社内の閉域網のみからCloudfront+S3に構築しているWEBサイトに接続可能にしたい

Cloudfront+S3で静的ホスティングしたWEBサイトがあります。(AWS Amplifyで構築)
そのままだとインターネット上に公開されて誰でもアクセスが可能となってしまうため、
社内の閉域網のみからアクセスできるようにしたいと考えております。

社内の閉域網とAWSはDirectConnectで接続する想定です。
VPC内のサービス（EC2やFargateなど）で稼働するWEBサイトについては、
もちろん実現できると思っているのですが、
このようなVPC外に構築されたWEBサイトも閉域網のみで使用することは可能なのでしょうか？

回答1件

ベストアンサー

アクセス元を制限したいのであれば、CloudFrontはAWS WAFで、S3はバケットポリシーでアクセス元IPを絞ればそれに近いことはできるかと思います。（その構成だと多分S3はCloudFrontからのアクセスに絞られてるでしょうけど…。）

ただ、「通信が閉域の外に出てはいけない」ということであれば、CloudFrontを使っている以上ちょっとその要件を満たすのは難しいと思います…。
CDNというサービス自体の性質を考えても、エッジロケーションにコンテンツをキャッシュさせてそこにアクセスを振り分ける、というものなので、矛盾しているのかなと。

サービスによってはVPCエンドポイントを作成することで、VPC内からそのエンドポイントを介してVPC外のサービスへのアクセスが可能なのですが、上記の性質を考えるとCloudFrontがそれに対応するとは考えにくいです。
現状はもちろん対応していません。

投稿2020/07/27 02:44

yu_1985

総合スコア7157

回答へのコメント

hndhdk

2020/07/27 03:03

ご回答ありがとうございます。やはりCDNの性質上難しいですか。。。 CloudFrontを外した場合は実現できるのでしょうか？ S3を単なるストレージとして使用する分には閉域網で利用できそうな記事をいくつか見ましたが、静的ウェブサイトホスティングについて言及している記事が見つからなかったため確認させていただいた次第です。

yu_1985

2020/07/27 03:14

結局の所S3へのアクセスはHTTPSのリクエストのはずなので、S3のVPCエンドポイントを作れば（ほぼ）閉域内のアクセスで済ますことができるかもしれません。そのような用途で試したことがないので実際やってみないとなんともですが。また、VPCエンドポイントを使っても厳密には閉域の外（ただし、AWS内部のネットワーク）に出るのでそこをどう捉えるかですね。