Restreindre l'accès avec les origines des VPC - Amazon CloudFront
PrérequisCréation d'une origine VPC (nouvelle distribution)Création d'une origine VPC (distribution existante)Mettre à jour une origine VPCPris en charge Régions AWS pour les origines de VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restreindre l'accès avec les origines des VPC

Vous pouvez l'utiliser CloudFront pour diffuser du contenu à partir d'applications hébergées dans les sous-réseaux privés de votre cloud privé virtuel (VPC). Vous pouvez utiliser des équilibreurs de charge d'application (ALBs), des équilibreurs de charge réseau (NLBs) et des EC2 instances dans des sous-réseaux privés comme origines VPC.

Voici quelques raisons pour lesquelles vous souhaiterez peut-être utiliser les origines VPC :

  • Sécurité : VPC Origins est conçu pour améliorer le niveau de sécurité de votre application en plaçant vos équilibreurs de charge et vos EC2 instances dans des sous-réseaux privés, constituant CloudFront ainsi un point d'entrée unique. Les demandes des utilisateurs CloudFront proviennent du VPC via une connexion privée et sécurisée, ce qui renforce la sécurité de vos applications.

  • Gestion — Les origines des VPC réduisent la charge opérationnelle requise pour sécuriser la connectivité entre les origines CloudFront et les origines. Vous pouvez déplacer vos origines vers des sous-réseaux privés sans accès public, et vous n'avez pas à implémenter de listes de contrôle d'accès (ACLs) ou d'autres mécanismes pour restreindre l'accès à vos origines. Ainsi, vous n'avez pas à investir dans un travail de développement indifférencié pour sécuriser vos applications Web. CloudFront

  • Évolutivité et performances : les origines du VPC vous aident à sécuriser vos applications Web, vous libérant ainsi du temps pour vous concentrer sur le développement de vos applications professionnelles critiques tout en améliorant la sécurité et en maintenant des performances élevées et une évolutivité mondiale grâce à. CloudFront Les origines du VPC rationalisent la gestion de la sécurité et réduisent la complexité opérationnelle afin que vous puissiez l'utiliser CloudFront comme point d'entrée unique pour vos applications.

Prérequis

Avant de créer une origine VPC pour votre CloudFront distribution, vous devez effectuer les opérations suivantes :

  • Créez un cloud privé virtuel (VPC) sur Amazon VPC.

    • Votre VPC doit se trouver dans le même emplacement Compte AWS que votre CloudFront distribution.

    • Votre VPC doit se trouver dans l'un des modèles pris en charge pour Régions AWS les origines de VPC. Pour de plus amples informations, veuillez consulter Pris en charge Régions AWS pour les origines de VPC.

    • Le réseau ACLs associé à vos sous-réseaux VPC s'applique au trafic de sortie (sortant) lorsque la préservation de l'adresse IP du client est activée sur l'origine de votre VPC. Toutefois, pour que le trafic soit autorisé à sortir via l'origine de votre VPC, vous devez configurer l'ACL en tant que règle entrante et sortante.

      Par exemple, pour permettre aux clients TCP et UDP utilisant un port source éphémère de se connecter à votre point de terminaison via l'origine de votre VPC, associez le sous-réseau de votre point de terminaison à une ACL réseau qui autorise le trafic sortant destiné à un port TCP ou UDP éphémère (plage de ports 1024 à 65535, destination 0.0.0.0/0). Créez également une règle entrante correspondante (plage de ports 1024 à 65535, source 0.0.0.0/0).

    Pour plus d'informations sur la création d'un VPC, consultez la section Créer un VPC ainsi que d'autres ressources VPC dans le guide de l'utilisateur Amazon VPC.

  • Incluez les éléments suivants dans votre VPC :

    • Passerelle Internet : vous devez ajouter une passerelle Internet au VPC qui contient les ressources d'origine de votre VPC. La passerelle Internet est requise pour indiquer que le VPC peut recevoir du trafic en provenance d'Internet. La passerelle Internet n'est pas utilisée pour acheminer le trafic vers les origines du sous-réseau, et il n'est pas nécessaire de mettre à jour les politiques de routage.

    • Sous-réseau privé avec au moins une IPv4 adresse disponible : CloudFront route vers votre sous-réseau à l'aide d'une interface ELASTIC (ENI) gérée par des services qui est CloudFront créée après avoir défini votre ressource d'origine VPC avec. CloudFront Vous devez disposer d'au moins une IPv4 adresse disponible dans votre sous-réseau privé pour que le processus de création d'ENI puisse réussir. L' IPv4 adresse peut être privée, sans frais supplémentaires.

      Note

      IPv6Les sous-réseaux -only ne sont pas pris en charge.

  • Dans le sous-réseau privé, lancez un Application Load Balancer, un Network Load Balancer EC2 ou une instance à utiliser comme origine.

    • La ressource que vous lancez doit être entièrement déployée et avoir le statut Actif avant de pouvoir l'utiliser pour une origine VPC.

    • Les équilibreurs de charge de passerelle, les équilibreurs de charge réseau à double pile et les équilibreurs de charge réseau dotés d'écouteurs TLS ne peuvent pas être ajoutés comme origines.

    • Pour être utilisé comme origine VPC, un Network Load Balancer doit être associé à un groupe de sécurité.

    • Mettez à jour vos groupes de sécurité pour les origines privées du VPC afin d'autoriser explicitement la liste de CloudFront préfixes gérés. Pour de plus amples informations, veuillez consulter Utiliser la liste de préfixes CloudFront gérée.

      • Une fois l'origine du VPC créée, le groupe de sécurité peut être davantage restreint pour autoriser uniquement le trafic provenant de vos origines VPC. Pour ce faire, mettez à jour la source de trafic autorisée depuis la liste des préfixes gérés vers le groupe CloudFront de sécurité.

      Note

      WebSockets, le trafic gRPC et la réécriture d'origine avec Lambda @Edge ne sont CloudFront pas pris en charge pour les origines VPC. Pour plus d'informations, consultez Travailler avec les demandes et les réponses la documentation Lambda @Edge.

Création d'une origine VPC (nouvelle distribution)

La procédure suivante explique comment créer une origine VPC pour votre nouvelle CloudFront distribution dans la CloudFront console. Vous pouvez également utiliser les opérations d'CreateDistributionAPI CreateVpcOriginet avec le AWS CLI ou un AWS SDK.

Pour créer une origine VPC pour une nouvelle distribution CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez les origines du VPC, puis Créez l'origine du VPC.

  3. Renseignez les champs obligatoires. Pour Origin ARN, sélectionnez l'ARN de votre Application Load Balancer, Network Load Balancer ou instance. EC2 Si vous ne voyez pas l'ARN, vous pouvez copier l'ARN de votre ressource spécifique et le coller ici à la place.

  4. Choisissez Create VPC origin.

  5. Attendez que le statut d'origine de votre VPC passe à Déployé. Cela peut prendre jusqu'à 15 minutes.

  6. Choisissez Distributions, puis Créer une distribution.

  7. Pour le domaine Origin, sélectionnez la ressource d'origine de votre VPC dans la liste déroulante.

    Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

  8. Terminez la création de votre distribution. Pour de plus amples informations, veuillez consulter Création d'une CloudFront distribution dans la console.

Création d'une origine VPC (distribution existante)

La procédure suivante explique comment créer une origine VPC pour votre CloudFront distribution existante dans la CloudFront console, afin de garantir la disponibilité continue de vos applications. Vous pouvez également utiliser les opérations d'UpdateDistributionWithStagingConfigAPI CreateVpcOriginet avec le AWS CLI ou un AWS SDK.

Vous pouvez éventuellement choisir d'ajouter l'origine de votre VPC à votre distribution existante sans créer de distribution intermédiaire.

Pour créer une origine VPC pour votre distribution existante CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez les origines du VPC, puis Créez l'origine du VPC.

  3. Renseignez les champs obligatoires. Pour Origin ARN, sélectionnez l'ARN de votre Application Load Balancer, Network Load Balancer ou instance. EC2 Si vous ne voyez pas l'ARN, vous pouvez copier l'ARN de votre ressource spécifique et le coller ici à la place.

  4. Choisissez Create VPC origin.

  5. Attendez que le statut d'origine de votre VPC passe à Déployé. Cela peut prendre jusqu'à 15 minutes.

  6. Dans le volet de navigation, sélectionnez Distributions.

  7. Choisissez l'identifiant de votre distribution.

  8. Dans l'onglet Général, sous Déploiement continu, choisissez Créer une distribution intermédiaire. Pour de plus amples informations, veuillez consulter Utilisez le déploiement CloudFront continu pour tester en toute sécurité les modifications de configuration du CDN.

  9. Suivez les étapes de l'assistant de création d'une distribution intermédiaire pour créer une distribution intermédiaire. Incluez les étapes suivantes :

    • Pour Origins, choisissez Create origin.

    • Pour le domaine Origin, sélectionnez la ressource d'origine de votre VPC dans le menu déroulant.

      Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

    • Choisissez Create origin (Créer une origine).

  10. Dans votre distribution intermédiaire, testez l'origine du VPC.

  11. Faites passer la configuration de distribution intermédiaire à votre distribution principale. Pour de plus amples informations, veuillez consulter Promouvoir une configuration de distribution intermédiaire.

  12. Supprimez l'accès public à l'origine de votre VPC en rendant le sous-réseau privé. Une fois cela fait, l'origine du VPC ne sera plus détectable sur Internet, mais CloudFront vous aurez toujours un accès privé à celui-ci. Pour plus d'informations, consultez Associer ou dissocier un sous-réseau à une table de routage dans le guide de l'utilisateur Amazon VPC.

Mettre à jour une origine VPC

La procédure suivante explique comment mettre à jour une origine VPC pour votre CloudFront distribution dans la CloudFront console. Vous pouvez également utiliser les opérations d'UpdateVpcOriginAPI UpdateDistributionet avec le AWS CLI ou un AWS SDK.

Pour mettre à jour une origine VPC existante pour votre distribution CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, sélectionnez Distributions.

  3. Choisissez l'identifiant de votre distribution.

  4. Choisissez l’onglet Comportements.

  5. Assurez-vous que l'origine du VPC n'est pas l'origine par défaut de votre comportement de cache.

  6. Choisissez l’onglet Origines.

  7. Sélectionnez l'origine du VPC que vous allez mettre à jour et choisissez Supprimer. Cela dissocie l'origine du VPC de votre distribution. Répétez les étapes 2 à 7 pour dissocier l'origine du VPC de toute autre distribution.

  8. Choisissez les origines du VPC.

  9. Sélectionnez l'origine du VPC et choisissez Modifier.

  10. Effectuez vos mises à jour et choisissez Mettre à jour l'origine du VPC.

  11. Attendez que le statut d'origine de votre VPC passe à Déployé. Cela peut prendre jusqu'à 15 minutes.

  12. Dans le volet de navigation, sélectionnez Distributions.

  13. Choisissez l'identifiant de votre distribution.

  14. Choisissez l’onglet Origines.

  15. Choisissez Create origin (Créer une origine).

  16. Pour le domaine Origin, sélectionnez la ressource d'origine de votre VPC dans le menu déroulant.

    Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

  17. Choisissez Create origin (Créer une origine). Cela associe à nouveau l'origine du VPC à votre distribution. Répétez les étapes 12 à 17 pour associer l'origine VPC mise à jour à toute autre distribution.

Pris en charge Régions AWS pour les origines de VPC

Les origines VPC sont actuellement prises en charge dans la publicité suivante. Régions AWS Les exceptions relatives à la zone de disponibilité (AZ) sont notées.

Nom de la région Région
USA Est (Ohio) us-east-2
USA Est (Virginie du Nord) us-east-1 (except AZ use1-az3)
USA Ouest (Californie du Nord) us-west-1 (except AZ usw1-az2)
USA Ouest (Oregon) us-west-2
Afrique (Le Cap) af-south-1
Asie-Pacifique (Hong Kong) ap-east-1
Asie-Pacifique (Mumbai) ap-south-1
Asie-Pacifique (Hyderabad) ap-south-2
Asie-Pacifique (Jakarta) ap-southeast-3
Asie-Pacifique (Melbourne) ap-southeast-4
Asie-Pacifique (Osaka) ap-northeast-3
Asie-Pacifique (Singapour) ap-southeast-1
Asie-Pacifique (Sydney) ap-southeast-2
Asia Pacific (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asie-Pacifique (Séoul) ap-northeast-2 (except AZ apne2-az1)
Canada (Centre) ca-central-1 (except AZ cac1-az3)
Canada-Ouest (Calgary) ca-west-1
Europe (Francfort) eu-central-1
Europe (Irlande) eu-west-1
Europe (Londres) eu-west-2
Europe (Milan) eu-south-1
Europe (Paris) eu-west-3
Europe (Espagne) eu-south-2
Europe (Stockholm) eu-north-1
Europe (Zurich) eu-central-2
Israël (Tel Aviv) il-central-1
Moyen-Orient (Bahreïn) me-south-1
Moyen-Orient (EAU) me-central-1
Amérique du Sud (São Paulo) sa-east-1