Batasi akses dengan asal VPC - Amazon CloudFront
PrasyaratBuat asal VPC (distribusi baru)Buat asal VPC (distribusi yang ada)Perbarui asal VPCDidukung Wilayah AWS untuk asal VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi akses dengan asal VPC

Anda dapat menggunakannya CloudFront untuk mengirimkan konten dari aplikasi yang di-host di subnet pribadi virtual private cloud (VPC) Anda. Anda dapat menggunakan Application Load Balancers (ALB), Network Load Balancers (NLBs), dan instans EC2 di subnet pribadi sebagai asal VPC.

Berikut adalah beberapa alasan mengapa Anda mungkin ingin menggunakan asal VPC:

  • Keamanan - Asal VPC dirancang untuk meningkatkan postur keamanan aplikasi Anda dengan menempatkan penyeimbang beban dan instans EC2 Anda di subnet pribadi, menjadikan titik masuk tunggal. CloudFront Permintaan pengguna beralih dari CloudFront ke asal VPC melalui koneksi pribadi dan aman, memberikan keamanan tambahan untuk aplikasi Anda.

  • Manajemen — Asal VPC mengurangi overhead operasional yang diperlukan untuk konektivitas yang aman antara CloudFront dan asal. Anda dapat memindahkan asal Anda ke subnet pribadi tanpa akses publik, dan Anda tidak perlu menerapkan daftar kontrol akses (ACLs) atau mekanisme lain untuk membatasi akses ke asal Anda. Dengan cara ini, Anda tidak perlu berinvestasi dalam pekerjaan pengembangan yang tidak terdiferensiasi untuk mengamankan aplikasi web Anda. CloudFront

  • Skalabilitas dan kinerja - Asal VPC membantu Anda mengamankan aplikasi web Anda, membebaskan waktu untuk fokus pada pengembangan aplikasi bisnis penting Anda sambil meningkatkan keamanan dan mempertahankan kinerja tinggi dan skalabilitas global dengan. CloudFront Asal VPC merampingkan manajemen keamanan dan mengurangi kompleksitas operasional sehingga Anda dapat menggunakannya CloudFront sebagai titik masuk tunggal untuk aplikasi Anda.

Tip

CloudFront mendukung berbagi asal-usul VPC di seluruh Akun AWS, apakah mereka berada di organisasi Anda atau tidak. Anda dapat membagikan asal VPC dari CloudFront konsol atau menggunakan AWS Resource Access Manager ()AWS RAM. Untuk informasi selengkapnya, lihat Bekerja dengan sumber daya bersama di CloudFront.

Prasyarat

Sebelum Anda membuat asal VPC untuk CloudFront distribusi Anda, Anda harus menyelesaikan yang berikut ini:

Konfigurasi VPC

Buat virtual private cloud (VPC) di Amazon VPC di salah satu Wilayah AWS yang didukung untuk asal VPC. Untuk informasi tentang membuat VPC, lihat Membuat VPC plus sumber daya VPC lainnya di Panduan Pengguna Amazon VPC. Untuk mengetahui daftar Wilayah yang didukung, lihat Didukung Wilayah AWS untuk asal VPC.

VPC Anda harus menyertakan hal-hal berikut:

  • Internet gateway — Anda perlu menambahkan gateway internet ke VPC yang memiliki sumber daya asal VPC Anda. Gateway internet diperlukan untuk menunjukkan bahwa VPC dapat menerima lalu lintas dari internet. Gateway internet tidak digunakan untuk merutekan lalu lintas ke asal di dalam subnet, dan Anda tidak perlu memperbarui kebijakan perutean.

  • Subnet pribadi dengan setidaknya satu IPv4 alamat yang tersedia — CloudFront rute ke subnet Anda dengan menggunakan service-managed elastic network interface (ENI) yang CloudFront dibuat setelah Anda menentukan sumber daya asal VPC Anda. CloudFront Anda harus memiliki setidaknya satu IPv4 alamat yang tersedia di subnet pribadi Anda sehingga proses pembuatan ENI dapat berhasil. IPv4 Alamatnya bisa pribadi, dan tidak ada biaya tambahan untuk itu. IPv6-hanya subnet tidak didukung.

Sumber Daya Asal

Di subnet pribadi, luncurkan Application Load Balancer, Network Load Balancer, atau instans EC2 untuk digunakan sebagai asal Anda. Sumber daya yang Anda luncurkan harus sepenuhnya digunakan dan dalam status Aktif sebelum Anda dapat menggunakannya untuk asal VPC.

Pembatasan asal:

  • Gateway Load Balancers tidak dapat ditambahkan sebagai asal

  • Dual-stack Network Load Balancers tidak dapat ditambahkan sebagai asal

  • Network Load Balancers dengan pendengar TLS tidak dapat ditambahkan sebagai asal

  • Untuk digunakan sebagai asal VPC, Network Load Balancer harus memiliki grup keamanan yang melekat padanya

Konfigurasi Grup Keamanan

Sumber daya asal VPC Anda (Application Load Balancer, Network Load Balancer, atau instans EC2) harus memiliki grup keamanan yang terpasang. Saat Anda membuat asal VPC, CloudFront secara otomatis membuat grup keamanan yang dikelola layanan dengan pola penamaan. CloudFront-VPCOrigins-Service-SG Grup keamanan ini sepenuhnya dikelola oleh AWS, dan tidak boleh diedit.

Untuk mengizinkan lalu lintas dari CloudFront untuk mencapai asal VPC Anda, perbarui grup keamanan yang dilampirkan ke sumber daya asal Anda (instans ALB, NLB, atau EC2) untuk mengizinkan lalu lintas masuk menggunakan salah satu metode berikut:

  • Opsi 1: Izinkan lalu lintas dari daftar awalan CloudFront terkelola. Untuk informasi selengkapnya, lihat Gunakan daftar awalan CloudFront terkelola. Ini dapat dilakukan sebelum asal VPC dibuat juga.

  • Opsi 2: Izinkan lalu lintas dari grup keamanan CloudFront yang dikelola layanan ()CloudFront-VPCOrigins-Service-SG. Ini dapat dilakukan hanya setelah asal VPC dibuat dan grup keamanan yang dikelola layanan dibuat. Konfigurasi ini lebih ketat karena membatasi lalu lintas hanya untuk distribusi Anda CloudFront .

penting

Jangan membuat grup keamanan Anda sendiri dengan nama yang dimulai denganCloudFront-VPCOrigins-Service-SG. Ini adalah pola penamaan yang AWS dicadangkan untuk grup keamanan yang dikelola layanan. Untuk informasi selengkapnya, lihat Membuat grup keamanan.

Pembatasan Protokol dan Fitur

Asal VPC tidak mendukung hal berikut:

  • WebSockets

  • lalu lintas gRPC

  • Permintaan asal dan respons asal dipicu dengan Lambda @Edge

Buat asal VPC (distribusi baru)

Prosedur berikut menunjukkan cara membuat asal VPC untuk CloudFront distribusi baru Anda di CloudFront konsol. Atau, Anda dapat menggunakan operasi CreateVpcOrigindan CreateDistributionAPI dengan AWS CLI atau AWS SDK.

Untuk membuat asal VPC untuk distribusi baru CloudFront

  1. Buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih asal VPC, Buat asal VPC.

  3. Isi bidang yang diperlukan. Untuk Origin ARN, pilih ARN Application Load Balancer, Network Load Balancer, atau instans EC2 Anda. Jika Anda tidak melihat ARN, Anda dapat menyalin ARN sumber daya spesifik Anda dan menempelkannya di sini.

  4. Pilih Buat asal VPC.

  5. Tunggu status asal VPC Anda berubah menjadi Deployed. Ini bisa memakan waktu hingga 15 menit.

  6. Pilih Distribusi, Buat distribusi.

  7. Untuk domain Origin, pilih sumber daya asal VPC Anda dari daftar tarik-turun.

    Jika asal VPC Anda adalah instans EC2, salin dan tempel nama DNS IP Pribadi instance ke bidang domain Origin.

  8. Selesai membuat distribusi Anda. Untuk informasi selengkapnya, lihat Buat CloudFront distribusi di konsol.

Buat asal VPC (distribusi yang ada)

Prosedur berikut menunjukkan kepada Anda cara membuat asal VPC untuk CloudFront distribusi yang ada di CloudFront konsol, yang membantu memastikan ketersediaan aplikasi Anda secara berkelanjutan. Atau, Anda dapat menggunakan operasi CreateVpcOrigindan UpdateDistributionWithStagingConfigAPI dengan AWS CLI atau AWS SDK.

Secara opsional, Anda dapat memilih untuk menambahkan asal VPC Anda ke distribusi yang ada tanpa membuat distribusi pementasan.

Untuk membuat asal VPC untuk distribusi yang ada CloudFront

  1. Buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih asal VPC, Buat asal VPC.

  3. Isi bidang yang diperlukan. Untuk Origin ARN, pilih ARN Application Load Balancer, Network Load Balancer, atau instans EC2 Anda. Jika Anda tidak melihat ARN, Anda dapat menyalin ARN sumber daya spesifik Anda dan menempelkannya di sini.

  4. Pilih Buat asal VPC.

  5. Tunggu status asal VPC Anda berubah menjadi Deployed. Ini bisa memakan waktu hingga 15 menit.

  6. Di panel navigasi, pilih Distribusi.

  7. Pilih ID distribusi Anda.

  8. Pada tab Umum, di bawah Penerapan berkelanjutan, pilih Buat distribusi pementasan. Untuk informasi selengkapnya, lihat Gunakan penerapan CloudFront berkelanjutan untuk menguji perubahan konfigurasi CDN dengan aman.

  9. Ikuti langkah-langkah di wizard Buat distribusi pementasan untuk membuat distribusi pementasan. Sertakan langkah-langkah berikut:

    • Untuk Origins, pilih Create Origin.

    • Untuk domain Origin, pilih sumber daya asal VPC Anda dari menu tarik-turun.

      Jika asal VPC Anda adalah instans EC2, salin dan tempel nama DNS IP Pribadi instance ke bidang domain Origin.

    • Pilih Buat asal.

  10. Dalam distribusi pementasan Anda, uji asal VPC.

  11. Promosikan konfigurasi distribusi pementasan ke distribusi utama Anda. Untuk informasi selengkapnya, lihat Promosikan konfigurasi distribusi pementasan.

  12. Hapus akses publik ke asal VPC Anda dengan membuat subnet pribadi. Setelah Anda melakukan ini, asal VPC tidak akan dapat ditemukan melalui internet, tetapi masih CloudFront akan memiliki akses pribadi ke sana. Untuk informasi selengkapnya, lihat Mengaitkan atau memisahkan subnet dengan tabel rute di Panduan Pengguna Amazon VPC.

Perbarui asal VPC

Prosedur berikut menunjukkan cara memperbarui asal VPC untuk CloudFront distribusi Anda di konsol. CloudFront Atau, Anda dapat menggunakan operasi UpdateDistributiondan UpdateVpcOriginAPI dengan AWS CLI atau AWS SDK.

Untuk memperbarui asal VPC yang ada untuk distribusi Anda CloudFront

  1. Buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Di panel navigasi, pilih Distribusi.

  3. Pilih ID distribusi Anda.

  4. Pilih Perilaku tab.

  5. Pastikan bahwa asal VPC bukan asal default untuk perilaku cache Anda.

  6. Pilih tab Origins.

  7. Pilih asal VPC yang akan Anda perbarui dan pilih Hapus. Ini memisahkan asal VPC dari distribusi Anda. Ulangi langkah 2-7 untuk memisahkan asal VPC dari distribusi lainnya.

  8. Pilih asal VPC.

  9. Pilih asal VPC dan pilih Edit.

  10. Buat pembaruan Anda dan pilih Perbarui asal VPC.

  11. Tunggu status asal VPC Anda berubah menjadi Deployed. Ini bisa memakan waktu hingga 15 menit.

  12. Di panel navigasi, pilih Distribusi.

  13. Pilih ID distribusi Anda.

  14. Pilih tab Origins.

  15. Pilih Buat asal.

  16. Untuk domain Origin, pilih sumber daya asal VPC Anda dari menu tarik-turun.

    Jika asal VPC Anda adalah instans EC2, salin dan tempel nama DNS IP Pribadi instance ke bidang domain Origin.

  17. Pilih Buat asal. Ini mengaitkan asal VPC dengan distribusi Anda lagi. Ulangi langkah 12-17 untuk mengaitkan asal VPC yang diperbarui dengan distribusi lainnya.

Didukung Wilayah AWS untuk asal VPC

Asal VPC saat ini didukung dalam iklan berikut. Wilayah AWS Pengecualian Availability Zone (AZ) dicatat.

Nama Wilayah Wilayah
AS Timur (Ohio) us-east-2
AS Timur (Virginia Utara) us-east-1 (except AZ use1-az3)
AS Barat (California Utara) us-west-1 (except AZ usw1-az2)
AS Barat (Oregon) us-west-2
Afrika (Cape Town) af-south-1
Asia Pasifik (Hong Kong) ap-east-1
Asia Pasifik (Mumbai) ap-south-1
Asia Pasifik (Hyderabad) ap-south-2
Asia Pasifik (Jakarta) ap-southeast-3
Asia Pacific (Melbourne) ap-southeast-4
Asia Pasifik (Osaka) ap-northeast-3
Asia Pasifik (Singapura) ap-southeast-1
Asia Pasifik (Sydney) ap-southeast-2
Asia Pasifik (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asia Pasifik (Seoul) ap-northeast-2 (except AZ apne2-az1)
Asia Pasifik (Thailand) ap-southeast-7
Asia Pasifik (Malaysia) ap-southeast-5
Asia Pasifik (Taipei) ap-east-2
Kanada (Pusat) ca-central-1 (except AZ cac1-az3)
Kanada Barat (Calgary) ca-west-1
Eropa (Frankfurt) eu-central-1
Eropa (Irlandia) eu-west-1
Eropa (London) eu-west-2
Eropa (Milan) eu-south-1
Eropa (Paris) eu-west-3
Eropa (Spanyol) eu-south-2
Eropa (Stockholm) eu-north-1
Eropa (Zürich) eu-central-2
Israel (Tel Aviv) il-central-1
Timur Tengah (Bahrain) me-south-1
Timur Tengah (UEA) me-central-1
Amerika Selatan (Sao Paulo) sa-east-1
Meksiko (Tengah) mx-central-1