Behnaz が CloudFront の地域制限を
使用して DDoS を緩和する
方法について説明する
Amazon CloudFront の地域制限を使用して、ホワイトリストまたはブラックリストを基に、特定の地域にいるユーザーにウェブコンテンツへのアクセスを制限また許可する方法を教えてください。
地域制限 (地理的ブロッキング) 機能を使用すると、CloudFront ウェブディストリビューションを通じて配信しているコンテンツについて、特定地域のユーザーによるアクセスを回避できます。
ユーザーがコンテンツをリクエストすると、通常 CloudFront はユーザーがいる場所に関係なくリクエストされたコンテンツを提供します。特定の国のユーザーによるコンテンツへのアクセスを回避したい場合、CloudFront の地域制限を使用して、次のいずれかを行うことができます。
- 承認された国のホワイトリストに含まれているいずれかの国にユーザーがいる場合のみ、コンテンツへのアクセスを許可する。
- 禁止された国のブラックリストに含まれているいずれかの国にユーザーがいる場合、コンテンツへのアクセスを禁止する。
注: CloudFront は GeoIP を使用しているため、精度は変動することがあります。詳細については、「コンテンツの地理的分散を制限する」を参照してください。
CloudFront の地域制限を使用して、特定の国をホワイトリストやブラックリストに掲載するには、以下の操作を行います。
- [CloudFront console (CloudFront コンソール)] で、国制限の適用対象とするディストリビューションを選択します。
- [Restriction (制限)] タブを選択して、[Edit (編集)] を選択します。
- [Enable-Restriction (有効化-制限)] から [Yes (はい)] を選択してから、[Yes, Edit (はい、編集)] を選択します。
- [Restriction Type (制限タイプ)] に対して、[Whitelist (ホワイトリスト)] または [Blacklist (ブラックリスト)] を選択し、[Add (追加)] を選択してから、[Yes, Edit (はい、編集)] を選択します。
注: CloudFront Origin の AWS セキュリティグループには、CloudFront 外部からのアクセスを防止するため、CloudFront の IP 範囲に対する制限付き HTTP/HTTPS アクセス権を付与する必要があります。
AWS WAF を使用すれば HTTP および HTTPS リクエストを監視して、制限することができるので、コンテンツへのアクセスを制御することができます。また、CloudFront を使用すれば、ブラックリストの国のユーザーがコンテンツへのアクセスを試みた場合のカスタムエラーメッセージを作成することができます。詳細については、「エラーレスポンスのカスタマイズ」を参照してください。
DDoS からの保護、および AWS Shield の使用については、「AWS Shield はどのように機能するか」を参照してください。
