AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment limiter le trafic direct vers un Amazon Load Balancer et autoriser uniquement le trafic via CloudFront ?

Lecture de 6 minute(s)

Je souhaite restreindre l'accès direct à un Application Load Balancer et autoriser uniquement l'accès via Amazon CloudFront.

Brève description

Pour limiter le trafic direct vers un Application Load Balancer et autoriser uniquement l'accès via CloudFront, utilisez les règles d'écouteur de l'Application Load Balancer. Si vous possédez déjà une liste de contrôle d'accès Web (ACL) AWS WAF, vous pouvez utiliser les règles ACL Web. Pour restreindre davantage l'accès à votre Application Load Balancer, configurez le groupe de sécurité de manière à restreindre l'accès à votre origine. Pour ce faire, utilisez la liste des préfixes gérés par AWS. Il est recommandé d'utiliser l'une de ces solutions et de configurer également votre groupe de sécurité.

Résolution

Règles d’écouteur de l’Application Load Balancer

Pour utiliser les règles d'écouteur de l'Application Load Balancer afin de restreindre le trafic, consultez la section Restreindre l'accès aux Application Load Balancers.

AWS WAF

Remarque : Les frais AWS WAF sont basés sur les facteurs suivants :

Nombre de listes de contrôle d'accès Web que vous créez
Nombre de règles que vous ajoutez pour chaque ACL Web
Nombre de requêtes Web que vous recevez

Pour plus d'informations, consultez la section Tarification AWS WAF.

Pour utiliser les règles ACL Web personnalisées d'AWS WAF afin de restreindre le trafic, configurez CloudFront pour ajouter un en-tête HTTP personnalisé. Puis, créez une règle dans l'ACL Web AWS WAF qui est associée à l’Application Load Balancer. Utilisez cette règle pour bloquer les requêtes qui ne contiennent pas la valeur secrète d'en-tête HTTP personnalisée.

Configurer CloudFront pour ajouter un en-tête HTTP personnalisé

Procédez comme suit :

Ouvrez la console CloudFront.
Dans le volet de navigation, sélectionnez Distributions, puis sélectionnez votre ID de distribution.
Choisissez l’onglet Origines.
Sélectionnez votre Application Load Balancer, puis choisissez Modifier.
Remarque : Si votre Application Load Balancer n'est pas une origine, mettez à jour votre distribution, puis définissez l'équilibreur de charge d'application comme origine.
Pour Ajouter un en-tête personnalisé, entrez le nom de l’en-tête et la valeur.
Important : Le nom de l’en-tête et la valeur agissent comme des informations d’identification sécurisées, tels qu’un nom d’utilisateur et un mot de passe. Notez les valeurs en vue d’une utilisation ultérieure dans cette procédure.
Sélectionnez Enregistrer les modifications.

Créer une règle dans votre ACL Web pour bloquer les requêtes sans en-tête

Procédez comme suit :

Ouvrez la console AWS WAF.
Dans le volet de navigation, choisissez Ressources et packs de protection.
Choisissez Créer un pack de protection.
Sous Parlez-nous de votre application, dans Catégorie d'application, sélectionnez une ou plusieurs catégories d'applications.
Dans Source de trafic, choisissez le type de trafic avec lequel l'application interagit, tel que API, Web ou API et Web.
Sous Ressources à protéger, choisissez Ajouter des ressources.
Sous Global, choisissez Ajouter des ressources Cloud Front ou Amplify.
Sélectionnez votre distribution dans la liste.
Dans Choisir un pack de protection, sélectionnez Créez votre propre pack parmi toutes les protections proposées par AWS WAF.
Dans le volet droit, choisissez Règle personnalisée, puis sélectionnez Suivant.
Choisissez à nouveau Règle personnalisée, puis sélectionnez Suivant.
Définissez l'action de la règle sur BLOQUER.
Saisissez le nom de votre règle.
Dans S’il s’agit d’une requête, développez la liste déroulante et choisissez ne correspond pas à l’instruction (NOT).
Dans Inspecter, sélectionnez En-tête unique.
Sous Instruction, procédez comme suit :
Dans Nom du champ d'en-tête, saisissez le nom de l'en-tête que vous avez créé dans CloudFront.
Dans Type de correspondance, choisissez ** Correspond exactement à la chaîne**.
Dans Chaîne à faire correspondre, saisissez la valeur que vous avez créée dans CloudFront.
(Facultatif) Dans Transformation de texte, choisissez Aucune.
Sélectionnez Créer une règle.
(Facultatif) Pour définir la priorité de plusieurs règles, sélectionnez Modifier l'ordre des règles dans le volet droit, puis définissez cette règle sur la priorité la plus élevée.
Choisissez Enregistrer l'ordre des règles.
Sous Nom et description, saisissez le nom de votre pack de protection.
Cliquez sur Créer un pack de protection.

Configurer les groupes de sécurité

Pour restreindre davantage le trafic vers un Application Load Balancer, utilisez une liste de préfixes gérée par AWS sur les groupes de sécurité dans l’Application Load Balancer.

Pour mettre à jour un groupe de sécurité existant, consultez la section Mise à jour des groupes de sécurité associés. Pour associer votre Application Load Balancer à un groupe de sécurité, procédez comme suit :

Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).
Dans le volet de navigation, sous Équilibrage de charge, choisissez Équilibreurs de charge.
Sélectionnez votre Application Load Balancer, puis choisissez Sécurité.
Sélectionnez le groupe de sécurité que vous souhaitez associer à votre Application Load Balancer.
Pour modifier les règles entrantes, choisissez Modifier les règles entrantes, puis mettez à jour les configurations pour votre cas d'utilisation.
Remarque : Si votre règle autorise 0.0.0.0/0, vous devez ajouter une nouvelle règle avant de supprimer la règle existante.
Pour autoriser des protocoles spécifiques, sélectionnez le protocole, puis choisissez Personnalisé.
Dans Type de source, choisissez CloudFront, puis sélectionnez vos préfixes dans la liste des préfixes gérés par AWS.
Sélectionnez Enregistrer.
Remarque : Il est recommandé d'autoriser les ports uniquement utilisés par votre Application Load Balancer.

Vous ne pouvez ajouter la liste de préfixes gérée par CloudFront qu'une seule fois pour chaque groupe de sécurité dans les paramètres par défaut en raison du poids de la liste de préfixes. Pour ajouter une autre règle avec CloudFront comme Type de source dans le même groupe de sécurité, demandez une augmentation de quota. Vous pouvez également utiliser deux groupes de sécurité qui font tous deux référence à la liste des préfixes gérés par CloudFront.

Informations connexes

Limiter l'accès à vos origines à l'aide de la liste de préfixes gérée par AWS pour Amazon CloudFront

Comment puis-je limiter l'accès depuis certains pays au contenu Web diffusé par ma distribution CloudFront ?

Sujets: Security, Identity, & Compliance
Balises: AWS WAF
Langue: Français

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

Multi-comptes Services
kaziord
demandé il y a un mois
Meilleur choix pour un abonnement
rePost-User-9376885
demandé il y a 3 ans
Besoin de conseils d’architecture pour application de visioconférence
Nayyar
demandé il y a 7 mois
Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a 3 ans
Échec de la suppression de l'équilibreur de charge
Réponse acceptée
emormin
demandé il y a 2 ans
Comment utiliser AWS WAF pour limiter le trafic direct vers un Application Load Balancer et autoriser le trafic via API Gateway ?
AWS OFFICIELA mis à jour il y a 8 mois
Comment rediriger le trafic HTTP vers HTTPS sur mon Classic Load Balancer ELB ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi la connexion HTTPS entre ma distribution CloudFront et l'équilibreur de charge échoue-t-elle ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment puis-je migrer d’un Classic Load Balancer vers un Application Load Balancer ou un Network Load Balancer ?
AWS OFFICIELA mis à jour il y a un an