Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben - Amazon CloudFront

Werte, die Sie beim Erstellen oder Aktualisieren einer Verteilung angeben

Wenn Sie über die CloudFront-Konsole eine neue Verteilung erstellen oder eine vorhandene Verteilung aktualisieren, geben Sie die folgenden Werte an.

Weitere Informationen zum Erstellen oder Aktualisieren einer Verteilung über die CloudFront-Konsole finden Sie unter Erstellen einer Verteilung oder Aktualisieren einer Verteilung.

Ursprungseinstellungen

Einstellungen für das Cache-Verhalten

Die folgenden Werte gelten für die Default Cache Behavior Settings (Standardeinstellungen für das Cache-Verhalten) (beim Erstellen einer Verteilung) und für andere Cache-Verhaltensweisen, die Sie später erstellen.

Die folgenden Werte gelten für Lambda Function Associations (Lambda-Funktionszuordnungen).

Distribution Settings (Einstellungen für die Verteilung)

Benutzerdefinierte Fehlerseiten und Zwischenspeicherung von Fehlern

Einschränkungen

Ursprungseinstellungen

Beim Erstellen oder Aktualisieren einer Verteilung über die CloudFront-Konsole geben Sie Informationen zu einem oder mehreren Speicherorten – als Ursprungsserver bezeichnet – an, in dem bzw. denen Sie die Originalversionen Ihrer Webinhalte speichern. CloudFront ruft Ihre Webinhalte von Ihren Ursprüngen ab und stellt sie Viewern über ein weltweites Netzwerk von Edge-Servern bereit.

Informationen zur aktuell gültigen maximalen Anzahl von Ursprüngen, die Sie für eine Verteilung erstellen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Wenn Sie einen Ursprung löschen möchten, müssen Sie zunächst die Cache-Verhalten bearbeiten oder löschen, die mit diesem Ursprung verknüpft sind.

Wichtig

Vergewissern Sie sich beim Löschen eines Ursprungs, dass die zuvor von diesem Ursprung bereitgestellten Dateien in einem anderen Ursprung verfügbar sind und dass Ihre Cache-Verhalten Anfragen für diese Dateien jetzt an den neuen Ursprung weiterleiten.

Beim Erstellen oder Aktualisieren einer Verteilung geben Sie die folgenden Werte für jeden Ursprung an.

Ursprungsdomäne

Der DNS-Domänenname des Amazon S3-Buckets oder HTTP-Servers, von dem CloudFront Objekte für diesen Ursprung abrufen soll, zum Beispiel:

  • Amazon S3-BucketDOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com

    Anmerkung

    Wenn Sie den S3-Bucket erst vor kurzem erstellt haben, gibt die CloudFront-Verteilung möglicherweise bis zu 24 Stunden HTTP 307 Temporary Redirect-Antworten zurück. Es kann bis zu 24 Stunden dauern, bis der S3-Bucket-Name in alle AWS-Regionen weitergegeben wird. Wenn die Weitergabe abgeschlossen ist, stoppt die Verteilung das Senden dieser Umleitungsantworten automatisch. Sie müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie unter Warum erhalte ich eine HTTP 307 Temporary Redirect-Antwort von Amazon S3? und Temporäre Anforderungsumleitung.

  • Amazon S3-Bucket, der als Website konfiguriert isthttps://DOC-EXAMPLE-BUCKET.s3-website.us-west-2.amazonaws.com

  • MediaStore-Containerexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage-Endpunktexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Amazon EC2-Instanceec2-203-0-113-25.compute-1.amazonaws.com

  • Elastic Load Balancing-Load Balancerexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Ihr eigener Webserverhttps://www.example.com

Wählen Sie den Domänennamen im Feld Origin domain (Ursprungsdomäne) aus oder geben Sie den Namen ein. Bei dem Domänennamen wird die Groß- und Kleinschreibung nicht berücksichtigt.

Wenn es sich bei Ihrem Ursprung um einen Amazon S3-Bucket handelt, beachten Sie Folgendes:

  • Wenn der Bucket als Website konfiguriert ist, geben Sie den statischen Amazon-S3-Endpunkt für das Hosten von Websites für Ihren Bucket ein. Sie dürfen den Bucket-Namen nicht aus der Liste im Feld Origin domain (Ursprungsdomäne) auswählen. Der statische Endpunkt für das Hosten von Websites wird in der Amazon-S3-Konsole auf der Seite Properties (Eigenschaften) unter Static Website Hosting (Hosting der statischen Website) angezeigt. Weitere Informationen finden Sie unter Verwenden eines Amazon-S3-Buckets, der als Website-Endpunkt konfiguriert ist.

  • Wenn Sie für Ihren Bucket Amazon S3 Transfer Acceleration konfiguriert haben, geben Sie den s3-accelerate-Endpunkt für Origin domain (Ursprungsdomäne) nicht an.

  • Wenn Sie einen Bucket von einem anderen AWS-Konto verwenden und der Bucket nicht als Website konfiguriert ist, geben Sie den Namen im folgenden Format ein:

    bucket-name.s3.region.amazonaws.com

    Wenn sich Ihr Bucket in der Region USA Standard befindet und Amazon S3 Anforderungen an einen Standort im Norden Virginias weiterleiten soll, verwenden Sie das folgende Format:

    bucket-name.s3.us-east-1.amazonaws.com

  • Die Dateien müssen öffentlich lesbar sein, es sei denn, Sie sichern Ihre Inhalte in Amazon S3 unter Verwendung einer CloudFront-Ursprungszugriffsidentität. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Wichtig

Wenn der Ursprung ein Amazon S3-Bucket ist, muss der Bucket-Name den Anforderungen für DNS-Namen entsprechen. Weitere Informationen finden Sie unter Bucket-Einschränkungen und -Limits im Benutzerhandbuch zu Amazon Simple Storage Service.

Wenn Sie den Wert von Origin domain (Ursprungsdomäne) für einen Ursprung ändern, beginnt CloudFront sofort mit der Replikation der Änderung an CloudFront-Edge-Standorte. Bis zur Aktualisierung der Verteilungskonfiguration am angegebenen Edge-Standort setzt CloudFront die Weiterleitung von Anforderungen an den vorherigen Ursprung fort. Sobald die Verteilungskonfiguration an diesem Edge-Standort aktualisiert ist, beginnt CloudFront mit der Weiterleitung von Anforderungen an den neuen Ursprung.

Bei einem Wechsel des Ursprungs muss CloudFront die Edge-Zwischenspeicher nicht mit Objekten aus dem neuen Ursprung auffüllen. Solange die Viewer-Anforderungen in Ihrer Anwendung nicht geändert werden, stellt CloudFront weiter Objekte bereit, die sich bereits in einem Edge-Cache befinden, bis die TTL für die einzelnen Objekte abläuft oder selten angeforderte Objekte entfernt werden.

Ursprungspfad

Wenn CloudFront Ihre Inhalte aus einem Verzeichnis in Ihrem Ursprung anfordern soll, geben Sie den Verzeichnispfad beginnend mit einem Schrägstrich (/) ein. CloudFront hängt den Namen des Verzeichnisses an den Wert von Origin domain (Ursprungsdomäne) an. Beispiel: cf-origin.example.com/production/images. Fügen Sie keinen Schrägstrich (/) am Pfadende hinzu.

Angenommen, Sie haben die folgenden Werte für Ihre Verteilung angegeben:

  • Origin domain (Ursprungsdomäne) – Ein Amazon-S3-Bucket mit dem Namen DOC-EXAMPLE-BUCKET

  • Origin path (Ursprungspfad) – /production

  • Alternate domain names (Alternative Domänennamen) (CNAME) – example.com

Wenn ein Benutzer example.com/index.html in einem Browser eingibt, sendet CloudFront eine Anfrage für DOC-EXAMPLE-BUCKET/production/index.html an Amazon S3.

Wenn ein Benutzer example.com/acme/index.html in einem Browser eingibt, sendet CloudFront eine Anfrage für DOC-EXAMPLE-BUCKET/production/acme/index.html an Amazon S3.

Name

Eine Zeichenfolge, die diesen Ursprung eindeutig in dieser Verteilung identifiziert. Wenn Sie zusätzlich zum Cache-Standardverhalten weitere Cache-Verhaltensweisen erstellen, verwenden Sie den hier von Ihnen angegebenen Namen zur Identifizierung des Ursprungs, an den CloudFront eine Anforderung weiterleiten soll, wenn die Anforderung mit dem Pfadmuster für dieses Cache-Verhalten übereinstimmt.

Benutzerdefinierten Header hinzufügen

Wenn CloudFront beim Senden von Anforderungen an den Ursprung benutzerdefinierte Header hinzufügen soll, geben Sie den Namen des Headers und seinen Wert an. Weitere Informationen finden Sie unter Hinzufügen benutzerdefinierter Header zu Ursprungsanforderungen.

Informationen zur derzeit maximalen Anzahl von benutzerdefinierten Headern, die Sie hinzufügen können, zur maximalen Länge eines benutzerdefinierten Header-Namens und -Werts und zur maximalen Gesamtlänge aller Header-Namen und -Werte finden Sie unter Kontingente.

Origin Shield aktivieren

Wählen Sie Yes (Ja) aus, um CloudFront Origin Shield zu aktivieren. Weitere Informationen über Origin Shield erhalten Sie unter Verwenden von Amazon CloudFront Origin Shield.

Verbindungsversuche

Gibt an, wie oft CloudFront versucht, eine Verbindung mit dem Ursprung herzustellen. Sie können 1, 2 oder 3 als Anzahl der Versuche angeben. Die Standardanzahl (wenn Sie nichts anderes angeben) ist 3.

Mit dieser Einstellung in Verbindung mit Connection Timeout (Verbindungstimeout) können Sie angeben, wie lange CloudFront wartet, bevor es versucht, eine Verbindung mit dem sekundären Ursprung herzustellen, oder eine Fehlermeldung an den Viewer zurückgibt. CloudFront wartet standardmäßig bis zu 30 Sekunden (3 Versuche à 10 Sekunden), bevor versucht wird, eine Verbindung zum sekundären Ursprung herzustellen, oder eine Fehlermeldung zurückgegeben wird. Sie können diese Zeit reduzieren, indem Sie weniger Versuche, ein kürzeres Verbindungs-Timeout, oder beides angeben.

Wenn die angegebene Anzahl von Verbindungsversuchen fehlschlägt, führt CloudFront eine der folgenden Aktionen aus:

  • Wenn der Ursprung Teil einer Ursprungsgruppe ist, versucht CloudFront, eine Verbindung zum sekundären Ursprung herzustellen. Wenn die angegebene Anzahl von Verbindungsversuchen mit dem sekundären Ursprung fehlschlägt, gibt CloudFront eine Fehlermeldung an den Viewer zurück.

  • Wenn der Ursprung nicht Teil einer Ursprungsgruppe ist, gibt CloudFront eine Fehlermeldung an den Viewer zurück.

Für einen benutzerdefinierten Ursprung (einschließlich Amazon S3-Buckets, die zum Hosting einer statischem Website konfiguriert sind) gibt diese Einstellung auch die Häufigkeit an, mit der CloudFront versucht, eine Antwort vom Ursprung zu erhalten. Weitere Informationen finden Sie unter Reaktions-Timeout (nur benutzerdefinierte Ursprünge).

Verbindungstimeout

Die Anzahl der Sekunden, die CloudFront wartet, wenn versucht wird, eine Verbindung zum Ursprung herzustellen. Sie können eine Anzahl von Sekunden zwischen 1 und 10 (inklusive) angeben. Das Standardtimeout (wenn Sie nichts anderes angeben) beträgt 10 Sekunden.

Sie verwenden diese Einstellung zusammen mit Connection Attempts (Verbindungsversuche), um anzugeben, wie lange CloudFront warten soll, bevor es versucht, eine Verbindung mit dem sekundären Ursprung herzustellen, oder eine Fehlermeldung an den Viewer zurückgibt. CloudFront wartet standardmäßig bis zu 30 Sekunden (3 Versuche à 10 Sekunden), bevor versucht wird, eine Verbindung zum sekundären Ursprung herzustellen, oder eine Fehlermeldung zurückgegeben wird. Sie können diese Zeit reduzieren, indem Sie weniger Versuche, ein kürzeres Verbindungs-Timeout, oder beides angeben.

Wenn CloudFront innerhalb der angegebenen Anzahl von Sekunden keine Verbindung zum Ursprung herstellt, führt CloudFront eine der folgenden Aktionen aus:

  • Wenn die angegebene Anzahl von Connection Attempts (Verbindungsversuche) größer als 1 ist, versucht CloudFront erneut, eine Verbindung herzustellen. CloudFront versucht dies bis zu 3-mal, wie durch den Wert in Connection Attempts (Verbindungsversuche) festgelegt.

  • Wenn alle Verbindungsversuche fehlschlagen und der Ursprung Teil einer Ursprungsgruppe ist, versucht CloudFront, eine Verbindung zum sekundären Ursprung herzustellen. Wenn die angegebene Anzahl von Verbindungsversuchen mit dem sekundären Ursprung fehlschlägt, gibt CloudFront eine Fehlermeldung an den Viewer zurück.

  • Wenn alle Verbindungsversuche fehlschlagen und der Ursprung nicht Teil einer Ursprungsgruppe ist, gibt CloudFront eine Fehlermeldung an den Viewer zurück.

Reaktions-Timeout (nur benutzerdefinierte Ursprünge)

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Das Ursprungs-Reaktions-Timeout, das auch als Ursprungs-Lese-Timeout oder Ursprungs-Anforderungs-Timeout bezeichnet wird, gilt für folgende Werte:

  • Der Zeitraum (in Sekunden), den CloudFront nach der Weiterleitung einer Anforderung an einen Ursprung auf eine Antwort wartet.

  • Der Zeitraum (in Sekunden), den CloudFront nach dem Erhalt eines Antwortpakets vom Ursprung und vor dem Empfang des nächsten Pakets wartet.

Das Standard-Timeout beträgt 30 Sekunden. Sie können den Wert auf 1 bis 60 Sekunden ändern. Wenn Sie einen Timeout-Wert außerhalb dieses Bereichs benötigen, müssen Sie im AWS Support Center einen Fall erstellen.

Tipp

Wenn Sie den Timeout-Wert erhöhen möchten, da die Viewer HTTP 504-Statuscodefehler erhalten, suchen Sie nach anderen Möglichkeiten zur Vermeidung dieser Fehler, bevor Sie den Timeout-Wert ändern. Vorschläge zur Fehlerbehebung finden Sie unter HTTP 504-Statuscode (Gateway Timeout).

Das CloudFront-Verhalten ist von der HTTP-Methode in der Viewer-Anforderung abhängig:

  • GET- und HEAD- Anfragen: Wenn der Ursprung nicht innerhalb des Reaktions-Timeouts reagiert oder nicht mehr reagiert, verwirft CloudFront die Verbindung. CloudFront versucht erneut, eine Verbindung herzustellen, abhängig vom Wert von Verbindungsversuche.

  • DELETE-, OPTIONS-, PATCH-, PUT- und POST-Anforderungen – Wenn der Ursprung während des Lese-Timeouts nicht reagiert, verwirft CloudFront die Verbindung und versucht nicht, den Ursprung erneut zu kontaktieren. Der Client kann die Anfrage erneut senden, falls erforderlich.

Keepalive-Timeout (nur benutzerdefinierte Ursprünge)

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Der Zeitraum (in Sekunden) nach Erhalt des letzten Antwortpakets, über den CloudFront versucht, eine Verbindung zu Ihrem benutzerdefinierten Ursprung beizubehalten. Durch eine persistente Verbindung wird die Zeit gespart, die erforderlich ist, um die TCP-Verbindung erneut herzustellen und einen weiteren TLS-Handshake für nachfolgende Anfragen durchzuführen. Durch das Erhöhen des Keepalive-Timeouts können Sie die Metrik „Anfrage-pro-Verbindung” für Verteilungen verbessern.

Anmerkung

Damit der Wert für das Keepalive-Timeout Auswirkungen hat, muss Ihr Ursprungsserver ständige Verbindungen zulassen.

Das Standard-Timeout beträgt 5 Sekunden. Sie können den Wert auf eine Zahl von 1 auf 60 Sekunden ändern. Wenn Sie ein Keep-Alive-Timeout mit einer Dauer von mehr als 60 Sekunden benötigen, müssen Sie im AWS Support Center einen Fall erstellen.

S3-Bucket-Zugriff (nur Amazon S3-Ursprünge)

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wählen Sie Yes use OAI (Ja, OAI verwenden) aus, wenn Benutzer ausschließlich über CloudFront-URLs und nicht über Amazon S3-URLs auf Objekte in einem Amazon-S3-Bucket zugreifen sollen. Geben Sie dann zusätzliche Werte an, wie in den folgenden Abschnitten beschrieben.

Wählen Sie Don‘t use OAI (OAI nicht verwenden) aus, wenn Sie zulassen möchten, dass Benutzer über CloudFront-URLs oder Amazon S3-URLs auf Objekte zugreifen.

Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Informationen dazu, wie Sie festlegen, dass Benutzer ausschließlich über CloudFront-URLs auf Objekte in einem benutzerdefinierten Ursprung zugreifen können, finden Sie unter Beschränken des Zugriffs auf Dateien auf benutzerdefinierten Ursprungsservern.

Ursprungszugriffsidentität

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn Sie bei S3 bucket access (S3-Bucket-Zugriff) die Option Yes use OAI (Ja, OAI verwenden) auswählen, wählen Sie aus, ob eine neue Ursprungszugriffsidentität erstellt oder eine vorhandene aus Ihrem AWS-Konto verwendet werden soll. Wenn Sie bereits über eine Ursprungszugriffsidentität verfügen, empfehlen wir, diese zur Vereinfachung der Wartung erneut zu verwenden. Weitere Informationen zu Ursprungszugriffsidentitäten finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

Bucket-Richtlinie

Anmerkung

Dies gilt nur für Amazon S3-Bucket-Ursprünge (d. h. Ursprünge, die nicht den statischen S3-Website-Endpunkt verwenden).

Wenn CloudFront der Ursprungszugriffsidentität automatisch die Berechtigung zum Lesen von Objekten in Ihrem Amazon S3-Bucket erteilen soll, wählen Sie Yes, update the bucket policy (Ja, Bucket-Richtlinie aktualisieren) aus.

Wichtig

Wenn Sie Yes, update bucket policy (Ja, Bucket-Richtlinie aktualisieren) auswählen, aktualisiert CloudFront die Bucket-Richtlinie so, dass der angegebenen Ursprungszugriffsidentität die Berechtigung zum Lesen von Objekten in Ihrem Bucket erteilt wird. CloudFront entfernt jedoch keine vorhandenen Berechtigungen in der Bucket-Richtlinie oder Berechtigungen für einzelne Objekte. Wenn Benutzer zurzeit zum Zugriff auf die Objekte in Ihrem Bucket über Amazon S3-URLs berechtigt sind, sind sie nach der Aktualisierung Ihrer Bucket-Richtlinie durch CloudFront weiter hierzu berechtigt. Um die vorhandene Bucket-Richtlinie und die vorhandenen Berechtigungen anzuzeigen oder zu ändern, verwenden Sie eine von Amazon S3 bereitgestellte Methode. Weitere Informationen finden Sie unter Erteilen der OAI-Berechtigung zum Lesen von Dateien in Ihrem Amazon-S3-Bucket.

Wenn Sie die Berechtigungen manuell aktualisieren möchten, wählen Sie No, I will update the bucket policy (Nein, ich aktualisiere die Bucket-Richtlinie) aus.

Protokoll (nur benutzerdefinierte Ursprünge)

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Die Protokollrichtlinie, die CloudFront beim Abrufen von Objekten von Ihrem Ursprung verwenden soll.

Wählen Sie einen der folgenden Werte aus:

  • HTTP only (Nur HTTP): CloudFront verwendet nur HTTP für den Zugriff auf den Ursprung.

    Wichtig

    HTTP only (Nur HTTP) ist die Standardeinstellung, wenn der Ursprung ein statischer Amazon S3-Endpunkt für das Hosten von Websites ist, da Amazon S3 keine HTTPS-Verbindungen für statische Endpunkte für das Hosten von Websites unterstützt. Die CloudFront-Konsole unterstützt das Ändern dieser Einstellung für statische Amazon S3-Endpunkte für das Hosten von Websites nicht.

  • HTTPS only (Nur HTTPS): CloudFront verwendet für den Zugriff auf den Ursprung nur HTTPS.

  • Match viewer (Wie Viewer): CloudFront kommuniziert mit dem Ursprung abhängig vom Protokoll der Viewer-Anforderung über HTTP oder HTTPS. Beachten Sie, dass CloudFront das Objekt nur einmal zwischenspeichert, auch wenn Viewer ihre Anfragen sowohl über HTTP als auch über HTTPS übertragen.

    Wichtig

    Bei Viewer-Anforderungen über HTTPS, die CloudFront an diesen Ursprung weiterleitet, muss einer der Domänennamen im SSL/TLS-Zertifikat auf dem Ursprungsserver mit dem Domänennamen übereinstimmen, den Sie in Origin domain (Ursprungsdomäne) angeben. Andernfalls beantwortet CloudFront die Viewer-Anforderungen mit dem HTTP-Statuscode 502 (Bad Gateway, ungültiger Gateway), statt das angeforderte Objekt zurückzugeben. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von SSL-/TLS-Zertifikaten in Verbindung mit CloudFront.

HTTP-Port

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Optional. Der HTTP-Port, den der benutzerdefinierte Ursprung überwacht. Zu den gültigen Werten gehören die Ports 80, 443 und 1024 bis 65535. Der Standardwert ist Port 80.

Wichtig

Port 80 ist die Standardeinstellung, wenn der Ursprung ein statischer Amazon S3-Endpunkt für das Hosten von Websites ist, da Amazon S3 den Port 80 nur für statische Endpunkte für das Hosten von Websites unterstützt. Die CloudFront-Konsole unterstützt das Ändern dieser Einstellung für statische Amazon S3-Endpunkte für das Hosten von Websites nicht.

HTTPS-Port

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Optional. Der HTTPS-Port, den der benutzerdefinierte Ursprung überwacht. Zu den gültigen Werten gehören die Ports 80, 443 und 1024 bis 65535. Der Standardwert ist Port 443. Wenn Protocol (Protokoll) auf HTTP only (Nur HTTP) festgelegt wird, können Sie keinen Wert für HTTPS port (HTTPS-Port) angeben.

Mindest-SSL-Protokoll für Ursprung

Anmerkung

Dies gilt nur für benutzerdefinierte Ursprünge.

Wählen Sie das TLS/SSL-Mindestprotokoll aus, das CloudFront beim Herstellen einer HTTPS-Verbindung zu Ihrem Ursprung verwenden kann. Da niedrigere TLS-Protokollversionen weniger sicher sind, sollten Sie das neueste TLS-Protokoll auswählen, das Ihr Ursprung unterstützt. Wenn Protocol (Protokoll) auf HTTP only (Nur HTTP) festgelegt wird, können Sie keinen Wert für Minimum origin SSL protocol (SSL-Mindestursprungsprotokoll) angeben.

Wenn Sie die CloudFront-API verwenden, um das TLS/SSL-Protokoll für CloudFront festzulegen, können Sie kein Mindestprotokoll festlegen. Stattdessen geben Sie alle TLS/SSL-Protokolle an, die CloudFront mit Ihrem Ursprung verwenden kann. Weitere Informationen finden Sie unter OriginSslProtocols in der Amazon CloudFront-API-Referenz.

Einstellungen für das Cache-Verhalten

Mit einem Cache-Verhalten können Sie verschiedene CloudFront-Funktionen für ein bestimmtes URL-Pfadmuster für Dateien auf Ihrer Website konfigurieren. Beispielsweise kann ein einzelnes Cache-Verhalten für alle .jpg-Dateien im Verzeichnis images auf einem Webserver gelten, den Sie als Ursprungs-Server für CloudFront verwenden. Zu den Funktionen, die Sie für jedes Cache-Verhalten konfigurieren können, gehören folgende:

  • Das Pfadmuster.

  • Bei Konfigurierung mehrerer Ursprünge für Ihre CloudFront-Verteilung der Ursprung, an den CloudFront Ihre Anfragen weiterleiten soll.

  • Die Angabe, ob Abfragezeichenfolgen an Ihren Ursprung weiterleitet werden sollen.

  • Die Angabe, ob für den Zugriff auf die angegebenen Dateien signierte URLs erforderlich sind.

  • Die Angabe, ob Sie Benutzer HTTPS für den Zugriff auf diese Dateien verwenden müssen.

  • Der Mindestzeitraum, über den diese Dateien im CloudFront-Cache bleiben, unabhängig vom Wert der Cache-Control-Header, die Ihr Ursprung den Dateien hinzufügt.

Wenn Sie eine neue Verteilung erstellen, geben Sie Einstellungen für das Standard-Cache-Verhalten an, das alle Anfragen automatisch an den Ursprung weiterleitet, den Sie beim Erstellen der Verteilung angeben. Nach der Erstellung einer Verteilung können Sie zusätzliche Cache-Verhaltensweisen konfigurieren, die definieren, wie CloudFront auf Anforderungen für Objekte antwortet, die mit einem Pfadmuster übereinstimmen, z. B. *.jpg. Wenn Sie zusätzliche Cache-Verhalten erstellen, wird das Standard-Cache-Verhalten immer als Letztes verarbeitet. Andere Cache-Verhaltensweisen werden in der Reihenfolge verarbeitet, in der sie in der CloudFront-Konsole aufgeführt sind. Wenn Sie die CloudFront-API verwenden, werden sie in der Reihenfolge verarbeitet, in der sie im DistributionConfig-Element für die Verteilung aufgelistet sind. Weitere Informationen finden Sie unter Pfadmuster.

Wenn Sie ein Cache-Verhalten erstellen, geben Sie den Ursprung an, von dem CloudFront Objekte abrufen soll. Wenn CloudFront Objekte aus allen Ursprüngen verteilen soll, muss es mindestens so viele Cache-Verhaltensweisen (einschließlich des Cache-Standardverhaltens) wie Ursprünge geben. Wenn es zwei Ursprünge und nur das Cache-Standardverhalten gibt, führt das Cache-Standardverhalten dazu, dass CloudFront Objekte nur von einem Ursprung abruft, der andere Ursprung jedoch niemals verwendet wird.

Informationen zur aktuell gültigen maximalen Anzahl von Cache-Verhaltensweisen, die Sie einer Verteilung hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Pfadmuster

Ein Pfadmuster (z. B. images/*.jpg) gibt an, für welche Anfragen dieses Cache-Verhalten gelten soll. Wenn CloudFront eine Anfrage eines Endbenutzers erhält, wird der angeforderte Pfad in der Reihenfolge mit Pfadmustern verglichen, in der die Cache-Verhaltensweisen in der Verteilung aufgelistet sind. Die erste Übereinstimmung bestimmt, welches Cache-Verhalten auf diese Anfrage angewendet wird. Nehmen wir beispielsweise an, dass Sie drei Cache-Verhalten mit den folgenden drei Pfadmustern haben, in dieser Reihenfolge:

  • images/*.jpg

  • images/*

  • *.gif

Anmerkung

Optional können Sie einen Schrägstrich (/) am Anfang des Pfadmusters hinzufügen, z. B, /images/*.jpg. Das CloudFront-Verhalten bleibt unabhängig vom Vorhandensein des führenden Schrägstrichs gleich.

Eine Anfrage für die Datei images/sample.gif entspricht nicht dem ersten Pfadmuster, sodass die zugehörigen Cache-Verhalten nicht auf die Anfrage angewendet werden. Die Datei entspricht dem zweiten Pfadmuster, sodass die mit dem zweiten Pfadmuster verknüpften Cache-Verhalten angewendet werden, auch wenn die Anfrage ebenfalls dem dritten Pfadmuster entspricht.

Anmerkung

Wenn Sie eine neue Verteilung erstellen, wird der Wert von Path Pattern für das Standard-Cache-Verhalten auf * (alle Dateien) gesetzt und kann nicht geändert werden. Dieser Wert führt dazu, dass CloudFront alle Anforderungen für Ihre Objekte an den Ursprung weiterleitet, den Sie im Feld Ursprungsdomäne angegeben haben. Wenn die Anforderung für ein Objekt nicht mit dem Pfadmuster für ein anderes Cache-Verhalten übereinstimmt, wendet CloudFront das im Standard-Cache-Verhalten angegebene Verhalten an.

Wichtig

Gehen Sie beim Definieren von Pfadmustern und ihrer Reihenfolge sorgfältig vor. Andernfalls gewähren Sie Benutzern möglicherweise unerwünscht Zugriff auf Ihre Inhalte. Nehmen wir beispielsweise an, eine Anfrage stimmt mit dem Pfadmuster für zwei Cache-Verhalten überein. Das erste Cache-Verhalten erfordert keine signierten URLs und das zweite Cache-Verhalten erfordert signierte URLs. Benutzer können auf die Objekte zugreifen, ohne eine signierte URL zu verwenden, da CloudFront das Cache-Verhalten verarbeitet, das mit der ersten Übereinstimmung verbunden ist.

Wenn Sie mit einem MediaPackage-Kanal arbeiten, müssen Sie spezifische Pfadmuster für das Cache-Verhalten einfügen, das Sie für den Endpunkttyp für Ihren Ursprung definieren. Für einen DASH-Endpunkt geben Sie beispielsweise *.mpd in Path Pattern (Pfadmuster) ein. Weitere Informationen und spezielle Anweisungen finden Sie unter Bereitstellung von mit AWS Elemental MediaPackage formatiertem Live-Video.

Der angegebene Pfad gilt für Anfragen für alle Dateien im angegebenen Verzeichnis und in Unterverzeichnissen zum angegebenen Verzeichnis. CloudFront berücksichtigt bei der Evaluierung des Pfadmusters keine Abfragezeichenfolgen oder Cookies. Wenn ein images-Verzeichnis beispielsweise product1- und product2-Unterverzeichnisse enthält, gilt das Pfadmuster images/*.jpg für Anfragen für alle JPG-Dateien in den Verzeichnissen images, images/product1 und images/product2. Wenn Sie auf die Dateien im Verzeichnis images/product1 ein anderes Cache-Verhalten als auf die Dateien in den Verzeichnissen images und images/product2 anwenden möchten, erstellen Sie ein separates Cache-Verhalten für images/product1 und verschieben Sie dieses Cache-Verhalten an eine Stelle über (vor) dem Cache-Verhalten für das Verzeichnis images.

Sie können die folgenden Platzhalterzeichen in Ihrem Pfadmuster verwenden:

  • * entspricht 0 oder mehr Zeichen.

  • ? entspricht genau 1 Zeichen.

Die folgenden Beispiele zeigen, wie die Platzhalterzeichen funktionieren:

Pfadmuster Dateien, die dem Pfadmuster entsprechen

*.jpg

Alle JPG-Dateien

images/*.jpg

Alle JPG-Dateien im images-Verzeichnis und in den Unterverzeichnissen unter dem images-Verzeichnis

a*.jpg

  • Alle .jpg-Dateien, deren Dateiname mit a beginnt, z. B. apple.jpg und appalachian_trail_2012_05_21.jpg

  • Alle JPG-Dateien, deren Dateipfad mit a beginnt, z. B. abra/cadabra/magic.jpg

a??.jpg

Alle .jpg-Dateien, deren Dateiname mit a beginnt, gefolgt von genau zwei anderen Zeichen, z. B. ant.jpg und abe.jpg

*.doc*

Alle .jpg-Dateien, deren Dateinamenerweiterung mit .doc beginnt, z. B. .doc-, .docx- und .docm-Dateien. Sie können das Pfadmuster *.doc? in diesem Fall nicht verwenden, weil dieses Pfadmuster nicht für Anfragen für .doc-Dateien gelten würde. Das Platzhalterzeichen ? ersetzt genau ein Zeichen.

Die maximale Länge eines Pfadmusters beträgt 255 Zeichen. Der Wert kann folgende Zeichen enthalten:

  • A-Z, a-z

    Bei den Pfadmustern muss die Groß- und Kleinschreibung beachtet werden, so dass das Pfadmuster *.jpg nicht für die Datei LOGO.JPG gilt.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • & (übergeben und zurückgegeben als &)

Ursprung oder Ursprungsgruppe

Geben Sie den Wert eines vorhandenen Ursprungs oder einer Ursprungsgruppe ein. Dies identifiziert den Ursprung oder die Ursprungsgruppe, an den/die CloudFront Anforderungen weiterleiten soll, wenn eine Anforderung (z. B. http://example.com/logo.jpg) mit dem Pfadmuster für ein Cache-Verhalten (z. B. *.jpg) oder das Cache-Standardverhalten (*) übereinstimmt.

Viewer-Protokollrichtlinien

Wählen Sie die Protokollrichtlinie aus, die Viewer für den Zugriff auf Ihre Inhalte an CloudFront-Edge-Standorten verwenden sollen:

  • HTTP und HTTPS: Viewer können beide Protokolle verwenden.

  • Redirect HTTP to HTTPS: Viewer können zwar beide Protokolle verwenden, doch HTTP-Anfragen werden automatisch umgeleitet und als HTTPS-Anfragen gesendet.

  • HTTPS Only: Viewer können nur auf Ihre Inhalte zugreifen, wenn sie HTTPS verwenden

Weitere Informationen finden Sie unter Erzwingen der Verwendung von HTTPS für die Kommunikation zwischen Viewern und CloudFront.

Zulässige HTTP-Methoden

Geben Sie die HTTP-Methoden an, die CloudFront verarbeiten und an den Ursprung weiterleiten soll:

  • GET, HEAD: Sie können CloudFront nur für den Abruf von Objekten aus dem Ursprung oder den Abruf von Objekt-Headern verwenden.

  • GET, HEAD, OPTIONS: Sie können CloudFront nur für den Abruf von Objekten aus dem Ursprung, den Abruf von Objekt-Headern oder den Abruf einer Liste mit Optionen, die vom Ursprungs-Server unterstützt werden, verwenden.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: Sie können mit CloudFront Objekte abrufen, hinzufügen, aktualisieren und löschen sowie Objekt-Header abrufen. Darüber hinaus können Sie andere POST-Vorgänge wie das Senden von Daten aus einem Webformular ausführen.

    Anmerkung

    CloudFront zwischenspeichert Antworten auf GET- und HEAD-Anforderungen und optional auf OPTIONS-Anfragen. Antworten auf OPTIONS-Anforderungen werden getrennt von Antworten auf GET- und HEAD-Anforderungen zwischengespeichert (die OPTIONS-Methode ist im Cache-Schlüssel für OPTIONS-Anforderungen enthalten). CloudFront speichert keine Antworten auf Anforderungen im Cache, in denen andere Methoden verwendet werden.

Wenn Sie einen Amazon S3-Bucket als Ursprung für Ihre Verteilung und CloudFront-Ursprungszugriffsidentitäten verwenden, werden POST-Anforderungen in einigen Amazon S3-Regionen nicht unterstützt. PUT-Anforderungen in diesen Regionen erfordern einen zusätzlichen Header. Weitere Informationen finden Sie unter Verwenden einer OAI in Amazon-S3-Regionen, die nur die Authentifizierung von Signaturen der Version 4 unterstützen.

Wichtig

Wenn Sie GET, HEAD, OPTIONS oder GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE auswählen, müssen Sie möglicherweise den Zugriff auf den Amazon S3-Bucket oder den benutzerdefinierten Ursprung einschränken, um zu verhindern, dass Benutzer Operationen ausführen, die sie nicht ausführen sollen. Die folgenden Beispiele erläutern, wie Sie den Zugriff beschränken:

  • Wenn Sie Amazon S3 als Ursprung für Ihre Verteilung verwenden: Erstellen Sie eine CloudFront-Ursprungszugriffsidentität, um den Zugriff auf Ihre Amazon S3-Inhalte einzuschränken, und erteilen Sie der Ursprungszugriffsidentität Berechtigungen. Wenn Sie beispielsweise CloudFront für die Annahme und Weiterleitung nur dieser Methoden konfigurieren, weil Sie PUT verwenden möchten, müssen Sie trotzdem Amazon S3-Bucket-Richtlinien oder Zugriffskontrolllisten (ACLs) für die korrekte Verarbeitung von DELETE-Anforderungen konfigurieren. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon-S3-Inhalte durch Verwenden einer Ursprungszugriffsidentität.

  • Wenn Sie einen benutzerdefinierten Ursprungs-Server verwenden: Konfigurieren Sie Ihren Ursprungs-Server so, dass alle Methoden verarbeitet werden. Wenn Sie beispielsweise CloudFront für die Annahme und Weiterleitung nur dieser Methoden konfigurieren, weil Sie POST verwenden möchten, müssen Sie trotzdem den Ursprungs-Server für die korrekte Verarbeitung von DELETE-Anforderungen konfigurieren.

Verschlüsselungskonfiguration auf Feldebene

Wenn Sie die Verschlüsselung auf Feldebene für bestimmte Datenfelder erzwingen möchten, wählen Sie in den Dropdown-Listen eine Verschlüsselungskonfiguration auf Feldebene.

Weitere Informationen finden Sie unter Schutz vertraulicher Daten durch Verschlüsselung auf Feldebene.

Zwischengespeicherte HTTP-Methoden

Geben Sie an, ob CloudFront die Antwort des Ursprungs zwischenspeichern soll, wenn ein Viewer eine OPTIONS-Anforderung übermittelt. CloudFront speichert die Antwort auf HEAD- und GET-Anforderungen stets zwischen.

Basierend auf den ausgewählten Anforderungsheadern

Geben Sie an, ob CloudFront Objekte basierend auf den Werten bestimmter Header zwischenspeichern soll:

  • None (improves caching) (Keine (verbessert das Zwischenspeichern)) – CloudFront führt keine Zwischenspeicherung Ihrer Objekte anhand von Header-Werten aus.

  • Whitelist (Whitelist) – CloudFront führt eine Zwischenspeicherung Ihrer Objekte ausschließlich anhand der Werte der angegebenen Header aus. Über Whitelist Headers (Whitelist-Header) können Sie die Header auswählen, anhand derer CloudFront die Zwischenspeicherung ausführen soll.

  • All (Alle) – CloudFront führt keine Zwischenspeicherung der Objekt aus, die mit diesem Cache-Verhalten verknüpft sind. Stattdessen sendet CloudFront jede Anforderung an den Ursprung. (Nicht empfohlen für Amazon S3-Ursprünge.)

Unabhängig von der Option, die Sie auswählen, leitet CloudFront bestimmte Header an den Ursprung weiter und führt spezifische Aktionen basierend auf den von Ihnen weitergeleiteten Headern aus. Weitere Informationen dazu, wie CloudFront die Header-Weiterleitung verarbeitet, finden Sie unter HTTP-Anfrage-Header und CloudFront-Verhalten (benutzerdefinierte und Amazon-S3-Ursprünge).

Weitere Informationen zur Konfiguration der Zwischenspeicherung in CloudFront mithilfe von Anforderungs-Headern finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Anfrage-Headern.

Whitelist Headers

Geben Sie die Header an, die CloudFront bei der Zwischenspeicherung Ihrer Objekte berücksichtigen soll. Wählen Sie die Header aus der Liste der verfügbaren Header aus und klicken Sie auf Add. Um einen benutzerdefinierten Header weiterzuleiten, geben Sie den Namen des Headers in das Feld ein und wählen Sie Add Custom.

Informationen zur aktuell gültigen maximalen Anzahl von Headern, die Sie für die einzelnen Cache-Verhaltensweisen auf die Whitelist setzen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Kontingente für Header.

Zwischenspeicherung von Objekten

Wenn der Ursprungs-Server Ihren Objekten einen Cache-Control-Header hinzufügt, um zu steuern, wie lange die Objekte im CloudFront-Cache gespeichert werden, und Sie den Cache-Control-Wert nicht ändern möchten, wählen Sie Use Origin Cache Headers (Ursprungs-Cache-Header verwenden) aus.

Um eine Mindest- und Höchstdauer für die Speicherung Ihrer Objekte im CloudFront-Cache unabhängig von Cache-Control-Headern und einen Standardzeitraum für die Speicherung Ihrer Objekte im CloudFront-Cache anzugeben, wenn der Cache-Control-Header für ein Objekt fehlt, wählen Sie Customize (Anpassen) aus. Geben Sie dann in den Feldern Minimum TTL, Default TTL und Maximum TTL den entsprechenden Wert ein.

Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Mindest-TTL

Geben Sie die Mindestzeitspanne in Sekunden an, die Objekte im CloudFront-Cache verbleiben sollen, bevor CloudFront eine weitere Anforderung an den Ursprung sendet, um festzustellen, ob das Objekt aktualisiert wurde.

Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Höchst-TTL

Geben Sie den maximalen Zeitraum (in Sekunden) an, über den Objekte in CloudFront -Caches gespeichert werden sollen, bevor CloudFront eine Abfrage an den Ursprung sendet, um zu ermitteln, ob das Objekt aktualisiert wurde. Der Wert, den Sie für Maximum TTL angeben, gilt nur, wenn Ihr Ursprung HTTP-Header, wie beispielsweise Cache-Control max-age, Cache-Control s-maxage oder Expires zu Objekten hinzufügt. Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Um einen Wert für Maximum TTL anzugeben, müssen Sie die Option Customize für die Object Caching-Einstellung auswählen.

Der Standardwert für Maximum TTL beträgt 31 536 000 Sekunden (ein Jahr). Wenn Sie den Wert von Minimum TTL oder Default TTL in mehr als 31 536 000 Sekunden ändern, ändert sich der Standardwert von Maximum TTL in den Wert von Default TTL.

Standard-TTL

Der Standardzeitraum (in Sekunden), über den Objekte in CloudFront-Caches gespeichert werden sollen, bevor CloudFront eine weitere Anforderung an den Ursprung weiterleitet, um zu ermitteln, ob das Objekt aktualisiert wurde. Der Wert, den Sie für Default TTL (Standardgültigkeitsdauer) angeben, gilt nur, wenn Ihr Ursprung keine HTTP-Header wie Cache-Control max-age, Cache-Control s-maxage oder Expires zu Objekten hinzufügt. Weitere Informationen finden Sie unter Verwalten der Dauer, die Inhalte im Cache bleiben (Ablauf).

Um einen Wert für Default TTL anzugeben, müssen Sie die Option Customize für die Object Caching-Einstellung auswählen.

Der Standardwert für Default TTL beträgt 86 400 Sekunden (ein Tag). Wenn Sie den Wert von Minimum TTL in mehr als 86 400 Sekunden ändern, ändert sich der Standardwert von Default TTL in den Wert von Minimum TTL.

Cookies weiterleiten

Anmerkung

Diese Option gilt nur für Amazon S3-Buckets, die als Website-Endpunkte konfiguriert sind.

Geben Sie an, ob CloudFront Cookies an den Ursprungs-Server weiterleiten soll und welche Cookies in diesem Fall weitergeleitet werden sollen. Wenn nur ausgewählte Cookies (eine Whitelist von Cookies) weitergeleitet werden sollen, geben Sie die Cookie-Namen im Feld Whitelist Cookies ein. Wenn Sie All (Alle) auswählen, leitet CloudFront alle Cookies weiter, unabhängig davon, wie viele Cookies Ihre Anwendung verwendet.

Amazon S3 verarbeitet keine Cookies. Die Weiterleitung von Cookies an den Ursprung reduziert die Zwischenspeicherbarkeit. Wählen Sie für Cache-Verhalten, die Anforderungen an einem Amazon S3-Ursprung weiterleiten, None (Keine) in Forward Cookies (Cookies weiterleiten) aus.

Weitere Informationen zum Weiterleiten von Cookies an den Ursprung finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Cookies.

Cookies auf Whitelist setzen

Anmerkung

Diese Option gilt nur für Amazon S3-Buckets, die als Website-Endpunkte konfiguriert sind.

Wenn Sie in der Liste Forward Cookies (Cookies weiterleiten) die Option Whitelist (Whitelist) auswählen, geben Sie im Feld Whitelist Cookies (Whitelist-Cookies) die Namen der Cookies ein, die CloudFront für dieses Cache-Verhalten an den Ursprungs-Server weiterleiten soll. Geben Sie die einzelnen Cookie-Namen jeweils in einer neuen Zeile ein.

Sie können die folgenden Platzhalter verwenden, wenn Sie Cookie-Namen angeben:

  • * steht für 0 oder mehr Zeichen in dem Cookie-Namen

  • ? steht für genau 1 Zeichen in dem Cookie-Namen

Nehmen wir beispielsweise an, dass Viewer-Anforderungen für ein Objekt ein Cookie mit dem Namen

userid_member-number

Dabei hat jeder Ihrer Benutzer einen eindeutigen Wert für member-number. CloudFront soll für jedes Mitglied eine eigene Version des Objekts zwischenspeichern. Hierzu könnten Sie alle Cookies an den Ursprung weiterleiten. Viewer-Anforderungen enthalten jedoch einige Cookies, die CloudFront nicht zwischenspeichern sollte. Alternativ könnten Sie den folgenden Wert als Cookie-Namen angeben. Dies bewirkt, dass CloudFront alle Cookies an den Ursprung weiterleitet, die mit userid_ beginnen:

userid_*

Informationen zur aktuell gültigen maximalen Anzahl von Cookie-Namen, die Sie für die einzelnen Cache-Verhaltensweisen auf die Whitelist setzen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Kontingente für Cookies (Legacy-Cache-Einstellungen).

Weiterleitung und Zwischenspeicherung von Abfragezeichenfolgen

CloudFront kann verschiedene Versionen Ihrer Inhalte basierend auf den Werten von Abfragezeichenfolgeparametern zwischenspeichern. Wählen Sie eine der folgenden Optionen:

None (Improves Caching)

Wählen Sie diese Option aus, wenn Ihr Ursprung dieselbe Version eines Objekts unabhängig von den Werten der Abfragezeichenfolgeparameter zurückgibt. Dies erhöht die Wahrscheinlichkeit, dass CloudFront eine Anforderung aus dem Cache bereitstellen kann, um die Leistung zu verbessern und die Auslastung des Ursprungs zu reduzieren.

Forward all, cache based on whitelist

Wählen Sie diese Option aus, wenn Ihr Ursprungs-Server verschiedene Versionen Ihrer Objekte auf der Grundlage von einem oder mehreren Abfragezeichenfolgeparametern zurückgibt. Geben Sie anschließend im Feld Whitelist für Abfragezeichenfolgen die Parameter an, die CloudFront als Grundlage für die Zwischenspeicherung verwenden soll.

Forward all, cache based on all

Wählen Sie diese Option aus, wenn Ihr Ursprungs-Server verschiedene Versionen Ihrer Objekte für alle Abfragezeichenfolgeparameter zurückgibt.

Weitere Informationen zur Zwischenspeicherung auf der Grundlage von Abfragezeichenfolgeparametern, einschließlich Informationen zur Verbesserung der Leistung, finden Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Abfragezeichenfolgeparametern.

Whitelist für Abfragezeichenfolgen

Wenn Sie Forward all, cache based on whitelist (Alle weiterleiten, basierend auf Whitelist) in Weiterleitung und Zwischenspeicherung von Abfragezeichenfolgen auswählen, geben Sie die Abfragezeichenfolgen-Parameter an, die CloudFront als Grundlage für die Zwischenspeicherung verwenden soll.

Smooth Streaming

Wählen Sie Yes, wenn Sie Mediendateien im Microsoft Smooth Streaming-Format verteilen möchten und keinen IIS-Server verwenden.

Wählen Sie No, wenn Sie einen Microsoft IIS-Server als Ursprung verwenden möchten, um Mediendateien im Microsoft Smooth Streaming-Format zu verteilen, oder wenn Sie keine Smooth Streaming-Mediendateien verteilen.

Anmerkung

Wenn Sie Yes angeben, können Sie weiterhin andere Inhalte mit diesem Cache-Verhalten verteilen, wenn diese Inhalte mit dem Wert von Path Pattern übereinstimmen.

Weitere Informationen finden Sie unter Konfigurieren von Video-on-Demand für Microsoft Smooth Streaming.

Viewerzugriff einschränken (Signierte URLs oder signierte Cookies verwenden)

Wenn Sie möchten, dass Anfragen für Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, öffentliche URLs verwenden, wählen Sie No aus.

Wenn Sie möchten, dass Anfragen für Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, signierte URLs verwenden, wählen Sie Yes aus. Geben Sie anschließend die AWS-Konten an, die Sie zum Erstellen signierter URLs verwenden möchten. Diese Konten werden als vertrauenswürdige Aussteller bezeichnet.

Weitere Informationen zu vertrauenswürdigen Ausstellern finden Sie unter Festlegen der Aussteller, die signierte URLs und signierte Cookies erstellen können.

Vertrauenswürdiger Signaturgeber

Wählen Sie die AWS-Konten, die Sie als vertrauenswürdige Aussteller für dieses Cache-Verhalten verwenden möchten:

  • Self: Es wird das Konto, mit dem Sie derzeit an der AWS Management Console angemeldet sind, als vertrauenswürdiger Aussteller verwendet. Wenn Sie aktuell als IAM-Benutzer angemeldet sind, wird das zugehörige AWS-Konto als vertrauenswürdiger Aussteller hinzugefügt.

  • Wenn Sie das Kontrollkästchen Specify Accounts aktiviert haben, geben Sie die Konto-IDs der vertrauenswürdigen Signaturgeber im Feld AWS Account Numbers ein.

Um signierte URLs zu erstellen, muss ein AWS-Konto mindestens ein aktives CloudFront-Schlüsselpaar besitzen.

Wichtig

Wenn Sie eine Verteilung aktualisieren, die Sie bereits zum Verteilen von Inhalten verwenden, fügen Sie vertrauenswürdige Aussteller erst hinzu, wenn Sie bereit sind, signierte URLs für Ihre Objekte zu generieren. Wenn Sie vertrauenswürdige Aussteller zu einer Verteilung hinzugefügt haben, müssen Benutzer für den Zugriff auf Objekte, die dem PathPattern für dieses Cache-Verhalten entsprechen, signierte URLs verwenden.

AWS-Konto-Ziffern

Wenn Sie signierte URLs mit zusätzlichen AWS-Konten zum aktuellen Konto bzw. mit anderen als dem aktuellen Konto erstellen möchten, geben Sie eine AWS-Konto–Nummer pro Zeile in diesem Feld ein. Beachten Sie Folgendes:

  • Die von Ihnen angegebenen Konten müssen über mindestens ein aktives CloudFront-Schlüsselpaar verfügen. Weitere Informationen finden Sie unter Erstellen von Schlüsselpaaren für Ihre Aussteller.

  • Da Sie für IAM-Benutzer keine CloudFront-Schlüsselpaare erstellen können, können Sie IAM-Benutzer nicht als vertrauenswürdige Aussteller verwenden.

  • Informationen darüber, wie Sie die AWS-Konto-Nummer für ein Konto abrufen, finden Sie unter IhreAWS-KontoBezeichner in der Allgemeinen Referenz zu Amazon Web Services.

  • Wenn Sie die Nummer des aktuellen Kontos eingeben, aktiviert CloudFront automatisch das Kontrollkästchen Self (Selbst) und entfernt die Kontonummer aus der Liste AWS Account Numbers.

Objekte automatisch komprimieren

Wenn Sie möchten, dass CloudFront Dateien bestimmter Typen automatisch komprimiert, wenn Viewer komprimierte Inhalte unterstützen, wählen Sie Yes (Ja) aus. Wenn CloudFront Ihre Inhalte komprimiert, werden Downloads schneller ausgeführt, da die Dateien kleiner sind, und Ihre Webseiten werden schneller für Ihre Benutzer aufgebaut. Weitere Informationen finden Sie unter Bereitstellen von komprimierten Dateien.

CloudFront-Ereignis

Sie können eine Lambda-Funktion ausführen, wenn mindestens eines der folgenden CloudFront-Ereignisse auftritt:

  • Wenn CloudFront eine Anforderung von einem Viewer erhält (Viewer-Anforderung)

  • Bevor CloudFront eine Anfrage an den Ursprung weiterleitet (Ursprungsanfrage)

  • Wenn CloudFront eine Antwort vom Ursprung erhält (Ursprungsantwort)

  • Bevor CloudFront die Antwort an den Viewer zurückgibt (Viewer-Antwort)

Weitere Informationen finden Sie unter Beschreibung einer Methode zur Entscheidung, welches CloudFront-Ereignis verwendet werden soll, um eine Lambda@Edge-Funktion auszulösen..

ARN der Lambda-Funktion

Geben Sie den Amazon-Ressourcennamen (ARN) der Lambda-Funktion an, für die Sie einen Auslöser hinzufügen möchten. Informationen zum Abrufen des ARN für eine Funktion finden Sie in Schritt 1 des Verfahrens Hinzufügen von Auslösern über die CloudFront-Konsole.

Distribution Settings (Einstellungen für die Verteilung)

Die folgenden Werte gelten für die gesamte Verteilung.

Preisklasse

Wählen Sie die Preisklasse aus, die dem Höchstpreis entspricht, den Sie für den CloudFront-Service zahlen möchten. Standardmäßig stellt CloudFront Ihre Objekte von Edge-Standorten in allen CloudFront-Regionen bereit.

Weitere Informationen zu Preisklassen und dazu, wie sich die gewählte Preisklasse auf die CloudFront-Leistung für Ihre Verteilung auswirkt, finden Sie unter Auswählen der Preisklasse für eine CloudFront-Verteilung. Weitere Informationen zu CloudFront-Preisen, einschließlich dazu, wie Preisklassen CloudFront-Regionen zugeordnet werden, finden Sie unter Amazon CloudFront-Preise.

AWS WAF-Web-ACL

Wenn Sie AWS WAF verwenden möchten, um Anfragen auf der Grundlage Ihrer eigenen Kriterien zuzulassen oder zu blockieren, wählen Sie die Web-ACL aus, die dieser Verteilung zugewiesen werden soll.

AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP- und HTTPS-Anfragen überwachen können, die an CloudFront weitergeleitet werden, und den Zugriff auf Ihre Inhalte steuern können. Basierend auf den von Ihnen angegebenen Bedingungen wie zum Beispiel den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, reagiert CloudFront auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Statuscode 403 (Forbidden). Sie können CloudFront auch so konfigurieren, das eine benutzerdefinierte Fehlerseite zurückgegeben wird, wenn eine Anforderung blockiert wird. Weitere Informationen über AWS WAF finden Sie im AWS WAF-Entwicklerhandbuch.

Alternative Domänennamen (CNAMEs)

Optional. Geben Sie einen oder mehrere Domänennamen an, die Sie anstelle des Domänennamens, den CloudFront Ihrer Verteilung während der Erstellung zuweist, als URLs für Ihre Objekte verwenden möchten. Sie müssen der Inhaber des Domänennamens sein oder zu dessen Verwendung autorisiert sein. Sie bestätigen dies, indem Sie ein SSL-/TLS-Zertifikat hinzufügen.

Wenn beispielsweise die URL für das Objekt:

/images/image.jpg

wie folgt angezeigt werden soll:

http://www.example.com/images/image.jpg

und nicht wie folgt:

http://d111111abcdef8.cloudfront.net/images/image.jpg

fügen Sie einen CNAME für www.example.com hinzu.

Wichtig

Wenn Sie einen CNAME für www.example.com zu Ihrer Verteilung hinzufügen, müssen Sie auch die folgenden Schritte ausführen:

  • Erstellen (oder aktualisieren) Sie einen CNAME-Datensatz für Ihren DNS-Service, um Abfragen für www.example.com an d111111abcdef8.cloudfront.net weiterzuleiten.

  • Fügen Sie CloudFront ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) hinzu, das den von Ihnen der Verteilung hinzugefügten Domänennamen (CNAME) abdeckt, um Ihre Berechtigung zur Verwendung des Domänennamens zu bestätigen.

Sie müssen die Berechtigung besitzen, beim DNS-Dienstanbieter für die Domäne einen CNAME-Datensatz zu erstellen. Das bedeutet in der Regel, dass Sie der Besitzer der Domäne sind oder Anwendungen für den Besitzer der Domäne entwickeln.

Informationen zur aktuell gültigen maximalen Anzahl von alternativen Domänennamen, die Sie einer Verteilung hinzufügen können, oder zum Anfordern eines höheren Kontingents (früher als Limit bezeichnet) finden Sie unter Allgemeine Kontingente für Verteilungen.

Weitere Informationen zu alternativen Domänennamen finden Sie unter Verwenden von benutzerdefinierten URLs durch Hinzufügen von alternativne Domänennamen (CNAMEs). Weitere Informationen zu CloudFront-URLs finden Sie unter Anpassen des URL-Formats für Dateien in CloudFront.

SSL-Zertifikat

Wenn Sie einen alternativen Domänennamen angegeben haben, der für Ihre Verteilung verwendet werden soll, wählen Sie Custom SSL Certificate (Benutzerdefiniertes SSL-Zertifikat) und anschließend ein Zertifikat aus, das diesen Domänennamen abdeckt, um Ihre Berechtigung zur Verwendung des alternativen Domänennamens zu bestätigen. Wenn Sie möchten, dass Viewer HTTPS für den Zugriff auf Ihre Objekte verwenden, wählen Sie die entsprechende Einstellung aus.

Anmerkung

Bevor Sie ein benutzerdefiniertes SSL-Zertifikat angeben können, müssen Sie einen gültigen alternativen Domänennamen angeben. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen und Verwenden alternativer Domänennamen in Verbindung mit HTTPS.

  • CloudFront-Standardzertifikat (*.cloudfront.net) – Wählen Sie diese Option aus, wenn Sie den CloudFront-Domänennamen in den URLs für Ihre Objekte verwenden möchten, z. B. https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Benutzerdefiniertes SSL-Zertifikate – Wählen Sie diese Option aus, wenn Sie in den URLs für Ihre Objekte Ihren eigenen Domänennamen als alternativen Domänennamen verwenden möchten, z. B. https://example.com/image1.jpg. Wählen Sie anschließend ein Zertifikat aus, das den alternativen Domänennamen abdeckt. Die Liste der Zertifikate kann folgende Arten von Zertifikaten enthalten:

    • Zertifikate von AWS Certificate Manager

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zu ACM hochgeladen haben

    • Zertifikate, die Sie von einer externen Zertifizierungsstelle erworben und zum IAM-Zertifikatspeicher hochgeladen haben

    Bei Auswahl dieser Einstellung sollten Sie nur einen alternativen Domänennamen in Ihren Objekt-URLs (https://example.com/logo.jpg) verwenden. Wenn Sie den Domänennamen Ihrer CloudFront-Verteilung (https://d111111abcdef8.cloudfront.net/logo.jpg) verwenden und ein Client einen älteren Viewer verwendet, der SNI nicht unterstützt, ist die Reaktion des Viewers von dem Wert abhängig, den Sie in Clients Supported (Unterstützte Clients) auswählen:

    • All Clients (Alle Clients): Der Viewer zeigt eine Warnung an, da der CloudFront -Domänenname nicht dem Domänennamen im SSL/TLS-Zertifikat entspricht.

    • Only Clients that Support Server Name Indication (SNI) (Nur Clients, die Server Name Indication (SNI) unterstützen): CloudFront trennt die Verbindung mit dem Viewer, ohne das Objekt zurückzugeben.

Benutzerdefinierte SSL-Clientunterstützung

Wenn Sie mindestens einen alternativen Domänennamen und ein benutzerdefiniertes SSL-Zertifikat für die Verteilung angegeben haben, wählen Sie die Art aus, wie CloudFront HTTPS-Anforderungen bereitstellen soll:

  • Clients that Support Server Name Indication (SNI) - (Recommended) (Clients, die SNI (Server Name Indication) unterstützen – (Empfohlen)): Mit dieser Einstellung können nahezu alle modernen Webbrowser und Clients eine Verbindung zur Verteilung herstellen, da sie SNI unterstützen. Einige Viewer verwenden jedoch möglicherweise ältere Webbrowser oder Clients, die SNI nicht unterstützen, was bedeutet, dass sie keine Verbindung zur Verteilung herstellen können.

    Um diese Einstellung über die CloudFront-API anzuwenden, geben Sie im Feld SSLSupportMethod sni-only an. In AWS CloudFormation wird das Feld SslSupportMethod genannt (Beachten Sie die geänderte Groß-/Kleinschreibung).

  • Legacy Clients Support (Unterstützung für ältere Clients): Mit dieser Einstellung können ältere Webbrowser und Clients, die SNI nicht unterstützen, eine Verbindung zur Distribution herstellen. Für diese Einstellung fallen jedoch zusätzliche monatliche Gebühren an. Den genauen Preis finden Sie auf der Seite Amazon CloudFront-Preise. Suchen Sie dort nach Dedicated IP custom SSL (Dedizierte benutzerdefiniertes IP-SSL).

    Um diese Einstellung über die CloudFront-API anzuwenden, geben Sie im Feld SSLSupportMethod vip an. In AWS CloudFormation wird das Feld SslSupportMethod genannt (Beachten Sie die geänderte Groß-/Kleinschreibung).

Weitere Informationen finden Sie unter Festlegen der Art der Bedienung von HTTPS-Anforderungen durch CloudFront.

Sicherheitsrichtlinie

Geben Sie die Sicherheitsrichtlinie an, die CloudFront für HTTPS-Verbindungen mit Viewern (Clients) verwenden soll. Eine Sicherheitsrichtlinie bestimmt zwei Einstellungen:

  • Das minimale SSL/TLS-Protokoll, dass CloudFront verwendet, um mit den Viewern zu kommunizieren.

  • Die Verschlüsselungen, die CloudFront zum Verschlüsseln des Inhalts verwenden kann, der an die Viewer zurückgegeben wird.

Weitere Informationen zu den Sicherheitsrichtlinien einschließlich der jeweils enthaltenen Protokolle und Verschlüsselungen finden Sie unter Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront.

Welche Sicherheitsrichtlinien verfügbar sind, ist von den Werten abhängig, die Sie für SSL Certificate (SSL-Zertifikat) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) (in der CloudFront-API als CloudFrontDefaultCertificate und SSLSupportMethod bezeichnet) festlegen:

  • Wenn SSL Certificate (SSL-Zertifikat) auf Default CloudFront Certificate (*.cloudfront.net) (CloudFront-Standardzertifikat (*.cloudfront.net) festgelegt ist (wenn CloudFrontDefaultCertificate in der API auf true festgelegt ist), legt CloudFront die Sicherheitsrichtlinie automatisch auf TLSv1 fest.

  • Wenn SSL Certificate (SSL-Zertifikat) auf Custom SSL Certificate (example.com) (Benutzerdefiniertes SSL-Zertifikat (example.com)) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) auf Clients that Support Server Name Indication (SNI) - (Recommended) (Clients, die Server Name Indication (SNI) unterstützen – (empfohlen)) eingestellt ist (wenn CloudFrontDefaultCertificate in der API auf false und SSLSupportMethod auf sni-only festgelegt ist), können Sie aus den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Wenn SSL Certificate (SSL-Zertifikat) auf Custom SSL Certificate (example.com) (Benutzerdefiniertes SSL-Zertifikat (example.com)) und Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) auf Legacy Clients Support (Unterstützung für Legacy-Clients) eingestellt ist (wenn CloudFrontDefaultCertificate in der API auf false und SSLSupportMethod auf vip festgelegt ist), können Sie aus den folgenden Sicherheitsrichtlinien auswählen:

    • TLSv1

    • SSLv3

    In dieser Konfiguration sind die Sicherheitsrichtlinien TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, und TLSv1_2016 in der CloudFront-Konsole oder -API nicht verfügbar. Wenn Sie eine dieser Sicherheitsrichtlinien verwenden möchten, stehen Ihnen folgende Optionen zur Verfügung:

    • Prüfen Sie, ob Ihre Verteilung Unterstützung für Legacy-Clients mit dedizierten IP-Adressen benötigt. Wenn Ihre Viewer Server Name Indication (SNI) unterstützen, empfehlen wir, die Einstellung Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung) Ihrer Verteilung auf Clients that Support Server Name Indication (SNI) (Clients, die Server Name Indication (SNI) unterstützen) zu aktualisieren (SSLSupportMethod in der API auf sni-only einzustellen). Auf diese Weise können Sie alle verfügbaren TLS-Sicherheitsrichtlinien verwenden und Ihre CloudFront-Gebühren senken.

    • Wenn Sie für dedizierte IP-Adressen weiter ältere Clients unterstützen müssen, können Sie eine der anderen TLS-Sicherheitsrichtlinien anfordern (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 oder TLSv1_2016), indem Sie im AWS Support Center einen Fall erstellen.

      Anmerkung

      Bevor Sie sich an den AWS Support wenden, um diese Änderung anzufordern, sollten Sie Folgendes beachten:

      • Wenn Sie eine dieser Sicherheitsrichtlinien (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 oder TLSv1_2016) zu einer Legacy Clients Support-Verteilung hinzufügen, wird die Sicherheitsrichtlinie auf alle Nicht-SNI-Viewer-Anfragen für alle Verteilungen mit Unterstützung für Legacy-Clients in Ihrem AWS-Konto angewendet. Wenn Viewer jedoch SNI-Anforderungen an eine Verteilung mit Unterstützung für Legacy-Clients senden, gilt die Sicherheitsrichtlinie dieser Verteilung. Um sicherzustellen, dass Ihre gewünschte Sicherheitsrichtlinie auf alle Viewer-Anfragen angewendet wird, die an alle Legacy Clients Support-Verteilungen in Ihrem AWS-Konto gesendet werden, fügen Sie jeder Verteilung einzeln die gewünschte Sicherheitsrichtlinie hinzu.

      • Per Definition unterstützt die neue Sicherheitsrichtlinie nicht dieselben Verschlüsselungen und Protokolle wie die alte. Wenn Sie beispielsweise die Sicherheitsrichtlinie einer Verteilung von TLSv1 auf TLSv1.1_2016 aktualisieren möchten, unterstützt diese Verteilung die DES-CBC3-SHA-Verschlüsselung nicht mehr. Weitere Informationen zu den Verschlüsselungen und Protokollen, die von den einzelnen Sicherheitsrichtlinien unterstützt werden, finden Sie unter Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront.

Unterstützte HTTP-Versionen

Wählen Sie die HTTP-Versionen aus, die Ihre Verteilung unterstützen soll, wenn Viewer mit CloudFront kommunizieren. Die Viewer müssen TLS 1.2 oder höher und SNI (Server Name Identification) unterstützen, damit die Viewer und CloudFront HTTP/2 verwenden können.

Im Allgemeinen kann die Latenz verringert werden, wenn CloudFront für die Kommunikation mit Viewern über HTTP/2 konfiguriert ist. Sie können die Leistung verbessern, indem die Kommunikation für HTTP/2 optimieren. Weitere Informationen finden Sie im Internet, wenn Sie nach Stichwörtern wie „http/2 Optimierung“ suchen.

Standardstammobjekt

Optional. Das Objekt, das CloudFront vom Ursprung anfordern soll (z. B. index.html), wenn ein Viewer die Stamm-URL für Ihre Verteilung (http://www.example.com/) statt eines Objekts in Ihrer Verteilung (http://www.example.com/product-description.html) anfordert. Durch die Festlegung eines Angeben eines Standardstammobjekt wird vermieden, dass die Inhalte Ihrer Verteilung preisgegeben werden.

Die maximale Länge des Namens beträgt 255 Zeichen. Der Name kann folgende Zeichen enthalten:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • & (übergeben und zurückgegeben als &)

Geben Sie bei der Angabe des Standardstammobjekts nur den Objektnamen ein, z. B. index.html. Fügen Sie keinen / vor dem Objektnamen hinzu.

Weitere Informationen finden Sie unter Angeben eines Standardstammobjekts.

Protokollierung

Gibt an, ob CloudFront Informationen zu einzelnen Anfragen für ein Objekt protokollieren und die Protokolldateien in einem Amazon S3-Bucket speichern soll. Sie können die Protokollierung jederzeit aktivieren oder deaktivieren. Es fallen keine zusätzlichen Kosten für die Aktivierung der Protokollierung an. Es werden Ihnen jedoch die gewöhnlichen Amazon S3-Gebühren für das Speichern von Dateien und den Zugriff auf diese in einem Amazon S3-Bucket berechnet. Sie können die Protokolle jederzeit löschen. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Bucket für Protokolle

Wenn Sie in Logging (Protokollierung) den Wert On (Ein) ausgewählt haben, der Amazon S3-Bucket, in dem CloudFront Zugriffsprotokolle speichern soll, z. B. myLogs-DOC-EXAMPLE-BUCKET.s3.amazonaws.com.

Anmerkung

Wählen Sie keinen Amazon-S3-Bucket in einer der folgenden Regionen aus, da CloudFront in diesen Regionen keine Standardprotokolle für Buckets bereitgestellt werden:

  • Afrika (Kapstadt)  af-south-1

  • Asien-Pazifik (Hongkong) ap-east-1

  • Asien-Pazifik (Jakarta)  ap-southeast-3

  • Europa (Mailand) eu-south-1

  • Naher Osten (Bahrain) me-south-1

Wenn Sie die Protokollierung aktivieren, erfasst CloudFront Informationen zu allen Endbenutzeranfragen für ein Objekt und speichert die Dateien im angegebenen Amazon S3-Bucket. Sie können die Protokollierung jederzeit aktivieren oder deaktivieren. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Anmerkung

Sie müssen die entsprechenden Berechtigungen besitzen, um Amazon S3-Bucket-ACLs abrufen und aktualisieren zu können. Außerdem muss die S3-ACL für den Bucket Ihnen FULL_CONTROL gewähren. So kann CloudFront dem Konto awsdatafeeds die Berechtigung zum Speichern von Protokolldateien im Bucket erteilen. Weitere Informationen finden Sie unter Für die Konfiguration der Protokollierung und den Zugriff auf Ihre Protokolldateien erforderliche Berechtigungen.

Protokollpräfix

Optional. Wenn Sie in Logging (Protokollierung) On (Ein) ausgewählt haben, geben Sie die Zeichenfolge an, wenn zutreffend, die CloudFront den Dateinamen von Zugriffsprotokollen für diese Verteilung als Präfix voranstellen soll, z. B. exampleprefix/. Der abschließende Schrägstrich (/) ist optional, jedoch empfohlen, um das Durchsuchen Ihrer Protokolldateien zu vereinfachen. Weitere Informationen zu CloudFront-Zugriffsprotokollen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Protokollierung von Cookies

Wenn CloudFront Cookies in die Zugriffsprotokolle Cookies einfügen soll, wählen Sie On (Ein) aus. Wenn Cookies in Protokolle eingeführt werden sollen, protokolliert CloudFront alle Cookies unabhängig davon, wie Sie die Cache-Verhaltensweisen für diese Verteilung konfiguriert haben: alle Cookies, keine Cookies oder eine angegebene Liste von Cookies an den Ursprung weiterleiten.

Amazon S3 verarbeitet keine Cookies. Wenn Ihre Verteilung keinen Amazon EC2- oder einen anderen benutzerdefinierten Ursprung enthält, sollten Sie daher Off (Aus) als Wert in Cookie Logging (Cookie-Protokollierung) auswählen.

Weitere Informationen zu Cookies erhalten Sie unter Zwischenspeichern von Inhalten auf der Grundlage von Cookies.

IPv6 aktivieren

IPv6 ist eine neue Version des IP-Protokolls. Es ist der abschließende Ersatz für IPv4 und verwendet einen größeren Adressraum. CloudFront antwortet stets auf IPv4-Anforderungen. Wenn CloudFront auf Anforderungen von IPv4-Adressen (z. B. 192.0.2.44) und IPv6-Adressen antworten soll (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334), wählen Sie Enable IPv6 (IPv6 aktivieren) aus.

Im Allgemeinen sollten Sie IPv6 aktivieren, wenn Sie Benutzer haben, die über IPv6-Netzwerke auf Ihre Inhalte zugreifen möchten. Wenn Sie jedoch signierte URLs oder signierte Cookies verwenden, um den Zugriff auf Ihre Inhalte einzuschränken, und wenn Sie eine benutzerdefinierte Richtlinie mit dem IpAddress-Parameter verwenden, um die IP-Adressen einzuschränken, die auf Ihre Inhalte zugreifen können, dann aktivieren Sie IPv6 nicht. Wenn Sie den Zugriff auf bestimmte Inhalte nach IP-Adresse einschränken und den Zugriff auf andere Inhalte nicht einschränken möchten (oder den Zugriff einschränken möchten, jedoch nicht nach IP-Adresse), können Sie zwei Verteilungen erstellen. Informationen zum Erstellen von signierten URLs mit einer benutzerdefinierten Richtlinie finden Sie unter Erstellen einer signierten URL mit einer benutzerdefinierten Richtlinie. Informationen zum Erstellen von signierten Cookies mit einer benutzerdefinierten Richtlinie finden Sie unter Einrichten signierter Cookies mit einer benutzerdefinierten Richtlinie.

Wenn Sie einen Route 53-Alias-Ressourcendatensatz verwenden, um Datenverkehr zu Ihrer CloudFront-Verteilung zu leiten, müssen Sie einen zweiten Alias-Ressourcendatensatz erstellen, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Sie aktivieren IPv6 für die Verteilung

  • Sie verwenden alternative Domänennamen in den URLs für Ihre Objekte

Weitere Informationen finden Sie unter Weiterleiten des Datenverkehrs an eine Amazon CloudFront-Verteilung über den Namen Ihrer Domäne im Entwicklerhandbuch zu Amazon Route 53.

Wenn Sie einen CNAME-Ressourcendatensatz über Route 53 oder einen anderen DNS-Service erstellt haben, müssen Sie keine Änderungen ausführen. Ein CNAME-Datensatz leitet den Datenverkehr unabhängig von dem IP-Adressformat der Viewer-Anforderung an Ihre Verteilung weiter.

Wenn Sie IPv6 und CloudFront-Zugriffsprotokolle aktivieren, enthält die Spalte c-ip Werte im IPv4- und IPv6-Format. Weitere Informationen finden Sie unter Konfigurieren und Verwenden von Standardprotokollen (Zugriffsprotokolle).

Anmerkung

Um eine stets hohe Verfügbarkeit für Kunden sicherzustellen, antwortet CloudFront auf Viewer-Anforderungen über IPv4, wenn unsere Daten darauf hinweisen, dass IPv4 eine bessere Benutzerumgebung bereitstellen wird. Um zu erfahren, welchen Prozentsatz der Anforderungen CloudFront über IPv6 bereitstellt, aktivieren Sie die CloudFront-Protokollierung für Ihre Verteilung und analysieren die Spalte c-ip. Diese Spalte enthält die IP-Adresse des Viewers, der die Anforderung gesendet hat. Dieser Prozentsatz sollte mit der Zeit höher werden, wird jedoch weiterhin nur einen kleinen Teil des Datenverkehrs umfassen, da IPv6 noch nicht von allen Viewer-Netzwerken weltweit unterstützt wird. Einige Viewer-Netzwerke verfügen über hervorragende IPv6-Unterstützung, aber andere unterstützen IPv6 jedoch überhaupt nicht. (Ein Viewer-Netzwerk ist mit dem Betreiber Ihres stationären Internets bzw. Ihrem Mobilfunkbetreiber vergleichbar.)

Weitere Informationen zu unserer Unterstützung für IPv6 finden Sie in Häufig gestellte Fragen zu CloudFront. Informationen zur Aktivierung von Zugriffsprotokollen finden Sie in der Beschreibung der Felder Protokollierung, Bucket für Protokolle und Protokollpräfix.

Kommentar

Optional. Wenn Sie eine Verteilung erstellen, können Sie einen Kommentar mit einer Länge von bis zu 128 Zeichen einfügen. Sie können den Kommentar jederzeit aktualisieren.

Status der Verteilung

Gibt an, ob die Verteilung nach der Bereitstellung aktiv oder inaktiv sein soll:

  • Enabled bedeutet, dass Sie sofort Links mit dem Domänennamen der Verteilung verwenden können und dass Benutzer die Inhalte darüber abrufen können, sobald die Verteilung vollständig bereitsteht. Wenn eine Verteilung aktiviert ist, akzeptiert und verarbeitet CloudFront alle Anforderungen von Endbenutzern für Inhalte, die den mit dieser Verteilung verbundenen Domänennamen verwenden.

    Wenn Sie eine CloudFront-Verteilung erstellen, ändern oder löschen, dauert es eine Weile, bis die Änderungen die CloudFront-Datenbank erreichen. Bei einer unmittelbaren Anfrage für Informationen zu einer Verteilung wird die Änderung möglicherweise nicht angezeigt. Die Weiterleitung wird in der Regel innerhalb weniger Minuten abgeschlossen. Dieser Zeitraum kann sich bei einer hohen Zeitauslastung oder Netzwerkpartition jedoch verlängern.

  • Disabled bedeutet, dass die Verteilung möglicherweise bereitgestellt und betriebsbereit ist, aber Benutzer sie noch nicht verwenden können. Wenn eine Verteilung deaktiviert ist, akzeptiert und verarbeitet CloudFront keine Anforderungen von Endbenutzern, die den mit dieser Verteilung verbundenen Domänennamen verwenden. Die Verteilung kann erst verwendet werden, wenn Sie den Status von Deaktiviert zu Aktiviert ändern (indem Sie die Konfiguration der Verteilung aktualisieren).

Sie können in Bezug auf den Status einer Verteilung so oft zwischen Deaktiviert und Aktiviert wechseln, wie Sie möchten. Führen Sie die Schritte zum Aktualisieren der Konfiguration einer Verteilung aus. Weitere Informationen finden Sie unter Aktualisieren einer Verteilung.

Benutzerdefinierte Fehlerseiten und Zwischenspeicherung von Fehlern

Sie können CloudFront für die Rückgabe eines Objekts an den Viewer konfigurieren (z. B. eine HTML-Datei), wenn Ihr Amazon S3- oder benutzerdefinierter Ursprung den HTTP-Statuscode 4xx oder 5xx an CloudFront zurückgibt. Sie können auch angeben, wie lange eine Fehlerantwort aus dem Ursprung oder einer benutzerdefinierten Fehlerseite in CloudFront-Edge-Caches zwischengespeichert werden soll. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Fehlerseite für bestimmte HTTP-Statuscodes.

Anmerkung

Die folgenden Werte sind im Assistenten zum Erstellen von Verteilungen nicht enthalten, deshalb können Sie benutzerdefinierte Fehlerseiten nur konfigurieren, wenn Sie eine Verteilung aktualisieren.

HTTP-Fehlercode

Der HTTP-Statuscode, für den CloudFront eine benutzerdefinierte Fehlerseite zurückgeben soll. Sie können CloudFront für die Rückgabe benutzerdefinierter Fehlerseiten für keinen, einige oder alle HTTP-Statuscodes konfigurieren, die von CloudFront zwischengespeichert werden.

Mindest-TTL für die Zwischenspeicherung von Fehlern (Sekunden)

Der Mindestzeitraum, über den CloudFront Fehlerantworten des Ursprungs-Servers zwischenspeichern soll.

Pfad zur Antwortseite

Der Pfad zur benutzerdefinierten Fehlerseite (z. B. /4xx-errors/403-forbidden.html), die CloudFront an einen Viewer zurückgeben soll, wenn der Ursprung den HTTP-Statuscode zurückgibt, den Sie in Error Code (Fehlercode) angegeben haben (z. B. 403). Wenn Sie Ihre Objekte und Ihre benutzerdefinierten Fehlerseiten an verschiedenen Orten speichern möchten, muss Ihre Verteilung ein Cache-Verhalten mit den folgenden Eigenschaften enthalten:

  • Der Wert von Path Pattern stimmt mit dem Pfad zu Ihren benutzerdefinierten Fehlermeldungen überein. Angenommen, Sie haben benutzerdefinierte Fehlerseiten für 4xx-Fehler in einem Amazon S3-Bucket in einem Verzeichnis mit dem Namen gespeicher /4xx-errors. Ihre Verteilung muss ein Cache-Verhalten beinhalten, für welches das Pfadmuster Anfragen für Ihre benutzerdefinierten Fehlerseiten an diesen Ort weiterleitet, z. B. /4xx-errors/*.

  • Der Wert von Origin legt den Wert von Origin ID für den Ursprung fest, der Ihre benutzerdefinierten Fehlerseiten enthält.

HTTP-Antwortcode

Der HTTP-Statuscode, den CloudFront zusammen mit der benutzerdefinierten Fehlerseite an den Viewer zurückgibt.

Einschränkungen

Wenn Sie verhindern müssen, dass Benutzer aus ausgewählten Ländern auf Ihre Inhalte zugreifen, können Sie die CloudFront-Verteilung so konfigurieren, dass sie Benutzern aus Ländern, die sich auf einer Whitelist befinden, den Zugriff auf Ihre Inhalte gewährt, oder so, dass sie Benutzern aus Ländern, die sich auf einer Sperrliste befinden, den Zugriff auf Ihre Inhalte verweigert. Weitere Informationen finden Sie unter Einschränken der geografischen Verteilung von Inhalt.

Anmerkung

Die folgenden Werte sind im Assistenten zum Erstellen von Verteilungen nicht enthalten, deshalb können Sie geografische Einschränkungen nur konfigurieren, wenn Sie eine Verteilung aktualisieren.

Geografische Einschränkungen aktivieren

Legen Sie fest, ob Sie Benutzern in bestimmten Ländern den Zugriff auf Ihre Inhalte verweigern möchten. Es fallen keine zusätzlichen Kosten für die Konfiguration von geografischen Einschränkungen an.

Art der Einschränkung

Legen Sie fest, wie Sie die Länder angeben möchten, aus denen der Zugriff auf Ihre Inhalte möglich ist:

  • Whitelist: Die Liste Countries enthält alle Länder, aus denen der Zugriff auf Ihre Inhalte möglich sein soll.

  • Sperrliste: Die Liste Countries enthält alle Länder, aus denen der Zugriff auf Ihre Inhalte nicht möglich sein soll.

Länder

Die Länder, die Sie zu Ihrer Whitelist oder zu Ihrer Sperrliste hinzufügen möchten. Um ein Land hinzuzufügen, wählen Sie es links in der Liste aus und wählen Sie Add aus. Beachten Sie Folgendes:

  • Um mehrere aufeinanderfolgende Länder hinzuzufügen, wählen Sie das erste Land aus, halten Sie die Umschalttaste gedrückt, wählen Sie das letzte Land aus und klicken Sie auf Add.

  • Um mehrere nicht aufeinanderfolgende Länder hinzuzufügen, wählen Sie das erste Land aus, halten Sie die Strg-Taste gedrückt, wählen Sie die weiteren Länder aus und klicken Sie auf Add.

  • Um ein Land in der linken Liste zu suchen, geben Sie die ersten Buchstaben des vollständigen Ländernamens ein.

  • Der zweistellige Code vor dem Namen der einzelnen Länder ist der Wert, den Sie eingeben, wenn Sie eine Verteilung über die CloudFront-API erstellen oder aktualisieren möchten. Wir verwenden Ländercodes entsprechend dem ISO-Standard. Eine benutzerfreundliche Liste der Ländercodes, die nach Code und Ländername sortiert werden kann, finden Sie im Wikipedia-Eintrag ISO 3166-1 alpha-2.