「JAWS-UG 名古屋 推しのAWSサービスを語るLT会」の登壇資料となります。
えるしってるかCloudFrontはWAFがあってもカスタムエラーレスポンスを返せる黒野 雄稀 | 2023/3/291JAWS-UG 名古屋 推しのAWSサービスを語るLT会
View Slide
自己紹介黒野 雄稀 Yuki Kuronokurono_98kuronoアイレット株式会社 所属 普段はインフラ設計・構築や運用構築に従事2022 APN ALL AWS Certifications Engineers名古屋に住んでいるらしい2
3CloudFrontとはAWSで提供されるCDNサービスとなります。450以上のPoint of Presenceのグローバルネットワークと48か国の90以上の都市にある13のリージョンレベルのエッジキャッシュを使用します
AWS Cloud4構成WAFALBS3CloudFront
AWS Cloud5メンテナンス画面作れるらしいWAF(IP制限)ALBS3CloudFrontカスタムエラーレスポンス
いやでも待て。CloudFrontの前段にWAFがあるから無理じゃない🤔
AWS Cloud7想像WAF(IP制限)ALBS3CloudFrontカスタムエラーレスポンス403
やってみた
ちゃんと動いたぞ。。許可IP接続時 非許可IP接続時
10ドキュメントつまり、403エラーはWAFが返してるのではなく、CloudFrontから返ってきていた。
AWS Cloud11実際の動きWAF(IP制限)ALBS3CloudFrontカスタムエラーレスポンス③カスタムエラーレスポンス①403②コンテンツ取得
注意点①AWS WAF ルールを使用してカスタマイズした応答は、CloudFront カスタムエラーページで定義した応答よりも優先されます。②CloudFrontはオリジンによって返された403と、AWS WAFによってブロック時に返された403を区別できないです。
13まとめ● CloudFrontのカスタムエラーレスポンスを使うと簡単にメンテナンスページが実現できる!● WAFでブロックされたときにはWAFからレスポンスを返すのではなく、一旦CloudFrontに403を返している。● 色々と面倒だけれども悪くはない。
14