Внесите экземпляры EC2 в белый список в ASG для доступа к AWS WAF

У меня есть CloudFront Distribution с WAF (брандмауэром веб-приложений), прикрепленным к нему, чтобы ограничить общий доступ. У меня также есть парк инстансов EC2, работающих под ASG (autoScaling Group), и я хочу внести инстансы EC2 в белый список для доступа к раздаче CloudFront. Можно ли создать такую ​​конфигурацию в моей инфраструктуре?

Обратите внимание, что IP-адреса экземпляров EC2 не фиксированы. Они контролируются прикрепленной ПГС. Также ASG создается в публичной подсети. Любая помощь будет оценена. Спасибо


amazon-web-services amazon-ec2 amazon-waf aws-auto-scaling web-application-firewall
person and_roid    schedule 30.11.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вам нужно будет запускать какой-то сценарий каждый раз, когда ASG добавляет экземпляр, чтобы добавить общедоступный IP-адрес экземпляра в WAF.

Я бы предложил переместить экземпляры EC2 в частные подсети с маршрутами к шлюзу NAT, тогда вам нужно будет только внести в белый список эластичные IP-адреса шлюза (ов) NAT.

person Mark B    schedule 30.11.2020
comment
Спасибо за предложение @ Mark-b. Второе решение по внедрению шлюза NAT вместе с частной подсетью сработало для меня. - person and_roid; 05.12.2020