CloudFront経由のリクエストだけALBで許可する方法

いくつか方法はあるが、Managed Prefix Listでサービスを絞ったうえで通す方法が便利だろう。

• Amazon CloudFront を経由しないアクセスのブロックが簡単になりました
• CloudFront経由のリクエストのみに制御する3つの手法

AWSで提供しているサービスごとに、IPアドレスの範囲を公開しているManaged Prefix Listというものがある。サービスごとに分かれているのでCloudFrontもそのひとつに該当するのだが、ただしすべてのアカウントがひとつになっているので、自分のアカウントが所有するCloudFrontからといった絞り込みを行うことはできない。

なので自分の所有するものだけに制限したい場合は、上記に加えてヘッダー等を追加したり、セキュリティグループを変更したりといった制限を入れる必要がある。