Ограничить доступ API к одному источнику IP

Question

1. Пользователь посещает мой веб-сайт, который является статическим сайтом в EC2.

2. При покупке, после оплаты PayPal, индексный файл на моем сайте отправляет запросна сервер API для получения zip-файла.

3. Сервер API, также на EC2, отвечает файлом zip и ссылкой.

Я хочу убедиться, что сервер / конечная точка API отвечает только в том случае, если запрос поступил из файла index.html моего сайта, но я не могу использовать группы безопасности для фильтрации IP-адресов, поскольку при выполнении вызова из файла index.html исходный файлIP - это IP-адрес клиента.

Answer 1

Это просто невозможно при использовании IP-фильтрации, поскольку вы четко определили, клиентский IP-адрес изменяется, поскольку запрос исходит от index.html.

Если ваш мотив состоит в уменьшении угроз для вашего экземпляра EC2, используйте вебмежсетевой экран приложения, такой как AWS WAF, для фильтрации трафика, отправляемого в экземпляр EC2.

Также правильно настройте CORS для предотвращения запросов от любых других источников.

Answer 2

Если ваш веб-сайт размещен где-то не на каком-либо EC2 и отправляет запрос API на ваш EC2, тогда вы можете использовать группу безопасности AWS для.

Определить группу безопасности с настраиваемым ip и портом, поэтому только запросы с этого ipидет только в этот конкретный EC2 и запускает ваш API.

в простом выражении:> Независимо от ip, который вы определили в группе безопасности, которая может отправить запрос только на ec2