Beschränken Sie den Zugriff mit VPC-Ursprüngen - Amazon CloudFront
VoraussetzungenErstellen Sie einen VPC-Ursprung (neue Distribution)Erstellen Sie einen VPC-Ursprung (bestehende Distribution)Einen VPC-Ursprung aktualisierenWird AWS-Regionen für VPC-Ursprünge unterstützt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken Sie den Zugriff mit VPC-Ursprüngen

Sie können CloudFront damit Inhalte aus Anwendungen bereitstellen, die in Ihren privaten VPC-Subnetzen (Virtual Private Cloud) gehostet werden. Sie können Application Load Balancers (ALBs), Network Load Balancers (NLBs) und EC2 Instances in privaten Subnetzen als VPC-Ursprünge verwenden.

Hier sind einige Gründe, warum Sie VPC Origins verwenden sollten:

  • Sicherheit — VPC Origins wurde entwickelt, um den Sicherheitsstatus Ihrer Anwendung zu verbessern, indem Ihre Load Balancer und EC2 Instances in privaten Subnetzen platziert werden, wodurch CloudFront der zentrale Einstiegspunkt entsteht. Benutzeranfragen werden über eine private, sichere Verbindung CloudFront zu den VPC-Ursprüngen weitergeleitet und bieten so zusätzliche Sicherheit für Ihre Anwendungen.

  • Verwaltung — VPC-Ursprünge reduzieren den Betriebsaufwand, der für eine sichere Konnektivität zwischen den CloudFront Ursprüngen erforderlich ist. Sie können Ihre Ursprünge in private Subnetze ohne öffentlichen Zugriff verschieben, und Sie müssen keine Zugriffskontrolllisten (ACLs) oder andere Mechanismen implementieren, um den Zugriff auf Ihre Ursprünge einzuschränken. Auf diese Weise müssen Sie nicht in undifferenzierte Entwicklungsarbeit investieren, um Ihre Webanwendungen mit abzusichern. CloudFront

  • Skalierbarkeit und Leistung — VPC Origins hilft Ihnen dabei, Ihre Webanwendungen zu sichern, sodass Sie Zeit haben, sich auf das Wachstum Ihrer kritischen Geschäftsanwendungen zu konzentrieren und gleichzeitig die Sicherheit zu verbessern und gleichzeitig die hohe Leistung und globale Skalierbarkeit aufrechtzuerhalten. CloudFront VPC Origins optimiert das Sicherheitsmanagement und reduziert die betriebliche Komplexität, sodass Sie es CloudFront als zentrale Anlaufstelle für Ihre Anwendungen verwenden können.

Voraussetzungen

Bevor Sie einen VPC-Ursprung für Ihre CloudFront Distribution erstellen, müssen Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine virtuelle private Cloud (VPC) auf Amazon VPC.

    • Ihre VPC muss sich in derselben Distribution befinden AWS-Konto wie Ihre CloudFront Distribution.

    • Ihre VPC muss sich in einer der AWS-Regionen für VPC-Ursprünge unterstützten befinden. Weitere Informationen finden Sie unter Wird AWS-Regionen für VPC-Ursprünge unterstützt.

    Informationen zum Erstellen einer VPC finden Sie unter Erstellen einer VPC plus andere VPC-Ressourcen im Amazon VPC-Benutzerhandbuch.

  • Nehmen Sie Folgendes in Ihre VPC auf:

    • Internet-Gateway — Erforderlich, damit Ihre VPC Datenverkehr aus dem Internet empfangen kann. Das Internet-Gateway wird nicht für die Weiterleitung von Datenverkehr zu Ursprüngen innerhalb des Subnetzes verwendet, und Sie müssen die Routing-Richtlinien nicht aktualisieren.

    • Privates Subnetz mit mindestens einer verfügbaren IPv4 Adresse — CloudFront leitet zu Ihrem Subnetz über ein elastic network interface (ENI) weiter, das nach Ihrer Definition Ihre private CloudFront Ursprungsressource CloudFront erstellt. Sie müssen mindestens eine verfügbare IPv4 Adresse in Ihrem privaten Subnetz haben, damit der ENI-Erstellungsprozess erfolgreich sein kann. Die IPv4 Adresse kann privat sein und es fallen keine zusätzlichen Kosten an.

  • Starten Sie im privaten Subnetz einen Application Load Balancer, einen Network Load Balancer oder eine EC2 Instance, die Sie als Ursprung verwenden möchten.

    • Die Ressource, die Sie starten, muss vollständig bereitgestellt sein und sich im Status Aktiv befinden, bevor Sie sie für einen VPC-Ursprung verwenden können.

    • Um als VPC-Ursprung verwendet zu werden, muss einem Network Load Balancer eine Sicherheitsgruppe zugeordnet sein.

    • Dual-Stack-Netzwerk-Load-Balancer und Network Load Balancer mit TLS-Listenern können nicht als Ursprünge hinzugefügt werden.

    • Gateway Load Balancer werden für VPC-Ursprünge nicht unterstützt.

  • Aktualisieren Sie die Sicherheitsgruppe für Ihren privaten VPC-Ursprung (Application Load Balancer, Network Load Balancer oder EC2 Instance), um die CloudFront verwaltete Präfixliste explizit zuzulassen. Dadurch wird der Datenverkehr eingeschränkt, der zum VPC-Ursprung kommt. Weitere Informationen finden Sie unter Verwenden Sie die Liste der CloudFront verwalteten Präfixe.

    • Nachdem der VPC-Ursprung erstellt wurde, kann die Sicherheitsgruppe weiter eingeschränkt werden, sodass nur Datenverkehr von Ihren VPC-Ursprüngen zugelassen wird. Aktualisieren Sie dazu die zulässige Datenverkehrsquelle von der Liste der verwalteten Präfixe auf die CloudFront Sicherheitsgruppe.

Anmerkung

WebSockets, gRPC-Verkehr und Origin-Rewrite mit Lambda @Edge in CloudFront werden für VPC-Ursprünge nicht unterstützt. Weitere Informationen finden Sie Arbeiten Sie mit Anfragen und Antworten in der Lambda @Edge -Dokumentation.

Erstellen Sie einen VPC-Ursprung (neue Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre neue CloudFront Distribution in der CloudFront Konsole erstellen. Alternativ können Sie die CreateDistributionAPI-Operationen CreateVpcOriginund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

So erstellen Sie einen VPC-Ursprung für eine neue Distribution CloudFront

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie für Origin ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder EC2 Ihrer Instance aus. Wenn Sie den ARN nicht sehen, können Sie Ihren spezifischen Ressourcen-ARN kopieren und ihn stattdessen hier einfügen.

  4. Wählen Sie Create VPC origin aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus auf Bereitgestellt ändert. Dies kann bis zu 15 Minuten dauern.

  6. Wählen Sie „Verteilungen“, „Verteilung erstellen“.

  7. Wählen Sie für Origin-Domain Ihre VPC-Ursprungsressource aus der Drop-down-Liste aus.

    Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

  8. Beenden Sie die Erstellung Ihrer Distribution. Weitere Informationen finden Sie unter Erstellen Sie eine CloudFront Distribution in der Konsole.

Erstellen Sie einen VPC-Ursprung (bestehende Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie in der CloudFront Konsole einen VPC-Ursprung für Ihre bestehende CloudFront Distribution erstellen, um die kontinuierliche Verfügbarkeit Ihrer Anwendungen sicherzustellen. Alternativ können Sie die Operationen CreateVpcOriginund die UpdateDistributionWithStagingConfigAPI mit dem AWS CLI oder einem AWS SDK verwenden.

Optional können Sie Ihren VPC-Ursprung zu Ihrer bestehenden Distribution hinzufügen, ohne eine Staging-Verteilung zu erstellen.

Um einen VPC-Ursprung für Ihre bestehende CloudFront Distribution zu erstellen

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie für Origin ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder EC2 Ihrer Instance aus. Wenn Sie den ARN nicht sehen, können Sie Ihren spezifischen Ressourcen-ARN kopieren und ihn stattdessen hier einfügen.

  4. Wählen Sie Create VPC origin aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus auf Bereitgestellt ändert. Dies kann bis zu 15 Minuten dauern.

  6. Rufen Sie im Navigationsbereich Distributions auf.

  7. Wählen Sie die ID Ihrer Distribution.

  8. Wählen Sie auf der Registerkarte Allgemein unter Kontinuierliche Bereitstellung die Option Staging-Verteilung erstellen aus. Weitere Informationen finden Sie unter Verwenden Sie CloudFront Continuous Deployment, um CDN-Konfigurationsänderungen sicher zu testen.

  9. Folgen Sie den Schritten im Assistenten zum Erstellen einer Staging-Verteilung, um eine Staging-Verteilung zu erstellen. Schließen Sie die folgenden Schritte ein:

    • Wählen Sie für Origins die Option Create origin aus.

    • Wählen Sie für Origin-Domain Ihre VPC-Ursprungsressource aus dem Drop-down-Menü aus.

      Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

    • Wählen Sie Create Origin (Ursprung erstellen) aus.

  10. Testen Sie in Ihrer Staging-Distribution den VPC-Ursprung.

  11. Machen Sie die Konfiguration der Staging-Verteilung zu Ihrer primären Distribution. Weitere Informationen finden Sie unter Werben Sie für eine Konfiguration der Staging-Verteilung.

  12. Entfernen Sie den öffentlichen Zugriff auf Ihren VPC-Ursprung, indem Sie das Subnetz privat machen. Danach ist der VPC-Ursprung nicht mehr über das Internet auffindbar, hat aber CloudFront weiterhin privaten Zugriff darauf. Weitere Informationen finden Sie unter Zuordnen oder Trennen eines Subnetzes zu einer Routing-Tabelle im Amazon VPC-Benutzerhandbuch.

Einen VPC-Ursprung aktualisieren

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre CloudFront Distribution in der CloudFront Konsole aktualisieren. Alternativ können Sie die UpdateVpcOriginAPI-Operationen UpdateDistributionund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

Um einen vorhandenen VPC-Ursprung für Ihre CloudFront Distribution zu aktualisieren

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Rufen Sie im Navigationsbereich Distributions auf.

  3. Wählen Sie die ID Ihrer Distribution.

  4. Wählen Sie die Registerkarte Behaviors aus.

  5. Stellen Sie sicher, dass der VPC-Ursprung nicht der Standardursprung für Ihr Cache-Verhalten ist.

  6. Wählen Sie den Tab Ursprünge aus.

  7. Wählen Sie den VPC-Ursprung aus, den Sie aktualisieren möchten, und wählen Sie Löschen. Dadurch wird der VPC-Ursprung von Ihrer Distribution getrennt. Wiederholen Sie die Schritte 2-7, um den VPC-Ursprung von allen anderen Distributionen zu trennen.

  8. Wählen Sie VPC-Ursprünge.

  9. Wählen Sie den VPC-Ursprung aus und klicken Sie auf Bearbeiten.

  10. Nehmen Sie Ihre Aktualisierungen vor und wählen Sie VPC-Ursprung aktualisieren.

  11. Warten Sie, bis sich Ihr VPC-Ursprungsstatus auf Bereitgestellt ändert. Dies kann bis zu 15 Minuten dauern.

  12. Rufen Sie im Navigationsbereich Distributions auf.

  13. Wählen Sie die ID Ihrer Distribution.

  14. Wählen Sie den Tab Ursprünge aus.

  15. Wählen Sie Create Origin (Ursprung erstellen) aus.

  16. Wählen Sie für Origin-Domain Ihre VPC-Ursprungsressource aus dem Drop-down-Menü aus.

    Wenn es sich bei VPC VPC-Ursprung um eine EC2 Instance handelt, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Origin-Domain ein.

  17. Wählen Sie Create Origin (Ursprung erstellen) aus. Dadurch wird der VPC-Ursprung wieder mit Ihrer Distribution verknüpft. Wiederholen Sie die Schritte 12-17, um den aktualisierten VPC-Ursprung allen anderen Distributionen zuzuordnen.

Wird AWS-Regionen für VPC-Ursprünge unterstützt

VPC-Ursprünge werden derzeit in der folgenden Werbung AWS-Regionen unterstützt. Auf Ausnahmen in der Availability Zone (AZ) wird hingewiesen.

Name der Region Region
USA Ost (Ohio) us-east-2
USA Ost (Nord-Virginia) us-east-1 (except AZ use1-az3)
USA West (Nordkalifornien) us-west-1 (except AZ usw1-az2)
USA West (Oregon) us-west-2
Africa (Cape Town) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asien-Pazifik (Mumbai) ap-south-1
Asien-Pazifik (Hyderabad) ap-south-2
Asien-Pazifik (Jakarta) ap-southeast-3
Asien-Pazifik (Melbourne) ap-southeast-4
Asien-Pazifik (Osaka) ap-northeast-3
Asien-Pazifik (Singapur) ap-southeast-1
Asien-Pazifik (Sydney) ap-southeast-2
Asien-Pazifik (Tokio) ap-northeast-1 (except AZ apne1-az3)
Asien-Pazifik (Seoul) ap-northeast-2 (except AZ apne2-az1)
Kanada (Zentral) ca-central-1 (except AZ cac1-az3)
Kanada West (Calgary) ca-west-1
Europe (Frankfurt) eu-central-1
Europa (Irland) eu-west-1
Europa (London) eu-west-2
Europa (Milan) eu-south-1
Europa (Paris) eu-west-3
Europa (Spain) eu-south-2
Europa (Stockholm) eu-north-1
Europa (Zürich) eu-central-2
Israel (Tel Aviv) il-central-1
Naher Osten (Bahrain) me-south-1
Naher Osten (VAE) me-central-1
Südamerika (São Paulo) sa-east-1