Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben - Amazon CloudFront

Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben

Wenn Sie über die CloudFront-Konsole eine neue Verteilung erstellen oder eine vorhandene Verteilung aktualisieren, geben Sie die folgenden Werte an.

Weitere Informationen zum Erstellen oder Aktualisieren einer Verteilung über die CloudFront-Konsole finden Sie unter Erstellen einer Verteilung oder Aktualisieren einer Verteilung.

Ursprungseinstellungen

Die folgenden Werte gelten für alle Arten von Ursprüngen:

Die folgenden Werte gelten nur für Amazon S3-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden):

  • Bucket-Zugriff einschränken

  • Ursprungszugriffsidentität (Gilt nur, wenn Sie Yes (Ja) in Restrict Bucket Access (Bucket-Zugriff einschränken) auswählen.)

  • Comment (Gilt nur, wenn Sie Create a New Identity (Neue Identität erstellen) in Origin Access Identity (Ursprungszugriffsidentität) auswählen.)

  • Eigene Identitäten (Gilt nur, wenn Sie Use an Existing Identity (Vorhandene Identität verwenden) in Origin Access Identities (Ursprungszugriffsidentitäten) auswählen.)

  • Leseberechtigungen für Bucket erteilen (Gilt nur, wenn Sie Yes (Ja) in Restrict Bucket Access (Bucket-Zugriff einschränken) auswählen.)

Die folgenden Werte gelten nur für benutzerdefinierte Ursprünge wie Amazon EC2-Instances, Elastic Load Balancing-Load Balancer, MediaPackage-Ursprünge, MediaStore-Container oder Ihren eigenen Webserver:

Einstellungen für das Cache-Verhalten

Die folgenden Werte gelten für die Default Cache Behavior Settings (Standardeinstellungen für das Cache-Verhalten) (beim Erstellen einer Verteilung) und für andere Cache-Verhaltensweisen, die Sie später erstellen.

Die folgenden Werte gelten für Lambda Function Associations (Lambda-Funktionszuordnungen).

Einstellungen für die Verteilung

Benutzerdefinierte Fehlerseiten und Zwischenspeicherung von Fehlern

Restrictions

Ursprungseinstellungen

Beim Erstellen oder Aktualisieren einer Verteilung geben Sie Informationen zu einem oder mehreren Speicherorten – als Ursprungs-Server bezeichnet – an, in dem bzw. denen Sie die Originalversionen Ihrer Web-Inhalte speichern. CloudFront ruft Ihre Webinhalte von Ihren Ursprüngen ab und stellt sie Betrachtern über ein weltweites Netzwerk von Edge-Servern bereit. Jeder Ursprung ist entweder ein Amazon S3-Bucket oder ein HTTP-Server, beispielsweise ein Webserver.

Informationen zur aktuell gültigen maximalen Anzahl von Ursprüngen, die Sie für eine Verteilung erstellen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Wenn Sie einen Ursprung löschen möchten, müssen Sie zunächst die Cache-Verhalten bearbeiten oder löschen, die mit diesem Ursprung verknüpft sind.

Wichtig

Vergewissern Sie sich beim Löschen eines Ursprungs, dass die zuvor von diesem Ursprung bereitgestellten Dateien in einem anderen Ursprung verfügbar sind und dass Ihre Cache-Verhalten Anfragen für diese Dateien jetzt an den neuen Ursprung weiterleiten.

Beim Erstellen oder Aktualisieren einer Verteilung geben Sie die folgenden Werte für jeden Ursprung an.

Domänenname des Ursprungs

Der DNS-Domänenname des Amazon S3-Buckets oder HTTP-Servers, von dem CloudFront Objekte für diesen Ursprung abrufen soll, zum Beispiel:

  • Amazon S3-BucketDOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com

    Anmerkung

    Wenn Sie den S3-Bucket erst vor kurzem erstellt haben, gibt die CloudFront-Verteilung möglicherweise bis zu 24 Stunden HTTP 307 Temporary Redirect-Antworten zurück. Es kann bis zu 24 Stunden dauern, bis der S3-Bucket-Name in alle AWS-Regionen weitergegeben wird. Wenn die Weitergabe abgeschlossen ist, stoppt die Verteilung das Senden dieser Umleitungsantworten automatisch. Sie müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie unter Warum erhalte ich eine HTTP 307 Temporary Redirect-Antwort von Amazon S3? und Temporäre Anforderungsumleitung.

  • Amazon S3-Bucket, der als Website konfiguriert isthttps://DOC-EXAMPLE-BUCKET.s3-website.us-west-2.amazonaws.com

  • MediaStore-Containerexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage-Endpunktexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Amazon EC2-Instanceec2-203-0-113-25.compute-1.amazonaws.com

  • Elastic Load Balancing-Load Balancerexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Ihr eigener Webserverhttps://example.com

Wählen Sie den Domänennamen im Feld Origin Domain Name (Ursprungsdomänenname) aus oder geben Sie den Namen ein. Bei dem Domänennamen wird die Groß- und Kleinschreibung nicht berücksichtigt.

Wenn es sich bei Ihrem Ursprung um einen Amazon S3-Bucket handelt, beachten Sie Folgendes:

  • Wenn der Bucket als Website konfiguriert ist, geben Sie den statischen Amazon S3-Endpunkt für das Hosten von Websites für Ihren Bucket ein. Sie dürfen den Bucket-Namen nicht aus der Liste im Feld Origin Domain Name (Ursprungsdomänenname) auswählen. Der statische Amazon S3-Endpunkt für das Hosten von Websites wird in der Amazon S3-Konsole auf der Seite Properties (Eigenschaften) unter Static Website Hosting (Hosting der statischen Website) angezeigt. Weitere Informationen finden Sie unter Verwendung von Amazon S3-Buckets, die als Website-Endpunkte für den Ursprung konfiguriert sind.

  • Wenn Sie für Ihren Bucket Amazon S3 Transfer Acceleration konfiguriert haben, geben Sie den s3-accelerate-Endpunkt für Origin Domain Name (Domänenname des Ursprungs) nicht an.

  • Wenn Sie einen Bucket von einem anderen AWS-Konto verwenden und der Bucket nicht als Website konfiguriert ist, geben Sie den Namen im folgenden Format ein:

    bucket-name.s3.region.amazonaws.com

    Wenn sich Ihr Bucket in der Region USA Standard befindet und Amazon S3 Anforderungen an einen Standort im Norden Virginias weiterleiten soll, verwenden Sie das folgende Format:

    bucket-name.s3.us-east-1.amazonaws.com

  • Die Dateien müssen öffentlich lesbar sein, es sei denn, Sie sichern Ihre Inhalte in Amazon S3 unter Verwendung einer CloudFront-Ursprungszugriffsidentität. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Wichtig

Wenn der Ursprung ein Amazon S3-Bucket ist, muss der Bucket-Name den Anforderungen für DNS-Namen entsprechen. Weitere Informationen finden Sie unter Bucket-Einschränkungen und -Limits im Amazon Simple Storage Service-Entwicklerhandbuch.

Wenn Sie den Wert von Origin Domain Name (Ursprungsdomänenname) für einen Ursprung ändern, beginnt CloudFront sofort mit der Replikation der Änderung an CloudFront-Edge-Standorte. Bis zur Aktualisierung der Verteilungskonfiguration am angegebenen Edge-Standort setzt CloudFront die Weiterleitung von Anforderungen an den vorherigen HTTP-Server oder Amazon S3-Bucket fort. Erst wenn die Verteilungskonfiguration an diesem Edge-Standort aktualisiert ist, beginnt CloudFront mit der Weiterleitung von Anforderungen an den neuen HTTP-Server oder Amazon S3-Bucket.

Bei einem Wechsel des Ursprungs muss CloudFront die Edge-Zwischenspeicher nicht mit Objekten aus dem neuen Ursprung auffüllen. Solange die Betrachteranfragen in Ihrer Anwendung nicht geändert werden, stellt CloudFront weiter Objekte bereit, die sich bereits in einem Edge-Cache befinden, bis die TTL für die einzelnen Objekte abläuft oder selten angeforderte Objekte entfernt werden.

Ursprungspfad

Wenn CloudFront Ihre Inhalte aus einem Verzeichnis in Ihrer AWS-Ressource oder Ihrem benutzerdefinierten Ursprung anfordern soll, geben Sie den Verzeichnispfad beginnend mit einem Schrägstrich (/) ein. CloudFront fügt den Verzeichnispfad an den Wert von Origin Domain Name (Ursprungsdomänenname) an, zum Beispiel cf-origin.example.com/production/images. Fügen Sie keinen Schrägstrich (/) am Pfadende hinzu.

Angenommen, Sie haben die folgenden Werte für Ihre Verteilung angegeben:

  • Origin Domain Name (Ursprungsdomänenname – Ein Amazon S3-Bucket mit dem Namen DOC-EXAMPLE-BUCKET

  • Origin Path (Ursprungspfad)/production

  • Alternate Domain Names (CNAMEs) (Alternative Domänennamen (CNAMEs))example.com

Wenn ein Benutzer example.com/index.html in einen Browser eingibt, sendet CloudFront eine Anforderung für DOC-EXAMPLE-BUCKET/production/index.html an Amazon S3.

Wenn ein Benutzer example.com/acme/index.html in einen Browser eingibt, sendet CloudFront eine Anforderung für DOC-EXAMPLE-BUCKET/production/acme/index.html an Amazon S3.

Ursprungs-ID

Eine Zeichenfolge, die diesen Ursprung eindeutig von diesem Ursprung oder dieser Ursprungsgruppe in dieser Verteilung unterscheidet. Wenn Sie zusätzlich zum Cache-Standardverhalten weitere Cache-Verhaltensweisen erstellen, verwenden Sie die hier von Ihnen angegebene ID zur Identifizierung des Ursprungs oder der Ursprungsgruppe, an den/die CloudFront eine Anforderung weiterleiten soll, wenn die Anforderung mit dem Pfadmuster für dieses Cache-Verhalten übereinstimmt.

Weitere Informationen finden Sie unter:

Verbindungsversuche zum Ursprung

Gibt an, wie oft CloudFront versucht, eine Verbindung mit dem Ursprung herzustellen. Sie können 1, 2 oder 3 als Anzahl der Versuche angeben. Die Standardanzahl (wenn Sie nichts anderes angeben) ist 3.

Mit dieser Einstellung in Verbindung mit Origin Connection Timeout (Timeout der Ursprungsverbindung) können Sie angeben, wie lange CloudFront wartet, bevor es versucht, eine Verbindung mit dem sekundären Ursprung herzustellen, oder eine Fehlermeldung an den Betrachter zurückgibt. CloudFront wartet standardmäßig bis zu 30 Sekunden (3 Versuche à 10 Sekunden), bevor versucht wird, eine Verbindung zum sekundären Ursprung herzustellen oder eine Fehlermeldung zurückgegeben wird. Sie können diese Zeit reduzieren, indem Sie weniger Versuche, ein kürzeres Verbindungs-Timeout, oder beides angeben.

Wenn die angegebene Anzahl von Verbindungsversuchen fehlschlägt, führt CloudFront eine der folgenden Aktionen aus:

  • Wenn der Ursprung Teil einer Ursprungsgruppe ist, versucht CloudFront, eine Verbindung zum sekundären Ursprung herzustellen. Wenn die angegebene Anzahl von Verbindungsversuchen mit dem sekundären Ursprung fehlschlägt, gibt CloudFront eine Fehlermeldung an den Betrachter zurück.

  • Wenn der Ursprung nicht Teil einer Ursprungsgruppe ist, gibt CloudFront eine Fehlermeldung an den Betrachter zurück.

Für einen benutzerdefinierten Ursprung (einschließlich Amazon S3-Buckets, die zum Hosting einer statischem Website konfiguriert sind) gibt diese Einstellung auch die Häufigkeit an, mit der CloudFront versucht, eine Antwort vom Ursprung zu erhalten. Weitere Informationen finden Sie unter Ursprungs-Reaktions-Timeout.

Timeout der Ursprungsverbindung

Die Anzahl der Sekunden, die CloudFront wartet, wenn versucht wird, eine Verbindung zum Ursprung herzustellen. Sie können eine Anzahl von Sekunden zwischen 1 und 10 (inklusive) angeben. Das Standardtimeout (wenn Sie nichts anderes angeben) beträgt 10 Sekunden.

Sie verwenden diese Einstellung zusammen mit Origin Connection Attempts (Verbindungsversuche mit dem Ursprung), um anzugeben, wie lange CloudFront warten soll, bevor es versucht, eine Verbindung mit dem sekundären Ursprung herzustellen, oder eine Fehlermeldung an den Betrachter zurückgibt. CloudFront wartet standardmäßig bis zu 30 Sekunden (3 Versuche à 10 Sekunden), bevor versucht wird, eine Verbindung zum sekundären Ursprung herzustellen oder eine Fehlermeldung zurückgegeben wird. Sie können diese Zeit reduzieren, indem Sie weniger Versuche, ein kürzeres Verbindungs-Timeout, oder beides angeben.

Wenn CloudFront innerhalb der angegebenen Anzahl von Sekunden keine Verbindung zum Ursprung herstellt, führt CloudFront eine der folgenden Aktionen aus:

  • Wenn die angegebene Anzahl von Origin Connection Attempts (Ursprungsverbindungsversuchen größer als 1 ist, versucht CloudFront erneut, eine Verbindung herzustellen. CloudFront versucht dies bis zu 3-mal, wie durch den Wert in Origin Connection Attempts (Ursprungsverbindungsversuche) festgelegt.

  • Wenn alle Verbindungsversuche fehlschlagen und der Ursprung Teil einer Ursprungsgruppe ist, versucht CloudFront, eine Verbindung zum sekundären Ursprung herzustellen. Wenn die angegebene Anzahl von Verbindungsversuchen mit dem sekundären Ursprung fehlschlägt, gibt CloudFront eine Fehlermeldung an den Betrachter zurück.

  • Wenn alle Verbindungsversuche fehlschlagen und der Ursprung nicht Teil einer Ursprungsgruppe ist, gibt CloudFront eine Fehlermeldung an den Betrachter zurück.

Angepasste Ursprungs-Header

Wenn CloudFront beim Senden von Anforderungen an den Ursprung benutzerdefinierte Header hinzufügen soll, geben Sie die folgenden Werte an:

Header-Name

Der Name eines Headers, den CloudFront zu Anforderungen hinzufügen soll, die an den Ursprung gesendet werden.

Value

Der Wert für den Header, den Sie im Feld Custom Header angegeben haben.

Weitere Informationen finden Sie unter Hinzufügen benutzerdefinierter Header zu Ursprungsanforderungen.

Informationen zur zurzeit maximalen Anzahl von benutzerdefinierten Headern, die Sie an den Ursprung weiterleiten können, zur maximalen Länge eines benutzerdefinierten Header-Namens und -Werts und zur maximalen Gesamtlänge aller Header-Namen und -Werte finden Sie unter Quotas.

Bucket-Zugriff einschränken

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wählen Sie Yes (Ja) aus, wenn Benutzer ausschließlich über CloudFront-URLs und nicht über Amazon S3-URLs auf Objekte in einem Amazon S3-Bucket zugreifen sollen. Geben Sie dann weitere Werte an.

Wählen Sie No (Nein) aus, wenn Sie zulassen möchten, dass Benutzer über CloudFront-URLs oder Amazon S3-URLs auf Objekte zugreifen.

Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Informationen dazu, wie Sie festlegen, dass Benutzer ausschließlich über CloudFront-URLs auf Objekte in einem benutzerdefinierten Ursprung zugreifen können, finden Sie unter Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern.

Ursprungszugriffsidentität

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn Sie bei Restrict Bucket Access die Option Yes wählen, wählen Sie aus, ob eine neue Ursprungszugriffsidentität erstellt oder eine vorhandene aus Ihrem AWS-Konto verwendet werden soll. Wenn Sie bereits über eine Ursprungszugriffsidentität verfügen, empfehlen wir, diese zur Vereinfachung der Wartung erneut zu verwenden. Weitere Informationen zu Ursprungszugriffsidentitäten finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Comment

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn Sie in Origin Access Identity (Ursprungszugriffsidentität) die Option Create A New Identity (Neue Identität erstellen) ausgewählt haben, geben Sie einen Kommentar ein, der die neue Ursprungszugriffsidentität identifiziert. CloudFront erstellt die Ursprungszugriffsidentität beim Erstellen dieser Verteilung.

Eigene Identitäten

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn Sie unter Origin Access Identity die Option Use an Existing Identity gewählt haben, wählen Sie die gewünschte Ursprungszugriffsidentität aus. Sie können keine Ursprungszugriffsidentität verwenden, die mit einem anderen AWS-Konto verknüpft ist.

Leseberechtigungen für Bucket erteilen

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn CloudFront der Ursprungszugriffsidentität automatisch die Berechtigung zum Lesen von Objekten in Ihrem Amazon S3-Bucket erteilen soll, wählen Sie Yes, Update Bucket Policy (Ja, Bucket-Richtlinie aktualisieren) aus.

Wichtig

Wenn Sie Yes, Update Bucket Policy (Ja, Bucket-Richtlinie aktualisieren) auswählen, aktualisiert CloudFront die Bucket-Richtlinie so, dass der angegebenen Ursprungszugriffsidentität die Berechtigung zum Lesen von Objekten in Ihrem Bucket erteilt wird. CloudFront entfernt jedoch keine vorhandenen Berechtigungen in der Bucket-Richtlinie oder Berechtigungen für einzelne Objekte. Wenn Benutzer zurzeit zum Zugriff auf die Objekte in Ihrem Bucket über Amazon S3-URLs berechtigt sind, sind sie nach der Aktualisierung Ihrer Bucket-Richtlinie durch CloudFront weiter hierzu berechtigt. Um die vorhandene Bucket-Richtlinie und die vorhandenen Berechtigungen anzuzeigen oder zu ändern, verwenden Sie eine von Amazon S3 bereitgestellte Methode. Weitere Informationen finden Sie unter Erteilen der OAI-Berechtigung zum Lesen von Dateien in Ihrem Amazon S3 Bucket.

Wenn Sie die Berechtigungen manuell aktualisieren möchten, beispielsweise wenn Sie statt Bucket-Richtlinien ACLs für Ihre Objekte aktualisieren möchten, wählen Sie No, I will Update Permissions (Nein, ich aktualisiere Berechtigungen) aus.

Mindest-SSL-Protokoll für Ursprung

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Wählen Sie das TLS/SSL-Mindestprotokoll aus, das CloudFront beim Herstellen einer HTTPS-Verbindung zu Ihrem Ursprung verwenden kann. Da niedrigere TLS-Protokollversionen weniger sicher sind, sollten Sie das neueste TLS-Protokoll auswählen, das Ihr Ursprung unterstützt.

Wenn Sie die CloudFront-API verwenden, um das TLS/SSL-Protokoll für CloudFront festzulegen, können Sie kein Mindestprotokoll festlegen. Stattdessen geben Sie alle TLS/SSL-Protokolle an, die CloudFront mit Ihrem Ursprung verwenden kann. Weitere Informationen finden Sie unter OriginSslProtocols in der Amazon CloudFront-API-Referenz.

Ursprungsprotokollrichtlinien

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Die Protokollrichtlinie, die CloudFront beim Abrufen von Objekten von Ihrem Ursprungs-Server verwenden soll.

Wählen Sie einen der folgenden Werte aus:

  • HTTP Only (Nur HTTP:) CloudFront verwendet nur HTTP für den Zugriff auf den Ursprung.

    Wichtig

    HTTP Only (Nur HTTP) ist die Standardeinstellung, wenn der Ursprung ein statischer Amazon S3-Endpunkt für das Hosten von Websites ist, da Amazon S3 keine HTTPS-Verbindungen für statische Endpunkte für das Hosten von Websites unterstützt. Die CloudFront-Konsole unterstützt das Ändern dieser Einstellung für statische Amazon S3-Endpunkte für das Hosten von Websites nicht.

  • HTTPS Only (Nur HTTPS): CloudFront verwendet für den Zugriff auf den Ursprung nur HTTPS.

  • Match Viewer (Wie Betrachter): CloudFront kommuniziert mit dem Ursprung abhängig vom Protokoll der Betrachteranfrage über HTTP oder HTTPS. Beachten Sie, dass CloudFront das Objekt nur einmal zwischenspeichert, auch wenn Betrachter ihre Anfragen sowohl über HTTP als auch über HTTPS übertragen.

    Wichtig

    Bei Betrachteranfragen über HTTPS, die CloudFront an diesen Ursprung weiterleitet, muss einer der Domänennamen im SSL-Zertifikat auf dem Ursprungs-Server mit dem Domänennamen übereinstimmen, den Sie in Origin Domain Name (Ursprungsdomänenname) angeben. Andernfalls beantwortet CloudFront die Betrachteranfragen mit dem HTTP-Statuscode 502 (Bad Gateway, ungültiger Gateway), statt das angeforderte Objekt zurückzugeben. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von SSL-/TLS-Zertifikaten in Verbindung mit CloudFront.

Ursprungs-Reaktions-Timeout

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Das Ursprungs-Reaktions-Timeout, das auch als Ursprungs-Lese-Timeout oder Ursprungs-Anforderungs-Timeout bezeichnet wird, gilt für folgende Werte:

  • Der Zeitraum (in Sekunden), den CloudFront nach der Weiterleitung einer Anforderung an einen Ursprung auf eine Antwort wartet.

  • Der Zeitraum (in Sekunden), den CloudFront nach dem Erhalt eines Antwortpakets vom Ursprung und vor dem Empfang des nächsten Pakets wartet.

Das Standard-Timeout beträgt 30 Sekunden. Sie können den Wert auf 1 bis 60 Sekunden ändern. Wenn Sie einen Timeout-Wert außerhalb dieses Bereichs benötigen, müssen Sie im AWS Support Center einen Fall erstellen.

Tipp

Wenn Sie den Timeout-Wert erhöhen möchten, da die Betrachter HTTP 504-Statuscodefehler erhalten, suchen Sie nach anderen Möglichkeiten zur Vermeidung dieser Fehler, bevor Sie den Timeout-Wert ändern. Vorschläge zur Fehlerbehebung finden Sie unter HTTP-Statuscode 504 (Gateway Timeout).

Das CloudFront-Verhalten ist von der HTTP-Methode in der Betrachteranfrage abhängig:

  • GET- und HEAD- Anfragen: Wenn der Ursprung nicht innerhalb des Reaktions-Timeouts reagiert oder nicht mehr reagiert, verwirft CloudFront die Verbindung. CloudFront versucht erneut, eine Verbindung herzustellen, abhängig vom Wert von Verbindungsversuche zum Ursprung.

  • DELETE-, OPTIONS-, PATCH-, PUT- und POST-Anforderungen – Wenn der Ursprung während des Lese-Timeouts nicht reagiert, verwirft CloudFront die Verbindung und versucht nicht, den Ursprung erneut zu kontaktieren. Der Client kann die Anfrage erneut senden, falls erforderlich.

Ursprungs-Keepalive-Timeout

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Der Zeitraum (in Sekunden) nach Erhalt des letzten Antwortpakets, über den CloudFront versucht, eine Verbindung zu Ihrem benutzerdefinierten Ursprung beizubehalten. Durch eine persistente Verbindung wird die Zeit gespart, die erforderlich ist, um die TCP-Verbindung erneut herzustellen und einen weiteren TLS-Handshake für nachfolgende Anfragen durchzuführen. Durch das Erhöhen des Keepalive-Timeouts können Sie die Metrik „Anfrage-pro-Verbindung” für Verteilungen verbessern.

Anmerkung

Damit der Wert für das Ursprungs-Keepalive-Timeout Auswirkungen hat, muss Ihr Ursprungs-Server ständige Verbindungen zulassen.

Das Standard-Timeout beträgt 5 Sekunden. Sie können den Wert auf eine Zahl von 1 auf 60 Sekunden ändern. Wenn Sie ein Keep-Alive-Timeout mit einer Dauer von mehr als 60 Sekunden benötigen, müssen Sie im AWS Support Center einen Fall erstellen.

HTTP-Port

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Optional. Der HTTP-Port, den der benutzerdefinierte Ursprung überwacht. Zu den gültigen Werten gehören die Ports 80, 443 und 1024 bis 65535. Der Standardwert ist Port 80.

Wichtig

Port 80 ist die Standardeinstellung, wenn der Ursprung ein statischer Amazon S3-Endpunkt für das Hosten von Websites ist, da Amazon S3 den Port 80 nur für statische Endpunkte für das Hosten von Websites unterstützt. Die CloudFront-Konsole unterstützt das Ändern dieser Einstellung für statische Amazon S3-Endpunkte für das Hosten von Websites nicht.

HTTPS-Port

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Optional. Der HTTPS-Port, den der benutzerdefinierte Ursprung überwacht. Zu den gültigen Werten gehören die Ports 80, 443 und 1024 bis 65535. Der Standardwert ist Port 443.

Einstellungen für das Cache-Verhalten

Mit einem Cache-Verhalten können Sie verschiedene CloudFront-Funktionen für ein bestimmtes URL-Pfadmuster für Dateien auf Ihrer Website konfigurieren. Beispielsweise kann ein einzelnes Cache-Verhalten für alle .jpg-Dateien im Verzeichnis images auf einem Webserver gelten, den Sie als Ursprungs-Server für CloudFront verwenden. Zu den Funktionen, die Sie für jedes Cache-Verhalten konfigurieren können, gehören folgende:

  • Das Pfadmuster.

  • Bei Konfigurierung mehrerer Ursprünge für Ihre CloudFront-Verteilung der Ursprung, an den CloudFront Ihre Anfragen weiterleiten soll.

  • Die Angabe, ob Abfragezeichenfolgen an Ihren Ursprung weiterleitet werden sollen.

  • Die Angabe, ob für den Zugriff auf die angegebenen Dateien signierte URLs erforderlich sind.

  • Die Angabe, ob Sie Benutzer HTTPS für den Zugriff auf diese Dateien verwenden müssen.

  • Der Mindestzeitraum, über den diese Dateien im CloudFront-Cache bleiben, unabhängig vom Wert der Cache-Control-Header, die Ihr Ursprung den Dateien hinzufügt.

Wenn Sie eine neue Verteilung erstellen, geben Sie Einstellungen für das Standard-Cache-Verhalten an, das alle Anfragen automatisch an den Ursprung weiterleitet, den Sie beim Erstellen der Verteilung angeben. Nach der Erstellung einer Verteilung können Sie zusätzliche Cache-Verhaltensweisen konfigurieren, die definieren, wie CloudFront auf Anforderungen für Objekte antwortet, die mit einem Pfadmuster übereinstimmen, z. B, *.jpg. Wenn Sie zusätzliche Cache-Verhalten erstellen, wird das Standard-Cache-Verhalten immer als Letztes verarbeitet. Andere Cache-Verhaltensweisen werden in der Reihenfolge verarbeitet, in der sie in der CloudFront-Konsole aufgeführt sind. Wenn Sie die CloudFront-API verwenden, werden sie in der Reihenfolge verarbeitet, in der sie im DistributionConfig-Element für die Verteilung aufgelistet sind. Weitere Informationen finden Sie unter Pfadmuster.

Wenn Sie ein Cache-Verhalten erstellen, geben Sie den Ursprung an, von dem CloudFront Objekte abrufen soll. Wenn CloudFront Objekte aus allen Ursprüngen verteilen soll, muss es mindestens so viele Cache-Verhaltensweisen (einschließlich des Cache-Standardverhaltens) wie Ursprünge geben. Wenn es zwei Ursprünge und nur das Cache-Standardverhalten gibt, führt das Cache-Standardverhalten dazu, dass CloudFront Objekte nur von einem Ursprung abruft, der andere Ursprung jedoch niemals verwendet wird.

Informationen zur aktuell gültigen maximalen Anzahl von Cache-Verhaltensweisen, die Sie einer Verteilung hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Pfadmuster

Ein Pfadmuster (z. B. images/*.jpg) gibt an, für welche Anfragen dieses Cache-Verhalten gelten soll. Wenn CloudFront eine Anfrage eines Endbenutzers erhält, wird der angeforderte Pfad in der Reihenfolge mit Pfadmustern verglichen, in der die Cache-Verhaltensweisen in der Verteilung aufgelistet sind. Die erste Übereinstimmung bestimmt, welches Cache-Verhalten auf diese Anfrage angewendet wird. Nehmen wir beispielsweise an, dass Sie drei Cache-Verhalten mit den folgenden drei Pfadmustern haben, in dieser Reihenfolge:

  • images/*.jpg

  • images/*

  • *.gif

Anmerkung

Optional können Sie einen Schrägstrich (/) am Anfang des Pfadmusters hinzufügen, z. B, /images/*.jpg. Das CloudFront-Verhalten bleibt unabhängig vom Vorhandensein des führenden Schrägstrichs gleich.

Eine Anfrage für die Datei images/sample.gif entspricht nicht dem ersten Pfadmuster, sodass die zugehörigen Cache-Verhalten nicht auf die Anfrage angewendet werden. Die Datei entspricht dem zweiten Pfadmuster, sodass die mit dem zweiten Pfadmuster verknüpften Cache-Verhalten angewendet werden, auch wenn die Anfrage ebenfalls dem dritten Pfadmuster entspricht.

Anmerkung

Wenn Sie eine neue Verteilung erstellen, wird der Wert von Path Pattern für das Standard-Cache-Verhalten auf * (alle Dateien) gesetzt und kann nicht geändert werden. Dieser Wert führt dazu, dass CloudFront alle Anforderungen für Ihre Objekte an den Ursprung weiterleitet, den Sie im Feld Domänenname des Ursprungs angegeben haben. Wenn die Anforderung für ein Objekt nicht mit dem Pfadmuster für ein anderes Cache-Verhalten übereinstimmt, wendet CloudFront das im Standard-Cache-Verhalten angegebene Verhalten an.

Wichtig

Gehen Sie beim Definieren von Pfadmustern und ihrer Reihenfolge sorgfältig vor. Andernfalls gewähren Sie Benutzern möglicherweise unerwünscht Zugriff auf Ihre Inhalte. Nehmen wir beispielsweise an, eine Anfrage stimmt mit dem Pfadmuster für zwei Cache-Verhalten überein. Das erste Cache-Verhalten erfordert keine signierten URLs und das zweite Cache-Verhalten erfordert signierte URLs. Benutzer können auf die Objekte zugreifen, ohne eine signierte URL zu verwenden, da CloudFront das Cache-Verhalten verarbeitet, das mit der ersten Übereinstimmung verbunden ist.

Wenn Sie mit einem MediaPackage-Kanal arbeiten, müssen Sie spezifische Pfadmuster für das Cache-Verhalten einfügen, das Sie für den Endpunkttyp für Ihren Ursprung definieren. Für einen DASH-Endpunkt geben Sie beispielsweise *.mpd in Path Pattern (Pfadmuster) ein. Weitere Informationen und spezielle Anweisungen finden Sie unter Bereitstellung von mit AWS Elemental MediaPackage formatiertem Live-Video.

Der angegebene Pfad gilt für Anfragen für alle Dateien im angegebenen Verzeichnis und in Unterverzeichnissen zum angegebenen Verzeichnis. CloudFront berücksichtigt bei der Evaluierung des Pfadmusters keine Abfragezeichenfolgen oder Cookies. Wenn ein images-Verzeichnis beispielsweise product1- und product2-Unterverzeichnisse enthält, gilt das Pfadmuster images/*.jpg für Anfragen für alle JPG-Dateien in den Verzeichnissen images, images/product1 und images/product2. Wenn Sie auf die Dateien im Verzeichnis images/product1 ein anderes Cache-Verhalten als auf die Dateien in den Verzeichnissen images und images/product2 anwenden möchten, erstellen Sie ein separates Cache-Verhalten für images/product1 und verschieben Sie dieses Cache-Verhalten an eine Stelle über (vor) dem Cache-Verhalten für das Verzeichnis images.

Sie können die folgenden Platzhalterzeichen in Ihrem Pfadmuster verwenden:

  • * entspricht 0 oder mehr Zeichen.

  • ? entspricht genau 1 Zeichen.

Die folgenden Beispiele zeigen, wie die Platzhalterzeichen funktionieren:

Pfadmuster Dateien, die dem Pfadmuster entsprechen

*.jpg

Alle JPG-Dateien

images/*.jpg

Alle JPG-Dateien im images-Verzeichnis und in den Unterverzeichnissen unter dem images-Verzeichnis

a*.jpg

  • Alle .jpg-Dateien, deren Dateiname mit a beginnt, z. B. apple.jpg und appalachian_trail_2012_05_21.jpg

  • Alle JPG-Dateien, deren Dateipfad mit a beginnt, z. B. abra/cadabra/magic.jpg

a??.jpg

Alle .jpg-Dateien, deren Dateiname mit a beginnt, gefolgt von genau zwei anderen Zeichen, z. B. ant.jpg und abe.jpg

*.doc*

Alle .jpg-Dateien, deren Dateinamenerweiterung mit .doc beginnt, z. B. .doc-, .docx- und .docm-Dateien. Sie können das Pfadmuster *.doc? in diesem Fall nicht verwenden, weil dieses Pfadmuster nicht für Anfragen für .doc-Dateien gelten würde. Das Platzhalterzeichen ? ersetzt genau ein Zeichen.

Die maximale Länge eines Pfadmusters beträgt 255 Zeichen. Der Wert kann folgende Zeichen enthalten:

  • A-Z, a-z

    Bei den Pfadmustern muss die Groß- und Kleinschreibung beachtet werden, so dass das Pfadmuster *.jpg nicht für die Datei LOGO.JPG gilt.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • & (übergeben und zurückgegeben als &

Ursprung oder Ursprungsgruppe

Geben Sie den Wert eines vorhandenen Ursprungs oder einer Ursprungsgruppe ein. Dies identifiziert den Ursprung oder die Ursprungsgruppe, an den/die CloudFront Anforderungen weiterleiten soll, wenn eine Anforderung (z. B. http://example.com/logo.jpg) mit dem Pfadmuster für ein Cache-Verhalten (z. B. *.jpg) oder das Cache-Standardverhalten (*) übereinstimmt.

Betrachter-Protokollrichtlinien

Wählen Sie die Protokollrichtlinie aus, die Betrachter für den Zugriff auf Ihre Inhalte an CloudFront-Edge-Standorten verwenden sollen:

  • HTTP und HTTPS: Betrachter können beide Protokolle verwenden.

  • Redirect HTTP to HTTPS: Betrachter können zwar beide Protokolle verwenden, doch HTTP-Anfragen werden automatisch umgeleitet und als HTTPS-Anfragen gesendet.

  • HTTPS Only: Betrachter können nur auf Ihre Inhalte zugreifen, wenn sie HTTPS verwenden

Weitere Informationen finden Sie unter Erzwingen der Verwendung von HTTPS für die Kommunikation zwischen Viewern und CloudFront.

Zulässige HTTP-Methoden

Geben Sie die HTTP-Methoden an, die CloudFront verarbeiten und an den Ursprung weiterleiten soll:

  • GET, HEAD: Sie können CloudFront nur für den Abruf von Objekten aus dem Ursprung oder den Abruf von Objekt-Headern verwenden.

  • GET, HEAD, OPTIONS: Sie können CloudFront nur für den Abruf von Objekten aus dem Ursprung, den Abruf von Objekt-Headern oder den Abruf einer Liste mit Optionen, die vom Ursprungs-Server unterstützt werden, verwenden.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: Sie können mit CloudFront Objekte abrufen, hinzufügen, aktualisieren und löschen sowie Objekt-Header abrufen. Darüber hinaus können Sie andere POST-Vorgänge wie das Senden von Daten aus einem Webformular ausführen.

    Anmerkung

    CloudFront zwischenspeichert Antworten auf GET- und HEAD-Anforderungen und optional auf OPTIONS-Anfragen. CloudFront speichert keine Antworten auf Anfragen im Cache, in denen die anderen Methoden verwendet werden.

Wenn Sie einen Amazon S3-Bucket als Ursprung für Ihre Verteilung und CloudFront-Ursprungszugriffsidentitäten verwenden, werden POST-Anforderungen in einigen Amazon S3-Regionen nicht unterstützt. PUT-Anforderungen in diesen Regionen erfordern einen zusätzlichen Header. Weitere Informationen finden Sie unter Verwenden einer OAI in Amazon-S3-Regionen, die nur die Authentifizierung von Signaturen der Version 4 unterstützen.

Wichtig

Wenn Sie GET, HEAD, OPTIONS oder GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE auswählen, müssen Sie möglicherweise den Zugriff auf den Amazon S3-Bucket oder den benutzerdefinierten Ursprung einschränken, um zu verhindern, dass Benutzer Operationen ausführen, die sie nicht ausführen sollen. Die folgenden Beispiele erläutern, wie Sie den Zugriff beschränken:

  • Wenn Sie Amazon S3 als Ursprung für Ihre Verteilung verwenden: Erstellen Sie eine CloudFront-Ursprungszugriffsidentität, um den Zugriff auf Ihre Amazon S3-Inhalte einzuschränken, und erteilen Sie der Ursprungszugriffsidentität Berechtigungen. Wenn Sie beispielsweise CloudFront für die Annahme und Weiterleitung nur dieser Methoden konfigurieren, weil Sie PUT verwenden möchten, müssen Sie trotzdem Amazon S3-Bucket-Richtlinien oder Zugriffskontrolllisten (ACLs) für die korrekte Verarbeitung von DELETE-Anforderungen konfigurieren. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

  • Wenn Sie einen benutzerdefinierten Ursprungs-Server verwenden: Konfigurieren Sie Ihren Ursprungs-Server so, dass alle Methoden verarbeitet werden. Wenn Sie beispielsweise CloudFront für die Annahme und Weiterleitung nur dieser Methoden konfigurieren, weil Sie POST verwenden möchten, müssen Sie trotzdem den Ursprungs-Server für die korrekte Verarbeitung von DELETE-Anforderungen konfigurieren.

Verschlüsselungskonfiguration auf Feldebene

Wenn Sie die Verschlüsselung auf Feldebene für bestimmte Datenfelder erzwingen möchten, wählen Sie in den Dropdown-Listen eine Verschlüsselungskonfiguration auf Feldebene.

Weitere Informationen finden Sie unter Schutz vertraulicher Daten durch Verschlüsselung auf Feldebene.

Zwischengespeicherte HTTP-Methoden

Geben Sie an, ob CloudFront die Antwort des Ursprungs zwischenspeichern soll, wenn ein Betrachter eine OPTIONS-Anforderung übermittelt. CloudFront speichert die Antwort auf GET- und HEAD-Anforderungen stets zwischen.

Basierend auf den ausgewählten Anforderungsheadern

Geben Sie an, ob CloudFront Objekte basierend auf den Werten bestimmter Header zwischenspeichern soll:

  • None (improves caching) (Keine (verbessert das Zwischenspeichern)) – CloudFront führt keine Zwischenspeicherung Ihrer Objekte anhand von Header-Werten aus.

  • Whitelist (Whitelist) – CloudFront führt eine Zwischenspeicherung Ihrer Objekte ausschließlich anhand der Werte der angegebenen Header aus. Über Whitelist Headers (Whitelist-Header) können Sie die Header auswählen, anhand derer CloudFront die Zwischenspeicherung ausführen soll.

  • All (Alle) – CloudFront führt keine Zwischenspeicherung der Objekt aus, die mit diesem Cache-Verhalten verknüpft sind. Stattdessen sendet CloudFront jede Anforderung an den Ursprung. (Nicht empfohlen für Amazon S3-Ursprünge.)

Unabhängig von der Option, die Sie auswählen, leitet CloudFront bestimmte Header an den Ursprung weiter und führt spezifische Aktionen basierend auf den von Ihnen weitergeleiteten Headern aus. Weitere Informationen dazu, wie CloudFront die Header-Weiterleitung verarbeitet, finden Sie unter HTTP-Anfrage-Header und CloudFront-Verhalten (benutzerdefinierte und S3-Ursprünge).

Weitere Informationen zur Konfiguration der Zwischenspeicherung in CloudFront mithilfe von Anforderungs-Headern finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Anfrage-Headern.

Whitelist Headers

Geben Sie die Header an, die CloudFront bei der Zwischenspeicherung Ihrer Objekte berücksichtigen soll. Wählen Sie die Header aus der Liste der verfügbaren Header aus und klicken Sie auf Add. Um einen benutzerdefinierten Header weiterzuleiten, geben Sie den Namen des Headers in das Feld ein und wählen Sie Add Custom.

Informationen zur aktuell gültigen maximalen Anzahl von Headern, die Sie für die einzelnen Cache-Verhaltensweisen auf die Whitelist setzen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Kontingente für Header.

Zwischenspeicherung von Objekten

Wenn der Ursprungs-Server Ihren Objekten einen Cache-Control-Header hinzufügt, um zu steuern, wie lange die Objekte im CloudFront-Cache gespeichert werden, und Sie den Cache-Control-Wert nicht ändern möchten, wählen Sie Use Origin Cache Headers (Ursprungs-Cache-Header verwenden) aus.

Um eine Mindest- und Höchstdauer für die Speicherung Ihrer Objekte im CloudFront-Cache unabhängig von Cache-Control-Headern und einen Standardzeitraum für die Speicherung Ihrer Objekte im CloudFront-Cache anzugeben, wenn der Cache-Control-Header für ein Objekt fehlt, wählen Sie Customize (Anpassen) aus. Geben Sie dann in den Feldern Minimum TTL, Default TTL und Maximum TTL den entsprechenden Wert ein.

Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Mindest-TTL

Geben Sie die Mindestzeitspanne in Sekunden an, die Objekte im CloudFront-Cache verbleiben sollen, bevor CloudFront eine weitere Anforderung an den Ursprung sendet, um festzustellen, ob das Objekt aktualisiert wurde.

Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Höchst-TTL

Geben Sie den maximalen Zeitraum (in Sekunden) an, über den Objekte in CloudFront -Caches gespeichert werden sollen, bevor CloudFront eine Abfrage an den Ursprung sendet, um zu ermitteln, ob das Objekt aktualisiert wurde. Der Wert, den Sie für Maximum TTL angeben, gilt nur, wenn Ihr Ursprung HTTP-Header, wie beispielsweise Cache-Control max-age, Cache-Control s-maxage oder Expires zu Objekten hinzufügt. Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Um einen Wert für Maximum TTL anzugeben, müssen Sie die Option Customize für die Object Caching-Einstellung auswählen.

Der Standardwert für Maximum TTL beträgt 31 536 000 Sekunden (ein Jahr). Wenn Sie den Wert von Minimum TTL oder Default TTL in mehr als 31 536 000 Sekunden ändern, ändert sich der Standardwert von Maximum TTL in den Wert von Default TTL.

Standard-TTL

Der Standardzeitraum (in Sekunden), über den Objekte in CloudFront-Caches gespeichert werden sollen, bevor CloudFront eine weitere Anforderung an den Ursprung weiterleitet, um zu ermitteln, ob das Objekt aktualisiert wurde. Der Wert, den Sie für Default TTL angeben, gilt nur, wenn Ihr Ursprung keine HTTP-Header, wie beispielsweise Cache-Control max-age, Cache-Control s-maxage oder Expires zu Objekten hinzufügt. Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Um einen Wert für Default TTL anzugeben, müssen Sie die Option Customize für die Object Caching-Einstellung auswählen.

Der Standardwert für Default TTL beträgt 86 400 Sekunden (ein Tag). Wenn Sie den Wert von Minimum TTL in mehr als 86 400 Sekunden ändern, ändert sich der Standardwert von Default TTL in den Wert von Minimum TTL.

Cookies weiterleiten

Anmerkung

Diese Option gilt nur für Amazon S3-Buckets, die als Website-Endpunkte konfiguriert sind.

Geben Sie an, ob CloudFront Cookies an den Ursprungs-Server weiterleiten soll und welche Cookies in diesem Fall weitergeleitet werden sollen. Wenn nur ausgewählte Cookies (eine Whitelist von Cookies) weitergeleitet werden sollen, geben Sie die Cookie-Namen im Feld Whitelist Cookies ein. Wenn Sie All (Alle) auswählen, leitet CloudFront alle Cookies weiter, unabhängig davon, wie viele Cookies Ihre Anwendung verwendet.

Amazon S3 verarbeitet keine Cookies. Die Weiterleitung von Cookies an den Ursprung reduziert die Zwischenspeicherbarkeit. Wählen Sie für Cache-Verhalten, die Anforderungen an einem Amazon S3-Ursprung weiterleiten, None (Keine) in Forward Cookies (Cookies weiterleiten) aus.

Weitere Informationen zum Weiterleiten von Cookies an den Ursprung finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Cookies.

Cookies auf Whitelist setzen

Anmerkung

Diese Option gilt nur für Amazon S3-Buckets, die als Website-Endpunkte konfiguriert sind.

Wenn Sie in der Liste Forward Cookies (Cookies weiterleiten) die Option Whitelist (Whitelist) auswählen, geben Sie im Feld Whitelist Cookies (Whitelist-Cookies) die Namen der Cookies ein, die CloudFront für dieses Cache-Verhalten an den Ursprungs-Server weiterleiten soll. Geben Sie die einzelnen Cookie-Namen jeweils in einer neuen Zeile ein.

Sie können die folgenden Platzhalter verwenden, wenn Sie Cookie-Namen angeben:

  • * steht für 0 oder mehr Zeichen in dem Cookie-Namen

  • ? steht für genau 1 Zeichen in dem Cookie-Namen

Nehmen wir beispielsweise an, dass Betrachteranfragen für ein Objekt ein Cookie mit dem Namen

userid_member-number

Dabei hat jeder Ihrer Benutzer einen eindeutigen Wert für member-number. CloudFront soll für jedes Mitglied eine eigene Version des Objekts zwischenspeichern. Hierzu könnten Sie alle Cookies an den Ursprung weiterleiten. Betrachteranfragen enthalten jedoch einige Cookies, die CloudFront nicht zwischenspeichern sollte. Alternativ könnten Sie den folgenden Wert als Cookie-Namen angeben. Dies bewirkt, dass CloudFront alle Cookies an den Ursprung weiterleitet, die mit beginne userid_:

userid_*

Informationen zur aktuell gültigen maximalen Anzahl von Cookie-Namen, die Sie für die einzelnen Cache-Verhaltensweisen auf die Whitelist setzen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Kontingente für Cookies (Legacy-Cache-Einstellungen).

Weiterleitung und Zwischenspeicherung von Abfragezeichenfolgen

CloudFront kann verschiedene Versionen Ihrer Inhalte basierend auf den Werten von Abfragezeichenfolgeparametern zwischenspeichern. Wählen Sie eine der folgenden Optionen:

None (Improves Caching)

Wählen Sie diese Option aus, wenn Ihr Ursprung dieselbe Version eines Objekts unabhängig von den Werten der Abfragezeichenfolgeparameter zurückgibt. Dies erhöht die Wahrscheinlichkeit, dass CloudFront eine Anforderung aus dem Cache bereitstellen kann, um die Leistung zu verbessern und die Auslastung des Ursprungs zu reduzieren.

Forward all, cache based on whitelist

Wählen Sie diese Option aus, wenn Ihr Ursprungs-Server verschiedene Versionen Ihrer Objekte auf der Grundlage von einem oder mehreren Abfragezeichenfolgeparametern zurückgibt. Geben Sie anschließend im Feld Whitelist für Abfragezeichenfolgen die Parameter an, die CloudFront als Grundlage für die Zwischenspeicherung verwenden soll.

Forward all, cache based on all

Wählen Sie diese Option aus, wenn Ihr Ursprungs-Server verschiedene Versionen Ihrer Objekte für alle Abfragezeichenfolgeparameter zurückgibt.

Weitere Informationen zur Zwischenspeicherung auf der Grundlage von Abfragezeichenfolgeparametern, einschließlich Informationen zur Verbesserung der Leistung, finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Abfragezeichenfolgeparametern.

Whitelist für Abfragezeichenfolgen

Wenn Sie Forward all, cache based on whitelist (Alle weiterleiten, basierend auf Whitelist) in Weiterleitung und Zwischenspeicherung von Abfragezeichenfolgen auswählen, geben Sie die Abfragezeichenfolgen-Parameter an, die CloudFront als Grundlage für die Zwischenspeicherung verwenden soll.

Smooth Streaming

Wählen Sie Yes, wenn Sie Mediendateien im Microsoft Smooth Streaming-Format verteilen möchten und keinen IIS-Server verwenden.

Wählen Sie No, wenn Sie einen Microsoft IIS-Server als Ursprung verwenden möchten, um Mediendateien im Microsoft Smooth Streaming-Format zu verteilen, oder wenn Sie keine Smooth Streaming-Mediendateien verteilen.

Anmerkung

Wenn Sie Yes angeben, können Sie weiterhin andere Inhalte mit diesem Cache-Verhalten verteilen, wenn diese Inhalte mit dem Wert von Path Pattern übereinstimmen.

Weitere Informationen finden Sie unter Konfigurieren von Video-on-Demand für Microsoft Smooth Streaming.

Viewerzugriff einschränken (Signierte URLs oder signierte Cookies verwenden)

Wenn Sie möchten, dass Anfragen für Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, öffentliche URLs verwenden, wählen Sie No aus.

Wenn Sie möchten, dass Anfragen für Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, signierte URLs verwenden, wählen Sie Yes aus. Geben Sie anschließend die AWS-Konten an, die Sie zum Erstellen signierter URLs verwenden möchten. Diese Konten werden als vertrauenswürdige Aussteller bezeichnet.

Weitere Informationen zu vertrauenswürdigen Ausstellern finden Sie unter Festlegen der Aussteller, die signierte URLs und signierte Cookies erstellen können.

Vertrauenswürdige Aussteller

Wählen Sie die AWS-Konten, die Sie als vertrauenswürdige Aussteller für dieses Cache-Verhalten verwenden möchten:

  • Self: Es wird das Konto, mit dem Sie derzeit an der AWS Management Console angemeldet sind, als vertrauenswürdiger Aussteller verwendet. Wenn Sie aktuell als IAM-Benutzer angemeldet sind, wird das zugehörige AWS-Konto als vertrauenswürdiger Signaturgeber hinzugefügt.

  • Wenn Sie das Kontrollkästchen Specify Accounts aktiviert haben, geben Sie die Konto-IDs der vertrauenswürdigen Signaturgeber im Feld AWS Account Numbers ein.

Um signierte URLs zu erstellen, muss ein AWS-Konto mindestens ein aktives CloudFront-Schlüsselpaar besitzen.

Wichtig

Wenn Sie eine Verteilung aktualisieren, die Sie bereits zum Verteilen von Inhalten verwenden, fügen Sie vertrauenswürdige Aussteller erst hinzu, wenn Sie bereit sind, signierte URLs für Ihre Objekte zu generieren. Wenn Sie vertrauenswürdige Aussteller zu einer Verteilung hinzugefügt haben, müssen Benutzer für den Zugriff auf Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, signierte URLs verwenden.

AWS-Kontonummern

Wenn Sie signierte URLs mit zusätzlichen AWS-Konten zum aktuellen Konto bzw. mit anderen als dem aktuellen Konto erstellen möchten, geben Sie eine AWS-Kontonummer pro Zeile in diesem Feld ein. Beachten Sie Folgendes:

  • Die von Ihnen angegebenen Konten müssen über mindestens ein aktives CloudFront-Schlüsselpaar verfügen. Weitere Informationen finden Sie unter Erstellen von Schlüsselpaaren für Ihre Aussteller.

  • Da Sie für IAM-Benutzer keine CloudFront-Schlüsselpaare erstellen können, können Sie IAM-Benutzer nicht als vertrauenswürdige Aussteller verwenden.

  • Weitere Informationen zum Abrufen der AWS-Kontonummer für ein Konto finden Sie unter Wie rufe ich Sicherheitsanmeldeinformationen ab? in der Allgemeinen Referenz zu Amazon Web Services.

  • Wenn Sie die Nummer des aktuellen Kontos eingeben, aktiviert CloudFront automatisch das Kontrollkästchen Self (Selbst) und entfernt die Kontonummer aus der Liste AWS Account Numbers.

Objekte automatisch komprimieren

Wenn Sie möchten, dass CloudFront Dateien bestimmter Typen automatisch komprimiert, wenn Betrachter komprimierte Inhalte unterstützen, wählen Sie Yes (Ja) aus. Wenn CloudFront Ihre Inhalte komprimiert, werden Downloads schneller ausgeführt, da die Dateien kleiner sind, und Ihre Webseiten werden schneller für Ihre Benutzer aufgebaut. Weitere Informationen finden Sie unter Bereitstellen von komprimierten Dateien.

CloudFront-Ereignis

Sie können eine Lambda-Funktion ausführen, wenn mindestens eines der folgenden CloudFront-Ereignisse auftritt:

  • Wenn CloudFront eine Anfrage von einem Betrachter erhält (Betrachteranfrage)

  • Bevor CloudFront eine Anfrage an den Ursprung weiterleitet (Ursprungsanfrage)

  • Wenn CloudFront eine Antwort vom Ursprung erhält (Ursprungsantwort)

  • Bevor CloudFront die Antwort an den Betrachter zurückgibt (Betrachterantwort)

Weitere Informationen finden Sie unter Beschreibung einer Methode zur Entscheidung, welches CloudFront-Ereignis verwendet werden soll, um eine Lambda-Funktion auszulösen..

ARN der Lambda-Funktion

Geben Sie den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, für die Sie einen Auslöser hinzufügen möchten. Informationen zum Abrufen des ARN für eine Funktion finden Sie in Schritt 1 des Verfahrens Hinzufügen von Auslösern über die CloudFront-Konsole.

Einstellungen für die Verteilung

Die folgenden Werte gelten für die gesamte Verteilung.

Preisklasse

Wählen Sie die Preisklasse aus, die dem Höchstpreis entspricht, den Sie für den CloudFront-Service zahlen möchten. Standardmäßig stellt CloudFront Ihre Objekte von Edge-Standorten in allen CloudFront-Regionen bereit.

Weitere Informationen zu Preisklassen und dazu, wie sich die gewählte Preisklasse auf die CloudFront-Leistung für Ihre Verteilung auswirkt, finden Sie unter Auswählen der Preisklasse für eine CloudFront-Verteilung. Weitere Informationen zu CloudFront-Preisen, einschließlich dazu, wie Preisklassen CloudFront-Regionen zugeordnet werden, finden Sie unter Amazon CloudFront-Preise.

AWS WAF Web-ACL

Wenn Sie AWS WAF verwenden möchten, um Anfragen auf der Grundlage Ihrer eigenen Kriterien zuzulassen oder zu blockieren, wählen Sie die Web-ACL aus, die dieser Verteilung zugewiesen werden soll.

AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP- und HTTPS-Anfragen überwachen können, die an CloudFront weitergeleitet werden, und den Zugriff auf Ihre Inhalte steuern können. Basierend auf den von Ihnen angegebenen Bedingungen wie zum Beispiel den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, reagiert CloudFront auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Statuscode 403 (Forbidden). Sie können CloudFront auch so konfigurieren, das eine benutzerdefinierte Fehlerseite zurückgegeben wird, wenn eine Anforderung blockiert wird. Weitere Informationen über AWS WAF finden Sie im AWS WAF-Entwicklerhandbuch.

Alternative Domänennamen (CNAMEs)

Optional. Geben Sie einen oder mehrere Domänennamen an, die Sie anstelle des Domänennamens, den CloudFront Ihrer Verteilung während der Erstellung zuweist, als URLs für Ihre Objekte verwenden möchten. Sie müssen der Inhaber des Domänennamens sein oder zu dessen Verwendung autorisiert sein. Sie bestätigen dies, indem Sie ein SSL-/TLS-Zertifikat hinzufügen.

Wenn beispielsweise die URL für das Objekt:

/images/image.jpg

wie folgt angezeigt werden soll:

http://www.example.com/images/image.jpg

und nicht wie folgt:

http://d111111abcdef8.cloudfront.net/images/image.jpg

fügen Sie einen CNAME für hinz www.example.com.

Wichtig

Wenn Sie einen CNAME für www.example.com zu Ihrer Verteilung hinzufügen, müssen Sie auch die folgenden Schritte ausführen:

  • Erstellen (oder aktualisieren) Sie einen CNAME-Datensatz für Ihren DNS-Service, um Abfragen für www.example.com an d111111abcdef8.cloudfront.net weiterzuleiten.

  • Fügen Sie CloudFront ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) hinzu, das den von Ihnen der Verteilung hinzugefügten Domänennamen (CNAME) abdeckt, um Ihre Berechtigung zur Verwendung des Domänennamens zu bestätigen.

Sie müssen die Berechtigung besitzen, beim DNS-Dienstanbieter für die Domäne einen CNAME-Datensatz zu erstellen. Das bedeutet in der Regel, dass Sie der Besitzer der Domäne sind oder Anwendungen für den Besitzer der Domäne entwickeln.

Informationen zur aktuell gültigen maximalen Anzahl von alternativen Domänennamen, die Sie einer Verteilung hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Weitere Informationen zu alternativen Domänennamen finden Sie unter Verwenden von benutzerdefinierten URLs durch Hinzufügen von alternativne Domänennamen (CNAMEs). Weitere Informationen zu CloudFront-URLs finden Sie unter Anpassen des URL-Formats für Dateien in CloudFront.

SSL-Zertifikat

Wenn Sie einen alternativen Domänennamen angegeben haben, der für Ihre Verteilung verwendet werden soll, wählen Sie Custom SSL Certificate (Benutzerdefiniertes SSL-Zertifikat) und anschließend ein Zertifikat aus, das diesen Domänennamen abdeckt, um Ihre Berechtigung zur Verwendung des alternativen Domänennamens zu bestätigen. Wenn Sie möchten, dass Betrachter HTTPS für den Zugriff auf Ihre Objekte verwenden, wählen Sie die entsprechende Einstellung aus.

Anmerkung

Bevor Sie ein benutzerdefiniertes SSL-Zertifikat angeben können, müssen Sie einen gültigen alternativen Domänennamen angeben. Weitere Informationen erhalten Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen und Verwenden alternativer Domänennamen in Verbindung mit HTTPS.

  • CloudFront-Standardzertifikat (*.cloudfront.net) – Wählen Sie diese Option aus, wenn Sie den CloudFront-Domänennamen in den URLs für Ihre Objekte verwenden möchten, z. B. https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Benutzerdefiniertes SSL-Zertifikate – Wählen Sie diese Option aus, wenn Sie in den URLs für Ihre Objekte Ihren eigenen Domänennamen als alternativen Domänennamen verwenden möchten, z. B. https://example.com/image1.jpg. Wählen Sie anschließend ein Zertifikat aus, das den alternativen Domänennamen abdeckt. Die Liste der Zertifikate kann folgende Arten von Zertifikaten enthalten:

    • Zertifikate von AWS Certificate Manager

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zu ACM hochgeladen haben

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zum IAM-Zertifikatspeicher hochgeladen haben

    Bei Auswahl dieser Einstellung sollten Sie nur einen alternativen Domänennamen in Ihren Objekt-URLs (https://example.com/logo.jpg) verwenden. Wenn Sie den Domänennamen Ihrer CloudFront-Verteilung (https://d111111abcdef8.cloudfront.net/logo.jpg) verwenden und ein Client einen älteren Betrachter verwendet, der SNI nicht unterstützt, ist die Reaktion des Betrachters von dem Wert abhängig, den Sie in Clients Supported (Unterstützte Clients) auswählen:

    • All Clients (Alle Clients): Der Betrachter zeigt eine Warnung an, da der CloudFront -Domänenname nicht dem Domänennamen im SSL/TLS-Zertifikat entspricht.

    • Only Clients that Support Server Name Indication (SNI) (Nur Clients, die Server Name Indication (SNI) unterstützen): CloudFront trennt die Verbindung mit dem Betrachter, ohne das Objekt zurückzugeben.

Benutzerdefinierte SSL-Clientunterstützung

Wenn Sie mindestens einen alternativen Domänennamen und ein benutzerdefiniertes SSL-Zertifikat für die Verteilung angegeben haben, wählen Sie die Art aus, wie CloudFront HTTPS-Anforderungen bereitstellen soll:

  • Clients that Support Server Name Indication (SNI) - (Recommended) (Clients, die SNI (Server Name Indication) unterstützen – (Empfohlen)): Mit dieser Einstellung können nahezu alle modernen Webbrowser und Clients eine Verbindung zur Verteilung herstellen, da sie SNI unterstützen. Einige Viewer verwenden jedoch möglicherweise ältere Webbrowser oder Clients, die SNI nicht unterstützen, was bedeutet, dass sie keine Verbindung zur Verteilung herstellen können.

    Um diese Einstellung über die CloudFront-API anzuwenden, geben Sie im Feld sni-only SSLSupportMethod an. In AWS CloudFormation wird das Feld SslSupportMethod genannt (Beachten Sie die geänderte Groß-/Kleinschreibung).

  • Legacy Clients Support (Unterstützung für ältere Clients): Mit dieser Einstellung können ältere Webbrowser und Clients, die SNI nicht unterstützen, eine Verbindung zur Distribution herstellen. Für diese Einstellung fallen jedoch zusätzliche monatliche Gebühren an. Den genauen Preis finden Sie auf der Seite Amazon CloudFront-Preise. Suchen Sie dort nach Dedicated IP custom SSL (Dedizierte benutzerdefiniertes IP-SSL).

    Um diese Einstellung über die CloudFront-API anzuwenden, geben Sie im Feld vip SSLSupportMethod an. In AWS CloudFormation wird das Feld SslSupportMethod genannt (Beachten Sie die geänderte Groß-/Kleinschreibung).

Weitere Informationen finden Sie unter Festlegen der Art der Bedienung von HTTPS-Anforderungen durch CloudFront.

Sicherheitsrichtlinie

Geben Sie die Sicherheitsrichtlinie an, die CloudFront für HTTPS-Verbindungen mit Betrachtern (Clients) verwenden soll. Eine Sicherheitsrichtlinie bestimmt zwei Einstellungen:

  • Das minimale SSL/TLS-Protokoll, dass CloudFront verwendet, um mit den Betrachtern zu kommunizieren.

  • Die Verschlüsselungen, die CloudFront zum Verschlüsseln des Inhalts verwenden kann, der an die Betrachter zurückgegeben wird.

Weitere Informationen zu den Sicherheitsrichtlinien einschließlich der jeweils enthaltenen Protokolle und Verschlüsselungen finden Sie unter Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront.

Welche Sicherheitsrichtlinien verfügbar sind, ist von den Werten abhängig, die Sie für SSL Certificate (SSL-Zertifikat) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) (in der CloudFront-API als CloudFrontDefaultCertificate und SSLSupportMethod bezeichnet) festlegen:

  • Wenn SSL Certificate (SSL-Zertifikat) auf Default CloudFront Certificate (*.cloudfront.net) (CloudFront-Standardzertifikat (*.cloudfront.net) festgelegt ist (wenn CloudFrontDefaultCertificate in der API auf true festgelegt ist), legt CloudFront die Sicherheitsrichtlinie automatisch auf TLSv1 fest.

  • Wenn SSL Certificate (SSL-Zertifikat) auf Custom SSL Certificate (example.com) (Benutzerdefiniertes SSL-Zertifikat (example.com)) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) auf Clients that Support Server Name Indication (SNI) - (Recommended) (Clients, die Server Name Indication (SNI) unterstützen - (empfohlen)) eingestellt ist (oder wenn in der API CloudFrontDefaultCertificate auf false und SSLSupportMethod auf sni-only eingestellt ist), können Sie unter den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Wenn SSL Certificate (SSL-Zertifikat) auf Custom SSL Certificate (example.com) (Benutzerdefiniertes SSL-Zertifikat (example.com)) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) auf Legacy Clients Support (Unterstützung für Legacy-Clients) eingestellt ist (oder wenn in der API CloudFrontDefaultCertificate auf false und SSLSupportMethod auf vip eingestellt ist), können Sie unter den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1

    • SSLv3

    In dieser Konfiguration sind die Sicherheitsrichtlinien TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, und TLSv1_2016 in der CloudFront-Konsole oder -API nicht verfügbar. Wenn Sie eine dieser Sicherheitsrichtlinien verwenden möchten, stehen Ihnen folgende Optionen zur Verfügung:

    • Prüfen Sie, ob Ihre Verteilung Unterstützung für Legacy-Clients mit dedizierten IP-Adressen benötigt. Wenn Ihre Viewer Server Name Indication (SNI) unterstützen, empfehlen wir, die Einstellung Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) Ihrer Verteilung auf Clients that Support Server Name Indication (SNI) (Clients, die Server Name Indication (SNI) unterstützen) zu aktualisieren (oder in der API SSLSupportMethod auf sni-only einzustellen). Auf diese Weise können Sie alle verfügbaren TLS-Sicherheitsrichtlinien verwenden und Ihre CloudFront-Gebühren senken.

    • Wenn Sie für dedizierte IP-Adressen weiter ältere Clients unterstützen müssen, können Sie eine der anderen TLS-Sicherheitsrichtlinien anfordern (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 oder TLSv1_2016), indem Sie im AWS Support Center einen Fall erstellen.

      Anmerkung

      Bevor Sie sich an den AWS Support wenden, um diese Änderung anzufordern, sollten Sie Folgendes beachten:

      • Wenn Sie eine dieser Sicherheitsrichtlinien (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 oder TLSv1_2016) zu einer Legacy Clients Support-Verteilung hinzufügen, wird die Sicherheitsrichtlinie auf alle Nicht-SNI-Viewer-Anfragen für alle Verteilungen mit Unterstützung für Legacy-Clients in Ihrem AWS-Konto angewendet. Wenn Viewer jedoch SNI-Anforderungen an eine Verteilung mit Unterstützung für Legacy-Clients senden, gilt die Sicherheitsrichtlinie dieser Verteilung. Um sicherzustellen, dass Ihre gewünschte Sicherheitsrichtlinie auf alle Viewer-Anfragen angewendet wird, die an alle Legacy Clients Support-Verteilungen in Ihrem AWS-Konto gesendet werden, fügen Sie jeder Verteilung einzeln die gewünschte Sicherheitsrichtlinie hinzu.

      • Per Definition unterstützt die neue Sicherheitsrichtlinie nicht dieselben Verschlüsselungen und Protokolle wie die alte. Wenn Sie beispielsweise die Sicherheitsrichtlinie einer Verteilung von TLSv1 auf TLSv1.1_2016 aktualisieren möchten, unterstützt diese Verteilung die DES-CBC3-SHA-Verschlüsselung nicht mehr. Weitere Informationen zu den Verschlüsselungen und Protokollen, die von den einzelnen Sicherheitsrichtlinien unterstützt werden, finden Sie unter Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront.

Unterstützte HTTP-Versionen

Wählen Sie die HTTP-Versionen aus, die Ihre Verteilung unterstützen soll, wenn Betrachter mit CloudFront kommunizieren. Die Betrachter müssen TLS 1.2 oder höher und SNI (Server Name Identification) unterstützen, damit die Betrachter und CloudFront HTTP/2 verwenden können.

Im Allgemeinen kann die Latenz verringert werden, wenn CloudFront für die Kommunikation mit Betrachtern über HTTP/2 konfiguriert ist. Sie können die Leistung verbessern, indem die Kommunikation für HTTP/2 optimieren. Weitere Informationen finden Sie im Internet, wenn Sie nach Stichwörtern wie „http/2 Optimierung“ suchen.

Standardstammobjekt

Optional. Das Objekt, das CloudFront vom Ursprung anfordern soll (z. B. index.html), wenn ein Betrachter die Stamm-URL für Ihre Verteilung (http://www.example.com/) statt eines Objekts in Ihrer Verteilung (http://www.example.com/product-description.html) anfordert. Durch die Festlegung eines Angeben eines Standardstammobjekt wird vermieden, dass die Inhalte Ihrer Verteilung preisgegeben werden.

Die maximale Länge des Namens beträgt 255 Zeichen. Der Name kann folgende Zeichen enthalten:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • & (übergeben und zurückgegeben als &

Geben Sie bei der Angabe des Standardstammobjekts nur den Objektnamen ein, z. B, index.html. Fügen Sie keinen / vor dem Objektnamen hinzu.

Weitere Informationen finden Sie unter Angeben eines Standardstammobjekts.

Logging

Gibt an, ob CloudFront Informationen zu einzelnen Anfragen für ein Objekt protokollieren und die Protokolldateien in einem Amazon S3-Bucket speichern soll. Sie können die Protokollierung jederzeit aktivieren oder deaktivieren. Es fallen keine zusätzlichen Kosten für die Aktivierung der Protokollierung an. Es werden Ihnen jedoch die gewöhnlichen Amazon S3-Gebühren für das Speichern von Dateien und den Zugriff auf diese in einem Amazon S3-Bucket berechnet. Sie können die Protokolle jederzeit löschen. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Bucket für Protokolle

Wenn Sie in Logging (Protokollierung) den Wert On (Ein) ausgewählt haben, der Amazon S3-Bucket, in dem CloudFront Zugriffsprotokolle speichern soll, z. B. myLogs-DOC-EXAMPLE-BUCKET.s3.amazonaws.com.

Anmerkung

Wählen Sie keinen Amazon S3-Bucket in einer der folgenden Regionen aus, da CloudFront in diesen Regionen keine Zugriffsprotokolle für Buckets bereitgestellt werden:

  • Afrika (Kapstadt)  af-south-1

  • Asien-Pazifik (Hongkong) ap-east-1

  • Europa (Mailand) eu-south-1

  • Naher Osten (Bahrain) me-south-1

Die Amazon S3-Konsole zeigt die Region des Buckets an.

Wenn Sie die Protokollierung aktivieren, erfasst CloudFront Informationen zu allen Endbenutzeranfragen für ein Objekt und speichert die Dateien im angegebenen Amazon S3-Bucket. Sie können die Protokollierung jederzeit aktivieren oder deaktivieren. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Anmerkung

Sie müssen die entsprechenden Berechtigungen besitzen, um Amazon S3-Bucket-ACLs abrufen und aktualisieren zu können. Außerdem muss die S3-ACL für den Bucket Ihnen gewähre FULL_CONTROL. So kann CloudFront dem Konto awsdatafeeds die Berechtigung zum Speichern von Protokolldateien im Bucket erteilen. Weitere Informationen finden Sie unter Für die Konfiguration der Protokollierung und den Zugriff auf Ihre Protokolldateien erforderliche Berechtigungen.

Protokollpräfix

Optional. Wenn Sie in Logging (Protokollierung) On (Ein) ausgewählt haben, geben Sie die Zeichenfolge an, wenn zutreffend, die CloudFront den Dateinamen von Zugriffsprotokollen für diese Verteilung als Präfix voranstellen soll, z. B. exampleprefix/. Der abschließende Schrägstrich (/) ist optional, jedoch empfohlen, um das Durchsuchen Ihrer Protokolldateien zu vereinfachen. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Protokollierung von Cookies

Wenn CloudFront Cookies in die Zugriffsprotokolle Cookies einfügen soll, wählen Sie On (Ein) aus. Wenn Cookies in Protokolle eingeführt werden sollen, protokolliert CloudFront alle Cookies unabhängig davon, wie Sie die Cache-Verhaltensweisen für diese Verteilung konfiguriert haben: alle Cookies, keine Cookies oder eine angegebene Liste von Cookies an den Ursprung weiterleiten.

Amazon S3 verarbeitet keine Cookies. Wenn Ihre Verteilung keinen Amazon EC2- oder einen anderen benutzerdefinierten Ursprung enthält, sollten Sie daher Off (Aus) als Wert in Cookie Logging (Cookie-Protokollierung) auswählen.

Weitere Informationen zu Cookies erhalten Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Cookies.

IPv6 aktivieren

IPv6 ist eine neue Version des IP-Protokolls. Es ist der abschließende Ersatz für IPv4 und verwendet einen größeren Adressraum. CloudFront antwortet stets auf IPv4-Anforderungen. Wenn CloudFront auf Anforderungen von IPv4-Adressen (z. B. 192.0.2.44) und IPv6-Adressen antworten soll (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334), wählen Sie Enable IPv6 (IPv6 aktivieren) aus.

Im Allgemeinen sollten Sie IPv6 aktivieren, wenn Sie Benutzer haben, die über IPv6-Netzwerke auf Ihre Inhalte zugreifen möchten. Wenn Sie jedoch signierte URLs oder signierte Cookies verwenden, um den Zugriff auf Ihre Inhalte einzuschränken, und wenn Sie eine benutzerdefinierte Richtlinie mit dem IpAddress-Parameter verwenden, um die IP-Adressen einzuschränken, die auf Ihre Inhalte zugreifen können, dann aktivieren Sie IPv6 nicht. Wenn Sie den Zugriff auf bestimmte Inhalte nach IP-Adresse einschränken und den Zugriff auf andere Inhalte nicht einschränken möchten (oder den Zugriff einschränken möchten, jedoch nicht nach IP-Adresse), können Sie zwei Verteilungen erstellen. Informationen zum Erstellen von signierten URLs mit einer benutzerdefinierten Richtlinie finden Sie unter Erstellen einer signierten URL mit einer benutzerdefinierten Richtlinie. Informationen zum Erstellen von signierten Cookies mit einer benutzerdefinierten Richtlinie finden Sie unter Einrichten signierter Cookies mit einer benutzerdefinierten Richtlinie.

Wenn Sie einen Route-53-Alias-Ressourcendatensatz verwenden, um Datenverkehr zu Ihrer CloudFront-Verteilung zu leiten, müssen Sie einen zweiten Alias-Ressourcendatensatz erstellen, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Sie aktivieren IPv6 für die Verteilung

  • Sie verwenden alternative Domänennamen in den URLs für Ihre Objekte

Weitere Informationen finden Sie unter Weiterleiten des Datenverkehrs an eine Amazon CloudFront-Verteilung über den Namen Ihrer Domäne im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie einen CNAME-Ressourcendatensatz über Route 53 oder einen anderen DNS-Service erstellt haben, müssen Sie keine Änderungen ausführen. Ein CNAME-Datensatz leitet den Datenverkehr unabhängig von dem IP-Adressformat der Betrachteranfrage an Ihre Verteilung weiter.

Wenn Sie IPv6 und CloudFront-Zugriffsprotokolle aktivieren, enthält die Spalte c-ip Werte im IPv4- und IPv6-Format. Weitere Informationen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Anmerkung

Um eine stets hohe Verfügbarkeit für Kunden sicherzustellen, antwortet CloudFront auf Betrachteranfragen über IPv4, wenn unsere Daten darauf hinweisen, dass IPv4 eine bessere Benutzerumgebung bereitstellen wird. Um zu erfahren, welchen Prozentsatz der Anforderungen CloudFront über IPv6 bereitstellt, aktivieren Sie die CloudFront-Protokollierung für Ihre Verteilung und analysieren die Spalte c-ip. Diese Spalte enthält die IP-Adresse des Betrachters, der die Anforderung gesendet hat. Dieser Prozentsatz sollte mit der Zeit höher werden, wird jedoch weiterhin nur einen kleinen Teil des Datenverkehrs umfassen, da IPv6 noch nicht von allen Betrachternetzwerken weltweit unterstützt wird. Einige Betrachternetzwerke verfügen über hervorragende IPv6-Unterstützung, aber andere unterstützen IPv6 jedoch überhaupt nicht. (Ein Betrachternetzwerk ist mit dem Betreiber Ihres stationären Internets bzw. Ihrem Mobilfunkbetreiber vergleichbar.)

Weitere Informationen zu unserer Unterstützung für IPv6 finden Sie in Häufig gestellte Fragen zu CloudFront. Informationen zur Aktivierung von Zugriffsprotokollen finden Sie in der Beschreibung der Felder Logging, Bucket für Protokolle und Protokollpräfix.

Comment

Optional. Wenn Sie eine Verteilung erstellen, können Sie einen Kommentar mit einer Länge von bis zu 128 Zeichen einfügen. Sie können den Kommentar jederzeit aktualisieren.

Status der Verteilung

Gibt an, ob die Verteilung nach der Bereitstellung aktiv oder inaktiv sein soll:

  • Enabled bedeutet, dass Sie sofort Links mit dem Domänennamen der Verteilung verwenden können und dass Benutzer die Inhalte darüber abrufen können, sobald die Verteilung vollständig bereitsteht. Wenn eine Verteilung aktiviert ist, akzeptiert und verarbeitet CloudFront alle Anforderungen von Endbenutzern für Inhalte, die den mit dieser Verteilung verbundenen Domänennamen verwenden.

    Wenn Sie eine CloudFront-Verteilung erstellen, ändern oder löschen, dauert es eine Weile, bis die Änderungen die CloudFront-Datenbank erreichen. Bei einer unmittelbaren Anfrage für Informationen zu einer Verteilung wird die Änderung möglicherweise nicht angezeigt. Die Weiterleitung wird in der Regel innerhalb weniger Minuten abgeschlossen. Dieser Zeitraum kann sich bei einer hohen Zeitauslastung oder Netzwerkpartition jedoch verlängern.

  • Disabled bedeutet, dass die Verteilung möglicherweise bereitgestellt und betriebsbereit ist, aber Benutzer sie noch nicht verwenden können. Wenn eine Verteilung deaktiviert ist, akzeptiert und verarbeitet CloudFront keine Anforderungen von Endbenutzern, die den mit dieser Verteilung verbundenen Domänennamen verwenden. Die Verteilung kann erst verwendet werden, wenn Sie den Status von Deaktiviert zu Aktiviert ändern (indem Sie die Konfiguration der Verteilung aktualisieren).

Sie können in Bezug auf den Status einer Verteilung so oft zwischen Deaktiviert und Aktiviert wechseln, wie Sie möchten. Führen Sie die Schritte zum Aktualisieren der Konfiguration einer Verteilung aus. Weitere Informationen finden Sie unter Aktualisieren einer Verteilung.

Benutzerdefinierte Fehlerseiten und Zwischenspeicherung von Fehlern

Sie können CloudFront für die Rückgabe eines Objekts an den Betrachter konfigurieren (z. B. eine HTML-Datei), wenn Ihr Amazon S3- oder benutzerdefinierter Ursprung den HTTP-Statuscode 4xx oder 5xx an CloudFront zurückgibt. Sie können auch angeben, wie lange eine Fehlerantwort aus dem Ursprung oder einer benutzerdefinierten Fehlerseite in CloudFront-Edge-Caches zwischengespeichert werden soll. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Fehlerseite für bestimmte HTTP-Statuscodes.

Anmerkung

Die folgenden Werte sind im Assistenten zum Erstellen von Verteilungen nicht enthalten, deshalb können Sie benutzerdefinierte Fehlerseiten nur konfigurieren, wenn Sie eine Verteilung aktualisieren.

HTTP-Fehlercode

Der HTTP-Statuscode, für den CloudFront eine benutzerdefinierte Fehlerseite zurückgeben soll. Sie können CloudFront für die Rückgabe benutzerdefinierter Fehlerseiten für keinen, einige oder alle HTTP-Statuscodes konfigurieren, die von CloudFront zwischengespeichert werden.

Mindest-TTL für die Zwischenspeicherung von Fehlern (Sekunden)

Der Mindestzeitraum, über den CloudFront Fehlerantworten des Ursprungs-Servers zwischenspeichern soll.

Pfad zur Antwortseite

Der Pfad zur benutzerdefinierten Fehlerseite (z. B. /4xx-errors/403-forbidden.html), die CloudFront an einen Betrachter zurückgeben soll, wenn der Ursprung den HTTP-Statuscode zurückgibt, den Sie in Error Code (Fehlercode) angegeben haben (z. B. 403). Wenn Sie Ihre Objekte und Ihre benutzerdefinierten Fehlerseiten an verschiedenen Orten speichern möchten, muss Ihre Verteilung ein Cache-Verhalten mit den folgenden Eigenschaften enthalten:

  • Der Wert von Path Pattern stimmt mit dem Pfad zu Ihren benutzerdefinierten Fehlermeldungen überein. Angenommen, Sie haben benutzerdefinierte Fehlerseiten für 4xx-Fehler in einem Amazon S3-Bucket in einem Verzeichnis mit dem Namen gespeicher /4xx-errors. Ihre Verteilung muss ein Cache-Verhalten beinhalten, für welches das Pfadmuster Anfragen für Ihre benutzerdefinierten Fehlerseiten an diesen Ort weiterleitet, z. B. /4xx-errors/*.

  • Der Wert von Origin legt den Wert von Origin ID für den Ursprung fest, der Ihre benutzerdefinierten Fehlerseiten enthält.

HTTP-Antwortcode

Der HTTP-Statuscode, den CloudFront zusammen mit der benutzerdefinierten Fehlerseite an den Betrachter zurückgibt.

Restrictions

Wenn Sie verhindern müssen, dass Benutzer aus ausgewählten Ländern auf Ihre Inhalte zugreifen, können Sie die CloudFront-Verteilung so konfigurieren, dass sie Benutzern aus Ländern, die sich auf einer Whitelist befinden, den Zugriff auf Ihre Inhalte gewährt, oder so, dass sie Benutzern aus Ländern, die sich auf einer Sperrliste befinden, den Zugriff auf Ihre Inhalte verweigert. Weitere Informationen finden Sie unter Einschränken der geografischen Verteilung von Inhalt.

Anmerkung

Die folgenden Werte sind im Assistenten zum Erstellen von Verteilungen nicht enthalten, deshalb können Sie geografische Einschränkungen nur konfigurieren, wenn Sie eine Verteilung aktualisieren.

Geo-Beschränkung aktivieren

Legen Sie fest, ob Sie Benutzern in bestimmten Ländern den Zugriff auf Ihre Inhalte verweigern möchten. Es fallen keine zusätzlichen Kosten für die Konfiguration von geografischen Einschränkungen an.

Art der Einschränkung

Legen Sie fest, wie Sie die Länder angeben möchten, aus denen der Zugriff auf Ihre Inhalte möglich ist:

  • Whitelist: Die Liste Countries enthält alle Länder, aus denen der Zugriff auf Ihre Inhalte möglich sein soll.

  • Sperrliste: Die Liste Countries enthält alle Länder, aus denen der Zugriff auf Ihre Inhalte nicht möglich sein soll.

Countries

Die Länder, die Sie zu Ihrer Whitelist oder zu Ihrer Sperrliste hinzufügen möchten. Um ein Land hinzuzufügen, wählen Sie es links in der Liste aus und wählen Sie Add aus. Beachten Sie Folgendes:

  • Um mehrere aufeinanderfolgende Länder hinzuzufügen, wählen Sie das erste Land aus, halten Sie die Umschalttaste gedrückt, wählen Sie das letzte Land aus und klicken Sie auf Add.

  • Um mehrere nicht aufeinanderfolgende Länder hinzuzufügen, wählen Sie das erste Land aus, halten Sie die Strg-Taste gedrückt, wählen Sie die weiteren Länder aus und klicken Sie auf Add.

  • Um ein Land in der linken Liste zu suchen, geben Sie die ersten Buchstaben des vollständigen Ländernamens ein.

  • Der zweistellige Code vor dem Namen der einzelnen Länder ist der Wert, den Sie eingeben, wenn Sie eine Verteilung über die CloudFront-API erstellen oder aktualisieren möchten. Wir verwenden Ländercodes entsprechend dem ISO-Standard. Eine benutzerfreundliche Liste der Ländercodes, die nach Code und Ländername sortiert werden kann, finden Sie im Wikipedia-Eintrag ISO 3166-1 alpha-2.