Restringe o acesso com origens de VPC. - Amazon CloudFront
Pré-requisitosCriar uma origem de VPC (nova distribuição)Criar uma origem de VPC (distribuição existente)Atualizar uma origem de VPCTabela de Regiões da AWS que permitem o uso de origens de VPC

Restringe o acesso com origens de VPC.

É possível usar o CloudFront para fornecer conteúdo de aplicações que estão hospedadas em sub-redes privadas da nuvem privada virtual (VPC). Você pode usar Application Load Balancers (ALBs), Network Load Balancers (NLBs) e instâncias do EC2 em sub-redes privadas como origens de VPC.

Veja abaixo alguns motivos pelos quais pode ser interessante usar origens de VPC:

  • Segurança: as origens de VPC são projetadas para aprimorar o procedimento de segurança da aplicação colocando os balanceadores de carga e as instâncias do EC2 em sub-redes privadas, o que torna o CloudFront o único ponto de entrada. As solicitações dos usuários são transmitidas do CloudFront para as origens de VPC por meio de uma conexão privada e segura, fornecendo segurança adicional para as aplicações.

  • Gerenciamento: as origens de VPC reduzem o custo operacional indireto necessário para estabelecer uma conectividade segura entre o CloudFront e as origens. Além de poder mover as origens para sub-redes privadas sem acesso público, você não precisa implementar listas de controle de acesso (ACLs) ou outros mecanismos para restringir o acesso às origens. Dessa forma, não é necessário investir em trabalho de desenvolvimento não diferenciado para proteger aplicações web com o CloudFront.

  • Escalabilidade e desempenho: como as origens de VPC ajudam a proteger aplicações web, você tem mais tempo para se concentrar no desenvolvimento de aplicações empresariais essenciais e, ao mesmo tempo, melhorar a segurança e manter alto desempenho e escalabilidade global com o CloudFront. As origens de VPC simplificam o gerenciamento de segurança e reduzem a complexidade operacional para que você use o CloudFront como o único ponto de entrada para suas aplicações.

Pré-requisitos

Antes de criar uma origem de VPC para sua distribuição do CloudFront, é necessário concluir o seguinte:

  • Criar uma nuvem privada virtual (VPC) na Amazon VPC.

    • Sua VPC deve estar na mesma Conta da AWS que sua distribuição do CloudFront.

    • Elas deve estar em uma das Regiões da AWS que são compatíveis com as origens de VPC. Para obter mais informações, consulte Tabela de Regiões da AWS que permitem o uso de origens de VPC.

    • As ACLs de rede associadas às sub-redes da VPC se aplicam ao tráfego de saída quando a preservação do endereço IP do cliente está habilitada na origem de VPC. No entanto, para que o tráfego possa sair pela VPC de origem, você deve configurar a ACL como uma regra de entrada e de saída.

      Por exemplo, para permitir que clientes TCP e UDP que usam uma porta de origem efêmera se conectem ao endpoint por meio da origem de VPC, associe a sub-rede do endpoint a uma ACL de rede que permita tráfego de saída destinado a uma porta TCP ou UDP efêmera (intervalo de portas 1024 a 65535, destino 0.0.0.0/0). Além disso, crie uma regra de entrada correspondente (intervalo de portas 1024 a 65535, fonte 0.0.0.0/0).

    Para ter informações sobre como criar uma VPC, consulte Criar uma VPC e outros recursos de VPC no Manual do usuário da Amazon VPC.

  • Na sua solicitação, inclua:

    • Gateway da internet: você precisa adicionar um gateway da internet à VPC que contém seus recursos da origem de VPC. O gateway da internet é necessário para indicar que a VPC pode receber tráfego da internet. Ele não é usado para rotear o tráfego para origens dentro da sub-rede, e você não precisa atualizar as políticas de roteamento.

    • Sub-rede privada com pelo menos um endereço IPv4 disponível: o CloudFront faz o roteamento para a sub-rede usando uma interface de rede elástica (ENI) autogerenciada que o CloudFront cria depois que você define seu recurso da VPC de origem com o CloudFront. Você deve ter pelo menos um endereço IPv4 disponível na sub-rede privada para que o processo de criação da ENI seja bem-sucedido. O endereço IPv4 pode ser privado, e não há custo adicional para isso.

      nota

      Sub-redes somente IPv6 não são compatíveis.

  • Na sub-rede privada, inicie um Application Load Balancer, um Network Load Balancer ou uma instância do EC2 para usar como origem.

    • O recurso que você inicia deve estar totalmente implantado e no status Ativo para que seja possível usá-lo em uma origem de VPC.

    • Os Gateway Load Balancers de pilha dupla e os Network Load Balancers com receptores TLS não podem ser adicionados como origem.

    • Para ser usado como origem de VPC, um Network Load Balancer deve ter um grupo de segurança anexado a ele.

    • Atualize seus grupos de segurança para as origens de VPC privadas para permitir explicitamente a lista de prefixos gerenciados do CloudFront. Para obter mais informações, consulte Use a lista de prefixos gerenciados do CloudFront.

      • Depois que a origem de VPC é criada, é possível restringir ainda mais o grupo de segurança para permitir somente o tráfego das origens de VPC. Para fazer isso, atualize a origem de tráfego permitida na lista de prefixos gerenciados para o grupo de segurança do CloudFront.

      nota

      Não é possível usar WebSockets, tráfego gRPC e reescrita de origem com o Lambda@Edge no CloudFront para origens de VPC. Para ter mais informações, consulte Trabalho com solicitações e respostas na documentação do Lambda@Edge.

Criar uma origem de VPC (nova distribuição)

O procedimento a seguir mostra como criar uma origem de VPC para uma nova distribuição do CloudFront no console do CloudFront. Você também pode usar as operações de API CreateVpcOrigin e CreateDistribution com a AWS CLI ou com um SDK da AWS.

Como criar uma origem de VPC para uma nova distribuição do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. Escolha Origens de VPC e Criar uma origem de VPC.

  3. Preencha os campos obrigatórios. Em ARN da origem, selecione o ARN do Application Load Balancer, do Network Load Balancer ou da instância do EC2. Se você não vir o ARN, poderá copiar o ARN do seu recurso específico e colá-lo aqui.

  4. Escolha Criar origem.

  5. Aguarde até que o status da origem de VPC mude para Implantado. Esse processo pode levar até 15 minutos.

  6. Escolha Distribuições e Criar distribuição.

  7. Em Domínio da origem, selecione seu recurso de origens de VPC na lista suspensa.

    Se a origem de VPC for uma instância do EC2, copie e cole o nome DNS do IP privado da instância no campo Domínio da origem.

  8. Finalize a criação da distribuição. Para obter mais informações, consulte Criar uma distribuição do CloudFront no console.

Criar uma origem de VPC (distribuição existente)

O procedimento a seguir mostra como criar uma origem de VPC para uma distribuição existente do CloudFront no console do CloudFront, o que ajuda a garantir a disponibilidade contínua de suas aplicações. Você também pode usar as operações de API CreateVpcOrigin e UpdateDistributionWithStagingConfig com a AWS CLI ou um SDK da AWS.

Ou então você pode optar por adicionar a origem de VPC à distribuição existente sem criar uma distribuição de teste.

Como criar uma origem de VPC para uma distribuição existente do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. Escolha Origens de VPC e Criar uma origem de VPC.

  3. Preencha os campos obrigatórios. Em ARN da origem, selecione o ARN do Application Load Balancer, do Network Load Balancer ou da instância do EC2. Se você não vir o ARN, poderá copiar o ARN do seu recurso específico e colá-lo aqui.

  4. Escolha Criar origem.

  5. Aguarde até que o status da origem de VPC mude para Implantado. Esse processo pode levar até 15 minutos.

  6. No painel de navegação, escolha Distribuições.

  7. Escolha o ID da distribuição.

  8. Na guia Geral, em Implantação contínua, escolha Criar distribuição de preparação. Para obter mais informações, consulte Usar a implantação contínua do CloudFront para testar com segurança as alterações na configuração da CDN.

  9. Siga as etapas no assistente Criar distribuição de preparação para criar uma distribuição de preparação. Inclua as seguintes etapas:

    • Em Origens, escolha Criar origem.

    • Em Domínio da origem, selecione seu recurso de origens de VPC no menu suspenso.

      Se a origem de VPC for uma instância do EC2, copie e cole o nome DNS do IP privado da instância no campo Domínio da origem.

    • Escolha Criar origem.

  10. Em sua distribuição de preparação, teste a origem de VPC.

  11. Mova a configuração da distribuição de preparação para sua distribuição primária. Para obter mais informações, consulte Promover a configuração de uma distribuição de preparação.

  12. Remova o acesso público à sua origem de VPC configurando a sub-rede como privada. Depois de fazer isso, a origem de VPC não poderá ser descoberta pela internet, mas o CloudFront ainda terá acesso privado a ela. Para ter mais informações, consulte Associar ou desassociar uma sub-rede de uma tabela de rotas no Manual do usuário da Amazon VPC.

Atualizar uma origem de VPC

O procedimento a seguir mostra como atualizar uma origem de VPC para uma distribuição do CloudFront no console do CloudFront. Você também pode usar as operações de API UpdateDistribution e UpdateVpcOrigin com a AWS CLI ou um SDK da AWS.

Como atualizar uma origem de VPC para sua distribuição do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, escolha Distribuições.

  3. Escolha o ID da distribuição.

  4. Escolha a guia Behaviors.

  5. Observe que a origem de VPC não deve ser a origem padrão para seu comportamento de cache.

  6. Escolha a guia Origens.

  7. Selecione a origem de VPC que você vai atualizar e escolha Excluir. Isso dissocia a origem de VPC da sua distribuição. Repita as etapas de 2 a 7 para dissociar a origem de VPC de quaisquer outras distribuições.

  8. Escolha Origens de VPC.

  9. Selecione a origem de VPC e escolha Editar.

  10. Faça suas atualizações e escolha Atualizar origem de VPC.

  11. Aguarde até que o status da origem de VPC mude para Implantado. Esse processo pode levar até 15 minutos.

  12. No painel de navegação, escolha Distribuições.

  13. Escolha o ID da distribuição.

  14. Escolha a guia Origens.

  15. Escolha Criar origem.

  16. Em Domínio da origem, selecione seu recurso de origens de VPC no menu suspenso.

    Se a origem de VPC for uma instância do EC2, copie e cole o nome DNS do IP privado da instância no campo Domínio da origem.

  17. Escolha Criar origem. Isso associa novamente a origem de VPC à sua distribuição. Repita as etapas 12 a 17 para associar a origem de VPC atualizada a quaisquer outras distribuições.

Tabela de Regiões da AWS que permitem o uso de origens de VPC

No momento, é possível usar origens de VPC nas Regiões da AWS comerciais a seguir. Exceções da Zona de Disponibilidade (AZ) são anotadas.

Nome da região Região
Leste dos EUA (Ohio) us-east-2
Leste dos EUA (Norte da Virgínia) us-east-1 (except AZ use1-az3)
Oeste dos EUA (Norte da Califórnia) us-west-1 (except AZ usw1-az2)
Oeste dos EUA (Oregon) us-west-2
África (Cidade do Cabo) af-south-1
Ásia-Pacífico (Hong Kong) ap-east-1
Asia Pacific (Mumbai) ap-south-1
Ásia-Pacífico (Hyderabad) ap-south-2
Ásia-Pacífico (Jacarta) ap-southeast-3
Ásia-Pacífico (Melbourne) ap-southeast-4
Ásia-Pacífico (Osaka) ap-northeast-3
Ásia-Pacífico (Singapura) ap-southeast-1
Ásia-Pacífico (Sydney) ap-southeast-2
Ásia-Pacífico (Tóquio) ap-northeast-1 (except AZ apne1-az3)
Ásia-Pacífico (Seul) ap-northeast-2 (except AZ apne2-az1)
Canadá (Central) ca-central-1 (except AZ cac1-az3)
Oeste do Canadá (Calgary) ca-west-1
Europa (Frankfurt) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (Milão) eu-south-1
Europe (Paris) eu-west-3
Europa (Espanha) eu-south-2
Europa (Estocolmo) eu-north-1
Europa (Zurique) eu-central-2
Israel (Tel Aviv) il-central-1
Oriente Médio (Bahrein) me-south-1
Oriente Médio (Emirados Árabes Unidos) me-central-1
América do Sul (São Paulo) sa-east-1