As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Protegendo sua origem (BP1,BP5) Se você estiver usando a Amazon CloudFront com uma origem dentro da suaVPC, convém garantir que somente sua CloudFront distribuição possa encaminhar solicitações para sua origem. Com os cabeçalhos de solicitação Edge-to-Origin, você pode adicionar ou substituir o valor dos cabeçalhos de solicitação existentes ao CloudFront encaminhar solicitações para sua origem. Você pode usar os *cabeçalhos personalizados de origem*, por exemplo, o `X-Shared-Secret` cabeçalho, para ajudar a validar se as solicitações feitas à sua origem foram enviadas de. CloudFront Para obter mais informações sobre como proteger sua origem com *cabeçalhos personalizados de origem, consulte [Adicionar](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) cabeçalhos* [personalizados às solicitações de origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) e [restringir o acesso aos Application](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html) Load Balancers. Para obter um guia sobre a implementação de uma solução de amostra para alternar automaticamente o valor dos *cabeçalhos personalizados de origem* para a restrição de acesso à origem, consulte [Como aprimorar a segurança de CloudFront origem da Amazon com o Secrets AWS WAF Manager](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/). Como alternativa, você pode usar uma [AWS Lambda](https://aws.amazon.com/lambda/)função para atualizar automaticamente as regras do seu grupo de segurança para permitir somente CloudFront tráfego. Isso melhora a segurança de sua origem, ajudando a garantir que usuários mal-intencionados não possam contornar CloudFront e AWS WAF acessar seu aplicativo web. Para obter mais informações sobre como proteger sua origem atualizando automaticamente seus grupos de segurança e o `X-Shared-Secret` cabeçalho, consulte [Como atualizar automaticamente seus grupos de segurança para a Amazon CloudFront e AWS WAF usando AWS Lambda](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/). No entanto, a solução envolve configuração adicional e o custo de execução das funções Lambda. Para simplificar isso, agora introduzimos uma [lista AWS de prefixos gerenciada para CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list) limitar o HTTPS tráfego de HTTP entrada/às suas origens a partir apenas dos endereços IP voltados para a CloudFront origem. AWS-as listas de prefixos gerenciadas são criadas e mantidas por AWS e estão disponíveis para uso sem custo adicional. Você pode referenciar a lista de prefixos gerenciados CloudFront em suas regras de grupo de segurança (AmazonVPC), tabelas de rotas de sub-rede, regras comuns de grupos de segurança com AWS Firewall Manager e quaisquer outros AWS recursos que possam usar uma lista de [prefixos gerenciados](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html). Para obter mais informações sobre o uso da lista AWS de prefixos gerenciada para a Amazon CloudFront, consulte [Limitar o acesso às suas origens usando a lista de prefixos AWS gerenciada](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/) para a Amazon. CloudFront **nota** Conforme discutido em outras seções deste documento, confiar em grupos de segurança para proteger sua origem pode adicionar o [rastreamento de conexões de grupos de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) como um possível gargalo durante uma inundação de solicitações. A menos que você consiga filtrar solicitações maliciosas CloudFront usando uma política de armazenamento em cache que permita o armazenamento em cache, talvez seja melhor confiar nos *cabeçalhos personalizados de origem*, discutidos anteriormente, para ajudar a validar se as solicitações feitas à sua origem foram enviadas de CloudFront, em vez de usar grupos de segurança. O uso de um cabeçalho de solicitação personalizado com uma regra de ouvinte do Application Load Balancer evita a limitação devido aos limites de rastreamento que podem afetar o estabelecimento de novas conexões com um balanceador de carga, permitindo que o Application Load Balancer escale com base no aumento do tráfego em caso de ataque. DDoS