发布于: Apr 11, 2024
即日起,客户可以使用 CloudFront 来源访问控制 (OAC) 来保护其 AWS Lambda URL 来源,仅允许从指定的 CloudFront 发行版进行访问。
Lambda 函数 URL 允许客户实施单一功能服务,如表单验证器、移动支付处理、机器学习推理等。许多客户将其 Lambda 函数 URL 置于 CloudFront 的前端,以加快内容交付。这样,他们可以免费获得 AWS Shield Standard 提供的 DDoS 保护,并且可以应用 AWS Web Application Firewall (AWS WAF) 规则来保护其 Lambda 应用程序免受恶意机器人和常见 Web 漏洞的攻击。
通过此次发布,客户现在可以使用 CloudFront OAC 来验证从指定的 CloudFront 发行版对 Lambda 函数 URL 进行的访问。OAC 使用 AWS 签名版本 4 (SigV4),让客户能够阻止意料之外的用户直接访问函数 URL。这可以改善安全状况,因为 URL 端点的潜在威胁面减少了。它可以确保所有请求都能得到 AWS Shield 和 WAF 的保护,因为这些请求必须通过应用了安全服务的 CloudFront。要求通过 CloudFront OAC 进行身份验证还可确保每个请求都能受益于 CloudFront 在全球范围内一致的内容交付加速。
CloudFront OAC 对 AWS Lambda 函数 URL 来源的支持现已在全球范围内提供,CloudFront 中国区域除外。您可以使用 CloudFront 控制台、SDK、CLI 或 CloudFormation 启用 OAC。此功能不收取任何额外费用。要了解更多信息,请参阅 CloudFront 开发人员指南。要了解有关 CloudFront 的更多信息,请访问 CloudFront 入门页面。