Limitazione dell’accesso con VPC Origins - Amazon CloudFront
PrerequisitiCreazione di un’origine VPC (nuova distribuzione)Creazione di un’origine VPC (distribuzione esistente)Aggiornamento di un’origine VPCSupportato Regioni AWS per le origini VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazione dell’accesso con VPC Origins

È possibile CloudFront utilizzarlo per distribuire contenuti da applicazioni ospitate nelle sottoreti private del cloud privato virtuale (VPC). Puoi utilizzare Application Load Balancers (ALBs), Network Load Balancers (NLBs) e EC2 istanze in sottoreti private come origini VPC.

Di seguito sono riportati alcuni motivi per cui è possibile utilizzare VPC Origins:

  • Sicurezza: VPC Origins è progettato per migliorare il livello di sicurezza dell'applicazione posizionando i sistemi di bilanciamento del carico e EC2 le istanze in sottoreti private, creando un unico punto di accesso. CloudFront Le richieste degli utenti passano dalle CloudFront origini del VPC tramite una connessione privata e sicura, che fornisce una sicurezza aggiuntiva per le tue applicazioni.

  • Gestione: le origini VPC riducono il sovraccarico operativo richiesto per una connettività sicura tra e CloudFront origini. È possibile spostare le origini in sottoreti private senza accesso pubblico e non è necessario implementare liste di controllo degli accessi (ACLs) o altri meccanismi per limitare l'accesso alle origini. In questo modo, non è necessario investire in attività di sviluppo indifferenziate con cui proteggere le applicazioni web. CloudFront

  • Scalabilità e prestazioni: VPC Origins ti aiuta a proteggere le tue applicazioni web, liberando tempo per concentrarti sulla crescita delle tue applicazioni aziendali critiche, migliorando al contempo la sicurezza e mantenendo alte prestazioni e scalabilità globale con. CloudFront VPC Origins semplifica la gestione della sicurezza e riduce la complessità operativa in modo da poterlo utilizzare CloudFront come unico punto di accesso per le applicazioni.

Suggerimento

CloudFront supporta la condivisione delle origini VPC all'interno Account AWS dell'organizzazione o meno. Puoi condividere le origini del VPC dalla CloudFront console o utilizzare AWS Resource Access Manager ()AWS RAM. Per ulteriori informazioni, consulta Utilizzo di risorse condivise in CloudFront.

Prerequisiti

Prima di creare un'origine VPC per la tua CloudFront distribuzione, devi completare quanto segue:

  • Crea un cloud privato virtuale (VPC) su Amazon VPC.

    • Il tuo VPC deve trovarsi in uno dei formati Regioni AWS supportati per le origini VPC. Per ulteriori informazioni, consulta Supportato Regioni AWS per le origini VPC.

    • La rete ACLs associata alle sottoreti VPC si applica al traffico in uscita (in uscita) quando la conservazione dell'indirizzo IP del client è abilitata sull'origine del VPC. Tuttavia, affinché il traffico possa uscire attraverso l’origine VPC, è necessario configurare l’ACL come regola sia in entrata che in uscita.

      Ad esempio, per consentire ai client TCP e UDP che utilizzano una porta di origine temporanea di connettersi all’endpoint tramite l’origine VPC, associa la sottorete dell’endpoint a una lista di controllo degli accessi alla rete (ACL) che consenta il traffico in uscita destinato a una porta TCP o UDP temporanea (intervallo di porte 1024-65535, destinazione 0.0.0.0/0). Inoltre, crea una regola in entrata corrispondente (intervallo di porte 1024-65535, origine 0.0.0.0/0).

    Per informazioni sulla creazione di un VPC, consulta Creazione di un VPC e altre risorse VPC nella Guida per l’utente di Amazon VPC.

  • Includi quanto segue nel VPC:

    • Gateway Internet: devi aggiungere un gateway Internet al VPC che contiene le risorse di origine VPC. Il gateway Internet è necessario per indicare che il VPC può ricevere traffico da Internet. Il gateway Internet non viene utilizzato per instradare il traffico verso le origini all’interno della sottorete e non è necessario aggiornare le policy di instradamento.

    • Sottorete privata con almeno un IPv4 indirizzo disponibile: effettua il CloudFront routing verso la sottorete utilizzando un'interfaccia di rete elastica (ENI) gestita dai servizi che CloudFront viene creata dopo aver definito la risorsa di origine VPC con. CloudFront È necessario disporre di almeno un IPv4 indirizzo disponibile nella sottorete privata in modo che il processo di creazione dell'ENI possa avere successo. L' IPv4 indirizzo può essere privato e non prevede costi aggiuntivi.

      Nota

      IPv6-solo le sottoreti non sono supportate.

  • Nella sottorete privata, avvia un Application Load Balancer, un Network Load Balancer EC2 o un'istanza da usare come origine.

    • La risorsa avviata deve essere completamente distribuita e in stato Attivo prima di poterla utilizzare per un’origine VPC.

    • I Gateway Load Balancer, i Network Load Balancer dual-stack e i Network Load Balancer con listener TLS non possono essere aggiunti come origini.

    • Per essere utilizzato come un’origine VPC, un Network Load Balancer deve disporre di un gruppo di sicurezza collegato.

    • Aggiorna i tuoi gruppi di sicurezza per le origini private del VPC per consentire esplicitamente l'elenco dei prefissi CloudFront gestiti. Per ulteriori informazioni, consulta Utilizza l'elenco di prefissi gestiti CloudFront.

      Nota

      CloudFront-VPCOrigins-Service-SGè un nome AWS riservato per i gruppi di sicurezza utilizzati per le origini VPC. È necessario specificare un nome diverso per il gruppo di sicurezza. Per ulteriori informazioni, consulta Creazione di un gruppo di sicurezza.

      • Dopo aver creato l’origine VPC, puoi limitare ulteriormente il gruppo di sicurezza per consentire solo il traffico da VPC Origins. A tale scopo, aggiorna la fonte di traffico consentita dall'elenco dei prefissi gestiti al gruppo di CloudFront sicurezza.

      Nota

      WebSockets, il traffico gRPC, la richiesta di origine e i trigger di risposta all'origine con Lambda @Edge in CloudFront non sono supportati per le origini VPC. Per ulteriori informazioni, consulta Utilizzo di richieste e risposte nella documentazione di Lambda@Edge.

Creazione di un’origine VPC (nuova distribuzione)

La procedura seguente mostra come creare un'origine VPC per la nuova CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine CreateDistributionAPI con AWS CLI o un AWS SDK.

Per creare un'origine VPC per una nuova distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli VPC Origins, Crea origine VPC.

  3. Compila i campi obbligatori. Per Origin ARN, seleziona l'ARN dell'Application Load Balancer, Network Load Balancer o dell'istanza. EC2 Se non vedi l’ARN, puoi copiare l’ARN specifico della risorsa e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  6. Scegli Distribuzioni, Crea distribuzione.

  7. Per Dominio origine, seleziona la risorsa VPC Origins dall’elenco a discesa.

    Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

  8. Completa la creazione della distribuzione. Per ulteriori informazioni, consulta Crea una CloudFront distribuzione nella console.

Creazione di un’origine VPC (distribuzione esistente)

La procedura seguente mostra come creare un'origine VPC per la CloudFront distribuzione esistente nella CloudFront console, che aiuta a garantire la disponibilità continua delle applicazioni. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine UpdateDistributionWithStagingConfigAPI con AWS CLI o un AWS SDK.

Facoltativamente, puoi scegliere di aggiungere l’origine VPC alla distribuzione esistente senza creare una distribuzione temporanea.

Per creare un'origine VPC per la distribuzione esistente CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli VPC Origins, Crea origine VPC.

  3. Compila i campi obbligatori. Per Origin ARN, seleziona l'ARN dell'Application Load Balancer, Network Load Balancer o dell'istanza. EC2 Se non vedi l’ARN, puoi copiare l’ARN specifico della risorsa e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  6. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  7. Scegli l’ID della distribuzione.

  8. Nella scheda Generale, in Implementazione continua, scegli Crea distribuzione di gestione temporanea. Per ulteriori informazioni, consulta Utilizza la distribuzione CloudFront continua per testare in sicurezza le modifiche alla configurazione CDN.

  9. Segui le fasi della procedura guidata Creazione distribuzione di gestione temporanea per creare una distribuzione temporanea. Includi le fasi seguenti:

    • Per Origini, scegli Crea origine.

    • Per Dominio origine, seleziona la risorsa VPC Origins dal menu a discesa.

      Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

    • Scegli Create Origin (Crea origine).

  10. Nella distribuzione temporanea, verifica l’origine VPC.

  11. Promuovi la configurazione della distribuzione temporanea nella distribuzione primaria. Per ulteriori informazioni, consulta Promozione di una configurazione di distribuzione temporanea.

  12. Rimuovi l’accesso pubblico all’origine VPC rendendo privata la sottorete. Dopo aver eseguito questa operazione, l'origine del VPC non sarà più individuabile su Internet, ma CloudFront avrà comunque accesso privato ad essa. Per ulteriori informazioni, consulta Associare o dissociare una sottorete con una tabella di routing nella Guida per l’utente di Amazon VPC.

Aggiornamento di un’origine VPC

La procedura seguente mostra come aggiornare un'origine VPC per la CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni UpdateDistributione UpdateVpcOriginAPI con AWS CLI o un AWS SDK.

Per aggiornare un'origine VPC esistente per la tua distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  3. Scegli l’ID della distribuzione.

  4. Scegli la scheda Behaviors (Comportamenti).

  5. Assicurati che l’origine VPC non sia l’origine predefinita per il comportamento cache.

  6. Seleziona la scheda Origins (Origini).

  7. Seleziona l’origine VPC che intendi aggiornare e scegli Elimina. L’origine VPC viene dissociata dalla distribuzione. Ripeti i passaggi da 2 a 7 per dissociare l’origine VPC da qualsiasi altra distribuzione.

  8. Scegli VPC Origins.

  9. Seleziona l’origine VPC e scegli Modifica.

  10. Effettua gli aggiornamenti e scegli Aggiorna origine VPC.

  11. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  12. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  13. Scegli l’ID della distribuzione.

  14. Seleziona la scheda Origins (Origini).

  15. Scegli Create Origin (Crea origine).

  16. Per Dominio origine, seleziona la risorsa VPC Origins dal menu a discesa.

    Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

  17. Scegli Create Origin (Crea origine). L’origine VPC viene nuovamente associata alla distribuzione. Ripeti i passaggi da 12 a 17 per associare l’origine VPC aggiornata a qualsiasi altra distribuzione.

Supportato Regioni AWS per le origini VPC

Le origini VPC sono attualmente supportate nelle seguenti pubblicità. Regioni AWS Sono indicate le eccezioni relative alla zona di disponibilità (AZ).

Nome della regione Regione
Stati Uniti orientali (Ohio) us-east-2
Stati Uniti orientali (Virginia settentrionale) us-east-1 (except AZ use1-az3)
Stati Uniti occidentali (California settentrionale) us-west-1 (except AZ usw1-az2)
Stati Uniti occidentali (Oregon) us-west-2
Africa (Città del Capo) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Hyderabad) ap-south-2
Asia Pacifico (Giacarta) ap-southeast-3
Asia Pacifico (Melbourne) ap-southeast-4
Asia Pacifico (Osaka) ap-northeast-3
Asia Pacifico (Singapore) ap-southeast-1
Asia Pacifico (Sydney) ap-southeast-2
Asia Pacifico (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asia Pacifico (Seoul) ap-northeast-2 (except AZ apne2-az1)
Canada (Centrale) ca-central-1 (except AZ cac1-az3)
Canada occidentale (Calgary) ca-west-1
Europa (Francoforte) eu-central-1
Europa (Irlanda) eu-west-1
Europe (Londra) eu-west-2
Europa (Milano) eu-south-1
Europa (Parigi) eu-west-3
Europa (Spagna) eu-south-2
Europa (Stoccolma) eu-north-1
Europa (Zurigo) eu-central-2
Israele (Tel Aviv) il-central-1
Medio Oriente (Bahrein) me-south-1
Medio Oriente (Emirati Arabi Uniti) me-central-1
Sud America (San Paolo) sa-east-1