Restriction de l’accès avec les origines de VPC - Amazon CloudFront
Conditions préalablesCréation d’une origine VPC (nouvelle distribution)Création d’une origine VPC (distribution existante)Mise à jour d’une origine VPCPris en charge Régions AWS pour les origines de VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restriction de l’accès avec les origines de VPC

Vous pouvez l'utiliser CloudFront pour diffuser du contenu à partir d'applications hébergées dans les sous-réseaux privés de votre cloud privé virtuel (VPC). Vous pouvez utiliser des équilibreurs de charge d'application (ALBs), des équilibreurs de charge réseau (NLBs) et des EC2 instances dans des sous-réseaux privés comme origines VPC.

Voici certaines raisons pour lesquelles vous pourriez choisir d’utiliser des origines VPC :

  • Sécurité : VPC Origins est conçu pour améliorer le niveau de sécurité de votre application en plaçant vos équilibreurs de charge et vos EC2 instances dans des sous-réseaux privés, constituant CloudFront ainsi un point d'entrée unique. Les demandes des utilisateurs sont CloudFront transmises aux origines du VPC via une connexion privée et sécurisée, ce qui renforce la sécurité de vos applications.

  • Gestion — Les origines des VPC réduisent la charge opérationnelle requise pour sécuriser la connectivité entre les origines CloudFront et les origines. Vous pouvez déplacer vos origines vers des sous-réseaux privés sans accès public, et vous n'avez pas à implémenter de listes de contrôle d'accès (ACLs) ou d'autres mécanismes pour restreindre l'accès à vos origines. Ainsi, vous n'avez pas à investir dans un travail de développement indifférencié pour sécuriser vos applications Web. CloudFront

  • Évolutivité et performances : les origines du VPC vous aident à sécuriser vos applications Web, vous libérant ainsi du temps pour vous concentrer sur le développement de vos applications professionnelles critiques tout en améliorant la sécurité et en maintenant des performances élevées et une évolutivité mondiale grâce à. CloudFront Les origines du VPC rationalisent la gestion de la sécurité et réduisent la complexité opérationnelle afin que vous puissiez l'utiliser CloudFront comme point d'entrée unique pour vos applications.

Astuce

CloudFront prend en charge le partage des origines des VPC entre eux Comptes AWS, qu'ils appartiennent ou non à votre organisation. Vous pouvez partager les origines des VPC depuis la CloudFront console ou utiliser AWS Resource Access Manager ()AWS RAM. Pour de plus amples informations, veuillez consulter Utilisation de ressources partagées dans CloudFront.

Conditions préalables

Avant de créer une origine VPC pour votre CloudFront distribution, vous devez effectuer les opérations suivantes :

  • Créer un cloud privé virtuel (VPC) sur Amazon VPC.

    • Votre VPC doit se trouver dans l'un des modèles pris en charge pour Régions AWS les origines de VPC. Pour de plus amples informations, veuillez consulter Pris en charge Régions AWS pour les origines de VPC.

    • Le réseau ACLs associé à vos sous-réseaux VPC s'applique au trafic de sortie (sortant) lorsque la préservation de l'adresse IP du client est activée sur l'origine de votre VPC. Toutefois, pour que le trafic soit autorisé à sortir via l’origine de votre VPC, vous devez configurer l’ACL en tant que règle entrante et sortante.

      Par exemple, pour permettre à des clients TCP et UDP utilisant un port source éphémère de se connecter à votre point de terminaison via votre origine VPC, associez le sous-réseau de votre point de terminaison à une ACL réseau qui autorise le trafic sortant à destination d’un port TCP ou UDP éphémère (plage 1024-65535, destination 0.0.0.0/0). Ajoutez également une règle entrante correspondante (plage de ports 1024-65535, source 0.0.0.0/0).

    Pour en savoir plus sur la création d’un VPC, consultez Créer un VPC et d’autres ressources VPC dans le Guide de l’utilisateur Amazon VPC.

  • Incluez les éléments suivants dans votre VPC :

    • Passerelle Internet : vous devez ajouter une passerelle Internet au VPC qui contient vos ressources d’origine VPC. La passerelle Internet est nécessaire pour indiquer que le VPC peut recevoir du trafic provenant d’Internet. La passerelle Internet n’est pas utilisée pour acheminer le trafic vers les origines du sous-réseau, et il n’est pas nécessaire de mettre à jour les politiques de routage.

    • Sous-réseau privé avec au moins une IPv4 adresse disponible : CloudFront route vers votre sous-réseau à l'aide d'une interface ELASTIC (ENI) gérée par des services qui est CloudFront créée après avoir défini votre ressource d'origine VPC avec. CloudFront Vous devez disposer d'au moins une IPv4 adresse disponible dans votre sous-réseau privé pour que le processus de création d'ENI puisse réussir. L' IPv4 adresse peut être privée, sans frais supplémentaires.

      Note

      IPv6Les sous-réseaux -only ne sont pas pris en charge.

  • Dans le sous-réseau privé, lancez un Application Load Balancer, un Network Load Balancer EC2 ou une instance à utiliser comme origine.

    • La ressource que vous lancez doit être entièrement déployée et présenter l’état Actif avant de pouvoir être utilisée comme origine VPC.

    • Les Gateway Load Balancers, les Network Load Balancers à double pile et les Network Load Balancers dotés d’écouteurs TLS ne peuvent pas être ajoutés comme origines.

    • Pour être utilisé comme origine VPC, un Network Load Balancer doit être associé à un groupe de sécurité.

    • Mettez à jour vos groupes de sécurité pour les origines privées du VPC afin d'autoriser explicitement la liste de CloudFront préfixes gérés. Pour de plus amples informations, veuillez consulter Utiliser la liste de préfixes gérés par CloudFront.

      Note

      CloudFront-VPCOrigins-Service-SGest un nom AWS réservé pour les groupes de sécurité utilisés pour les origines des VPC. Vous devez spécifier un nom différent pour votre groupe de sécurité. Pour plus d’informations, consultez Création d’un groupe de sécurité.

      • Une fois l’origine VPC créée, le groupe de sécurité peut être davantage restreint pour autoriser uniquement le trafic provenant de vos origines VPC. Pour ce faire, mettez à jour la source de trafic autorisée depuis la liste des préfixes gérés vers le groupe CloudFront de sécurité.

      Note

      WebSockets, les déclencheurs de trafic gRPC, de demande d'origine et de réponse d'origine avec Lambda @Edge CloudFront ne sont pas pris en charge pour les origines VPC. Pour plus d’information, consultez Utilisation des demandes et des réponses dans la documentation Lambda@Edge.

Création d’une origine VPC (nouvelle distribution)

La procédure suivante explique comment créer une origine VPC pour votre nouvelle CloudFront distribution dans la CloudFront console. Vous pouvez également utiliser les opérations d'CreateDistributionAPI CreateVpcOriginet avec le AWS CLI ou un AWS SDK.

Pour créer une origine VPC pour une nouvelle distribution CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez les Origines du VPC, puis Créer une origine du VPC.

  3. Renseignez les champs obligatoires. Pour Origin ARN, sélectionnez l'ARN de votre Application Load Balancer, Network Load Balancer ou instance. EC2 Si l’ARN n’apparaît pas, copiez l’ARN de votre ressource et collez-le ici.

  4. Choisissez Créer une origine du VPC.

  5. Attendez que l’état de l’origine VPC passe à Déployé. Ce processus peut prendre jusqu’à 15 minutes.

  6. Choisissez Distributions, puis Créer une distribution.

  7. Pour Domaine de l’origine, sélectionnez la ressource de l’origine VPC dans la liste déroulante.

    Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

  8. Terminez la création de votre distribution. Pour de plus amples informations, veuillez consulter Création d'une CloudFront distribution dans la console.

Création d’une origine VPC (distribution existante)

La procédure suivante explique comment créer une origine VPC pour votre CloudFront distribution existante dans la CloudFront console, afin de garantir la disponibilité continue de vos applications. Vous pouvez également utiliser les opérations d'UpdateDistributionWithStagingConfigAPI CreateVpcOriginet avec le AWS CLI ou un AWS SDK.

Vous pouvez éventuellement choisir d’ajouter l’origine VPC à votre distribution existante sans créer de distribution intermédiaire.

Pour créer une origine VPC pour votre distribution existante CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Choisissez les Origines du VPC, puis Créer une origine du VPC.

  3. Renseignez les champs obligatoires. Pour Origin ARN, sélectionnez l'ARN de votre Application Load Balancer, Network Load Balancer ou instance. EC2 Si l’ARN n’apparaît pas, copiez l’ARN de votre ressource et collez-le ici.

  4. Choisissez Créer une origine du VPC.

  5. Attendez que l’état de l’origine VPC passe à Déployé. Ce processus peut prendre jusqu’à 15 minutes.

  6. Dans le volet de navigation, sélectionnez Distributions.

  7. Choisissez l’ID de votre distribution.

  8. Dans l’onglet Questions d’ordre général, sous Déploiement continu, choisissez Créer une distribution intermédiaire. Pour de plus amples informations, veuillez consulter Utilisez le déploiement CloudFront continu pour tester en toute sécurité les modifications de configuration du CDN.

  9. Suivez les étapes de l’assistant indiquées dans Créer une distribution intermédiaire pour créer une distribution intermédiaire. Effectuez les étapes suivantes :

    • Pour Origines, choisissez Créer une origine.

    • Pour Domaine de l’origine, sélectionnez la ressource de votre origine VPC dans le menu déroulant.

      Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

    • Choisissez Create origin (Créer une origine).

  10. Dans votre distribution intermédiaire, testez l’origine VPC.

  11. Faites passer la configuration de distribution intermédiaire à votre distribution principale. Pour de plus amples informations, veuillez consulter Promouvoir la configuration d’une distribution intermédiaire.

  12. Supprimez l’accès public à votre origine VPC en rendant le sous-réseau privé. Une fois cela fait, l'origine du VPC ne sera plus détectable sur Internet, mais CloudFront vous aurez toujours un accès privé à celui-ci. Pour plus d’informations, consultez Associer ou dissocier un sous-réseau à une table de routage dans le Guide de l’utilisateur Amazon VPC.

Mise à jour d’une origine VPC

La procédure suivante explique comment mettre à jour une origine VPC pour votre CloudFront distribution dans la CloudFront console. Vous pouvez également utiliser les opérations d'UpdateVpcOriginAPI UpdateDistributionet avec le AWS CLI ou un AWS SDK.

Pour mettre à jour une origine VPC existante pour votre distribution CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, sélectionnez Distributions.

  3. Choisissez l’ID de votre distribution.

  4. Choisissez l’onglet Comportements.

  5. Assurez-vous que l’origine VPC n’est pas l’origine par défaut de votre comportement de cache.

  6. Choisissez l’onglet Origines.

  7. Sélectionnez l’origine VPC que vous souhaitez mettre à jour et choisissez Supprimer. Cette opération dissocie l’origine VPC de votre distribution. Répétez les étapes 2 à 7 pour dissocier l’origine VPC de toute autre distribution.

  8. Choisissez Origines du VPC.

  9. Sélectionnez l’origine VPC et choisissez Modifier.

  10. Effectuez vos mises à jour et choisissez Mettre à jour l’origine du VPC.

  11. Attendez que l’état de l’origine VPC passe à Déployé. Ce processus peut prendre jusqu’à 15 minutes.

  12. Dans le volet de navigation, sélectionnez Distributions.

  13. Choisissez l’ID de votre distribution.

  14. Choisissez l’onglet Origines.

  15. Choisissez Create origin (Créer une origine).

  16. Pour Domaine de l’origine, sélectionnez la ressource de votre origine VPC dans le menu déroulant.

    Si l'origine de votre VPC est une EC2 instance, copiez et collez le nom DNS IP privé de l'instance dans le champ Domaine d'origine.

  17. Choisissez Create origin (Créer une origine). Cette opération associe à nouveau l’origine VPC à votre distribution. Répétez les étapes 12 à 17 pour associer l’origine VPC mise à jour à toute autre distribution.

Pris en charge Régions AWS pour les origines de VPC

Les origines VPC sont actuellement prises en charge dans la publicité suivante. Régions AWS Les exceptions de zone de disponibilité (AZ) sont notées.

Nom de la région Région
USA Est (Ohio) us-east-2
USA Est (Virginie du Nord) us-east-1 (except AZ use1-az3)
USA Ouest (Californie du Nord) us-west-1 (except AZ usw1-az2)
USA Ouest (Oregon) us-west-2
Afrique (Le Cap) af-south-1
Asie-Pacifique (Hong Kong) ap-east-1
Asie-Pacifique (Mumbai) ap-south-1
Asie-Pacifique (Hyderabad) ap-south-2
Asie-Pacifique (Jakarta) ap-southeast-3
Asie-Pacifique (Melbourne) ap-southeast-4
Asie-Pacifique (Osaka) ap-northeast-3
Asie-Pacifique (Singapour) ap-southeast-1
Asie-Pacifique (Sydney) ap-southeast-2
Asia Pacific (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asie-Pacifique (Séoul) ap-northeast-2 (except AZ apne2-az1)
Canada (Centre) ca-central-1 (except AZ cac1-az3)
Canada-Ouest (Calgary) ca-west-1
Europe (Francfort) eu-central-1
Europe (Irlande) eu-west-1
Europe (Londres) eu-west-2
Europe (Milan) eu-south-1
Europe (Paris) eu-west-3
Europe (Espagne) eu-south-2
Europe (Stockholm) eu-north-1
Europe (Zurich) eu-central-2
Israël (Tel Aviv) il-central-1
Middle East (Bahrain) me-south-1
Moyen-Orient (EAU) me-central-1
Amérique du Sud (São Paulo) sa-east-1