CloudFrontとは
HTMLファイルやCSS、画像、動画といった静的コンテンツをキャッシュし、オリジンサーバーの代わりに配信するCDNサービス。
エッジロケーション(データセンター)からコンテンツを配信する。
※世界中に200以上のエッジロケーションがあり、エンドユーザーに近いエッジロケーションからコンテンツを高層く配信する。
※エッジロケーションからはCloudFrontだけではなく様々なサービスが提供されている。
CloudFrontのバックエンド
CloudFrontのバックエンドにあるコンテンツを保持するバックエンドサーバーをオリジンサーバーという。
オリジンサーバーとして、ELB、EC2、S3を利用することが出来る。
ディストリビューションとは
ドメインごとに割り当てられるCloudFrontの設定のことで、Amazon EC2でいうインスタンスのようなものです。
OACについて
CloudFrontからS3へのアクセス制限としてOAC(Origin Access Control)があります。
OACを設定することによりCloudFront経由でしかS3にアクセスできないように制御が出来る。s3をパブリックアクセス可能にする必要がないためセキュアな構成になる。
ビヘイビア
キャッシュの設定をして、CloudFront (CDN) を効率的に使うための設計が可能。
キャッシュヒット率を上げる。
オリジンサーバーの保護
オリジン側でCloudFrontからのアクセスのみに制限したい場合
オリジンがS3の場合
- OACを利用する。
カスタムオリジンの場合 - カスタムオリジンヘッダーを利用
CloudFrontとオリジン間で任意のヘッダーおよびヘッダー値を取り決め、オリジン側でヘッダー値のチェックを行うことで、カスタムオリジンはCloudFrontからの悪背うsのみに制御できる。 - IP制限
CloudFrontが利用するIPアドレスを確認して、セキュリティグループで制御する。
地域制限
地域指定によるアクセス制御が可能。
- 接続されるクライアントの地域情報をもとにエッジで判断
- BlacklistかWhitelistで指定可能
- ディストリビューション全体に対して適用
- 制限されたアクセスは403を応答
WAF連携
Origin Group
プライマリオリジンがエラーになったときに、セカンダリオリジンにフェイルオーバーすることが出来る。
※Sorryページに振ることが出来る。
用語集
