我該如何使用 CloudFront VPC 原始伺服器在私有子網路中保護我的應用程式？

解決方法

使用 Application Load Balancer、Network Load Balancer 以及 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體在私有子網路中作為 VPC 原始伺服器。

VPC 先決條件

在為 CloudFront 發佈項目建立 VPC 原始伺服器之前，請完成以下要求：

• 使用 Amazon Virtual Private Cloud (Amazon VPC)，在與您的 CloudFront 發佈項目相同的 AWS 帳戶中，以及在支援 VPC 原始伺服器的 AWS 區域中，建立 VPC。
• 在您的網路存取控制清單 (網路 ACL) 設定中，加入傳入和傳出規則。
• 確保您的 VPC 擁有一個網際網路閘道。
• 您的 VPC 必須在私有子網路中包含至少一個可用的 IPv4 位址。
  **注意：**您可以使用私有 IPv4 位址，而無需額外費用。VPC 原始伺服器不支援 IPv6 位址。
• 更新您的安全群組，明確允許 CloudFront 管理的首碼清單。
• 您必須具有 AWSServiceRoleForCloudFrontVPCOrigin 服務連結角色的存取權。

如需詳細資訊，請參閱先決條件。

建立 VPC 原始伺服器

使用 CloudFront 主控台建立 VPC 原始伺服器。您也可以使用 CreateVpcOrigin 和 CreateDistribution API 動作。

如需更多資訊，請參閱 Amazon CloudFront VPC 原始伺服器簡介： 增強應用程式安全性並簡化操作。