Limita l'accesso con origini VPC - Amazon CloudFront
PrerequisitiCrea un'origine VPC (nuova distribuzione)Creare un'origine VPC (distribuzione esistente)Aggiornare l'origine di un VPCSupportato Regioni AWS per le origini VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita l'accesso con origini VPC

È possibile CloudFront utilizzarlo per distribuire contenuti da applicazioni ospitate nelle sottoreti private del cloud privato virtuale (VPC). Puoi utilizzare Application Load Balancers (ALBs), Network Load Balancers (NLBs) e EC2 istanze in sottoreti private come origini VPC.

Ecco alcuni motivi per cui potresti voler utilizzare le origini VPC:

  • Sicurezza: VPC Origins è progettato per migliorare il livello di sicurezza dell'applicazione posizionando i sistemi di bilanciamento del carico e EC2 le istanze in sottoreti private, creando un unico punto di accesso. CloudFront Le richieste degli utenti passano dalle CloudFront origini del VPC tramite una connessione privata e sicura, che fornisce una sicurezza aggiuntiva per le tue applicazioni.

  • Gestione: le origini VPC riducono il sovraccarico operativo richiesto per una connettività sicura tra e CloudFront origini. È possibile spostare le origini in sottoreti private senza accesso pubblico e non è necessario implementare liste di controllo degli accessi (ACLs) o altri meccanismi per limitare l'accesso alle origini. In questo modo, non è necessario investire in attività di sviluppo indifferenziate con cui proteggere le applicazioni web. CloudFront

  • Scalabilità e prestazioni: VPC Origins ti aiuta a proteggere le tue applicazioni web, liberando tempo per concentrarti sulla crescita delle tue applicazioni aziendali critiche, migliorando al contempo la sicurezza e mantenendo alte prestazioni e scalabilità globale con. CloudFront VPC Origins semplifica la gestione della sicurezza e riduce la complessità operativa in modo da poterlo utilizzare CloudFront come unico punto di accesso per le applicazioni.

Prerequisiti

Prima di creare un'origine VPC per la tua CloudFront distribuzione, devi completare quanto segue:

  • Crea un cloud privato virtuale (VPC) su Amazon VPC.

    • Il tuo VPC deve essere nella Account AWS stessa della tua CloudFront distribuzione.

    • Il tuo VPC deve trovarsi in uno dei formati Regioni AWS supportati per le origini VPC. Per ulteriori informazioni, consulta Supportato Regioni AWS per le origini VPC.

    • La rete ACLs associata alle sottoreti VPC si applica al traffico in uscita (in uscita) quando la conservazione dell'indirizzo IP del client è abilitata sull'origine del VPC. Tuttavia, per consentire al traffico di uscire attraverso l'origine del VPC, è necessario configurare l'ACL come regola sia in entrata che in uscita.

      Ad esempio, per consentire ai client TCP e UDP che utilizzano una porta di origine temporanea di connettersi all'endpoint tramite l'origine VPC, associa la sottorete dell'endpoint a un ACL di rete che consenta il traffico in uscita destinato a una porta TCP o UDP temporanea (intervallo di porte 1024-65535, destinazione 0.0.0.0/0). Inoltre, crea una regola di ingresso corrispondente (intervallo di porte 1024-65535, fonte 0.0.0.0/0).

    Per informazioni sulla creazione di un VPC, consulta Create a VPC plus altre risorse VPC nella Amazon VPC User Guide.

  • Includi quanto segue nel tuo VPC:

    • Gateway Internet: devi aggiungere un gateway Internet al VPC che contiene le tue risorse di origine VPC. Il gateway Internet è necessario per indicare che il VPC può ricevere traffico da Internet. Il gateway Internet non viene utilizzato per instradare il traffico verso le origini all'interno della sottorete e non è necessario aggiornare le politiche di routing.

    • Sottorete privata con almeno un IPv4 indirizzo disponibile: effettua il CloudFront routing verso la sottorete utilizzando un'interfaccia di rete elastica (ENI) gestita dai servizi che CloudFront viene creata dopo aver definito la risorsa di origine VPC con. CloudFront È necessario disporre di almeno un IPv4 indirizzo disponibile nella sottorete privata in modo che il processo di creazione dell'ENI possa avere successo. L' IPv4 indirizzo può essere privato e non prevede costi aggiuntivi.

      Nota

      IPv6-solo le sottoreti non sono supportate.

  • Nella sottorete privata, avvia un Application Load Balancer, un Network Load Balancer EC2 o un'istanza da usare come origine.

    • La risorsa che avvii deve essere completamente distribuita e in stato Attivo prima di poterla utilizzare per un'origine VPC.

    • I Gateway Load Balancer, i Network Load Balancer dual-stack e i Network Load Balancer con listener TLS non possono essere aggiunti come origini.

    • Per essere utilizzato come origine VPC, un Network Load Balancer deve avere un gruppo di sicurezza collegato.

    • Aggiorna i tuoi gruppi di sicurezza per le origini private del VPC per consentire esplicitamente l'elenco dei prefissi CloudFront gestiti. Per ulteriori informazioni, consulta Utilizza l'elenco dei prefissi CloudFront gestiti.

      • Dopo aver creato l'origine del VPC, il gruppo di sicurezza può essere ulteriormente limitato per consentire solo il traffico proveniente dalle tue origini VPC. A tale scopo, aggiorna la fonte di traffico consentita dall'elenco dei prefissi gestiti al CloudFront gruppo di sicurezza.

      Nota

      WebSockets, il traffico gRPC e la riscrittura dell'origine con Lambda @Edge in CloudFront non sono supportati per le origini VPC. Per ulteriori informazioni, consulta la Lavora con richieste e risposte documentazione di Lambda @Edge.

Crea un'origine VPC (nuova distribuzione)

La procedura seguente mostra come creare un'origine VPC per la nuova CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine CreateDistributionAPI con AWS CLI o un AWS SDK.

Per creare un'origine VPC per una nuova distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli Origini VPC, Crea origine VPC.

  3. Compila i campi obbligatori. Per Origin ARN, seleziona l'ARN dell'Application Load Balancer, Network Load Balancer o dell'istanza. EC2 Se non vedi l'ARN, puoi copiare l'ARN della risorsa specifica e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato di origine del tuo VPC passi a Deployed. Questa operazione può richiedere fino a 15 minuti.

  6. Scegli Distribuzioni, Crea distribuzione.

  7. Per il dominio Origin, seleziona la tua risorsa di origine VPC dall'elenco a discesa.

    Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

  8. Completa la creazione della tua distribuzione. Per ulteriori informazioni, consulta Crea una CloudFront distribuzione nella console.

Creare un'origine VPC (distribuzione esistente)

La procedura seguente mostra come creare un'origine VPC per la CloudFront distribuzione esistente nella CloudFront console, che aiuta a garantire la disponibilità continua delle applicazioni. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine UpdateDistributionWithStagingConfigAPI con AWS CLI o un AWS SDK.

Facoltativamente, puoi scegliere di aggiungere l'origine VPC alla distribuzione esistente senza creare una distribuzione temporanea.

Per creare un'origine VPC per la distribuzione esistente CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli Origini VPC, Crea origine VPC.

  3. Compila i campi obbligatori. Per Origin ARN, seleziona l'ARN dell'Application Load Balancer, Network Load Balancer o dell'istanza. EC2 Se non vedi l'ARN, puoi copiare l'ARN della risorsa specifica e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato di origine del tuo VPC passi a Deployed. Questa operazione può richiedere fino a 15 minuti.

  6. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  7. Scegli l'ID della tua distribuzione.

  8. Nella scheda Generale, in Distribuzione continua, scegli Crea distribuzione temporanea. Per ulteriori informazioni, consulta Utilizza la distribuzione CloudFront continua per testare in sicurezza le modifiche alla configurazione CDN.

  9. Segui i passaggi della procedura guidata Crea distribuzione temporanea per creare una distribuzione temporanea. Includi i seguenti passaggi:

    • Per Origins, scegli Crea origine.

    • Per il dominio Origin, seleziona la tua risorsa di origine VPC dal menu a discesa.

      Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

    • Scegli Create Origin (Crea origine).

  10. Nella tua distribuzione temporanea, verifica l'origine del VPC.

  11. Promuovi la configurazione della distribuzione temporanea alla tua distribuzione principale. Per ulteriori informazioni, consulta Promuovi una configurazione di distribuzione temporanea.

  12. Rimuovi l'accesso pubblico all'origine del tuo VPC rendendo privata la sottorete. Dopo aver eseguito questa operazione, l'origine del VPC non sarà più individuabile su Internet, ma CloudFront avrà comunque accesso privato ad essa. Per ulteriori informazioni, consulta Associare o dissociare una sottorete a una tabella di routing nella Amazon VPC User Guide.

Aggiornare l'origine di un VPC

La procedura seguente mostra come aggiornare un'origine VPC per la CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni UpdateDistributione UpdateVpcOriginAPI con AWS CLI o un AWS SDK.

Per aggiornare un'origine VPC esistente per la tua distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  3. Scegli l'ID della tua distribuzione.

  4. Scegli la scheda Behaviors (Comportamenti).

  5. Assicurati che l'origine del VPC non sia l'origine predefinita per il tuo comportamento nella cache.

  6. Seleziona la scheda Origins (Origini).

  7. Seleziona l'origine del VPC che intendi aggiornare e scegli Elimina. Questo dissocia l'origine del VPC dalla tua distribuzione. Ripeti i passaggi da 2 a 7 per dissociare l'origine del VPC da qualsiasi altra distribuzione.

  8. Scegli le origini VPC.

  9. Seleziona l'origine del VPC e scegli Modifica.

  10. Effettua gli aggiornamenti e scegli Update VPC origin.

  11. Attendi che lo stato di origine del tuo VPC passi a Deployed. Questa operazione può richiedere fino a 15 minuti.

  12. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  13. Scegli l'ID della tua distribuzione.

  14. Seleziona la scheda Origins (Origini).

  15. Scegli Create Origin (Crea origine).

  16. Per il dominio Origin, seleziona la tua risorsa di origine VPC dal menu a discesa.

    Se l'origine del VPC è un' EC2 istanza, copia e incolla il nome DNS IP privato dell'istanza nel campo Dominio di origine.

  17. Scegli Create Origin (Crea origine). In questo modo l'origine del VPC viene nuovamente associata alla distribuzione. Ripeti i passaggi 12-17 per associare l'origine VPC aggiornata a qualsiasi altra distribuzione.

Supportato Regioni AWS per le origini VPC

Le origini VPC sono attualmente supportate nelle seguenti pubblicità. Regioni AWS Sono riportate le eccezioni relative alla zona di disponibilità (AZ).

Nome della regione Regione
Stati Uniti orientali (Ohio) us-east-2
Stati Uniti orientali (Virginia settentrionale) us-east-1 (except AZ use1-az3)
Stati Uniti occidentali (California settentrionale) us-west-1 (except AZ usw1-az2)
Stati Uniti occidentali (Oregon) us-west-2
Africa (Città del Capo) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asia Pacifico (Mumbai) ap-south-1
Asia Pacific (Hyderabad) ap-south-2
Asia Pacifico (Giacarta) ap-southeast-3
Asia Pacifico (Melbourne) ap-southeast-4
Asia Pacifico (Osaka-Locale) ap-northeast-3
Asia Pacifico (Singapore) ap-southeast-1
Asia Pacifico (Sydney) ap-southeast-2
Asia Pacifico (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asia Pacifico (Seoul) ap-northeast-2 (except AZ apne2-az1)
Canada (Centrale) ca-central-1 (except AZ cac1-az3)
Canada occidentale (Calgary) ca-west-1
Europa (Francoforte) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londra) eu-west-2
Europa (Milano) eu-south-1
Europa (Parigi) eu-west-3
Europa (Spagna) eu-south-2
Europa (Stoccolma) eu-north-1
Europa (Zurigo) eu-central-2
Israele (Tel Aviv) il-central-1
Medio Oriente (Bahrein) me-south-1
Medio Oriente (Emirati Arabi Uniti) me-central-1
Sud America (San Paolo) sa-east-1