View a markdown version of this page

Zugriffsbeschränkung mit VPC-Ursprüngen - Amazon CloudFront
VoraussetzungenErstellen eines VPC-Ursprungs (neue Distribution)Erstellen eines VPC-Ursprungs (vorhandene Distribution)Aktualisieren eines VPC-UrsprungsWird AWS-Regionen für VPC-Ursprünge unterstützt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffsbeschränkung mit VPC-Ursprüngen

Sie können CloudFront damit Inhalte aus Anwendungen bereitstellen, die in Ihren privaten VPC-Subnetzen (Virtual Private Cloud) gehostet werden. Sie können Application Load Balancer (ALB), Network Load Balancer (NLB) und EC2-Instances in privaten Subnetzen als VPC-Ursprünge verwenden.

Hier einige Gründe für die Verwendung von VPC-Ursprüngen:

  • Sicherheit — VPC Origins wurde entwickelt, um den Sicherheitsstatus Ihrer Anwendung zu verbessern, indem Ihre Load Balancer und EC2-Instances in privaten Subnetzen platziert werden, wodurch CloudFront der zentrale Einstiegspunkt entsteht. Benutzeranfragen werden über eine private, sichere Verbindung CloudFront zu den VPC-Ursprüngen weitergeleitet und bieten so zusätzliche Sicherheit für Ihre Anwendungen.

  • Verwaltung — VPC-Ursprünge reduzieren den Betriebsaufwand, der für eine sichere Konnektivität zwischen den CloudFront Ursprüngen erforderlich ist. Sie können Ihre Ursprünge in private Subnetze ohne öffentlichen Zugriff verschieben, und Sie müssen keine Zugriffskontrolllisten (ACLs) oder andere Mechanismen implementieren, um den Zugriff auf Ihre Ursprünge einzuschränken. Auf diese Weise müssen Sie nicht in undifferenzierte Entwicklungsarbeit investieren, um Ihre Webanwendungen mit abzusichern. CloudFront

  • Skalierbarkeit und Leistung — VPC Origins hilft Ihnen dabei, Ihre Webanwendungen zu sichern, sodass Sie Zeit haben, sich auf das Wachstum Ihrer kritischen Geschäftsanwendungen zu konzentrieren und gleichzeitig die Sicherheit zu verbessern und gleichzeitig eine hohe Leistung und globale Skalierbarkeit aufrechtzuerhalten. CloudFront VPC Origins optimiert das Sicherheitsmanagement und reduziert die betriebliche Komplexität, sodass Sie es CloudFront als zentrale Anlaufstelle für Ihre Anwendungen verwenden können.

Tipp

CloudFront unterstützt die gemeinsame Nutzung von VPC-Ursprüngen AWS-Konten, unabhängig davon, ob sie sich in Ihrer Organisation befinden oder nicht. Sie können VPC-Ursprünge von der CloudFront Konsole aus teilen oder AWS Resource Access Manager (AWS RAM) verwenden. Weitere Informationen finden Sie unter Arbeiten mit gemeinsam genutzten Ressourcen in CloudFront.

Voraussetzungen

Bevor Sie einen VPC-Ursprung für Ihre CloudFront Distribution erstellen, müssen Sie die folgenden Schritte ausführen:

VPC-Konfiguration

Erstellen Sie eine virtuelle private Cloud (VPC) auf Amazon VPC in einer der AWS-Regionen , die für VPC-Ursprünge unterstützt werden. Weitere Informationen über das Erstellen einer VPC finden Sie unter Erstellen einer VPC sowie anderer VPC-Ressourcen im Benutzerhandbuch für Amazon VPC. Eine Liste der unterstützten -Regionen finden Sie unter Wird AWS-Regionen für VPC-Ursprünge unterstützt.

Ihre VPC muss Folgendes beinhalten:

  • Internet-Gateway – Sie müssen der VPC, die über Ihre VPC-Ursprungsressourcen verfügt, ein Internet-Gateway hinzufügen. Das Internet-Gateway ist erforderlich, um anzugeben, dass die VPC Datenverkehr aus dem Internet empfangen kann. Das Internet-Gateway wird nicht für die Weiterleitung von Datenverkehr zu Ursprüngen innerhalb des Subnetzes verwendet und Sie müssen die Routing-Richtlinien nicht aktualisieren.

  • Privates Subnetz mit mindestens einer verfügbaren IPv4 Adresse — CloudFront leitet zu Ihrem Subnetz über ein vom Service verwaltetes elastic network interface (ENI) weiter, das CloudFront erstellt wird, nachdem Sie Ihre VPC-Ursprungsressource mit definiert haben. CloudFront Sie müssen mindestens eine verfügbare IPv4 Adresse in Ihrem privaten Subnetz haben, damit der ENI-Erstellungsprozess erfolgreich sein kann. Die IPv4 Adresse kann privat sein und es fallen keine zusätzlichen Kosten an. IPv6-Nur Subnetze werden nicht unterstützt.

Origin-Ressourcen

Starten Sie im privaten Subnetz einen Application Load Balancer, einen Network Load Balancer oder eine EC2-Instance zur Verwendung als Ursprung. Die Ressource, die Sie starten, muss vollständig bereitgestellt sein und sich im Status Aktiv befinden, bevor Sie sie als VPC-Ursprung verwenden können.

Einschränkungen bei der Herkunft:

  • Gateway Load Balancer können nicht als Ursprünge hinzugefügt werden

  • Dual-Stack-Netzwerk-Loadbalancer können nicht als Ursprünge hinzugefügt werden

  • Network Load Balancer mit TLS-Listenern können nicht als Ursprünge hinzugefügt werden

  • Um als VPC-Ursprung verwendet zu werden, muss einem Network Load Balancer eine Sicherheitsgruppe zugeordnet sein.

Sicherheitsgruppenkonfiguration

Ihren VPC-Ursprungsressourcen (Application Load Balancer, Network Load Balancer oder EC2-Instance) muss eine Sicherheitsgruppe angehängt sein. Wenn Sie einen VPC-Ursprung erstellen, CloudFront wird automatisch eine vom Service verwaltete Sicherheitsgruppe mit dem Benennungsmuster erstellt. CloudFront-VPCOrigins-Service-SG Diese Sicherheitsgruppe wird vollständig von AWS verwaltet und sollte nicht bearbeitet werden.

Damit der Datenverkehr Ihren VPC-Ursprung erreicht, aktualisieren Sie die mit Ihrer Ursprungsressource verknüpfte Sicherheitsgruppe (ALB-, NLB- oder EC2-Instance), sodass eingehender Datenverkehr mit einer der folgenden Methoden zugelassen wird: CloudFront

  • Option 1: Verkehr aus der Liste der verwalteten Präfixe zulassen. CloudFront Weitere Informationen finden Sie unter Verwenden Sie die Liste der CloudFront verwalteten Präfixe. Dies kann auch vor der Erstellung des VPC-Ursprungs erfolgen.

  • Option 2: Datenverkehr aus der vom CloudFront Service verwalteten Sicherheitsgruppe zulassen ()CloudFront-VPCOrigins-Service-SG. Dies ist erst möglich, nachdem der VPC-Ursprung und die vom Service verwaltete Sicherheitsgruppe erstellt wurden. Diese Konfiguration ist noch restriktiver, da sie den Datenverkehr nur auf Ihre Distributionen beschränkt. CloudFront

Wichtig

Erstellen Sie keine eigene Sicherheitsgruppe, deren Name mit beginnt. CloudFront-VPCOrigins-Service-SG Dies ist ein AWS reserviertes Benennungsmuster für vom Dienst verwaltete Sicherheitsgruppen. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsgruppe.

Protokoll- und Funktionseinschränkungen

VPC-Ursprünge unterstützen Folgendes nicht:

  • gRPC-Verkehr

  • Auslöser für Origin-Anfrage und Origin-Antwort mit Lambda @Edge

Erstellen eines VPC-Ursprungs (neue Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre neue CloudFront Distribution in der CloudFront Konsole erstellen. Alternativ können Sie die CreateDistributionAPI-Operationen CreateVpcOriginund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

So erstellen Sie einen VPC-Ursprung für eine neue Distribution CloudFront

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen aus.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie unter Ursprungs-ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder Ihrer EC2-Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.

  4. Wählen Sie VPC-Ursprung erstellen aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  6. Wählen Sie Distributionen, Distribution erstellen aus.

  7. Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus der Dropdown-Liste aus.

    Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Ursprungsdomain ein.

  8. Schließen Sie die Erstellung der Distribution ab. Weitere Informationen finden Sie unter Erstellen Sie eine CloudFront Distribution in der Konsole.

Erstellen eines VPC-Ursprungs (vorhandene Distribution)

Das folgende Verfahren zeigt Ihnen, wie Sie in der CloudFront Konsole einen VPC-Ursprung für Ihre bestehende CloudFront Distribution erstellen, um die kontinuierliche Verfügbarkeit Ihrer Anwendungen sicherzustellen. Alternativ können Sie die Operationen CreateVpcOriginund die UpdateDistributionWithStagingConfigAPI mit dem AWS CLI oder einem AWS SDK verwenden.

Optional können Sie Ihren VPC-Ursprung zu Ihrer vorhandenen Distribution hinzufügen, ohne eine Staging-Distribution zu erstellen.

Um einen VPC-Ursprung für Ihre bestehende CloudFront Distribution zu erstellen

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Wählen Sie VPC-Ursprünge, VPC-Ursprung erstellen aus.

  3. Füllen Sie die erforderlichen Felder aus. Wählen Sie unter Ursprungs-ARN den ARN Ihres Application Load Balancer, Network Load Balancer oder Ihrer EC2-Instance aus. Wenn der ARN nicht angezeigt wird, können Sie Ihren spezifischen Ressourcen-ARN kopieren und hier einfügen.

  4. Wählen Sie VPC-Ursprung erstellen aus.

  5. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  6. Rufen Sie im Navigationsbereich Distributions auf.

  7. Wählen Sie die ID Ihrer Distribution aus.

  8. Wählen Sie auf der Registerkarte Allgemeines unter Kontinuierliche Bereitstellung die Option Staging-Distribution erstellen aus. Weitere Informationen finden Sie unter Verwenden Sie CloudFront Continuous Deployment, um CDN-Konfigurationsänderungen sicher zu testen.

  9. Folgen Sie den Schritten im Assistenten Staging-Distribution erstellen, um eine Staging-Distribution zu erstellen. Führen Sie die folgenden Schritte aus:

    • Wählen Sie unter Ursprünge die Option Ursprung erstellen aus.

    • Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.

      Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Ursprungsdomain ein.

    • Wählen Sie Create Origin (Ursprung erstellen) aus.

  10. Testen Sie in Ihrer Staging-Distribution den VPC-Ursprung.

  11. Stufen Sie die Konfiguration der Staging-Distribution zu Ihrer primären Distribution hoch. Weitere Informationen finden Sie unter Hochstufen der Konfiguration einer Staging-Distribution.

  12. Entfernen Sie den öffentlichen Zugriff auf Ihren VPC-Ursprung, indem Sie das Subnetz privat machen. Danach ist der VPC-Ursprung nicht mehr über das Internet auffindbar, hat aber CloudFront weiterhin privaten Zugriff darauf. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung eines Subnetzes zu einer Routing-Tabelle im Benutzerhandbuch für Amazon VPC.

Aktualisieren eines VPC-Ursprungs

Das folgende Verfahren zeigt Ihnen, wie Sie einen VPC-Ursprung für Ihre CloudFront Distribution in der CloudFront Konsole aktualisieren. Alternativ können Sie die UpdateVpcOriginAPI-Operationen UpdateDistributionund mit dem SDK AWS CLI oder einem AWS SDK verwenden.

Um einen vorhandenen VPC-Ursprung für Ihre CloudFront Distribution zu aktualisieren

  1. Öffnen Sie die CloudFront Konsole unter. https://console.aws.amazon.com/cloudfront/v4/home

  2. Rufen Sie im Navigationsbereich Distributions auf.

  3. Wählen Sie die ID Ihrer Distribution aus.

  4. Wählen Sie die Registerkarte Behaviors aus.

  5. Stellen Sie sicher, dass der VPC-Ursprung nicht der Standardursprung für Ihr Cache-Verhalten ist.

  6. Wählen Sie den Tab Ursprünge aus.

  7. Wählen Sie den zu aktualisierenden VPC-Ursprung und dann Löschen aus. Dadurch wird der VPC-Ursprung von Ihrer Distribution getrennt. Wiederholen Sie die Schritte 2–7, um den VPC-Ursprung von anderen Distributionen zu trennen.

  8. Wählen Sie VPC-Ursprünge aus.

  9. Wählen Sie den VPC-Ursprung und dann Bearbeiten aus.

  10. Nehmen Sie die Aktualisierungen vor und wählen Sie VPC-Ursprung aktualisieren aus.

  11. Warten Sie, bis sich Ihr VPC-Ursprungsstatus in Bereitgestellt ändert. Dieser Vorgang kann bis zu 15 Minuten dauern.

  12. Rufen Sie im Navigationsbereich Distributions auf.

  13. Wählen Sie die ID Ihrer Distribution aus.

  14. Wählen Sie den Tab Ursprünge aus.

  15. Wählen Sie Create Origin (Ursprung erstellen) aus.

  16. Wählen Sie für Ursprungsdomain Ihre VPC-Ursprungsressource aus dem Dropdown-Menü aus.

    Wenn Ihr VPC-Ursprung eine EC2-Instance ist, kopieren Sie den privaten IP-DNS-Namen der Instance und fügen Sie ihn in das Feld Ursprungsdomain ein.

  17. Wählen Sie Create Origin (Ursprung erstellen) aus. Dadurch wird der VPC-Ursprung wieder mit Ihrer Distribution verknüpft. Wiederholen Sie die Schritte 12–17, um den aktualisierten VPC-Ursprung anderen Distributionen zuzuordnen.

Wird AWS-Regionen für VPC-Ursprünge unterstützt

VPC-Ursprünge werden derzeit in der folgenden Werbung AWS-Regionen unterstützt. Ausgeschlossene Availability Zones (AZ) sind angegeben.

Name der Region Region
USA Ost (Ohio) us-east-2
USA Ost (Nord-Virginia) us-east-1 (except AZ use1-az3)
USA West (Nordkalifornien) us-west-1 (except AZ usw1-az2)
USA West (Oregon) us-west-2
Africa (Cape Town) af-south-1
Asia Pacific (Hong Kong) ap-east-1
Asien-Pazifik (Mumbai) ap-south-1
Asien-Pazifik (Hyderabad) ap-south-2
Asien-Pazifik (Jakarta) ap-southeast-3
Asien-Pazifik (Melbourne) ap-southeast-4
Asien-Pazifik (Osaka) ap-northeast-3
Asien-Pazifik (Singapur) ap-southeast-1
Asien-Pazifik (Sydney) ap-southeast-2
Asien-Pazifik (Tokio) ap-northeast-1 (except AZ apne1-az3)
Asien-Pazifik (Seoul) ap-northeast-2
Asien-Pazifik (Thailand) ap-southeast-7
Asien-Pazifik (Malaysia) ap-southeast-5
Asien-Pazifik (Neuseeland) ap-southeast-6
Asien-Pazifik (Taipeh) ap-east-2
Kanada (Zentral) ca-central-1 (except AZ cac1-az3)
Kanada West (Calgary) ca-west-1
Europe (Frankfurt) eu-central-1
Europa (Irland) eu-west-1
Europa (London) eu-west-2
Europa (Milan) eu-south-1
Europa (Paris) eu-west-3
Europa (Spain) eu-south-2
Europa (Stockholm) eu-north-1
Europa (Zürich) eu-central-2
Israel (Tel Aviv) il-central-1
Middle East (Bahrain) me-south-1
Naher Osten (VAE) me-central-1
Südamerika (São Paulo) sa-east-1
Mexiko (Zentral) mx-central-1