VPC オリジンを使用したアクセス制限 - Amazon CloudFront
前提条件VPC オリジンを作成する (新しいディストリビューション)VPC オリジンを作成する (既存のディストリビューション)VPC オリジンを更新するVPC オリジンでサポートされている AWS リージョン

VPC オリジンを使用したアクセス制限

CloudFront を使用して、仮想プライベートクラウド (VPC) のプライベートサブネットでホストされているアプリケーションからコンテンツを配信できます。プライベートサブネットの Application Load Balancer (ALB)、Network Load Balancer (NLB)、EC2 インスタンスを VPC オリジンとして使用できます。

VPC オリジンを使用する理由は以下のとおりです。

  • セキュリティ – VPC オリジンは、ロードバランサーと EC2 インスタンスをプライベートサブネットに配置し、CloudFront を単一のエントリポイントにすることで、アプリケーションのセキュリティ体制を強化するように設計されています。ユーザーリクエストは、プライベートで安全な接続を介して CloudFront から VPC オリジンに送信され、アプリケーションのセキュリティを強化します。

  • 管理 – VPC オリジンは、CloudFront とオリジンの間の安全な接続に必要な運用オーバーヘッドを削減します。オリジンをパブリックアクセスのないプライベートサブネットに移動できます。オリジンへのアクセスを制限するためのアクセスコントロールリスト (ACL) やその他のメカニズムを実装する必要はありません。これにより、差別化につながらない開発作業に投資する必要なく、CloudFront でウェブアプリケーションを保護できます。

  • スケーラビリティとパフォーマンス – VPC オリジンは、ウェブアプリケーションを保護するのに役立ちます。CloudFront でセキュリティを向上させ、ハイパフォーマンスとグローバルスケーラビリティを維持しながら、重要なビジネスアプリケーションの育成に時間を集中できます。VPC オリジンは、セキュリティ管理を合理化し、運用の複雑さを軽減するため、CloudFront をアプリケーションの単一のエントリポイントとして使用できます。

ヒント

CloudFront は、組織内にあるかどうかにかかわらず、AWS アカウント間で VPC オリジンを共有できます。VPC オリジンは CloudFront コンソールから共有することも、AWS Resource Access Manager (AWS RAM) を使用することもできます。詳細については、「CloudFront での共有リソースの使用」を参照してください。

前提条件

CloudFront ディストリビューションの VPC オリジンを作成する前に、以下のことを完了する必要があります。

VPC 設定

VPC オリジン用にサポートされている AWS リージョンの 1 つで、Amazon VPC に仮想プライベートクラウド (VPC) を作成します。VPC の作成の詳細については、「Amazon VPC ユーザーガイド」の「VPC と他の VPC リソースを作成する」を参照してください。サポートされているリージョンのリストについては「」を参照してくださいVPC オリジンでサポートされている AWS リージョン

VPC には以下を含めます。

  • インターネットゲートウェイ – VPC オリジンリソースを持つ VPC にインターネットゲートウェイを追加する必要があります。インターネットゲートウェイは VPC がインターネットからトラフィックを受信できることを示すために必要です。インターネットゲートウェイは、サブネット内のオリジンへのトラフィックのルーティングには使用されないため、ルーティングポリシーを更新する必要はありません。

  • 少なくとも 1 つの利用可能な IPv4 アドレスを持つプライベートサブネット – CloudFront は、プライベートオリジン CloudFront リソースの定義後に CloudFront で作成したサービスマネージド Elastic Network Interface (ENI) を使用してサブネットにルーティングします。ENI 作成プロセスを成功させるには、プライベートサブネットに少なくとも 1 つの利用可能な IPv4 アドレスが必要です。IPv4 アドレスはプライベートにすることができます。追加料金はかかりません。IPv6 専用サブネットはサポートされていません。

オリジンリソース

プライベートサブネットで、オリジンとして使用する Application Load Balancer、Network Load Balancer、または EC2 インスタンスを起動します。起動するリソースは、VPC オリジンとして使用する前に、完全にデプロイ済みで、[アクティブ] ステータスになっている必要があります。

オリジンの制限

  • Gateway Load Balancers はオリジンとして追加できません

  • デュアルスタックの Network Load Balancer はオリジンとして追加できません

  • TLS リスナーを使用する Network Load Balancer はオリジンとして追加できません

  • VPC オリジンとして使用する Network Load Balancer には、セキュリティグループをアタッチする必要があります

セキュリティグループの設定

VPC オリジンリソース (Application Load Balancer、Network Load Balancer、または EC2 インスタンス) には、セキュリティグループがアタッチされている必要があります。VPC オリジンを作成すると、CloudFront は命名パターン CloudFront-VPCOrigins-Service-SG でサービスマネージドセキュリティグループを自動的に作成します。このセキュリティグループは AWS によって完全に管理されるため、編集できません。

CloudFront からのトラフィックが VPC オリジンに到達できるようにするには、オリジンリソース (ALB、NLB、または EC2 インスタンス) にアタッチされたセキュリティグループを更新して、次のいずれかの方法を使用してインバウンドトラフィックを許可します。

  • オプション 1: CloudFront マネージドプレフィックスリストからトラフィックを許可します。詳細については、「CloudFront マネージドプレフィックスリストを使用」を参照してください。これは、VPC オリジンを作成する前にも実行できます。

  • オプション 2: CloudFront サービスマネージドセキュリティグループ (CloudFront-VPCOrigins-Service-SG) からのトラフィックを許可します。これは、VPC オリジンが作成され、サービスマネージドセキュリティグループが作成された後にのみ実行できます。この設定は、トラフィックを CloudFront ディストリビューションのみに制限するため、さらに制限されます。

重要

CloudFront-VPCOrigins-Service-SG で始まる名前で独自のセキュリティグループを作成しないでください。これは、サービスマネージドセキュリティグループ用に予約された AWS 命名パターンです。詳細については、「セキュリティグループの作成」を参照してください。

プロトコルと機能の制限

VPC オリジンは以下をサポートしていません。

  • WebSockets

  • gRPC トラフィック

  • Lambda@Edge を使用したオリジンリクエストとオリジンレスポンスのトリガー

VPC オリジンを作成する (新しいディストリビューション)

次の手順は、CloudFront コンソールで新しい CloudFront ディストリビューションの VPC オリジンを作成する方法を示しています。別の方法として、AWS CLI または AWS SDK で CreateVpcOrigin および CreateDistribution API オペレーションを使用することもできます。

新しい CloudFront ディストリビューションの VPC オリジンを作成するには

  1. CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home) を開きます。

  2. [VPC オリジン][VPC オリジンを作成] の順に選択します。

  3. 必須フィールドに入力します。[オリジン ARN] で、Application Load Balancer、Network Load Balancer、または EC2 インスタンスの ARN を選択します。ARN が表示されない場合は、代わりに特定のリソースの ARN をコピーして、ここに貼り付けることができます。

  4. [VPC オリジンを作成] を選択します。

  5. VPC オリジンのステータスが [デプロイ済み] に変わるまで待ちます。これには最大 15 分かかることがあります。

  6. [ディストリビューション][ディストリビューションを作成] の順に選択します。

  7. [オリジンドメイン] で、ドロップダウンリストから VPC オリジンリソースを選択します。

    VPC オリジンが EC2 インスタンスの場合は、インスタンスのプライベート IP DNS 名をコピーして [オリジンドメイン] フィールドに貼り付けます。

  8. ディストリビューションの作成を完了します。詳細については、「コンソールに CloudFront ディストリビューションを作成する」を参照してください。

VPC オリジンを作成する (既存のディストリビューション)

次の手順では、CloudFront コンソールで既存の CloudFront ディストリビューションの VPC オリジンを作成する方法を示します。これにより、アプリケーションの継続的な可用性を確保できます。別の方法として、AWS CLI または AWS SDK で CreateVpcOrigin および UpdateDistributionWithStagingConfig API オペレーションを使用することもできます。

必要に応じて、ステージングディストリビューションを作成せずに、VPC オリジンを既存のディストリビューションに追加することもできます。

既存の CloudFront ディストリビューションの VPC オリジンを作成するには

  1. CloudFront コンソール (https://console.aws.amazon.com/cloudfront/v4/home) を開きます。

  2. [VPC オリジン][VPC オリジンを作成] の順に選択します。

  3. 必須フィールドに入力します。[オリジン ARN] で、Application Load Balancer、Network Load Balancer、または EC2 インスタンスの ARN を選択します。ARN が表示されない場合は、代わりに特定のリソースの ARN をコピーして、ここに貼り付けることができます。

  4. [VPC オリジンを作成] を選択します。

  5. VPC オリジンのステータスが [デプロイ済み] に変わるまで待ちます。これには最大 15 分かかることがあります。

  6. ナビゲーションペインで、[ディストリビューション] を選択します。

  7. ディストリビューションの ID を選択します。

  8. [全般] タブの [継続的デプロイ] で、[ステージングディストリビューションを作成] を選択します。詳細については、「CloudFront の継続的デプロイを使用して CDN 設定の変更を安全にテストする」を参照してください。

  9. [ステージングディストリビューションを作成] ウィザードの手順に従って、ステージングディストリビューションを作成します。以下のステップを実行します。

    • [オリジン] で、[オリジンを作成] を選択します。

    • [オリジンドメイン] で、ドロップダウンメニューから VPC オリジンリソースを選択します。

      VPC オリジンが EC2 インスタンスの場合は、インスタンスのプライベート IP DNS 名をコピーして [オリジンドメイン] フィールドに貼り付けます。

    • [オリジンを作成] を選択します。

  10. ステージングディストリビューションで、VPC オリジンをテストします。

  11. ステージングディストリビューション設定をプライマリディストリビューションに昇格させます。詳細については、「ステージングディストリビューション設定を昇格させる」を参照してください。

  12. サブネットをプライベートにして、VPC オリジンへのパブリックアクセスを削除します。これを行うと、VPC オリジンはインターネット経由で検出できなくなりますが、CloudFront は引き続きプライベートアクセスを保持します。詳細については、「Amazon VPC ユーザーガイド」の「サブネットをルートテーブルに関連付けるまたは関連付けを解除する」を参照してください。

VPC オリジンを更新する

次の手順は、CloudFront コンソールで CloudFront ディストリビューションの VPC オリジンを更新する方法を示しています。別の方法として、AWS CLI または AWS SDK で UpdateDistribution および UpdateVpcOrigin API オペレーションを使用することもできます。

CloudFront ディストリビューションの既存の VPC オリジンを更新するには

  1. https://console.aws.amazon.com/cloudfront/v4/home で CloudFront コンソールを開きます。

  2. ナビゲーションペインで、[ディストリビューション] を選択します。

  3. ディストリビューションの ID を選択します。

  4. [Behaviors] タブを選択します。

  5. VPC オリジンがキャッシュ動作のデフォルトオリジンではないことを確認します。

  6. [オリジン] タブを選択します。

  7. 更新する VPC オリジンを選択し、[削除] を選択します。これにより、VPC オリジンとディストリビューションの関連付けが解除されます。ステップ 2~7 を繰り返して、VPC オリジンと他のディストリビューションとの関連付けを解除します。

  8. [VPC オリジン] を選択します。

  9. VPC オリジンを選択し、[編集] を選択します。

  10. 更新を行い、[VPC オリジンを更新] を選択します。

  11. VPC オリジンのステータスが [デプロイ済み] に変わるまで待ちます。これには最大 15 分かかることがあります。

  12. ナビゲーションペインで、[ディストリビューション] を選択します。

  13. ディストリビューションの ID を選択します。

  14. [オリジン] タブを選択します。

  15. [オリジンを作成] を選択します。

  16. [オリジンドメイン] で、ドロップダウンメニューから VPC オリジンリソースを選択します。

    VPC オリジンが EC2 インスタンスの場合は、インスタンスのプライベート IP DNS 名をコピーして [オリジンドメイン] フィールドに貼り付けます。

  17. [オリジンを作成] を選択します。これにより、VPC オリジンがディストリビューションに再度関連付けられます。ステップ 12~17 を繰り返して、更新した VPC オリジンを他のディストリビューションと関連付けます。

VPC オリジンでサポートされている AWS リージョン

現在、VPC オリジンは以下の商用 AWS リージョンでサポートされています。アベイラビリティーゾーン (AZ) の例外を注記しています。

リージョン名 リージョン
米国東部(オハイオ) us-east-2
米国東部 (バージニア北部) us-east-1 (except AZ use1-az3)
米国西部 (北カリフォルニア) us-west-1 (except AZ usw1-az2)
米国西部 (オレゴン) us-west-2
アフリカ (ケープタウン) af-south-1
アジアパシフィック (香港) ap-east-1
アジアパシフィック (ムンバイ) ap-south-1
アジアパシフィック (ハイデラバード) ap-south-2
アジアパシフィック (ジャカルタ) ap-southeast-3
アジアパシフィック (メルボルン) ap-southeast-4
アジアパシフィック (大阪) ap-northeast-3
アジアパシフィック (シンガポール) ap-southeast-1
アジアパシフィック (シドニー) ap-southeast-2
アジアパシフィック (東京) ap-northeast-1 (except AZ apne1-az3)
アジアパシフィック (ソウル) ap-northeast-2 (except AZ apne2-az1)
アジアパシフィック (タイ) ap-southeast-7
アジアパシフィック (マレーシア) ap-southeast-5
アジアパシフィック (台北) ap-east-2
カナダ (中部) ca-central-1 (except AZ cac1-az3)
カナダ西部 (カルガリー) ca-west-1
欧州 (フランクフルト) eu-central-1
欧州 (アイルランド) eu-west-1
欧州 (ロンドン) eu-west-2
欧州 (ミラノ) eu-south-1
欧州 (パリ) eu-west-3
欧州 (スペイン) eu-south-2
欧州 (ストックホルム) eu-north-1
欧州 (チューリッヒ) eu-central-2
イスラエル (テルアビブ) il-central-1
中東 (バーレーン) me-south-1
中東 (アラブ首長国連邦) me-central-1
南米 (サンパウロ) sa-east-1
メキシコ (中部) mx-central-1