소개

CloudFront는 설정 변경이 잘못되었을 때의 영향이 큽니다. 따라서 보다 안전하고 정확하게 변경 작업을 수행하기 위해 aws-cli를 사용하는 것이 좋다고 생각했습니다.

설정 확인

우선 이번은 통신용으로 지원되는 SSL/TLS 프로토콜의 변경을 실시하기로 하겠습니다.

배포판에 현재 설정되어 있는 내용을 확인하려면 cloudfront get-distribution-config 명령으로 확인할 수 있습니다.
다만, 그대로 출력되면 내용이 많아 알기 어려우므로, TLS의 부분만 추출합니다.

TLS 확인

$ aws cloudfront get-distribution-config --id "xxxxxxxxxxxxx" | jq '.["DistributionConfig"]["ViewerCertificate"]["MinimumProtocolVersion"]'
"TLSv1"

현재 설정은 TLSv1로 설정됩니다.

설정 변경

이제 설정을 변경합니다.
우선은 현재의 설정 상황을 관리 콘솔에서도 확인해 보겠습니다.



이번에는 빨간색 테두리 TLSv1을 TLSv1.1_2016으로 전환하고 싶습니다.
우선, 방금전의 get-distribution-config 로 표시되는 DistributionConfig 의 부분을 텍스트에 출력합니다.

dist.conf

$ aws cloudfront get-distribution-config --id "xxxxxxxxxxxxx" | jq '.DistributionConfig' > dist.conf

출력되면 파일을 열고 TLSv1 부분을 TLSv1.1_2016으로 변경합니다.
지원되는 SSL/TLS 프로토콜은 여기에서 확인하십시오.

변경 확인

$ cat dist.conf | jq '.["ViewerCertificate"]["MinimumProtocolVersion"]'
"TLSv1"

그런 다음 ETag를 가져옵니다. 이 ETag의 취득이 이번 포인트입니다.

ETag

$ aws cloudfront get-distribution-config --id "xxxxxxxxxxxxx" --profile proudit | jq '.ETag'
"EZLFL1SIXPXTL"

이 ETag가 일치하지 않으면 설정을 변경할 수 없습니다.
이제 설정을 업데이트합니다.

update-distribution

$ aws cloudfront update-distribution --id "xxxxxxxxxxxxx" --distribution-config file://dist.conf --if-match EZLFL1SIXPXTL

이제 Security Policy를 다시 확인해 보겠습니다.

확인

$ aws cloudfront get-distribution-config --id "xxxxxxxxxxxxx" | jq '.["DistributionConfig"]["ViewerCertificate"]["MinimumProtocolVersion"]'
"TLSv1.1_2016"

관리 콘솔에서도 변경되었음을 확인했습니다.

결론

관리 콘솔에서 설정을 변경하면 오작동을 유발할 수 있습니다. 명령의 경우, 작업 로그의 저장은 물론, 설정 정보의 변경 전과 변경 후의 차이를 diff 등으로 확인한 후 갱신할 수 있는 추천입니다.