Есть ли способ привязать статический IP-адрес к моему облачному распределению? Мне интересно, сможет ли VPC заставить это работать. Мне нужен статический IP-адрес, чтобы устранить проблему разрешения в моем брандмауэре каждый раз, когда IP-адрес AWS Cloudfront изменяется.
«Ваш» дистрибутив Cloudfront - это не одно целое в одном месте. Это виртуальный объект в глобальной распределенной сети, и чем больше мест, из которых к нему осуществляется доступ, тем больше потенциальных IP-адресов вы можете увидеть, поскольку запросы направляются в ближайшую конечную точку запрашивающего с использованием DNS. Если я получу доступ к вашему дистрибутиву, это потенциально будет связано с другим IP-адресом, чем при доступе к нему, если мы находимся в разных местах.
Так что нет, это невозможно.
Однако список возможных адресов опубликован ...
https://forums.aws.amazon.com/ann.jspa?annID=2051
Однако, если вы ссылаетесь на правила брандмауэра, позволяющие Cloudfront получать доступ к вашему исходному серверу по соображениям безопасности, у вас есть еще один недостаток в ваших предположениях. Нет причин, по которым несколько дистрибутивов не могли использовать общий набор IP-адресов ... и действительно, они используют ... поэтому вполне возможно, что если вы пытаетесь достичь какой-то безопасности своего контента с помощью этих ограничений, злонамеренный пользователь мог бы предоставить свой собственный дистрибутив, ссылаясь на ваш источник, и получить к нему доступ через Cloudfront, если бы он знал, как получить доступ к вашему исходному серверу.
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html
В Руководстве разработчика Amazon CloudFront есть раздел - Использование настраиваемых заголовков для ограничения доступа к вашему контенту в настраиваемом источнике - в котором описывается один возможный обходной путь: используйте настраиваемый заголовок источника с секретным значением, известным только CloudFront и вашему серверу происхождения. CloudFront вставляет их в запрос, невидимый для браузера. Если этот заголовок и его секретное значение отсутствуют в запросе, значит, запрос не поступил к вам через раздачу CloudFront и может быть либо отклонен, либо перенаправлен вашим исходным сервером. Это также полезно для обеспечения правильной семантики синтаксического анализа для X-Forwarded-For поскольку его значение для запросов, поступающих через CloudFront, может потребовать другой интерпретации, особенно на исходном сервере за балансировщиком нагрузки.
Да, это возможно, но это будет стоить вам 600 долларов в месяц:
Для этого вам необходимо настроить собственный домен и собственный сертификат SSL: https://aws.amazon.com/cloudfront/custom-ssl-domains