[新产品/新功能] Amazon CloudFront 宣布为 VPC 源站提供跨账户支持

**发布时间:** 2025-11-06 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cross-account-vpc-origins/ ---  [新产品/新功能] Amazon CloudFront 宣布为 VPC 源站提供跨账户支持   # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 现已支持跨 AWS 账户访问 **VPC (Virtual Private Cloud)** 源站。该功能允许用户的 CloudFront 分发可以安全地访问部署在另一个 AWS 账户私有子网中的源站，例如 **Application Load Balancers (ALB)**、**Network Load Balancers (NLB)** 和 **EC2 实例**。其核心工作原理是通过集成 **AWS Resource Access Manager (RAM)** 实现。源站所在的 AWS 账户使用 **RAM** 将私有 VPC 中的资源（如 ALB）安全地共享给部署了 CloudFront 分发的账户，从而建立一个受控的跨账户访问通道，无需将源站暴露于公网。此功能主要面向采用多账户架构的企业客户。这类客户通常出于安全隔离、成本管理或合规性需求，将不同业务或环境部署在独立的 AWS 账户中。该更新解决了此前 CloudFront 与私有 VPC 源站必须在同一账户内的限制，强化了 CloudFront 作为企业级应用统一、安全入口的市场定位。 ## 关键客户价值 - **增强安全性与简化管理** - 客户可以将后端服务完全置于私有子网中，从根本上消除源站的公网暴露风险，CloudFront 成为访问这些资源的唯一安全入口。 - 无需再为实现跨账户访问而将源站置于公有子网，并配置和维护复杂的 **访问控制列表 (ACL)** 等额外安全策略，显著降低了运维复杂性和潜在的安全风险。 - **支持灵活的多账户架构** - 该功能无缝支持企业现有的多账户策略，客户无需为了使用 CloudFront 的 VPC 源站功能而重构其账户体系，保护了现有投资。 - 资源共享不仅限于同一 **AWS Organizations** 内部的账户，也支持组织外部的账户，为复杂的跨组织合作或多部门独立运营场景提供了极高的架构灵活性。 - **统一应用交付入口** - 使企业能将 CloudFront 打造为其所有应用程序的“单一前门”，无论这些应用的后端服务分布在多少个不同的 AWS 账户中。这有助于统一实施缓存策略、Web 应用程序防火墙（WAF）规则和流量管理，提升整体治理水平。 ## 关键技术洞察 - _基于 AWS Resource Access Manager (RAM) 实现安全的资源共享_。这是该功能的核心技术支撑。**RAM** 允许用户在不复制资源或修改复杂的 **VPC 网络配置**（如 **VPC Peering** 或 **Transit Gateway**）的情况下，安全地跨账户共享 AWS 资源。 - 工作原理：源站账户创建一个资源共享（Resource Share），将 VPC 内的特定资源（如 ALB）包含在内，并指定允许访问的目标账户。CloudFront 所在的账户接受共享后，即可在其配置中将该共享资源指定为源站。 - 此项技术创新在于将 CDN 服务（CloudFront）与账户级资源管理服务（**RAM**）深度集成，优雅地解决了网络边界和身份与访问管理（IAM）边界的双重隔离问题。这是一种比传统网络互联方案更轻量、更专注的解决方案，专为 CDN 访问私有源站场景设计，避免了复杂的网络路由配置和管理开销。 ## 其他信息 - **成本:** 使用 CloudFront 的跨账户 VPC 源站功能不产生额外费用。 - **可用性:** 该功能仅在 AWS 商业区域（Commercial Regions）提供。   # Amazon CloudFront 宣布为 VPC 源提供跨账户支持 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cross-account-vpc-origins/](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cross-account-vpc-origins/) **发布时间:** 2025-11-06 **厂商:** AWS **类型:** WHATSNEW --- # Amazon CloudFront 宣布为 VPC 源提供跨账户支持发布于: 2025 年 11 月 6 日 Amazon CloudFront 宣布为虚拟私有云 (Virtual Private Cloud, VPC) 源提供跨账户支持，允许客户从其 CloudFront 分配访问位于不同 AWS 账户中的 VPC 源。通过 VPC 源，客户可以将其应用程序负载均衡器 (Application Load Balancers, ALB)、网络负载均衡器 (Network Load Balancers, NLB) 和 EC2 实例置于私有子网中，并且这些资源只能通过其 CloudFront 分配进行访问。借助 CloudFront 对跨账户 VPC 源的支持，客户现在可以利用 VPC 源的安全优势，同时保持其现有的多账户架构。客户通常会设置多个 AWS 账户以实现更好的安全隔离、成本管理和合规性。以前，客户只有在 CloudFront 和源站位于同一 AWS 账户时，才能从 CloudFront 访问私有 VPC 中的源。这意味着，如果客户的源站分布在多个 AWS 账户中，他们必须将这些账户置于公有子网内，才能获得 CloudFront 带来的规模和性能优势。这样一来，客户就不得不在边缘和区域内部署额外的安全控制措施，例如访问控制列表 (access control lists, ACL)，而无法享受 VPC 源固有的安全性。现在，客户可以使用 [AWS Resource Access Manager (RAM)](https://aws.amazon.com/ram/) 允许 CloudFront 访问不同 AWS 账户中私有 VPC 内的源，无论这些账户是否在其 AWS Organizations 或组织单元 (organizational units, OUs) 内外。这简化了安全管理并降低了运营复杂性，使客户可以轻松地将 CloudFront 用作其应用程序的统一入口。 VPC 源功能仅在 AWS 商业区域提供，支持的 AWS 区域完整列表可在此处[查看](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-vpc-origins.html#vpc-origins-supported-regions) 。将 CloudFront 与跨账户 VPC 源结合使用不会产生额外费用。要了解有关实施跨账户 VPC 源和多账户架构最佳实践的更多信息，请访问 [CloudFront VPC 源文档](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-vpc-origins.html) 。