AWS负载均衡器允许URL路径上的某些ip地址

Question

目前，我在亚马逊网络服务上设置了一个应用程序，使用目标组中具有2个EC2的应用程序负载均衡器：

DNS -> AWS-ALB -> EC2(2)

我需要帮助，只允许在应用程序URL上下文路径上的某些IP地址。

例如:除了www.abc.com/xyz之外，所有人都应该可以访问www.abc.com。

我在EC2上尝试了NGINX解决方案，只有当我使用允许和拒绝规则直接命中EC2 IP时，它才有效。

Answer 1

我能够通过在ALB上建立基于路径和源IP组合的监听规则来解决这个问题。

假设您希望允许从IP地址池123.123.123.120/30访问www.abc.com/xyz/*，并拒绝其他任何人访问。

ALB规则：

1. 如果源IP是123.123.123.120/30，路径是/xyz/*，则转发到your-application-target-group

路径是/xyz/*，然后返回

1. 403 (或您的用例中适合的任何内容)
2. 如果请求没有路由，则转发到xyz

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html

Answer 2

您可以将WAF与ALB配合使用，前提是该地域有WAF支持。您可以创建一个简单的规则，其中包含两个条件: URI匹配和IP地址不匹配，因为规则中的条件在and操作中工作，它应该符合您的要求。

https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-rules-creating.html