#amazon-web-services #amazon-ec2 #web-application-firewall #amazon-waf #aws-auto-scaling
#amazon-веб-сервисы #amazon-ec2 #веб-приложение-брандмауэр #amazon-waf #aws-автоматическое масштабирование
Вопрос:
У меня есть CloudFront Distribution WAF (брандмауэр веб-приложений), подключенный к нему, чтобы ограничить общедоступный доступ. У меня также есть парк экземпляров EC2, работающих под ASG управлением (группа автоматического масштабирования), и я хочу внести экземпляры EC2 в белый список для доступа к дистрибутиву CloudFront. Возможно ли создать такую конфигурацию в моей инфраструктуре?
Пожалуйста, обратите внимание, что IP-адреса экземпляров EC2 не являются фиксированными. Они управляются подключенным ASG. Кроме того, ASG создается в общедоступной подсети. Буду признателен за любую помощь. Спасибо
Ответ №1:
Вам придется запускать какой-то скрипт каждый раз, когда ASG добавляет экземпляр, чтобы добавить общедоступный IP-адрес экземпляра в WAF.
Я бы предложил переместить экземпляры EC2 в частные подсети с маршрутами к шлюзам NAT, тогда вам нужно будет только внести в белый список эластичные IP-адреса шлюзов NAT.
Комментарии:
1. Спасибо за ваше предложение @Mark-b. Второе решение по внедрению шлюза NAT вместе с частной подсетью сработало для меня