在 CloudFront 中使用共享的资源 - Amazon CloudFront
共享资源的先决条件共享 VPC 源使用共享 VPC 源识别共享 VPC 源取消对共享 VPC 源的共享共享 VPC 源的责任和权限计费和计量共享资源配额
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 CloudFront 中使用共享的资源

Amazon CloudFront 与 Amazon Resource Access Manager(Amazon RAM)集成来实现资源共享。Amazon RAM 使您能够与其他 Amazon Web Services 账户或通过 Amazon Organizations 共享一些 CloudFront 资源。利用 Amazon RAM,您可通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:

  • Amazon Organizations 中其组织内部或外部的特定 Amazon Web Services 账户。

  • Amazon Organizations 中的所有者组织内部的组织单位

  • 它在 Amazon Organizations 中的整个组织

有关 Amazon RAM 的更多信息,请参阅 Amazon RAM 用户指南

本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。

共享资源的先决条件

  • 您必须拥有 AWSRAMDefaultPermissionCloudFront 托管式策略才能授予对资源共享的只读访问权限。有关更多信息,请参阅 AWSRAMDefaultPermissionCloudFront

  • 要共享 VPC 源,您必须在您的 Amazon Web Services 账户中拥有它。这意味着必须在您的账户中分配或预置资源。您无法共享已与您共享的资源。

  • 要与您的组织或 Amazon Organizations 内的组织单元共享资源,您必须允许与 Amazon Organizations 共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的在 Amazon Organizations 中启用资源共享

共享 VPC 源

注意

目前,CloudFront 支持共享 VPC 源。如果您尚未创建 VPC 源,请参阅通过 VPC 源限制访问

在与其他 Amazon Web Services 账户共享您拥有的 VPC 源时,您必须允许其将该资源用作 CloudFront 分配的源。

要共享一个 VPC 源,您必须将其添加到资源共享中。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon Web Services 账户共享资源。

资源共享将指定:

  • 要共享的资源

  • 与之共享资源的使用者

  • 该服务的托管式策略,用于确定对资源的权限

在使用 CloudFront 控制台共享 VPC 源时,必须将其添加到现有资源共享中。如果您尚未拥有资源共享,则可在从 CloudFront 控制台共享 VPC 源时创建一个资源共享。您也可以使用 Amazon RAM 控制台或 Amazon CLI 单独创建一个资源共享。

您可以与其他 Amazon Web Services 账户和 Amazon Organizations 共享 VPC 源。

  • 如果您与 Amazon 组织共享资源,则该特定组织中的所有使用者都有权访问 VPC 源。

  • 如果您与非自己所属的 Amazon Web Services 账户或组织进行共享,则使用者将收到接受资源共享的邀请。接受后,他们便能使用 VPC 源。

您可以使用 CloudFront 控制台、Amazon RAM 控制台或 Amazon CLI 共享您拥有的 VPC 源。

使用 CloudFront 控制台创建资源共享

  1. 通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v4/home

  2. 在导航窗格中,选择 VPC 源

  3. 选择一个或多个资源,然后选择共享 VPC 源

  4. 选择创建资源共享

  5. 对于名称,输入资源共享的名称。

  6. 对于主体类型,选择下列选项之一:

    • Amazon Web Services 账户:授予对特定 Amazon Web Services 账户的访问权限。

    • 组织单元:授予对特定组织单元(OU)的访问权限。

    • 组织:授予对整个组织的访问权限,包括其子 OU 和 Amazon Web Services 账户。

    1. 如果您已选择 Amazon Web Services 账户,请输入账户 ID 号。您可以选择添加新账户以添加最多 5 个 Amazon Web Services 账户。

    2. 如果您已选择组织单元,请输入 OU 单元 ARN。您只能输入 1 个 OU。

    3. 如果您已选择组织,则输入组织 ARN。您只能输入 1 个组织。

  7. 选择共享资源

    默认情况下,CloudFront 对资源共享应用 Amazon 托管式策略 AWSRAMDefaultPermissionCloudFront。此策略允许对资源共享执行只读操作,因此,使用账户无法更新或删除共享资源。您无法在资源共享中编辑或删除此策略。

    提示

    创建资源共享后,您可以从 Amazon RAM 控制台添加其他 Amazon Web Services 账户。有关更多信息,请参阅《Amazon RAM 用户指南》中的在 Amazon RAM 中更新资源共享

使用 CloudFront 控制台共享您拥有的 VPC 源

  1. 通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v4/home

  2. 在导航窗格中,选择 VPC 源

  3. 选择一个资源,然后选择共享 VPC 源

  4. 共享 VPC 源页面上,您可以选择要将此 VPC 源添加到其中的现有资源共享。

  5. 选择共享资源

    在资源详细信息页面上的共享对象下,您会看到共享的 VPC 源与以下详细信息:

    • 资源共享名称

    • 共享状态

    • 上次修改日期

在您创建资源共享并将其与使用账户共享后,这些账户需在 12 小时内接受该邀请。有关更多信息,请参阅《Amazon RAM 用户指南》中的接受和拒绝资源共享邀请

重要

要允许使用账户为其 CloudFront 分配使用 VPC 源,您还必须向这些账户提供 VPC 源的 ELB 或 Amazon EC2 端点。

使用 Amazon RAM 控制台共享您拥有的 VPC 源

创建一个资源共享,然后选择要向该资源共享添加的 CloudFront 资源。有关更多信息,请参阅《Amazon RAM 用户指南》中的创建资源共享

使用 Amazon CLI 共享您拥有的 VPC 源

使用 create-resource-share 命令。

使用共享 VPC 源

要使用共享 VPC 源,收到邀请的账户必须接受资源共享。为此,您可以导航到美国东部(弗吉尼亚州北部)区域的 Amazon Resource Access Manager 控制台,然后在待处理选项卡中接受任何待处理的请求。有关更多信息,请参阅《Amazon RAM 用户指南》中的接受共享资源

接受资源共享后,您可以使用 VPC 源作为 CloudFront 分配的源。

使用共享 VPC 源

  1. 通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v4/home

  2. 在导航窗格中,对于分配,执行下列操作之一:

    • 对于新分配,选择创建分配

    • 对于现有分配,选择分配 ID。

  3. 对于源类型,选择 VPC 源,然后指定已与您共享的 VPC 源。

  4. 对于 VPC 源端点,输入 Amazon EC2 实例或 ELB 负载均衡器的私有 DNS 名称,或输入源域。如果您尚未获得此值,则必须从拥有该 VPC 源的 Amazon Web Services 账户中获取它。如果您尚未获得此端点,可从拥有该 VPC 源的 Amazon Web Services 账户中获取它。

  5. 执行其余的控制台步骤来创建或更新分配。

识别共享 VPC 源

拥有者和使用者均可以使用 CloudFront 控制台和 Amazon CLI 来识别共享 VPC 源。

使用 CloudFront 控制台识别共享 VPC 源

  1. 通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v4/home

  2. 在导航窗格中,选择 VPC 源。您可以使用所有者 ID 列来识别该资源所属的 Amazon Web Services 账户。

  3. 选择资源。

  4. 在资源详细信息页面上的共享对象下,您会看到共享的 VPC 源与以下详细信息:

    • 资源共享名称

    • 共享状态

    • 上次修改日期

取消对共享 VPC 源的共享

取消共享资源后,Amazon Web Services 账户(使用账户)无法再将该资源用于新的分配或更新现有分配。

注意

如果您取消共享某个资源,则仍在使用该资源的现有分配将保持活动状态,并将继续提供流量服务。但是,在删除作为源的已取消共享的资源之前,将无法编辑这些分配。我们建议您确保所有使用账户在您取消共享资源前,停止使用该资源。

要取消共享您拥有的共享 VPC 源,必须从资源共享中将其删除。您可以使用 CloudFront 控制台、Amazon RAM 控制台或 Amazon CLI 完成此操作。

使用 CloudFront 控制台取消共享您拥有的共享 VPC 源

  1. 通过以下网址打开 CloudFront 控制台:https://console.amazonaws.cn/cloudfront/v4/home

  2. 在导航窗格中,选择 VPC 源

  3. 选择一个资源,然后选择取消共享

  4. 查看取消共享资源对话框中的详细信息,然后选择取消共享。列出的主体将无法再访问您的共享资源。

使用 Amazon RAM 控制台取消共享您拥有的共享 VPC 源

请参阅《Amazon RAM 用户指南》中的更新资源共享

使用 Amazon CLI 取消共享您拥有的共享 VPC 源

使用 disassociate-resource-share 命令。

共享 VPC 源的责任和权限

所有者的权限

作为拥有资源的账户,请确保所有使用账户在您取消共享或删除资源之前停止使用该资源。

使用者的权限

使用账户可使用共享资源作为其 CloudFront 分配的源,但无法编辑或删除资源。默认情况下,Amazon 托管式策略 AWSRAMDefaultPermissionCloudFront 将应用于共享账户(拥有资源的账户)中的资源共享。

AWSRAMDefaultPermissionCloudFront

当您在 CloudFront 中创建资源共享时,CloudFront 会使用 Amazon 托管式策略 AWSRAMDefaultPermissionCloudFront 并将其应用于您的资源共享。此策略对资源所有者可以共享的 CloudFront 资源,向使用账户授予只读权限。

有关管理 Amazon RAM 中的权限的更多信息,请参阅《Amazon Resource Access Manager 用户指南》中的在 Amazon RAM 中管理权限

计费和计量

与其他 Amazon Web Services 账户共享 VPC 源不会产生额外费用。使用共享 VPC 源的分配所产生的流量使用费用,将由拥有该分配的使用账户支付。

共享资源配额

CloudFront 使用 Amazon RAM 所指定的资源共享配额。在 CloudFront 控制台中,您最多可以添加 5 个 Amazon Web Services 账户、1 个 OU 或 1 个组织。要添加更多内容,请使用 Amazon RAM 控制台或 Amazon RAM API。

有关更多信息,请参阅《Amazon RAM 用户指南》中的 Amazon RAM 的服务配额