みなさん、こんにちは。サニービュー事業部の小寺です。

CloudFrontをお使いの方もいらっしゃると思いますが、Amazon VPCで CloudFront用にAWSが管理するプレフィックスリストがサポートされるようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/02/amazon-cloudfront-managed-prefix-list/

CloudFrontとは

CloudFrontとは、静的および動的なウェブコンテンツの配信速度を高速化させることができるサービスです。
過去にどのようなサービスかを本コラムでもご紹介しているので、こちらをご確認ください。

アップデートで何が変わったの？

今までは、CloudFront配下にELBまたはEC2を配置した場合、セキュリティグループでのインバウンド制限が難しい状態でした。
CloudFrontはIPが固定されておらず、数も膨大であるためです。（一応CFのCookieとかを用いればできないことはないですが・・）
なので配下の ELBまたはEC2は、インバウンド「0.0.0.0/0」を許可する必要があり、セキュリティに懸念がありました。
この形で運用されてきた方もいらっしゃるのではないでしょうか。
　
今回のアップデートで、CloudFront用のマネージドプレフィックスリストが用意されました。
マネージドプレフィックスリストをセキュリティグループに追加するだけで、インバウンド設定をCloudFront のオリジンに面したサーバーに属する IP アドレスのみからに制限できるようになりました。CloudFrontを経由しないHTTP/HTTPSアクセスはセキュリティグループではじかれるようになります。

CloudFrontのマネージドプレフィックスリストを設定してみる

(1)AWSマネジメントコンソールからVPCサービスへアクセスし、左メニューから「マネージドプレフィックスリスト」をクリックします。

(2)プレフィックスリスト名「cloudfront」を選びます。

(3)「エントリ」タブを確認すると、該当のIPアドレスの範囲を確認することができます。

(4)セキュリティグループのインバウンドルールの設定を行います。
EC2へHTTPアクセスを想定して、をHTTPにします。Source を選択すると一番下に プレフィックスリストが出てくるので、先ほど確認しておいたCloudFront のプレフィックスリストを選択します。

これで、セキュリティグループの設定は完了です。

対応リージョン

このマネージドプレフィックス機能は中国、アジアパシフィック (ジャカルタ)、アジアパシフィック (大阪) を除くすべてのリージョンで利用可能です。

まとめ

CloudFrontはアクセスの高速化させて、オリジンの負荷低減をすることができるサービスです。CloudFrontを経由しないアクセスをブロックすることができるようになり、オリジン側のアクセス負荷を減らすことができ、かつセキュアな運用ができるようになったと思います。この機能は活用していきたいと思います。

SunnyCloudでは、AWSがお得に利用できるAWSリセール（請求代行）サービスを提供しています！

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5％割引、さらに日本円の請求書による支払いが可能です！