CloudFront에서 공유 리소스 작업 - Amazon CloudFront
리소스 공유를 위한 사전 조건VPC 오리진 공유공유 VPC 오리진 사용공유 VPC 오리진 식별공유 VPC 오리진 공유 해제공유 VPC 오리진에 대한 책임 및 권한결제 및 측정공유 리소스 할당량

CloudFront에서 공유 리소스 작업

Amazon CloudFront는 AWS Resource Access Manager(AWS RAM)와 통합되어 리소스 공유를 가능하게 합니다. AWS RAM은 일부 CloudFront 리소스를 다른 AWS 계정과 공유하거나 AWS Organizations를 통해 공유할 수 있도록 합니다. AWS RAM을 사용하여 리소스 공유로 생성한 사용자 소유 리소스를 공유할 수 있습니다. 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. 소비자에는 다음이 포함될 수 있습니다.

  • AWS Organizations의 조직 내부 또는 외부의 특정 AWS 계정.

  • AWS Organizations에서 조직 내부의 조직 단위

  • AWS Organizations의 전체 조직

AWS RAM에 대한 자세한 내용은 AWS RAM 사용 설명서를 참조하세요.

이 항목에서는 소유한 리소스를 공유하는 방법과 공유 리소스를 사용하는 방법을 설명합니다.

리소스 공유를 위한 사전 조건

  • 리소스 공유에 대한 읽기 전용 액세스 권한을 부여하려면 AWSRAMDefaultPermissionCloudFront 관리형 정책이 있어야 합니다. 자세한 내용은 AWSRAMDefaultPermissionCloudFront 섹션을 참조하세요.

  • VPC 오리진을 공유하려면 AWS 계정에서 이를 소유하고 있어야 합니다. 즉, 계정에서 리소스를 할당하거나 프로비저닝해야 합니다. 자신과 공유된 리소스는 공유할 수 없습니다.

  • AWS Organizations의 조직 또는 조직 단위와 리소스를 공유하려면, AWS Organizations과의 공유를 활성화해야 합니다. 자세한 내용은 AWS RAM 사용 설명서AWS Organizations과(와) 공유 활성화를 참조하세요.

VPC 오리진 공유

참고

현재 CloudFront는 VPC 오리진 공유를 지원합니다. 아직 생성하지 않은 경우 VPC 오리진으로 액세스 제한 섹션을 참조하세요.

소유한 VPC 오리진을 다른 AWS 계정와 공유하는 경우 해당 리소스를 CloudFront 배포의 오리진으로 사용할 수 있습니다.

VPC 오리진을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유는 AWS 계정 전반에서 리소스를 공유할 수 있게 해주는 AWS RAM 리소스입니다.

리소스 공유는 다음을 지정합니다.

  • 공유하려는 리소스

  • 공유 대상 소비자

  • 리소스에 대한 권한을 결정하는 서비스의 관리형 정책

CloudFront 콘솔을 사용하여 VPC 오리진을 공유하면 기존 리소스 공유에 추가합니다. 리소스 공유가 아직 없는 경우 CloudFront 콘솔에서 VPC 오리진을 공유할 때 리소스 공유를 생성할 수 있습니다. AWS RAM 콘솔 또는 AWS CLI를 사용하여 별도로 생성할 수도 있습니다.

VPC 오리진을 다른 AWS 계정 및 AWS Organizations와 공유할 수 있습니다.

  • 리소스를 AWS 조직과 공유하는 경우 해당 특정 조직의 모든 소비자가 VPC 오리진에 액세스할 수 있습니다.

  • AWS 계정 또는 소속되지 않은 조직과 공유하는 경우 소비자는 리소스 공유를 수락하라는 초대를 받게 됩니다. 수락되면 VPC 오리진을 사용할 수 있습니다.

CloudFront 콘솔, AWS RAM 콘솔 또는 AWS CLI를 사용하여 소유한 VPC 오리진을 공유할 수 있습니다.

CloudFront 콘솔을 사용하여 리소스 공유를 생성하려면

  1. https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. 탐색 창에서 VPC 오리진을 선택합니다.

  3. 하나 이상의 리소스를 선택하고 VPC 오리진 공유를 선택합니다.

  4. 리소스 공유 생성을 선택합니다.

  5. 이름에 리소스 공유의 이름을 입력합니다.

  6. 위탁자 유형에서 다음 옵션 중 하나를 선택합니다.

    • AWS 계정 - 특정 AWS 계정에 대한 액세스 권한을 부여합니다.

    • 조직 단위 - 특정 조직 단위(OU)에 대한 액세스 권한을 부여합니다.

    • 조직 - 하위 OU 및 AWS 계정를 포함하여 전체 조직에 대한 액세스 권한을 부여합니다.

    1. AWS 계정를 선택한 경우 계정 ID 번호를 입력합니다. 새 계정 추가를 선택하여 최대 5개의 AWS 계정를 추가할 수 있습니다.

    2. 조직 단위를 선택한 경우 OU 단위 ARN을 입력합니다. OU는 1개만 입력할 수 있습니다.

    3. 조직을 선택한 경우 조직 ARN을 입력합니다. 하나의 조직만 입력할 수 있습니다.

  7. 리소스 공유를 선택합니다.

    기본적으로 CloudFront는 리소스 공유에 AWSRAMDefaultPermissionCloudFront AWS 관리형 정책을 적용합니다. 이 정책은 리소스 공유에 대한 읽기 전용 작업을 허용하므로 소비 계정은 공유 리소스를 업데이트하거나 삭제할 수 없습니다. 리소스 공유에서 이 정책을 편집하거나 제거할 수 없습니다.

    작은 정보

    리소스 공유를 생성한 후 AWS RAM 콘솔에서 AWS 계정를 추가할 수 있습니다. 자세한 내용은 AWS RAM 사용 설명서AWS RAM에서 리소스 공유 업데이트를 참조하세요.

CloudFront 콘솔을 사용하여 소유한 VPC 오리진을 공유하려면

  1. https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. 탐색 창에서 VPC 오리진을 선택합니다.

  3. 리소스를 선택하고 VPC 오리진 공유를 선택합니다.

  4. VPC 오리진 공유 페이지에서 이 VPC 오리진을 추가할 기존 리소스 공유를 선택할 수 있습니다.

  5. 리소스 공유를 선택합니다.

    리소스 세부 정보 페이지의 공유 대상에서 VPC 오리진이 다음 세부 정보와 공유되는 것을 확인할 수 있습니다.

    • 리소스 공유 이름

    • 공유 상태

    • 최근 수정 날짜

리소스 공유를 생성하고 소비 계정과 공유한 후 12시간 내에 초대를 수락해야 합니다. 자세한 내용은 AWS RAM 사용 설명서공유 리소스 초대 수락 및 거부를 참조하세요.

중요

소비 계정이 CloudFront 배포에 VPC 오리진을 사용할 수 있도록 하려면 VPC 오리진의 ELB 또는 Amazon EC2 엔드포인트도 제공해야 합니다.

AWS RAM 콘솔을 사용하여 소유한 VPC 오리진을 공유하려면

리소스 공유를 생성한 다음 리소스 공유에 추가할 CloudFront 리소스를 선택합니다. 자세한 내용은 AWS RAM 사용 설명서리소스 공유 생성을 참조하세요.

AWS CLI를 사용하여 소유한 VPC 오리진을 공유하려면

create-resource-share 명령을 사용합니다.

공유 VPC 오리진 사용

공유 VPC 오리진을 사용하려면 초대를 받는 계정이 리소스 공유를 수락해야 합니다. 미국 동부(버지니아 북부) 리전의 AWS Resource Access Manager 콘솔로 이동하여 보류 중 탭에서 보류 중인 요청을 수락하면 됩니다. 자세한 내용은 AWS RAM 사용 설명서공유 리소스 수락을 참조하세요.

리소스 공유를 수락한 후 VPC 오리진을 CloudFront 배포의 오리진으로 사용할 수 있습니다.

공유 VPC 오리진을 사용하려면

  1. https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. 탐색 창의 배포에서 다음 중 하나를 수행합니다.

    • 새로운 배포의 경우 배포 생성을 선택합니다.

    • 기존 배포의 경우 배포 ID를 선택합니다.

  3. 오리진 유형에서 VPC 오리진을 선택한 다음 공유된 VPC 오리진을 지정합니다.

  4. VPC 오리진 엔드포인트에 Amazon EC2 인스턴스 또는 ELB 로드 밸런서의 프라이빗 DNS 이름 또는 오리진 도메인을 입력합니다. 이 값이 아직 없는 경우 VPC 오리진을 소유한 AWS 계정에서 값을 가져와야 합니다. 이 엔드포인트가 아직 없는 경우 VPC 오리진을 소유한 AWS 계정에서 값을 가져올 수 있습니다.

  5. 콘솔 단계의 나머지를 따라 배포를 생성 또는 업데이트합니다.

공유 VPC 오리진 식별

소유자와 소비자는 CloudFront 콘솔 및 AWS CLI를 사용하여 공유된 VPC 오리진을 식별할 수 있습니다.

CloudFront 콘솔을 사용하여 공유 VPC 오리진을 식별하려면

  1. https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. 탐색 창에서 VPC 오리진을 선택합니다. 소유자 ID 열을 사용하여 리소스가 속한 AWS 계정를 식별할 수 있습니다.

  3. 리소스를 선택합니다.

  4. 리소스 세부 정보 페이지의 공유 대상에서 VPC 오리진이 다음 세부 정보와 공유되는 것을 확인할 수 있습니다.

    • 리소스 공유 이름

    • 공유 상태

    • 최근 수정 날짜

공유 VPC 오리진 공유 해제

리소스를 공유 해제하면 AWS 계정(소비 계정)가 더 이상 새 배포에 해당 리소스를 사용하거나 기존 배포를 업데이트할 수 없습니다.

참고

리소스를 공유 해제하면 해당 리소스를 계속 사용 중인 기존 배포는 활성 상태로 유지되며 트래픽을 계속 처리합니다. 그러나 공유되지 않은 리소스가 오리진으로 제거될 때까지 이러한 배포를 편집할 수 없습니다. 공유를 해제하기 전에 모든 소비 계정이 공유되지 않은 리소스 사용을 중지하는지 확인하는 것이 좋습니다.

소유하고 있는 공유된 VPC 오리진을 공유 해제하려면 리소스 공유에서 제거해야 합니다. 이를 위해 CloudFront 콘솔, AWS RAM 콘솔 또는 AWS CLI를 사용할 수 있습니다.

CloudFront 콘솔을 사용하여 소유한 공유 VPC 오리진의 공유를 해제하려면

  1. https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. 탐색 창에서 VPC 오리진을 선택합니다.

  3. 리소스를 선택하고 공유 해제를 선택합니다.

  4. 리소스 공유 해제 대화 상자의 세부 정보를 검토한 다음 공유 해제를 선택합니다. 나열된 보안 주체는 더 이상 공유 리소스에 액세스할 수 없습니다.

AWS RAM 콘솔을 사용하여 소유한 공유 VPC 오리진의 공유를 해제하려면

AWS RAM 사용 설명서에서 리소스 공유 업데이트를 참조하세요.

AWS CLI를 사용하여 소유한 공유 VPC 오리진의 공유를 해제하려면

disassociate-resource-share 명령을 사용합니다.

공유 VPC 오리진에 대한 책임 및 권한

소유자에 대한 권한

리소스 소유 계정인 경우 공유를 해제하거나 삭제하기 전에 소비하는 계정이 리소스 사용을 중지해야 합니다.

소비자에 대한 권한

계정은 공유 리소스를 CloudFront 배포의 오리진으로 사용할 수 있지만 리소스를 편집하거나 삭제할 수는 없습니다. 기본적으로 AWSRAMDefaultPermissionCloudFront AWS 관리형 정책은 공유 계정(리소스를 소유한 계정)의 리소스 공유에 적용됩니다.

AWSRAMDefaultPermissionCloudFront

CloudFront에서 리소스 공유를 생성하면 CloudFront는 AWSRAMDefaultPermissionCloudFront AWS 관리형 정책을 사용하여 리소스 공유에 적용합니다. 이 정책은 리소스 소유자에서 소비 계정으로 공유할 수 있는 읽기 전용 권한을 CloudFront 리소스에 부여합니다.

AWS RAM의 권한 관리에 대한 자세한 내용은 AWS Resource Access Manager 사용 설명서AWS RAM의 권한 관리를 참조하세요.

결제 및 측정

VPC 오리진을 다른 AWS 계정와 공유하는 데는 추가 요금이 부과되지 않습니다. 공유 VPC 오리진을 사용하는 배포의 트래픽 사용 비용은 배포를 소유한 소비 계정으로 이동합니다.

공유 리소스 할당량

CloudFront는 AWS RAM에 지정된 것과 동일한 리소스 공유 할당량을 사용합니다. CloudFront 콘솔에서 최대 5개의 AWS 계정, 1개의 OU 또는 1개의 조직을 추가할 수 있습니다. 더 추가하려면 AWS RAM 콘솔 또는 AWS RAM API를 사용합니다.

자세한 내용은 AWS RAM 사용 안내서Service quotas for AWS RAM를 참조하세요.