Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Batasi akses dengan asal VPC
<a name="private-content-vpc-origins"></a>

Anda dapat menggunakannya CloudFront untuk mengirimkan konten dari aplikasi yang di-host di subnet pribadi virtual private cloud (VPC) Anda. Anda dapat menggunakan Application Load Balancers (ALB), Network Load Balancers (NLBs), dan instans EC2 di subnet pribadi sebagai asal VPC.

Berikut adalah beberapa alasan mengapa Anda mungkin ingin menggunakan asal VPC:
+ **Keamanan** - Asal VPC dirancang untuk meningkatkan postur keamanan aplikasi Anda dengan menempatkan penyeimbang beban dan instans EC2 Anda di subnet pribadi, menjadikan titik masuk tunggal. CloudFront Permintaan pengguna beralih dari CloudFront ke asal VPC melalui koneksi pribadi dan aman, memberikan keamanan tambahan untuk aplikasi Anda.
+ **Manajemen** — Asal VPC mengurangi overhead operasional yang diperlukan untuk konektivitas yang aman antara CloudFront dan asal. Anda dapat memindahkan asal Anda ke subnet pribadi tanpa akses publik, dan Anda tidak perlu menerapkan daftar kontrol akses (ACLs) atau mekanisme lain untuk membatasi akses ke asal Anda. Dengan cara ini, Anda tidak perlu berinvestasi dalam pekerjaan pengembangan yang tidak terdiferensiasi untuk mengamankan aplikasi web Anda. CloudFront 
+ **Skalabilitas dan kinerja** - Asal VPC membantu Anda mengamankan aplikasi web Anda, membebaskan waktu untuk fokus pada pengembangan aplikasi bisnis penting Anda sambil meningkatkan keamanan dan mempertahankan kinerja tinggi dan skalabilitas global dengan. CloudFront Asal VPC merampingkan manajemen keamanan dan mengurangi kompleksitas operasional sehingga Anda dapat menggunakannya CloudFront sebagai titik masuk tunggal untuk aplikasi Anda.

**Tip**  
CloudFront mendukung berbagi asal VPC di seluruh Akun AWS, apakah mereka berada di organisasi Anda atau tidak. Anda dapat membagikan asal VPC dari CloudFront konsol atau menggunakan AWS Resource Access Manager ()AWS RAM. Untuk informasi selengkapnya, lihat [Bekerja dengan sumber daya bersama di CloudFront](sharing-resources.md).

## Prasyarat
<a name="vpc-origin-prerequisites"></a>

Sebelum Anda membuat asal VPC untuk CloudFront distribusi Anda, Anda harus menyelesaikan yang berikut ini:

### Konfigurasi VPC
<a name="vpc-configuration"></a>

**Buat virtual private cloud (VPC) di Amazon VPC** di salah satu Wilayah AWS yang didukung untuk asal VPC. *Untuk informasi tentang membuat VPC, lihat [Membuat VPC plus sumber daya VPC lainnya di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-and-other-resources).* Untuk mengetahui daftar Wilayah yang didukung, lihat [Didukung Wilayah AWS untuk asal VPC](#vpc-origins-supported-regions).

VPC Anda harus menyertakan hal-hal berikut:
+ **Internet gateway** — Anda perlu menambahkan gateway internet ke VPC yang memiliki sumber daya asal VPC Anda. Gateway internet diperlukan untuk menunjukkan bahwa VPC dapat menerima lalu lintas dari internet. Gateway internet tidak digunakan untuk merutekan lalu lintas ke asal di dalam subnet, dan Anda tidak perlu memperbarui kebijakan perutean.
+ **Subnet pribadi dengan setidaknya satu IPv4 alamat yang tersedia** — CloudFront rute ke subnet Anda dengan menggunakan service-managed elastic network interface (ENI) yang CloudFront dibuat setelah Anda menentukan sumber daya asal VPC Anda. CloudFront Anda harus memiliki setidaknya satu IPv4 alamat yang tersedia di subnet pribadi Anda sehingga proses pembuatan ENI dapat berhasil. IPv4 Alamatnya bisa pribadi, dan tidak ada biaya tambahan untuk itu. IPv6-hanya subnet tidak didukung.

### Sumber Daya Asal
<a name="origin-resources"></a>

Di subnet pribadi, luncurkan Application Load Balancer, Network Load Balancer, atau instans EC2 untuk digunakan sebagai asal Anda. Sumber daya yang Anda luncurkan harus sepenuhnya digunakan dan dalam status Aktif sebelum Anda dapat menggunakannya untuk asal VPC.

**Pembatasan asal:**
+ Gateway Load Balancers tidak dapat ditambahkan sebagai asal
+ Dual-stack Network Load Balancers tidak dapat ditambahkan sebagai asal
+ Network Load Balancers dengan pendengar TLS tidak dapat ditambahkan sebagai asal
+ Untuk digunakan sebagai asal VPC, Network Load Balancer harus memiliki grup keamanan yang melekat padanya

### Konfigurasi Grup Keamanan
<a name="security-group-configuration"></a>

Sumber daya asal VPC Anda (Application Load Balancer, Network Load Balancer, atau instans EC2) harus memiliki grup keamanan yang terpasang. Saat Anda membuat asal VPC, CloudFront secara otomatis membuat grup keamanan yang dikelola layanan dengan pola penamaan. `CloudFront-VPCOrigins-Service-SG` Grup keamanan ini sepenuhnya dikelola oleh AWS, dan tidak boleh diedit.

Untuk mengizinkan lalu lintas dari CloudFront untuk mencapai asal VPC Anda, perbarui grup keamanan yang dilampirkan ke sumber daya asal Anda (instans ALB, NLB, atau EC2) untuk mengizinkan lalu lintas masuk menggunakan salah satu metode berikut:
+ **Opsi 1:** Izinkan lalu lintas dari daftar awalan CloudFront terkelola. Untuk informasi selengkapnya, lihat [Gunakan daftar awalan CloudFront terkelola](LocationsOfEdgeServers.md#managed-prefix-list). Ini dapat dilakukan sebelum asal VPC dibuat juga.
+ **Opsi 2:** Izinkan lalu lintas dari grup keamanan CloudFront yang dikelola layanan ()`CloudFront-VPCOrigins-Service-SG`. Ini dapat dilakukan hanya setelah asal VPC dibuat dan grup keamanan yang dikelola layanan dibuat. Konfigurasi ini lebih ketat karena membatasi lalu lintas hanya untuk distribusi Anda CloudFront .

**penting**  
Jangan membuat grup keamanan Anda sendiri dengan nama yang dimulai dengan`CloudFront-VPCOrigins-Service-SG`. Ini adalah pola penamaan yang AWS dicadangkan untuk grup keamanan yang dikelola layanan. Untuk informasi selengkapnya, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html).

### Pembatasan Protokol dan Fitur
<a name="protocol-feature-restrictions"></a>

Asal VPC tidak mendukung hal berikut:
+ WebSockets
+ lalu lintas gRPC
+ Permintaan asal dan respons asal dipicu dengan Lambda @Edge

## Buat asal VPC (distribusi baru)
<a name="new-vpc-origin"></a>

Prosedur berikut menunjukkan cara membuat asal VPC untuk CloudFront distribusi baru Anda di CloudFront konsol. Atau, Anda dapat menggunakan operasi [CreateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateVpcOrigin.html)dan [CreateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistribution.html)API dengan AWS CLI atau AWS SDK.

**Untuk membuat asal VPC untuk distribusi baru CloudFront**

1. Buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Pilih asal **VPC, Buat asal** **VPC**.

1. Isi bidang yang diperlukan. Untuk **Origin ARN, pilih ARN** Application Load Balancer, Network Load Balancer, atau instans EC2 Anda. Jika Anda tidak melihat ARN, Anda dapat menyalin ARN sumber daya spesifik Anda dan menempelkannya di sini.

1. Pilih **Buat asal VPC**.

1. **Tunggu status asal VPC Anda berubah menjadi Deployed.** Ini bisa memakan waktu hingga 15 menit.

1. Pilih **Distribusi**, **Buat distribusi**.

1. Untuk **domain Origin**, pilih sumber daya asal VPC Anda dari daftar tarik-turun.

   **Jika asal VPC Anda adalah instans EC2, salin dan tempel **nama DNS IP Pribadi** instance ke bidang domain Origin.**

1. Selesai membuat distribusi Anda. Untuk informasi selengkapnya, lihat [Buat CloudFront distribusi di konsol](distribution-web-creating-console.md#create-console-distribution).

## Buat asal VPC (distribusi yang ada)
<a name="existing-vpc-origin"></a>

Prosedur berikut menunjukkan kepada Anda cara membuat asal VPC untuk CloudFront distribusi yang ada di CloudFront konsol, yang membantu memastikan ketersediaan aplikasi Anda secara berkelanjutan. Atau, Anda dapat menggunakan operasi [CreateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateVpcOrigin.html)dan [UpdateDistributionWithStagingConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionWithStagingConfig.html)API dengan AWS CLI atau AWS SDK.

Secara opsional, Anda dapat memilih untuk menambahkan asal VPC Anda ke distribusi yang ada tanpa membuat distribusi pementasan.

**Untuk membuat asal VPC untuk distribusi yang ada CloudFront**

1. Buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Pilih asal **VPC, Buat asal** **VPC**.

1. Isi bidang yang diperlukan. Untuk **Origin ARN, pilih ARN** Application Load Balancer, Network Load Balancer, atau instans EC2 Anda. Jika Anda tidak melihat ARN, Anda dapat menyalin ARN sumber daya spesifik Anda dan menempelkannya di sini.

1. Pilih **Buat asal VPC**.

1. **Tunggu status asal VPC Anda berubah menjadi Deployed.** Ini bisa memakan waktu hingga 15 menit.

1. Di panel navigasi, pilih **Distribusi**.

1. Pilih ID distribusi Anda.

1. Pada tab **Umum**, di bawah **Penerapan berkelanjutan**, pilih **Buat distribusi pementasan**. Untuk informasi selengkapnya, lihat [Gunakan penerapan CloudFront berkelanjutan untuk menguji perubahan konfigurasi CDN dengan aman](continuous-deployment.md).

1. Ikuti langkah-langkah di wizard **Buat distribusi pementasan untuk membuat distribusi** pementasan. Sertakan langkah-langkah berikut:
   + Untuk **Origins**, pilih **Create Origin**.
   + Untuk **domain Origin**, pilih sumber daya asal VPC Anda dari menu tarik-turun.

     **Jika asal VPC Anda adalah instans EC2, salin dan tempel **nama DNS IP Pribadi** instance ke bidang domain Origin.**
   + Pilih **Buat asal**.

1. Dalam distribusi pementasan Anda, uji asal VPC.

1. Promosikan konfigurasi distribusi pementasan ke distribusi utama Anda. Untuk informasi selengkapnya, lihat [Mempromosikan konfigurasi distribusi pementasan](working-with-staging-distribution-continuous-deployment-policy.md#promote-staging-distribution-configuration).

1. Hapus akses publik ke asal VPC Anda dengan membuat subnet pribadi. Setelah Anda melakukan ini, asal VPC tidak akan dapat ditemukan melalui internet, tetapi masih CloudFront akan memiliki akses pribadi ke sana. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan subnet dengan tabel rute di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AssociateSubnet) Pengguna Amazon *VPC*.

## Perbarui asal VPC
<a name="update-vpc-origin"></a>

Prosedur berikut menunjukkan cara memperbarui asal VPC untuk CloudFront distribusi Anda di konsol. CloudFront Atau, Anda dapat menggunakan operasi [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)dan [UpdateVpcOrigin](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateVpcOrigin.html)API dengan AWS CLI atau AWS SDK.

**Untuk memperbarui asal VPC yang ada untuk distribusi Anda CloudFront**

1. Buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Di panel navigasi, pilih **Distribusi**.

1. Pilih ID distribusi Anda.

1. Pilih **Perilaku** tab.

1. Pastikan bahwa asal VPC bukan asal default untuk perilaku cache Anda. 

1. Pilih tab **Origins**.

1. **Pilih asal VPC yang akan Anda perbarui dan pilih Hapus.** Ini memisahkan asal VPC dari distribusi Anda. Ulangi langkah 2-7 untuk memisahkan asal VPC dari distribusi lainnya.

1. Pilih **asal VPC**.

1. **Pilih asal VPC dan pilih Edit.**

1. Buat pembaruan Anda dan pilih **Perbarui asal VPC**.

1. **Tunggu status asal VPC Anda berubah menjadi Deployed.** Ini bisa memakan waktu hingga 15 menit.

1. Di panel navigasi, pilih **Distribusi**.

1. Pilih ID distribusi Anda.

1. Pilih tab **Origins**.

1. Pilih **Buat asal**.

1. Untuk **domain Origin**, pilih sumber daya asal VPC Anda dari menu tarik-turun.

   **Jika asal VPC Anda adalah instans EC2, salin dan tempel **nama DNS IP Pribadi** instance ke bidang domain Origin.**

1. Pilih **Buat asal**. Ini mengaitkan asal VPC dengan distribusi Anda lagi. Ulangi langkah 12-17 untuk mengaitkan asal VPC yang diperbarui dengan distribusi lainnya.

## Didukung Wilayah AWS untuk asal VPC
<a name="vpc-origins-supported-regions"></a>

Asal VPC saat ini didukung dalam iklan berikut. Wilayah AWS Pengecualian Availability Zone (AZ) dicatat.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudFront/latest/DeveloperGuide/private-content-vpc-origins.html)