Restricción del acceso con orígenes de la VPC - Amazon CloudFront
Requisitos previosCreación de un origen de la VPC (nueva distribución)Creación de un origen de la VPC (distribución existente)Actualización de un origen de la VPCRegiones de AWS admitidas para Orígenes de la VPC

Restricción del acceso con orígenes de la VPC

Puede utilizar CloudFront para entregar contenido de las aplicaciones que se alojan en las subredes privadas de la nube privada virtual (VPC). Puede usar equilibradores de carga de aplicación, equilibradores de carga de red e instancias de EC2 en subredes privadas como orígenes de la VPC.

A continuación, se indican algunos de los motivos por los que es posible que desee utilizar Orígenes de la VPC:

  • Seguridad: Orígenes de la VPC se ha diseñado para mejorar el estado de seguridad de su aplicación porque coloca sus equilibradores de carga e instancias de EC2 en subredes privadas, lo que convierte a CloudFront en el único punto de entrada. Las solicitudes de los usuarios van de CloudFront a los orígenes de la VPC a través de una conexión privada y segura, lo que proporciona seguridad adicional a las aplicaciones.

  • Administración: Orígenes de la VPC reduce la sobrecarga operativa necesaria para una conectividad segura entre CloudFront y los orígenes. Puede trasladar sus orígenes a subredes privadas sin acceso público y no tiene que implementar listas de control de acceso (ACL) ni otros mecanismos para restringir el acceso a sus orígenes. De esta forma, no tiene que invertir en un trabajo de desarrollo indiferenciado para proteger sus aplicaciones web con CloudFront.

  • Escalabilidad y rendimiento: orígenes de la VPC le ayuda a proteger sus aplicaciones web, lo que le permite dedicar tiempo a centrarse en el crecimiento de sus aplicaciones empresariales fundamentales y, al mismo tiempo, mejorar la seguridad y mantener el alto rendimiento y la escalabilidad global con CloudFront. Orígenes de la VPC optimiza la administración de la seguridad y reduce la complejidad operativa para que pueda usar CloudFront como punto de entrada único para sus aplicaciones.

sugerencia

CloudFront permite compartir los orígenes de las VPC compartidos en Cuentas de AWS, estén o no en la organización. Puede compartir los orígenes de la VPC desde la consola de CloudFront o usar AWS Resource Access Manager (AWS RAM). Para obtener más información, consulte Trabajo con recursos compartidos en CloudFront.

Requisitos previos

Antes de crear un origen de la VPC para la distribución de CloudFront, debe completar los siguientes pasos:

Configuración de VPC

Cree una nube privada virtual (VPC) en Amazon VPC en uno de las Regiones de AWS compatibles con los orígenes de VPC. Para obtener información sobre la creación de una VPC, consulte Creación de una VPC y otros recursos de la VPC en la Guía del usuario de Amazon VPC. Para obtener una lista de las regiones de admitidas, consulte Regiones de AWS admitidas para Orígenes de la VPC.

Su VPC debe incluir lo siguiente:

  • Puerta de enlace de Internet: debe agregar una puerta de enlace de Internet a la VPC que tiene los recursos de origen de la VPC. La puerta de enlace de Internet es necesaria para indicar que la VPC pueda recibir tráfico de Internet. La puerta de enlace de Internet no se usa para enrutar el tráfico a los orígenes dentro de la subred y no es necesario actualizar las políticas de enrutamiento.

  • Subred privada con al menos una dirección IPv4 disponible: CloudFront se dirige a la subred mediante una interfaz de red elástica (ENI) administrada por un servicio que CloudFront crea después de definir el recurso de origen de la VPC con CloudFront. Debe tener al menos una dirección IPv4 disponible en su subred privada para que el proceso de creación de la ENI se lleve a cabo correctamente. La dirección IPv4 puede ser privada y no conlleva ningún coste adicional. No se admiten subredes solo de IPv6.

Recursos de origen

En la subred privada, lance un equilibrador de carga de aplicación, un equilibrador de carga de red o una instancia de EC2 para utilizarlos como origen. El recurso que lance debe estar completamente implementado y en estado Activo antes de poder usarlo para un origen de la VPC.

Restricciones de origen:

  • Los equilibradores de carga de puerta de enlace no se pueden añadir como orígenes

  • Los equilibradores de carga de red de doble pila no se pueden añadir como orígenes

  • Los equilibradores de carga de red con oyentes de TLS no se pueden añadir como orígenes

  • Para que se utilice como un origen de la VPC, un equilibrador de carga de red debe tener un grupo de seguridad asociado.

Configuración del grupo de seguridad

Los recursos de origen de su VPC (Equilibrador de carga de aplicación, Equilibrador de carga de red o instancia de EC2) deben tener asociado un grupo de seguridad. Al crear un origen de VPC, CloudFront crea automáticamente un grupo de seguridad administrado por el servicio con el patrón de nomenclatura CloudFront-VPCOrigins-Service-SG. Este grupo de seguridad está totalmente administrado por AWS y no debe modificarse.

Para permitir que el tráfico procedente de CloudFront llegue a su origen de VPC, actualice el grupo de seguridad asociado a su recurso de origen (ALB, NLB o instancia de EC2) para permitir el tráfico entrante utilizando uno de los siguientes métodos:

  • Opción 1: permitir el tráfico de la lista de prefijos administrados de CloudFront. Para obtener más información, consulte Utilizar la lista de prefijos administrados de CloudFront. Esto también se puede hacer antes de crear el origen de VPC.

  • Opción 2: permitir el tráfico del grupo de seguridad administrado por el servicio de CloudFront (CloudFront-VPCOrigins-Service-SG). Esto solo se puede hacer una vez que se haya creado el origen de la VPC y el grupo de seguridad administrado por el servicio. Esta configuración es aún más restrictiva, ya que limita el tráfico solo a sus distribuciones de CloudFront.

importante

No cree su propio grupo de seguridad cuyo nombre comience por CloudFront-VPCOrigins-Service-SG. Este es un patrón de nomenclatura reservado de AWS para grupos de seguridad administrados por el servicio. Para obtener más información, consulte Creación de un grupo de seguridad.

Restricciones de protocolos y características

Los orígenes de VPC no admiten lo siguiente:

  • WebSockets

  • Tráfico de gRPC

  • Desencadenadores de solicitud de origen y respuesta de origen con Lambda@Edge

Creación de un origen de la VPC (nueva distribución)

El siguiente procedimiento muestra cómo crear un origen de la VPC para la nueva distribución de CloudFront en la consola de CloudFront. También puede usar las operaciones de la API CreateVpcOrigin y CreateDistribution con la AWS CLI o un SDK de AWS.

Para crear un origen de la VPC para una nueva distribución de CloudFront

  1. Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. Elija Orígenes de la VPC, Crear origen de la VPC.

  3. Rellene los campos obligatorios. En ARN de origen, seleccione el ARN del equilibrador de carga de aplicación, equilibrador de carga de red o la instancia de EC2. Si no ve el ARN, puede copiar el ARN de recurso específico y pegarlo aquí.

  4. Elija Crear origen de la VPC.

  5. Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.

  6. Elija Distribuciones, Crear distribución.

  7. En Dominio de origen, seleccione su recurso de orígenes de la VPC en la lista desplegable.

    Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.

  8. Termine de crear su distribución. Para obtener más información, consulte Creación de una distribución de CloudFront en la consola.

Creación de un origen de la VPC (distribución existente)

El siguiente procedimiento muestra cómo crear un origen de la VPC para una distribución de CloudFront existente en la consola de CloudFront, lo que ayuda a garantizar una disponibilidad continua de sus aplicaciones. También puede usar las operaciones de la API CreateVpcOrigin y UpdateDistributionWithStagingConfig con la AWS CLI o un SDK de AWS.

Si lo desea, puede agregar el origen de la VPC a la distribución existente sin crear una distribución provisional.

Para crear un origen de la VPC para una distribución existente de CloudFront

  1. Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. Elija Orígenes de la VPC, Crear origen de la VPC.

  3. Rellene los campos obligatorios. En ARN de origen, seleccione el ARN del equilibrador de carga de aplicación, equilibrador de carga de red o la instancia de EC2. Si no ve el ARN, puede copiar el ARN de recurso específico y pegarlo aquí.

  4. Elija Crear origen de la VPC.

  5. Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.

  6. En el panel de navegación, elija Distribuciones.

  7. Elija el ID de su distribución.

  8. En la pestaña General, en Implementación continua, elija Crear distribución provisional. Para obtener más información, consulte Uso de la implementación continua de CloudFront para probar de forma segura los cambios en la configuración de la CDN.

  9. Siga los pasos del asistente Crear distribución provisional para crear una distribución provisional. Incluya los pasos siguientes:

    • En Orígenes, seleccione Crear origen.

    • En Dominio de origen, seleccione su recurso de orígenes de la VPC en el menú desplegable.

      Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.

    • Elija Crear origen.

  10. En la distribución provisional, pruebe el origen de la VPC.

  11. Promueva la configuración de la distribución provisional a su distribución principal. Para obtener más información, consulte Promoción de una configuración de distribución provisional.

  12. Elimine el acceso público al origen de la VPC haciendo la subred privada. Una vez hecho esto, el origen de la VPC no se podrá detectar en Internet, pero CloudFront seguirá teniendo acceso privado a él. Para obtener más información, consulte Asociación o desvinculación de una subred y una tabla de enrutamiento en la Guía del usuario de Amazon VPC.

Actualización de un origen de la VPC

El siguiente procedimiento muestra cómo actualizar un origen de la VPC para la distribución de CloudFront en la consola de CloudFront. También puede usar las operaciones de la API UpdateDistribution y UpdateVpcOrigin con la AWS CLI o un SDK de AWS.

Para actualizar un origen de la VPC de una distribución existente de CloudFront

  1. Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación, elija Distribuciones.

  3. Elija el ID de su distribución.

  4. Elija la pestaña Comportamientos.

  5. Asegúrese de que el origen de la VPC no sea el origen predeterminado del comportamiento de la caché.

  6. Elija la pestaña Orígenes.

  7. Seleccione el origen de la VPC que va a actualizar y elija Eliminar. Esto desvincula el origen de la VPC de la distribución. Repita los pasos 2 a 7 para desvincular el origen de la VPC de cualquier otra distribución.

  8. Elija Orígenes de la VPC.

  9. Seleccione el origen de la VPC y elija Editar.

  10. Realice las actualizaciones y elija Actualizar origen de la VPC.

  11. Espere a que el estado del origen de la VPC cambie a Implementado. Este proceso puede tardar hasta 15 minutos.

  12. En el panel de navegación, elija Distribuciones.

  13. Elija el ID de su distribución.

  14. Elija la pestaña Orígenes.

  15. Elija Crear origen.

  16. En Dominio de origen, seleccione su recurso de orígenes de la VPC en el menú desplegable.

    Si el origen la VPC es una instancia de EC2, copie y pegue el nombre DNS de IP privada de la instancia en el campo Dominio de origen.

  17. Elija Crear origen. Esto vuelve a asociar el origen de la VPC a su distribución. Repita los pasos 12 a 17 para asociar el origen de la VPC actualizada a cualquier otra distribución.

Regiones de AWS admitidas para Orígenes de la VPC

Actualmente, los orígenes de la VPC se admiten en las siguientes Regiones de AWS comerciales. Se indican las excepciones a la zona de disponibilidad (AZ).

Nombre de la región Región
Este de EE. UU. (Ohio) us-east-2
Este de EE. UU. (Norte de Virginia) us-east-1 (except AZ use1-az3)
Oeste de EE. UU. (Norte de California) us-west-1 (except AZ usw1-az2)
Oeste de EE. UU. (Oregón) us-west-2
África (Ciudad del Cabo) af-south-1
Asia-Pacífico (Hong Kong) ap-east-1
Asia-Pacífico (Mumbai) ap-south-1
Asia-Pacífico (Hyderabad) ap-south-2
Asia-Pacífico (Yakarta) ap-southeast-3
Asia-Pacífico (Melbourne) ap-southeast-4
Asia-Pacífico (Osaka) ap-northeast-3
Asia-Pacífico (Singapur) ap-southeast-1
Asia-Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1 (except AZ apne1-az3)
Asia-Pacífico (Seúl) ap-northeast-2 (except AZ apne2-az1)
Asia-Pacífico (Tailandia) ap-southeast-7
Asia-Pacífico (Malasia) ap-southeast-5
Asia-Pacífico (Taipéi) ap-east-2
Canadá (centro) ca-central-1 (except AZ cac1-az3)
Oeste de Canadá (Calgary) ca-west-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (Milán) eu-south-1
Europa (París) eu-west-3
Europa (España) eu-south-2
Europa (Estocolmo) eu-north-1
Europa (Zúrich) eu-central-2
Israel (Tel Aviv) il-central-1
Medio Oriente (Baréin) me-south-1
Medio Oriente (EAU) me-central-1
América del Sur (São Paulo) sa-east-1
México (centro) mx-central-1