sorta kinda...

主にAWS関連ですが、これに限らずいろいろ勉強したことや思ったことを書いていきます。

EC2 インスタンスに IP アドレスで Web アクセスするのだけはやめよう

ナスです。

ふと AWS Shield の存在を思い出したついでに、これだけはやめようねってことを伝えたいと思います。ちなみに、AWS Shield については以前に記事を書いていますので↓を見てください。
nasrinjp1.hatenablog.com

 

AWS Shield の適用リソース

ELB(ALB, CLB), CloudFront, Route53 に対して、AWS Shield Standard が適用されます。しかも意識することなく。

 

上で書いたことを踏まえてやめた方がいいこと

タイトルの通りです。理由はざっと書くと↓こんな感じですね。

  • EC2 インスタンスには AWS Shield Standard が適用されない。DDoS 攻撃とか受け放題
  • IP アドレスが変わったらアクセス URL が変わるのでいろいろめんどい
  • 冗長構成や負荷分散、AutoScaling にも対応できない、などなど

Route53 でドメイン管理しつつ、A レコードを ELB のエイリアスで登録しておけば、EC2 インスタンスに何かあっても ELB のターゲットに復旧した EC2 インスタンスを付け替えるだけでオールオッケーです。こうすることで、上で書いたやめた方がいい理由の内容にすべて対応できますね。

これまでは、Route53 や ELB を使う理由として抽象化が 1 つのキーポイントだったと思いますが、それだけではなくて AWS Shield が DDoS や SYN フラッドから守ってくれるので、ユーザが意識しなくても Web アクセスに対するセキュリティレベルがグンと上がる、というのが抽象化に並ぶポイントになります。

 

最後に

普段意識していないから忘れがちですが、こういう内容は提案や設計でお客さんと話する時にとても大事だと思いますので、時々思い出してあげましょう。というか AWS Shield の存在が薄すぎてかわいそうなので大事にしてあげましょう(そう思ってるの私だけ?