Trabajo con recursos compartidos en CloudFront
Amazon CloudFront se integra con AWS Resource Access Manager (AWS RAM) para permitir el uso compartido de recursos. AWS RAM lo habilita para compartir algunos recursos de CloudFront con otras Cuentas de AWS o a través de AWS Organizations. Con AWS RAM, puede compartir recursos de su propiedad creando un uso compartido de recursos. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes compartirlos. Los consumidores pueden incluir lo siguiente:
-
Cuentas de AWS específicas dentro o fuera de su organización en AWS Organizations
-
Una unidad organizativa dentro de la organización en AWS Organizations
-
Toda la organización en AWS Organizations
Para obtener más información sobre AWS RAM, consulte la Guía del usuario de AWS RAM.
En este tema se explica cómo compartir los recursos que le pertenecen y cómo utilizar los recursos que se comparten con usted.
Requisitos previos para compartir recursos
-
Debe tener la política administrada AWSRAMDefaultPermissionCloudFront para conceder acceso de solo lectura al recurso compartido. Para obtener más información, consulte AWSRAMDefaultPermissionCloudFront.
-
Para compartir un origen de VPC, debe ser el propietario en la Cuenta de AWS. Esto significa que el recurso debe asignarse o suministrarse en su cuenta. No puede compartir un recurso que le han compartido a usted.
-
Para compartir un recurso con su organización o con una unidad organizativa en AWS Organizations, debe habilitar el uso compartido con AWS Organizations. Para obtener más información, consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM.
Uso compartido de un origen de la VPC
nota
Actualmente, CloudFront admite el uso compartido de orígenes de VPC. Si aún no ha creado uno, consulte Restricción del acceso con orígenes de la VPC.
Al compartir un origen de la VPC que posee con otras Cuentas de AWS, las habilita para usar ese recurso como origen de sus distribuciones de CloudFront.
Para compartir un origen de VPC, debe agregarlo a un recurso compartido. Un recurso compartido es un recurso de AWS RAM que le permite compartir los recursos a través de Cuentas de AWS.
Un recurso compartido especifica lo siguiente:
-
Los recursos que desea compartir.
-
Los consumidores con los que se comparten.
-
La política administrada del servicio que determina los permisos a los recursos.
Cuando comparte un origen de VPC con la consola de CloudFront, la agrega a un recurso compartido existente. Si aún no tiene un recurso compartido, puede crear uno al compartir un origen de la VPC desde la consola de CloudFront. También puede usar la consola de AWS RAM
Puede compartir los orígenes de la VPC con otras Cuentas de AWS y AWS Organizations.
-
Si comparte el recurso con una organización de AWS, todos los consumidores de esa organización específica pueden acceder al origen de la VPC.
-
Si comparte el recurso con una organización de Cuenta de AWS de la que no forma parte, los consumidores recibirán una invitación para aceptar el recurso compartido. Una vez aceptado, pueden utilizar el origen de VPC.
Puede compartir un origen de VPC que posea con la consola de CloudFront, la consola de AWS RAM o la AWS CLI.
Creación de un recurso compartido mediante la consola de CloudFront
Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home
. -
En el panel de navegación, elija Orígenes de VPC.
-
Seleccione uno o más recursos y elija Compartir origen de VPC.
-
Elija Crear recurso compartido.
-
Para Nombre, ingrese un nombre descriptivo para el recurso compartido.
-
Para Tipo de entidad principal, elija una de las siguientes opciones:
-
Cuenta de AWS: conceda acceso a una Cuenta de AWS específica.
-
Unidad organizativa: conceda acceso a una unidad organizativa (UO) específica.
-
Organización: conceda acceso a toda la organización, incluidas las unidades organizativas secundarias y Cuentas de AWS.
-
Si elige Cuenta de AWS, ingrese el número de ID de la cuenta. Puede elegir Agregar nueva cuenta para agregar hasta 5 Cuentas de AWS.
-
Si elige Unidad organizativa, ingrese el ARN de la unidad OU. Solo puede ingresar una unidad organizativa.
-
Si ha elegido Organización, ingrese el ARN de la organización. Solo puede ingresar una organización.
-
-
Elija Compartir recursos.
De forma predeterminada, CloudFront aplica la política administrada AWSRAMDefaultPermissionCloudFront AWS al recurso compartido. Esta política permite realizar acciones de solo lectura en el recurso compartido, de modo que las cuentas consumidoras no pueden actualizar ni eliminar el recurso compartido. No puede editar ni eliminar esta política del recurso compartido.
sugerencia
Tras crear el recurso compartido, puede agregar más Cuentas de AWS desde la consola de AWS RAM. Para obtener más información, consulte Actualizar un recurso compartido en AWS RAM en la Guía del usuario de AWS RAM.
Cómo compartir un origen de la VPC que posea mediante la consola de CloudFront
Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home
. -
En el panel de navegación, elija Orígenes de VPC.
-
Seleccione un recurso y elija Compartir origen de VPC.
-
En la página Compartir origen de VPC, puede seleccionar un recurso compartido existente al que desee agregar este origen de VPC.
-
Elija Compartir recurso.
En la página de detalles del recurso, en Compartido con, puede ver que el origen de la VPC se comparte con los siguientes detalles:
-
Nombres de recursos compartidos
-
Estado de uso compartido
-
Hora de la última modificación
-
Tras crear y compartir el recurso compartido con las cuentas consumidoras, estas disponen de 12 horas para aceptar la invitación. Para obtener más información, consulte Aceptar y rechazar invitaciones a recursos compartidos en la Guía del usuario de AWS RAM.
importante
Para permitir que las cuentas consumidoras utilicen el origen de la VPC para su distribución de CloudFront, también debe proporcionar el ELB de origen de la VPC o el punto de conexión de Amazon EC2.
Cómo compartir un origen de la VPC que posea mediante la consola de AWS RAM
Cree un recurso compartido y, a continuación, elija los recursos de CloudFront que desee agregarlo. Para obtener más información, consulte Creación de un recurso compartido en la Guía del usuario de AWS RAM.
Cómo compartir un origen de la VPC que posea mediante la AWS CLI
Utilice el comando create-resource-share.
Uso de un origen de VPC compartido
Para usar un origen de la VPC compartido, la cuenta que recibe la invitación debe aceptar el recurso compartido. Para ello, acceda a la consola de AWS Resource Access Manager de la región Este de EE. UU. (Norte de Virginia) y acepte las solicitudes pendientes en la pestaña Pendientes. Para obtener más información, consulte Aceptar recursos compartidos en la Guía del usuario de AWS RAM.
Tras aceptar el recurso compartido, podrá utilizar el origen de la VPC como origen de las distribuciones de CloudFront.
Uso de un origen de la VPC compartido
Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home
. -
En el panel de navegación, para Distribuciones, realice alguna de las siguientes acciones:
-
Para una distribución nueva, elija Crear distribución.
-
Para una distribución existente, elija el ID de distribución.
-
-
Para Tipo de origen, elija Origen de la VPC y, a continuación, especifique el origen de la VPC que se compartió con usted.
-
Para el Punto de conexión de origen de la VPC, ingrese el nombre de DNS privado de la instancia de Amazon EC2, del equilibrador de carga de ELB o del dominio de origen. Si aún no tiene este valor, debe obtenerlo de la Cuenta de AWS que posee el origen de la VPC. Si aún no tiene este punto de conexión, debe obtenerlo de la Cuenta de AWS que posee el origen de la VPC.
-
Siga los pasos de la consola para crear o actualizar la distribución.
Identificación de un origen de la VPC compartido
Los propietarios y consumidores pueden identificar orígenes de la VPC compartidos mediante la consola de CloudFront y la AWS CLI.
Cómo identificar un origen de la VPC compartido con la consola de CloudFront
Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home
. -
En el panel de navegación, elija Orígenes de VPC. Puede usar la columna de ID de propietario para identificar la Cuenta de AWS a la que pertenece el recurso.
-
Seleccione un recurso.
-
En la página de detalles del recurso, en Compartido con, puede ver que el origen de la VPC se comparte con los siguientes detalles:
-
Nombres de recursos compartidos
-
Estado de uso compartido
-
Hora de la última modificación
-
Desactivación de un origen de la VPC compartido
Al dejar de compartir un recurso, las Cuentas de AWS (cuentas consumidoras) ya no pueden usar ese recurso para nuevas distribuciones ni actualizar las distribuciones existentes.
nota
Si deja de compartir un recurso, las distribuciones existentes que todavía utilizan ese recurso permanecen activas y seguirán atendiendo el tráfico. Sin embargo, estas distribuciones no se pueden editar hasta que se elimine el recurso no compartido como origen. Recomendamos asegurarse de que las cuentas consumidoras dejen de usar el recurso no compartido antes de dejar de compartirlo.
Para dejar de compartir un origen de la VPC compartido que posee, debe quitarlo del recurso compartido. Para ello, puede utilizar la consola de CloudFront, la consola de AWS RAM o la AWS CLI.
Cómo dejar de compartir un origen de la VPC compartido que posee mediante la consola de CloudFront
Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home
. -
En el panel de navegación, elija Orígenes de VPC.
-
Seleccione un recurso y elija Dejar de compartir.
-
Revise los detalles en el cuadro de diálogo Dejar de compartir un recurso y, a continuación, elija Dejar de compartir. Las entidades principales mostradas ya no tendrán acceso al recurso compartido.
Cómo dejar compartir un origen de la VPC compartido que posee mediante la consola de AWS RAM
Consulte Actualización de un recurso compartido en la Guía del usuario de AWS RAM.
Cómo dejar compartir un origen de la VPC compartido que posee mediante la AWS CLI
Utilice el comando disassociate-resource-share.
Responsabilidades y permisos de orígenes de la VPC compartidos
Permisos de los propietarios
Como cuenta propietaria del recurso, asegúrese de que cualquier cuenta que consuma recursos deje de usar el recurso antes de dejar de compartirlo o eliminarlo.
Permisos de los consumidores
Las cuentas consumidoras pueden usar recursos compartidos como orígenes de las distribuciones de CloudFront, pero no pueden editar ni eliminar los recursos. De forma predeterminada, la política AWSRAMDefaultPermissionCloudFront de AWS administrada se aplica al recurso compartido de la cuenta compartida (la cuenta propietaria del recurso).
AWSRAMDefaultPermissionCloudFront
Al crear un recurso compartido en CloudFront, CloudFront utiliza la política administrada AWSRAMDefaultPermissionCloudFront AWS y la aplica al recurso compartido. Esta política otorga permisos de solo lectura a recursos de CloudFront que pueden compartirse entre el propietario del recurso y la cuenta que consume.
Para obtener más información sobre administración de permisos en AWS RAM, consulte Administración de permisos en AWS RAM en la Guía del usuario de AWS Resource Access Manager.
Facturación y medición
No hay cargos adicionales por compartir los orígenes de la VPC con otras Cuentas de AWS. Los costos de uso del tráfico de una distribución que utiliza un origen de la VPC compartido se destinarán a la cuenta consumidora propietaria de la distribución.
Cuotas de recursos compartidos
CloudFront utiliza las mismas cuotas de recursos compartidos que las especificadas por AWS RAM. Desde la consola de CloudFront, puede agregar hasta 5 Cuentas de AWS, 1 OU o 1 organización. Para agregar más, utilice la consola de AWS RAM o la API de AWS RAM.
Para obtener más información, consulte Service Quotas para AWS RAM en la Guía del usuario deAWS RAM.
