Valores que deben especificarse al crear o actualizar una distribución - Amazon CloudFront
Configuración de origenConfiguración del comportamiento de la cachéAjustes de la distribuciónPáginas de error personalizadas y almacenamiento de errores en cachéRestricciones geográficas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Valores que deben especificarse al crear o actualizar una distribución

Al utilizar la CloudFrontconsola para crear una nueva distribución o actualizar una distribución existente, se especifican los siguientes valores:

Configuración de origen

Configuración del comportamiento de la caché

Los siguientes valores se aplican a la Configuración predeterminada de comportamiento de caché cuando se crea una distribución. También se aplican a otros comportamientos de caché que cree más adelante.

Los siguientes valores se aplican a las Asociaciones de funciones Lambda.

Ajustes de la distribución

Páginas de error personalizadas y almacenamiento de errores en caché

Restricciones geográficas

Para obtener más información acerca de cómo crear o actualizar una distribución utilizando la consola de CloudFront, consulte Creación de una distribución o Actualización de una distribución.

Configuración de origen

Cuando utiliza la CloudFront consola para crear o actualizar una distribución, proporciona información sobre una o más ubicaciones, conocidas como orígenes, en las que almacena las versiones originales del contenido web. CloudFront obtiene el contenido web de sus orígenes y lo muestra a los espectadores a través de una red mundial de servidores perimetrales.

Para obtener información sobre el número máximo actual de orígenes que puede crear para una distribución o para solicitar una cuota más alta, consulte Cuotas generales de distribuciones.

Si desea eliminar un origen, primero debe editar o eliminar los comportamientos de la caché que están asociados con dicho origen.

importante

Si elimina un origen, confirme que los archivos que se han servido anteriormente a ese origen estén disponibles en otro origen y que los comportamientos de la caché ya estén direccionando las solicitudes para dichos archivos al nuevo origen.

Al crear o actualizar una distribución deberá especificar los siguientes valores para cada origen.

Dominio de origen

El dominio de origen es el nombre de dominio DNS del bucket o servidor HTTP de Amazon S3 del que CloudFront desea obtener objetos para este origen, por ejemplo:

  • Bucket de Amazon S3DOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com

    nota

    Si ha creado recientemente el bucket de S3, la CloudFront distribución puede devolver HTTP 307 Temporary Redirect respuestas durante un máximo de 24 horas. El nombre del bucket de S3 puede tardar hasta 24 horas en propagarse a todas las regiones de AWS. Cuando se complete la propagación, la distribución deja de enviar automáticamente estas respuestas de redirección; no es necesario que realice ninguna acción. Para obtener más información, consulte ¿Por qué recibo una respuesta de redirección temporal HTTP 307 de Amazon S3? y Redirección temporal de solicitudes.

  • Bucket de Amazon S3 configurado como un sitio webDOC-EXAMPLE-BUCKET.s3-website.us-west-2.amazonaws.com

  • MediaStore contenedorexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage punto finalexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Instancia Amazon EC2ec2-203-0-113-25.compute-1.amazonaws.com

  • Balanceador de carga Elastic Load Balancingexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Su propio servidor webhttps://www.example.com

Elija el nombre de dominio en el campo Origin domain (Dominio de origen) o escriba el nombre. El nombre de dominio no distingue entre mayúsculas y minúsculas.

Si su origen es un bucket de Amazon S3, tenga en cuenta lo siguiente:

  • Si el bucket está configurado como sitio web, ingrese el punto de conexión de alojamiento de sitios web estáticos de Amazon S3 del bucket. No seleccione el nombre del bucket en la lista del campo Origin domain (Dominio de origen). Este punto de conexión de alojamiento del sitio web aparecerá en la consola de Amazon S3 en la página Properties (Propiedades), en Static Website Hosting (Alojamiento de sitio web estático). Para obtener más información, consulte Uso de un bucket de Amazon S3 configurado como punto de conexión del sitio web.

  • Si ha configurado Amazon S3 Transfer Acceleration en su bucket, no especifique el punto de conexión s3-accelerate para Origin domain (Dominio de origen).

  • Si utiliza un bucket de otra cuenta de AWS y el bucket no está configurado como un sitio web, escriba el nombre en el siguiente formato:

    bucket-name.s3.region.amazonaws.com

    Si su bucket se encuentra en una región de EE. UU. y desea que Amazon S3 direccione las solicitudes a una instalación en el norte de Virginia, utilice el siguiente formato:

    bucket-name.s3.us-east-1.amazonaws.com

  • Los archivos deben poder leerse públicamente, a menos que proteja su contenido en Amazon S3 mediante un control de acceso de CloudFront origen. Para obtener más información sobre el control de acceso, consulte Restricción del acceso a un origen de Amazon S3.

importante

Si el origen es un bucket de Amazon S3, el nombre del bucket debe cumplir los requisitos de nomenclatura de DNS. Para obtener más información, consulte Restricciones y limitaciones de buckets en la Guía del usuario de Amazon Simple Storage Service.

Al cambiar el valor del dominio de Origin por un origen, comienza CloudFront inmediatamente a replicar el cambio en las ubicaciones de los CloudFront bordes. Hasta que la configuración de distribución se actualice en una ubicación de borde determinada, CloudFront continúa reenviando las solicitudes al origen anterior. En cuanto la configuración de distribución se actualiza en esa ubicación de borde, CloudFront comienza a reenviar las solicitudes al nuevo origen.

Para cambiar el origen no es necesario volver CloudFront a llenar las cachés de borde con objetos del nuevo origen. Mientras las solicitudes de visualización de su aplicación no hayan cambiado, CloudFront seguirá publicando los objetos que ya están en una caché perimetral hasta que caduque el TTL de cada objeto o hasta que se desalojen los objetos poco solicitados.

Ruta de origen

Si CloudFront desea solicitar el contenido de un directorio de su origen, introduzca la ruta del directorio empezando por una barra inclinada (/). CloudFront añade la ruta del directorio al valor del dominio de Origin, por ejemplo,. cf-origin.example.com/production/images No añada una barra inclinada (/) al final de la ruta.

Por ejemplo, suponga que ha especificado los siguientes valores para su distribución:

  • Origin domain (Dominio de origen): un bucket de Amazon S3 llamado DOC-EXAMPLE-BUCKET

  • Origin path (Ruta de origen): /production

  • Alternate domain names (CNAME) (Nombres de dominio alternativos (CNAME)): example.com

Cuando un usuario entra example.com/index.html en un navegador, CloudFront envía una solicitud a Amazon S3 paraDOC-EXAMPLE-BUCKET/production/index.html.

Cuando un usuario entra example.com/acme/index.html en un navegador, CloudFront envía una solicitud a Amazon S3 paraDOC-EXAMPLE-BUCKET/production/acme/index.html.

Nombre

Un nombre es una cadena que identifica de forma exclusiva este origen en esta distribución. Si crea comportamientos de caché además del comportamiento de caché predeterminado, utilizará el nombre que especifique aquí para identificar el origen al que desea CloudFront enrutar una solicitud cuando la solicitud coincida con el patrón de ruta de ese comportamiento de caché.

Agregar encabezado personalizado

Si quieres CloudFront añadir encabezados personalizados cada vez que envíe una solicitud a tu origen, especifica el nombre del encabezado y su valor. Para obtener más información, consulte Agregar encabezados personalizados a solicitudes de origen.

Para ver la cantidad máxima actual de encabezados personalizados que puede agregar, la longitud máxima de los nombres de encabezado personalizados y sus valores, y la longitud máxima total de todos los nombres y valores de encabezados, consulte Cuotas.

Habilitar Origin Shield

Selecciona para activar CloudFront Origin Shield. Para obtener más información sobre Origin Shield, consulte Uso de Amazon CloudFront Origin Shield.

Intentos de conexión

Puedes establecer el número de veces que CloudFront intentará conectarse al origen. Puede especificar 1, 2 o 3 como el número de intentos. El número predeterminado (si no especifica lo contrario) es 3.

Use esta configuración junto con el tiempo de espera de la conexión para especificar cuánto tiempo se CloudFront espera antes de intentar conectarse al origen secundario o de que el espectador reciba una respuesta de error. De forma predeterminada, CloudFront espera hasta 30 segundos (3 intentos de 10 segundos cada uno) antes de intentar conectarse al origen secundario o devolver una respuesta de error. Puede reducir este tiempo si especifica menos intentos, un tiempo de espera de conexión más corto o ambas opciones.

Si se produce un error en el número especificado de intentos de conexión, CloudFront realice una de las siguientes acciones:

  • Si el origen forma parte de un grupo de orígenes, CloudFront intenta conectarse al origen secundario. Si el número especificado de intentos de conexión al origen secundario fallan, CloudFront devuelve una respuesta de error al espectador.

  • Si el origen no forma parte de un grupo de orígenes, CloudFront devuelve una respuesta de error al espectador.

Para un origen personalizado (incluido un bucket de Amazon S3 configurado con alojamiento de sitios web estáticos), esta configuración también especifica el número de veces que se CloudFront intenta obtener una respuesta del origen. Para obtener más información, consulte Tiempo de espera de respuesta (solo orígenes personalizados).

Tiempo de espera de conexión

El tiempo de espera de la conexión es el número de segundos que se CloudFront espera al intentar establecer una conexión con el origen. Puede especificar un número de segundos entre 1 y 10 (ambos inclusive). El tiempo de espera predeterminado (si no especifica lo contrario) es de 10 segundos.

Use esta configuración junto con los intentos de conexión para especificar cuánto tiempo debe CloudFront esperar antes de intentar conectarse al origen secundario o antes de que el espectador reciba una respuesta de error. De forma predeterminada, CloudFront espera hasta 30 segundos (3 intentos de 10 segundos cada uno) antes de intentar conectarse al origen secundario o devolver una respuesta de error. Puede reducir este tiempo si especifica menos intentos, un tiempo de espera de conexión más corto o ambas opciones.

Si CloudFront no establece una conexión con el origen en el número de segundos especificado, CloudFront realice una de las siguientes acciones:

  • Si el número especificado de intentos de conexión es superior a 1, vuelve a CloudFront intentar establecer una conexión. CloudFront lo intenta hasta 3 veces, según lo determine el valor de los intentos de conexión.

  • Si todos los intentos de conexión fallan y el origen forma parte de un grupo de origen, CloudFront intenta conectarse al origen secundario. Si el número especificado de intentos de conexión al origen secundario fallan, CloudFront devuelve una respuesta de error al espectador.

  • Si todos los intentos de conexión fallan y el origen no forma parte de un grupo de origen, CloudFront devuelve una respuesta de error al espectador.

Tiempo de espera de respuesta (solo orígenes personalizados)

nota

Esto solo se aplica a los orígenes personalizados.

El tiempo de espera de respuesta del origen, también conocido como tiempo de espera de lectura de origen y tiempo de espera de solicitud de origen, se aplica a los dos valores siguientes:

  • Cuánto tiempo (en segundos) se CloudFront espera una respuesta después de reenviar una solicitud al origen.

  • Cuánto tiempo (en segundos) se CloudFront espera después de recibir un paquete de una respuesta del origen y antes de recibir el siguiente paquete.

El tiempo de espera predeterminado es de 30 segundos. Puede cambiar el valor para que sea de 1 a 60 segundos. Si necesita un valor de tiempo de espera fuera de ese rango, cree un caso en. AWS Support Center Console

sugerencia

Si desea aumentar el valor de tiempo de espera porque los lectores están experimentando errores de código de estado HTTP 504, considere la posibilidad de explorar otras formas de eliminar dichos errores antes de cambiar el valor del tiempo de espera. Consulte las sugerencias de resolución de problemas en Código de estado HTTP 504 (Tiempo de espera de puerta de enlace agotado).

CloudFront el comportamiento depende del método HTTP de la solicitud del espectador:

  • GETy HEAD solicitudes: si el origen no responde o deja de responder dentro del tiempo de espera de la respuesta, CloudFront se interrumpe la conexión. CloudFront intenta conectarse de nuevo según el valor deIntentos de conexión.

  • DELETE,OPTIONS, PATCHPUT, y POST solicitudes: si el origen no responde durante el tiempo de espera de lectura, interrumpe CloudFront la conexión y no vuelve a intentar contactar con el origen. El cliente puede volver a enviar la solicitud en caso de que sea necesario.

Tiempo de espera de keep-alive (solo orígenes personalizados)

nota

Esto solo se aplica a los orígenes personalizados.

El tiempo de espera de permanencia es el tiempo (en segundos) que se CloudFront intenta mantener una conexión con tu origen personalizado después de recibir el último paquete de una respuesta. Garantizar una conexión persistente ahorra el tiempo necesario para restablecer la conexión TCP y realizar otro protocolo de enlace TLS para solicitudes posteriores. Aumentar el tiempo de espera de mantenimiento ayuda a mejorar la métrica de las distribuciones. request-per-connection

nota

Para que el valor de Keep-alive timeout (Tiempo de espera de keep-alive) tenga efecto, el origen debe estar configurado para permitir las conexiones persistentes.

El tiempo de espera predeterminado es de 5 segundos. Puede cambiar el valor a un número comprendido entre 1 y 60 segundos. Si necesita un tiempo de espera de mantenimiento de más de 60 segundos, cree un caso en el. AWS Support Center Console

Acceso de origen (solo orígenes de Amazon S3)

nota

Esto solo se aplica a los orígenes del bucket de Amazon S3 (aquellos que no utilizan el punto de enlace del sitio web estático de S3).

Elige la configuración de control de acceso de Origin (recomendada) si quieres que sea posible restringir el acceso al origen de un bucket de Amazon S3 solo a CloudFront distribuciones específicas.

Elija Public (Público) si el origen del bucket de Amazon S3 es de acceso público.

Para obtener más información, consulte Restricción del acceso a un origen de Amazon S3.

Para obtener información sobre cómo exigir a los usuarios que accedan a los objetos de un origen personalizado utilizando únicamente CloudFront direcciones URL, consulte. Restricción del acceso a archivos en orígenes personalizados

Protocolo (solo orígenes personalizados)

nota

Esto solo se aplica a los orígenes personalizados.

La política de protocolo que desea utilizar CloudFront al recuperar objetos de su origen.

Elija uno de los valores siguientes:

  • Solo HTTP: CloudFront usa solo HTTP para acceder al origen.

    importante

    HTTP Only (Solo HTTP): es la configuración predeterminada cuando el origen es un punto de conexión de alojamiento de sitio web estático de Amazon S3, ya que Amazon S3 no admite conexiones HTTPS para puntos de conexión de alojamiento de sitio web estático. La CloudFront consola no admite el cambio de esta configuración para los puntos de enlace de alojamiento de sitios web estáticos de Amazon S3.

  • Solo HTTPS: CloudFront usa solo HTTPS para acceder al origen.

  • Visor de CloudFront coincidencias: se comunica con tu origen mediante HTTP o HTTPS, según el protocolo de la solicitud del espectador. CloudFront almacena en caché el objeto solo una vez, incluso si los espectadores realizan solicitudes utilizando los protocolos HTTP y HTTPS.

    importante

    En el caso de las solicitudes del visor HTTPS que CloudFront se reenvían a este origen, uno de los nombres de dominio del certificado SSL/TLS de tu servidor de origen debe coincidir con el nombre de dominio que especifiques para el dominio de Origin. De lo contrario, CloudFront responde a las solicitudes del espectador con un código de estado HTTP 502 (puerta de enlace incorrecta) en lugar de devolver el objeto solicitado. Para obtener más información, consulte Requisitos para usar certificados SSL/TLS con CloudFront.

Puerto HTTP

nota

Esto solo se aplica a los orígenes personalizados.

(Opcional) Puede especificar el puerto HTTP en el que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 80.

importante

El puerto 80 es la configuración predeterminada cuando el origen es un punto de enlace de alojamiento de sitio web estático de Amazon S3, ya que Amazon S3 solo admite el puerto 80 para los puntos de enlace de alojamiento de sitio web estático. La CloudFront consola no admite el cambio de esta configuración para los puntos de enlace de alojamiento de sitios web estáticos de Amazon S3.

Puerto HTTPS

nota

Esto solo se aplica a los orígenes personalizados.

(Opcional) Puede especificar el puerto HTTPS en el que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 443. Cuando Protocol (Protocolo) se establece en HTTP only (Solo HTTP), no puede especificar un valor para HTTPS port (Puerto HTTPS).

Protocolo SSL mínimo del origen

nota

Esto solo se aplica a los orígenes personalizados.

Elija el protocolo TLS/SSL mínimo que CloudFront puede utilizar cuando establezca una conexión HTTPS con su origen. Los protocolos TLS inferiores son menos seguros, por lo que le recomendamos que elija el protocolo TLS más reciente que admita el origen. Cuando Protocol (Protocolo) se establece en HTTP only (Solo HTTP), no puede especificar un valor para Minimum origin SSL protocol (Protocolo SSL de origen mínimo).

Si utilizas la CloudFront API para configurar el protocolo TLS/SSL que vas CloudFront a utilizar, no podrás establecer un protocolo mínimo. En su lugar, especificas todos los protocolos TLS/SSL que CloudFront puedes usar con tu origen. Para obtener más información, consulta OriginSslProtocolsla referencia de la CloudFront API de Amazon.

Configuración del comportamiento de la caché

Al configurar el comportamiento de la caché, puede configurar una variedad de CloudFront funciones para un patrón de ruta de URL determinado para los archivos de su sitio web. Por ejemplo, un comportamiento de la caché puede ser aplicable a todos los archivos .jpg del directorio images de un servidor web que se esté utilizando como servidor de origen para CloudFront. La funcionalidad que puede definir para cada comportamiento de la caché incluye:

  • El patrón de ruta.

  • Si has configurado varios orígenes para tu CloudFront distribución, ¿cuál es el origen al que quieres CloudFront reenviar tus solicitudes

  • Si enviar cadenas de consulta a su origen.

  • Si acceder a los archivos especificados requiere URL firmadas.

  • Si exigir a los usuarios que utilicen HTTPS para obtener acceso a los archivos.

  • El tiempo mínimo que esos archivos permanecen en la CloudFront memoria caché, independientemente del valor de Cache-Control los encabezados que el origen añada a los archivos

Al crear una nueva distribución, debe especificar la configuración del comportamiento de la caché predeterminado, que reenvía automáticamente todas las solicitudes al origen que especifique al crear la distribución. Después de crear una distribución, puede crear comportamientos de caché adicionales que definan cómo CloudFront responde cuando recibe una solicitud de objetos que coinciden con un patrón de ruta, por ejemplo. *.jpg Si crea más comportamientos de la caché, el predeterminado será siempre el último en procesarse. Otros comportamientos de la caché se procesan en el orden en que aparecen en la CloudFront consola o, si utilizas la CloudFront API, en el orden en que aparecen en el DistributionConfig elemento de la distribución. Para obtener más información, consulte Patrón de ruta.

Al crear un comportamiento de caché, se especifica el origen del que se quieren CloudFront obtener los objetos. Por lo tanto, si CloudFront desea distribuir objetos de todos sus orígenes, debe tener al menos tantos comportamientos de caché (incluido el comportamiento de caché predeterminado) como orígenes. Por ejemplo, si tiene dos orígenes y solo el comportamiento de caché predeterminado, el comportamiento predeterminado de la caché hace CloudFront que se obtengan objetos de uno de los orígenes, pero el otro origen nunca se utilizará.

Para obtener información sobre el número máximo actual de comportamientos de la caché que puede agregar a una distribución o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.

Patrón de ruta

El patrón de ruta (por ejemplo, images/*.jpg) que especifica a qué solicitudes desea que sea aplicable este comportamiento de la caché. Cuando CloudFront recibe una solicitud del usuario final, la ruta solicitada se compara con los patrones de ruta en el orden en que aparecen los comportamientos de la caché en la distribución. La primera coincidencia determina el comportamiento de la caché que se aplicará a dicha solicitud. Por ejemplo, suponga que tiene tres comportamientos de la caché con los siguientes tres patrones de ruta, en este orden:

  • images/*.jpg

  • images/*

  • *.gif

nota

Si lo desea, puede incluir una barra inclinada (/) al principio del patrón de ruta, por ejemplo. /images/*.jpg CloudFront el comportamiento es el mismo con o sin la letra /inicial. Si no especificas/al principio de la ruta, este carácter queda implícito automáticamente; CloudFront trata la ruta de la misma manera con o sin la /inicial. Por ejemplo, CloudFront trata lo /*product.jpg mismo que *product.jpg

Una solicitud del archivo images/sample.gif no satisface el primer patrón de ruta, por lo que los comportamientos de la caché asociados no se aplicarán a la solicitud. El archivo satisface el segundo patrón de ruta, por lo que los comportamientos de la caché asociados al segundo patrón de ruta se aplican a pesar de que la solicitud también coincide con el tercer patrón de ruta.

nota

Al crear una nueva distribución, el valor de Path Pattern (Patrón de ruta) del comportamiento de la caché predeterminado se establece como * (todos los archivos) y no puede modificarse. Este valor hace CloudFront que todas las solicitudes de sus objetos se reenvíen al origen que especificó en el Dominio de origen campo. Si la solicitud de un objeto no coincide con el patrón de ruta de ninguno de los demás comportamientos de la caché, CloudFront aplica el comportamiento que especifique en el comportamiento de la caché predeterminado.

importante

Defina los patrones de ruta y su orden detenidamente para evitar que los usuarios puedan acceder a contenido al que no desea otorgar acceso. Supongamos que una solicitud coincide con el patrón de ruta de dos comportamientos de la caché. El primer comportamiento de la caché no requiere URL firmadas ni cookies firmadas y el segundo requiere URL firmadas. Los usuarios pueden acceder a los objetos sin utilizar una URL firmada porque CloudFront procesa el comportamiento de la caché asociado a la primera coincidencia.

Si trabajas con un MediaPackage canal, debes incluir patrones de ruta específicos para el comportamiento de la caché que definas para el tipo de punto final de tu origen. Por ejemplo, en el caso de un punto de enlace DASH, debería escribir *.mpd para Path Pattern (Patrón de ruta). Para obtener más información e instrucciones específicas, consulte Distribución de video en directo formateado con AWS Elemental MediaPackage.

La ruta que especifique se aplica a las solicitudes de todos los archivos del directorio especificado y de los subdirectorios situados debajo del directorio especificado. CloudFront no tiene en cuenta las cadenas de consulta ni las cookies al evaluar el patrón de ruta. Por ejemplo, si un directorio images contiene subdirectorios product1 y product2, el patrón de ruta images/*.jpg resulta aplicable a las solicitudes de cualquier archivo .jpg en los directorios images, images/product1y images/product2. Si desea aplicar un comportamiento de la caché a los archivos del directorio images/product1 que sea distinto al comportamiento a aplicar a los archivos de los directorios images y images/product2, cree un comportamiento de la caché independiente para images/product1 y muévalo a la posición superior (previa) a la del comportamiento de la caché para el directorio images.

Puede utilizar los siguientes caracteres comodín en el patrón de ruta:

  • * coincide con 0 o más caracteres.

  • ? coincide exactamente con 1 carácter.

Los siguientes ejemplos muestran cómo funcionan los caracteres comodín:

Patrón de ruta Archivos que coinciden con el patrón de ruta

*.jpg

Todos los archivos .jpg.

images/*.jpg

Todos los archivos .jpg del directorio images y de los subdirectorios de images.

a*.jpg

  • Todos los archivos .jpg cuyos nombre de archivo comienzan por a, por ejemplo, apple.jpg y appalachian_trail_2012_05_21.jpg.

  • Todos los archivos .jpg cuyas rutas de archivo comienzan por a, por ejemplo, abra/cadabra/magic.jpg.

a??.jpg

Todos los archivos .jpg cuyos nombres de archivo comienzan por a y que les siguen exactamente dos caracteres, por ejemplo, ant.jpg y abe.jpg.

*.doc*

Todos los archivos cuyas extensiones de nombre de archivo comienzan por .doc, por ejemplo, archivos .doc, .docx y .docm. En este caso no se puede utilizar el patrón de ruta *.doc?, ya que no sería aplicable a las solicitudes de archivos .doc; el comodín ? sustituye exactamente un carácter.

La longitud máxima de un patrón de ruta es 255 caracteres. El valor puede contener cualquiera de los siguientes caracteres:

  • A-Z, a-z

    Los patrones de ruta distinguen entre mayúsculas y minúsculas, por lo que el patrón de ruta *.jpg no sería aplicable al archivo LOGO.JPG.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • &, pasado y devuelto como &

Origen o grupo de origen

Especifique el valor de un origen o grupo de origen existente. Esto identifica el origen o el grupo de orígenes al que desea CloudFront enrutar las solicitudes cuando una solicitud (como https://example.com/logo.jpg) coincide con el patrón de ruta de un comportamiento de la caché (por ejemplo, *.jpg) o con el comportamiento de la caché predeterminado (*).

Política de protocolo para lectores

Elige la política de protocolo que quieres que usen los espectadores para acceder a tu contenido en las ubicaciones CloudFront periféricas:

  • HTTP and HTTPS (HTTP y HTTPS): los espectadores pueden utilizar ambos protocolos.

  • Redirect HTTP to HTTPS (Redireccionamiento de HTTP a HTTPS): los espectadores pueden utilizar ambos protocolos, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS.

  • HTTPS Only (Solo HTTPS): los espectadores solo pueden obtener acceso a su contenido si utilizan HTTPS.

Para obtener más información, consulte Exigir HTTPS para la comunicación entre los espectadores y CloudFront.

Métodos HTTP permitidos

Especifica los métodos HTTP que deseas CloudFront procesar y reenviar a tu origen:

  • GET, HEAD: CloudFront solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.

  • GET, HEAD, OPTIONS: puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: Puedes utilizarlos CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

    nota

    CloudFront almacena en caché las respuestas GET y HEAD solicitudes y, opcionalmente, OPTIONS las solicitudes. Las respuestas a las OPTIONS solicitudes se almacenan en caché por separado de las respuestas GET y HEAD solicitudes (el OPTIONS método se incluye en la clave de caché de OPTIONS las solicitudes). CloudFront no almacena en caché las respuestas a las solicitudes que utilizan otros métodos.

importante

Si elige GET, HEAD, OPTIONS o GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE, seguramente necesite restringir el acceso al bucket de Amazon S3 o a su origen personalizado para que los usuarios no puedan realizar operaciones indeseadas. Los siguientes ejemplos explican cómo restringir el acceso:

  • Si utiliza Amazon S3 como origen para su distribución: cree un control de acceso de CloudFront origen para restringir el acceso a su contenido de Amazon S3 y conceda permisos al control de acceso de origen. Por ejemplo, si configura CloudFront para aceptar y reenviar estos métodos solo porque quiere usarlosPUT, aún debe configurar las políticas de bucket de Amazon S3 para gestionar las DELETE solicitudes de forma adecuada. Para obtener más información, consulte Restricción del acceso a un origen de Amazon S3.

  • Si utiliza un origen personalizado: configure el servidor de origen para gestionar todos los métodos. Por ejemplo, si se configura CloudFront para aceptar y reenviar estos métodos solo porque quiere usarlosPOST, aún debe configurar su servidor de origen para que gestione DELETE las solicitudes de forma adecuada.

Configuración de cifrado de nivel de campo

Si desea aplicar el cifrado en el nivel de campo en campos de datos específicos, elija una configuración de cifrado en el nivel de campo en la lista desplegable.

Para obtener más información, consulte Uso del cifrado en el nivel de campo para ayudar a proteger la información confidencial.

Métodos HTTP almacenados en caché

CloudFront Especifica si deseas almacenar en caché la respuesta de tu origen cuando un espectador envíe una OPTIONS solicitud. CloudFront siempre guarda en caché la respuesta a las solicitudes GET y HEAD las solicitudes.

Caché en función de encabezados de solicitud seleccionados

Especifique si desea almacenar en caché CloudFront los objetos en función de los valores de los encabezados especificados:

  • Ninguno (mejora el almacenamiento en caché): CloudFront no almacena en caché los objetos en función de los valores de los encabezados.

  • Lista de permisos: almacena en CloudFront caché los objetos basándose únicamente en los valores de los encabezados especificados. Utilice los encabezados de Allowlist para elegir los encabezados en los que desea basar el almacenamiento en caché. CloudFront

  • Todos: CloudFront no almacena en caché los objetos que están asociados a este comportamiento de caché. En su lugar, CloudFront envía todas las solicitudes al origen. (No se recomienda para los orígenes de Amazon S3).

Independientemente de la opción que elijas, CloudFront reenvía algunos encabezados a tu origen y realiza acciones específicas en función de los encabezados que reenvíes. Para obtener más información sobre cómo CloudFront gestiona el reenvío de encabezados, consulte. Encabezados y CloudFront comportamiento de las solicitudes HTTP (orígenes personalizados y de Amazon S3)

Para obtener más información sobre cómo configurar el almacenamiento en caché CloudFront mediante encabezados de solicitud, consulte. Almacenamiento en caché de contenido en función de encabezados de solicitud

Encabezados de lista de permitidos

Especifique los encabezados que desee tener en cuenta CloudFront al almacenar en caché los objetos. Seleccione los encabezados en la lista de encabezados disponibles y elija Add (Añadir). Para reenviar un encabezado personalizado, escriba el nombre en el campo y elija Añadir personalizado.

Para obtener información sobre el número máximo actual de encabezados que puede incluir en la lista de permitidos para cada comportamiento de la caché o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas en encabezados.

Almacenamiento de objetos en caché

Si tu servidor de origen añade un Cache-Control encabezado a tus objetos para controlar cuánto tiempo permanecen en la CloudFront caché y si no deseas cambiar el Cache-Control valor, selecciona Usar encabezados de caché de Origin.

Para especificar un tiempo mínimo y máximo durante el que los objetos permanecerán en la CloudFront caché independientemente de Cache-Control los encabezados, y un tiempo predeterminado para que los objetos permanezcan en la CloudFront caché cuando no aparezca el Cache-Control encabezado en un objeto, seleccione Personalizar. A continuación, especifique los valores en los campos Minimum TTL (Tiempo de vida mínimo), Default TTL (Tiempo de vida predeterminado) y Maximum TTL (Tiempo de vida máximo).

Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).

Tiempo de vida mínimo

Especifique el tiempo mínimo, en segundos, que desea que los objetos permanezcan en la CloudFront caché antes de CloudFront enviar otra solicitud al origen para determinar si el objeto se ha actualizado.

Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).

Tiempo de vida máximo

Especifique el tiempo máximo, en segundos, que desea que los objetos permanezcan en las CloudFront cachés antes de CloudFront consultar su origen para comprobar si el objeto se ha actualizado. El valor que especifique en Maximum TTL (Tiempo de vida máximo) será aplicable solo cuando el origen personalizado añada encabezados HTTP como Cache-Control max-age, Cache-Control s-maxage o Expires a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).

Para especificar un valor en Maximum TTL (Tiempo de vida máximo), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).

El valor predeterminado de Maximum TTL (Tiempo de vida máximo) es 31 536 000 segundos (un año). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) o de Default TTL (Tiempo de vida predeterminado) a más de 31 536 000 segundos, el valor predeterminado de Maximum TTL (Tiempo de vida máximo) cambia al valor Default TTL (Tiempo de vida predeterminado).

Tiempo de vida (TTL) predeterminado

Especifique el tiempo predeterminado, en segundos, que desea que los objetos permanezcan en las CloudFront cachés antes de enviar otra CloudFront solicitud a su origen para determinar si el objeto se ha actualizado. El valor que especifique en Default TTL (Periodo de vida predeterminado) es aplicable solo cuando el origen no agrega encabezados HTTP como Cache-Control max-age, Cache-Control s-maxage o Expires a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).

Para especificar un valor en Default TTL (Tiempo de vida predeterminado), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).

El valor predeterminado de Default TTL (Tiempo de vida predeterminado) es 86 400 segundos (un día). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) a más de 86 400 segundos, el valor predeterminado de Default TTL (Tiempo de vida predeterminado) cambia al valor Minimum TTL (Tiempo de vida mínimo).

Reenvío de cookies

nota

Para los orígenes de Amazon S3, esta opción solo se aplica a los buckets configurados como punto de conexión del sitio web.

Especifique si desea CloudFront reenviar las cookies a su servidor de origen y, de ser así, cuáles. Si decide reenviar únicamente unas cookies determinadas (las contenidas en una lista de permitidos de cookies), escriba sus nombres en el campo Lista de permitidos de cookies. Si elige All (Todas), CloudFront reenvía todas las cookies independientemente de la cantidad que utilice la aplicación.

Amazon S3 no procesa las cookies y reenviar cookies al origen reduce la capacidad de la caché. Para comportamientos de la caché que reenvíen solicitudes a un origen de Amazon S3, elija Ninguna en Reenviar cookies.

Para obtener más información acerca del reenvío de cookies al origen, visite Almacenamiento en caché de contenido en función de cookies.

Cookies de lista de permitidos

nota

Para los orígenes de Amazon S3, esta opción solo se aplica a los buckets configurados como punto de conexión del sitio web.

Si seleccionó Lista de cookies permitidas en la lista de cookies de reenvío y, a continuación, en el campo Cookies de la lista de cookies que desea reenviar CloudFront a su servidor de origen para este comportamiento de caché. Escriba una cookie por línea.

Puede especificar los siguientes comodines para especificar nombres de cookies:

  • * coincide con 0 más caracteres en el nombre de la cookie.

  • ? coincide exactamente con un carácter en el nombre de la cookie

Por ejemplo, supongamos que las solicitudes de un objeto enviadas por un espectador incluyen una cookie con el nombre:

userid_member-number

Donde el valor de member-number es único para cada usuario. Desea CloudFront almacenar en caché una versión independiente del objeto para cada miembro. Para ello, puedes reenviar todas las cookies a tu origen, pero las solicitudes de los espectadores incluyen algunas cookies que no CloudFront deseas almacenar en caché. Como alternativa, puedes especificar el siguiente valor como nombre de cookie, lo que hace CloudFront que se reenvíen al origen todas las cookies que comiencen por: userid_

userid_*

Para obtener información sobre el número máximo actual de nombres de cookies que puede incluir en la lista de permitidos para cada comportamiento de la caché o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas en cookies (configuración de caché heredada).

Reenvío de cadenas de consulta y almacenamiento en caché

CloudFront puede almacenar en caché diferentes versiones del contenido en función de los valores de los parámetros de la cadena de consulta. Elija una de las siguientes opciones:

Ninguno (mejora el almacenamiento en caché)

Seleccione esta opción si el origen devuelve la misma versión de un objeto independientemente de los valores de los parámetros de las cadenas de consulta. Esto aumenta la probabilidad de que CloudFront pueda atender una solicitud desde la caché, lo que mejora el rendimiento y reduce la carga en el origen.

Reenviar todo y caché basada en lista de permitidos

Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos en función de uno o más parámetros de cadenas de consulta. A continuación, especifique los parámetros que desee CloudFront utilizar como base para el almacenamiento en caché en el Lista de permitidos de cadenas de consulta campo.

Reenviar todo y almacenar todo en caché

Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos para todos los parámetros de cadenas de consulta.

Para obtener más información acerca del almacenamiento en caché en función de los parámetros de las cadenas de consulta y acerca de formas de mejorar el desempeño, consulte Almacenamiento en caché de contenido en función de parámetros de cadenas de consulta.

Lista de permitidos de cadenas de consulta

Si eligió Reenviar todo, almacenar en caché según la lista de permisosReenvío de cadenas de consulta y almacenamiento en caché, especifique los parámetros de la cadena de consulta que desee CloudFront utilizar como base para el almacenamiento en caché.

Smooth Streaming

Elija Yes (Sí) si desea distribuir archivos multimedia en el formato Microsoft Smooth Streaming y no dispone de un servidor de IIS.

Elija No si tiene un servidor Microsoft IIS que desea utilizar como origen para distribuir archivos multimedia en el formato Microsoft Smooth Streaming, o si no distribuye archivos multimedia Smooth Streaming.

nota

Si especifica Yes (Sí), puede seguir distribuyendo otro tipo de contenido con este comportamiento de la caché si dicho contenido coincide con el valor de Path Pattern (Patrón de ruta).

Para obtener más información, consulte Configuración de video bajo demanda para Microsoft Smooth Streaming.

Restringir el acceso del lector (usar URL firmadas o cookies firmadas)

Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern en este comportamiento de la caché utilicen direcciones URL públicas, elija No.

Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern en este comportamiento de la caché utilicen direcciones URL firmadas, elija Yes (Sí). A continuación, especifique las cuentas de AWS que desea utilizar para crear URL firmadas; a estas cuentas se les conoce como signatarios de confianza.

Para obtener más información acerca de los signatarios de confianza, consulte Especificación de los signatarios que pueden crear URL firmadas y cookies firmadas.

Firmantes de confianza

Seleccione las cuentas de AWS que desea utilizar como signatarios de confianza para este comportamiento de la caché:

  • Self (Automático): utilice la cuenta con la que tiene iniciada sesión en la AWS Management Console como signatario de confianza. Si actualmente su sesión se inició como usuario de IAM, la cuenta de AWS asociada se agrega como signatario de confianza.

  • ‬Specify Accounts (Especificar cuentas)‭: escriba los números de cuenta de los signatarios de confianza en el campo de AWSAccount Numbers (Números de cuenta).

Para crear direcciones URL firmadas, una AWS cuenta debe tener al menos un CloudFront key pair activo.

importante

Si está actualizando una distribución que ya utiliza para distribuir contenido, añada signatarios de confianza solo cuando esté listo para comenzar a generar URL firmadas para los objetos. Después de añadir signatarios de confianza a una distribución, los usuarios deben utilizar las URL firmadas para obtener acceso a los objetos que coincidan con PathPattern para este comportamiento de la caché.

Números de Cuenta de AWS

Si desea crear URL firmadas a través de cuentas de Cuentas de AWS además de, o en lugar de, hacerlo con la cuenta actual, ingrese un número de cuenta de Cuenta de AWS por línea en este campo. Tenga en cuenta lo siguiente:

  • Las cuentas que especifique deben tener al menos un par de claves de CloudFront activas. Para obtener más información, consulte Creación de pares de claves para los signatarios.

  • No puede crear pares de CloudFront claves para los usuarios de IAM, por lo que no puede utilizar a los usuarios de IAM como firmantes de confianza.

  • Para obtener información acerca de cómo crear el número de una Cuenta de AWS para una cuenta, consulte Los identificadores de Cuenta de AWS en la Referencia general de Amazon Web Services.

  • Si introduce el número de cuenta de la cuenta actual, marca CloudFront automáticamente la casilla de verificación Self y elimina el número de cuenta de la lista de números de AWScuenta.

Comprimir objetos automáticamente

Si CloudFront quieres comprimir automáticamente determinados tipos de archivos cuando los espectadores admitan contenido comprimido, selecciona . Cuando CloudFront comprime el contenido, las descargas son más veloces, ya que los archivos son más pequeños y las páginas web se muestran más rápido a sus usuarios. Para obtener más información, consulte Ofrecer archivos comprimidos.

CloudFront evento

Puede elegir ejecutar una función Lambda cuando se produzca uno o más de los siguientes CloudFront eventos:

  • Cuando CloudFront recibe una solicitud de un espectador (solicitud del espectador)

  • Antes CloudFront de reenviar una solicitud al origen (solicitud de origen)

  • Cuándo CloudFront recibe una respuesta del origen (respuesta de origen)

  • Antes CloudFront devuelve la respuesta al espectador (respuesta del espectador)

Para obtener más información, consulte Cómo decidir qué CloudFront evento usar para activar una función Lambda @Edge.

ARN de la función Lambda

Especifique el nombre de recurso de Amazon (ARN) de la función de Lambda para la que desea agregar un desencadenador. Para obtener información sobre cómo obtener el ARN de una función, consulte el paso 1 del procedimiento Añadir activadores mediante la CloudFront consola.

Ajustes de la distribución

Los siguientes valores se aplican a toda la distribución.

Clase de precio

Elija la clase de precio que corresponda al precio máximo que desea pagar por el CloudFront servicio. De forma predeterminada, CloudFront entrega sus objetos desde ubicaciones periféricas en todas CloudFront las regiones.

Para obtener más información sobre las clases de precios y sobre cómo la elección de la clase de precio afecta al CloudFront rendimiento de su distribución, consulteElegir la clase de precio para una CloudFront distribución. Para obtener información sobre CloudFront los precios, incluida la forma en que las clases de precios se asignan a CloudFront las regiones, consulta Amazon CloudFront Pricing.

ACL web de AWS WAF

Puede proteger su CloudFront distribución con AWS WAFun firewall de aplicaciones web que le permite proteger sus aplicaciones web y API para bloquear las solicitudes antes de que lleguen a sus servidores. Puede hacerlo Habilitación de AWS WAF para nuevas distribuciones al crear o editar una CloudFront distribución.

Si lo desea, puede configurar más adelante protecciones de seguridad adicionales para otras amenazas específicas de la aplicación en la consola de AWS WAF en https://console.aws.amazon.com/wafv2/.

Para obtener más información sobre AWS WAF, consulte la Guía para desarrolladores de AWS WAF.

Nombres de dominio alternativos (CNAME)

Opcional. Especifique uno o más nombres de dominio que desee utilizar como URL de sus objetos en lugar del nombre de dominio que se CloudFront asigna al crear la distribución. Debe ser el propietario del nombre de dominio, o tener autorización para utilizarlo, lo que puede demostrar añadiendo un certificado SSL/TLS.

Por ejemplo, si desea que la URL del objeto:

/images/image.jpg

Sea así:

https://www.example.com/images/image.jpg

En lugar de así:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Añada un CNAME para www.example.com.

importante

Si añade un CNAME para www.example.com a la distribución, también debe hacer lo siguiente:

  • Crear o actualizar un registro de CNAME en el servicio de DNS para dirigir las consultas de www.example.com a d111111abcdef8.cloudfront.net.

  • Agregue un certificado CloudFront de una entidad de certificación (CA) de confianza que cubra el nombre de dominio (CNAME) que agregue a su distribución, para validar su autorización para usar el nombre de dominio.

Debe tener permiso para crear un registro CNAME con el proveedor de servicios de DNS para el dominio. Por lo general, esto indica que es el propietario del dominio o que está desarrollando una aplicación para el propietario del dominio.

Para obtener el número máximo actual de nombres de dominio alternativos que puede agregar a una distribución o solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.

Para obtener más información acerca de los nombres de dominio alternativos, consulte Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME). Para obtener más información sobre las CloudFront direcciones URL, consulte. Personalizar el formato de URL de los archivos en CloudFront

Certificado SSL

Si ha especificado un nombre de dominio alternativo para usarlo con la distribución, seleccione Custom SSL Certificate (Certificado SSL personalizado) y, a continuación, para validar su autorización para utilizar el nombre de dominio alternativo, elija un certificado emitido para él. Si desea que los espectadores utilicen HTTPS para obtener acceso a sus objetos, elija el ajuste correspondiente.

nota

Antes de que pueda especificar un certificado SSL personalizado, debe especificar un nombre de dominio alternativo válido. Para obtener más información, consulte Requisitos para el uso de nombres de dominio alternativos y Uso de nombres de dominio alternativos y HTTPS.

  • CloudFront Certificado predeterminado (*.cloudfront.net): elija esta opción si desea utilizar el nombre de CloudFront dominio en las URL de sus objetos, por ejemplo. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Custom SSL Certificate (Certificado SSL personalizado): elija esta opción si desea utilizar su propio nombre de dominio en las URL de sus objetos como nombre de dominio alternativo; por ejemplo https://example.com/image1.jpg. A continuación, elija un certificado que haya sido emitido para el nombre de dominio alternativo. En la lista de certificados puede haber los elementos siguientes:

    • Certificados proporcionados por AWS Certificate Manager

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en ACM

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en el almacén de certificados de IAM

    Si elige esta opción, le recomendamos que utilice solo un nombre de dominio alternativo en las URL de sus objetos (https://example.com/logo.jpg). Si utilizas tu nombre de dominio de CloudFront distribución (https://d111111abcdef8.cloudfront.net/logo.jpg) y un cliente utiliza un visor antiguo que no admite el SNI, la respuesta del espectador dependerá del valor que elijas para Clients Supported:

    • Todos los clientes: el visor muestra una advertencia porque el nombre de CloudFront dominio no coincide con el nombre de dominio de tu certificado SSL/TLS.

    • Solo clientes que admiten la indicación de nombre de servidor (SNI): CloudFront interrumpe la conexión con el visor sin devolver el objeto.

Compatibilidad con clientes SSL personalizados

Si especificó uno o más nombres de dominio alternativos y un certificado SSL personalizado para la distribución, elija cómo quiere CloudFront atender las solicitudes HTTPS:

  • Clientes compatibles con la indicación de nombre de servidor (SNI) - (recomendado): con esta configuración, prácticamente todos los navegadores web y clientes modernos pueden conectarse a la distribución, ya que admiten SNI. Sin embargo, algunos usuarios pueden utilizar navegadores web antiguos o clientes que no admiten SNI, lo que significa que no pueden conectarse a la distribución.

    Para aplicar esta configuración mediante la CloudFront API, especifique sni-only en el SSLSupportMethod campo. En AWS CloudFormation,el campo se denomina SslSupportMethod, (tenga en cuenta el uso de mayúsculas y minúsculas).

  • Compatibilidad con clientes heredados: con esta configuración, los navegadores web antiguos y los clientes que no admiten SNI pueden conectarse a la distribución. Sin embargo, a esta configuración se le aplican cargos mensuales adicionales. Para ver el precio exacto, ve a la página de CloudFrontprecios de Amazon y busca en la página un SSL personalizado con IP dedicada.

    Para aplicar esta configuración mediante la CloudFront API, vip especifícala en el SSLSupportMethod campo. En AWS CloudFormation,el campo se denomina SslSupportMethod, (tenga en cuenta el uso de mayúsculas y minúsculas).

Para obtener más información, consulte Elegir cómo se CloudFront atienden las solicitudes HTTPS.

Política de seguridad

Especifique la política de seguridad que quiere usar CloudFront para las conexiones HTTPS con los espectadores (clientes). Una política de seguridad determina dos ajustes:

  • El protocolo SSL/TLS mínimo que se CloudFront utiliza para comunicarse con los espectadores.

  • Los cifrados que se CloudFront pueden utilizar para cifrar el contenido que se devuelve a los espectadores.

Para obtener más información acerca de las políticas de seguridad, incluidos los protocolos y los cifrados que incluye cada una, consulte Protocolos y cifrados compatibles entre los espectadores y CloudFront.

Las políticas de seguridad disponibles dependen de los valores que especifique para el certificado SSL y el soporte de cliente SSL personalizado (conocido como CloudFrontDefaultCertificate y SSLSupportMethod en la CloudFront API):

  • Cuando el certificado SSL es el CloudFront certificado predeterminado (*.cloudfront.net) (cuando CloudFrontDefaultCertificate está true en la API), establece CloudFront automáticamente la política de seguridad en TLSv1.

  • Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es Clientes que admiten la indicación de nombre de servidor (SNI) (Recomendado) (cuando CloudFrontDefaultCertificate es false y SSLSupportMethod es sni-only en la API), puede elegir entre las siguientes políticas de seguridad:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es el Soporte de clientes heredados (cuando CloudFrontDefaultCertificate es false y SSLSupportMethod es vip en la API), puede elegir entre las siguientes políticas de seguridad:

    • TLSv1

    • SSLv3

    En esta configuración, las políticas de seguridad TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 y TLSv1_2016 no están disponibles en la consola ni en la API. CloudFront Si desea utilizar una de estas políticas de seguridad, tiene las siguientes opciones:

    • Evalúe si su distribución necesita soporte de clientes heredados con direcciones IP dedicadas. Si sus lectores admiten la indicación de nombre de servidor (SNI), recomendamos que actualice la configuración de Soporte de cliente SSL personalizado de su distribución a Clientes que admiten la indicación de nombre de servidor (SNI) (configure SSLSupportMethod como sni-only en la API). Esto le permite utilizar cualquiera de las políticas de seguridad de TLS disponibles y, además, puede reducir los cargos. CloudFront

    • Si tiene que mantener el soporte de clientes heredados con direcciones IP dedicadas, puede solicitar alguna de las otras políticas de seguridad de TLS (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, o TLSv1_2016) mediante la creación de un caso en el Centro de soporte de AWS.

      nota

      Antes de contactar con AWS Support para solicitar este cambio, tenga en cuenta lo siguiente:

      • Cuando agrega una de estas políticas de seguridad (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 o TLSv1_2016) a una distribución de soporte de clientes heredados, la política de seguridad se aplica a todas‭‬ las solicitudes de lector que no sean SNI para todas las distribuciones de soporte de clientes heredados en su cuenta de AWS‬. En cambio, cuando los espectadores envían solicitudes SNI a una distribución con soporte de clientes heredados, se aplica la política de seguridad de dicha distribución. Para asegurarse de que se aplica su política de seguridad deseada a todas las solicitudes de lector enviadas a todas las distribuciones de soporte de clientes heredados en su cuenta de AWS, agregue la política de seguridad deseada a cada distribución individualmente.

      • Por definición, la nueva política de seguridad no admite los mismos cifrados y protocolos que la anterior. Por ejemplo, si decide actualizar la política de seguridad de una distribución de TLSv1 a TLSv1.1_2016, esa distribución ya no admitirá el cifrado DES-CBC3-SHA. Para obtener más información sobre los cifrados y protocolos compatibles con cada política de seguridad, consulte Protocolos y cifrados compatibles entre los espectadores y CloudFront.

Versiones de HTTP compatibles

Elige las versiones HTTP que quieres que admita tu distribución cuando los espectadores se comuniquen con ellas. CloudFront

Para CloudFront que los espectadores utilicen HTTP/2, los espectadores deben ser compatibles con TLSv1.2 o una versión posterior y con la indicación de nombre de servidor (SNI). CloudFront no ofrece soporte nativo para gRPC a través de HTTP/2.

Para CloudFront que los espectadores utilicen HTTP/3, los visores deben ser compatibles con TLSv1.3 y la indicación de nombre de servidor (SNI). CloudFront admite la migración de conexiones HTTP/3 para permitir al espectador cambiar de red sin perder la conexión. Para obtener más información sobre la migración de conexiones, consulte Connection Migration (Migración de conexiones) en RFC 9000.

nota

Para obtener más información acerca de los cifrados TLSv1.3, consulte Protocolos y cifrados compatibles entre los espectadores y CloudFront.

Objeto raíz predeterminado

Opcional. El objeto que CloudFront quieres solicitar desde tu origen (por ejemplo,index.html) cuando un espectador solicita la URL raíz de tu distribución (https://www.example.com/) en lugar de un objeto de tu distribución (https://www.example.com/product-description.html). Especificar un objeto raíz predeterminado evita exponer el contenido de su distribución.

La longitud máxima de un nombre es 255 caracteres. El nombre puede contener cualquiera de los siguientes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, pasado y devuelto como &

Al especificar el objeto raíz predeterminado, escriba únicamente el nombre de objeto, por ejemplo, index.html. No añada / antes del nombre del objeto.

Para obtener más información, consulte Especificar un objeto raíz predeterminado.

Registro

Si CloudFront desea registrar información sobre cada solicitud de un objeto y almacenar los archivos de registro en un bucket de Amazon S3. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. No se aplica ningún cargo adicional si activa los registros, pero se acumulan los cargos típicos de Amazon S3 por almacenar y acceder a los archivos que se encuentren en el bucket de Amazon S3. Puede eliminar los registros en cualquier momento. Para obtener más información acerca de los registros de acceso de CloudFront, consulte Configuración y uso de registros estándar (registros de acceso).

Bucket para registros

Si seleccionó Activar para iniciar sesión, el bucket de Amazon S3 en el que CloudFront desea almacenar los registros de acceso, por ejemplo,myLogs-DOC-EXAMPLE-BUCKET.s3.amazonaws.com.

importante

No elija un depósito de Amazon S3 en ninguna de las siguientes regiones, ya CloudFront que no entrega registros estándar a los depósitos de estas regiones:

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Hyderabad)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Melbourne)

  • Canadá (centro)

  • Europa (Milán)

  • Europa (España)

  • Europa (Zúrich)

  • Israel (Tel Aviv)

  • Medio Oriente (Baréin)

  • Medio Oriente (EAU)

Si habilita el registro, CloudFront registra la información sobre cada solicitud de un objeto por parte del usuario final y almacena los archivos en el bucket de Amazon S3 especificado. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. Para obtener más información acerca de los registros de acceso de CloudFront, consulte Configuración y uso de registros estándar (registros de acceso).

nota

Debe tener los permisos necesarios para obtener y actualizar ACL de buckets de Amazon S3 y la ACL de S3 del bucket debe concederle FULL_CONTROL. Esto permite conceder permiso CloudFront a la awslogsdelivery cuenta para guardar los archivos de registro en el bucket. Para obtener más información, consulte Permisos necesarios para configurar el registro estándar y el acceso a los archivos de registro.

Prefijo de registros

Opcional. Si eligió On (Act.) en Logging (Registro), especifique la cadena, de haberla, a la que CloudFront debe añadir un prefijo para los nombres de archivo de los registros de acceso de esta distribución; por ejemplo, exampleprefix/. La barra inclinada (/) al final es opcional pero recomendable para simplificar la navegación de los archivos de registro. Para obtener más información sobre los registros de CloudFront acceso, consulteConfiguración y uso de registros estándar (registros de acceso).

Registro de cookies

Si CloudFront desea incluir cookies en los registros de acceso, seleccione Activar. Si decide incluir las cookies en los registros, CloudFront registra todas las cookies independientemente de cómo configura los comportamientos de la caché para esta distribución: para reenviar al origen todas las cookies, ninguna o las que se determinen en una lista concreta.

Amazon S3 no procesa las cookies, por lo que, a menos que la distribución también incluya un origen de Amazon EC2 u otro personalizado, le recomendamos que elija el valor Off en Registros de cookies.

Para obtener más información acerca de cookies, visite Almacenamiento en caché de contenido en función de cookies.

Habilitar IPv6

IPv6 es una nueva versión del protocolo IP. Es el sustituto final del IPv4 y utiliza un espacio de direcciones más grande. CloudFront siempre responde a las solicitudes de IPv4. Si desea responder CloudFront a las solicitudes de direcciones IP IPv4 (como 192.0.2.44) y a las solicitudes de direcciones IPv6 (como 2001:0 db 8:85 a3: :8a2e: 0370:7334), seleccione Habilitar IPv6.

En general, debe habilitar IPv6 si tiene usuarios en redes IPv6 que desean obtener acceso a su contenido. Sin embargo, si utiliza URL firmadas o cookies firmadas para restringir el acceso a su contenido además de una política personalizada con el parámetro IpAddress para restringir las direcciones IP que pueden obtener acceso a su contenido, no habilite IPv6. Si desea restringir el acceso a algún contenido por dirección IP pero no restringir otro contenido (o restringir el acceso, pero no por dirección IP), puede crear dos distribuciones. Para obtener información acerca de cómo crear URL firmadas mediante una política personalizada, consulte Creación de una URL firmada mediante una política personalizada. Para obtener información acerca de cómo crear cookies firmadas mediante una política personalizada, consulte Establecer cookies firmadas mediante una política personalizada.

Si utiliza un conjunto de registros de recursos de alias de Route 53 para enrutar el tráfico a su CloudFront distribución, debe crear un segundo conjunto de registros de recursos de alias cuando se cumplan las dos condiciones siguientes:

  • Ha habilitado IPv6 para la distribución.

  • Está utilizando nombres de dominio alternativo en las URL de sus objetos.

Para obtener más información, consulta Cómo dirigir el tráfico a una CloudFront distribución de Amazon mediante tu nombre de dominio en la Guía para desarrolladores de Amazon Route 53.

Si ha creado un conjunto de registros de recursos de CNAME, ya sea con Route 53 o con otro servicio de DNS, no es necesario realizar ningún cambio. Un registro CNAME dirige el tráfico hacia la distribución, sin tener en cuenta el formato de la dirección IP de la solicitud del espectador.

Si habilita IPv6 y los registros de CloudFront acceso, la c-ip columna incluye valores en formato IPv4 e IPv6. Para obtener más información, consulte Configuración y uso de registros estándar (registros de acceso).

nota

Para mantener una alta disponibilidad de los clientes, CloudFront responde a las solicitudes de los espectadores mediante IPv4 si nuestros datos sugieren que IPv4 proporcionará una mejor experiencia de usuario. Para saber qué porcentaje de solicitudes CloudFront se reciben a través de IPv6, habilite el CloudFront registro para su distribución y analice la c-ip columna, que contiene la dirección IP del espectador que realizó la solicitud. Este porcentaje debería crecer con el paso del tiempo, pero seguirá siendo una minoría de tráfico ya que IPv6 aún no es compatible con todas las redes de espectadores en todo el mundo. Algunas redes de espectadores tienen excelente compatibilidad con IPv6, pero otras no admiten IPv6 en absoluto. (En este sentido, una red de espectadores es sinónimo de su red doméstica u operador de Internet).

Para obtener más información acerca de la compatibilidad con IPv6, consulte las preguntas frecuentes de CloudFront . Para obtener más información acerca de la activación de registros de acceso, consulte los campos Registro, Bucket para registros y Prefijo de registros.

Comentario

Opcional. Al crear una distribución, puede incluir un comentario de hasta 128 caracteres. Puede actualizarlo en cualquier momento.

Estado de la distribución

Indica si desea habilitar o deshabilitar la distribución una vez implementada:

  • Enabled (Habilitada) significa que tan pronto como la distribución se implemente totalmente, podrá implementar enlaces que utilizan el nombre de dominio de la distribución y los usuarios podrán recuperar contenido. Siempre que una distribución esté habilitada, CloudFront acepta y gestiona las solicitudes de contenido de los usuarios finales que utilicen el nombre de dominio asociado a esa distribución.

    Al crear, modificar o eliminar una CloudFront distribución, los cambios tardan un tiempo en propagarse a la CloudFront base de datos. Una solicitud inmediata para obtener información acerca de una distribución puede no mostrar el cambio. La propagación suele completarse en cuestión de minutos, pero una carga de sistema o una partición de red elevadas podrían aumentar este tiempo.

  • Disabled (Deshabilitada) significa que, aunque la distribución puede haberse implementado y estar lista para su uso, los usuarios no pueden utilizarla. Cuando una distribución está deshabilitada, CloudFront no acepta ninguna solicitud de usuario final que utilice el nombre de dominio asociado a esa distribución. Hasta que no cambie la distribución de deshabilitada a habilitada (actualizando de la distribución de la configuración), nadie podrá utilizarla.

Puede cambiar una distribución entre habilitada y deshabilitada tantas veces como quiera. Siga el proceso para actualizar la configuración de una distribución. Para obtener más información, consulte Actualización de una distribución.

Páginas de error personalizadas y almacenamiento de errores en caché

Puede hacer que CloudFront devuelva un objeto al visor (por ejemplo, un archivo HTML) cuando su Amazon S3 o su origen personalizado devuelva un código de estado HTTP 4xx o 5xx. CloudFront También puede especificar durante cuánto tiempo se almacenará en caché una respuesta de error de su origen o una página de error personalizada en CloudFront las cachés perimetrales. Para obtener más información, consulte Creación de una página de error personalizada para códigos de estado HTTP específicos.

nota

Los siguientes valores no se incluyen en el asistente Create Distribution, lo que significa que solo puede configurar páginas de error personalizadas al actualizar una distribución.

Código de error HTTP

El código de estado HTTP para el que quieres CloudFront devolver una página de error personalizada. Puede configurarlo CloudFront para que devuelva páginas de error personalizadas para ninguno, algunos o todos los códigos de estado HTTP que se almacenan en CloudFront caché.

TTL mínimo de almacenamiento de errores en caché (segundos)

El tiempo mínimo que quieres guardar en caché CloudFront las respuestas de error de tu servidor de origen.

Ruta de la página de respuesta

La ruta a la página de error personalizada (por ejemplo, /4xx-errors/403-forbidden.html) que desea que CloudFront devuelva a un espectador cuando el origen devuelve el código de estado HTTP especificado en Error Code (Código de error) (por ejemplo, 403). Si desea almacenar los objetos y las páginas de error personalizadas en diferentes ubicaciones, la distribución debe incluir un comportamiento de la caché que cumpla con las siguientes condiciones:

  • El valor de Path Pattern (Patrón de ruta) debe coincidir con la ruta de los mensajes de error personalizados. Por ejemplo, supongamos que ha guardado páginas para errores 4xx personalizadas en un bucket de Amazon S3 en un directorio llamado /4xx-errors. La distribución debe incluir un comportamiento de caché cuyo patrón de ruta dirija las solicitudes de las páginas de error personalizadas a esa ubicación, por ejemplo, /4xx-errors/*.

  • El valor de Origin (Origen) especifica el valor de Origin ID (ID de origen) del origen que contiene las páginas de error personalizadas.

Código de respuesta HTTP

El código de estado HTTP que quieres devolver CloudFront al visor junto con la página de error personalizada.

Restricciones geográficas

Si necesitas impedir que los usuarios de algunos países accedan a tu contenido, puedes configurar tu CloudFront distribución con una lista de permitidos o una lista de bloqueados. No se aplica ningún cargo adicional por la configuración de restricción geográfica. Para obtener más información, consulte Cómo restringir la distribución geográfica de su contenido.