翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # オリジンの保護 (BP1、BP5) 内のオリジン CloudFront で Amazon を使用している場合はVPC、 CloudFront ディストリビューションのみがオリジンにリクエストを転送できるようにすることをお勧めします。Edge-to-Origin リクエストヘッダーを使用すると、 がリクエストをオリジン CloudFront に転送するときに、既存のリクエストヘッダーの値を追加または上書きできます。*オリジンカスタムヘッダー *、例えば `X-Shared-Secret`ヘッダーを使用して、オリジンに対して行われたリクエストが から送信されたことを検証できます CloudFront。 オリジン*カスタムヘッダー によるオリジンの保護の詳細については、*「オリジンリクエストへのカスタムヘッダー[の追加](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html)」および[「Application Load Balancer へのアクセスの制限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html)」を参照してください。 [https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) オリジンアクセス制限の*オリジンカスタムヘッダーの値を自動的にローテーションするサンプルソリューションを実装するガイドについては、*「 [AWS WAF および Secrets Manager で Amazon CloudFront オリジンセキュリティを強化する方法](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/)」を参照してください。 または、 [AWS Lambda](https://aws.amazon.com/lambda/)関数を使用して、 CloudFront トラフィックのみを許可するようにセキュリティグループルールを自動的に更新することもできます。これにより、悪意のあるユーザーがウェブアプリケーションにアクセスする AWS WAF ときに CloudFront および をバイパスできないようにすることで、オリジンのセキュリティが向上します。 セキュリティグループと `X-Shared-Secret`ヘッダーを自動的に更新してオリジンを保護する方法の詳細については、[「Amazon のセキュリティグループを自動的に更新する方法 CloudFront 」および AWS WAFAWS Lambda](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/)「」を参照してください。 ただし、このソリューションでは、Lambda 関数の実行に追加の設定とコストがかかります。これを簡素化するために、オリジン向け IP アドレスのみ CloudFrontからオリジンへのインバウンドHTTP/HTTPSトラフィックを制限する [AWSの マネージドプレフィックスリスト CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list)が導入されました。 AWSマネージドプレフィックスリストは によって作成および管理 AWS され、追加料金なしで使用できます。(Amazon VPC) セキュリティグループルール、サブネットルートテーブル、 を使用した一般的なセキュリティグループルール、およびマネージドプレフィックスリスト を使用できるその他の AWS リソース CloudFront で AWS Firewall Manager、 [のマネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)を参照できます。 Amazon の AWSマネージドプレフィックスリストの使用の詳細については CloudFront、[「Amazon の AWSマネージドプレフィックスリストを使用してオリジンへのアクセスを制限する CloudFront](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/)」を参照してください。 **注記** このドキュメントの他のセクションで説明したように、オリジンを保護するためにセキュリティグループに依存すると、リクエストのフラッド中に[セキュリティグループ接続の追跡](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)が潜在的なボトルネックとして追加される可能性があります。キャッシュを有効にするキャッシュポリシー CloudFront を使用して悪意のあるリクエストをフィルタリングできる場合を除き、前述の*オリジンカスタムヘッダー *を使用して、オリジンに対して行われたリクエストがセキュリティグループを使用するのではなく CloudFront、 から送信されたことを検証することをお勧めします。Application Load Balancer リスナールールでカスタムリクエストヘッダーを使用すると、ロードバランサーへの新しい接続の確立に影響する可能性のある追跡制限によるスロットリングを防ぐことができます。これにより、Application Load Balancer は、DDoS攻撃発生時のトラフィックの増加に基づいてスケーリングできます。