Arbeiten mit gemeinsam genutzten Ressourcen in CloudFront

Amazon CloudFront integriert sich in AWS Resource Access Manager (AWS RAM), um die gemeinsame Nutzung von Ressourcen zu ermöglichen. AWS RAM ermöglicht es Ihnen, einige CloudFront Ressourcen mit anderen zu teilen AWS-Konten oder über AWS Organizations. Mit AWS RAM geben Sie Ressourcen in Ihrem Besitz frei, indem Sie eine Ressourcenfreigabe erstellen. Eine Ressourcenfreigabe legt die freizugebenden Ressourcen und die Konsumenten fest, für die sie freigegeben werden sollen. Zu den Verbrauchern können folgende Angaben zählen:

• AWS-Konten Spezifisch innerhalb oder außerhalb seiner Organisation in AWS Organizations

• Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations

• Ihre gesamte Organisation ist in AWS Organizations

Weitere Informationen zu AWS RAM finden Sie im AWS RAM Benutzerhandbuch.

In diesem Thema wird erklärt, wie Sie Ressourcen, die Ihnen gehören, gemeinsam nutzen und wie Sie Ressourcen verwenden, die mit Ihnen gemeinsam genutzt werden.

Voraussetzungen für die gemeinsame Nutzung von Ressourcen

• Sie müssen über die AWSRAMDefaultPermissionCloudFront verwaltete Richtlinie verfügen, um nur Lesezugriff auf die gemeinsame Nutzung der Ressource gewähren zu können. Weitere Informationen finden Sie unter AWSRAMDefaultPermissionCloudFront.

• Um einen VPC-Ursprung gemeinsam zu nutzen, müssen Sie ihn in Ihrem AWS-Konto besitzen. Das bedeutet, dass die Ressource Ihrem Konto zugewiesen oder bereitgestellt werden muss. Sie können eine Ressource, die mit Ihnen geteilt wurde, nicht teilen.

• Um eine Ressource mit Ihrer Organisation oder einer Organisationseinheit gemeinsam zu nutzen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

Einen VPC-Ursprung teilen

Anmerkung

CloudFront Unterstützt derzeit die gemeinsame Nutzung von VPC-Ursprüngen. Falls Sie noch keinen erstellt haben, finden Sie weitere Informationen unterZugriffsbeschränkung mit VPC-Ursprüngen.

Wenn Sie einen VPC-Ursprung, den Sie besitzen, mit anderen teilen AWS-Konten, ermöglichen Sie ihnen, diese Ressource als Ursprung für ihre CloudFront Distributionen zu verwenden.

Um einen VPC-Ursprung gemeinsam zu nutzen, müssen Sie ihn zu einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM -Ressource, mit der Sie Ihre Ressourcen in mehreren AWS-Konten gemeinsam nutzen können.

Eine Ressourcenfreigabe gibt Folgendes an:

• Die Ressourcen, die Sie gemeinsam nutzen möchten

• Die Verbraucher, mit denen sie geteilt werden

• Die vom Dienst verwaltete Richtlinie, die die Berechtigungen für die Ressourcen festlegt

Wenn Sie einen VPC-Ursprung über die CloudFront Konsole gemeinsam nutzen, fügen Sie ihn zu einer vorhandenen Ressourcenfreigabe hinzu. Wenn Sie noch keine Ressourcenfreigabe haben, können Sie eine erstellen, wenn Sie einen VPC-Ursprung von der CloudFront Konsole aus teilen. Sie können auch die AWS RAM Konsole verwenden oder AWS CLI eine separat erstellen.

Sie können VPC-Ursprünge mit anderen teilen AWS-Konten und AWS Organizations.

• Wenn Sie die Ressource mit einer AWS Organisation teilen, erhalten alle Verbraucher in dieser bestimmten Organisation Zugriff auf den VPC-Ursprung.

• Wenn Sie Inhalte mit einer AWS-Konto oder einer Organisation teilen, der Sie nicht angehören, erhalten die Verbraucher eine Einladung, die gemeinsame Nutzung der Ressource anzunehmen. Sobald sie akzeptiert wurden, können sie den VPC-Ursprung verwenden.

Sie können einen VPC-Ursprung, den Sie besitzen, mit der CloudFront Konsole, der AWS RAM Konsole oder dem AWS CLI teilen.

So erstellen Sie eine Ressourcenfreigabe mithilfe der Konsole CloudFront

1. Öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

2. Wählen Sie im Navigationsbereich die Option VPC-Ursprünge aus.

3. Wählen Sie eine oder mehrere Ressourcen aus und wählen Sie Share VPC origin aus.

4. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

5. Geben Sie unter Name einen Namen für die Ressourcenfreigabe ein.

6. Wählen Sie für Principal Type eine der folgenden Optionen aus:

   • AWS-Konto— Gewähren Sie Zugriff auf eine bestimmte AWS-Konto.

   • Organisationseinheit — Gewähren Sie Zugriff auf eine bestimmte Organisationseinheit (OU).

   • Organisation — Gewähren Sie Zugriff auf Ihre gesamte Organisation, einschließlich der untergeordneten Organisation OUs und AWS-Konten.

   1. Wenn Sie möchten AWS-Konto, geben Sie die Konto-ID-Nummer ein. Sie können Neues Konto hinzufügen wählen, um bis zu 5 hinzuzufügen AWS-Konten.

   2. Wenn Sie Organisationseinheit ausgewählt haben, geben Sie die ARN der Organisationseinheit ein. Sie können nur 1 OU eingeben.

   3. Wenn Sie Organisation ausgewählt haben, geben Sie den Organisations-ARN ein. Sie können nur eine Organisation eingeben.

7. Wählen Sie Ressourcen teilen aus.

   CloudFront Wendet standardmäßig die AWSRAMDefaultPermissionCloudFront AWS verwaltete Richtlinie auf die Ressourcenfreigabe an. Diese Richtlinie ermöglicht schreibgeschützte Aktionen auf der Ressourcenfreigabe, sodass Benutzerkonten die gemeinsam genutzte Ressource nicht aktualisieren oder löschen können. Sie können diese Richtlinie nicht bearbeiten oder aus der Ressourcenfreigabe entfernen.

   Tipp

   Nachdem Sie die Ressourcenfreigabe erstellt haben, können Sie weitere über die AWS-Konten AWS RAM Konsole hinzufügen. Weitere Informationen finden Sie im AWS RAM Benutzerhandbuch unter Aktualisieren einer Ressourcenfreigabe im AWS RAM.

Um einen VPC-Ursprung, den Sie besitzen, mithilfe der CloudFront Konsole gemeinsam zu nutzen

1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

2. Wählen Sie im Navigationsbereich die Option VPC-Ursprünge aus.

3. Wählen Sie eine Ressource aus und klicken Sie VPC VPC-Ursprung teilen.

4. Auf der Seite VPC-Ursprung teilen können Sie eine bestehende Ressourcenfreigabe auswählen, zu der Sie diesen VPC-Ursprung hinzufügen möchten.

5. Wählen Sie Ressource teilen aus.

   Auf der Seite mit den Ressourcendetails können Sie unter Geteilt mit sehen, dass Ihr VPC-Ursprung mit den folgenden Details geteilt wurde:

   • Namen gemeinsam genutzter Ressourcen

   • Status teilen

   • Datum der letzten Änderung

Nachdem Sie die Resource Share erstellt und für die Nutzerkonten freigegeben haben, haben diese 12 Stunden Zeit, um die Einladung anzunehmen. Weitere Informationen finden Sie im AWS RAM Benutzerhandbuch unter Annehmen und Ablehnen von Einladungen zur gemeinsamen Nutzung von Ressourcen.

Wichtig

Damit verbrauchende Konten Ihren VPC-Ursprung für ihre CloudFront Verteilung verwenden können, müssen Sie ihnen auch den ELB- oder EC2 Amazon-Endpunkt des VPC-Ursprungs mitteilen.

Um einen VPC-Ursprung, den Sie besitzen, mithilfe der AWS RAM Konsole gemeinsam zu nutzen

Erstellen Sie eine Ressourcenfreigabe und wählen Sie dann die CloudFront Ressourcen aus, die Sie ihr hinzufügen möchten. Weitere Informationen finden Sie im AWS RAM Benutzerhandbuch unter Creating a Resource Share.

Um einen VPC-Ursprung, den Sie besitzen, zu teilen, verwenden Sie AWS CLI

Verwenden Sie den Befehl create-resource-share.

Verwenden eines gemeinsamen VPC-Ursprungs

Um einen gemeinsamen VPC-Ursprung zu verwenden, muss das Konto, das die Einladung erhält, die Ressourcenfreigabe akzeptieren. Gehen Sie dazu zur AWS Resource Access Manager Konsole in der Region USA Ost (Nord-Virginia) und akzeptieren Sie alle ausstehenden Anfragen auf der Registerkarte Ausstehend. Weitere Informationen finden Sie im AWS RAM Benutzerhandbuch unter Akzeptieren gemeinsam genutzter Ressourcen.

Nachdem Sie die Ressourcenfreigabe akzeptiert haben, können Sie den VPC-Ursprung als Ursprung für Ihre CloudFront Distributionen verwenden.

Um einen gemeinsamen VPC-Ursprung zu verwenden

1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

2. Führen Sie im Navigationsbereich für Distributionen einen der folgenden Schritte aus:

   • Wählen Sie für eine neue Verteilung die Option Verteilung erstellen aus.

   • Wählen Sie für eine bestehende Distribution die Distribution-ID aus.

3. Wählen Sie für den Origin-Typ VPC-Ursprung aus und geben Sie dann den VPC-Ursprung an, der mit Ihnen geteilt wurde.

4. Geben Sie als VPC-Ursprungsendpunkt den privaten DNS-Namen Ihrer EC2 Amazon-Instance oder Ihres ELB-Load Balancers oder die Ursprungsdomäne ein. Wenn Sie diesen Wert noch nicht haben, müssen Sie ihn von dem beziehen AWS-Konto , dem der VPC-Ursprung gehört. Wenn Sie diesen Endpunkt noch nicht haben, können Sie ihn von dem beziehen AWS-Konto , dem der VPC-Ursprung gehört.

5. Folgen Sie den restlichen Schritten in der Konsole, um Ihre Distribution zu erstellen oder zu aktualisieren.

Identifizieren eines gemeinsamen VPC-Ursprungs

Eigentümer und Verbraucher können gemeinsam genutzte VPC-Ursprünge mithilfe der CloudFront Konsole und AWS CLI identifizieren.

So identifizieren Sie einen gemeinsam genutzten VPC-Ursprung mithilfe der Konsole CloudFront

1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

2. Wählen Sie im Navigationsbereich die Option VPC-Ursprünge aus. In der Spalte Besitzer-ID können Sie angeben, zu welcher Ressource AWS-Konto die Ressource gehört.

3. Wählen Sie eine Ressource aus.

4. Auf der Seite mit den Ressourcendetails können Sie unter Geteilt mit sehen, dass Ihr VPC-Ursprung mit den folgenden Details geteilt wurde:

   • Namen gemeinsam genutzter Ressourcen

   • Status teilen

   • Datum der letzten Änderung

Aufheben der gemeinsamen Nutzung eines VPC-Ursprungs

Wenn Sie die gemeinsame Nutzung einer Ressource aufheben, können die AWS-Konten (verbrauchenden Konten) diese Ressource nicht mehr für neue Verteilungen verwenden oder bestehende Verteilungen aktualisieren.

Anmerkung

Wenn Sie die gemeinsame Nutzung einer Ressource aufheben, bleiben bestehende Distributionen, die diese Ressource weiterhin verwenden, aktiv und versorgen weiterhin den Datenverkehr. Diese Verteilungen können jedoch erst bearbeitet werden, wenn die nicht gemeinsam genutzte Ressource als Quelle entfernt wurde. Wir empfehlen Ihnen, sicherzustellen, dass alle Konten, die die nicht gemeinsam genutzte Ressource nutzen, die Nutzung beenden, bevor Sie die gemeinsame Nutzung aufheben.

Um die gemeinsame Nutzung eines gemeinsam genutzten VPC-Ursprungs, den Sie besitzen, aufzuheben, müssen Sie ihn aus der Ressourcenfreigabe entfernen. Sie können dies mit der CloudFront Konsole, AWS RAM der Konsole oder dem tun. AWS CLI

So heben Sie mithilfe der Konsole die Freigabe eines gemeinsam genutzten VPC-Ursprungs auf, dessen Eigentümer Sie sind CloudFront

1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

2. Wählen Sie im Navigationsbereich die Option VPC-Ursprünge aus.

3. Wählen Sie eine Ressource aus und wählen Sie Unshare aus.

4. Überprüfen Sie die Details im Dialogfeld „Ressource nicht teilen“ und wählen Sie dann Unshare aus. Die aufgelisteten Principals haben keinen Zugriff mehr auf Ihre gemeinsam genutzte Ressource.

So heben Sie mithilfe der Konsole die Freigabe eines gemeinsam genutzten VPC-Ursprungs auf, dessen Eigentümer Sie sind AWS RAM

Siehe Aktualisieren einer Ressourcenfreigabe im AWS RAM -Benutzerhandbuch.

Um die gemeinsame Nutzung eines gemeinsam genutzten VPC-Ursprungs aufzuheben, den Sie besitzen, verwenden Sie den AWS CLI

Verwenden Sie den Befehl disassociate-resource-share.

Zuständigkeiten und Berechtigungen für gemeinsame VPC-Ursprünge

Berechtigungen für Besitzer

Stellen Sie als Konto, das die Ressource besitzt, sicher, dass alle Konten, die die Ressource verbrauchen, die Ressource nicht mehr verwenden, bevor Sie die gemeinsame Nutzung aufheben oder sie löschen.

Berechtigungen für Konsumenten

Benutzerkonten können gemeinsam genutzte Ressourcen als Quelle für ihre CloudFront Distributionen verwenden, sie können die Ressourcen jedoch nicht bearbeiten oder löschen. Standardmäßig wird die AWSRAMDefaultPermissionCloudFront AWS verwaltete Richtlinie auf die Ressourcenfreigabe im gemeinsam genutzten Konto angewendet (das Konto, dem die Ressource gehört).

AWSRAMDefaultPermissionCloudFront

Wenn Sie eine Ressourcenfreigabe in erstellen CloudFront, CloudFront verwendet die AWSRAMDefaultPermissionCloudFront AWS verwaltete Richtlinie und wendet sie auf Ihre Ressourcenfreigabe an. Diese Richtlinie gewährt nur Leseberechtigungen für CloudFront Ressourcen, die vom Ressourcenbesitzer für das Konto, das sie nutzt, gemeinsam genutzt werden können.

Weitere Informationen zur Verwaltung von Berechtigungen in AWS RAM finden Sie unter Verwalten von Berechtigungen AWS RAM im AWS Resource Access Manager Benutzerhandbuch.

Fakturierung und Messung

Für die gemeinsame Nutzung von VPC-Ursprüngen mit anderen AWS-Konten fallen keine zusätzlichen Gebühren an. Die Nutzungskosten des Datenverkehrs für eine Distribution, die einen gemeinsamen VPC-Ursprung verwendet, werden dem verbrauchenden Konto gutgeschrieben, dem die Verteilung gehört.

Kontingente für gemeinsame Ressourcen

CloudFront verwendet dieselben Kontingente für die gemeinsame Nutzung von Ressourcen wie von angegeben AWS RAM. Von der CloudFront Konsole aus können Sie bis zu 5 AWS-Konten, 1 OU oder 1 Organisation hinzufügen. Verwenden Sie die AWS RAM Konsole oder AWS RAM API, um weitere hinzuzufügen.

Weitere Informationen finden Sie unter Service Quotas für AWS RAM im AWS RAM User Guide.