Amazon CloudFront
Guía del desarrollador (Versión de API 2016-09-29)

Valores que deben especificarse al crear o actualizar una distribución

Al crear una nueva distribución o actualizar una distribución ya existente, especificará los siguientes valores. Para obtener información acerca de cómo crear o actualizar una distribución utilizando la consola de CloudFront, consulte Creación de una distribución o Actualización de una distribución.

Modo de entrega

Especifique el método de entrega: Web o RTMP. Para obtener más información, consulte Modo de entrega.

Configuración del origen

Los valores siguientes son únicamente para orígenes de Amazon S3:

Los siguientes valores son únicamente para orígenes personalizados, como Amazon EC2, Elastic Load Balancing, buckets de Amazon S3 configurados como puntos de enlace del sitio web o el propio servidor web:

El siguiente valor es para todos los tipos de orígenes:

Configuración del comportamiento de la caché

Detalles de la distribución

Páginas de error personalizadas y almacenamiento de errores en caché

Restricciones

Modo de entrega

Deberá especificar el método de entrega al crear una distribución. A no ser que utilice Adobe Flash Media Server con RTMP, este valor siempre será Web. No se puede cambiar el método de entrega para una distribución existente.

Configuración del origen

Al crear o actualizar una distribución, usted proporciona información acerca de una o varias ubicaciones —conocidas como orígenes— donde se almacenan las versiones originales del contenido web. CloudFront obtiene el contenido web desde sus orígenes y los envía a los espectadores a través de una red global de servidores perimetrales. Cada origen es un bucket de Amazon S3 o un servidor HTTP como, por ejemplo, un servidor web.

Para consultar el límite actual de la cantidad de orígenes que puede crear para una distribución o para solicitar una ampliación del límite, consulte Límites generales de las distribuciones web.

Si desea eliminar un origen, primero debe editar o eliminar los comportamientos de la caché que están asociados con dicho origen.

importante

Si elimina un origen, confirme que los archivos que se han servido anteriormente a ese origen estén disponibles en otro origen y que los comportamientos de la caché ya estén direccionando las solicitudes para dichos archivos al nuevo origen.

Al crear o actualizar una distribución deberá especificar los siguientes valores para cada origen.

Nombre de dominio de origen

El nombre del dominio de DNS del bucket de Amazon S3 o el servidor HTTP desde donde desee que CloudFront obtenga objetos para este origen, por ejemplo:

  • Bucket de Amazon S3: aws-s3-bucket1.s3.us-west-2.amazonaws.com

  • Amazon S3 Bucket de configurado como un sitio web: https://bucket-name.s3-website.us-west-2.amazonaws.com

  • MediaStore Contenedor de – : mymediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage Punto de enlace de – : mymediapackage.mediapackage.us-west-1.amazon.com

  • Instancia de Amazon EC2 : – ec2-203-0-113-25.compute-1.amazonaws.com

  • Balanceador de carga de Elastic Load Balancing: my-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Su propio servidor web: – https://example.com

Elija el nombre de dominio en el campo Origin Domain Name (Nombre de dominio de origen) o escriba el nombre. El nombre de dominio no distingue entre mayúsculas y minúsculas.

Si el origen es un bucket de Amazon S3, tenga en cuenta lo siguiente:

  • Si el bucket está configurado como un sitio web, escriba el punto de enlace de alojamiento de sitios web estáticos de Amazon S3 del bucket. No seleccione el nombre del bucket en la lista del campo Origin Domain Name (Nombre de dominio de origen). Este punto de enlace de alojamiento de sitios web estáticos aparecerá en la consola de Amazon S3 en la página Properties (Propiedades), en Static Website Hosting (Alojamiento de sitios web estáticos). Para obtener más información, consulte Uso de buckets de Amazon S3 configurados como puntos de enlace de sitio web para su origen.

  • Si ha configurado Amazon S3 Transfer Acceleration en su bucket, no especifique el punto de enlace s3-accelerate para Origin Domain Name (Nombre de dominio de origen).

  • Si utiliza un bucket de una cuenta de AWS distinta y el bucket no está configurado como un sitio web, escriba el nombre en el siguiente formato:

    bucket-name.s3.region.amazonaws.com

    Si el bucket se encuentra en la región EE. UU. Estándar y desea que Amazon S3 direccione las solicitudes a una instalación en el norte de Virginia, utilice el siguiente formato:

    bucket-name.s3.us-east-1.amazonaws.com

  • Los archivos deben ser legibles públicamente a no ser que proteja su contenido en Amazon S3 mediante una identidad de acceso de origen de CloudFront. Para obtener más información, consulte Restricción del acceso a contenido de Amazon S3 utilizando una identidad de acceso de origen.

importante

Si el origen es un bucket de Amazon S3, el nombre del bucket debe cumplir los requisitos de nomenclatura de DNS. Para obtener más información, consulte Restricciones y limitaciones de los buckets en la Guía para desarrolladores de Amazon Simple Storage Service.

Al cambiar el valor de Origin Domain Name (Nombre de dominio de origen) para un origen, CloudFront comienza inmediatamente a replicar el cambio en las ubicaciones de borde de CloudFront. Hasta que la configuración de la distribución se actualiza en una ubicación de borde determinada, CloudFront continúa reenviando solicitudes al servidor HTTP o al bucket de Amazon S3 anterior. Tan pronto como la configuración de la distribución se actualiza en esa ubicación de borde, CloudFront comienza a reenviar solicitudes al nuevo servidor HTTP o bucket de Amazon S3.

Cambiar el origen no requiere que CloudFront vuelva a incluir los cachés perimetrales con objetos del nuevo origen. Siempre que las solicitudes de los espectadores en su aplicación no cambien, CloudFront seguirá ofreciendo objetos que ya estén en una caché perimetral hasta que el TTL de cada objeto caduque o hasta que los objetos poco solicitados sean desalojados.

Ruta de origen

Si desea que CloudFront solicite el contenido de un directorio en el recurso de AWS o en su origen personalizado, escriba la ruta del directorio, comenzando por una barra inclinada (/). CloudFront añade la ruta del directorio al valor de Origin Domain Name (Nombre de dominio de origen), por ejemplo, cf-origin.example.com/production/images. No añada una barra inclinada (/) al final de la ruta.

Por ejemplo, suponga que ha especificado los siguientes valores para su distribución:

  • Origin Domain Name (Nombre de dominio de origen): un bucket de Amazon S3 llamado myawsbucket

  • Origin Path (Ruta de origen): – /production

  • Alternate Domain Names (CNAMEs) (Nombres de dominio alternativos (CNAME)): – example.com

Cuando un usuario escribe example.com/index.html en un navegador, CloudFront envía una solicitud a Amazon S3 de myawsbucket/production/index.html.

Cuando un usuario escribe example.com/acme/index.html en un navegador, CloudFront envía una solicitud a Amazon S3 de myawsbucket/production/acme/index.html.

ID de origen

Una cadena que distingue de forma exclusiva este origen o grupo de origen en esta distribución. Si crea comportamientos de la caché además del que ya hay predeterminado, utilice la ID de origen que especifique aquí para identificar el origen o el grupo de origen al que desea que CloudFront dirija una solicitud cuando la solicitud coincida con el patrón de ruta de ese comportamiento de la caché.

Para obtener más información, consulte los siguientes temas:

Restricción del acceso a un bucket

nota

Se aplica únicamente a los orígenes de buckets de Amazon S3 (excepto si se han configurado como puntos de enlace del sitio web).

Elija Yes (Sí) si desea exigir a los usuarios que obtengan acceso a objetos en un bucket de Amazon S3 solo mediante URL de CloudFront y no mediante URL de Amazon S3. A continuación, especifique valores adicionales.

Seleccione No si desea que los usuarios puedan obtener acceso a los objetos a través de direcciones URL de CloudFront o URL de Amazon S3.

Para obtener más información, consulte Restricción del acceso a contenido de Amazon S3 utilizando una identidad de acceso de origen.

Para obtener información acerca de cómo exigir a los usuarios que obtengan acceso a los objetos de un origen personalizado empleando solo URL de CloudFront, consulte Restricción del acceso a archivos en orígenes personalizados.

Identidad de acceso de origen

nota

Se aplica únicamente a los orígenes de buckets de Amazon S3 (excepto si se han configurado como puntos de enlace del sitio web).

Si eligió Yes (Sí) en Restrict Bucket Access (Restringir acceso al bucket), elija entre crear una nueva identidad de acceso de origen o usar una existente que esté asociada a su cuenta de AWS. Si ya tiene una identidad de acceso de origen, le recomendamos que use esa para facilitar el mantenimiento. Para obtener más información acerca de las identidades de acceso de origen, consulte Restricción del acceso a contenido de Amazon S3 utilizando una identidad de acceso de origen.

Comentario acerca de la nueva identidad

nota

Se aplica únicamente a los orígenes de buckets de Amazon S3 (excepto si se han configurado como puntos de enlace del sitio web).

Si eligió Create a New Identity (Crear una identidad nueva) en Origin Access Identity (Identidad de acceso de origen), escriba un comentario que identifique la nueva identidad de acceso de origen. CloudFront creará la identidad de acceso de origen al crear esta distribución.

Sus identidades

nota

Se aplica únicamente a los orígenes de buckets de Amazon S3 (excepto si se han configurado como puntos de enlace del sitio web).

Si eligió Use an Existing Identity (Utilizar una identidad existente) en Origin Access Identity (Identidad de acceso de origen), elija la identidad de acceso de origen que desea utilizar. No puede utilizar una identidad de acceso de origen asociada a otra cuenta de AWS.

Conceder permisos de lectura en un bucket

nota

Se aplica únicamente a los orígenes de buckets de Amazon S3 (excepto si se han configurado como puntos de enlace del sitio web).

Si desea que CloudFront conceda automáticamente a la identidad de acceso de origen permisos de lectura de objetos de su bucket de Amazon S3, elija Yes, Update Bucket Policy (Sí, actualizar política de bucket).

importante

Al elegir Yes, Update Bucket Policy (Sí, actualizar política de bucket), CloudFront actualiza la política del bucket para conceder a la identidad de acceso de origen especificada permisos de lectura de objetos de dicho bucket. Sin embargo, CloudFront no elimina los permisos existentes de la política del bucket ni los permisos sobre objetos individuales. Si los usuarios tienen actualmente permisos de acceso a los objetos en dicho bucket mediante URL de Amazon S3, los conservarán después de que CloudFront actualice la política del bucket. Para ver o cambiar la política actual del bucket y los permisos actuales de los objetos en dicho bucket, utilice un método proporcionado por Amazon S3. Para obtener más información, consulte Otorgar a la identidad de acceso de origen permisos de lectura de archivos del bucket de Amazon S3.

Si desea actualizar los permisos de forma manual, por ejemplo, si desea actualizar las ACL en sus objetos en lugar de la actualizar los permisos del bucket, elija No, I will Update Permissions (No, actualizaré los permisos).

Protocolo SSL mínimo del origen

Elija el protocolo TLS/SSL que CloudFront puede utilizar como mínimo cuando establece una conexión HTTPS con el origen. Los protocolos TLS inferiores son menos seguros, por lo que le recomendamos que elija el protocolo TLS más reciente que admita el origen.

Si utiliza la API de CloudFront para establecer el protocolo TLS/SSL para que lo utilice CloudFront, no puede configurar un protocolo mínimo. En su lugar, debe especificar todos los protocolos TLS/SSL que CloudFront puede utilizar con su origen. Para obtener más información, consulte la sección OriginSslProtocols en la Amazon CloudFront API Reference.

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web. Si el origen es un bucket de Amazon S3 no configurado como un punto de enlace de sitio web, CloudFront siempre utiliza TLSv1.2.

Origin Protocol Policy

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web.

La política de protocolo que desea que CloudFront utilice cuando solicite objetos del servidor de origen.

Elija uno de los valores siguientes:

  • HTTP Only (Solo HTTP): CloudFront solo utiliza HTTP para obtener acceso al origen.

    importante

    Si el origen es un bucket de Amazon S3 configurado como un punto de enlace del sitio web, debe elegir esta opción. Amazon S3 no admite conexiones HTTPS para los puntos de enlace del sitio web.

  • HTTPS Only (Solo HTTPS): CloudFront solo utiliza HTTPS para obtener acceso al origen.

  • Match Viewer (Coincidir con espectador): CloudFront se comunica con el origen mediante HTTP o HTTPS, en función del protocolo de la solicitud del espectador. CloudFront almacena en caché el objeto solo una vez, incluso si los espectadores realizan solicitudes a través de los protocolos HTTP y HTTPS.

    importante

    En el caso de solicitudes HTTPS de espectadores que CloudFront reenvía a este origen, uno de los nombres de dominio del certificado SSL en su servidor de origen debe coincidir con el nombre de dominio que especifique en Origin Domain Name (Nombre de dominio de origen). En caso contrario, CloudFront responde a las solicitudes del lector con un código de estado HTTP 502 (gateway incorrecta) en lugar de devolver el objeto solicitado. Para obtener más información, consulte Requisitos para la utilización de certificados SSL/TLS con CloudFront.

Tiempo de espera de respuesta del origen

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web.

El tiempo de espera de respuesta del origen, también conocido como tiempo de espera de lectura de origen y tiempo de espera de solicitud de origen, se aplica a los dos valores siguientes:

  • Tiempo (en segundos) que CloudFront espera una respuesta después de enviar una solicitud a un origen personalizado.

  • Tiempo (en segundos) que CloudFront espera después de recibir el paquete de una respuesta desde el origen y antes de recibir el paquete siguiente.

El tiempo de espera predeterminado es de 30 segundos. Puede cambiar el valor para que esté comprendido entre 4 y 60 segundos. Si necesita un valor tiempo de espera fuera de este intervalo, solicite un cambio del límite.

sugerencia

Si desea aumentar el valor de tiempo de espera porque los lectores están experimentando errores de código de estado HTTP 504, considere la posibilidad de explorar otras formas de eliminar dichos errores antes de cambiar el valor del tiempo de espera. Consulte las sugerencias de resolución de problemas en Código de estado HTTP 504 (tiempo de espera de gateway agotado).

El comportamiento CloudFront depende del método HTTP en la solicitud del espectador.

  • Solicitudes GET y HEAD: si el origen no responde antes de que transcurra el tiempo de espera de lectura o si el origen deja de responder durante el tiempo de espera configurado, CloudFront interrumpe la conexión e intenta contactar con el origen dos veces más. Después del tercer intento, si el origen no responde antes de que transcurra el tiempo de espera de lectura, CloudFront no vuelve a intentarlo hasta que se reciba una nueva solicitud de contenido en el mismo origen.

  • Solicitudes DELETE, OPTIONS, PATCH, PUT y POST: si el origen no responde antes de que transcurra el tiempo de espera de lectura, CloudFront interrumpe la conexión y no vuelve a intentar ponerse en contacto con el origen. El cliente puede volver a enviar la solicitud en caso de que sea necesario.

Tiempo de conexión persistente del origen

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web.

Tiempo (en segundos) que CloudFront intenta mantener una conexión con el origen personalizado después de que obtenga el último paquete de una respuesta. Garantizar una conexión persistente ahorra el tiempo necesario para restablecer la conexión TCP y realizar otro protocolo de enlace TLS para solicitudes posteriores. Aumentar el tiempo de keep-alive ayuda a mejorar la métrica de solicitud por conexión en distribuciones.

nota

Para que el valor de Origin Keep-alive Timeout (Tiempo de espera de keep-alive de origen) tenga efecto, el origen debe estar configurado para permitir las conexiones persistentes.

El tiempo de espera predeterminado es de 5 segundos. Puede cambiar el valor a un número comprendido entre 1 y 60 segundos. Si necesita un tiempo de espera de keep-alive superior a 60 segundos, solicite un cambio del límite.

Puerto HTTP

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web.

Opcional. El puerto HTTP que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 80.

Puerto HTTPS

nota

Esta opción no es aplicable a los buckets de Amazon S3, a menos que estén configurados como puntos de enlace del sitio web.

Opcional. El puerto HTTPS que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 443.

Encabezados personalizados de origen

Si desea que CloudFront incluya encabezados personalizados cada vez que reenvíe una solicitud al origen, especifique los siguientes valores:

Nombre del encabezado

El nombre de un encabezado que desea que CloudFront reenvíe al origen.

Valor

El valor del encabezado que ha especificado en el campo Custom Header (Encabezado personalizado).

Para obtener más información, consulte Reenvío de encabezados personalizados al origen.

Para consultar el límite actual de la cantidad máxima de encabezados personalizados que puede reenviar al origen, la longitud máxima de los nombres de encabezado personalizados sus valores, y la longitud total de todos los nombres y valores de encabezados, visite Límites.

Configuración del comportamiento de la caché

Un comportamiento de la caché le permite configurar una amplia variedad de funcionalidades de CloudFront para un determinado patrón de ruta de URL de archivos en su sitio web. Por ejemplo, un comportamiento de la caché puede ser aplicable a todos los archivos .jpg del directorio images de un servidor web que se esté utilizando como servidor de origen para CloudFront. La funcionalidad que puede definir para cada comportamiento de la caché incluye:

  • El patrón de ruta.

  • Si ha configurado varios orígenes para su distribución de CloudFront, el origen al que desea que CloudFront reenvíe sus solicitudes.

  • Si enviar cadenas de consulta a su origen.

  • Si acceder a los archivos especificados requiere URL firmadas.

  • Si exigir a los usuarios que utilicen HTTPS para obtener acceso a los archivos.

  • El tiempo mínimo que dichos archivos se mantienen en la caché de CloudFront independientemente del valor de los encabezados Cache-Control que el origen añade a los archivos.

Al crear una nueva distribución, debe especificar la configuración del comportamiento de la caché predeterminado, que reenvía automáticamente todas las solicitudes al origen que especifique al crear la distribución. Después de crear una distribución, puede crear más comportamientos de la caché que definen cómo CloudFront responde cuando recibe una solicitud de objetos que coinciden con un patrón de ruta, por ejemplo, *.jpg. Si crea más comportamientos de la caché, el predeterminado será siempre el último en procesarse. Los demás comportamientos de la caché se procesan en el orden en que aparecen en la consola de CloudFront o, si está utilizando la API de CloudFront, en el orden en que se enumeran en el elemento DistributionConfig de la distribución. Para obtener más información, consulte Patrón de ruta.

Al crear un comportamiento de la caché, debe especificar el origen desde el que desea que CloudFront obtenga objetos. Por lo tanto, si desea que CloudFront distribuya objetos de todos los orígenes, debe crear al menos tantos comportamientos de la caché (incluido el predeterminado) como orígenes tenga. Por ejemplo, si tiene dos orígenes y solo el comportamiento de la caché predeterminado, este hará que CloudFront obtenga objetos desde uno de los orígenes, pero el otro origen no se usará jamás.

Para consultar el límite actual de la cantidad de comportamientos de la caché que puede añadir a una distribución o para solicitar una ampliación del límite, consulte Límites generales de las distribuciones web.

Patrón de ruta

El patrón de ruta (por ejemplo, images/*.jpg) que especifica a qué solicitudes desea que sea aplicable este comportamiento de la caché. Cuando CloudFront recibe una solicitud de un usuario final, la ruta solicitada es comparada con patrones de ruta en el orden en el que se enumeran los comportamientos de la caché en la distribución. La primera coincidencia determina el comportamiento de la caché que se aplicará a dicha solicitud. Por ejemplo, suponga que tiene tres comportamientos de la caché con los siguientes tres patrones de ruta, en este orden:

  • images/*.jpg

  • images/*

  • *.gif

nota

De forma opcional, puede incluir una barra diagonal (/) al principio de la ruta de acceso, por ejemplo, /images/*.jpg. El comportamiento de CloudFront es el mismo con o sin la / al principio.

Una solicitud del archivo images/sample.gif no satisface el primer patrón de ruta, por lo que los comportamientos de la caché asociados no se aplicarán a la solicitud. El archivo satisface el segundo patrón de ruta, por lo que los comportamientos de la caché asociados al segundo patrón de ruta se aplican a pesar de que la solicitud también coincide con el tercer patrón de ruta.

nota

Al crear una nueva distribución, el valor de Path Pattern (Patrón de ruta) del comportamiento de la caché predeterminado se establece como * (todos los archivos) y no puede modificarse. Este valor hace que CloudFront reenvíe todas las solicitudes de los objetos al origen que ha especificado en el campo Nombre de dominio de origen. Si la solicitud de un objeto no coincide con el patrón de ruta de ningún otro comportamiento de la caché, CloudFront aplica el comportamiento que especifique al comportamiento de la caché predeterminado.

importante

Defina los patrones de ruta y su orden detenidamente para evitar que los usuarios puedan acceder a contenido al que no desea otorgar acceso. Supongamos que una solicitud coincide con el patrón de ruta de dos comportamientos de la caché. El primer comportamiento de la caché no requiere URL firmadas ni cookies firmadas y el segundo requiere URL firmadas. Los usuarios podrán obtener acceso a los objetos sin usar una URL firmada porque CloudFront procesa el comportamiento de la caché asociado a la primera coincidencia.

Si trabaja con un canal de MediaPackage, debe incluir patrones de ruta específicos para el comportamiento de la caché que se haya definido para el tipo de punto de enlace del origen. Por ejemplo, en el caso de un punto de enlace DASH, debería escribir *.mpd para Path Pattern (Patrón de ruta). Para obtener más información e instrucciones específicas, consulte Distribución de video en directo formateado con AWS Elemental MediaPackage.

La ruta especificada es aplicable a las solicitudes de todos los archivos del directorio especificado y sus subdirectorios. CloudFront no toma en cuenta las cadenas de consulta ni las cookies a la hora de evaluar el patrón de ruta. Por ejemplo, si un directorio images contiene subdirectorios product1 y product2, el patrón de ruta images/*.jpg resulta aplicable a las solicitudes de cualquier archivo .jpg en los directorios images, images/product1y images/product2. Si desea aplicar un comportamiento de la caché a los archivos del directorio images/product1 que sea distinto al comportamiento a aplicar a los archivos de los directorios images y images/product2, cree un comportamiento de la caché independiente para images/product1 y muévalo a la posición superior (previa) a la del comportamiento de la caché para el directorio images.

Puede utilizar los siguientes caracteres comodín en el patrón de ruta:

  • * coincide con 0 o más caracteres.

  • ? coincide exactamente con 1 carácter.

Los siguientes ejemplos muestran cómo funcionan los caracteres comodín:

Patrón de ruta Archivos que coinciden con el patrón de ruta

*.jpg

Todos los archivos .jpg.

images/*.jpg

Todos los archivos .jpg del directorio images y de los subdirectorios de images.

a*.jpg

  • Todos los archivos .jpg cuyos nombre de archivo comienzan por a, por ejemplo, apple.jpg y appalachian_trail_2012_05_21.jpg.

  • Todos los archivos .jpg cuyas rutas de archivo comienzan por a, por ejemplo, abra/cadabra/magic.jpg.

a??.jpg

Todos los archivos .jpg cuyos nombres de archivo comienzan por a y que les siguen exactamente dos caracteres, por ejemplo, ant.jpg y abe.jpg.

*.doc*

Todos los archivos cuyas extensiones de nombre de archivo comienzan por .doc, por ejemplo, archivos .doc, .docx y .docm. En este caso no se puede utilizar el patrón de ruta *.doc?, ya que no sería aplicable a las solicitudes de archivos .doc; el comodín ? sustituye exactamente un carácter.

La longitud máxima de un patrón de ruta es 255 caracteres. El valor puede contener cualquiera de los siguientes caracteres:

  • A-Z, a-z

    Los patrones de ruta distinguen entre mayúsculas y minúsculas, por lo que el patrón de ruta *.jpg no sería aplicable al archivo LOGO.JPG.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • &, pasado y devuelto como &

Origen (solo distribuciones existentes)

Escriba el valor de Origin ID (ID de origen) de un origen que exista. Este valor identifica el origen al que desea que CloudFront dirija solicitudes cuando una solicitud (por ejemplo, http://example.com/logo.jpg) coincida con el patrón de la ruta de un comportamiento de la caché, sea este predeterminado (*) o no (por ejemplo, *.jpg).

Política del protocolo del visor

Elija la política de protocolo que desea que los espectadores utilicen para acceder a su contenido en las ubicaciones de borde de CloudFront:

  • HTTP and HTTPS (HTTP y HTTPS): los espectadores pueden utilizar ambos protocolos.

  • Redirect HTTP to HTTPS (Redireccionamiento de HTTP a HTTPS): los espectadores pueden utilizar ambos protocolos, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS.

  • HTTPS Only (Solo HTTPS): los espectadores solo pueden obtener acceso a su contenido si utilizan HTTPS.

Para obtener más información, consulte Exigir HTTPS para la comunicación entre espectadores y CloudFront.

Cifrado en el nivel de campo

Si desea aplicar el cifrado en el nivel de campo en campos de datos específicos, elija una configuración de cifrado en el nivel de campo en la lista desplegable.

Para obtener más información, consulte Uso del cifrado en el nivel de campo para ayudar a proteger la información confidencial.

Métodos HTTP permitidos

Especifique los métodos HTTP que desea que CloudFront procese y reenvíe al origen:

  • GET, HEAD: puede usar CloudFront solo para obtener objetos desde su origen u obtener encabezados de objeto.

  • GET, HEAD, OPTIONS: puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: puede utilizar CloudFront para obtener, agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.

    nota

    CloudFront almacena en caché las respuestas a las solicitudes GET y HEAD y, de forma opcional, de las solicitudes OPTIONS. CloudFront no almacena en caché las respuestas a las solicitudes que utilizan los demás métodos.

Si utiliza un bucket de Amazon S3 como origen de la distribución y, además, usa identidades de acceso de origen de CloudFront, las solicitudes POST no serán compatibles con algunas regiones de Amazon S3 y las solicitudes PUT en esas regiones necesitarán un encabezado adicional. Para obtener más información, consulte Usar una identidad de acceso de origen en regiones de Amazon S3 que solo admiten autenticación mediante Signature Version 4.

importante

Si elige GET, HEAD, OPTIONS o GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE, seguramente necesite restringir el acceso al bucket de Amazon S3 o a su origen personalizado para que los usuarios no puedan realizar operaciones indeseadas. Los siguientes ejemplos explican cómo restringir el acceso:

  • Si utiliza Amazon S3 como origen de la distribución: cree una identidad de acceso de origen de CloudFront para restringir el acceso a su contenido de Amazon S3 y conceda permisos a la identidad de acceso de origen. Por ejemplo, si configura CloudFront para que acepte y reenvíe estos métodos solo porque desea utilizar PUT, deberá configurar políticas de bucket de Amazon S3 o ACL para gestionar las solicitudes DELETE de forma adecuada. Para obtener más información, consulte Restricción del acceso a contenido de Amazon S3 utilizando una identidad de acceso de origen.

  • Si utiliza un origen personalizado: configure el servidor de origen para gestionar todos los métodos. Por ejemplo, si configura CloudFront para que acepte y reenvíe estos métodos solo porque desea utilizar POST, deberá configurar el servidor de origen para gestionar las solicitudes DELETE de forma adecuada.

Métodos HTTP almacenados en caché

Especifique si desea que CloudFront almacene en caché la respuesta de su origen cuando un espectador envíe una solicitud OPTIONS. CloudFront siempre almacena en caché la respuesta a las solicitudes GET y HEAD.

Caché en función de encabezados de solicitud seleccionados

Especifique si desea que CloudFront almacene en caché objetos en función de los valores de los encabezados especificados:

  • None (improves caching) (Ninguno (mejora el almacenamiento en caché)): – CloudFront no almacena en caché los objetos en función de los valores de encabezado.

  • Whitelist (Lista blanca): – CloudFront almacena en caché los objetos solo según los valores de los encabezados especificados. Utilice Whitelist Headers (Encabezados de la lista blanca) para elegir los encabezados en los que desea que CloudFront base el almacenamiento en caché.

  • All (Todos): CloudFront no almacena en caché los objetos que están asociados con este comportamiento de la caché. En su lugar, CloudFront envía todas las solicitudes al origen. (No se recomienda para orígenes de Amazon S3).

Independientemente de la opción que elija, CloudFront reenvía determinados encabezados a su origen y realiza acciones específicas en función de los encabezados que reenvíe. Para obtener más información acerca de cómo administra CloudFront el reenvío de encabezados, consulte Encabezados de solicitudes HTTP y comportamiento CloudFront (personalizado y orígenes de S3).

Para obtener más información acerca de cómo configurar el almacenamiento en caché en CloudFront utilizando encabezados de solicitud, consulte Almacenamiento en caché de contenido en función de encabezados de solicitud.

Whitelist Headers

Especifique los encabezados que desea que CloudFront tenga en cuenta a la hora de almacenar los objetos en caché. Seleccione los encabezados en la lista de encabezados disponibles y elija Add (Añadir). Para reenviar un encabezado personalizado, escriba el nombre en el campo y elija Add Custom (Añadir personalizado).

Para consultar el límite actual de la cantidad de encabezados caché que puede añadir a una lista blanca para cada comportamiento de la caché o para solicitar una ampliación del límite, consulte Límites de encabezados personalizados (solo para distribuciones web).

Almacenamiento de objetos en caché

Si su servidor de origen está añadiendo un encabezado Cache-Control a sus objetos para controlar el tiempo durante el cual deben mantenerse en la caché de CloudFront y no desea cambiar el valor de Cache-Control, elija Use Origin Cache Headers (Usar encabezados de caché de origen).

Para especificar el tiempo mínimo y máximo durante el cual los objetos deben mantenerse en la caché de CloudFront independientemente de los encabezados Cache-Control y un tiempo predeterminado durante el cual un objeto deberá mantenerse en la caché de CloudFront cuando le falte el encabezado Cache-Control, elija Customize (Personalizar). A continuación, especifique los valores en los campos Minimum TTL (Tiempo de vida mínimo), Default TTL (Tiempo de vida predeterminado) y Maximum TTL (Tiempo de vida máximo).

Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché perimetral (Vencimiento).

Tiempo de vida mínimo

Especifique el tiempo mínimo en segundos durante el cual desea que los objetos permanezcan en las cachés de CloudFront antes de que CloudFront reenvíe otra solicitud a su origen para determinar si el objeto se ha actualizado. El valor predeterminado de Minimum TTL (Tiempo de vida mínimo) es 0 segundos.

importante

Si configura CloudFront para reenviar todos los encabezados al origen para un comportamiento de la caché, CloudFront nunca almacenará en caché los objetos asociados a dicho comportamiento. En su lugar, CloudFront reenviará todas las solicitudes de esos objetos al origen. En dicha configuración, el valor de Minimum TTL (Tiempo de vida mínimo) deberá ser 0.

Para especificar un valor en Minimum TTL (Tiempo de vida mínimo), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).

Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché perimetral (Vencimiento).

Tiempo de vida máximo

Especifique el tiempo máximo en segundos durante el cual desea que los objetos permanezcan en las cachés de CloudFront antes de que CloudFront consulte su origen para determinar si el objeto se ha actualizado. El valor que especifique en Maximum TTL (Tiempo de vida máximo) será aplicable solo cuando el origen personalizado añada encabezados HTTP como Cache-Control max-age, Cache-Control s-maxage o Expires a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché perimetral (Vencimiento).

Para especificar un valor en Maximum TTL (Tiempo de vida máximo), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).

El valor predeterminado de Maximum TTL (Tiempo de vida máximo) es 31 536 000 segundos (un año). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) o de Default TTL (Tiempo de vida predeterminado) a más de 31 536 000 segundos, el valor predeterminado de Maximum TTL (Tiempo de vida máximo) cambia al valor Default TTL (Tiempo de vida predeterminado).

Tiempo de vida (TTL) predeterminado

Especifique el tiempo predeterminado en segundos durante el cual desea que los objetos permanezcan en las cachés de CloudFront antes de que CloudFront reenvíe otra solicitud a su origen para determinar si el objeto se ha actualizado. El valor que especifique en Default TTL (Tiempo de vida predeterminado) es aplicable solo cuando el origen no añade encabezados HTTP como Cache-Control max-age, Cache-Control s-maxage o Expires a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché perimetral (Vencimiento).

Para especificar un valor en Default TTL (Tiempo de vida predeterminado), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).

El valor predeterminado de Default TTL (Tiempo de vida predeterminado) es 86 400 segundos (un día). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) a más de 86 400 segundos, el valor predeterminado de Default TTL (Tiempo de vida predeterminado) cambia al valor Minimum TTL (Tiempo de vida mínimo).

Forward Cookies (Reenvío de cookies)

nota

Esta opción no es aplicable a un bucket de Amazon S3, a menos que esté configurado como punto de enlace del sitio web.

Especifique si desea que CloudFront reenvíe las cookies al servidor de origen y, en tal caso, cuáles de ellas. Si decide reenviar únicamente unas cookies determinadas (las contenidas en una lista blanca de cookies), escriba sus nombres en el campo Whitelist Cookies (Lista blanca de cookies). Si elige All (Todas), CloudFront reenvía todas las cookies independientemente de la cantidad que utilice la aplicación.

Amazon S3 no procesa las cookies, y reenviar cookies al origen reduce la capacidad de almacenamiento en caché. Para comportamientos de la caché que reenvíen solicitudes a un origen de Amazon S3, elija None (Ninguna) en Forward Cookies (Reenviar cookies).

Para obtener más información acerca del reenvío de cookies al origen, visite Almacenamiento en caché de contenido en función de cookies.

Whitelist Cookies (Lista blanca de cookies)

nota

Esta opción no es aplicable a un bucket de Amazon S3, a menos que esté configurado como punto de enlace del sitio web.

Si eligió Whitelist (Lista blanca) en la lista Forward Cookies (Reenviar cookies), escriba en el campo Whitelist Cookies (Lista blanca de cookies) los nombres de las cookies que desea que CloudFront reenvíe a su servidor de origen para este comportamiento de la caché. Escriba una cookie por línea.

Puede especificar los siguientes comodines para especificar nombres de cookies:

  • * coincide con 0 más caracteres en el nombre de la cookie.

  • ? coincide exactamente con un carácter en el nombre de la cookie

Por ejemplo, supongamos que las solicitudes de un objeto enviadas por un espectador incluyen una cookie con el nombre:

userid_member-number

donde el valor de member-number es único para cada usuario. Desea que CloudFront almacene en caché una versión independiente del objeto por cada miembro. Podría conseguirlo reenviando todas las cookies al origen, pero las solicitudes de espectadores incluyen algunas que no desea que CloudFront las almacene en caché. Otra opción sería especificar el siguiente valor como nombre de cookie, lo que haría que CloudFront reenviara al origen todas las cookies que comienzan por userid_:

userid_*

Para consultar el límite actual de la cantidad de nombres de cookies que puede añadir a una lista blanca para cada comportamiento de la caché o para solicitar una ampliación del límite, consulte Límites de cookies incluidas en listas blancas (solo para distribuciones web).

Reenvío de cadenas de consulta y almacenamiento en caché

CloudFront puede almacenar en caché diferentes versiones del contenido en función de los valores de los parámetros de las cadenas de consulta. Elija una de las siguientes opciones:

Ninguno (mejora el almacenamiento en caché)

Seleccione esta opción si el origen devuelve la misma versión de un objeto independientemente de los valores de los parámetros de las cadenas de consulta. Esto aumenta la probabilidad de que CloudFront pueda atender una solicitud de la caché, lo que mejora el desempeño y reduce la carga en el origen.

Reenviar todo y almacenar en caché en función de la lista blanca

Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos en función de uno o más parámetros de cadenas de consulta. A continuación, especifique los parámetros que desee que CloudFront utilice como base para el almacenamiento en caché en el campo Lista blanca de cadenas de consulta.

Reenviar todo y almacenar todo en caché

Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos para todos los parámetros de cadenas de consulta.

Para obtener más información acerca del almacenamiento en caché en función de los parámetros de las cadenas de consulta y acerca de formas de mejorar el desempeño, consulte Almacenar en caché contenido en función de parámetros de cadenas de consulta.

Lista blanca de cadenas de consulta

Si eligió Forward all, cache based on whitelist (Reenviar todo y almacenar en caché en función de la lista blanca) en Reenvío de cadenas de consulta y almacenamiento en caché, especifique qué parámetros de cadenas de consulta desea que CloudFront utilice como base para almacenar en caché.

Smooth Streaming

Elija Yes (Sí) si desea distribuir archivos multimedia en el formato Microsoft Smooth Streaming y no dispone de un servidor de IIS.

Elija No si tiene un servidor Microsoft IIS que desea utilizar como origen para distribuir archivos multimedia en el formato Microsoft Smooth Streaming, o si no distribuye archivos multimedia Smooth Streaming.

nota

Si especifica Yes (Sí), puede seguir distribuyendo otro tipo de contenido con este comportamiento de la caché si dicho contenido coincide con el valor de Path Pattern (Patrón de ruta).

Para obtener más información, consulte Configuración de Microsoft Smooth Streaming bajo demanda.

Restringir el acceso a espectadores (mediante URL firmadas)

Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern en este comportamiento de la caché utilicen direcciones URL públicas, elija No.

Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern en este comportamiento de la caché utilicen direcciones URL firmadas, elija Yes (Sí). A continuación, especifique las cuentas de AWS que desea utilizar para crear URL firmadas; a estas cuentas se les conoce como signatarios de confianza.

Para obtener más información acerca de los signatarios de confianza, consulte Especificar las cuentas de AWS que pueden crear URL firmadas y cookies firmadas (signatarios de confianza).

Signatarios de confianza

Seleccione las cuentas de AWS que desea utilizar como signatarios de confianza para este comportamiento de la caché:

  • Self (Automático): utilice la cuenta con la que tiene iniciada sesión en la Consola de administración de AWS como signatario de confianza. Si actualmente su sesión está iniciada como usuario de IAM, la cuenta de AWS asociada se añade como signatario de confianza.

  • Specify Accounts (Especificar cuentas): escriba los números de cuenta de los signatarios de confianza en el campo AWS Account Numbers (Números de cuenta de AWS).

Para crear URL firmadas, la cuenta de AWS debe tener al menos un par de claves de CloudFront activas.

importante

Si está actualizando una distribución que ya utiliza para distribuir contenido, añada signatarios de confianza solo cuando esté listo para comenzar a generar URL firmadas para los objetos. Después de añadir signatarios de confianza a una distribución, los usuarios deben utilizar las URL firmadas para obtener acceso a los objetos que coincidan con PathPattern para este comportamiento de la caché.

Números de cuenta de AWS

Si desea crear URL firmadas a través de cuentas de AWS además de —o en lugar de— hacerlo con la cuenta actual, escriba un número de cuenta de AWS por línea en este campo. Tenga en cuenta lo siguiente:

  • Las cuentas que especifique deben tener al menos un par de claves de CloudFront activas. Para obtener más información, consulte Crear pares de claves de CloudFront para sus signatarios de confianza.

  • No puede crear pares de claves de CloudFront para usuarios de IAM, lo que significa que no puede utilizar usuarios de IAM como signatarios de confianza.

  • Para obtener información acerca de cómo obtener el número de una cuenta de AWS, consulte ¿Cómo obtengo credenciales de seguridad? en la Referencia general de Amazon Web Services.

  • Si escribe el número de la cuenta actual, CloudFront marca automáticamente la casilla Self (Automático) y elimina el número de cuenta de la lista AWS Account Numbers (Números de cuenta de AWS).

Comprimir objetos automáticamente

Si desea que CloudFront comprima automáticamente archivos de determinados tipos cuando las solicitudes de los espectadores incluyan Accept-Encoding: gzip en el encabezado de la solicitud, elija Yes (Sí). Cuando CloudFront comprime el contenido, las descargas son más veloces, ya que los archivos son más pequeños y las páginas web se muestran más rápido a sus usuarios. Para obtener más información, consulte Ofrecer archivos comprimidos.

Tipo de evento

Puede elegir ejecutar una función de Lambda cuando se produzcan uno o varios de los siguientes eventos de CloudFront:

  • Cuando CloudFront reciba una solicitud de un espectador (solicitud del espectador)

  • Antes de que CloudFront reenvíe una solicitud al origen (solicitud al origen)

  • Cuando CloudFront reciba una respuesta del origen (respuesta del origen)

  • Antes de que CloudFront devuelva la respuesta al espectador (respuesta al espectador)

Para obtener más información, consulte Cómo decidir el evento de CloudFront que utilizar para disparar una función de Lambda.

ARN de la función de Lambda

Especifique el nombre de recurso de Amazon (ARN) de la función de Lambda para la que desea añadir un disparador. Para obtener información acerca de cómo obtener el ARN de una función, consulte el paso 1 del procedimiento Añadir disparadores mediante la consola de CloudFront.

Detalles de la distribución

Los siguientes valores se aplican a toda la distribución.

Clase de precio

Seleccione la clase de precio que corresponda al precio máximo que desea pagar por el servicio de CloudFront. De forma predeterminada, CloudFront ofrece sus objetos desde ubicaciones de borde en todas las regiones de CloudFront.

Para obtener más información acerca de las clases de precios y cómo la clase que elija afecta el desempeño de CloudFront para su distribución, visite Elegir la clase de precio de una distribución de CloudFront. Para obtener información acerca de los precios de CloudFront, incluida cómo las clases de precios se corresponden con las regiones de CloudFront, visite Precios de Amazon CloudFront.

ACL web de AWS WAF

Si desea utilizar AWS WAF para habilitar o bloquear solicitudes según los criterios que especifique, elija la ACL web para asociarla a esta distribución.

AWS WAF es un firewall de aplicaciones web que permite monitorizar las solicitudes HTTP y HTTPS que se reenvían a CloudFront y permite controlar quién accede a su contenido. En función de las condiciones que especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas de consulta, CloudFront responde a las solicitudes con el contenido solicitado o con un código de estado HTTP 403 (Prohibido). También puede configurar CloudFront para devolver una página de error personalizada cuando se bloquea una solicitud. Para obtener más información acerca de AWS WAF, consulte la Guía para desarrolladores de AWS WAF.

Nombres de dominio alternativos (CNAME)

Opcional. Especifique uno o varios nombres de dominio que desee utilizar para direcciones URL de sus objetos en lugar del nombre de dominio que CloudFront asigna al crear la distribución. Debe ser el propietario del nombre de dominio, o tener autorización para utilizarlo, lo que puede demostrar añadiendo un certificado SSL/TLS.

Por ejemplo, si desea que la URL del objeto:

/images/image.jpg

sea así:

http://www.example.com/images/image.jpg

en lugar de así:

http://d111111abcdef8.cloudfront.net/images/image.jpg

añada un CNAME para www.example.com.

importante

Si añade un CNAME para www.example.com a la distribución, también debe hacer lo siguiente:

  • Crear o actualizar un registro de CNAME en el servicio de DNS para dirigir las consultas de www.example.com a d111111abcdef8.cloudfront.net.

  • Añadir a CloudFront un certificado de una entidad de certificación (CA) de confianza emitido para el nombre de dominio (CNAME) que va a añadir a la distribución, con el fin de demostrar que dispone de autorización para utilizar el nombre de dominio.

Debe tener permiso para crear un registro CNAME con el proveedor de servicios de DNS para el dominio. Por lo general, esto indica que es el propietario del dominio o que está desarrollando una aplicación para el propietario del dominio.

Para consultar el límite actual de la cantidad de nombres de dominio alternativos que puede añadir a una distribución o para solicitar una ampliación del límite, consulte Límites generales de las distribuciones web.

Para obtener más información acerca de los nombres de dominio alternativos, consulte Uso de URL personalizadas para archivos añadiendo nombres de dominio alternativos (CNAME). Para obtener más información acerca de las URL de CloudFront, consulte Personalización del formato de URL para archivos en CloudFront.

Certificado SSL

Si ha especificado un nombre de dominio alternativo para usarlo con la distribución, seleccione Custom SSL Certificate (Certificado SSL personalizado) y, a continuación, para validar su autorización para utilizar el nombre de dominio alternativo, elija un certificado emitido para él. Si desea que los espectadores utilicen HTTPS para obtener acceso a sus objetos, elija el ajuste correspondiente.

nota

Antes de que pueda especificar un certificado SSL personalizado, debe especificar un nombre de dominio alternativo válido. Para obtener más información, consulte Requisitos para el uso de nombres de dominio alternativos y Usar nombres de dominio alternativos y HTTPS.

  • Default CloudFront Certificate (Certificado de CloudFront predeterminado) (*.cloudfront.net): elija esta opción si desea utilizar el nombre de dominio de CloudFront en las URL de los objetos, por ejemplo, https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Custom SSL Certificate (Certificado SSL personalizado): – elija esta opción si desea utilizar su propio nombre de dominio en las URL de sus objetos como nombre de dominio alternativo; por ejemplo https://example.com/image1.jpg. A continuación, elija un certificado que haya sido emitido para el nombre de dominio alternativo. En la lista de certificados puede haber los elementos siguientes:

    • Certificados proporcionados por AWS Certificate Manager

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en ACM

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en el almacén de certificados de IAM

    Si elige esta opción, le recomendamos que utilice solo un nombre de dominio alternativo en las URL de sus objetos (https://example.com/logo.jpg). Si utiliza el nombre de dominio de la distribución de CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) y un cliente utiliza un visor antiguo que no admite SNI, la respuesta del visor depende del valor que elija para Clients Supported (Clientes admitidos):

    • All Clients (Todos los clientes): el visor muestra una advertencia, ya que el nombre de dominio de CloudFront no coincide con el nombre de dominio del certificado SSL/TLS.

    • Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor (SNI)): CloudFront interrumpe la conexión con el espectador sin devolver el objeto.

Cliente admitidos

Si especificó uno o varios nombres de dominio alternativos y un certificado SSL en el almacén de certificados de IAM, elija el modo en que desea que CloudFront atienda las solicitudes HTTPS, ya sea un método que funcione para todos los clientes u otro que funcione para la mayoría:

  • All Clients (Todos los clientes): cualquier cliente puede obtener acceso a su contenido. Sin embargo, debe solicitar permiso para utilizar esta característica, y se le cobrarán cargos mensuales adicionales.

  • Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor (SNI)): todos los navegadores modernos pueden obtener acceso a su contenido, ya que todos admiten SNI. Sin embargo, todavía se usan navegadores que no admiten SNI. Los usuarios con estos navegadores deben obtener acceso a su contenido utilizando algún otro método, por ejemplo, obteniendo los objetos directamente desde el origen.

Para obtener más información, consulte Usar nombres de dominio alternativos y HTTPS.

Política de seguridad

Especifique la política de seguridad que desea que CloudFront utilice para las conexiones HTTPS. Una política de seguridad determina dos ajustes:

  • El protocolo SSL/TLS mínimo que utiliza CloudFront para comunicarse con los espectadores

  • El cifrado que utiliza CloudFront para cifrar el contenido que devuelve a los espectadores

Las políticas de seguridad que están disponibles dependen de los valores que especifique para SSL Certificate (Certificado SSL) y Custom SSL Client Support (Compatibilidad con clientes SSL personalizados):

  • Cuando SSL Certificate (Certificado SSL) es Default CloudFront Certificate (*.cloudfront.net) (Certificado predeterminado de CloudFront (*.cloudfront.net)), CloudFront define automáticamente el valor de Security Policy (Política de seguridad) en TLSv1.

  • Cuando SSL Certificate (Certificado SSL) es Custom SSL Certificate (example.com) (Certificado SSL personalizado) (example.com) y Custom SSL Client Support (Compatibilidad con clientes SSL personalizados) es Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor (SNI)), debe utilizar TLSv1 o una versión posterior. Le recomendamos que elija TLSv1.1_2016 a menos que sus usuarios utilicen navegadores o dispositivos que no sean compatibles con TLSv1.1 o una versión posterior.

  • CuandoSSL Certificate (Certificado SSL) es Custom SSL Certificate (example.com) (Certificado SSL personalizado) (example.com) y Custom SSL Client Support (Certificado SSL personalizado) (example.com) is All Clients (Todos los clientes), le recomendamos que elija TLSv1. En esta configuración, las políticas de seguridad TLSv1_2016, TLSv1.1_2016 y TLSv1.2_2018 no están disponibles.

Para obtener información acerca de la relación entre la política de seguridad que elige y los protocolos y cifrados que CloudFront utiliza para comunicarse con los espectadores, consulte Protocolos SSL/TLS y cifrados admitidos para comunicación entre espectadores y CloudFront.

Versión mínima de protocolo SSL

Consulte Política de seguridad.

Versiones de HTTP compatibles

Elija la versión HTTP que desee que los espectadores usen para comunicarse con CloudFront. Los espectadores usan la última versión que configure para que CloudFront la utilice. Los espectadores que no admitan HTTP/2 utilizarán automáticamente una versión anterior.

Para que los espectadores y CloudFront utilicen HTTP/2, los espectadores deben admitir TLS 1.2 o posterior e Identificación de nombres de servidor (SNI).

En general, configurar CloudFront para comunicarse con los espectadores a través de HTTP/2 reduce la latencia. Puede mejorar el desempeño si optimiza para HTTP/2. Para obtener más información, busque "optimización http/2" en Internet.

Objeto raíz predeterminado

Opcional. El objeto que quiera que CloudFront solicite desde su origen (por ejemplo, index.html) cuando un espectador solicite la URL raíz de la distribución (http://www.example.com/) en lugar de un objeto de la distribución (http://www.example.com/product-description.html). Especificar un objeto raíz predeterminado evita exponer el contenido de su distribución.

La longitud máxima de un nombre es 255 caracteres. El nombre puede contener cualquiera de los siguientes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, pasado y devuelto como &

Al especificar el objeto raíz predeterminado, escriba únicamente el nombre de objeto, por ejemplo, index.html. No añada / antes del nombre del objeto.

Para obtener más información, consulte Especificar un objeto raíz predeterminado.

Registro

Si desea que CloudFront registre información acerca de cada solicitud de un objeto y almacene los archivos de registro en un bucket de Amazon S3. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. No se aplica ningún cargo adicional si activa los registros, pero se acumulan los cargos típicos de Amazon S3 por almacenar y obtener acceso a los archivos que se encuentren en el bucket de Amazon S3. Puede eliminar los registros en cualquier momento. Para obtener más información acerca de los registros de acceso de CloudFront, consulte Configuración y uso de registros de acceso.

Bucket para registros

Si eligió On (Act.) en Logging (Registro), el bucket de Amazon S3 en el que desea que CloudFront almacene los archivos de registro; por ejemplo, myawslogbucket.s3.amazonaws.com. Si habilita el registro, CloudFront registra información acerca de las solicitudes de un objeto realizadas por cada usuario final y almacena los archivos en el bucket de Amazon S3 especificado. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. Para obtener más información acerca de los registros de acceso de CloudFront, consulte Configuración y uso de registros de acceso.

nota

Debe tener los permisos necesarios para obtener y actualizar las ACL de buckets de Amazon S3 y la ACL de S3 del bucket debe concederle el permiso FULL_CONTROL. Esto permite a CloudFront concederle a awsdatafeeds permiso en la cuenta para guardar archivos de registro en el bucket. Para obtener más información, consulte Permisos necesarios para configurar el registro y el acceso a sus archivos de registro.

Prefijo de registros

Opcional. Si eligió On (Act.) en Logging (Registro), especifique la cadena, de haberla, a la que CloudFront debe añadir un prefijo para los nombres de archivo de los registros de acceso de esta distribución; por ejemplo, exampleprefix/. La barra inclinada (/) al final es opcional pero recomendable para simplificar la navegación de los archivos de registro. Para obtener más información acerca de los registros de acceso de CloudFront, consulte Configuración y uso de registros de acceso.

Cookie Logging

Si desea que CloudFront incluya cookies en los registros de acceso, elija On (Act.). Si decide incluir las cookies en los registros, CloudFront registra todas las cookies independientemente de cómo configura los comportamientos de la caché para esta distribución: para reenviar al origen todas las cookies, ninguna o las que se determinen en una lista concreta.

Amazon S3 no procesa las cookies, por lo que, a menos que la distribución también incluya un origen de Amazon EC2 u otro origen personalizado, le recomendamos que elija el valor Off (Desact.) en Cookie Logging (Registros de cookies).

Para obtener más información acerca de cookies, visite Almacenamiento en caché de contenido en función de cookies.

Habilitar IPv6

IPv6 es una nueva versión del protocolo IP. Es la sustitución final de IPv4 y utiliza un espacio de direcciones mayor. CloudFront siempre responde a las solicitudes por IPv4. Si desea que CloudFront responda a las solicitudes de direcciones IP IPv4 (como 192.0.2.44) y a las de direcciones IPv6 (como 2001:0db8:85a3:0000:0000:8a2e:0370:7334), seleccione Enable IPv6 (Habilitar IPv6).

En general, debe habilitar IPv6 si tiene usuarios en redes IPv6 que desean obtener acceso a su contenido. Sin embargo, si utiliza URL firmadas o cookies firmadas para restringir el acceso a su contenido además de una política personalizada con el parámetro IpAddress para restringir las direcciones IP que pueden obtener acceso a su contenido, no habilite IPv6. Si desea restringir el acceso a algún contenido por dirección IP pero no restringir otro contenido (o restringir el acceso, pero no por dirección IP), puede crear dos distribuciones. Para obtener información acerca de cómo crear URL firmadas mediante una política personalizada, consulte Crear una URL firmada mediante una política personalizada. Para obtener información acerca de cómo crear cookies firmadas mediante una política personalizada, consulte Establecer cookies firmadas mediante una política personalizada.

Si utiliza un conjunto de registros de recursos de alias de Route 53 para dirigir el tráfico a su distribución de CloudFront, debe crear un segundo conjunto de registros de recursos de alias cuando las dos condiciones siguientes se cumplan:

  • Ha habilitado IPv6 para la distribución.

  • Está utilizando nombres de dominio alternativo en las URL de sus objetos.

Para obtener más información, consulte Direccionamiento del tráfico a una distribución web de Amazon CloudFront mediante el nombre de dominio en la Guía para desarrolladores de Amazon Route 53.

Si ha creado un conjunto de registros de recursos de CNAME, ya sea con Route 53 o con otro servicio de DNS, no es necesario realizar ningún cambio. Un registro CNAME dirigirá el tráfico hacia la distribución, sin tener en cuenta el formato de la dirección IP de la solicitud del espectador.

Si habilita IPv6 y registros de acceso de CloudFront, la columna c-ip incluirá valores en formato IPv4 e IPv6. Para obtener más información, consulte Configuración y uso de registros de acceso.

nota

Para mantener una alta disponibilidad para los clientes, CloudFront responderá a solicitudes de los espectadores a través de IPv4 si nuestros datos sugieren que ese protocolo proporcionará una mejor experiencia de usuario. Para saber qué porcentaje de solicitudes CloudFront atiende por IPv6, habilite el registro de CloudFront para su distribución y analice la columna c-ip, que contiene la dirección IP del espectador que hizo la solicitud. Este porcentaje debería crecer con el paso del tiempo, pero seguirá siendo una minoría de tráfico ya que IPv6 aún no es compatible con todas las redes de espectadores en todo el mundo. Algunas redes de espectadores tienen excelente compatibilidad con IPv6, pero otras no admiten IPv6 en absoluto. (En este sentido, una red de espectadores es sinónimo de su red doméstica u operador de Internet).

Para obtener más información acerca de la compatibilidad con IPv6, consulte las preguntas frecuentes de CloudFront. Para obtener más información acerca de la activación de registros de acceso, consulte los campos Registro, Bucket para registrosy Prefijo de registros.

Comentario

Opcional. Al crear una distribución, puede incluir un comentario de hasta 128 caracteres. Puede actualizarlo en cualquier momento.

Estado de la distribución

Indica si desea habilitar o deshabilitar la distribución una vez implementada:

  • Enabled (Habilitada) significa que tan pronto como la distribución se implemente totalmente, podrá implementar enlaces que utilizan el nombre de dominio de la distribución y los usuarios podrán recuperar contenido. Cuando una distribución está habilitada, CloudFront acepta y gestiona cualquier solicitud de contenido realizada por cualquier usuario final y que utilice el nombre de dominio asociado a esa distribución.

    Al crear, modificar o eliminar una distribución de CloudFront, lleva tiempo propagar los cambios a la base de datos de CloudFront. Una solicitud inmediata para obtener información acerca de una distribución puede no mostrar el cambio. La propagación suele completarse en cuestión de minutos, pero una carga de sistema o una partición de red elevadas podrían aumentar este tiempo.

  • Disabled (Deshabilitada) significa que, aunque la distribución puede haberse implementado y estar lista para su uso, los usuarios no pueden utilizarla. Cuando una distribución está deshabilitada, CloudFront no acepta ninguna solicitud realizada por ningún usuario final y que utilice el nombre de dominio asociado a esa distribución. Hasta que no cambie la distribución de deshabilitada a habilitada (actualizando de la distribución de la configuración), nadie podrá utilizarla.

Puede cambiar una distribución entre habilitada y deshabilitada tantas veces como quiera. Siga el proceso para actualizar la configuración de una distribución. Para obtener más información, consulte Actualización de una distribución.

Páginas de error personalizadas y almacenamiento de errores en caché

Puede hacer que CloudFront devuelva un objeto al espectador (por ejemplo, un archivo HTML) cuando su Amazon S3 u origen personalizado devuelve un código de estado HTTP 4xx y 5xx a CloudFront. También puede especificar por cuánto tiempo almacenar en las cachés perimetrales de CloudFront una respuesta de error desde su origen o una página de error personalizada. Para obtener más información, consulte Creación de una página de error personalizada para códigos de estado HTTP específicos.

nota

Los siguientes valores no se incluyen en el asistente Create Distribution, lo que significa que solo puede configurar páginas de error personalizadas al actualizar una distribución.

Código de error

El código de estado HTTP para el que desea que CloudFront devuelva una página de error personalizada. Puede configurar CloudFront para devolver páginas de error personalizadas para ninguno, algunos o todos los códigos de estado HTTP que CloudFront almacena en caché.

Ruta de la página de respuesta

La ruta a la página de error personalizada (por ejemplo, /4xx-errors/403-forbidden.html) que desea que CloudFront devuelva a un espectador cuando el origen devuelve el código de estado HTTP especificado en Error Code (Código de error) (por ejemplo, 403). Si desea almacenar los objetos y las páginas de error personalizadas en diferentes ubicaciones, la distribución debe incluir un comportamiento de la caché que cumpla con las siguientes condiciones:

  • El valor de Path Pattern (Patrón de ruta) debe coincidir con la ruta de los mensajes de error personalizados. Supongamos que ha guardado páginas personalizadas para errores 4xx en un bucket de Amazon S3 en un directorio llamado /4xx-errors. La distribución debe incluir un comportamiento de caché cuyo patrón de ruta dirija las solicitudes de las páginas de error personalizadas a esa ubicación, por ejemplo, /4xx-errors/*.

  • El valor de Origin (Origen) especifica el valor de Origin ID (ID de origen) del origen que contiene las páginas de error personalizadas.

Código de respuesta

El código de estado HTTP que desea que CloudFront devuelva al espectador junto con la página de error personalizada.

TTL mínimo de almacenamiento de errores en caché

El tiempo mínimo que desee que CloudFront almacene en caché las respuestas de error de su servidor de origen.

Restricciones

Si necesita impedir que los usuarios de países concretos accedan a su contenido, puede configurar la distribución de CloudFront para permitirle a los usuarios de una lista blanca de ciertos países el acceso a su contenido o para no permitírselo a los usuarios de una lista negra de otros países. Para obtener más información, consulte Restringir la distribución geográfica de su contenido.

nota

Los siguientes valores no se incluyen en el asistente Create Distribution, lo que significa que solo puede configurar restricciones geográficas al actualizar una distribución.

Habilitar restricciones geográficas

Si desea evitar que los usuarios de ciertos países accedan a su contenido. No se aplica ningún cargo adicional por la configuración de restricción geográfica.

Tipo de restricción

Cómo desea especificar los países en los que los usuarios pueden acceder a su contenido:

  • Lista blanca: la lista Countries (Países) incluye todos los países a cuyos usuarios desea permitirles acceso a su contenido.

  • Lista negra: la lista Countries (Países) incluye todos los países a cuyos usuarios no desea permitirles acceso a su contenido.

Países

Los países que desea añadir a la lista positiva o lista negra. Para añadir un país, selecciónelo en la lista de la izquierda y elija Add (Añadir). Tenga en cuenta lo siguiente:

  • Para añadir varios países consecutivos, seleccione el primer país, mantenga pulsada la tecla Mayús, seleccione el último país y elija Add (Añadir).

  • Para añadir varios países no consecutivos, seleccione el primer país, mantenga pulsada la tecla Ctrl, seleccione cada uno de los demás países y elija Add (Añadir).

  • Para encontrar un país en la lista de la izquierda, escriba los primeros caracteres del nombre completo del país.

  • El código de dos letras que aparece delante del nombre de cada país es el valor que debe escribir si desea crear o actualizar una distribución de CloudFront mediante la API. Utilizamos los códigos de país de la Organización Internacional de Normalización. Para obtener una lista sencilla y organizable por código y nombre de país, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.