Пример создания хостинга статического сайта в AWS S3 и подключении к нему AWS CloudFront CDN, к которому подключается SSL сертификат из AWS ACM.
Для сайта используем домен site.azinchenko.com.
Получившийся шаблон доступен в репозитории .
AWS::S3::Bucket
Начнём с создания корзины, используем ресурс :
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description": "AWS CloudFormation S3 website hosting with CloudFront CND stack",
"Parameters": {
"S3SiteBucketName": {
"Description": "S3 website hosting bucket name",
"Type": "String",
"Default": "site.azinchenko.com"
}
},
"Resources": {
"SiteBucket": {
"Type": "AWS::S3::Bucket",
"DeletionPolicy": "Delete",
"Properties": {
"BucketName": {
"Ref": "S3SiteBucketName"
},
"WebsiteConfiguration": {
"IndexDocument": "index.html",
"ErrorDocument": "404.html"
}
}
}
}
}
Тут в указываем удаление корзины при удалении стека, а в – указываем на то, что корзина будет использоваться для хостинга сайта.
В имени корзины используем имя домена, которое будет использоваться для доступа к сайту – site.azinchenko.com.
Создаём стек:
Проверяем корзину:
Создаём в ней индексный файл:
Проверяем файл:
Но если проверить доступ по HTTP сейчас – получим AccessDenied:
AWS::S3::BucketPolicy
Добавляем ещё один ресурс – , в котором описываем доступ к корзине – разрешаем метод ко всем объектам в корзине, и делаем её таким образом Publicly accessible:
...
"BucketPolicy": {
"Type": "AWS::S3::BucketPolicy",
"Properties": {
"PolicyDocument": {
"Id": "MyPolicy",
"Version": "2012-10-17",
"Statement": [{
"Sid": "PublicReadForGetBucketObjects",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": { "Fn::Join": ["", [ "arn:aws:s3:::", { "Ref": "SiteBucket" }, "/*" ]] }
}]
},
"Bucket": {
"Ref": "SiteBucket"
}
}
}
...
Обновляем стек:
Проверяем:
AWS Certificate Manager
Сертификат не будет являться частью стека, делаем его вручную, обязательно в регионе N. Virginia (us-east-1), что бы его можно было использовать в CloudFront:
AWS::CloudFront::Distribution
И последним добавляем ресурс CDN distribution.
Из интересного в его параметрах:
TargetOriginId– через указываем ID ресурса S3 корзиныViewerProtocolPolicy– редиректим HTTP запросы на HTTPSAliases– в алиасе (поле CNAME в CloudFront distribution) указываем DNS имя, которое используем для сайта, в этом примере это site.azinchenko.com, как и имя корзиныOrigins– тут формируем URL корзины в виде имя-корзины-s3-website.eu-west-1.amazonaws.com, используя иRefViewerCertificate– указываем SSL ARN, который создали выше
ARN сертификата выносим в Parameters шаблона:
...
"SiteSSLARN": {
"Description": "site.azinchenko.com ACM SSL ARN",
"Type": "String",
"Default": "arn:aws:acm:us-east-1:264***286:certificate/601dae7d-***-d29307183727"
}
...
И добавляем ресурс :
...
"CloudFrontCDN": {
"Type": "AWS::CloudFront::Distribution",
"Properties": {
"DistributionConfig": {
"Comment": "Example WebSite CDN",
"Enabled": true,
"DefaultRootObject" : "index.html",
"DefaultCacheBehavior": {
"TargetOriginId": {
"Ref": "SiteBucket"
},
"ViewerProtocolPolicy": "redirect-to-https",
"MinTTL": 0,
"AllowedMethods": [
"HEAD",
"GET"
],
"CachedMethods": [
"HEAD",
"GET"
],
"ForwardedValues": {
"QueryString": false,
"Cookies": {
"Forward": "none"
}
}
},
"Aliases" : [ {"Ref": "S3SiteBucketName"} ],
"Origins": [
{
"DomainName": { "Fn::Join": [ ".", [ {"Ref": "SiteBucket"}, "s3-website.eu-west-1.amazonaws.com" ] ] },
"Id": {
"Ref": "SiteBucket"
},
"CustomOriginConfig": {
"HTTPPort": "80",
"HTTPSPort": "443",
"OriginProtocolPolicy": "http-only"
}
}
],
"ViewerCertificate": {
"SslSupportMethod": "sni-only",
"MinimumProtocolVersion": "TLSv1",
"AcmCertificateArn": {
"Ref": "SiteSSLARN"
}
}
},
"Tags" : [
{"Key" : "Name", "Value" : { "Fn::Join" : [ "-", [ {"Ref" : "AWS::StackName"}, "site-cdn"] ] } }
]
}
}
...
Обновляем стек:
Проверяем:
Ждём, когда дистрибьюция переходит в Status == Enabled, и переходим в DNS.
Route53
Последний шаг – обновить запись site.azinchenko.com в Route53.
Выбираем тип записи IN A, и указываем Alias – CloudFront distribution:
Ждём обновления DNS у провайдера:
Проверяем:
Готово.
