投稿日: Apr 11, 2024
本日より、お客様は CloudFront オリジンアクセスコントロール (OAC) を使用して、指定された CloudFront ディストリビューションからのアクセスのみを許可することで、AWS Lambda URL オリジンを保護できます。
Lambda 関数 URL を使用すると、お客様はフォームバリデーター、モバイル決済処理、機械学習推論などの単一機能サービスを実装できます。多くのお客様は、Lambda 関数 URL を CloudFront でフロント処理して、コンテンツ配信を高速化しています。そうすることで、AWS Shield Standard から DDoS 保護を無料で受けることができ、AWS ウェブアプリケーションファイアウォール (WAF) ルールを適用して、悪意のあるボットや一般的な Web エクスプロイトから Lambda アプリケーションを保護できます。
今回のリリースにより、お客様は CloudFront OAC を使用して、指定した CF ディストリビューションから Lambda 関数 URL へのアクセスを認証できるようになりました。OAC では AWS Signature Version 4 (SigV4) を使用しているため、意図しないユーザーが関数 URL に直接アクセスするのをブロックできます。これにより、URL エンドポイントの潜在的な脅威対象領域が減少するため、セキュリティ体制が向上します。セキュリティサービスが適用される CloudFront を経由する必要があるため、すべてのリクエストで AWS Shield と WAF が確実に保護されます。また、CloudFront OAC による認証を必須とすることで、CloudFront のグローバルスケールによる一貫したコンテンツ配信アクセラレーションの恩恵をすべてのリクエストで確実に受けることができます。
AWS Lambda 関数 URL オリジンに対する CloudFront OAC サポートが、CloudFront 中国リージョンを除き、世界中で利用できるようになりました。OAC は、CloudFront コンソール、SDK、CLI、または CloudFormation を使用して有効にできます。この機能に関連する追加料金は発生しません。詳細については、「CloudFront デベロッパーガイド」を参照してください。CloudFront の詳細については、CloudFront 利用開始ページをご覧ください。