亚马逊AWS官方博客
Amazon CloudFront VPC 源发布:增强应用程序的安全性并简化操作
我很高兴地向大家宣布 Amazon CloudFront 虚拟私有云 (VPC) 源功能的发布,这项新功能可让托管在 Amazon Virtual Private Cloud (Amazon VPC) 私有子网中的应用程序进行内容交付。这样您就可以轻松保护 Web 应用程序,专注于业务发展,同时利用 CloudFront 提升安全性,保持高性能和全局可扩展性。
那些从 Amazon Simple Storage Solution (Amazon S3)、AWS Elemental Services 和 AWS Lambda Function URLs 提供内容的客户现在可使用 Origin Access Control 作为托管解决方案,来保护内容源,并确保 CloudFront 作为应用程序的唯一入口。不过,对于那些托管在 Amazon Elastic Compute Cloud (Amazon EC2) 或者使用负载均衡器的应用程序来说,要实现这一目标就比较困难,因为您必须创建自己的解决方案才能达到同样的效果。您必须综合运用多种方法,比如使用访问控制列表 (ACL)、管理防火墙规则,或者采用诸如标头验证之类的逻辑和其他技术,确保端点始终专属于 CloudFront。
CloudFront VPC 源提供了一个托管解决方案,可用于将 CloudFront 分发点直接指向应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB) 或私有子网内的 EC2 实例,从而消除了此类无差别工作的需求。这还消除了对公共 IP 地址的需求,可确保 CloudFront 成为这些资源的唯一入口,只需稍作配置,就能让您有机会提高性能和节省成本。
配置 CloudFront VPC 源
CloudFront VPC 源无需额外费用,所有 AWS 客户均可使用。它可以使用 Amazon CloudFront 管理控制台或 AWS 命令行界面 (AWS CLI) 与新的或现有的 CloudFront 分发点集成。
设想一下,您有一个通过 ALB 适用于 Amazon ECS 的 AWS Fargate 私有托管的应用程序。让我们创建一个直接在私有子网内使用 ALB 的 CloudFront 分发点。
首先导航到 CloudFront 管理控制台,然后选择新的菜单选项:VPC 源。
创建新的 VPC 源非常简单。您只需要从几个选项中进行选择。在 Origin ARN 中,您可以搜索托管在私有子网中的可用资源,也可以直接输入。您可以选择所需的资源,为 VPC 源选择一个友好的名称以及一些安全选项,然后确认。请注意,在启动时,VPC 源资源必须与 CloudFront 分发点位于同一 AWS 账户中,不过对所有账户资源的支持也即将上线。
创建流程一旦完成,VPC 源就会部署好,随时准备使用! 您可在 VPC 源页面查看状态。
这样,我们就创建了一个 CloudFront 分发点,只需简单几步操作,就能直接从托管在私有子网的资源中提供内容! 创建 VPC 源后,您可以导航到分发点窗口,在下拉列表中选择 ARN 或手动复制粘贴 ARN,将 VPC 源添加到分发点中。
但请记住,重要的是继续使用诸如 AWS Web 应用程序防火墙 (WAF) 来防范网络漏洞,或使用 AWS Shield 提供托管 DDoS 保护,以及其他服务来实现全方位保护,从而继续保护应用程序的安全。
结论
CloudFront VPC 源使 CloudFront 发行点能够直接从私有子网内托管的资源中提供内容,为组织提供了一种新的方法来安全、高效地交付应用程序。这降低了维护公开源的复杂性和成本,同时确保您的应用程序保持安全。
要了解更多信息,请参阅入门指南。
Matheus Guimaraes | @codingmatheus
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。