Limitazione dell’accesso con VPC Origins - Amazon CloudFront
PrerequisitiCreazione di un’origine VPC (nuova distribuzione)Creazione di un’origine VPC (distribuzione esistente)Aggiornamento di un’origine VPCSupportato Regioni AWS per le origini VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazione dell’accesso con VPC Origins

È possibile CloudFront utilizzarlo per distribuire contenuti da applicazioni ospitate nelle sottoreti private del cloud privato virtuale (VPC). Puoi utilizzare Application Load Balancer (ALB), Network Load Balancer (NLB) e istanze EC2 in sottoreti private come VPC Origins.

Di seguito sono riportati alcuni motivi per cui è possibile utilizzare VPC Origins:

  • Sicurezza: VPC Origins è progettato per migliorare il livello di sicurezza dell'applicazione posizionando i sistemi di bilanciamento del carico e le istanze EC2 in sottoreti private, creando un unico punto di ingresso. CloudFront Le richieste degli utenti passano dalle CloudFront origini del VPC tramite una connessione privata e sicura, che fornisce una sicurezza aggiuntiva per le tue applicazioni.

  • Gestione: le origini VPC riducono il sovraccarico operativo richiesto per una connettività sicura tra e CloudFront origini. È possibile spostare le origini in sottoreti private senza accesso pubblico e non è necessario implementare liste di controllo degli accessi (ACLs) o altri meccanismi per limitare l'accesso alle origini. In questo modo, non è necessario investire in attività di sviluppo indifferenziate con cui proteggere le applicazioni web. CloudFront

  • Scalabilità e prestazioni: VPC Origins ti aiuta a proteggere le tue applicazioni web, liberando tempo per concentrarti sulla crescita delle tue applicazioni aziendali critiche, migliorando al contempo la sicurezza e mantenendo alte prestazioni e scalabilità globale con. CloudFront VPC Origins semplifica la gestione della sicurezza e riduce la complessità operativa in modo da poterlo utilizzare CloudFront come unico punto di accesso per le applicazioni.

Suggerimento

CloudFront supporta la condivisione delle origini VPC all'interno Account AWS dell'organizzazione o meno. Puoi condividere le origini del VPC dalla CloudFront console o utilizzare AWS Resource Access Manager ()AWS RAM. Per ulteriori informazioni, consulta Utilizzo di risorse condivise in CloudFront.

Prerequisiti

Prima di creare un'origine VPC per la tua CloudFront distribuzione, devi completare quanto segue:

Configurazione del VPC

Crea un cloud privato virtuale (VPC) su Amazon VPC in uno dei sistemi Regioni AWS supportati per le origini VPC. Per informazioni sulla creazione di un VPC, consulta Creazione di un VPC e altre risorse VPC nella Guida per l’utente di Amazon VPC. Per un elenco delle regioni supportate, consulta Supportato Regioni AWS per le origini VPC.

Il tuo VPC deve includere quanto segue:

  • Gateway Internet: devi aggiungere un gateway Internet al VPC che contiene le risorse di origine VPC. Il gateway Internet è necessario per indicare che il VPC può ricevere traffico da Internet. Il gateway Internet non viene utilizzato per instradare il traffico verso le origini all’interno della sottorete e non è necessario aggiornare le policy di instradamento.

  • Sottorete privata con almeno un IPv4 indirizzo disponibile: effettua il CloudFront routing verso la sottorete utilizzando un'interfaccia di rete elastica (ENI) gestita dai servizi che CloudFront viene creata dopo aver definito la risorsa di origine VPC con. CloudFront È necessario disporre di almeno un IPv4 indirizzo disponibile nella sottorete privata in modo che il processo di creazione dell'ENI possa avere successo. L' IPv4 indirizzo può essere privato e non prevede costi aggiuntivi. IPv6-solo le sottoreti non sono supportate.

Risorse Origin

Nella sottorete privata, avvia un Application Load Balancer, un Network Load Balancer o un’istanza EC2 da usare come origine. La risorsa avviata deve essere completamente distribuita e in stato Attivo prima di poterla utilizzare per un’origine VPC.

Restrizioni all'origine:

  • I Gateway Load Balancer non possono essere aggiunti come origini

  • I Network Load Balancer dual-stack non possono essere aggiunti come origini

  • I Network Load Balancer con listener TLS non possono essere aggiunti come origini

  • Per essere utilizzato come origine VPC, un Network Load Balancer deve avere un gruppo di sicurezza collegato

Configurazione del gruppo di sicurezza

Le tue risorse di origine VPC (Application Load Balancer, Network Load Balancer o istanza EC2) devono avere un gruppo di sicurezza collegato. Quando crei un'origine VPC, crea CloudFront automaticamente un gruppo di sicurezza gestito dai servizi con lo schema di denominazione. CloudFront-VPCOrigins-Service-SG Questo gruppo di sicurezza è completamente gestito da AWS e non deve essere modificato.

Per consentire al traffico di CloudFront raggiungere l'origine del VPC, aggiorna il gruppo di sicurezza collegato alla risorsa di origine (ALB, NLB o istanza EC2) per consentire il traffico in entrata utilizzando uno dei seguenti metodi:

  • Opzione 1: consenti il traffico proveniente dall'elenco dei prefissi gestiti. CloudFront Per ulteriori informazioni, consulta Utilizza l'elenco dei prefissi CloudFront gestiti. Questa operazione può essere eseguita anche prima della creazione dell'origine del VPC.

  • Opzione 2: consenti il traffico proveniente dal gruppo di sicurezza CloudFront gestito dal servizio (). CloudFront-VPCOrigins-Service-SG Questa operazione può essere eseguita solo dopo la creazione dell'origine del VPC e la creazione del gruppo di sicurezza gestito dal servizio. Questa configurazione è ulteriormente restrittiva in quanto limita il traffico solo alle distribuzioni. CloudFront

Importante

Non create il vostro gruppo di sicurezza con un nome che inizia con. CloudFront-VPCOrigins-Service-SG Si tratta di un modello di denominazione AWS riservato per i gruppi di sicurezza gestiti dai servizi. Per ulteriori informazioni, consulta Creazione di un gruppo di sicurezza.

Restrizioni relative a protocolli e funzionalità

Le origini VPC non supportano quanto segue:

  • WebSockets

  • Traffico gRPC

  • Trigger di richiesta e risposta all'origine con Lambda @Edge

Creazione di un’origine VPC (nuova distribuzione)

La procedura seguente mostra come creare un'origine VPC per la nuova CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine CreateDistributionAPI con AWS CLI o un AWS SDK.

Per creare un'origine VPC per una nuova distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli VPC Origins, Crea origine VPC.

  3. Compila i campi obbligatori. Per ARN origine, seleziona l’ARN di Application Load Balancer, Network Load Balancer o Istanza EC2. Se non vedi l’ARN, puoi copiare l’ARN specifico della risorsa e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  6. Scegli Distribuzioni, Crea distribuzione.

  7. Per Dominio origine, seleziona la risorsa VPC Origins dall’elenco a discesa.

    Se l’origine VPC è un’istanza EC2, copia e incolla il Nome DNS IP privato dell’istanza nel campo Dominio origine.

  8. Completa la creazione della distribuzione. Per ulteriori informazioni, consulta Crea una CloudFront distribuzione nella console.

Creazione di un’origine VPC (distribuzione esistente)

La procedura seguente mostra come creare un'origine VPC per la CloudFront distribuzione esistente nella CloudFront console, che aiuta a garantire la disponibilità continua delle applicazioni. In alternativa, puoi utilizzare le operazioni CreateVpcOrigine UpdateDistributionWithStagingConfigAPI con AWS CLI o un AWS SDK.

Facoltativamente, puoi scegliere di aggiungere l’origine VPC alla distribuzione esistente senza creare una distribuzione temporanea.

Per creare un'origine VPC per la distribuzione esistente CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli VPC Origins, Crea origine VPC.

  3. Compila i campi obbligatori. Per ARN origine, seleziona l’ARN di Application Load Balancer, Network Load Balancer o Istanza EC2. Se non vedi l’ARN, puoi copiare l’ARN specifico della risorsa e incollarlo qui.

  4. Scegli Crea origine VPC.

  5. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  6. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  7. Scegli l’ID della distribuzione.

  8. Nella scheda Generale, in Implementazione continua, scegli Crea distribuzione di gestione temporanea. Per ulteriori informazioni, consulta Utilizza la distribuzione CloudFront continua per testare in sicurezza le modifiche alla configurazione CDN.

  9. Segui le fasi della procedura guidata Creazione distribuzione di gestione temporanea per creare una distribuzione temporanea. Includi le fasi seguenti:

    • Per Origini, scegli Crea origine.

    • Per Dominio origine, seleziona la risorsa VPC Origins dal menu a discesa.

      Se l’origine VPC è un’istanza EC2, copia e incolla il Nome DNS IP privato dell’istanza nel campo Dominio origine.

    • Scegli Create Origin (Crea origine).

  10. Nella distribuzione temporanea, verifica l’origine VPC.

  11. Promuovi la configurazione della distribuzione temporanea nella distribuzione primaria. Per ulteriori informazioni, consulta Promozione di una configurazione di distribuzione temporanea.

  12. Rimuovi l’accesso pubblico all’origine VPC rendendo privata la sottorete. Dopo aver eseguito questa operazione, l'origine del VPC non sarà più individuabile su Internet, ma CloudFront avrà comunque accesso privato ad essa. Per ulteriori informazioni, consulta Associare o dissociare una sottorete con una tabella di routing nella Guida per l’utente di Amazon VPC.

Aggiornamento di un’origine VPC

La procedura seguente mostra come aggiornare un'origine VPC per la CloudFront distribuzione nella CloudFront console. In alternativa, puoi utilizzare le operazioni UpdateDistributione UpdateVpcOriginAPI con AWS CLI o un AWS SDK.

Per aggiornare un'origine VPC esistente per la tua distribuzione CloudFront

  1. Apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  3. Scegli l’ID della distribuzione.

  4. Scegli la scheda Behaviors (Comportamenti).

  5. Assicurati che l’origine VPC non sia l’origine predefinita per il comportamento cache.

  6. Seleziona la scheda Origins (Origini).

  7. Seleziona l’origine VPC che intendi aggiornare e scegli Elimina. L’origine VPC viene dissociata dalla distribuzione. Ripeti i passaggi da 2 a 7 per dissociare l’origine VPC da qualsiasi altra distribuzione.

  8. Scegli VPC Origins.

  9. Seleziona l’origine VPC e scegli Modifica.

  10. Effettua gli aggiornamenti e scegli Aggiorna origine VPC.

  11. Attendi che lo stato dell’origine VPC cambi in Implementato. Questa operazione può richiedere fino a 15 minuti.

  12. Nel riquadro di navigazione seleziona Distributions (Distribuzioni).

  13. Scegli l’ID della distribuzione.

  14. Seleziona la scheda Origins (Origini).

  15. Scegli Create Origin (Crea origine).

  16. Per Dominio origine, seleziona la risorsa VPC Origins dal menu a discesa.

    Se l’origine VPC è un’istanza EC2, copia e incolla il Nome DNS IP privato dell’istanza nel campo Dominio origine.

  17. Scegli Create Origin (Crea origine). L’origine VPC viene nuovamente associata alla distribuzione. Ripeti i passaggi da 12 a 17 per associare l’origine VPC aggiornata a qualsiasi altra distribuzione.

Supportato Regioni AWS per le origini VPC

Le origini VPC sono attualmente supportate nelle seguenti pubblicità. Regioni AWS Sono indicate le eccezioni relative alla zona di disponibilità (AZ).

Nome della regione Regione
Stati Uniti orientali (Ohio) us-east-2
Stati Uniti orientali (Virginia settentrionale) us-east-1 (except AZ use1-az3)
Stati Uniti occidentali (California settentrionale) us-west-1 (except AZ usw1-az2)
Stati Uniti occidentali (Oregon) us-west-2
Africa (Città del Capo) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Hyderabad) ap-south-2
Asia Pacifico (Giacarta) ap-southeast-3
Asia Pacifico (Melbourne) ap-southeast-4
Asia Pacifico (Osaka) ap-northeast-3
Asia Pacifico (Singapore) ap-southeast-1
Asia Pacifico (Sydney) ap-southeast-2
Asia Pacifico (Tokyo) ap-northeast-1 (except AZ apne1-az3)
Asia Pacifico (Seul) ap-northeast-2 (except AZ apne2-az1)
Asia Pacifico (Thailandia) ap-southeast-7
Asia Pacifico (Malesia) ap-southeast-5
Asia Pacifico (Taipei) ap-east-2
Canada (Centrale) ca-central-1 (except AZ cac1-az3)
Canada occidentale (Calgary) ca-west-1
Europa (Francoforte) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londra) eu-west-2
Europa (Milano) eu-south-1
Europa (Parigi) eu-west-3
Europa (Spagna) eu-south-2
Europa (Stoccolma) eu-north-1
Europa (Zurigo) eu-central-2
Israele (Tel Aviv) il-central-1
Medio Oriente (Bahrein) me-south-1
Medio Oriente (Emirati Arabi Uniti) me-central-1
Sud America (San Paolo) sa-east-1
Messico (centrale) mx-central-1