Достаточно ли просто настроить записи CNAME для cloudflare или лучше настроить прямой IP для экземпляра EC2?
Никогда не следует использовать прямой IP экземпляров Elastic Beanstalk, потому чтоэтот IP может быть изменен.Кроме того, если вы используете конфигурацию Beanstalk с несколькими экземплярами с балансировкой нагрузки, вам потребуется использовать DNS-адрес с балансировкой нагрузки, а не адрес отдельного экземпляра EC2.
Нужно ли закрывать доступ к моемуЭкземпляр EC2 через IP или публичный адрес Beanstalk?
Вам необходимо каким-то образом заблокировать доступ ко всем IP-адресам, кроме CloudFlare.Если у вас нет списка каждого IP-адреса сервера CloudFlare (который будет очень большим списком), вы не сможете заблокировать его.
CloudFlare предлагает услугу Argo Tunnel , если выхотите заблокировать исходные серверы, чтобы к ним мог получить доступ только CloudFlare.