlugia
222
17k
Documentation Writing (for coders)
carmenintech
53
3.1k
Writing Fast Ruby
sferik
613
58k
Building an army of robots
kneath
300
41k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k

Transcript

  1. えるしってるか
    CloudFrontはWAFがあっても
    カスタムエラーレスポンスを返せる
    黒野 雄稀 | 2023/3/29
    1
    JAWS-UG 名古屋 推しのAWSサービスを語るLT会

    View Slide

  2. 自己紹介
    黒野 雄稀 Yuki Kurono
    kurono_98
    kurono
    アイレット株式会社 所属 
    普段はインフラ設計・構築や運用構築に従事
    2022 APN ALL AWS Certifications Engineers
    名古屋に住んでいるらしい
    2

    View Slide

  3. 3
    CloudFrontとは
    AWSで提供されるCDNサービスとなります。
    450以上のPoint of Presenceのグローバルネットワークと48か国の90以上の都市
    にある13のリージョンレベルのエッジキャッシュを使用します

    View Slide

  4. AWS Cloud
    4
    構成
    WAF
    ALB
    S3
    CloudFront

    View Slide

  5. AWS Cloud
    5
    メンテナンス画面作れるらしい
    WAF(IP制限)
    ALB
    S3
    CloudFront
    カスタムエラー
    レスポンス

    View Slide

  6. いやでも待て。
    CloudFrontの前段にWAFがある
    から無理じゃない🤔

    View Slide

  7. AWS Cloud
    7
    想像
    WAF(IP制限)
    ALB
    S3
    CloudFront
    カスタムエラー
    レスポンス
    403

    View Slide

  8. やってみた

    View Slide

  9. ちゃんと動いたぞ。。
    許可IP接続時 非許可IP接続時

    View Slide

  10. 10
    ドキュメント
    つまり、403エラーはWAFが返してるのではなく、
    CloudFrontから返ってきていた。

    View Slide

  11. AWS Cloud
    11
    実際の動き
    WAF(IP制限)
    ALB
    S3
    CloudFront
    カスタムエラー
    レスポンス
    ③カスタムエラー
    レスポンス
    ①403
    ②コンテンツ取得

    View Slide

  12. 注意点
    ①AWS WAF ルールを使用してカスタマイズした応答は、
    CloudFront カスタムエラーページで定義した応答よりも優先されます。
    ②CloudFrontはオリジンによって返された403と、
    AWS WAFによってブロック時に返された403を区別できないです。

    View Slide

  13. 13
    まとめ
    ● CloudFrontのカスタムエラーレスポンスを使うと簡単にメンテ
    ナンスページが実現できる!
    ● WAFでブロックされたときにはWAFからレスポンスを返すのでは
    なく、一旦CloudFrontに403を返している。
    ● 色々と面倒だけれども悪くはない。

    View Slide

  14. 14

    View Slide