ブログ開くともう 7日たつなぁって

前回の第1章1節 S3で静的WebページをホスティングするではWebサイト構築の手始めとして静的Webページを作りました。
あれは創世記第3章の前に書き溜めておいたやつなので、実は構築からすでに1週間たっています。
サイトを公開したあとS3の設定ページを見て私はこんなことを言いました。

ほわっほわっほわっほわわわわ～ん
（回想シーンに入る音）

「パブリック」のオレンジ色が緊張感をあおります。
主が我らを見ておられます。
世界中の悪意のある攻撃者も我らを見ておられます。

（回想シーン終わり）

では、実際1週間でどれだけの閲覧があったか見てみましょう。

f:id:chief-shuffle:20191123155856j:plain

1週間で480ものリクエストがありました。

…

「うわっ…私の主、多すぎ…？」

これはこのWebサイトがバズったからでも、神がご覧になられているからでもありません。
どこかにS3のエンドポイントにランダムアタックする人がいるということです。
ぞわぞわしますね。
弊教団も令和時代の新興宗教としてセキュリティを考えていかないといけません。

昔の名前で出ています

シンプルなWebはHTTPというプロトコルで通信しています。
プロトコルとは、通信相手とあらかじめ取り決めておいた通信の方式やフォーマットです。
Webの場合、クライアントとサーバは同じプロトコルを共有して、それを守りながら通信することになります。

HTTPのプロトコルは誰でも知ることができるので通信を改ざんされてしまう恐れがあります。
この対策として通信内容を暗号化してリクエストを送るよう拡張したプロトコルがHTTPSです。
多くのショッピングサイトではこっちが採用されています。

f:id:chief-shuffle:20191124093621p:plain

今回はサイトへのアクセスをHTTPSに変更していきましょう。
AWSのCloudFrontというサービスをかまします。
つまり、こういう構成です。

f:id:chief-shuffle:20191124094056p:plain

なお、CloudFrontはあとでやるAPI Gatewayとの連携にも必要になります。

今回はこちらのサイトを参考にさせていただきました。

www.wakuwakubank.com

CloudFrontの前にS3のバケットポリシーを削除しておきます。
このあとの手順で自動で設定されるからです。

f:id:chief-shuffle:20191127073956j:plain

ではAWSでCloudFrontを検索します。

f:id:chief-shuffle:20191123163313j:plain

「Create Distribution」をクリック。

f:id:chief-shuffle:20191127074025j:plain

Webの「Get Started」をクリック。

f:id:chief-shuffle:20191127074058j:plain

設定を入力。
「Origin Domain Name」で前回構築したS3を選択。
※ここでエンドポイントを張りつけちゃうとあとあとOAIの設定がうまくいかないので注意です。

f:id:chief-shuffle:20191127074301j:plain

「Origin ID」が勝手に入ります。
S3へのアクセスをCloudFrontからにするため、「Restricted Bucket Access」で「Yes」を選択。
認証情報OAIを作成するため、「Origin Access Identity」を「Create a New Identity」にして「Comment」を入力。
OAIからのアクセスのみ許可するようS3のバケットポリシーを変更するため、「Grant Read Permissions on Bucket」を「Yes, Update Bucket Policy」にします。

f:id:chief-shuffle:20191127074326j:plain