Amazon CloudFront 宣布針對 VPC 來源支援跨帳戶功能
Amazon CloudFront 宣布針對虛擬私有雲端 (VPC) 的來源支援跨帳戶功能,讓客戶能夠從其 CloudFront 發行版中存取位於不同 AWS 帳戶中的 VPC 來源。透過 VPC 來源功能,客戶可以將其 Application Load Balancer (ALB)、Network Load Balancer (NLB) 和 EC2 執行個體置於僅能透過其 CloudFront 分發存取的私有子網路中。透過 CloudFront 中的跨帳戶 VPC 來源支援,客戶現在可以利用 VPC 來源的安全優勢,同時保持現有的多帳戶架構。
客戶會設定多個 AWS 帳戶,以獲得更好的安全隔離、成本管理及合規成果。以前,只有在 CloudFront 和來源位於同一 AWS 帳戶時,客戶才能從 CloudFront 存取私有 VPC 中的來源。這意味著來源位於多個 AWS 帳戶的客戶必須將其帳戶保留在公用子網路中,才能獲得 CloudFront 的規模和效能優勢。然後,客戶必須在邊緣和區域內維護其他安全控制措施 (例如存取控制清單 (ACL)),而不能受益於 VPC 來源的固有安全性。現在,客戶可以使用 AWS Resource Access Manager (RAM) 來允許 CloudFront 存取不同 AWS 帳戶中私有 VPC 內的來源,無論其在 AWS Organizations 和組織單位 (OU) 內部還是外部。此功能簡化了安全管理工作並降低了營運複雜性,使客戶能輕鬆地將 CloudFront 作為應用程式的單一前門。
VPC 來源僅適用於 AWS 商業區域,支援的 AWS 區域完整清單請參閱此處。搭配 CloudFront 使用跨帳戶 VPC 來源無須額外費用。若要進一步了解如何實作跨帳戶 VPC 來源,以及多帳戶架構的最佳實務,請瀏覽 CloudFront VPC 來源。