Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME) - Amazon CloudFront
Requisitos para el uso de nombres de dominio alternativosRestricciones de uso de nombres de dominio alternativos

Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME)

Al crear una distribución, CloudFront le proporciona un nombre de dominio, como d111111abcdef8.cloudfront.net. En lugar de utilizar este nombre de dominio proporcionado, puede utilizar un nombre de dominio alternativo (también conocido como CNAME).

Para usar su propio nombre de dominio, como www.example.com, consulte los siguientes temas:

Temas

Requisitos para el uso de nombres de dominio alternativos

Cuando agrega un nombre de dominio alternativo, como www.example.com, a una distribución de CloudFront, los requisitos son los siguientes:

Los nombres de dominio alternativos deben estar en minúsculas

Todos los nombres de dominio alternativos (CNAME) deben estar en minúsculas.

Se debe haber emitido un certificado TLS válido para los nombres de dominio alternativo

Para agregar un nombre de dominio alternativo (CNAME) a una distribución de CloudFront, debe asociar a la distribución un certificado TLS válido de confianza que haya sido emitido para el nombre de dominio alternativo. De este modo, se garantiza que solo las personas con acceso al certificado del dominio pueden asociar a CloudFront un CNAME relacionado con el dominio.

Un certificado de confianza es el que emite AWS Certificate Manager (ACM) u otra entidad de certificación (CA) válida. Puede utilizar un certificado autofirmado para validar un CNAME existente, pero no para un CNAME nuevo. CloudFront admite las mismas entidades de certificación que Mozilla. Para consultar la lista actualizada, visite Mozilla Included CA Certificate List. Para obtener más información sobre los certificados intermedios cuando utiliza una CA de terceros, consulte Certificados intermedios.

Para verificar un nombre de dominio alternativo mediante el certificado que se asocia, incluidos los nombres de dominio alternativos que incluyen comodines, CloudFront comprueba el nombre alternativo de asunto (SAN) en el certificado. El nombre de dominio alternativo que va a añadir debe estar incluido en el SAN.

nota

Solo puede haber un certificado asociado a una distribución de CloudFront en cada momento.

Para demostrar que tiene autorización para añadir un nombre de dominio alternativo a la distribución, realice una de las operaciones siguientes:

  • Adjuntar un certificado que incluya el nombre de dominio alternativo, tal como nombre-producto.ejemplo.com.

  • Asociar un certificado con un carácter comodín * al principio de un nombre de dominio, para que incluya varios subdominios en un certificado. Si especifica un carácter comodín, puede agregar varios subdominios como nombres de dominio alternativos a CloudFront.

Los siguientes ejemplos ilustran cómo el uso de caracteres comodín en los nombres de dominio de un certificado sirven para permitirle que agregue otros nombres de dominio alternativos específicos a CloudFront.

  • Desea añadir marketing.ejemplo.com como nombre de dominio alternativo. El certificado incluye el siguiente nombre de dominio: *ejemplo.com. Cuando adjunta este certificado a CloudFront, puede añadir cualquier nombre de dominio alternativo a la distribución que sustituya el carácter comodín en ese nivel, incluyendo marketing.ejemplo.com. También puede, por ejemplo, añadir los siguientes nombres de dominio alternativos:

    • producto.ejemplo.com

    • api.example.com

    Sin embargo, no se puede añadir otros nombres de dominio que estén en niveles superiores o inferiores al carácter comodín. Por ejemplo, no puede añadir los nombres de dominio alternativos ejemplo.com ni marketing.producto.ejemplo.com.

  • Desea añadir ejemplo.com como nombre de dominio alternativo. Para ello, debe incluir el nombre de dominio ejemplo.com en el certificado adjuntado a su distribución.

  • Desea añadir marketing.producto.ejemplo.com como nombre de dominio alternativo. Para ello, puede incluir *.producto.ejemplo.com en el certificado, o puede incluir marketing.producto.ejemplo.com en el certificado.

Permiso para cambiar la configuración de DNS

Cuando añade nombres de dominio alternativos, debe crear registros CNAME para enrutar las consultas de DNS de los nombres de dominio alternativos a su distribución de CloudFront. Para ello, debe tener permiso para crear registros CNAME en el proveedor de servicios de DNS para los nombres de dominio alternativos que está utilizando. Por lo general, esto indicará que es el propietario de los dominios, aunque también puede estar desarrollando una aplicación para el propietario del dominio.

Nombres de dominio alternativos y HTTPS

Si desea que los espectadores utilicen HTTPS con un nombre de dominio alternativo, debe configurar ajustes adicionales. Para obtener más información, consulte Uso de nombres de dominio alternativos y HTTPS.

Restricciones de uso de nombres de dominio alternativos

Tome en cuenta las siguientes restricciones de uso de nombres de dominio alternativos:

Cantidad máxima de nombres de dominio alternativos

Para obtener el número máximo actual de nombres de dominio alternativos que puede agregar a una distribución o solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.

Nombres de dominio alternativos superpuestos y duplicados

No puede agregar un nombre de dominio alternativo a una distribución de CloudFront si ese mismo nombre de dominio alternativo ya existe en otra distribución de CloudFront, incluso si la Cuenta de AWS es la propietaria de la otra distribución.

Sin embargo, puede añadir un nombre de dominio alternativo comodín como, por ejemplo *.ejemplo.com, que incluya (que se superponga) un nombre de dominio alternativo no comodín, como por ejemplo www.ejemplo.com. Si tiene nombres de dominio alternativos superpuestos en dos distribuciones, CloudFront envía la solicitud a la distribución que tiene la coincidencia de nombre más específica, independientemente de la distribución a la que apunta el registro DNS. Por ejemplo, marketing.dominio.com es más específico que *.dominio.com.

Si ya tiene una entrada DNS comodín que apunta a una distribución de CloudFront y recibe un error de DNS configurado incorrectamente al intentar agregar un nuevo CNAME con un nombre más específico, consulte CloudFront devuelve un error de registro DNS mal configurado al intentar agregar un nuevo CNAME.

Domain Fronting

CloudFront tiene protección contra el domain fronting que se produce en diferentes Cuenta de AWS. Esto se produce cuando un cliente no estándar crea una conexión TLS/SSL con un nombre de dominio de una Cuenta de AWS y, a continuación, realiza una solicitud HTTPS para un nombre de dominio no relacionado de otra Cuenta de AWS.

Por ejemplo, la conexión TLS puede conectarse a www.example.com y, a continuación, emitir una solicitud a www.example.org.

Para determinar si una solicitud es domain fronting, CloudFront realiza las siguientes comprobaciones:

  • La extensión SNI es igual al encabezado del Host de la solicitud HTTP

  • El certificado pertenece a la misma Cuenta de AWS que la distribución de la solicitud

  • El Host de la solicitud HTTP está cubierto por el certificado que se entrega durante el establecimiento de comunicación TLS

Si no se cumple ninguna de estas condiciones, CloudFront determina que la solicitud es domain fronting. CloudFront rechazará la solicitud con una respuesta de error HTTP 421.

nota

Si el cliente no proporciona la extensión SNI y, en su lugar, obtiene un certificado *.cloudfront.net predeterminado, CloudFront aceptará las solicitudes entrantes.

Cómo identifica CloudFront la distribución de una solicitud

CloudFront identifica la distribución de una solicitud HTTP en función del encabezado del Host. CloudFront no depende de la dirección IP de CloudFront a la que se conecte ni del establecimiento de comunicación de SNI que se haya proporcionado durante el establecimiento de comunicación de TLS.

Cuando CloudFront recibe una solicitud, utilizará el valor del encabezado del Host para hacer coincidir la solicitud con la distribución específica.

Por ejemplo, supongamos que tiene dos distribuciones y que ha actualizado la configuración de DNS para que los nombres de dominio alternativos se dirijan a los siguientes puntos de conexión:

  • primary.example.com apunta a d111111primary.cloudfront.net

  • secondary.example.com apunta a d222222secondary.cloudfront.net

Si realiza una solicitud a https://primary.example.com pero especifica el encabezado del Host como secondary.example.com, por ejemplo curl https://primary.example.com -H "Host: secondary.example.com", la solicitud se dirigirá a la distribución secundaria en su lugar.

Agregar un nombre de dominio alternativo en el nodo principal (ápex de zona) para un dominio

Al agregar un nombre de dominio alternativo a una distribución, normalmente debe crear un registro CNAME en su configuración de DNS para dirigir las consultas de DNS del nombre de dominio a su distribución de CloudFront. Sin embargo, no puede crear un registro CNAME para el nodo superior de un espacio de nombres de DNS, también conocido como ápex de zona; el protocolo de DNS no lo permite. Por ejemplo, si registra el nombre DNS ejemplo.zom, el ápex de zona será ejemplo.com. No puede crear un registro CNAME para ejemplo.com, pero puede crear registros CNAME para www.ejemplo.com, productonuevo.ejemplo.com, etc.

Si utiliza Route 53 como servicio de DNS, puede crear un conjunto de registros de recursos de alias, que tiene dos ventajas con respecto a los registros CNAME:

  • Puede crear un conjunto de registros de recursos de alias para un nombre de dominio en el nodo principal (example.com).

  • Puede crear un registro HTTPS para un nombre de dominio alternativo a fin de permitir la negociación del protocolo como parte de la búsqueda DNS si el cliente lo admite. Para obtener más información, consulte Create alias resource record set.

  • No paga por las consultas de Route 53 cuando utiliza un conjunto de registros de recursos de alias.

nota

Si habilita IPv6, debe crear dos conjuntos de registros de recursos de alias: uno para dirigir el tráfico IPv4 (un registro A) y otro para dirigir el tráfico IPv6 (un registro AAAA). Para obtener más información, consulte Habilitar IPv6 en el tema Referencia de toda la configuración de distribución.

Para obtener más información, consulte Direccionamiento del tráfico a una distribución web de Amazon CloudFront mediante el nombre de dominio en la Guía para desarrolladores de Amazon Route 53.

Si no utiliza Route 53 para el DNS, puede solicitar direcciones IP estáticas de anycast para enrutar dominios apex como example.com a CloudFront. Para obtener más información, consulte Solicitud de direcciones IP estáticas de anycast para utilizarlas en las listas de permitidos.