1. 사용하지 않고 Disable 되어 있는 리전에는 CloudWatch LogGroup이 안 생기는가? - Disable 된 리전에는 CloudWatch LogGroup이 생성되지 않음. - 이는 Disable 가능한 리전에는 REC(Regional Edge Cache) 가 없기 때문. - Lambda@Edge는 엣지 로케이션에서 가장 가까운 REC가 있는 리전에서 실행되며, 해당 리전에 로그 그룹이 생성. - 참고로 REC가 있는 리전은 Disable이 불가능한 리전이기 때문에, 실제 로그가 생성되는 리전은 항상 활성화.2. 그 외 활성화된 리전은 전부 Retention 을 1days로 적용해서 로그 관리 및 비용 관리중입니다. 그러면 근본적으로 Lambda Edge의 Loggroup을 생기지 않게 ..

- 개요 기본적인 보안 가이드를 준수하려면 필수 - Cloudfront - Security policy (2023년 10월 기준) TLSv1.2_2021 - ELB - Security policy (2023년 10월 기준) ALB : ELBSecurityPolicy-TLS13-1-2-2021-06 NLB : ELBSecurityPolicy-TLS13-1-2-2021-06* - reference https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html?icmpid=docs_cf_help_panel#DownloadDistValuesOriginSSLProtocols https://d..

- 개요 Gatsby는 react 기반 프레임워크로 SPA로 구성할 때 자주 쓰인다. - SPA on S3 S3 uncheck Block public access S3 Static website hosting enable cloudfront origin s3 website hosting url >>> .s3-website.ap-northeast-2.amazonaws.com - s3 bucket policy { "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::/*" } ] } - reference ht..

- 상황 및 현상 cloudfront origin을 s3로 설정한 상황에서 해당 URL 접근시 s3로 redirect되면서 403이 뜰 경우 - 원인 s3 origin을 잘못 설정했을 경우 - 해결 정상적인 URL : bucket-name.s3.region.amazonaws.com 비 정상적인 URL : s3.amazonaws.com/bucket-name - 참고 https://repost.aws/ko/knowledge-center/s3-website-cloudfront-error-403 https://docs.aws.amazon.com/ko_kr/AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html

- 개요 CloudFront 접근 제어 및 보안 강화를 위한 방법으로 기존의 OAI 다음으로 나온 OAC에 대해 정리 했다. - Origin Access : Create control setting Signing behavior Sign requests (recommended) Create Bucket Policy -> Copy policy - S3 bucket policy { "Version": "2008-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Sid": "AllowCloudFrontServicePrincipal", "Effect": "Allow", "Principal": { "Service": "cloudfront.a..

- 개요 cloudfront가 HTTP/3을 지원하기 시작 - 방법 General >> Settings >> Edit >> Supported HTTP versions HTTP/3 check - 서비스 영향도 없음. 무조건 enable을 추천. - 참고 https://aws.amazon.com/ko/about-aws/whats-new/2022/08/amazon-cloudfront-supports-http-3-quic/

- 개요 CORS error는 사소하면서도 해결이 깔끔하게 안되는 문제중 하나이다. - S3 Cors 설정 >> Permission 최하단 >> CORS >> AllowedOrigins - 예제 "AllowedOrigins": [ "*" ], - Cloudfront Cors 설정 Distributions >> Behavior >> Response headers policy >> CORS-With-Preflight Cloudfront Invalidations - 비고 수 분 기다리면 완료. - 참고 https://docs.aws.amazon.com/AmazonS3/latest/userguide/ManageCorsUsing.html https://docs.aws.amazon.com/ko_kr/AmazonCl..

- 개요 CloudFront 캐싱 인프라의 추가 계층으로 오리진의 부하를 최소화하고 가용성을 높이며 운영 비용을 절감 효과 - 설정 방법 Distributions >> Origin / Edit >> Enable Origin Shield / Yes >> Origin Shield Region / choose region - 효과 추가 layer를 통해 Better cache hit ratio // Reduced origin load // Better network performance - 비고 특정 region에서 접근이 많은 경우 제대로 된 효과가 없고, non-cacheable requests 까지 과금 될수 있음 - 분석 Reports & analytics >> Viewers >> Locations /..

- 개요 React 등으로 SPA를 서빙하기 위해 Route53 -> CF - CNAME + S3 를 사용하는 경우 sub-path를 직접 호출 시 403 에러가 난다. Root Routing 이 정상적으로 되기 위해서는 403, 404를 200 index.html로 보내야 한다. - 설정 방법 CloudFront >> Distributions >> Error Pages >> Create custom error reponse >> HTTP error code 403 // HTTP error code 404 >> Customize error reponse >> Yes >> Response page path : /index.html >> HTTP Reponse code : 200 >> Invalidation..

- 개요 CloudFront에서 S3 object에 대한 cache를 invalidation 하는 IAM policy 예제 이다. - IAM Policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::test" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::test/*" }, { "Effect": "Allow", "Action": [ "cloudfront:CreateInvalidat..