Requisitos previos Creación de un origen de la VPC (nueva distribución)Creación de un origen de la VPC (distribución existente)Actualización de un origen de la VPC Regiones de AWS admitidas para Orígenes de la VPC

Restricción del acceso con orígenes de la VPC

Puede utilizar CloudFront para entregar contenido de las aplicaciones que se alojan en las subredes privadas de la nube privada virtual (VPC). Puede usar equilibradores de carga de aplicación, equilibradores de carga de red e instancias de EC2 en subredes privadas como orígenes de la VPC.

A continuación, se indican algunos de los motivos por los que es posible que desee utilizar Orígenes de la VPC:

Seguridad: Orígenes de la VPC se ha diseñado para mejorar el estado de seguridad de su aplicación porque coloca sus equilibradores de carga e instancias de EC2 en subredes privadas, lo que convierte a CloudFront en el único punto de entrada. Las solicitudes de los usuarios van de CloudFront a los orígenes de la VPC a través de una conexión privada y segura, lo que proporciona seguridad adicional a las aplicaciones.
Administración: Orígenes de la VPC reduce la sobrecarga operativa necesaria para una conectividad segura entre CloudFront y los orígenes. Puede trasladar sus orígenes a subredes privadas sin acceso público y no tiene que implementar listas de control de acceso (ACL) ni otros mecanismos para restringir el acceso a sus orígenes. De esta forma, no tiene que invertir en un trabajo de desarrollo indiferenciado para proteger sus aplicaciones web con CloudFront.
Escalabilidad y rendimiento: orígenes de la VPC le ayuda a proteger sus aplicaciones web, lo que le permite dedicar tiempo a centrarse en el crecimiento de sus aplicaciones empresariales fundamentales y, al mismo tiempo, mejorar la seguridad y mantener el alto rendimiento y la escalabilidad global con CloudFront. Orígenes de la VPC optimiza la administración de la seguridad y reduce la complejidad operativa para que pueda usar CloudFront como punto de entrada único para sus aplicaciones.

Requisitos previos

Antes de crear un origen de la VPC para la distribución de CloudFront, debe completar los siguientes pasos:

Cree una nube privada virtual (VPC) en Amazon VPC.
- La VPC debe encontrarse en la misma Cuenta de AWS que la distribución de CloudFront.
- La VPC debe estar en una de las Regiones de AWS que admiten orígenes de la VPC. Para obtener más información, consulte Regiones de AWS admitidas para Orígenes de la VPC.
- Las ACL de red asociadas a las subredes de la VPC se aplican al tráfico de salida (saliente) cuando la conservación de la dirección IP del cliente está habilitada en el origen de la VPC. Sin embargo, para permitir que el tráfico salga a través del origen de la VPC debe configurar la ACL como una regla de entrada y de salida.
  
  Por ejemplo, para permitir que los clientes de TCP y UDP que utilizan un puerto de origen efímero se conecten al punto de conexión a través del origen de la VPC, asocie la subred del punto de conexión a una ACL de red que permita el tráfico saliente destinado a un puerto TCP o UDP efímero (rango de puertos 1024-65535, destino 0.0.0.0/0). Además, cree una regla de entrada coincidente (rango de puertos 1024-65535, fuente 0.0.0.0/0).
Para obtener información sobre la creación de una VPC, consulte Creación de una VPC y otros recursos de la VPC en la Guía del usuario de Amazon VPC.
En la VPC, incluya lo siguiente:
- Puerta de enlace de Internet: debe agregar una puerta de enlace de Internet a la VPC que tiene los recursos de origen de la VPC. La puerta de enlace de Internet es necesaria para indicar que la VPC pueda recibir tráfico de Internet. La puerta de enlace de Internet no se usa para enrutar el tráfico a los orígenes dentro de la subred y no es necesario actualizar las políticas de enrutamiento.
- Subred privada con al menos una dirección IPv4 disponible: CloudFront se dirige a la subred mediante una interfaz de red elástica (ENI) administrada por un servicio que CloudFront crea después de definir el recurso de origen de la VPC con CloudFront. Debe tener al menos una dirección IPv4 disponible en su subred privada para que el proceso de creación de la ENI se lleve a cabo correctamente. La dirección IPv4 puede ser privada y no conlleva ningún coste adicional.
  
  nota
  No se admiten subredes solo de IPv6.
En la subred privada, lance un equilibrador de carga de aplicación, un equilibrador de carga de red o una instancia de EC2 para utilizarlos como origen.
- El recurso que lance debe estar completamente implementado y en estado Activo antes de poder usarlo para un origen de la VPC.
- Los equilibradores de carga de puerta de enlace, los equilibradores de carga de red de doble pila y los equilibradores de carga de red con oyentes de TLS no se pueden agregar como orígenes.
- Para que se utilice como un origen de la VPC, un equilibrador de carga de red debe tener un grupo de seguridad asociado.
- Actualice los grupos de seguridad de los orígenes privados de la VPC para permitir explícitamente la lista de prefijos administrada por CloudFront. Para obtener más información, consulte Utilizar la lista de prefijos administrados de CloudFront.
  - Una vez creado el origen de la VPC, se puede restringir aún más el grupo de seguridad para permitir solo el tráfico de sus orígenes de la VPC. Para ello, actualice el origen de tráfico permitido de la lista de prefijos administrados al grupo de seguridad de CloudFront.
  nota
  Los desencadenadores de tráfico de WebSockets, gRPC, solicitudes de origen y respuestas de origen con Lambda@Edge en CloudFront no se admiten en los orígenes de VPC. Para obtener más información, consulte Trabajo con solicitudes y respuestas en la documentación de Lambda@Edge.

Creación de un origen de la VPC (nueva distribución)

El siguiente procedimiento muestra cómo crear un origen de la VPC para la nueva distribución de CloudFront en la consola de CloudFront. También puede usar las operaciones de la API CreateVpcOrigin y CreateDistribution con la AWS CLI o un SDK de AWS.

Para crear un origen de la VPC para una nueva distribución de CloudFront

Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.
Elija Orígenes de la VPC, Crear origen de la VPC.
Rellene los campos obligatorios. En ARN de origen, seleccione el ARN del equilibrador de carga de aplicación, equilibrador de carga de red o la instancia de EC2. Si no ve el ARN, puede copiar el ARN de recurso específico y pegarlo aquí.
Elija Crear origen de la VPC.
Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.
Elija Distribuciones, Crear distribución.
En Dominio de origen, seleccione su recurso de orígenes de la VPC en la lista desplegable.

Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.
Termine de crear su distribución. Para obtener más información, consulte Creación de una distribución de CloudFront en la consola.

Creación de un origen de la VPC (distribución existente)

El siguiente procedimiento muestra cómo crear un origen de la VPC para una distribución de CloudFront existente en la consola de CloudFront, lo que ayuda a garantizar una disponibilidad continua de sus aplicaciones. También puede usar las operaciones de la API CreateVpcOrigin y UpdateDistributionWithStagingConfig con la AWS CLI o un SDK de AWS.

Si lo desea, puede agregar el origen de la VPC a la distribución existente sin crear una distribución provisional.

Para crear un origen de la VPC para una distribución existente de CloudFront

Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.
Elija Orígenes de la VPC, Crear origen de la VPC.
Rellene los campos obligatorios. En ARN de origen, seleccione el ARN del equilibrador de carga de aplicación, equilibrador de carga de red o la instancia de EC2. Si no ve el ARN, puede copiar el ARN de recurso específico y pegarlo aquí.
Elija Crear origen de la VPC.
Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.
En el panel de navegación, elija Distribuciones.
Elija el ID de su distribución.
En la pestaña General, en Implementación continua, elija Crear distribución provisional. Para obtener más información, consulte Uso de la implementación continua de CloudFront para probar de forma segura los cambios en la configuración de la CDN.
Siga los pasos del asistente Crear distribución provisional para crear una distribución provisional. Incluya los pasos siguientes:
- En Orígenes, seleccione Crear origen.
- En Dominio de origen, seleccione su recurso de orígenes de la VPC en el menú desplegable.
  
  Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.
- Elija Crear origen.
En la distribución provisional, pruebe el origen de la VPC.
Promueva la configuración de la distribución provisional a su distribución principal. Para obtener más información, consulte Promoción de una configuración de distribución provisional.
Elimine el acceso público al origen de la VPC haciendo la subred privada. Una vez hecho esto, el origen de la VPC no se podrá detectar en Internet, pero CloudFront seguirá teniendo acceso privado a él. Para obtener más información, consulte Asociación o desvinculación de una subred y una tabla de enrutamiento en la Guía del usuario de Amazon VPC.

Actualización de un origen de la VPC

El siguiente procedimiento muestra cómo actualizar un origen de la VPC para la distribución de CloudFront en la consola de CloudFront. También puede usar las operaciones de la API UpdateDistribution y UpdateVpcOrigin con la AWS CLI o un SDK de AWS.

Para actualizar un origen de la VPC de una distribución existente de CloudFront

Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.
En el panel de navegación, elija Distribuciones.
Elija el ID de su distribución.
Elija la pestaña Comportamientos.
Asegúrese de que el origen de la VPC no sea el origen predeterminado del comportamiento de la caché.
Elija la pestaña Orígenes.
Seleccione el origen de la VPC que va a actualizar y elija Eliminar. Esto desvincula el origen de la VPC de la distribución. Repita los pasos 2 a 7 para desvincular el origen de la VPC de cualquier otra distribución.
Elija Orígenes de la VPC.
Seleccione el origen de la VPC y elija Editar.
Realice las actualizaciones y elija Actualizar origen de la VPC.
Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.
En el panel de navegación, elija Distribuciones.
Elija el ID de su distribución.
Elija la pestaña Orígenes.
Elija Crear origen.
En Dominio de origen, seleccione su recurso de orígenes de la VPC en el menú desplegable.

Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.
Elija Crear origen. Esto vuelve a asociar el origen de la VPC a su distribución. Repita los pasos 12 a 17 para asociar el origen de la VPC actualizada a cualquier otra distribución.

Regiones de AWS admitidas para Orígenes de la VPC

Actualmente, los orígenes de la VPC se admiten en las siguientes Regiones de AWS comerciales. Se indican las excepciones a la zona de disponibilidad (AZ).

Nombre de la región	Región
Este de EE. UU. (Ohio)	`us-east-2`
Este de EE. UU. (Norte de Virginia)	`us-east-1 (except AZ use1-az3)`
Oeste de EE. UU. (Norte de California)	`us-west-1 (except AZ usw1-az2)`
Oeste de EE. UU. (Oregón)	`us-west-2`
África (Ciudad del Cabo)	`af-south-1`
Asia-Pacífico (Hong Kong)	`ap-east-1`
Asia-Pacífico (Mumbai)	`ap-south-1`
Asia-Pacífico (Hyderabad)	`ap-south-2`
Asia-Pacífico (Yakarta)	`ap-southeast-3`
Asia-Pacífico (Melbourne)	`ap-southeast-4`
Asia-Pacífico (Osaka)	`ap-northeast-3`
Asia-Pacífico (Singapur)	`ap-southeast-1`
Asia-Pacífico (Sídney)	`ap-southeast-2`
Asia-Pacífico (Tokio)	`ap-northeast-1 (except AZ apne1-az3)`
Asia-Pacífico (Seúl)	`ap-northeast-2 (except AZ apne2-az1)`
Canadá (Centro)	`ca-central-1 (except AZ cac1-az3)`
Oeste de Canadá (Calgary)	`ca-west-1`
Europa (Fráncfort)	`eu-central-1`
Europa (Irlanda)	`eu-west-1`
Europa (Londres)	`eu-west-2`
Europa (Milán)	`eu-south-1`
Europa (París)	`eu-west-3`
Europa (España)	`eu-south-2`
Europa (Estocolmo)	`eu-north-1`
Europa (Zúrich)	`eu-central-2`
Israel (Tel Aviv)	`il-central-1`
Medio Oriente (Baréin)	`me-south-1`
Medio Oriente (EAU)	`me-central-1`
América del Sur (São Paulo)	`sa-east-1`

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Restricción del acceso a un origen de Amazon S3

Restricción del acceso a Application Load Balancer