Trabalhar com recursos compartilhados no CloudFront - Amazon CloudFront
Pré-requisitos para compartilhar recursosCompartilhar uma origem de VPCUsar uma origem de VPC compartilhadaIdentificar uma origem de VPC compartilhadaCancelar o compartilhamento de uma origem de VPC compartilhadaResponsabilidades e permissões referentes a origens de VPC compartilhadasFaturamento e mediçãoCotas de recursos compartilhados

Trabalhar com recursos compartilhados no CloudFront

O Amazon CloudFront integra-se ao AWS Resource Access Manager (AWS RAM) para habilitar o compartilhamento de recursos. O AWS RAM permite compartilhar alguns recursos do CloudFront com outras Contas da AWS ou por meio do AWS Organizations. Com o AWS RAM, você compartilha recursos que possui criando um compartilhamento de recursos. Um compartilhamento de recursos especifica os recursos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir:

  • Contas específicas da Contas da AWS dentro ou fora de sua organização no AWS Organizations

  • Uma unidade organizacional dentro da organização no AWS Organizations

  • Toda a organização no AWS Organizations

Para obter mais informações sobre o AWS RAM, consulte o Guia do usuário do AWS RAM.

Este tópico explica como compartilhar recursos que você possui e como usar os recursos que são compartilhados com você.

Pré-requisitos para compartilhar recursos

  • É necessário ter a política gerenciada AWSRAMDefaultPermissionCloudFront para conceder acesso somente leitura ao compartilhamento de recursos. Para ter mais informações, consulte AWSRAMDefaultPermissionCloudFront.

  • Para compartilhar uma origem de VPC, é necessário ter propriedade sobre ela em sua Conta da AWS. Isso significa que o recurso deve estar alocado ou provisionado em sua conta. Não é possível compartilhar um recurso que tenha sido compartilhado com você.

  • Para compartilhar um recurso com a sua organização ou com uma unidade organizacional no AWS Organizations, é necessário habilitar o compartilhamento com o AWS Organizations. Para obter mais informações, consulte Habilitar o compartilhamento com o AWS Organizations no Guia do usuário do AWS RAM.

Compartilhar uma origem de VPC

nota

No momento, o CloudFront permite o compartilhamento de origens de VPC. Se você ainda não criou um, consulte Restringe o acesso com origens de VPC..

Ao compartilhar uma origem de VPC de sua propriedade com outrasContas da AWS, você permite que elas usem esse recurso como origem para distribuições do CloudFront.

Para compartilhar uma origem de VPC, é necessário adicioná-la a um compartilhamento de recursos. Um compartilhamento de recursos é um recurso do AWS RAM que permite que você compartilhe seus recursos entre Contas da AWS.

Um compartilhamento de recursos especifica o seguinte:

  • Os recursos que você deseja compartilhar.

  • Os consumidores com os quais eles são compartilhados.

  • A política gerenciada do serviço que determina as permissões para os recursos.

Ao compartilhar uma origem de VPC usando o console do CloudFront, adicione-a a um compartilhamento de recursos existente. Se ainda não tiver um compartilhamento de recursos, é possível criar um ao compartilhar uma origem de VPC no console do CloudFront. Também é possível usar o console do AWS RAM ou a AWS CLI para criar um separadamente.

Você pode compartilhar origens de VPC com outras Contas da AWS e o AWS Organizations.

  • Se estiver compartilhando o recurso com uma organização da AWS, todos os consumidores dessa organização específica terão acesso à origem da VPC.

  • Se estiver compartilhando com uma Conta da AWS ou com uma organização da qual não faça parte, os consumidores receberão um convite para aceitar o compartilhamento de recursos. Assim que aceitarem, eles poderão usar a origem da VPC.

É possível compartilhar uma origem de VPC de sua propriedade usando o console do CloudFront, o console do AWS RAM ou a AWS CLI.

Como criar um compartilhamento de recursos usando o console do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, escolha Origens de VPC.

  3. Selecione um ou mais recursos e escolha Compartilhar origem da VPC.

  4. Escolha Criar compartilhamento de recursos.

  5. Em Nome, insira um nome para o compartilhamento de recursos.

  6. Em Tipo de entidade principal, escolha uma das seguintes opções:

    • Conta da AWS: conceda acesso a uma Conta da AWS específica.

    • Unidade organizacional: conceda acesso a uma unidade organizacional (UO) específica.

    • Organização: conceda acesso a toda a sua organização, inclusive a UOs secundárias e a Contas da AWS.

    1. Se você escolher Conta da AWS, insira o número do ID da conta. É possível escolher Adicionar nova conta para adicionar até cinco Contas da AWS.

    2. Se você escolher Unidade organizacional, insira o ARN da UO. É possível inserir somente uma UO.

    3. Se você escolher Organização, insira o ARN da organização. É possível inserir somente uma organização.

  7. Escolha Compartilhar recursos.

    Por padrão, o CloudFront aplica a política AWSRAMDefaultPermissionCloudFront gerenciada pela AWS no compartilhamento de recursos. Essa política permite ações somente leitura no compartilhamento de recursos para impedir que contas consumidoras atualizem ou excluam o recurso compartilhado. Não é possível editar nem remover essa política do compartilhamento de recursos.

    dica

    Assim que criar o compartilhamento de recursos, você poderá adicionar mais Contas da AWS por meio do console do AWS RAM. Para ter informações adicionais, consulte Atualizar o compartilhamento de um recurso no AWS RAM no Guia do Usuário do AWS RAM.

Como compartilhar uma origem de VPC de sua propriedade usando o console do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, escolha Origens de VPC.

  3. Selecione um recurso e escolha Compartilhar origem da VPC.

  4. Na página Compartilhar origem da VPC, você pode selecionar um compartilhamento de recursos existente ao qual deseja adicionar essa origem da VPC.

  5. Escolha Compartilhar recursos.

    Na página de detalhes do recurso, em Compartilhado com, é possível ver que sua origem de VPC é compartilhada e tem os seguintes detalhes:

    • Nomes de compartilhamento de recurso

    • Status do compartilhamento

    • Data da última modificação

Ao criar e compartilhar o compartilhamento de recursos com as contas consumidoras, elas têm 12 horas para aceitar o convite. Para ter mais informações, consulte Aceitar e rejeitar os convites para compartilhamento de recursos no Guia do usuário do AWS RAM.

Importante

Para permitir que contas consumidoras usem sua origem de VPC para a distribuição do CloudFront, também é necessário fornecer a elas o ELB ou o endpoint do Amazon EC2 da origem da VPC.

Como compartilhar uma origem de VPC de sua propriedade usando o console do AWS RAM

Crie um compartilhamento de recursos e escolha os recursos do CloudFront que você deseja adicionar a ele. Para ter mais informações, consulte Criar um compartilhamento de recursos no Guia do usuário do AWS RAM.

Como compartilhar uma origem de VPC de sua propriedade usando a AWS CLI

Use o comando create-resource-share.

Usar uma origem de VPC compartilhada

Para usar uma origem de VPC compartilhada, a conta que recebe o convite precisa aceitar o compartilhamento de recursos. Para fazer isso, acesse o console do AWS Resource Access Manager na região Leste dos EUA (Norte da Virgínia) e aceite todas as solicitações pendentes na guia Pendente. Para ter mais informações, consulte Aceitar e rejeitar os convites para compartilhamento de recursos no Guia do usuário do AWS RAM.

Depois de aceitar o compartilhamento de recursos, você poderá usar a origem da VPC como origem para suas distribuições do CloudFront.

Como usar uma origem de VPC compartilhada

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, em Distribuições, escolha uma das seguintes opções:

    • Para uma nova distribuição, escolha Criar distribuição.

    • Para uma distribuição existente, escolha o ID da distribuição.

  3. Em Tipo de origem, escolha a Origem da VPC e especifique a origem da VPC que foi compartilhada com você.

  4. Em Endpoint da origem da VPC, insira o nome de DNS privado da sua instância do Amazon EC2 ou do balanceador de carga do ELB ou o domínio de origem. Se você ainda não tiver esse valor, deverá obtê-lo da Conta da AWS à qual a origem de VPC pertence. Se você ainda não tiver esse endpoint, poderá obtê-lo da Conta da AWS à qual a origem de VPC pertence.

  5. Siga as etapas restantes do console para criar ou atualizar sua distribuição.

Identificar uma origem de VPC compartilhada

Os proprietários e consumidores podem identificar origens de VPC compartilhadas usando o console do CloudFront e a AWS CLI.

Como identificar uma origem de VPC compartilhada usando o console do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, escolha Origens de VPC. Use a coluna ID do proprietário para identificar a Conta da AWS à qual o recurso pertence.

  3. Selecione um recurso.

  4. Na página de detalhes do recurso, em Compartilhado com, é possível ver que sua origem de VPC é compartilhada e tem os seguintes detalhes:

    • Nomes de compartilhamento de recurso

    • Status do compartilhamento

    • Data da última modificação

Cancelar o compartilhamento de uma origem de VPC compartilhada

Quando o compartilhamento de um recurso é cancelado, as Contas da AWS (contas consumidoras) não podem mais usar esse recurso para novas distribuições nem atualizar distribuições existentes.

nota

Se você cancelar o compartilhamento de um recurso, as distribuições existentes que ainda estão usando esse recurso permanecerão ativas e continuarão a fornecer tráfego. No entanto, essas distribuições não poderão ser editadas enquanto o recurso cujo compartilhamento foi cancelado não for removido como origem. Recomendamos que garanta que, antes de cancelar o compartilhamento de um recurso, todas as contas consumidoras parem de usá-lo.

Para cancelar o compartilhamento de uma origem de VPC compartilhada de sua propriedade, é necessário removê-la do compartilhamento de recursos. Para fazer isso, use o console do CloudFront, o console do AWS RAM ou a AWS CLI.

Como cancelar o compartilhamento de uma origem de VPC compartilhada de sua propriedade usando o console do CloudFront

  1. Abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel de navegação, escolha Origens de VPC.

  3. Selecione um recurso e escolha Cancelar compartilhamento.

  4. Analise os detalhes na caixa de diálogo Cancelar compartilhamento do recurso e escolha Cancelar compartilhamento. As entidades principais listadas não terão mais acesso ao seu recurso compartilhado.

Como cancelar o compartilhamento de uma origem de VPC compartilhada de sua propriedade usando o console do AWS RAM

Consulte Atualização de um compartilhamento de atributos no Guia do usuário do AWS RAM.

Como cancelar o compartilhamento de uma origem de VPC compartilhada de sua propriedade usando a AWS CLI

Use o comando disassociate-resource-share.

Responsabilidades e permissões referentes a origens de VPC compartilhadas

Permissões para proprietários

A conta proprietária do recurso deve garantir que todas as contas consumidoras parem de usar o recurso antes de cancelar o compartilhamento ou excluí-lo.

Permissões para clientes

As contas consumidoras podem usar recursos compartilhados como origem das respectivas distribuições do CloudFront, mas não podem editar ou excluir os recursos. Por padrão, a política AWSRAMDefaultPermissionCloudFront gerenciada pela AWS é aplicada ao compartilhamento de recursos na conta de compartilhamento (a conta à qual o recurso pertence).

AWSRAMDefaultPermissionCloudFront

Quando você cria um compartilhamento de recursos no CloudFront, o CloudFront usa a política AWSRAMDefaultPermissionCloudFront gerenciada pela AWS e a aplica a esse compartilhamento de recursos. Essa política concede permissões somente leitura aos recursos do CloudFront que podem ser compartilhados entre o proprietário do recurso e a conta consumidora.

Para ter mais informações sobre como gerenciar permissões no AWS RAM, consulte Gerenciando permissões no AWS RAM no Guia do usuário do AWS Resource Access Manager.

Faturamento e medição

Não há custos adicionais pelo compartilhamento de origens de VPC com outras Contas da AWS. Os custos de uso do tráfego para uma distribuição que está usando uma origem de VPC compartilhada são atribuídos à conta consumidora proprietária da distribuição.

Cotas de recursos compartilhados

O CloudFront usa as mesmas cotas de compartilhamento de recursos especificadas pelo AWS RAM. No console do CloudFront, é possível adicionar até cinco Contas da AWS, uma UO ou uma organização. Para adicionar outras, use o console do AWS RAM ou a API do AWS RAM.

Para ter mais informações, consulte Service quotas for AWS RAM no Guia do usuário do AWS RAM.