Utilisation de ressources partagées dans CloudFront - Amazon CloudFront
Conditions préalables au partage des ressourcesPartage d'une origine VPCUtilisation d'une origine VPC partagéeIdentification d'une origine de VPC partagéeAnnulation du partage d'une origine VPC partagéeResponsabilités et autorisations relatives aux origines de VPC partagéesFacturation et mesuresQuotas de ressources partagées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de ressources partagées dans CloudFront

Amazon CloudFront s'intègre à AWS Resource Access Manager (AWS RAM) pour permettre le partage des ressources. AWS RAM vous permet de partager certaines CloudFront ressources avec d'autres personnes Comptes AWS ou par le biais de AWS Organizations. Avec AWS RAM, vous pouvez partager des ressources dont vous êtes propriétaire en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Les consommateurs peuvent être :

  • Spécifique Comptes AWS à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations

  • Une unité organisationnelle au sein de son organisation dans AWS Organizations

  • Toute son organisation en AWS Organizations

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Cette rubrique explique comment partager des ressources dont vous êtes propriétaire et comment utiliser les ressources partagées avec vous.

Conditions préalables au partage des ressources

  • Vous devez disposer de la politique AWSRAMDefaultPermissionCloudFront gérée pour accorder un accès en lecture seule au partage de ressources. Pour de plus amples informations, veuillez consulter AWSRAMDefaultPermissionCloudFront.

  • Pour partager une origine VPC, vous devez la posséder dans votre. Compte AWS Cela signifie que la ressource doit être allouée ou provisionnée dans votre compte. Vous ne pouvez pas partager une ressource qui a été partagée avec vous.

  • Pour partager une ressource avec votre organisation ou une unité organisationnelle dans AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

Partage d'une origine VPC

Note

Actuellement, CloudFront prend en charge le partage des origines des VPC. Si vous n'en avez pas encore créé un, consultezRestriction de l’accès avec les origines de VPC.

Lorsque vous partagez une origine VPC que vous possédez avec d'autres utilisateurs Comptes AWS, vous leur permettez d'utiliser cette ressource comme origine pour leurs CloudFront distributions.

Pour partager une origine VPC, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une ressource AWS RAM qui vous permet de partager vos ressources entre des Comptes AWS.

Un partage de ressources définit les éléments suivants :

  • Les ressources que vous souhaitez partager

  • Les consommateurs avec lesquels ils sont partagés

  • La politique gérée du service qui détermine les autorisations d'accès aux ressources

Lorsque vous partagez une origine VPC à l'aide de la CloudFront console, vous l'ajoutez à un partage de ressources existant. Si vous n'avez pas encore de partage de ressources, vous pouvez en créer un lorsque vous partagez une origine VPC depuis la CloudFront console. Vous pouvez également utiliser la AWS RAM console ou AWS CLI en créer une séparément.

Vous pouvez partager les origines des VPC avec d'autres Comptes AWS et. AWS Organizations

  • Si vous partagez la ressource avec une AWS organisation, tous les consommateurs de cette organisation spécifique sont autorisés à accéder à l'origine du VPC.

  • Si vous partagez la ressource avec une organisation Compte AWS ou une organisation dont vous ne faites pas partie, les consommateurs recevront une invitation à accepter le partage de ressources. Une fois acceptés, ils peuvent utiliser l'origine du VPC.

Vous pouvez partager une origine VPC dont vous êtes propriétaire à l'aide de la CloudFront console, de la AWS RAM console ou du. AWS CLI

Pour créer un partage de ressources à l'aide de la CloudFront console

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, choisissez les origines du VPC.

  3. Sélectionnez une ou plusieurs ressources et choisissez Partager l'origine du VPC.

  4. Choisissez Créer une ressource.

  5. Dans Nom, entrez le nom du partage de ressources.

  6. Pour Type principal, sélectionnez l'une des options suivantes :

    • Compte AWS— Accordez l'accès à un élément spécifique Compte AWS.

    • Unité organisationnelle : accordez l'accès à une unité organisationnelle (UO) spécifique.

    • Organisation : accordez l'accès à l'ensemble de votre organisation, y compris ses enfants OUs et Comptes AWS.

    1. Si vous le souhaitez Compte AWS, entrez le numéro d'identification du compte. Vous pouvez choisir Ajouter un nouveau compte pour en ajouter jusqu'à 5 Comptes AWS.

    2. Si vous avez choisi Unité organisationnelle, entrez l'ARN de l'unité UO. Vous ne pouvez saisir qu'une seule UO.

    3. Si vous avez choisi Organisation, entrez l'ARN de l'organisation. Vous ne pouvez saisir qu'une seule organisation.

  7. Choisissez Partager les ressources.

    Par défaut, CloudFront applique la politique AWSRAMDefaultPermissionCloudFront AWS gérée au partage de ressources. Cette politique autorise les actions en lecture seule sur le partage de ressources, de sorte que les comptes consommateurs ne peuvent ni mettre à jour ni supprimer la ressource partagée. Vous ne pouvez pas modifier ou supprimer cette politique du partage de ressources.

    Astuce

    Après avoir créé le partage de ressources, vous pouvez en ajouter Comptes AWS d'autres depuis la AWS RAM console. Pour plus d'informations, voir Mettre à jour un partage de ressources dans la AWS RAM dans le Guide de AWS RAM l'utilisateur.

Pour partager une origine VPC dont vous êtes propriétaire à l'aide de la console CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, choisissez les origines du VPC.

  3. Sélectionnez une ressource et choisissez Partager l'origine du VPC.

  4. Sur la page Partager l'origine du VPC, vous pouvez sélectionner un partage de ressources existant auquel vous souhaitez ajouter cette origine du VPC.

  5. Choisissez Partager la ressource.

    Sur la page détaillée de la ressource, sous Partagé avec, vous pouvez voir que l'origine de votre VPC est partagée avec les informations suivantes :

    • Noms des partages de ressources

    • État du partage

    • Date de dernière modification

Une fois que vous avez créé et partagé le partage de ressources avec les comptes utilisateurs, ceux-ci ont 12 heures pour accepter l'invitation. Pour plus d'informations, voir Accepter et rejeter des invitations à partager des ressources dans le Guide de l'AWS RAM utilisateur.

Important

Pour permettre aux comptes consommateurs d'utiliser l'origine de votre VPC pour leur CloudFront distribution, vous devez également leur indiquer le point de terminaison ELB ou Amazon de l'origine du VPC. EC2

Pour partager une origine VPC dont vous êtes propriétaire à l'aide de la console AWS RAM

Créez un partage de ressources, puis choisissez les CloudFront ressources que vous souhaitez y ajouter. Pour plus d'informations, consultez la section Création d'un partage de ressources dans le guide de AWS RAM l'utilisateur.

Pour partager l'origine d'un VPC dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la commande create-resource-share.

Utilisation d'une origine VPC partagée

Pour utiliser une origine VPC partagée, le compte qui reçoit l'invitation doit accepter le partage de ressources. Vous pouvez le faire en accédant à la AWS Resource Access Manager console dans la région USA Est (Virginie du Nord) et en acceptant toutes les demandes en attente dans l'onglet En attente. Pour plus d'informations, consultez la section Acceptation des ressources partagées dans le guide de AWS RAM l'utilisateur.

Une fois que vous avez accepté le partage de ressources, vous pouvez utiliser l'origine du VPC comme origine pour vos CloudFront distributions.

Pour utiliser une origine VPC partagée

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, pour Distributions, effectuez l'une des opérations suivantes :

    • Pour une nouvelle distribution, choisissez Créer une distribution.

    • Pour une distribution existante, choisissez l'ID de distribution.

  3. Pour le type d'origine, choisissez l'origine du VPC, puis spécifiez l'origine du VPC qui a été partagée avec vous.

  4. Pour le point de terminaison d'origine VPC, entrez le nom DNS privé de votre EC2 instance Amazon ou de votre équilibreur de charge ELB, ou du domaine d'origine. Si vous n'avez pas encore cette valeur, vous devez l'obtenir auprès du propriétaire de Compte AWS l'origine du VPC. Si vous ne possédez pas encore ce point de terminaison, vous pouvez l'obtenir auprès du Compte AWS propriétaire de l'origine du VPC.

  5. Suivez les autres étapes de la console pour créer ou mettre à jour votre distribution.

Identification d'une origine de VPC partagée

Les propriétaires et les consommateurs peuvent identifier les origines des VPC partagés à l'aide de la CloudFront console et. AWS CLI

Pour identifier l'origine d'un VPC partagé à l'aide de la console CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, choisissez les origines du VPC. Vous pouvez utiliser la colonne ID du propriétaire pour identifier la Compte AWS personne à laquelle appartient la ressource.

  3. Sélectionnez une ressource.

  4. Sur la page détaillée de la ressource, sous Partagé avec, vous pouvez voir que l'origine de votre VPC est partagée avec les informations suivantes :

    • Noms des partages de ressources

    • État du partage

    • Date de dernière modification

Annulation du partage d'une origine VPC partagée

Lorsque vous annulez le partage d'une ressource, les Comptes AWS (comptes consommateurs) ne peuvent plus utiliser cette ressource pour de nouvelles distributions ou mettre à jour des distributions existantes.

Note

Si vous annulez le partage d'une ressource, les distributions existantes qui utilisent toujours cette ressource restent actives et continueront à servir du trafic. Toutefois, ces distributions ne peuvent pas être modifiées tant que la ressource non partagée n'est pas supprimée en tant qu'origine. Nous vous recommandons de vous assurer que tous les comptes consommateurs cessent d'utiliser la ressource non partagée avant de l'annuler.

Pour annuler le partage d'une origine VPC partagée dont vous êtes propriétaire, vous devez la supprimer du partage de ressources. Vous pouvez le faire à l'aide de la CloudFront AWS RAM console, de la console ou du AWS CLI.

Pour annuler le partage d'une origine VPC partagée dont vous êtes propriétaire à l'aide de la console CloudFront

  1. Ouvrez la CloudFront console à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet de navigation, choisissez les origines du VPC.

  3. Sélectionnez une ressource et choisissez Annuler le partage.

  4. Vérifiez les détails dans la boîte de dialogue Annuler le partage de la ressource, puis choisissez Annuler le partage. Les personnes répertoriées n'auront plus accès à votre ressource partagée.

Pour annuler le partage d'une origine VPC partagée dont vous êtes propriétaire à l'aide de la console AWS RAM

Consultez Mise à jour d’un partage de ressources dans le Guide de l’utilisateur AWS RAM .

Pour annuler le partage d'une origine VPC partagée dont vous êtes le propriétaire à l'aide du AWS CLI

Utilisez la commande disassociate-resource-share.

Responsabilités et autorisations relatives aux origines de VPC partagées

Autorisations accordées aux propriétaires

En tant que compte propriétaire de la ressource, assurez-vous que tous les comptes consommateurs cessent d'utiliser la ressource avant de l'annuler ou de la supprimer.

Autorisations accordées aux consommateurs

Les comptes consommateurs peuvent utiliser des ressources partagées comme origine pour leurs CloudFront distributions, mais ils ne peuvent ni modifier ni supprimer les ressources. Par défaut, la politique AWSRAMDefaultPermissionCloudFront AWS gérée est appliquée au partage de ressources dans le compte de partage (le compte propriétaire de la ressource).

AWSRAMDefaultPermissionCloudFront

Lorsque vous créez un partage de ressources dans CloudFront, CloudFront utilise la politique AWSRAMDefaultPermissionCloudFront AWS gérée et l'applique à votre partage de ressources. Cette politique accorde des autorisations en lecture seule aux CloudFront ressources qui peuvent être partagées entre le propriétaire de la ressource et le compte consommateur.

Pour plus d'informations sur la gestion des autorisations dans AWS RAM, voir Gestion des autorisations AWS RAM dans le Guide de AWS Resource Access Manager l'utilisateur.

Facturation et mesures

Il n'y a aucun frais supplémentaire pour partager les origines d'un VPC avec d'autres. Comptes AWS Les coûts d'utilisation du trafic pour une distribution utilisant une origine VPC partagée seront répercutés sur le compte consommateur propriétaire de la distribution.

Quotas de ressources partagées

CloudFront utilise les mêmes quotas de partage de ressources que ceux spécifiés par AWS RAM. À partir de la CloudFront console, vous pouvez ajouter jusqu'à 5 Comptes AWS, 1 unité d'organisation ou 1 organisation. Pour en ajouter d'autres, utilisez la AWS RAM console ou AWS RAM l'API.

Pour plus d’informations, consultez Quotas de service pour AWS RAM dans le Guide de l’utilisateur AWS RAM .