CloudFront 엣지 서버의 위치 및 IP 주소 범위
CloudFront 엣지 서버의 위치 목록은 Amazon CloudFront 글로벌 엣지 네트워크 페이지를 참조한다.
Amazon Web Services(AWS)는 현재 IP 주소 범위를 JSON 형식으로 게시한다. 현재 범위를 보려면 ip-ranges.json을 다운로드한다. 자세한 내용은 Amazon Web Services 일반 참조에서 AWS IP 주소 범위를 참조한다.
CloudFront 엣지 서버와 연결된 IP 주소 범위를 찾으려면 ip-ranges.json에서 다음 문자열을 검색한다.
"service": "CLOUDFRONT"
또는 https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips에서 CloudFront IP 범위만 볼 수 있다.
1. CloudFront 관리형 접두사 목록 사용
CloudFront 관리형 접두사 목록은 전 세계적으로 배포된 CloudFront의 모든 원본 서버의 IP 주소 범위를 포함한다. 원본이 AWS에 호스트되고 Amazon VPC 보안 그룹에서 보호되는 경우 CloudFront 관리형 접두사 목록을 사용하여 CloudFront의 원본 서버에서 원본으로의 인바운드 트래픽만 허용하여 CloudFront 이외의 트래픽이 원본에 도달하지 못하도록 차단할 수 있다. CloudFront가 관리형 접두사 목록을 유지 관리하기 때문에 CloudFront의 모든 글로벌 원본 서버의 IP 주소를 언제나 최신 상태로 유지한다. CloudFront 관리형 접두사 목록을 사용할 경우, IP 주소 범위 목록을 직접 읽거나 유지 관리할 필요가 없다.
예를 들어 오리진이 유럽(런던) 리전(eu-west-2)의 Amazon EC2 인스턴스라고 가정한다. 인스턴스가 VPC에 있는 경우 CloudFront 관리형 접두사 목록에서 인바운드 HTTPS 액세스를 허용하는 보안 그룹 규칙을 만들 수 있다. 그 결과 CloudFront의 모든 글로벌 원본 서버가 인스턴스에 도달할 수 있다. 보안 그룹에서 나머지 인바운드 규칙을 모두 제거할 경우 CloudFront가 아닌 트래픽이 인스턴스에 도달하는 것을 차단할 수 있다.
CloudFront 관리형 접두사 목록의 이름은 com.amazonaws.global.cloudfront.origin-facing이다. 이 접두사 목록은 아시아 태평양(자카르타)(ap-southeast-3)을 제외한 모든 AWS 리전에서 이용 가능하다. 자세한 내용은 VPC 사용 설명서의 AWS 관리형 접두사 목록 사용을 참조한다.
Warning
CloudFront 관리형 접두사 목록은 고유한 방식으로 Amazon VPC 할당량에 적용된다. 자세한 내용은 Amazon VPC 사용 설명서의 AWS 관리형 접두사 목록 가중치를 참조한다.