ステップ9:Amazon Cloudfrontの構築

fuji

Amazon Cloudfrontを構築していきます。

Amazon CloudFront は、ユーザーへの静的および動的なウェブコンテンツ (.html、.css、.js、イメージファイルなど) の配信を高速化するウェブサービス
Amazon Simple Storage Service (Amazon S3)、Elastic Load Balancing、Amazon API Gateway などの AWS オリジンを使用すると、オリジンから CloudFront へのデータ転送は常に無料です。AWS オリジンを使用した場合、CloudFront からビューワーへのアウトバウンドデータ転送にのみ課金されます。
https://docs.aws.amazon.com

Amazon Cloudfrontの使用は、セキュリティ面やコンテンツ配信の加速などがオプションで簡単に導入可能なため、興味がある方は色々と調べて見ることをオススメします。

構築対象

Amazon Cloudfrontは、米国東部 (バージニア北部) リージョンに存在するため、証明書を使用する場合は米国東部 (バージニア北部) リージョンで証明書の作成が必要

AWS Certificate Manager (ACM) の証明書を使用してビューワーと CloudFront 間の HTTPS を要求するには、必ず米国東部 (バージニア北部) リージョン ( us-east-1) で証明書をリクエスト (またはインポート) してください。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide

構築内容

  1. 米国東部リージョンで証明書作成
  2. CloudFrontの作成
  3. Route 53にCloudfront用レコードの作成
  4. ALBセキュリティグループの修正

〜〜米国東部リージョンで証明書作成〜〜

1.検索ボックスで”certificate manager”を検索し、”Certificate Manager”をクリック

2.右上のリージョンをクリックし、”バージア北部”を選択

3.”リクエスト”をクリック

4.”次へ”をクリック

5.必要情報を入力し、”リクエスト”をクリック

ドメイン名:*.demo-382.com
 ※ステップ6で作成したドメインの前に”*”を追加
検証方法:DNS検証
キーアルゴリズム:RSA 2048

6.指定したリージョンで証明書のステータスが発行済みとなること

※ステータス”発行済み”となるまで数分必要

〜〜CloudFrontの作成〜〜

7.検索ボックスで”cloudfront”を検索し、”CloudFront”をクリック

8.”CloudFront ディストリビューションを作成”をクリック

9.必要情報を入力し”ディストリビューションを作成”をクリック

オリジン

Origin domain:www.demo-382.comステップ7で作成したAレコード)
プロトコル:HTTPSのみ
 HTTPS port:443
 Minimum Origin SSL protocol:TLSv1.2
名前:www.demo-382.com
Enable Origin Shield:いいえ

デフォルトのキャッシュビヘイビア

パスパターン:デフォルト
オブジェクトを自動的に圧縮:No
ビューワープロトコルポリシー:Redirect HTTP to HTTPS
許可された HTTP メソッド:GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE
 HTTPメソッドをキャッシュ:オプション
ビューワーのアクセスを制限する:No
キャッシュキーとオリジンリクエスト:Legacy cache settings
 ヘッダー:なし
 クエリ文字列:なし
 cookie:なし
 オブジェクトキャッシュ:
  Customize:
   最小TTL:0 最大TTL:0  デフォルトTTL:0
※デモ環境のためキャッシュ等は無効
スムーズストリーミング:No
リアルタイムログを有効にする:No

ウェブアプリケーションファイアウォール:無効
料金クラス:すべてのエッジロケーションを使用する(最高のパフォーマンス)
代替ドメイン名:www-cf.demo-382.com ※Cloudfront経由でアクセスする際のドメイン名
Custom SSL certificate:*.demo-382.com項目5で作成した証明書)
 レガシークライアントサポート:無効
 セキュリティポリシー:TLSv1.2_2021
サポートされている HTTP バージョン:HTTP/2
IPv6:オフ
ログ配信:オフ

10.”新しいディストリビューションが正常に作成された”ことを確認する。

〜〜Route 53にCloudfront用Aレコードの作成〜〜

11.検索ボックスで”route53”を検索し、”Route 53”をクリック

12.ステップ7で作成した対象のホストゾーンをクリック

“ホストゾーン”→”対象のホストゾーン”

13.レコードを作成をクリック

14.必要情報を入力し、”レコードを作成”をクリック

レコード名:www-cf
レコードタイプ:A
エイリアス:有効
トラフィックのルーティング先:
 CloudFront ディストリビューションへのエイリアス
 xxx.cloudfront.net
ルーティングポリシー:シンプルルーティング

15.Cloudfront用のAレコードが作成されていることを確認

16.Amazon Cloudfront経由のアクセス確認

URL:www-cf.demo-382.com項目15で作成したAレコード)
※サンプルページが表示されること

〜〜ALBセキュリティグループの修正〜〜

Information

Cloudfront経由でアクセス可能になったため、ALBへのアクセスはCloudfrontのみに変更

17.検索ボックスで”ec2″を検索しクリック

18.ALBのセキュリティグループをクリック

“セキュリティグループ”→”セキュリティグループID:alb-sg”

19.”インバウンドのルールを編集”をクリック

20.”ルールの追加”をクリック

21.必要情報を入力し、”ルールを保存”をクリック

タイプ:HTTPS
ソース:global.cloudfront.origin-facing(pl-58a04531)
 ※AWSマネージドプレフィックスリストを使用して送信がCloudfrontのみを許可に変更

Amazon CloudFront用のAWS マネージドプレフィックスリストを使用したオリジンへのアクセス制限
https://aws.amazon.com/jp/blogs/news/

AWS マネージドプレフィックスリストは、AWS サービスの IP アドレス範囲一式
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/

21.インバウンドルールが想定通り変更されていることを確認

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA