CloudFront専用のALBをリクエストルーティングで設定してみた
はじめに
AWSチームのすずきです。
ALBの高度なリクエストルーティング を利用して、CloudFront、CDNを経由しない、ELBへの直リクエストを禁止したALBを設定する機会がありましたので、紹介させていただきます。
https://dev.classmethod.jp/cloud/aws/advanced-request-routing-for-alb/
ELB設定
デフォルトルールの編集
設定対象のALBを選択、「リスナー」のタブより「ルールの表示/編集」より設定を行います。
「デフォルトアクション」 のルールを変更します。
デフォルトアクションとして以下を設定しました
- 固定レスポンスを返す
- レスポンスコード: 403
- Content-Type: text/plain;
- レスポンス本文: Not authorized CloudFront access.
カスタムルールの追加
アクセスを許可(ターゲットへの転送)を許可する、新しいルールを追加します。
ルールの条件として、「HTTPヘッダ」「HTTPリクエストメソッド」「クエリ文字列」「送信元IP」の指定が可能になりました。
今回、特定のCloudFrontディストリビューション(ユーザエージェントと、カスタムヘッダ(x-pre-shared-key)で判定)と、 管理端末(許可IPアドレス)のみ、許可する設定を行いました。
ルール1
- HTTPヘッダー
User-agentがAmazon CloudFront - HTTPヘッダー
x-pre-shared-keyがsesame-ouvre-toi
ルール2
- 送信元 IP が
x.x.x.x/32(管理端末のIP)
CloudFront 設定
アクセスを許可するCloudFrontディストリビューションのOrigin 設定として、ALBルールに対応するカスタムヘッダーを追加しました。
今回、ELBのデフォルトDNS名を利用するため、Origin Protocol Policy はHTTPとしましたが、実環境では第三者に不正参照されないHTTPSとする事。 また、アクセス許可に利用するカスタムヘッダも推測されにくい文字列とする事をおすすめします。
動作確認
CloudFrontを経由したリクエストが正常応答し、ELB直接のリクエストは拒否される事を確認できました。
CloudFront
ALB
- 許可IP以外
403 Forbidden応答が戻されている事が確認できました。
$ curl -v http://alb03-0000000000.ap-northeast-1.elb.amazonaws.com/ * Trying 54.xx.xx.xx... * TCP_NODELAY set * Connected to alb03-000000000.ap-northeast-1.elb.amazonaws.com (54.xx.xx.xx) port 80 (#0) > GET / HTTP/1.1 > Host: alb03-000000000.ap-northeast-1.elb.amazonaws.com > User-Agent: curl/7.54.0 > Accept: */* > < HTTP/1.1 403 Forbidden < Server: awselb/2.0 < Date: Thu, 28 Mar 2019 05:09:46 GMT < Content-Type: text/plain; charset=utf-8 < Content-Length: 33 < Connection: keep-alive < * Connection #0 to host alb03-000000000.ap-northeast-1.elb.amazonaws.com left intact Not authorized CloudFront access.
リダイレクト設定
デフォルトアクション、リダイレクト設定を行う事で、ELB宛のリクエストをCloudFrontにリダイレクトさせる設定を試みました。
301 Moved Permanently、指定したCloudFrontのURLにリダイレクトさせる事ができました。
$ curl -v http://alb03-000000000.ap-northeast-1.elb.amazonaws.com/main-news-stick.png * Trying 54.xx.xx.xx... * TCP_NODELAY set * Connected to alb03-000000000.ap-northeast-1.elb.amazonaws.com (54.xx.xx.xx) port 80 (#0) > GET /main-news-stick.png HTTP/1.1 > Host: alb03-000000000.ap-northeast-1.elb.amazonaws.com > User-Agent: curl/7.54.0 > Accept: */* > < HTTP/1.1 301 Moved Permanently < Server: awselb/2.0 < Date: Thu, 28 Mar 2019 05:05:04 GMT < Content-Type: text/html < Content-Length: 150 < Connection: keep-alive < Location: https://54.d23xxxxxxxxxx.cloudfront.net:443/main-news-stick.png < <html> <head><title>301 Moved Permanently</title></head> <body bgcolor="white"> <center><h1>301 Moved Permanently</h1></center> </body> </html> * Connection #0 to host alb03-000000000.ap-northeast-1.elb.amazonaws.com left intact
ELB配下のEC2(httpd)によるリダイレクトなどで、意図せずELBにアクセスしたユーザを CloudFrontの正規URLに誘導する事が可能です。
まとめ
CloudFront経由のアクセスのみを許可、ELBへの直接参照を禁止する設定、 これまでもAWS WAFなどを利用する事で実現可能でしたが、ALBのリクエストルーティングでも設定可能になりました。
ALBのリクエストルーティング、利用できるルールや件数に制限がありますが、 その制限に収まるシンプルなアクセス制御を実施する場合には、活用頂ければと思います。
![[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
![[アップデート] Application Load Balancer コンソールから CloudFront + WAF を統合出来るようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f650a3011b384cc3781610c17755bc71/c37c67c9bc40b72e6dce1a49f4153283/elastic-load-balancing)
