CloudFront + S3 での IP アドレスベースのアクセス制限設定をする

こんにちは、インフラストラクチャー部の沼沢です。

今回は、CloudFront + S3 での IP アドレスベースのアクセス制限を実現する方法をご紹介します。

実現したかったこと

これを実現しようとしてググってみると、

CloudFront のみ、S3 のみの方法は出てくるのですが、CloudFront + S3 の方法が出てこなかったので、自分で試してみました。

先に設定した内容を箇条書きにしてみました。

目新しいことはしていません。今まで既にあったことの合わせ技です。
上記の設定をすることで、やりたかったことを実現することができます。

では、設定内容の詳細を解説していきたいと思います。

s3://{BucketName}/limited_access/index.html を配置。

index.html の中身は以下です。

<html>
<head>
<title>選ばれしHTML</title>
</head>
<body>
ようこそ、選ばれし者よ
</body>
</html>

次に AWS WAF で IP アドレスによるアクセス制限のルールを作成します。
AWS WAF のコンソールを開き、「Create web ACL」をクリックし、以下のように設定を進めて行きます。

Create conditions に戻ったら「Next」クリック

「Review and create」クリック後、内容に問題なければ「Confirm and create」をクリックして web ACL の作成は完了です。

CloudFront のコンソールを開き、「Create Distribution」をクリックし、以下のようにして Web Distribution の作成を進めて行きます。

Restrict Bucket Access
- バケットへのアクセス制限をかけるか
  → Yes
Origin Access Identity
- オリジンアクセスアイデンティティを新規に作成するか既存のものから選ぶか
  → 新規に作成(Create a New Identity)
Grant Read Permissions on Bucket
- バケットに対する読み取り権限を自動で付与するか
  → バケットポリシーを更新 (Yes, Update Bucket Policy)
  ※ No にした場合は、自分でバケットポリシーの設定が必要

これら以外の設定項目は要件に合わせて任意に設定してください。
20〜30分程待つと CloudFront の Distribution の作成が完了します。