先週末あたりからAWSのCloudFrontさんを触ってみてます。
CloudFrontを触ってる理由は、証明書をEC2側で持ちたくなかったから ただそれだけです(笑)
実際に証明書の配置も楽チンだったので、今後も使っていきたい。
このタイミングで、CloudFrontの証明書の更新もお願いされてたのだけれど
同じ名前で証明書はアップロードできないので
- 証明書を削除
- 証明書を登録
という形をとりました。
証明書のアップロード後、CloudFront側で使えるようになるには少し時間がかかる。
僕の場合、2,3時間程度だった気がする。
クラスメソッドさんにはお世話になりっぱなしだ。
Amazon CloudFrontの独自ドメインSSL証明書をAWS CLIでアップロードする - ClassMethod
後は、EC2へのアクセスはCloudFrontからのみ受け付ける設定もやりました。
画面からぽちぽちやるのもめんどいので、aws-cliを使ってセキュリティグループに追加していく。
$ curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq '.prefixes[] | select(.service=="CLOUDFRONT") | .ip_prefix' > iplist
CIDRのリストが取れるのでvimでちょちょいと魔法をかけて
下記を実行。
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 13.32.0.0/15
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 52.46.0.0/18
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 52.84.0.0/15
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 52.222.128.0/17
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.182.0.0/16
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.192.0.0/16
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.230.0.0/16
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.239.128.0/18
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.239.192.0/19
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 54.240.128.0/18
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 204.246.164.0/22
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 204.246.168.0/22
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 204.246.174.0/23
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 204.246.176.0/20
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 205.251.192.0/19
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 205.251.249.0/24
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 205.251.250.0/23
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 205.251.252.0/23
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 205.251.254.0/24
aws ec2 authorize-security-group-ingress --group-id sg-xxxxxx --protocol tcp --port 80 --cidr 216.137.32.0/19
キャッシュももう少しちゃんと使ってみるかな。
後は、時間見つけてWAFも触ってみるかな。
そういや、情報処理試験の受験票が届いた。
今回はネスペを受験するけど、あんまり自信が無いです。(笑)
午前IIの過去問は今の所6割超えしてるけど、知識不足はすごく感じる。
参考書読み直しつつ、午後問題も解いていこう。
Hardeningにも応募したんですが、
どうやら選考通過したので、競技に参加できそうです。
がんばってきますよん(^o^)/