Zugriffsbeschränkung mit VPC-Ursprüngen - Amazon CloudFront
VoraussetzungenErstellen eines VPC-Ursprungs (neue Distribution)Erstellen eines VPC-Ursprungs (vorhandene Distribution)Aktualisieren eines VPC-UrsprungsWird AWS-Regionen für VPC-Ursprünge unterstützt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffsbeschränkung mit VPC-Ursprüngen

Sie können CloudFront damit Inhalte aus Anwendungen bereitstellen, die in Ihren privaten VPC-Subnetzen (Virtual Private Cloud) gehostet werden. Sie können Application Load Balancers (ALBs), Network Load Balancers (NLBs) und EC2 Instances in privaten Subnetzen als VPC-Ursprünge verwenden.

Hier einige Gründe für die Verwendung von VPC-Ursprüngen:

  • Sicherheit — VPC Origins wurde entwickelt, um den Sicherheitsstatus Ihrer Anwendung zu verbessern, indem Ihre Load Balancer und EC2 Instances in privaten Subnetzen platziert werden, wodurch CloudFront der zentrale Einstiegspunkt entsteht. Benutzeranfragen werden über eine private, sichere Verbindung CloudFront zu den VPC-Ursprüngen weitergeleitet und bieten so zusätzliche Sicherheit für Ihre Anwendungen.

  • Verwaltung — VPC-Ursprünge reduzieren den Betriebsaufwand, der für eine sichere Konnektivität zwischen den CloudFront Ursprüngen erforderlich ist. Sie können Ihre Ursprünge in private Subnetze ohne öffentlichen Zugriff verschieben, und Sie müssen keine Zugriffskontrolllisten (ACLs) oder andere Mechanismen implementieren, um den Zugriff auf Ihre Ursprünge einzuschränken. Auf diese Weise müssen Sie nicht in undifferenzierte Entwicklungsarbeit investieren, um Ihre Webanwendungen mit abzusichern. CloudFront

  • Skalierbarkeit und Leistung — VPC Origins hilft Ihnen dabei, Ihre Webanwendungen zu sichern, sodass Sie Zeit haben, sich auf das Wachstum Ihrer kritischen Geschäftsanwendungen zu konzentrieren und gleichzeitig die Sicherheit zu verbessern und gleichzeitig eine hohe Leistung und globale Skalierbarkeit aufrechtzuerhalten. CloudFront VPC Origins optimiert das Sicherheitsmanagement und reduziert die betriebliche Komplexität, sodass Sie es CloudFront als zentrale Anlaufstelle für Ihre Anwendungen verwenden können.

Tipp

CloudFront unterstützt die gemeinsame Nutzung von VPC-Ursprüngen AWS-Konten, unabhängig davon, ob sie sich in Ihrer Organisation befinden oder nicht. Sie können VPC-Ursprünge von der CloudFront Konsole aus teilen oder AWS Resource Access Manager (AWS RAM) verwenden. Weitere Informationen finden Sie unter Arbeiten mit gemeinsam genutzten Ressourcen in CloudFront.

Voraussetzungen

Bevor Sie einen VPC-Ursprung für Ihre CloudFront Distribution erstellen, müssen Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine Virtual Private Cloud (VPC) auf Amazon VPC.

    • Ihre VPC muss sich in einer der Regionen befinden AWS-Regionen , die für VPC-Ursprünge unterstützt werden. Weitere Informationen finden Sie unter Wird AWS-Regionen für VPC-Ursprünge unterstützt.

    • Das mit Ihren VPC-Subnetzen ACLs verknüpfte Netzwerk gilt für ausgehenden (ausgehenden) Datenverkehr, wenn die Beibehaltung der Client-IP-Adresse auf Ihrem VPC-Ursprung aktiviert ist. Um den Ausgang von Datenverkehr über Ihren VPC-Ursprung zu erlauben, müssen Sie jedoch die ACL sowohl als eingehende als auch als ausgehende Regel konfigurieren.

      Damit beispielsweise TCP- und UDP-Clients, die einen flüchtigen Quellport verwenden, über Ihren VPC-Ursprung eine Verbindung zu Ihrem Endpunkt herstellen können, verknüpfen Sie das Subnetz Ihres Endpunkts mit einer Netzwerk-ACL, die ausgehenden Datenverkehr für einen flüchtigen TCP- oder UDP-Port (Portbereich 1024-65535, Ziel 0.0.0.0/0) zulässt. Erstellen Sie außerdem eine passende Regel für eingehenden Datenverkehr (Portbereich 1024-65535, Quelle 0.0.0.0/0).

    Weitere Informationen über das Erstellen einer VPC finden Sie unter Erstellen einer VPC sowie anderer VPC-Ressourcen im Benutzerhandbuch für Amazon VPC.

  • Schließen Sie Folgendes in Ihre VPC ein:

    • Internet-Gateway – Sie müssen der VPC, die über Ihre VPC-Ursprungsressourcen verfügt, ein Internet-Gateway hinzufügen. Das Internet-Gateway ist erforderlich, um anzugeben, dass die VPC Datenverkehr aus dem Internet empfangen kann. Das Internet-Gateway wird nicht für die Weiterleitung von Datenverkehr zu Ursprüngen innerhalb des Subnetzes verwendet und Sie müssen die Routing-Richtlinien nicht aktualisieren.

    • Privates Subnetz mit mindestens einer verfügbaren IPv4 Adresse — CloudFront leitet zu Ihrem Subnetz über ein vom Service verwaltetes elastic network interface (ENI) weiter, das CloudFront erstellt wird, nachdem Sie Ihre VPC-Ursprungsressource mit definiert haben. CloudFront Sie müssen mindestens eine verfügbare IPv4 Adresse in Ihrem privaten Subnetz haben, damit der ENI-Erstellungsprozess erfolgreich sein kann. Die IPv4 Adresse kann privat sein und es fallen keine zusätzlichen Kosten an.

      Anmerkung

      IPv6-Nur Subnetze werden nicht unterstützt.

  • Starten Sie im privaten Subnetz einen Application Load Balancer, einen Network Load Balancer oder eine EC2 Instance, die Sie als Ursprung verwenden möchten.

    • Die Ressource, die Sie starten, muss vollständig bereitgestellt sein und sich im Status Aktiv befinden, bevor Sie sie als VPC-Ursprung verwenden können.

    • Gateway Load Balancer, Dual-Stack Network Load Balancer und Network Load Balancer mit TLS-Listenern können nicht als Ursprünge hinzugefügt werden.

    • Um als VPC-Ursprung verwendet zu werden, muss einem Network Load Balancer eine Sicherheitsgruppe zugeordnet sein.

    • Aktualisieren Sie Ihre Sicherheitsgruppen für die privaten VPC-Ursprünge, um die Liste der CloudFront verwalteten Präfixe ausdrücklich zuzulassen. Weitere Informationen finden Sie unter Verwendung der neuen CloudFront-verwalteten Präfixliste.

      Anmerkung

      CloudFront-VPCOrigins-Service-SGist ein AWS reservierter Name für Sicherheitsgruppen, die für VPC-Ursprünge verwendet werden. Sie müssen einen anderen Namen für Ihre Sicherheitsgruppe angeben. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsgruppe.

      • Nachdem der VPC-Ursprung erstellt wurde, kann die Sicherheitsgruppe weiter eingeschränkt werden, sodass nur Datenverkehr von Ihren VPC-Ursprüngen zugelassen wird. Aktualisieren Sie dazu die zulässige Datenverkehrsquelle aus der Liste der verwalteten Präfixe auf die CloudFront Sicherheitsgruppe.

      Anmerkung

      WebSockets, gRPC-Verkehr, Origin-Request- und Origin-Response-Trigger mit eingeschaltetem Lambda @Edge CloudFront werden für VPC-Ursprünge nicht unterstützt. Weitere Informationen finden Sie unter Arbeiten mit Anforderungen und Antworten in der Lambda@Edge-Dokumentation.

Erstellen eines VPC-Ursprungs (neue Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre neue CloudFront Distribution in der CloudFront Konsole erstellen. Alternativ können Sie die CreateDistributionAPI-Operationen CreateVpcOriginund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

So erstellen Sie einen VPC-Ursprung für eine neue Distribution CloudFront

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen aus.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie für Origin ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder EC2 Ihrer Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.

  4. Wählen Sie VPC-Ursprung erstellen aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  6. Wählen Sie Distributionen, Distribution erstellen aus.

  7. Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus der Dropdown-Liste aus.

    Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

  8. Schließen Sie die Erstellung der Distribution ab. Weitere Informationen finden Sie unter Erstellen Sie eine CloudFront Distribution in der Konsole.

Erstellen eines VPC-Ursprungs (vorhandene Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie in der CloudFront Konsole einen VPC-Ursprung für Ihre bestehende CloudFront Distribution erstellen, um die kontinuierliche Verfügbarkeit Ihrer Anwendungen sicherzustellen. Alternativ können Sie die Operationen CreateVpcOriginund die UpdateDistributionWithStagingConfigAPI mit dem AWS CLI oder einem AWS SDK verwenden.

Optional können Sie Ihren VPC-Ursprung zu Ihrer vorhandenen Distribution hinzufügen, ohne eine Staging-Distribution zu erstellen.

Um einen VPC-Ursprung für Ihre bestehende CloudFront Distribution zu erstellen

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen aus.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie für Origin ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder EC2 Ihrer Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.

  4. Wählen Sie VPC-Ursprung erstellen aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  6. Rufen Sie im Navigationsbereich Distributions auf.

  7. Wählen Sie die ID Ihrer Distribution aus.

  8. Wählen Sie auf der Registerkarte Allgemeines unter Kontinuierliche Bereitstellung die Option Staging-Distribution erstellen aus. Weitere Informationen finden Sie unter Verwenden Sie CloudFront Continuous Deployment, um CDN-Konfigurationsänderungen sicher zu testen.

  9. Folgen Sie den Schritten im Assistenten Staging-Distribution erstellen, um eine Staging-Distribution zu erstellen. Führen Sie die folgenden Schritte aus:

    • Wählen Sie unter Ursprünge die Option Ursprung erstellen aus.

    • Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.

      Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

    • Wählen Sie Create Origin (Ursprung erstellen) aus.

  10. Testen Sie in Ihrer Staging-Distribution den VPC-Ursprung.

  11. Stufen Sie die Konfiguration der Staging-Distribution zu Ihrer primären Distribution hoch. Weitere Informationen finden Sie unter Hochstufen der Konfiguration einer Staging-Distribution.

  12. Entfernen Sie den öffentlichen Zugriff auf Ihren VPC-Ursprung, indem Sie das Subnetz privat machen. Danach ist der VPC-Ursprung nicht mehr über das Internet auffindbar, hat aber CloudFront weiterhin privaten Zugriff darauf. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung eines Subnetzes zu einer Routing-Tabelle im Benutzerhandbuch für Amazon VPC.

Aktualisieren eines VPC-Ursprungs

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre CloudFront Distribution in der CloudFront Konsole aktualisieren. Alternativ können Sie die UpdateVpcOriginAPI-Operationen UpdateDistributionund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

Um einen vorhandenen VPC-Ursprung für Ihre CloudFront Distribution zu aktualisieren

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Rufen Sie im Navigationsbereich Distributions auf.

  3. Wählen Sie die ID Ihrer Distribution aus.

  4. Wählen Sie die Registerkarte Behaviors aus.

  5. Stellen Sie sicher, dass der VPC-Ursprung nicht der Standardursprung für Ihr Cache-Verhalten ist.

  6. Wählen Sie den Tab Ursprünge aus.

  7. Wählen Sie den zu aktualisierenden VPC-Ursprung und dann Löschen aus. Dadurch wird der VPC-Ursprung von Ihrer Distribution getrennt. Wiederholen Sie die Schritte 2–7, um den VPC-Ursprung von anderen Distributionen zu trennen.

  8. Wählen Sie VPC-Ursprünge aus.

  9. Wählen Sie den VPC-Ursprung und dann Bearbeiten aus.

  10. Nehmen Sie die Aktualisierungen vor und wählen Sie VPC-Ursprung aktualisieren aus.

  11. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  12. Rufen Sie im Navigationsbereich Distributions auf.

  13. Wählen Sie die ID Ihrer Distribution aus.

  14. Wählen Sie den Tab Ursprünge aus.

  15. Wählen Sie Create Origin (Ursprung erstellen) aus.

  16. Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.

    Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

  17. Wählen Sie Create Origin (Ursprung erstellen) aus. Dadurch wird der VPC-Ursprung wieder mit Ihrer Distribution verknüpft. Wiederholen Sie die Schritte 12–17, um den aktualisierten VPC-Ursprung anderen Distributionen zuzuordnen.

Wird AWS-Regionen für VPC-Ursprünge unterstützt

VPC-Ursprünge werden derzeit in der folgenden Werbung AWS-Regionen unterstützt. Ausgeschlossene Availability Zones (AZ) sind angegeben.

Name der Region Region
USA Ost (Ohio) us-east-2
USA Ost (Nord-Virginia) us-east-1 (except AZ use1-az3)
USA West (Nordkalifornien) us-west-1 (except AZ usw1-az2)
USA West (Oregon) us-west-2
Africa (Cape Town) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asien-Pazifik (Mumbai) ap-south-1
Asien-Pazifik (Hyderabad) ap-south-2
Asien-Pazifik (Jakarta) ap-southeast-3
Asien-Pazifik (Melbourne) ap-southeast-4
Asien-Pazifik (Osaka) ap-northeast-3
Asien-Pazifik (Singapur) ap-southeast-1
Asien-Pazifik (Sydney) ap-southeast-2
Asien-Pazifik (Tokio) ap-northeast-1 (except AZ apne1-az3)
Asien-Pazifik (Seoul) ap-northeast-2 (except AZ apne2-az1)
Kanada (Zentral) ca-central-1 (except AZ cac1-az3)
Kanada West (Calgary) ca-west-1
Europe (Frankfurt) eu-central-1
Europa (Irland) eu-west-1
Europa (London) eu-west-2
Europa (Milan) eu-south-1
Europa (Paris) eu-west-3
Europa (Spain) eu-south-2
Europa (Stockholm) eu-north-1
Europa (Zürich) eu-central-2
Israel (Tel Aviv) il-central-1
Middle East (Bahrain) me-south-1
Naher Osten (VAE) me-central-1
Südamerika (São Paulo) sa-east-1