初めに
生後5ヶ月の娘に重くなったね〜と言ったら笑いながら胸ぐらを掴まれ恐怖を感じた27歳です。
今回は全三部構成(多分)の第三部となっております。(前回までの内容は下記にリンクを貼っておくので興味があれば!)
前回のあらすじ
CloudFront + S3で作った環境に関しては下記2つのQiitaを見たら誰でもできます!
今回やったこと
AWS WAFを使ってCloudFrontにアクセスできるIPを制限してみた
WAFとは?
- ウェブアプリケーションファイアウォール
- いろんな通信(SQLインジェクション、IPアドレス)を検知し遮断できる
- 今回は特定のIPだけアクセスさせる目的で使用
- (ちょっとお金かかるよ)
イメージ
- CloudFrontにアクセスする際にWAFでIPのチェック
- S3はCloudFrontからのアクセスしか許可しない
手順
- 前回のあらすじの環境を用意
- (WAF)[https://aws.amazon.com/jp/waf/]の画面から
IPSet※1 を作成 - WAFの画面から
ウェブACL(ウェブアクセスコントロールリスト)※2 を作成
※1 IPSet: IPアドレスのコレクションなどを返す(今回の場合アクセス許可をするIPを用意)
※2 ウェブACL: ここでIPとか攻撃を検知、事前に設定した対応をする(今回は基本的にリクエストはブロック、特定のIPだけ許可するみたいな設定にしている)
実際にやってみる
画面共有で写します(発表形式でやったので、そのうち詳細は書きたい)
感想
- いまだに料金の計算が曖昧。。。
ウェブACLを作成したら 5USD かかるのかと思ったらそうでもない- 時間で案分って書いてあった・・・
- https://aws.amazon.com/jp/waf/pricing/
- 会社のVPNのIPで絞るより家のWi-Fiで絞る方が厳しかった
- ネットの環境がIPv4, IPv6でIPSetの書き方大きく変わる落とし穴