728x90
Amazon CloudFront
Amazon CloudFront는 AWS의 CDN(Content Delivery Network) 서비스로,
전 세계의 사용자에게 빠르게 콘텐츠를 전달
CloudFront 개요 및 Edge Location
- HTTP/HTTPS를 이용하여 S3 Bucket, ALB, EC2, 외부 서버 등의 콘텐츠를 캐시하고 전달
- 전 세계에 216개의 Edge Location이 존재하며, 이들을 통해 콘텐츠 전달 속도가 향상
- CloudFront의 Distribution은 Origin Server와 Edge 사이에서 콘텐츠를 배포하는 역할을 수행
- AWS 서비스 뿐만 아니라 외부 서버도 캐싱 가능하며, 이를 Custom Origin이라 함
- TTL(Time-To-Live)을 조절하여 캐시 주기를 관리할 수 있음.
CloudFront의 콘텐츠 제공 방법
- 사용자가 웹사이트나 앱에 접속하여 콘텐츠(예: 이미지, HTML)를 요청
- DNS가 요청을 최적의 CloudFront Edge Location으로 라우팅
- Edge Location에서 캐시 여부를 확인하고, 없으면 Origin Server에서 콘텐츠를 가져와 전달
OAI (Origin Access Identity)
- S3를 Origin Server로 사용할 때, CloudFront 외의 접근을 제한하는 방법
- 각 Distribution은 별도의 Identity를 가지며, S3 버킷 정책을 통해 접근을 제한
- OAI를 사용하면 S3 버킷 정책이 아래와 같이 수정
{
"Version": "2000-00-00",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity xxx"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*"
}
]
}
OAC (Origin Access Control)
- OAI의 제한된 기능을 보완한 새로운 접근 제한 기능임.
- KMS를 이용한 SSE-KMS, 다양한 HTTP 메소드, 단기 자격 증명 등을 지원
- 요청 및 응답 Workflow는 클라이언트의 요청을 CloudFront가 수신한 후
OAC 서명 프로토콜을 통해 서명하고, S3 버킷 정책이 이를 승인하거나 거부
Geolocation Restriction
- 사용자의 지리적 위치에 따라 CloudFront Distribution에 대한 접근을 제한하는 기능
- Allowlist 또는 Blocklist를 통해 특정 국가의 사용자의 접근을 허용하거나 차단 가능
Presigned URL
- 인증된 사용자만이 Distribution을 사용할 수 있도록 하는 기능
- 만료 날짜 및 시간을 설정하여 URL에 대한 접근을 제한할 수 있음.
- CloudFront 설정 시 Presigned URL 사용과 관련된 CloudFront Key Pair를 생성해야 함.
Cache Invalidation
- 캐시된 콘텐츠를 강제로 새로고침
출처 : Udemy_AWS Solutions Architect C03 강의
hwanyoung12
728x90
'자격증 > AWS SAA' 카테고리의 다른 글
| [AWS SAA] VPC 보안 및 연결 (0) | 2024.01.31 |
|---|---|
| [AWS SAA] VPC (0) | 2024.01.30 |
| [AWS SAA] S3 고급 (0) | 2024.01.30 |
| [AWS SAA] S3 (0) | 2024.01.30 |
| [AWS SAA] EFS (1) | 2024.01.30 |