Referencia de configuración de la distribución
Cuando se utiliza la consola de CloudFront
Para obtener más información acerca de cómo crear o actualizar una distribución utilizando la consola de CloudFront, consulte Creación de una distribución o Actualizar una distribución.
Temas
Configuración de origen
Al crear o actualizar una distribución mediante la consola de CloudFront, proporciona información acerca de una o varias ubicaciones, conocidas como orígenes, donde se almacenan las versiones originales del contenido web. CloudFront obtiene el contenido web desde sus orígenes y los envía a los lectores a través de una red global de servidores periféricos.
Para obtener información sobre el número máximo actual de orígenes que puede crear para una distribución o para solicitar una cuota más alta, consulte Cuotas generales de distribuciones.
Si desea eliminar un origen, primero debe editar o eliminar los comportamientos de la caché que están asociados con dicho origen.
importante
Si elimina un origen, confirme que los archivos que se han servido anteriormente a ese origen estén disponibles en otro origen y que los comportamientos de la caché ya estén direccionando las solicitudes para dichos archivos al nuevo origen.
Al crear o actualizar una distribución deberá especificar los siguientes valores para cada origen.
Temas
- Dominio de origen
- Protocolo (solo orígenes personalizados)
- Ruta de origen
- Nombre
- Acceso de origen (solo orígenes de Amazon S3)
- Agregar encabezado personalizado
- Habilitar Origin Shield
- Intentos de conexión
- Tiempo de espera de conexión
- Tiempo de espera de respuesta (solo orígenes personalizados)
- Tiempo de espera de keep-alive (solo orígenes personalizados)
- Cuotas de tiempo de espera de respuesta y de keep-alive
Dominio de origen
El dominio del origen es el nombre del dominio de DNS del recurso donde CloudFront obtendrá objetos para el origen, por ejemplo, un bucket de Amazon S3 o un servidor HTTP. Por ejemplo:
-
Bucket de Amazon S3 –
amzn-s3-demo-bucket
.s3.us-west-2
.amazonaws.comnota
Si ha creado recientemente el bucket de S3, la distribución de CloudFront podría devolver respuestas
HTTP 307 Temporary Redirect
durante un periodo máximo de 24 horas. El nombre del bucket de S3 puede tardar hasta 24 horas en propagarse a todas las regiones de AWS. Cuando se complete la propagación, la distribución deja de enviar automáticamente estas respuestas de redirección; no es necesario que realice ninguna acción. Para obtener más información, consulte ¿Por qué recibo una respuesta de redirección temporal HTTP 307 de Amazon S3?y Redirección temporal de solicitudes. -
Bucket de Amazon S3 configurado como un sitio web –
amzn-s3-demo-bucket
.s3-website.us-west-2
.amazonaws.com -
Contenedor MediaStore –
examplemediastore
.data.mediastore.us-west-1
.amazonaws.com -
Punto de enlace de MediaPackage –
examplemediapackage
.mediapackage.us-west-1
.amazonaws.com -
Instancia Amazon EC2 –
ec2-203-0-113-25
.compute-1.amazonaws.com -
Balanceador de carga Elastic Load Balancing –
example-load-balancer-1234567890
.us-west-2
.elb.amazonaws.com -
Su propio servidor web –
www.example.com
Elija el nombre de dominio en el campo Origin domain (Dominio de origen) o escriba el nombre. Los recursos de las regiones registradas se deben ingresar de forma manual. El nombre de dominio no distingue entre mayúsculas y minúsculas. El dominio de origen debe tener un nombre de DNS que se resuelve públicamente que enruta las solicitudes de los clientes a destinos a través de Internet.
Si configura CloudFront para conectarse al origen a través de HTTP, uno de los nombres de dominio del certificado debe coincidir con el nombre de dominio que especifique para Nombre de dominio de origen. Si no coincide ningún nombre de dominio, CloudFront devuelve al lector un código de estado HTTP 502 (Puerta de enlace incorrecta). Para obtener más información, consulte Nombres de dominio en la distribución de CloudFront y en el certificado y Error de negociación SSL/TLS entre CloudFront y un servidor de origen personalizado.
nota
Si está usando una política de solicitud de origen que reenvía el encabezado de host de lector al origen, el origen debe responder con un certificado que coincida con el encabezado de host de lector. Para obtener más información, consulte Añadido de encabezados de solicitudes de CloudFront.
Si su origen es un bucket de Amazon S3, tenga en cuenta lo siguiente:
-
Si el bucket está configurado como sitio web, ingrese el punto de conexión de alojamiento de sitios web estáticos de Amazon S3 del bucket. No seleccione el nombre del bucket en la lista del campo Origin domain (Dominio de origen). Este punto de conexión de alojamiento del sitio web aparecerá en la consola de Amazon S3 en la página Properties (Propiedades), en Static Website Hosting (Alojamiento de sitio web estático). Para obtener más información, consulte Uso de un bucket de Amazon S3 configurado como punto de conexión del sitio web.
-
Si ha configurado Amazon S3 Transfer Acceleration en su bucket, no especifique el punto de conexión
s3-accelerate
para Origin domain (Dominio de origen). -
Si utiliza un bucket de otra cuenta de AWS y el bucket no está configurado como un sitio web, escriba el nombre en el siguiente formato:
bucket-name
.s3.region
.amazonaws.comSi su bucket se encuentra en una región de EE. UU. y desea que Amazon S3 direccione las solicitudes a una instalación en el norte de Virginia, utilice el siguiente formato:
bucket-name
.s3.us-east-1.amazonaws.com -
Los archivos deben ser legibles públicamente a no ser que proteja su contenido en Amazon S3 mediante un control de acceso de origen de CloudFront. Para obtener más información sobre el control de acceso, consulte Restricción del acceso a un origen de Amazon Simple Storage Service.
importante
Si el origen es un bucket de Amazon S3, el nombre del bucket debe cumplir los requisitos de nomenclatura de DNS. Para obtener más información, consulte Restricciones y limitaciones de buckets en la Guía del usuario de Amazon Simple Storage Service.
Al cambiar el valor de Origin Domain (Dominio de origen) por un origen, CloudFront inmediatamente comienza a replicar el cambio en las ubicaciones de borde de CloudFront. Hasta que la configuración de la distribución se actualiza en una ubicación de borde determinada, CloudFront continúa reenviando solicitudes al servidor HTTP o al origen anterior. Tan pronto como la configuración de la distribución se actualiza en esa ubicación de borde, CloudFront comienza a reenviar solicitudes al nuevo origen.
Cambiar el origen no requiere que CloudFront vuelva a incluir las cachés periféricas con objetos del nuevo origen. Siempre que las solicitudes de los lectores en su aplicación no cambien, CloudFront sigue ofreciendo objetos que ya estén en una caché de borde hasta que el TTL de cada objeto caduque o hasta que los objetos poco solicitados sean desalojados.
Protocolo (solo orígenes personalizados)
nota
Esto solo se aplica a los orígenes personalizados.
La política de protocolo que desea que CloudFront utilice cuando solicite objetos del origen.
Elija uno de los valores siguientes:
-
HTTP Only (Solo HTTP): CloudFront utiliza solo HTTP para acceder al origen.
importante
HTTP Only (Solo HTTP): es la configuración predeterminada cuando el origen es un punto de conexión de alojamiento de sitio web estático de Amazon S3, ya que Amazon S3 no admite conexiones HTTPS para puntos de conexión de alojamiento de sitio web estático. La consola de CloudFront no admite el cambio de esta configuración para los puntos de enlace de alojamiento de sitios web estáticos de Amazon S3.
-
HTTPS Only (Solo HTTPS): CloudFront solo utiliza HTTPS para obtener acceso al origen.
-
Match Viewer (Coincidir con lector): CloudFront se comunica con el origen mediante HTTP o HTTPS, en función del protocolo de la solicitud del lector. Tenga en cuenta que CloudFront almacena en caché el objeto solo una vez, incluso si los lectores realizan solicitudes a través de los protocolos HTTP y HTTPS.
importante
En el caso de la solicitudes HTTPS de lector que CloudFront reenvía a este origen, uno de los nombres de dominio del certificado SSL/TLS en su servidor de origen debe coincidir con el nombre de dominio que especifique en Origin domain (Dominio de origen). En caso contrario, CloudFront responde a las solicitudes del lector con un código de estado HTTP 502 (Gateway incorrecta) en lugar de devolver el objeto solicitado. Para obtener más información, consulte Requisitos para la utilización de certificados SSL/TLS con CloudFront.
Puerto HTTP
nota
Esto solo se aplica a los orígenes personalizados.
(Opcional) Puede especificar el puerto HTTP en el que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 80.
importante
El puerto 80 es la configuración predeterminada cuando el origen es un punto de enlace de alojamiento de sitio web estático de Amazon S3, ya que Amazon S3 solo admite el puerto 80 para los puntos de enlace de alojamiento de sitio web estático. La consola de CloudFront no admite el cambio de esta configuración para los puntos de enlace de alojamiento de sitios web estáticos de Amazon S3.
Puerto HTTPS
nota
Esto solo se aplica a los orígenes personalizados.
(Opcional) Puede especificar el puerto HTTPS en el que escucha el origen personalizado. Los valores válidos son los puertos 80, 443 y 1024 y 65535. El valor predeterminado es el puerto 443. Cuando Protocol (Protocolo) se establece en HTTP only (Solo HTTP), no puede especificar un valor para HTTPS port (Puerto HTTPS).
Protocolo SSL mínimo del origen
nota
Esto solo se aplica a los orígenes personalizados.
Elija el protocolo TLS/SSL que CloudFront puede utilizar como mínimo cuando establece una conexión HTTPS con el origen. Los protocolos TLS inferiores son menos seguros, por lo que le recomendamos que elija el protocolo TLS más reciente que admita el origen. Cuando Protocol (Protocolo) se establece en HTTP only (Solo HTTP), no puede especificar un valor para Minimum origin SSL protocol (Protocolo SSL de origen mínimo).
Si utiliza la API de CloudFront para establecer el protocolo TLS/SSL para que CloudFront lo utilice, no podrá establecer un protocolo mínimo. En su lugar, debe especificar todos los protocolos TLS/SSL que CloudFront puede utilizar con su origen. Para obtener más información, consulte OriginSslProtocols en la Referencia de la API de Amazon CloudFront.
Ruta de origen
Si desea que CloudFront solicite el contenido de un directorio en su origen, ingrese la ruta del directorio comenzando por una barra diagonal (/). CloudFront agrega la ruta del directorio al valor de Origin domain (Dominio de origen), por ejemplo, cf-origin.example.com/production/images
. No añada una barra inclinada (/) al final de la ruta.
Por ejemplo, suponga que ha especificado los siguientes valores para su distribución:
-
Origin domain (Dominio de origen): un bucket de Amazon S3 llamado
amzn-s3-demo-bucket
-
Origin path (Ruta de origen):
/production
-
Alternate domain names (CNAME) (Nombres de dominio alternativos (CNAME)):
example.com
Cuando un usuario escribe example.com/index.html
en un navegador, CloudFront envía una solicitud a Amazon S3 de amzn-s3-demo-bucket/production/index.html
.
Cuando un usuario escribe example.com/acme/index.html
en un navegador, CloudFront envía una solicitud a Amazon S3 de amzn-s3-demo-bucket/production/acme/index.html
.
Nombre
Un nombre es una cadena que identifica de forma exclusiva este origen en esta distribución. Si crea comportamientos de caché además del comportamiento de caché predeterminado, utilice el nombre que especifique aquí para identificar el origen al que desea que CloudFront dirija una solicitud cuando esta coincida con el patrón de ruta de ese comportamiento de caché.
Acceso de origen (solo orígenes de Amazon S3)
nota
Esto solo se aplica a los orígenes del bucket de Amazon S3 (aquellos que no utilizan el punto de enlace del sitio web estático de S3).
Elija Origin access control settings (recommended) (Configuración de control de acceso de origen [recomendada]) si desea que sea posible restringir el acceso a un origen de bucket de Amazon S3 solo a determinadas distribuciones de CloudFront.
Elija Public (Público) si el origen del bucket de Amazon S3 es de acceso público.
Para obtener más información, consulte Restricción del acceso a un origen de Amazon Simple Storage Service.
Para obtener información acerca de cómo exigir a los usuarios a obtener acceso a los objetos de un origen personalizado empleando solo URL de CloudFront, consulte Restricción del acceso a archivos en orígenes personalizados.
Agregar encabezado personalizado
Si desea que CloudFront agregue encabezados personalizados cada vez que envía una solicitud al origen, especifique el encabezado y su valor. Para obtener más información, consulte Añadido de encabezados personalizados a solicitudes de origen.
Para ver la cantidad máxima actual de encabezados personalizados que puede agregar, la longitud máxima de los nombres de encabezado personalizados y sus valores, y la longitud máxima total de todos los nombres y valores de encabezados, consulte Cuotas.
Habilitar Origin Shield
Elija Yes (Sí) para habilitar CloudFront Origin Shield. Para obtener más información sobre Origin Shield, consulte Uso de Amazon CloudFront Origin Shield.
Intentos de conexión
Puede configurar el número de veces que CloudFront intenta conectarse al origen. Puede especificar 1, 2 o 3 como el número de intentos. El número predeterminado (si no especifica lo contrario) es 3.
Utilice esta configuración junto con Connection Timeout (Tiempo de espera de conexión) para especificar cuánto tiempo debe esperar CloudFront antes de intentar conectarse al origen secundario o devolver una respuesta de error al lector. De forma predeterminada, CloudFront espera hasta 30 segundos (3 intentos de 10 segundos cada uno) antes de intentar conectarse al origen secundario o devolver una respuesta de error. Puede reducir este tiempo si especifica menos intentos, un tiempo de espera de conexión más corto o ambas opciones.
Si se produce un error en el número especificado de intentos de conexión, CloudFront realiza una de las acciones siguientes:
-
Si el origen forma parte de un grupo de orígenes, CloudFront intenta conectarse al origen secundario. Si se produce un error en el número especificado de intentos de conexión al origen secundario, CloudFront devuelve una respuesta de error al lector.
-
Si el origen no forma parte de un grupo de orígenes, CloudFront devuelve una respuesta de error al lector.
En el caso de un origen personalizado (incluido un bucket de Amazon S3 configurado con alojamiento de sitio web estático), esta configuración también especifica el número de veces que CloudFront intenta obtener una respuesta del origen. Para obtener más información, consulte Tiempo de espera de respuesta (solo orígenes personalizados).
Tiempo de espera de conexión
El tiempo de espera de conexión de origen es el número de segundos que CloudFront espera al intentar establecer una conexión con el origen. Puede especificar un número de segundos entre 1 y 10 (ambos inclusive). El tiempo de espera predeterminado (si no especifica lo contrario) es de 10 segundos.
Utilice esta configuración junto con Connection attempts (Intentos de conexión) para especificar cuánto tiempo debe esperar CloudFront antes de intentar conectarse al origen secundario o antes de devolver una respuesta de error al lector. De forma predeterminada, CloudFront espera hasta 30 segundos (3 intentos de 10 segundos cada uno) antes de intentar conectarse al origen secundario o devolver una respuesta de error. Puede reducir este tiempo si especifica menos intentos, un tiempo de espera de conexión más corto o ambas opciones.
Si CloudFront no establece una conexión con el origen en el número de segundos especificado, CloudFront realiza una de las acciones siguientes:
-
Si el número especificado de Connection attempts (Intentos de conexión) es superior a 1, CloudFront intenta de nuevo establecer una conexión. CloudFront lo intenta hasta tres veces, según lo determinado por el valor de Connection attempts (Intentos de conexión).
-
Si fallan todos los intentos de conexión y el origen forma parte de un grupo de orígenes, CloudFront intenta conectarse al origen secundario. Si se produce un error en el número especificado de intentos de conexión al origen secundario, CloudFront devuelve una respuesta de error al lector.
-
Si fallan todos los intentos de conexión y el origen no forma parte de un grupo de orígenes, CloudFront devuelve una respuesta de error al lector.
Tiempo de espera de respuesta (solo orígenes personalizados)
El tiempo de espera de respuesta del origen, también conocido como tiempo de espera de lectura de origen y tiempo de espera de solicitud de origen, se aplica a los dos valores siguientes:
-
Tiempo (en segundos) que CloudFront espera una respuesta después de enviar una solicitud al origen.
-
Tiempo (en segundos) que CloudFront espera después de recibir el paquete de una respuesta desde el origen y antes de recibir el paquete siguiente.
sugerencia
Si desea aumentar el valor de tiempo de espera porque los lectores están experimentando errores de código de estado HTTP 504, considere la posibilidad de explorar otras formas de eliminar dichos errores antes de cambiar el valor del tiempo de espera. Consulte las sugerencias de resolución de problemas en Código de estado HTTP 504 (Tiempo de espera de puerta de enlace agotado).
El comportamiento CloudFront depende del método HTTP en la solicitud del lector.
-
Solicitudes
GET
yHEAD
: si el origen no responde o deja de responder durante el tiempo de espera de la respuesta, CloudFront interrumpe la conexión. CloudFront intenta de nuevo conectarse de acuerdo con el valor de Intentos de conexión. -
Solicitudes
DELETE
,OPTIONS
,PATCH
,PUT
yPOST
: si el origen no responde mientras dura el tiempo de espera de lectura, CloudFront interrumpe la conexión y no vuelve a intentar ponerse en contacto con el origen. El cliente puede volver a enviar la solicitud en caso de que sea necesario.
Tiempo de espera de keep-alive (solo orígenes personalizados)
El tiempo de espera de keep-alive es el tiempo (en segundos) que CloudFront intenta mantener una conexión con el origen personalizado después de que obtenga el último paquete de una respuesta. Garantizar una conexión persistente ahorra el tiempo necesario para restablecer la conexión TCP y realizar otro protocolo de enlace TLS para solicitudes posteriores. Aumentar el tiempo de keep-alive ayuda a mejorar la métrica de solicitud por conexión en distribuciones.
nota
Para que el valor de Keep-alive timeout (Tiempo de espera de keep-alive) tenga efecto, el origen debe estar configurado para permitir las conexiones persistentes.
Cuotas de tiempo de espera de respuesta y de keep-alive
nota
Esto solo se aplica a los orígenes personalizados.
-
El valor predeterminado de Tiempo de espera de respuesta es de 30 segundos.
-
El valor predeterminado de Tiempo de espera de keep-alive es de 5 segundos.
-
Para cualquiera de las cuotas, puede especificar un valor de 1 a 60 segundos. Para solicitar un aumento, cree un caso de asistencia en la AWS Support Center Console/
.
Después de solicitar un aumento del tiempo de espera para su Cuenta de AWS, actualice los orígenes de la distribución para que tengan los valores de tiempo de espera de respuesta y keep-alive que desee. Al aumentar la cuota para su cuenta, no se actualizan automáticamente sus orígenes. Por ejemplo, si utiliza una función de Lambda@Edge para establecer un tiempo de espera de keep-alive de 90 segundos, su origen ya debe tener un tiempo de espera de keep-alive de 90 segundos o más. De lo contrario, es posible que la función de Lambda@Edge no se ejecute.
Para obtener más información acerca de las cuotas de distribución, consulte Cuotas generales de distribuciones.
Configuración del comportamiento de la caché
Al configurar el comportamiento de la caché, puede configurar una amplia variedad de funcionalidades de CloudFront para un determinado patrón de ruta de URL de archivos en su sitio web. Por ejemplo, un comportamiento de la caché puede ser aplicable a todos los archivos .jpg
del directorio images
del servidor web que se esté utilizando como servidor de origen para CloudFront. La funcionalidad que puede definir para cada comportamiento de la caché incluye:
-
El patrón de ruta.
-
Si ha configurado varios orígenes para su distribución de CloudFront, el origen al que desea que CloudFront reenvíe sus solicitudes.
-
Si enviar cadenas de consulta a su origen.
-
Si acceder a los archivos especificados requiere URL firmadas.
-
Si exigir a los usuarios que utilicen HTTPS para obtener acceso a los archivos.
-
El tiempo mínimo que dichos archivos se mantienen en la caché de CloudFront independientemente del valor de los encabezados
Cache-Control
que el origen agregue a los archivos.
Al crear una nueva distribución, debe especificar la configuración del comportamiento de la caché predeterminado, que reenvía automáticamente todas las solicitudes al origen que especifique al crear la distribución. Después de crear una distribución, puede crear más comportamientos de la caché que definen cómo CloudFront responde cuando recibe una solicitud de objetos que coincide con un patrón de ruta, por ejemplo, *.jpg
. Si crea más comportamientos de la caché, el predeterminado será siempre el último en procesarse. Los demás comportamientos de la caché se procesan en el orden en que aparecen en la consola de CloudFront o, si está utilizando la API de CloudFront, en el orden en que se enumeran en el elemento DistributionConfig
de la distribución. Para obtener más información, consulte Patrón de ruta.
Al crear un comportamiento de la caché, debe especificar el origen desde el que desea que CloudFront obtenga objetos. Por lo tanto, si desea que CloudFront distribuya objetos de todos los orígenes, debe crear al menos tantos comportamientos de la caché (incluido el predeterminado) como orígenes tenga. Por ejemplo, si tiene dos orígenes y solo el comportamiento de la caché predeterminado, este hace que CloudFront obtenga objetos desde uno de los orígenes, pero el otro origen no se usa jamás.
Para obtener información sobre el número máximo actual de comportamientos de la caché que puede agregar a una distribución o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.
Temas
- Patrón de ruta
- Origen o grupo de origen
- Política de protocolo para lectores
- Métodos HTTP permitidos
- Configuración de cifrado de nivel de campo
- Métodos HTTP almacenados en caché
- Caché en función de encabezados de solicitud seleccionados
- Encabezados de lista de permitidos
- Almacenamiento de objetos en caché
- Tiempo de vida mínimo
- Tiempo de vida máximo
- Tiempo de vida (TTL) predeterminado
- Reenvío de cookies
- Cookies de lista de permitidos
- Reenvío de cadenas de consulta y almacenamiento en caché
- Lista de permitidos de cadenas de consulta
- Smooth Streaming
- Restringir el acceso del lector (usar URL firmadas o cookies firmadas)
- Firmantes de confianza
- Números de Cuenta de AWS
- Comprimir objetos automáticamente
- Evento CloudFront
- ARN de la función Lambda
- Incluir cuerpo
Patrón de ruta
El patrón de ruta (por ejemplo, images/*.jpg
) que especifica a qué solicitudes desea que sea aplicable este comportamiento de la caché. Cuando CloudFront recibe una solicitud de un usuario final, la ruta solicitada se compara con patrones de ruta en el orden en el que se enumeran los comportamientos de la caché en la distribución. La primera coincidencia determina el comportamiento de la caché que se aplicará a dicha solicitud. Por ejemplo, suponga que tiene tres comportamientos de la caché con los siguientes tres patrones de ruta, en este orden:
-
images/*.jpg
-
images/*
-
*.gif
nota
De forma opcional, puede incluir una barra inclinada (/) al principio de la ruta de acceso, por ejemplo, /images/*.jpg
. El comportamiento de CloudFront es el mismo con o sin la / al principio. Si no especifica “/” al principio de la ruta, este carácter se deduce de forma automática; CloudFront trata la ruta igual con el carácter “/” inicial o sin él. Por ejemplo, CloudFront trata /*product.jpg
igual que *product.jpg
.
Una solicitud del archivo images/sample.gif
no satisface el primer patrón de ruta, por lo que los comportamientos de la caché asociados no se aplicarán a la solicitud. El archivo satisface el segundo patrón de ruta, por lo que los comportamientos de la caché asociados al segundo patrón de ruta se aplican a pesar de que la solicitud también coincide con el tercer patrón de ruta.
nota
Al crear una nueva distribución, el valor de Path Pattern (Patrón de ruta) del comportamiento de la caché predeterminado se establece como * (todos los archivos) y no puede modificarse. Este valor hace que CloudFront reenvíe todas las solicitudes de los objetos al origen que ha especificado en el campo Dominio de origen. Si la solicitud de un objeto no coincide con el patrón de ruta de ningún otro comportamiento de la caché, CloudFront aplica el comportamiento que especifique al comportamiento de la caché predeterminado.
importante
Defina los patrones de ruta y su orden detenidamente para evitar que los usuarios puedan acceder a contenido al que no desea otorgar acceso. Supongamos que una solicitud coincide con el patrón de ruta de dos comportamientos de la caché. El primer comportamiento de la caché no requiere URL firmadas ni cookies firmadas y el segundo requiere URL firmadas. Los usuarios pueden tener acceso a los objetos sin usar una URL firmada porque CloudFront procesa el comportamiento de la caché asociado a la primera coincidencia.
Si trabaja con un canal de MediaPackage, debe incluir patrones de ruta específicos para el comportamiento de la caché que se haya definido para el tipo de punto de enlace del origen. Por ejemplo, en el caso de un punto de enlace DASH, debería escribir *.mpd
para Path Pattern (Patrón de ruta). Para obtener más información e instrucciones específicas, consulte Distribución de vídeo en directo formateado con AWS Elemental MediaPackage.
La ruta especificada es aplicable a las solicitudes de todos los archivos del directorio especificado y sus subdirectorios. CloudFront no tiene en cuenta las cadenas de consulta ni cookies a la hora de evaluar el patrón de ruta. Por ejemplo, si un directorio images
contiene subdirectorios product1
y product2
, el patrón de ruta images/*.jpg
resulta aplicable a las solicitudes de cualquier archivo .jpg en los directorios images
, images/product1
y images/product2
. Si desea aplicar un comportamiento de la caché a los archivos del directorio images/product1
que sea distinto al comportamiento a aplicar a los archivos de los directorios images
y images/product2
, cree un comportamiento de la caché independiente para images/product1
y muévalo a la posición superior (previa) a la del comportamiento de la caché para el directorio images
.
Puede utilizar los siguientes caracteres comodín en el patrón de ruta:
-
*
coincide con 0 o más caracteres. -
?
coincide exactamente con 1 carácter.
Los siguientes ejemplos muestran cómo funcionan los caracteres comodín:
Patrón de ruta | Archivos que coinciden con el patrón de ruta |
---|---|
|
Todos los archivos .jpg. |
|
Todos los archivos .jpg del directorio |
|
|
|
Todos los archivos .jpg cuyos nombres de archivo comienzan por |
|
Todos los archivos cuyas extensiones de nombre de archivo comienzan por |
La longitud máxima de un patrón de ruta es 255 caracteres. El valor puede contener cualquiera de los siguientes caracteres:
-
A-Z, a-z
Los patrones de ruta distinguen entre mayúsculas y minúsculas, por lo que el patrón de ruta
*.jpg
no sería aplicable al archivoLOGO.JPG
. -
0-9
-
_ - . * $ / ~ " ' @ : +
-
&, pasado y devuelto como
&
Normalización de rutas
CloudFront normaliza las rutas de URI de acuerdo con la RFC 3986
Algunos caracteres se normalizan y se eliminan de la ruta, como las barras diagonales múltiples (//
) o los puntos (..
). Esto puede alterar la URL que CloudFront utiliza para que coincida con el comportamiento de caché previsto.
ejemplo Ejemplo
Especifique las rutas /a/b*
y /a*
del comportamiento de caché.
-
Un lector que envíe la ruta
/a/b?c=1
coincidirá con el comportamiento de caché/a/b*
. -
Un lector que envíe la ruta
/a/b/..?c=1
coincidirá con el comportamiento de caché/a*
.
Para evitar que las rutas se normalicen, puede actualizar las rutas de solicitud o el patrón de ruta del comportamiento de caché.
Origen o grupo de origen
Esta configuración solo se aplica cuando se crea o actualiza un comportamiento de caché para una distribución existente.
Especifique el valor de un origen o grupo de origen existente. Este identifica el origen o el grupo de orígenes al que desea que CloudFront dirija solicitudes cuando una solicitud (como https://example.com/logo.jpg) coincide con el patrón de ruta para un comportamiento de caché (como *.jpg) o para el comportamiento de caché predeterminado (*).
Política de protocolo para lectores
Elija la política de protocolo que desea que los lectores utilicen para acceder a su contenido en las ubicaciones de borde de CloudFront:
-
HTTP and HTTPS (HTTP y HTTPS): los espectadores pueden utilizar ambos protocolos.
-
Redirect HTTP to HTTPS (Redireccionamiento de HTTP a HTTPS): los espectadores pueden utilizar ambos protocolos, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS.
-
HTTPS Only (Solo HTTPS): los espectadores solo pueden obtener acceso a su contenido si utilizan HTTPS.
Para obtener más información, consulte Exigencia de HTTPS para la comunicación entre lectores y CloudFront.
Métodos HTTP permitidos
Especifique los métodos HTTP que desea que CloudFront procese y reenvíe al origen:
-
GET, HEAD: puede usar CloudFront solo para obtener los objetos desde su origen o para obtener encabezados de objeto.
-
GET, HEAD, OPTIONS: puede utilizar CloudFront solo para obtener objetos del origen, obtener encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
-
GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: puede utilizar CloudFront para obtener, agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede realizar otras operaciones de POST como enviar datos desde un formulario web.
nota
CloudFront almacena en caché las respuestas a las solicitudes
GET
yHEAD
y, de forma opcional, de las solicitudesOPTIONS
. Las respuestas a las solicitudesOPTIONS
se almacenan en caché por separado de las respuestas a las solicitudesGET
yHEAD
(el métodoOPTIONS
se incluye en la clave de caché para solicitudesOPTIONS
). CloudFront no almacena en caché las respuestas a las solicitudes que utilizan otros métodos.
importante
Si elige GET, HEAD, OPTIONS o GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE, seguramente necesite restringir el acceso al bucket de Amazon S3 o a su origen personalizado para que los usuarios no puedan realizar operaciones indeseadas. Los siguientes ejemplos explican cómo restringir el acceso:
-
Si utiliza Amazon S3 como origen de la distribución: cree un control de acceso de origen de CloudFront para restringir el acceso a su contenido de Amazon S3 y conceda permisos al control de acceso de origen. Por ejemplo, si configura CloudFront para que acepte y reenvíe estos métodos solo porque desea utilizar
PUT
, deberá volver a configurar las políticas del bucket de Amazon S3 para gestionar las solicitudesDELETE
de forma adecuada. Para obtener más información, consulte Restricción del acceso a un origen de Amazon Simple Storage Service. -
Si utiliza un origen personalizado: configure el servidor de origen para gestionar todos los métodos. Por ejemplo, si configura CloudFront para que acepte y reenvíe estos métodos solo porque desea utilizar
POST
, deberá volver a configurar el servidor de origen para gestionar las solicitudesDELETE
de forma adecuada.
Configuración de cifrado de nivel de campo
Si desea aplicar el cifrado en el nivel de campo en campos de datos específicos, elija una configuración de cifrado en el nivel de campo en la lista desplegable.
Para obtener más información, consulte Uso del cifrado en el nivel de campo para ayudar a proteger la información confidencial.
Métodos HTTP almacenados en caché
Especifique si desea que CloudFront almacene en caché la respuesta de su origen cuando un lector envíe una solicitud OPTIONS
. CloudFront siempre almacena en caché las respuesta a las solicitudes GET
y HEAD
.
Caché en función de encabezados de solicitud seleccionados
Especifique si desea que CloudFront almacene en caché objetos en función de los valores de los encabezados especificados:
-
Ninguno (mejora el almacenamiento en caché): CloudFront no almacena en caché los objetos en función de los valores de encabezado.
-
Lista de permitidos: CloudFront almacena en caché los objetos solo según los valores de los encabezados especificados. Utilice Encabezados de la lista de permitidos para elegir los encabezados en los que desea que CloudFront base el almacenamiento en caché.
-
Todos: CloudFront no almacena en caché los objetos que están asociados con este comportamiento de la caché. En su lugar, CloudFront envía todas las solicitudes al origen. (No se recomienda para los orígenes de Amazon S3).
Independientemente de la opción que elija, CloudFront reenvía determinados encabezados a su origen y realiza acciones específicas en función de los encabezados que reenvíe. Para obtener más información acerca de cómo administra CloudFront el reenvío de encabezado, consulte Encabezados de solicitudes HTTP y comportamiento de CloudFront (personalizado y orígenes de Amazon S3).
Para obtener más información acerca de cómo configurar el almacenamiento en caché en CloudFront utilizando encabezados de solicitud, consulte Almacenamiento en caché de contenido en función de encabezados de solicitud.
Encabezados de lista de permitidos
Esta configuración solo se aplica cuando elige Lista de permisos en Caché basada en encabezados de solicitud seleccionados.
Especifique los encabezados que desea que CloudFront tenga en cuenta a la hora de almacenar los objetos en caché. Seleccione los encabezados en la lista de encabezados disponibles y elija Add (Añadir). Para reenviar un encabezado personalizado, escriba el nombre en el campo y elija Añadir personalizado.
Para obtener información sobre el número máximo actual de encabezados que puede incluir en la lista de permitidos para cada comportamiento de la caché o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas en encabezados.
Almacenamiento de objetos en caché
Si su servidor de origen está agregando un encabezado Cache-Control
a sus objetos para controlar el tiempo durante el cual deben mantenerse en la caché de CloudFront y no desea cambiar el valor de Cache-Control
, elija Use Origin Cache Headers (Usar encabezados de caché de origen).
Para especificar el tiempo mínimo y máximo durante el cual los objetos deben mantenerse en la caché de CloudFront independientemente de los encabezados Cache-Control
y un tiempo predeterminado durante el cual un objeto deberá mantenerse en la caché de CloudFront cuando le falte el encabezado Cache-Control
, elija Customize (Personalizar). A continuación, especifique los valores en los campos Minimum TTL (Tiempo de vida mínimo), Default TTL (Tiempo de vida predeterminado) y Maximum TTL (Tiempo de vida máximo).
Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).
Tiempo de vida mínimo
Especifique el tiempo mínimo, en segundos, que desea que los objetos permanezcan en la caché de CloudFront antes de que CloudFront envíe otra solicitud al origen para ver si el objeto se ha actualizado.
Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).
Tiempo de vida máximo
Especifique el tiempo máximo en segundos durante el cual desea que los objetos permanezcan en las cachés de CloudFront antes de que CloudFront consulte a su origen para determinar si el objeto se ha actualizado. El valor que especifique en Maximum TTL (Tiempo de vida máximo) será aplicable solo cuando el origen personalizado añada encabezados HTTP como Cache-Control max-age
, Cache-Control s-maxage
o Expires
a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).
Para especificar un valor en Maximum TTL (Tiempo de vida máximo), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).
El valor predeterminado de Maximum TTL (Tiempo de vida máximo) es 31 536 000 segundos (un año). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) o de Default TTL (Tiempo de vida predeterminado) a más de 31 536 000 segundos, el valor predeterminado de Maximum TTL (Tiempo de vida máximo) cambia al valor Default TTL (Tiempo de vida predeterminado).
Tiempo de vida (TTL) predeterminado
Especifique el tiempo predeterminado, en segundos, durante el cual desea que los objetos permanezcan en las cachés de CloudFront antes de que CloudFront reenvíe otra solicitud a su origen para determinar si el objeto se ha actualizado. El valor que especifique en Default TTL (Periodo de vida predeterminado) es aplicable solo cuando el origen no agrega encabezados HTTP como Cache-Control
max-age
, Cache-Control s-maxage
o Expires
a los objetos. Para obtener más información, consulte Administración de cuánto tiempo se mantiene el contenido en una caché (vencimiento).
Para especificar un valor en Default TTL (Tiempo de vida predeterminado), elija la opción Customize (Personalizar) en el ajuste Object Caching (Almacenamiento de objetos en caché).
El valor predeterminado de Default TTL (Tiempo de vida predeterminado) es 86 400 segundos (un día). Si cambia el valor de Minimum TTL (Tiempo de vida mínimo) a más de 86 400 segundos, el valor predeterminado de Default TTL (Tiempo de vida predeterminado) cambia al valor Minimum TTL (Tiempo de vida mínimo).
Reenvío de cookies
nota
Para los orígenes de Amazon S3, esta opción solo se aplica a los buckets configurados como punto de conexión del sitio web.
Especifique si desea que CloudFront reenvíe las cookies al servidor de origen y, en tal caso, cuáles de ellas. Si decide reenviar únicamente unas cookies determinadas (las contenidas en una lista de permitidos de cookies), escriba sus nombres en el campo Lista de permitidos de cookies. Si elige Todas, CloudFront reenvía todas las cookies independientemente de la cantidad que utilice la aplicación.
Amazon S3 no procesa las cookies y reenviar cookies al origen reduce la capacidad de la caché. Para comportamientos de la caché que reenvíen solicitudes a un origen de Amazon S3, elija Ninguna en Reenviar cookies.
Para obtener más información acerca del reenvío de cookies al origen, visite Almacenamiento en caché de contenido en función de cookies.
Cookies de lista de permitidos
nota
Para los orígenes de Amazon S3, esta opción solo se aplica a los buckets configurados como punto de conexión del sitio web.
Si eligió Lista de permitidos en la lista Reenviar cookies, escriba en el campo Lista de permitidos de cookies los nombres de las cookies que desea que CloudFront reenvíe a su servidor de origen para este comportamiento de la caché. Escriba una cookie por línea.
Puede especificar los siguientes comodines para especificar nombres de cookies:
-
* coincide con 0 más caracteres en el nombre de la cookie.
-
? coincide exactamente con un carácter en el nombre de la cookie
Por ejemplo, supongamos que las solicitudes de un objeto enviadas por un espectador incluyen una cookie con el nombre:
userid_
member-number
Donde el valor de member-number
es único para cada usuario. Desea que CloudFront almacene en caché una versión independiente del objeto por cada miembro. Podría conseguirlo reenviando todas las cookies al origen, pero las solicitudes de lectores incluyen algunas que no desea que CloudFront las almacene en caché. Otra opción sería especificar el siguiente valor como nombre de cookie, lo que haría que CloudFront reenviara al origen todas las cookies que comienzan por userid_
:
userid_*
Para obtener información sobre el número máximo actual de nombres de cookies que puede incluir en la lista de permitidos para cada comportamiento de la caché o para solicitar una cuota (antes denominada límite) más alta, consulte Cuotas en cookies (configuración de caché heredada).
Reenvío de cadenas de consulta y almacenamiento en caché
CloudFront puede almacenar en caché diferentes versiones del contenido en función de los valores de los parámetros de las cadenas de consulta. Elija una de las siguientes opciones:
- Ninguno (mejora el almacenamiento en caché)
-
Seleccione esta opción si el origen devuelve la misma versión de un objeto independientemente de los valores de los parámetros de las cadenas de consulta. Esto aumenta la probabilidad de que CloudFront pueda atender una solicitud de la caché, lo que mejora el rendimiento y reduce la carga en el origen.
- Reenviar todo y caché basada en lista de permitidos
-
Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos en función de uno o más parámetros de cadenas de consulta. A continuación, especifique los parámetros que desee que CloudFront utilice como base para el almacenamiento en caché en el campo Lista de permitidos de cadenas de consulta.
- Reenviar todo y almacenar todo en caché
-
Seleccione esta opción si su servidor de origen devuelve distintas versiones de sus objetos para todos los parámetros de cadenas de consulta.
Para obtener más información acerca del almacenamiento en caché en función de los parámetros de las cadenas de consulta y acerca de formas de mejorar el desempeño, consulte Almacenamiento en caché de contenido en función de parámetros de cadenas de consulta.
Lista de permitidos de cadenas de consulta
Esta configuración se aplica solo cuando elige Reenviar todo y caché basada en lista de permitidos para Reenvío de cadenas de consulta y almacenamiento en caché. Puede especificar los parámetros de cadena de consulta que quiera que CloudFront utilice como base para el almacenamiento en caché.
Smooth Streaming
Elija Yes (Sí) si desea distribuir archivos multimedia en el formato Microsoft Smooth Streaming y no dispone de un servidor de IIS.
Elija No si tiene un servidor Microsoft IIS que desea utilizar como origen para distribuir archivos multimedia en el formato Microsoft Smooth Streaming, o si no distribuye archivos multimedia Smooth Streaming.
nota
Si especifica Yes (Sí), puede seguir distribuyendo otro tipo de contenido con este comportamiento de la caché si dicho contenido coincide con el valor de Path Pattern (Patrón de ruta).
Para obtener más información, consulte Configuración de vídeo bajo demanda para Microsoft Smooth Streaming.
Restringir el acceso del lector (usar URL firmadas o cookies firmadas)
Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern
en este comportamiento de la caché utilicen direcciones URL públicas, elija No.
Si desea que las solicitudes de objetos que coinciden con el valor de PathPattern
en este comportamiento de la caché utilicen direcciones URL firmadas, elija Yes (Sí). A continuación, especifique las cuentas de AWS que desea utilizar para crear URL firmadas; a estas cuentas se les conoce como signatarios de confianza.
Para obtener más información acerca de los signatarios de confianza, consulte Especificación de los signatarios que pueden crear URL firmadas y cookies firmadas.
Firmantes de confianza
Esta configuración solo se aplica cuando elige Sí en Restringir acceso al lector (Usar URL firmadas o cookies firmadas).
Seleccione las cuentas de AWS que desea utilizar como signatarios de confianza para este comportamiento de la caché:
-
Self (Automático): utilice la cuenta con la que tiene iniciada sesión en la AWS Management Console como signatario de confianza. Si actualmente su sesión se inició como usuario de IAM, la cuenta de AWS asociada se agrega como signatario de confianza.
-
Specify Accounts (Especificar cuentas): escriba los números de cuenta de los signatarios de confianza en el campo de AWSAccount Numbers (Números de cuenta).
Para crear URL firmadas, la cuenta de AWS debe tener al menos un par de claves activas de CloudFront.
importante
Si está actualizando una distribución que ya utiliza para distribuir contenido, añada signatarios de confianza solo cuando esté listo para comenzar a generar URL firmadas para los objetos. Después de añadir signatarios de confianza a una distribución, los usuarios deben utilizar las URL firmadas para obtener acceso a los objetos que coincidan con PathPattern
para este comportamiento de la caché.
Números de Cuenta de AWS
Esta configuración solo se aplica cuando elige Especificar cuentas en Firmantes de confianza.
Si desea crear URL firmadas a través de cuentas de Cuentas de AWS además de, o en lugar de, hacerlo con la cuenta actual, ingrese un número de cuenta de Cuenta de AWS por línea en este campo. Tenga en cuenta lo siguiente:
-
Las cuentas que especifique deben tener al menos un par de claves de CloudFront activo. Para obtener más información, consulte Creación de pares de claves para los firmantes.
-
No puede crear pares de claves de CloudFront para usuarios de IAM, lo que significa que no puede utilizar usuarios de IAM como signatarios de confianza.
-
Para obtener información acerca de cómo obtener el número de Cuenta de AWS para una cuenta, consulte Ver identificadores de Cuenta de AWS en la Guía de referencia de administración de Cuenta de AWS.
-
Si escribe el número de la cuenta actual, CloudFront marca automáticamente la casilla Automático y elimina el número de cuenta de la lista AWS de Números de cuenta.
Comprimir objetos automáticamente
Si desea que CloudFront comprima automáticamente archivos de tipos determinados cuando los lectores admiten contenido comprimido, elija Sí. Cuando CloudFront comprime el contenido, las descargas son más veloces, ya que los archivos son más pequeños y las páginas web se muestran más rápido a los usuarios. Para obtener más información, consulte Ofrecimiento de archivos comprimidos.
Evento CloudFront
Esta configuración se aplica a las Asociaciones de funciones de Lambda.
Puede elegir ejecutar una función de Lambda cuando se produzcan uno o varios de los siguientes eventos de CloudFront:
-
Cuando CloudFront reciba una solicitud de un espectador (solicitud del espectador)
-
Antes de que CloudFront reenvíe una solicitud al origen (solicitud al origen)
-
Cuando CloudFront reciba una respuesta del origen (respuesta del origen)
-
Antes de que CloudFront devuelva la respuesta al espectador (respuesta al espectador)
Para obtener más información, consulte Elección del evento para desencadenar la función.
ARN de la función Lambda
Esta configuración se aplica a las Asociaciones de funciones de Lambda.
Especifique el nombre de recurso de Amazon (ARN) de la función de Lambda para la que desea agregar un desencadenador. Para obtener información sobre cómo obtener el ARN de una función, consulte el paso 1 del procedimiento Agregar desencadenadores mediante la consola de CloudFront.
Incluir cuerpo
Esta configuración se aplica a las Asociaciones de funciones de Lambda.
Para obtener más información, consulte Incluir cuerpo.
Ajustes de la distribución
Los siguientes valores se aplican a toda la distribución.
Temas
- Clase de precio
- ACL web de AWS WAF
- Nombres de dominio alternativos (CNAME)
- Certificado SSL
- Compatibilidad con clientes SSL personalizados
- Política de seguridad (versión mínima de SSL/TLS)
- Versiones de HTTP compatibles
- Objeto raíz predeterminado
- Registro
- Bucket para registros
- Prefijo de registros
- Registro de cookies
- Habilitar IPv6
- Comentario
- Estado de la distribución
Clase de precio
Elija la clase de precio que corresponde al precio máximo que desea pagar por el servicio de CloudFront. De forma predeterminada, CloudFront distribuye sus objetos desde ubicaciones de borde en todas las regiones de CloudFront.
Para obtener más información acerca de las clases de precios y cómo la clase que elija afecta al rendimiento de CloudFront para la distribución, consulte Precios de CloudFront
ACL web de AWS WAF
Puede proteger la distribución de CloudFront con AWS WAF, un firewall de aplicaciones web que le permite proteger las aplicaciones web y las API para bloquear las solicitudes antes de que lleguen a los servidores. Puede Habilitación de AWS WAF para distribuciones al crear o editar una distribución de CloudFront.
Si lo desea, puede configurar más adelante protecciones de seguridad adicionales para otras amenazas específicas de la aplicación en la consola de AWS WAF en https://console.aws.amazon.com/wafv2/
Para obtener más información sobre AWS WAF, consulte la Guía para desarrolladores de AWS WAF.
Nombres de dominio alternativos (CNAME)
Opcional. Especifique uno o varios nombres de dominio que desee utilizar para direcciones URL de sus objetos en lugar del nombre de dominio que CloudFront asigna al crear la distribución. Debe ser el propietario del nombre de dominio, o tener autorización para utilizarlo, lo que puede demostrar añadiendo un certificado SSL/TLS.
Por ejemplo, si desea que la URL del objeto:
/images/image.jpg
Sea así:
https://www.example.com/images/image.jpg
En lugar de así:
https://d111111abcdef8.cloudfront.net/images/image.jpg
Añada un CNAME para www.example.com
.
importante
Si añade un CNAME para www.example.com
a la distribución, también debe hacer lo siguiente:
-
Crear o actualizar un registro de CNAME en el servicio de DNS para dirigir las consultas de
www.example.com
ad111111abcdef8.cloudfront.net
. -
Agregar un certificado a CloudFront de una entidad de certificación (CA) de confianza emitido para el nombre de dominio (CNAME) que va a agregar a la distribución, con el fin de demostrar que dispone de autorización para utilizar el nombre de dominio.
Debe tener permiso para crear un registro CNAME con el proveedor de servicios de DNS para el dominio. Por lo general, esto indica que es el propietario del dominio o que está desarrollando una aplicación para el propietario del dominio.
Para obtener el número máximo actual de nombres de dominio alternativos que puede agregar a una distribución o solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.
Para obtener más información acerca de los nombres de dominio alternativos, consulte Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME). Para obtener más información acerca de las direcciones URL de CloudFront, consulte Personalización del formato de URL para archivos en CloudFront.
Certificado SSL
Si ha especificado un nombre de dominio alternativo para usarlo con la distribución, seleccione Custom SSL Certificate (Certificado SSL personalizado) y, a continuación, para validar su autorización para utilizar el nombre de dominio alternativo, elija un certificado emitido para él. Si desea que los espectadores utilicen HTTPS para obtener acceso a sus objetos, elija el ajuste correspondiente.
nota
Antes de que pueda especificar un certificado SSL personalizado, debe especificar un nombre de dominio alternativo válido. Para obtener más información, consulte Requisitos para el uso de nombres de dominio alternativos y Uso de nombres de dominio alternativos y HTTPS.
-
Default CloudFront Certificate (*.cloudfront.net) (Certificado de CloudFront predeterminado (*.cloudfront.net)): elija esta opción si desea utilizar el nombre de dominio de CloudFront en las URL de los objetos, por ejemplo,
https://d111111abcdef8.cloudfront.net/image1.jpg
. -
Custom SSL Certificate (Certificado SSL personalizado): elija esta opción si desea utilizar su propio nombre de dominio en las URL de sus objetos como nombre de dominio alternativo; por ejemplo
https://example.com/image1.jpg
. A continuación, elija un certificado que haya sido emitido para el nombre de dominio alternativo. En la lista de certificados puede haber los elementos siguientes:-
Certificados proporcionados por AWS Certificate Manager
-
Certificados adquiridos a una entidad de certificación de terceros y cargados en ACM
-
Certificados adquiridos a una entidad de certificación de terceros y cargados en el almacén de certificados de IAM
Si elige esta opción, le recomendamos que utilice solo un nombre de dominio alternativo en las URL de sus objetos (https://example.com/logo.jpg). Si utiliza el nombre de dominio de la distribución de CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) y un cliente utiliza un lector antiguo que no admite SNI, la respuesta del lector depende del valor que elija para Clients Supported (Clientes admitidos):
-
All Clients (Todos los clientes): el lector muestra una advertencia, ya que el nombre de dominio de CloudFront no coincide con el nombre de dominio del certificado SSL/TLS.
-
Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor (SNI)): CloudFront interrumpe la conexión con el lector sin devolver el objeto.
-
Compatibilidad con clientes SSL personalizados
Se aplica solo cuando elige Certificado SSL personalizado (example.com) en Certificado SSL. Si especificó uno o más nombres de dominio alternativos y un certificado SSL personalizado para la distribución, elija cómo desea que CloudFront sirva las solicitudes HTTPS:
-
Clientes compatibles con la indicación de nombre de servidor (SNI) - (recomendado): con esta configuración, prácticamente todos los navegadores web y clientes modernos pueden conectarse a la distribución, ya que admiten SNI. Sin embargo, algunos usuarios pueden utilizar navegadores web antiguos o clientes que no admiten SNI, lo que significa que no pueden conectarse a la distribución.
Para aplicar esta configuración mediante la API de CloudFront, especifique
sni-only
en el campoSSLSupportMethod
. En AWS CloudFormation,el campo se denominaSslSupportMethod
, (tenga en cuenta el uso de mayúsculas y minúsculas). -
Compatibilidad con clientes heredados: con esta configuración, los navegadores web antiguos y los clientes que no admiten SNI pueden conectarse a la distribución. Sin embargo, a esta configuración se le aplican cargos mensuales adicionales. Para obtener el precio exacto, vaya a la página Precios de Amazon CloudFront
y busque la página de SSL personalizado de IP dedicada. Para aplicar esta configuración mediante la API de CloudFront, especifique
vip
en el campoSSLSupportMethod
. En AWS CloudFormation,el campo se denominaSslSupportMethod
, (tenga en cuenta el uso de mayúsculas y minúsculas).
Para obtener más información, consulte Elección de la forma en que CloudFront atiende las solicitudes HTTPS.
Política de seguridad (versión mínima de SSL/TLS)
Especifique la política de seguridad que desea que utilice CloudFront para las conexiones HTTPS con lectores (clientes). Una política de seguridad determina dos ajustes:
-
El protocolo SSL/TLS mínimo que utiliza CloudFront para comunicarse con los lectores.
-
El cifrado que puede utilizar CloudFront para cifrar el contenido que devuelve a los espectadores.
Para obtener más información acerca de las políticas de seguridad, incluidos los protocolos y los cifrados que incluye cada una, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.
Las políticas de seguridad disponibles dependen de los valores que especifique para el Certificado SSL y el Soporte de cliente SSL personalizado (conocidos como CloudFrontDefaultCertificate
y SSLSupportMethod
en la API de CloudFront):
-
Cuando el SSL Certificate (Certificado SSL) es el Default CloudFront Certificate (*.cloudfront.net) (Certificado predeterminado de CloudFront (*.cloudfront.net)) (cuando
CloudFrontDefaultCertificate
estrue
en la API), CloudFront configura automáticamente la política de seguridad a TLSv1. -
Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es Clientes que admiten la indicación de nombre de servidor (SNI) (Recomendado) (cuando
CloudFrontDefaultCertificate
esfalse
ySSLSupportMethod
essni-only
en la API), puede elegir entre las siguientes políticas de seguridad:-
TLSv1.2_2021
-
TLSv1.2_2019
-
TLSv1.2_2018
-
TLSv1.1_2016
-
TLSv1_2016
-
TLSv1
-
-
Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es el Soporte de clientes heredados (cuando
CloudFrontDefaultCertificate
esfalse
ySSLSupportMethod
esvip
en la API), puede elegir entre las siguientes políticas de seguridad:-
TLSv1
-
SSLv3
En esta configuración, las políticas de seguridad TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 y TLSv1_2016 no están disponibles en la API ni en la consola de CloudFront. Si desea utilizar una de estas políticas de seguridad, tiene las siguientes opciones:
-
Evalúe si su distribución necesita soporte de clientes heredados con direcciones IP dedicadas. Si sus lectores admiten la indicación de nombre de servidor (SNI)
, recomendamos que actualice la configuración de Soporte de cliente SSL personalizado de su distribución a Clientes que admiten la indicación de nombre de servidor (SNI) (configure SSLSupportMethod
comosni-only
en la API). Esto le permite utilizar cualquiera de las políticas de seguridad TLS disponibles y también puede reducir sus cargos de CloudFront. -
Si tiene que mantener el soporte de clientes heredados con direcciones IP dedicadas, puede solicitar alguna de las otras políticas de seguridad de TLS (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, o TLSv1_2016) mediante la creación de un caso en el Centro de soporte de AWS
. nota
Antes de contactar con AWS Support para solicitar este cambio, tenga en cuenta lo siguiente:
-
Cuando agrega una de estas políticas de seguridad (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 o TLSv1_2016) a una distribución de soporte de clientes heredados, la política de seguridad se aplica a todas las solicitudes de lector que no sean SNI para todas las distribuciones de soporte de clientes heredados en su cuenta de AWS. En cambio, cuando los espectadores envían solicitudes SNI a una distribución con soporte de clientes heredados, se aplica la política de seguridad de dicha distribución. Para asegurarse de que se aplica su política de seguridad deseada a todas las solicitudes de lector enviadas a todas las distribuciones de soporte de clientes heredados en su cuenta de AWS, agregue la política de seguridad deseada a cada distribución individualmente.
-
Por definición, la nueva política de seguridad no admite los mismos cifrados y protocolos que la anterior. Por ejemplo, si decide actualizar la política de seguridad de una distribución de TLSv1 a TLSv1.1_2016, esa distribución ya no admitirá el cifrado DES-CBC3-SHA. Para obtener más información sobre los cifrados y protocolos compatibles con cada política de seguridad, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.
-
-
Versiones de HTTP compatibles
Elija las versiones de HTTP que desea que admita la distribución cuando los lectores se comuniquen con CloudFront.
Para que los lectores y CloudFront utilicen HTTP/2, los lectores deben ser compatibles con TLSv1.2 o posterior y con la indicación de nombre de servidor (SNI). CloudFront no ofrece compatibilidad nativa para gRPC a través de HTTP/2.
Para que los lectores y CloudFront utilicen HTTP/3, los lectores deben ser compatibles con TLSv1.3 y con la indicación del nombre del servidor (SNI). CloudFront es compatible con la migración de la conexión HTTP/3 para que el lector pueda cambiar de red sin perder la conexión. Para obtener más información sobre la migración de conexiones, consulte Connection Migration
nota
Para obtener más información acerca de los cifrados TLSv1.3, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.
Objeto raíz predeterminado
Opcional. El objeto que quiera que CloudFront solicite desde su origen (por ejemplo, index.html
) cuando un lector solicite la URL raíz de la distribución (https://www.example.com/
) en lugar de un objeto de la distribución (https://www.example.com/product-description.html
). Especificar un objeto raíz predeterminado evita exponer el contenido de su distribución.
La longitud máxima de un nombre es 255 caracteres. El nombre puede contener cualquiera de los siguientes caracteres:
-
A-Z, a-z
-
0-9
-
_ - . * $ / ~ " '
-
&, pasado y devuelto como
&
Al especificar el objeto raíz predeterminado, escriba únicamente el nombre de objeto, por ejemplo, index.html
. No añada /
antes del nombre del objeto.
Para obtener más información, consulte Especificación de un objeto raíz predeterminado.
Registro
Si desea que CloudFront registre información acerca de cada solicitud de un objeto y almacene los archivos de registro en un bucket de Amazon S3. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. No se aplica ningún cargo adicional si activa los registros, pero se acumulan los cargos típicos de Amazon S3 por almacenar y acceder a los archivos que se encuentren en el bucket de Amazon S3. Puede eliminar los registros en cualquier momento. Para obtener más información sobre los registros de acceso de CloudFront, consulte Configuración y uso de registros estándar (registros de acceso).
Bucket para registros
Si eligió Activado en Registro, el bucket de Amazon S3 donde desea que CloudFront almacene los registros, por ejemplo,
.myLogs-
amzn-s3-demo-bucket.s3.amazonaws.com
importante
No elija un bucket de Amazon S3 en las siguientes Regiones de AWS. CloudFront no entrega registros estándar a buckets en estas regiones:
-
África (Ciudad del Cabo)
-
Asia-Pacífico (Hong Kong)
-
Asia-Pacífico (Hyderabad)
-
Asia-Pacífico (Yakarta)
-
Asia-Pacífico (Melbourne)
-
Oeste de Canadá (Calgary)
-
Europa (Milán)
-
Europa (España)
-
Europa (Zúrich)
-
Israel (Tel Aviv)
-
Medio Oriente (Baréin)
-
Medio Oriente (EAU)
Si habilita el registro, CloudFront registra información acerca de las solicitudes de cada objeto realizadas por cada usuario final y almacena los archivos en el bucket de Amazon S3 especificado. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. Para obtener más información sobre los registros de acceso de CloudFront, consulte Configuración y uso de registros estándar (registros de acceso).
nota
Debe tener los permisos necesarios para obtener y actualizar ACL de buckets de Amazon S3 y la ACL de S3 del bucket debe concederle FULL_CONTROL
. Esto permite a CloudFront concederle a awslogsdelivery
permiso en la cuenta para guardar archivos de registro en el bucket. Para obtener más información, consulte Permisos necesarios para configurar el registro estándar y el acceso a archivos de registro.
Prefijo de registros
Opcional. Si eligió On en Registro, especifique la cadena, de haberla, a la que CloudFront debe agregar un prefijo para los nombres de archivo de los registros de acceso de esta distribución; por ejemplo, exampleprefix/
. La barra inclinada (/) al final es opcional pero recomendable para simplificar la navegación de los archivos de registro. Para obtener más información sobre los registros de acceso de CloudFront, consulte Configuración y uso de registros estándar (registros de acceso).
Registro de cookies
Si desea que CloudFront incluya cookies en los registros de acceso, elija On. Si decide incluir las cookies en los registros, CloudFront registra todas las cookies independientemente de cómo configura los comportamientos de la caché para esta distribución: para reenviar al origen todas las cookies, ninguna o las que se determinen en una lista concreta.
Amazon S3 no procesa las cookies, por lo que, a menos que la distribución también incluya un origen de Amazon EC2 u otro personalizado, le recomendamos que elija el valor Off en Registros de cookies.
Para obtener más información acerca de cookies, visite Almacenamiento en caché de contenido en función de cookies.
Habilitar IPv6
IPv6 es una nueva versión del protocolo IP. Es la sustitución final de IPv4 y utiliza un espacio de direcciones mayor. CloudFront siempre responde a las solicitudes por IPv4. Si desea que CloudFront responda a las solicitudes de direcciones IP IPv4 (como 192.0.2.44) y a las de direcciones IPv6 (como 2001:0db8:85a3::8a2e:0370:7334), seleccione Enable IPv6 (Habilitar IPv6).
En general, debe habilitar IPv6 si tiene usuarios en redes IPv6 que desean obtener acceso a su contenido. Sin embargo, si utiliza URL firmadas o cookies firmadas para restringir el acceso a su contenido además de una política personalizada con el parámetro IpAddress
para restringir las direcciones IP que pueden obtener acceso a su contenido, no habilite IPv6. Si desea restringir el acceso a algún contenido por dirección IP pero no restringir otro contenido (o restringir el acceso, pero no por dirección IP), puede crear dos distribuciones. Para obtener información acerca de cómo crear URL firmadas mediante una política personalizada, consulte Creación de una URL firmada mediante una política personalizada. Para obtener información acerca de cómo crear cookies firmadas mediante una política personalizada, consulte Establecimiento de cookies firmadas mediante una política personalizada.
Si utiliza un conjunto de registros de recursos de alias de Amazon Route 53 para dirigir el tráfico a su distribución de CloudFront, debe crear un segundo conjunto de registros de recursos de alias cuando las dos condiciones siguientes se cumplan:
-
Ha habilitado IPv6 para la distribución.
-
Está utilizando nombres de dominio alternativo en las URL de sus objetos.
Para obtener más información, consulte Direccionamiento del tráfico a una distribución de Amazon CloudFront mediante el nombre de dominio en la Guía para desarrolladores de Amazon Route 53.
Si ha creado un conjunto de registros de recursos de CNAME, ya sea con Route 53 o con otro servicio de DNS, no es necesario realizar ningún cambio. Un registro CNAME dirige el tráfico hacia la distribución, sin tener en cuenta el formato de la dirección IP de la solicitud del espectador.
Si habilita IPv6 y registros de acceso de CloudFront, la columna c-ip
incluye valores en formato IPv4 e IPv6. Para obtener más información, consulte Configuración y uso de registros estándar (registros de acceso).
nota
Para mantener una alta disponibilidad para los clientes, CloudFront responde a solicitudes de los lectores a través de IPv4 si nuestros datos sugieren que ese protocolo proporcionará una mejor experiencia de usuario. Para saber qué porcentaje de solicitudes CloudFront atiende por IPv6, habilite el registro de CloudFront para su distribución y analice la columna c-ip
, que contiene la dirección IP del lector que hizo la solicitud. Este porcentaje debería crecer con el paso del tiempo, pero seguirá siendo una minoría de tráfico ya que IPv6 aún no es compatible con todas las redes de espectadores en todo el mundo. Algunas redes de espectadores tienen excelente compatibilidad con IPv6, pero otras no admiten IPv6 en absoluto. (En este sentido, una red de espectadores es sinónimo de su red doméstica u operador de Internet).
Para obtener más información acerca de la compatibilidad con IPv6, consulte las preguntas frecuentes de CloudFront
Comentario
Opcional. Al crear una distribución, puede incluir un comentario de hasta 128 caracteres. Puede actualizarlo en cualquier momento.
Estado de la distribución
Indica si desea habilitar o deshabilitar la distribución una vez implementada:
-
Enabled (Habilitada) significa que tan pronto como la distribución se implemente totalmente, podrá implementar enlaces que utilizan el nombre de dominio de la distribución y los usuarios podrán recuperar contenido. Cuando una distribución está habilitada, CloudFront acepta y gestiona cualquier solicitud de contenido realizada por cualquier usuario final y que utilice el nombre de dominio asociado a esa distribución.
Al crear, modificar o eliminar una distribución de CloudFront, lleva tiempo propagar los cambios a la base de datos de CloudFront. Una solicitud inmediata para obtener información acerca de una distribución puede no mostrar el cambio. La propagación suele completarse en cuestión de minutos, pero una carga de sistema o una partición de red elevadas podrían aumentar este tiempo.
-
Disabled (Deshabilitada) significa que, aunque la distribución puede haberse implementado y estar lista para su uso, los usuarios no pueden utilizarla. Cuando una distribución está desactivada, CloudFront no acepta ninguna solicitud realizada por ningún usuario final y que utilice el nombre de dominio asociado a esa distribución. Hasta que no cambie la distribución de deshabilitada a habilitada (actualizando de la distribución de la configuración), nadie podrá utilizarla.
Puede cambiar una distribución entre habilitada y deshabilitada tantas veces como quiera. Siga el proceso para actualizar la configuración de una distribución. Para obtener más información, consulte Actualizar una distribución.
Páginas de error personalizadas y almacenamiento de errores en caché
Puede hacer que CloudFront devuelva un objeto al lector (por ejemplo, un archivo HTML) cuando su origen de Amazon S3 u origen personalizado devuelve un código de estado HTTP 4xx y 5xx de CloudFront. También puede especificar por cuánto tiempo almacenar en las cachés de borde de CloudFront una respuesta de error desde su origen o una página de error personalizada. Para obtener más información, consulte Creación de una página de error personalizada para códigos de estado HTTP específicos.
nota
Los siguientes valores no se incluyen en el asistente Create Distribution, lo que significa que solo puede configurar páginas de error personalizadas al actualizar una distribución.
Temas
Código de error HTTP
El código de estado HTTP para el que desea que CloudFront devuelva una página de error personalizada. Puede configurar CloudFront para devolver páginas de error personalizadas para ninguno, algunos o todos los códigos de estado HTTP que CloudFront almacena en caché.
Ruta de la página de respuesta
La ruta a la página de error personalizada (por ejemplo, /4xx-errors/403-forbidden.html
) que desea que CloudFront lector a un lector cuando el origen devuelve el código de estado HTTP especificado en Error Code (Código de error) (por ejemplo, 403). Si desea almacenar los objetos y las páginas de error personalizadas en diferentes ubicaciones, la distribución debe incluir un comportamiento de la caché que cumpla con las siguientes condiciones:
-
El valor de Path Pattern (Patrón de ruta) debe coincidir con la ruta de los mensajes de error personalizados. Por ejemplo, supongamos que ha guardado páginas para errores 4xx personalizadas en un bucket de Amazon S3 en un directorio llamado
/4xx-errors
. La distribución debe incluir un comportamiento de caché cuyo patrón de ruta dirija las solicitudes de las páginas de error personalizadas a esa ubicación, por ejemplo, /4xx-errors/*. -
El valor de Origin (Origen) especifica el valor de Origin ID (ID de origen) del origen que contiene las páginas de error personalizadas.
Código de respuesta HTTP
El código de estado HTTP que desea que CloudFront devuelva al lector junto con la página de error personalizada.
TTL mínimo de almacenamiento de errores en caché (segundos)
El tiempo mínimo que desee que CloudFront almacene en caché las respuestas de error de su servidor de origen.
Restricciones geográficas
Si necesita impedir que los usuarios de países concretos accedan al contenido, puede configurar la distribución de CloudFront con una Lista de permitidos o una Lista de bloqueados. No se aplica ningún cargo adicional por la configuración de restricción geográfica. Para obtener más información, consulte Restricción de la distribución geográfica de su contenido.