Wie finde ich heraus, zu welchem AWS-Konto eine CloudFront-Verteilung gehört?

Letzte Aktualisierung: 16.5.2022

Ich möchte das AWS-Konto ermitteln, zu dem eine Amazon-CloudFront-Verteilung gehört. Wie kann ich vorgehen?

Kurzbeschreibung

Verwenden Sie den Befehl ListConflictingAliases, um Informationen über ein AWS-Konto zu erhalten, zu dem eine Verteilung gehört, um Informationen über das AWS-Konto abzurufen.

Erstellen Sie zunächst eine neue CloudFront-Verteilung und verknüpfen Sie sie mit einem SSL-Zertifikat. Dieses SSL-Zertifikat muss die mit der CloudFront-Verteilung verknüpfte Domäne abdecken, deren AWS-Konto Sie suchen.

Führen Sie dann den Befehl „ListConflictingAliases“ aus und verwenden Sie dabei die ID der neuen Verteilung und den alternativen Domänennamen, der mit der Verteilung verknüpft ist, die Sie suchen möchten.

Hinweis: Um diese Methode verwenden zu können, muss der Domäne ein alternativer Domänenname zugeordnet sein. Wenn der CloudFront-Verteilung, die Sie suchen, kein alternativer Domänenname zugeordnet ist, wenden Sie sich an den AWS Support.

Auflösung

Erstellen einer CloudFront-Verteilung

Erstellen Sie eine neue CloudFront-Verteilung und achten Sie abei auf Folgendes:

  • Ordnen Sie ein SSL-Zertifikat zu, das die mit der CloudFront-Verteilung verknüpfte Domäne abdeckt, deren AWS-Konto Sie suchen.
  • Geben Sie unter Alternativer Domänenname keinen Domänennamen an. Ein Wert in diesem Feld verursacht einen „CNAME ist bereits vorhanden“-Fehler.

Wenn Sie keine neue Verteilung erstellen möchten, können Sie eine vorhandene CloudFront-Verteilung mit einem benutzerdefinierten SSL-Zertifikat aktualisieren.

Ausführen des Befehls „ListConflictingAliases“

Hinweis: Der Befehl „ListConflictingAliases“ erfordert die Berechtigungen GetDistribution und ListConflictingAliases. Um die Inhaberschaft zu überprüfen, müssen Sie Lesezugriff auf YourDistributionID haben. Sie müssen auch über ein Zertifikat verfügen, das den im Konflikt stehenden CNAME sichert.

1.    Fügen Sie in der AWS-IAM-Richtlinie (Identity and Access Management) für die Verteilung, die Sie erstellt haben, dem IAM-Benutzer oder der IAM-Rolle, die die API-Anforderung stellt, die folgenden Berechtigungen auf Ressourcenebene hinzu.

Geben Sie für DISTRIBUTION-ID die ID der neuen Verteilung ein, die Sie erstellt haben.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudFrontCnameSwapCrossAcc",
      "Effect": "Allow",
      "Action": [
                "cloudfront:GetDistribution",
                "cloudfront:ListConflictingAliases"
      ],
      "Resource": [
        "arn:aws:cloudfront::123456789:distribution/DISTRIBUTION-ID"
      ]
    }
  ]
}

2.    Stellen Sie sicher, dass die neue Verteilung über ein gültiges Zertifikat verfügt.

3.    Führen Sie den Befehl „ListConflictingAliases“ aus:

$ aws cloudfront list-conflicting-aliases --distribution-id YourDistributiontID --alias YourCNAME
Geben Sie für YourDistributionId die ID der neuen Verteilung ein, die in Ihrem AWS-Konto erstellt wurde. Geben Sie für YourCNAME den Alias (alternativen Domänennamen) ein, der der CloudFront-Verteilung zugeordnet ist, die Sie suchen.

4.    Die Ausgabe enthält eine Liste der CloudFront-Verteilungen und die zugehörige Konto-ID, die mit dem Alias in Konflikt steht, den Sie im Befehl „ListConflictingAliases“ eingegeben haben.
Der Domänenname im Parameter --alias ist mit der CloudFront-Verteilung verknüpft, die Sie suchen. Die mit der Verteilungs-ID verknüpfte AWS-Konto-ID wird ebenfalls in der Ausgabe aufgeführt.
Beispiel:

$ aws cloudfront list-conflicting-aliases --distribution-id EABCDSXK9UXYZ --alias www.example.com
{
  "ConflictingAliasesList": {
    "MaxItems": 100,
    "Quantity": 1,
    "Items": [
      {
        "Alias": "www.example.com",
        "DistributionId": "*******NOOCXYZ",
        "AccountId": "******091234"
      }
    ]
  }
}

Hinweis: Die CloudFront-Verteilung, die über einen Edge-optimierten API-Endpunkt in API Gateway oder das verwaltete AWS-Amplify-Hosting erstellt wird, wird vom AWS-verwalteten Konto verwaltet. In diesem Fall bezieht sich die AWS-Konto-ID in der Ausgabe auf das von AWS verwaltete Konto. CloudFront-Verteilungen, die für Edge-optimierte API-Endpunkte in API Gateway erstellt wurden, können anhand der regionsspezifischen API-Gateway-Konto-IDs identifiziert werden. Eine vollständige Liste der regionsspezifischen API Gateway-Konto-IDs finden Sie unter Protokollieren der Erstellung benutzerdefinierter Domainnamen in CloudTrail.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?