投稿日: Nov 2, 2021
本日、Amazon CloudFront がレスポンスヘッダーポリシーのサポートを開始します。CloudFront ディストリビューションが返す HTTP レスポンスに、CORS (cross-origin resource sharing)、セキュリティ、およびカスタムヘッダーを追加できるようになりました。これらのヘッダーを挿入するために、オリジンを設定したり、Lambda@Edge や CloudFront のカスタム機能を使用する必要はもうありません。
CloudFront のレスポンスヘッダーのポリシーを利用して、アプリケーションの通信を保護したり、動作をカスタマイズしたりすることができます。CORS ヘッダーでは、ウェブアプリケーションがリソースにアクセスできるオリジンを指定することができます。ウェブアプリケーションとサーバーの間でセキュリティ関連の情報を交換するために、以下のいずれかのセキュリティヘッダーを挿入することができます: HTTP Strict Transport Security (HSTS)、X-XSS-Protection、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Content-Security-Policy などです。たとえば、HSTS は、平文の HTTP ではなく、暗号化された HTTPS 接続の使用を強制します。また、レスポンスヘッダーポリシーを使用して、カスタマイズ可能なキーバリューペアをレスポンスヘッダーに追加し、ウェブアプリケーションの動作を変更することもできます。挿入したレスポンスヘッダーは、Lambda@Edge 機能や CloudFront の機能からもアクセスできるため、エッジでより高度なカスタムロジックが可能になります。
今回のリリースでは、CloudFront はいくつかの事前設定されたレスポンスヘッダーポリシーも提供しています。これには、デフォルトのセキュリティヘッダーのポリシー、あらゆるオリジンからのリソース共有を許可する CORS ポリシー、すべての HTTP メソッドを許可するプレフライト CORS ポリシー、デフォルトのセキュリティヘッダーと CORS またはプレフライト CORS を組み合わせたポリシーなどがあります。また、さまざまなコンテンツやアプリケーションのプロファイルに対応した独自のカスタムポリシーを作成し、似たような特徴を持つ CloudFront ディストリビューションのキャッシュ動作に適用することもできます。
CloudFront のレスポンスヘッダーポリシーは、CloudFront コンソール、AWS SDK、AWS CLI ですぐに使用することができます。詳細については、CloudFront デベロッパーガイドをご覧ください。CloudFront のレスポンスヘッダーポリシーを利用するための追加料金はありません。