Amazon CloudFront 宣布支持跨账户 VPC 源
Amazon CloudFront 宣布对虚拟私有云 (VPC) 源提供跨账户支持,使客户能够通过其 CloudFront 分配访问位于不同 AWS 账户中的 VPC 源。使用 VPC 源,客户可以将其应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB) 和 EC2 实例置于只能通过其 CloudFront 分配访问的私有子网中。借助 CloudFront 对跨账户 VPC 源的支持,客户现在可以在保持现有多账户架构的同时,利用 VPC 源的安全优势。
客户会设置多个 AWS 账户以改善安全隔离、成本管理和合规性。此前,仅当 CloudFront 和源位于同一 AWS 账户中时,客户才能从 CloudFront 访问私有 VPC 中的源。这意味着,如果客户的源位于多个 AWS 账户中,他们就必须将这些账户置于公共子网中,才能获得 CloudFront 的规模和性能优势。这样一来,客户不得不在边缘和区域内同时维护额外的安全控制措施,例如访问控制列表 (ACL),而无法充分利用 VPC 源固有的安全性。现在,客户可以通过 AWS Resource Access Manager (RAM) 允许 CloudFront 访问不同 AWS 账户内私有 VPC 中的源,无论这些账户属于 AWS Organizations 和组织单元 (OU) 内部或外部。这简化了安全管理并降低了操作复杂性,从而可以轻松地将 CloudFront 用作应用程序的单一前门。
VPC 源仅在 AWS 商业区域可用,支持的 AWS 区域的完整列表可在此处查看。在 CloudFront 中使用跨账户 VPC 源不会产生任何额外费用。要了解有关实施跨账户 VPC 源和多账户架构最佳实践的更多信息,请访问 CloudFront VPC 源。