https://github.com/BlueSugar620/poc-cloudfront_vpc_origin_internal_alb
こんな感じに試しました。
注意する点
ALB側のDNS検証
ALBへの直接アクセスを禁止するため、プライベートホストゾーンでAレコードを作成したいです。このとき、DNS検証をするのがプライベートだとできないのでこの部分だけパブリックに任せます。
CloudFrontの設定
CloudFrontの方でoriginを設定すると、いい感じにSGやENIが出てくれません。注意が必要でした。
WAF
CloudFrontだけだと不安なので、一般的なサービスだとWAFを貼りたいです。
パブリックサブネット
ENIができるので、VPCにパブリックサブネットが必要です。
これはCTAサンプルです。
内容を編集するか削除してください。
