Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Protegiendo su origen (BP1,BP5) Si utilizas Amazon CloudFront con un origen que está dentro del tuyoVPC, asegúrate de que solo tu CloudFront distribuidor pueda reenviar las solicitudes a tu origen. Con los encabezados de solicitud de extremo a origen, puedes añadir o anular el valor de los encabezados de solicitud existentes al reenviar las solicitudes a tu origen. CloudFront Puedes usar los *encabezados personalizados de Origin*, por ejemplo, el `X-Shared-Secret` encabezado, para comprobar desde dónde se enviaron las solicitudes realizadas a tu origen. CloudFront Para obtener más información sobre cómo proteger tu origen con *encabezados personalizados de Origin, consulta [Cómo añadir](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) encabezados* [personalizados a las solicitudes de origen y Restringir el acceso a los balanceadores](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) [de carga de aplicaciones](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html). Para obtener una guía sobre cómo implementar una solución de muestra para rotar automáticamente el valor de *los encabezados personalizados de Origin* para la restricción de acceso a origen, consulta [Cómo mejorar la seguridad de CloudFront origen de Amazon con AWS WAF Secrets Manager](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/). Como alternativa, puedes usar una [AWS Lambda](https://aws.amazon.com/lambda/)función para actualizar automáticamente las reglas de tu grupo de seguridad y permitir solo CloudFront el tráfico. Esto mejora la seguridad de tu sitio de origen, ya que ayuda a garantizar que los usuarios malintencionados no puedan eludir CloudFront tu aplicación web ni AWS WAF acceder a ella. Para obtener más información sobre cómo proteger tu origen mediante la actualización automática de tus grupos de seguridad y del `X-Shared-Secret` encabezado, consulta [Cómo actualizar automáticamente tus grupos de seguridad para Amazon CloudFront y AWS WAF mediante el uso AWS Lambda](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/). Sin embargo, la solución implica una configuración adicional y el costo de ejecutar las funciones de Lambda. Para simplificarlo, ahora hemos introducido una [lista de AWS prefijos gestionados para](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list) limitar el HTTPS tráfico entrante HTTP o que llega CloudFront a sus orígenes únicamente desde las direcciones IP orientadas al CloudFront origen. AWS-Las listas de prefijos gestionadas las crea y mantiene, AWS y están disponibles para su uso sin coste adicional. Puede hacer referencia a la lista de prefijos gestionados CloudFront en las reglas de su grupo de seguridad (AmazonVPC), en las tablas de enrutamiento de subred, en las reglas comunes de los grupos de seguridad y en cualquier otro AWS recurso que pueda utilizar una lista de [prefijos gestionada](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html). AWS Firewall Manager Para obtener más información sobre el uso AWS de la lista de prefijos gestionada por Amazon CloudFront, consulta [Limita el acceso a tus orígenes mediante la lista de prefijos AWS gestionada por](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/) Amazon. CloudFront **nota** Como se explica en otras secciones de este documento, confiar en los grupos de seguridad para proteger tu origen puede añadir el [seguimiento de las conexiones de los grupos de seguridad como un posible cuello](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) de botella durante una avalancha de solicitudes. A menos que seas capaz de filtrar las solicitudes malintencionadas CloudFront con una política de almacenamiento en caché que permita el almacenamiento en caché, puede ser mejor utilizar *los encabezados personalizados de Origin*, descritos anteriormente, para validar que las solicitudes hechas a tu origen provienen de grupos de CloudFront seguridad. El uso de un encabezado de solicitud personalizado con una regla de escucha de Application Load Balancer evita la limitación debido a los límites de seguimiento que pueden afectar al establecimiento de nuevas conexiones a un balanceador de cargas, lo que permite que Application Load Balancer escale en función del aumento del tráfico en caso de un ataque. DDoS