View a markdown version of this page

Distribution Settings (Einstellungen für die Verteilung) - Amazon CloudFront
PreisklasseAWS WAF Web-ACLAlternative Domänennamen (CNAMEs)SSL-ZertifikatBenutzerdefinierte SSL-ClientunterstützungSicherheitsrichtlinie ( SSL/TLS Mindestversion)Unterstützte HTTP-VersionenStandardstammobjektStandardprotokollierungVerbindungsprotokolle.ProtokollpräfixProtokollierung von CookiesAktivieren von IPv6 (Viewer-Anforderungen)Gegenseitige AuthentifizierungAktivieren von IPv6 für benutzerdefinierte Ursprünge (Ursprungsanforderungen)CommentStatus der Verteilung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Distribution Settings (Einstellungen für die Verteilung)

Die folgenden Werte gelten für die gesamte Verteilung.

Preisklasse

Wählen Sie die Preisklasse, die dem Höchstpreis entspricht, den Sie für die CloudFront Dienstleistung zahlen möchten. Standardmäßig werden Ihre Objekte von Randstandorten in allen CloudFront Regionen aus CloudFront bedient.

Weitere Informationen zu Preisklassen und dazu, wie sich Ihre Wahl der Preisklasse auf die CloudFront Leistung Ihres Vertriebs auswirkt, finden Sie unter CloudFront Preisgestaltung.

AWS WAF Web-ACL

Sie können Ihre CloudFront Distribution mit einer Firewall für Webanwendungen schützen AWS WAF, die es Ihnen ermöglicht, Ihre Webanwendungen und APIs so zu schützen, dass Anfragen blockiert werden, bevor sie Ihre Server erreichen. Dies ist möglichAktivieren von AWS WAF für Distributionen, wenn Sie eine CloudFront Distribution erstellen oder bearbeiten.

Optional können Sie später in der AWS WAF Konsole unter zusätzliche Sicherheitsvorkehrungen für andere anwendungsspezifische Bedrohungen konfigurieren. https://console.aws.amazon.com/wafv2/

Weitere Informationen AWS WAF dazu finden Sie im AWS WAF Entwicklerhandbuch.

Alternative Domänennamen (CNAMEs)

Optional. Geben Sie einen oder mehrere Domainnamen an, die Sie für URLs für Ihre Objekte verwenden möchten, und nicht den Domainnamen, den Sie bei der Erstellung Ihrer Distribution CloudFront zugewiesen haben. Sie müssen Eigentümer des Domainnamens sein oder über die Autorisierung verfügen, ihn zu verwenden. Dies überprüfen Sie, indem Sie ein SSL/TLS Zertifikat hinzufügen.

Wenn beispielsweise die URL für das Objekt:

/images/image.jpg

wie folgt angezeigt werden soll:

https://www.example.com/images/image.jpg

und nicht wie folgt:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Fügen Sie einen CNAME für www.example.com hinzu.

Wichtig

Wenn Sie einen CNAME für www.example.com zu Ihrer Verteilung hinzufügen, müssen Sie auch die folgenden Schritte ausführen:

  • Erstellen (oder aktualisieren) Sie einen CNAME-Datensatz für Ihren DNS-Service, um Abfragen für www.example.com an d111111abcdef8.cloudfront.net weiterzuleiten.

  • Fügen Sie ein Zertifikat CloudFront von einer vertrauenswürdigen Zertifizierungsstelle (CA) hinzu, das den Domainnamen (CNAME) abdeckt, den Sie Ihrer Distribution hinzufügen, um Ihre Autorisierung zur Verwendung des Domainnamens zu überprüfen.

Sie müssen die Berechtigung besitzen, beim DNS-Dienstanbieter für die Domäne einen CNAME-Datensatz zu erstellen. Das bedeutet in der Regel, dass Sie der Besitzer der Domäne sind oder Anwendungen für den Besitzer der Domäne entwickeln.

Informationen zur aktuell gültigen maximalen Anzahl von alternativen Domainnamen, die Sie einer Distribution hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Weitere Informationen zu alternativen Domänennamen finden Sie unter Verwenden von benutzerdefinierten URLs durch Hinzufügen von alternativen Domainnamen (CNAMEs). Weitere Hinweise zu CloudFront URLs finden Sie unterPassen Sie das URL-Format für Dateien an CloudFront.

SSL-Zertifikat

Wenn Sie einen alternativen Domänennamen angegeben haben, der für Ihre Verteilung verwendet werden soll, wählen Sie Custom SSL Certificate (Benutzerdefiniertes SSL-Zertifikat) und anschließend ein Zertifikat aus, das diesen Domänennamen abdeckt, um Ihre Berechtigung zur Verwendung des alternativen Domänennamens zu bestätigen. Wenn Sie möchten, dass Viewer HTTPS für den Zugriff auf Ihre Objekte verwenden, wählen Sie die entsprechende Einstellung aus.

  • CloudFront Standardzertifikat (*.cloudfront.net) — Wählen Sie diese Option, wenn Sie den CloudFront Domainnamen in den URLs für Ihre Objekte verwenden möchten, z. B. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Benutzerdefiniertes SSL-Zertifikate – Wählen Sie diese Option aus, wenn Sie in den URLs für Ihre Objekte Ihren eigenen Domänennamen als alternativen Domänennamen verwenden möchten, z. B. https://example.com/image1.jpg. Wählen Sie anschließend ein Zertifikat aus, das den alternativen Domänennamen abdeckt. Die Liste der Zertifikate kann folgende Arten von Zertifikaten enthalten:

    • Zertifikate bereitgestellt von AWS Certificate Manager

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zu ACM hochgeladen haben

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zum IAM-Zertifikatspeicher hochgeladen haben

    Bei Auswahl dieser Einstellung sollten Sie nur einen alternativen Domänennamen in Ihren Objekt-URLs () verwen (https://example.com/logo.jpg). Wenn Sie Ihren CloudFront Distributionsdomänennamen (https://d111111abcdef8.cloudfront.net/logo.jpg) verwenden und ein Client einen älteren Viewer verwendet, der SNI nicht unterstützt, hängt die Reaktion des Viewers davon ab, welchen Wert Sie für Unterstützte Clients wählen:

    • Alle Clients: Der Viewer zeigt eine Warnung an, da der CloudFront Domainname nicht mit dem Domainnamen in Ihrem SSL/TLS Zertifikat übereinstimmt.

    • Nur Clients, die Server Name Indication (SNI) Support: CloudFront unterbricht die Verbindung mit dem Viewer, ohne das Objekt zurückzugeben.

Benutzerdefinierte SSL-Clientunterstützung

Gilt nur, wenn Sie Benutzerdefiniertes SSL-Zertifikat (example.com) unter SSL-Zertifikat auswählen. Wenn Sie einen oder mehrere alternative Domainnamen und ein benutzerdefiniertes SSL-Zertifikat für die Verteilung angegeben haben, wählen Sie aus, wie Sie HTTPS-Anfragen bearbeiten CloudFront möchten:

  • Clients that Support Server Name Indication (SNI) - (Recommended) (Clients, die SNI (Server Name Indication) unterstützen – (Empfohlen)): Mit dieser Einstellung können nahezu alle modernen Webbrowser und Clients eine Verbindung zur Verteilung herstellen, da sie SNI unterstützen. Einige Viewer verwenden jedoch möglicherweise ältere Webbrowser oder Clients, die SNI nicht unterstützen, was bedeutet, dass sie keine Verbindung zur Verteilung herstellen können.

    Um diese Einstellung mithilfe der CloudFront API anzuwenden, geben Sie dies sni-only in dem SSLSupportMethod Feld an. In CloudFormation wird das Feld SslSupportMethod genannt (Beachten Sie die geänderte Groß-/Kleinschreibung).

  • Unterstützung für Legacy-Clients: Mit dieser Einstellung können ältere Webbrowser und Clients, die SNI nicht unterstützen, eine Verbindung zur Distribution herstellen. Für diese Einstellung fallen jedoch zusätzliche monatliche Gebühren an. Den genauen Preis finden Sie auf der CloudFront Amazon-Preisseite und suchen Sie auf der Seite nach Dedicated IP Custom SSL.

    Um diese Einstellung mithilfe der CloudFront API anzuwenden, geben Sie dies vip in das SSLSupportMethod Feld ein. In ist CloudFormation das Feld benannt SslSupportMethod (beachten Sie die unterschiedliche Groß-/Kleinschreibung).

Weitere Informationen finden Sie unter Wählen Sie aus, wie CloudFront HTTPS-Anfragen bearbeitet werden.

Sicherheitsrichtlinie ( SSL/TLS Mindestversion)

Geben Sie die Sicherheitsrichtlinie CloudFront an, die Sie für HTTPS-Verbindungen mit Zuschauern (Clients) verwenden möchten. Eine Sicherheitsrichtlinie bestimmt zwei Einstellungen:

  • Das SSL/TLS Mindestprotokoll, das für die Kommunikation mit Zuschauern CloudFront verwendet wird.

  • Die Chiffren, mit denen der Inhalt verschlüsselt werden CloudFront kann, der an die Zuschauer zurückgegeben wird.

Weitere Informationen zu den Sicherheitsrichtlinien einschließlich der jeweils enthaltenen Protokolle und Verschlüsselungen finden Sie unter Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront.

Die verfügbaren Sicherheitsrichtlinien hängen von den Werten ab, die Sie für SSL-Zertifikate und benutzerdefinierte SSL-Clientunterstützung (bekannt als CloudFrontDefaultCertificate und SSLSupportMethod in der CloudFront API) angeben:

  • Wenn das SSL-Zertifikat das CloudFront Standardzertifikat (*.cloudfront.net) ist (wenn CloudFrontDefaultCertificate es true in der API enthalten ist), wird die Sicherheitsrichtlinie CloudFront automatisch auf TLSv1 festgelegt.

  • Wenn SSL-Zertifikat auf Benutzerdefiniertes SSL-Zertifikat (example.com) und Benutzerdefinierte SSL-Client-Unterstützung auf Clients, die Server Name Indication (SNI) unterstützen – (empfohlen) eingestellt ist (wenn CloudFrontDefaultCertificate in der API auf false und SSLSupportMethod auf sni-only festgelegt ist), können Sie aus den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1.3_2025

    • TLSv1.2_2025

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Wenn SSL-Zertifikat auf Benutzerdefiniertes SSL-Zertifikat (example.com) und Benutzerdefinierte SSL-Client-Unterstützung auf Unterstützung für Legacy-Clients eingestellt ist (wenn CloudFrontDefaultCertificate in der API auf false und SSLSupportMethod auf vip festgelegt ist), können Sie aus den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1

    • SSLv3

    In dieser Konfiguration sind die Sicherheitsrichtlinien TLSv1.3 _2025, TLSv1.2 _2025, TLSv1.2 _2021, TLSv1.2 _2019, TLSv1.2 _2018, TLSv1.1 _2016 und TLSv1_2016 nicht in der Konsole oder API verfügbar. CloudFront Wenn Sie eine dieser Sicherheitsrichtlinien verwenden möchten, stehen Ihnen folgende Optionen zur Verfügung:

    • Prüfen Sie, ob Ihre Verteilung Unterstützung für Legacy-Clients mit dedizierten IP-Adressen benötigt. Wenn Ihre Viewer Server Name Indication (SNI) unterstützen, empfehlen wir, die Einstellung Benutzerdefinierte SSL-Client-Unterstützung Ihrer Distribution auf Clients, die Server Name Indication (SNI) unterstützen zu aktualisieren (SSLSupportMethod in der API auf sni-only einzustellen). Auf diese Weise können Sie alle verfügbaren TLS-Sicherheitsrichtlinien verwenden und Ihre Gebühren können gesenkt werden. CloudFront

    • Wenn Sie Legacy Clients Support mit dedizierten IP-Adressen beibehalten müssen, können Sie eine der anderen TLS-Sicherheitsrichtlinien (TLSv1.3_2025, _2025, TLSv1.2 _2021, TLSv1.2 TLSv1.2 _2019, TLSv1.2 _2018, _2016 oder TLSv1.1 TLSv1_2016) anfordern, indem Sie im Support Center einen Fall erstellen.AWS

      Anmerkung

      Bevor Sie sich an den AWS Support wenden, um diese Änderung zu beantragen, sollten Sie Folgendes beachten:

      • Wenn Sie eine dieser Sicherheitsrichtlinien (TLSv1.3_2025, _2025, TLSv1.2 _2021, TLSv1.2 TLSv1.2 _2019, TLSv1.2 _2018, _2016 oder TLSv1.1 TLSv1_2016) zu einer Legacy Clients Support-Distribution hinzufügen, wird die Sicherheitsrichtlinie auf alle Nicht-SNI-Viewer-Anfragen für alle Legacy Clients Support-Distributionen in Ihrem Konto angewendet. AWS Wenn Viewer jedoch SNI-Anforderungen an eine Verteilung mit Unterstützung für Legacy-Clients senden, gilt die Sicherheitsrichtlinie dieser Verteilung. Um sicherzustellen, dass Ihre gewünschte Sicherheitsrichtlinie auf alle Zuschaueranfragen angewendet wird, die an alle Legacy Clients Support-Distributionen in Ihrem AWS Konto gesendet werden, fügen Sie die gewünschte Sicherheitsrichtlinie jeder Distribution einzeln hinzu.

      • Per Definition unterstützt die neue Sicherheitsrichtlinie nicht dieselben Verschlüsselungen und Protokolle wie die alte. Wenn Sie sich beispielsweise dafür entscheiden, die Sicherheitsrichtlinie einer Distribution von TLSv1 auf TLSv1.1 _2016 zu aktualisieren, unterstützt diese Distribution die Verschlüsselung nicht mehr. DES-CBC3-SHA Weitere Informationen zu den Verschlüsselungen und Protokollen, die von den einzelnen Sicherheitsrichtlinien unterstützt werden, finden Sie unter Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront.

Unterstützte HTTP-Versionen

Wählen Sie die HTTP-Versionen aus, die Ihre Distribution unterstützen soll, wenn Zuschauer mit ihnen kommunizieren CloudFront.

Damit Zuschauer CloudFront sie verwenden können HTTP/2, müssen Zuschauer Server Name Indication (SNI) TLSv1.2 oder höher unterstützen.

Für Zuschauer und CloudFront zur Nutzung HTTP/3 müssen Zuschauer Server Name Indication (SNI) unterstützen TLSv1.3 . CloudFront unterstützt die HTTP/3 Verbindungsmigration, sodass der Zuschauer zwischen Netzwerken wechseln kann, ohne die Verbindung zu verlieren. Weitere Angaben zur Verbindungsmigration finden Sie in den Informationen zur Verbindungsmigration in RFC 9000.

Anmerkung

Weitere Hinweise zu unterstützten TLSv1.3 Verschlüsselungen finden Sie unter. Unterstützte Protokolle und Chiffren zwischen Zuschauern und CloudFront

Anmerkung

Wenn Sie Amazon Route 53 verwenden, können Sie anhand von HTTPS-Einträgen Protokollaushandlungen als Teil der DNS-Suche ermöglichen, sofern der Client dies unterstützt. Weitere Informationen finden Sie unter Create alias resource record set.

Standardstammobjekt

Optional. Das Objekt, das Sie von Ihrem Ursprungsserver anfordern CloudFront möchten (z. B.index.html), wenn ein Betrachter die Stamm-URL Ihrer Distribution (https://www.example.com/) anstelle eines Objekts in Ihrer Distribution (https://www.example.com/product-description.html) anfordert. Durch die Festlegung eines Angeben eines Standardstammobjekt wird vermieden, dass die Inhalte Ihrer Verteilung preisgegeben werden.

Die maximale Länge des Namens beträgt 255 Zeichen. Der Name kann folgende Zeichen enthalten:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • & (übergeben und zurückgegeben als &)

Geben Sie bei der Angabe des Standardstammobjekts nur den Objektnamen ein, z. B. index.html. Fügen Sie keinen / vor dem Objektnamen hinzu.

Weitere Informationen finden Sie unter Angeben eines Standardstammobjekts.

Standardprotokollierung

Geben Sie an CloudFront , ob Sie Informationen zu jeder Anforderung für ein Objekt protokollieren und die Protokolldateien speichern möchten. Sie können die Protokollierung jederzeit aktivieren oder deaktivieren. Es fallen keine zusätzlichen Kosten für die Aktivierung der Protokollierung an. Sie müssen jedoch mit Gebühren für das Speichern von Daten und den Zugriff darauf rechnen. Sie können die Protokolle jederzeit löschen.

CloudFront unterstützt die folgenden Standard-Protokollierungsoptionen:

Verbindungsprotokolle.

Wenn Sie die gegenseitige Authentifizierung für Ihre Distribution aktivieren, werden Verbindungsprotokolle CloudFront bereitgestellt, die Attribute der an Ihre Distributionen gesendeten Anfragen aufzeichnen. Verbindungsprotokolle enthalten Informationen wie die Client-IP-Adresse und den Port, Informationen zum Client-Zertifikat, die Verbindungsergebnisse und die verwendeten TLS-Chiffren. Diese Verbindungsprotokolle können dann verwendet werden, um Anforderungsmuster und andere Trends zu überprüfen.

Weitere Informationen zu Verbindungsprotokollen finden Sie unterBeobachtbarkeit mithilfe von Verbindungsprotokollen.

Protokollpräfix

(Optional) Wenn Sie die Standardprotokollierung (Legacy) aktivieren, geben Sie gegebenenfalls die Zeichenfolge CloudFront an, der Sie den Namen der Zugriffsprotokolldateien für diese Verteilung voranstellen möchten, z. B.exampleprefix/. Der abschließende Schrägstrich (/) ist optional, jedoch empfohlen, um das Durchsuchen Ihrer Protokolldateien zu vereinfachen. Weitere Informationen finden Sie unter Konfigurieren der Standardprotokollierung (Legacy).

Protokollierung von Cookies

Wenn Sie Cookies in CloudFront die Zugriffsprotokolle aufnehmen möchten, wählen Sie On. Wenn Sie Cookies in die Protokolle aufnehmen möchten, werden alle Cookies unabhängig davon CloudFront protokolliert, wie Sie das Cache-Verhalten für diese Verteilung konfigurieren: alle Cookies weiterleiten, keine Cookies weiterleiten oder eine bestimmte Liste von Cookies an den Ursprung weiterleiten.

Amazon S3 verarbeitet keine Cookies. Wenn Ihre Verteilung keinen Amazon EC2- oder einen anderen benutzerdefinierten Ursprung enthält, sollten Sie daher Off (Aus) als Wert in Cookie Logging (Cookie-Protokollierung) auswählen.

Weitere Informationen zu Cookies finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Cookies.

Aktivieren von IPv6 (Viewer-Anforderungen)

Wenn Sie CloudFront auf Zuschaueranfragen von IPv4- und IPv6-IP-Adressen antworten möchten, wählen Sie IPv6 aktivieren. Weitere Informationen finden Sie unter IPv6 für CloudFront Distributionen aktivieren.

Gegenseitige Authentifizierung

Optional. Sie können sich dafür entscheiden, die gegenseitige Authentifizierung für Ihre Distribution zu aktivieren. CloudFront Weitere Informationen finden Sie unter Gegenseitige TLS-Authentifizierung mit CloudFront (Viewer mTLS).

Aktivieren von IPv6 für benutzerdefinierte Ursprünge (Ursprungsanforderungen)

Wenn Sie einen benutzerdefinierten Ursprung verwenden (mit Ausnahme von Amazon S3- und VPC-Ursprüngen), können Sie die Ursprungseinstellungen für Ihre Distribution anpassen, um auszuwählen, wie über IPv4- oder IPv6-Adressen CloudFront eine Verbindung zu Ihrem Ursprung hergestellt wird. Weitere Informationen finden Sie unter IPv6 für CloudFront Distributionen aktivieren.

Comment

Optional. Wenn Sie eine Verteilung erstellen, können Sie einen Kommentar mit einer Länge von bis zu 128 Zeichen einfügen. Sie können den Kommentar jederzeit aktualisieren.

Status der Verteilung

Gibt an, ob die Verteilung nach der Bereitstellung aktiv oder inaktiv sein soll:

  • Aktiviert bedeutet, dass Sie sofort Links mit dem Domainnamen der Distribution verwenden können und dass Benutzer die Inhalte darüber abrufen können, sobald die Distribution vollständig bereitsteht. Wenn eine Verteilung aktiviert ist, akzeptiert und verarbeitet CloudFront alle Anfragen zu diesen Inhalten von Endbenutzern, die den Domänennamen verwenden, welcher der Verteilung zugewiesen wurde.

    Wenn Sie eine CloudFront Distribution erstellen, ändern oder löschen, dauert es einige Zeit, bis Ihre Änderungen in der Datenbank übernommen werden. CloudFront Bei einer unmittelbaren Anfrage für Informationen zu einer Verteilung wird die Änderung möglicherweise nicht angezeigt. Die Weiterleitung wird in der Regel innerhalb weniger Minuten abgeschlossen. Dieser Zeitraum kann sich bei einer hohen Zeitauslastung oder Netzwerkpartition jedoch verlängern.

  • Disabled bedeutet, dass die Verteilung möglicherweise bereitgestellt und betriebsbereit ist, aber Benutzer sie noch nicht verwenden können. Immer wenn eine Verteilung deaktiviert ist, akzeptiert CloudFront sie keine Anfragen von Endbenutzern, die den mit dieser Verteilung verknüpften Domainnamen verwenden. Die Verteilung kann erst verwendet werden, wenn Sie den Status von Deaktiviert zu Aktiviert ändern (indem Sie die Konfiguration der Verteilung aktualisieren).

Sie können in Bezug auf den Status einer Verteilung so oft zwischen Deaktiviert und Aktiviert wechseln, wie Sie möchten. Führen Sie die Schritte zum Aktualisieren der Konfiguration einer Verteilung aus. Weitere Informationen finden Sie unter Eine Verteilung aktualisieren.