本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudFront 邊緣伺服器的位置和 IP 位址範圍
如需 CloudFront 邊緣伺服器位置的清單,請參閱 Amazon CloudFront 全球邊緣網路
Amazon Web Services (AWS) 會以 JSON 格式發佈目前的 IP 位址範圍。若要檢視目前範圍,請下載 ip-ranges.json
若要尋找與 CloudFront 邊緣伺服器相關聯的 IP 位址範圍,請在 ip-ranges.json 中搜尋下列字串:
"region": "GLOBAL","service": "CLOUDFRONT"
或者,您可以在 https://d7uri8nf7uskq.cloudfront.net/tools/list-cloudfront-ips
使用 CloudFront 受管字首清單
CloudFront 受管字首清單包含所有 CloudFront 全球面向原始伺服器的伺服器 IP 位址範圍。如果您的原始伺服器是在 AWS 上託管且受到 Amazon VPC 安全群組的保護,便可使用 CloudFront 受管字首清單將傳入您原始伺服器的流量來源設為僅允許 CloudFront 面向原始伺服器的伺服器,藉此避免任何非 CloudFront 流量連至您的原始伺服器。CloudFront 會維護受管字首清單,讓清單上所有 CloudFront 全球面向原始伺服器的伺服器 IP 位址始終維持在最新狀態。有了 CloudFront 受管字首清單,您就不必親自閱讀或維護 IP 位址範圍清單。
例如,假設您的原始伺服器是位於歐洲 (倫敦) 區域 (eu-west-2) 的 Amazon EC2 執行個體。如果執行個體位於 VPC 中,您可以建立安全群組規則,允許來自 CloudFront 受管字首清單的傳入 HTTPS 存取。如此可讓所有 CloudFront 全球面向原始伺服器的伺服器連至該執行個體。如果您移除了所有其他來自安全群組的傳入規則,則會阻止任何非 CloudFront 流量連至執行個體。
CloudFront 受管字首清單如下所示:
com.amazonaws.global.cloudfront.origin-facing(IPv4)com.amazonaws.global.ipv6.cloudfront.origin-facing(IPv6)
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的「使用 AWS 受管字首清單」。
重要
CloudFront 受管字首清單在應用至 Amazon VPC 配額的方式上,有其獨到之處。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的「AWS 受管字首清單權重」。
