Publicado: Apr 11, 2024
A partir de hoje, os clientes podem proteger origens de URL do AWS Lambda usando o controle de acesso de origem (OAC) do CloudFront para que apenas distribuições designadas do CloudFront tenham acesso.
Os URLs de funções do Lambda permitem que os clientes implementem serviços de função única, como validadores de formulários, processamento de pagamentos móveis, inferência de machine learning e muito mais. Muitos clientes acessam URLs de funções do Lambda com o CloudFront para acelerar a entrega de conteúdo. Quando fazem isso, eles recebem gratuitamente a proteção contra DDoS do AWS Shield Básico e podem aplicar as regras do AWS Web Application Firewall (WAF) para proteger aplicações Lambda contra bots maliciosos e explorações comuns da web.
Agora, com esse lançamento, os clientes podem usar o CloudFront OAC para autenticar o acesso aos URLs de funções do Lambda de distribuições de CF designadas. O OAC usa o AWS Signature Version 4 (SigV4), permitindo que os clientes impeçam que usuários não previstos acessem diretamente os URLs da função. Isso melhora a postura de segurança porque a superfície de ameaça potencial do endpoint do URL é reduzida. Além disso, garante a proteção do AWS Shield e do WAF para todas as solicitações, pois elas precisam passar pelo CloudFront, onde os serviços de segurança são aplicados. Exigir autenticação por meio do CloudFront OAC também garante que cada solicitação se beneficie de uma aceleração consistente da entrega de conteúdo com a escala global do CloudFront.
O suporte do CloudFront OAC para as origens de URL de funções do AWS Lambda já está disponível em todo o mundo, exceto na região China do CloudFront. Você pode habilitar o OAC usando o console, o SDK, a CLI ou o CloudFormation do CloudFront. Não há taxas adicionais associadas a esse recurso. Para obter mais informações, consulte o Guia do desenvolvedor do CloudFront. Para saber mais sobre o CloudFront, acesse a página de conceitos básicos do CloudFront.