Pengaturan distribusi

Nilai berikut berlaku untuk seluruh distribusi.

Kelas harga

Pilih kelas harga yang sesuai dengan harga maksimum yang ingin Anda bayar untuk CloudFront layanan. Secara default, CloudFront melayani objek Anda dari lokasi tepi di semua CloudFront Wilayah.

Untuk informasi selengkapnya tentang kelas harga dan tentang bagaimana pilihan kelas harga memengaruhi CloudFront kinerja distribusi Anda, lihat CloudFront harga.

AWS WAF web ACL

Anda dapat melindungi CloudFront distribusi Anda dengan AWS WAFfirewall aplikasi web yang memungkinkan Anda untuk mengamankan aplikasi web Anda dan APIs memblokir permintaan sebelum mereka mencapai server Anda. Anda bisa Aktifkan AWS WAF untuk distribusi saat membuat atau mengedit CloudFront distribusi.

Secara opsional, Anda nantinya dapat mengonfigurasi perlindungan keamanan tambahan untuk ancaman lain yang spesifik untuk aplikasi Anda di AWS WAF konsol di. https://console.aws.amazon.com/wafv2/

Untuk informasi selengkapnya AWS WAF, lihat Panduan AWS WAF Pengembang.

Nama domain alternatif (CNAMEs)

Opsional. Tentukan satu atau beberapa nama domain yang ingin Anda gunakan URLs untuk objek Anda, bukan nama domain yang CloudFront ditetapkan saat Anda membuat distribusi. Anda harus memiliki nama domain, atau memiliki otorisasi untuk menggunakannya, yang Anda verifikasi dengan menambahkan SSL/TLS sertifikat.

Misalnya, jika Anda menginginkan URL untuk objek tersebut:

/images/image.jpg

Seperti ini:

https://www.example.com/images/image.jpg

Alih-alih seperti ini:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Tambahkan CNAME untuk www.example.com.

penting

Jika Anda menambahkan CNAME untuk www.example.com ke distribusi, Anda juga harus melakukan hal berikut:

• Buat (atau perbarui) catatan CNAME dengan layanan DNS Anda untuk menjawab pertanyaan www.example.com untuk d111111abcdef8.cloudfront.net.

• Tambahkan sertifikat CloudFront dari otoritas sertifikat tepercaya (CA) yang mencakup nama domain (CNAME) yang Anda tambahkan ke distribusi Anda, untuk memvalidasi otorisasi Anda untuk menggunakan nama domain.

Anda harus memiliki izin untuk membuat catatan CNAME dengan penyedia layanan DNS untuk domain tersebut. Biasanya, ini berarti bahwa Anda memiliki domain, atau bahwa Anda mengembangkan aplikasi untuk pemilik domain.

Untuk jumlah maksimum nama domain alternatif saat ini yang dapat Anda tambahkan ke distribusi, atau untuk meminta kuota yang lebih tinggi (sebelumnya dikenal sebagai batas), lihat Kuota umum di distribusi.

Untuk informasi selengkapnya tentang nama domain alternatif, lihat Gunakan kustom URLs dengan menambahkan nama domain alternatif (CNAMEs). Untuk informasi lebih lanjut tentang CloudFront URLs, lihatKustomisasi format URL untuk file di CloudFront.

Sertifikat SSL

Jika Anda menentukan nama domain alternatif untuk digunakan dengan distribusi Anda, pilih Sertifikat SSL Kustom, dan kemudian, untuk memvalidasi otorisasi Anda untuk menggunakan nama domain alternatif, pilih sertifikat yang mencakupnya. Jika Anda ingin penampil menggunakan HTTPS untuk mengakses objek Anda, pilih pengaturan yang mendukungnya.

• CloudFront Sertifikat Default (*.cloudfront.net) - Pilih opsi ini jika Anda ingin menggunakan nama CloudFront domain di URLs untuk objek Anda, seperti. https://d111111abcdef8.cloudfront.net/image1.jpg

• Sertifikat SSL Kustom - Pilih opsi ini jika Anda ingin menggunakan nama domain Anda sendiri di URLs untuk objek Anda sebagai nama domain alternatif, sepertihttps://example.com/image1.jpg. Kemudian pilih sertifikat yang akan digunakan yang mencakup nama domain alternatif. Daftar sertifikat dapat mencakup salah satu dari berikut ini:

  • Sertifikat yang disediakan oleh AWS Certificate Manager

  • Sertifikat yang Anda beli dari otoritas sertifikat pihak ketiga dan diunggah ke ACM

  • Sertifikat yang Anda beli dari otoritas sertifikat pihak ketiga dan diunggah ke toko sertifikat IAM

  Jika Anda memilih pengaturan ini, kami sarankan Anda hanya menggunakan nama domain alternatif di objek Anda URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) dan klien menggunakan penampil lama yang tidak mendukung SNI, bagaimana penampil merespons tergantung pada nilai yang Anda pilih untuk Klien yang Didukung:

  • Semua Klien: Penampil menampilkan peringatan karena nama CloudFront domain tidak cocok dengan nama domain dalam SSL/TLS sertifikat Anda.

  • Hanya Klien yang Mendukung Indikasi Nama Server (SNI): CloudFront menjatuhkan koneksi dengan penampil tanpa mengembalikan objek.

Dukungan klien SSL kustom

Berlaku hanya jika Anda memilih Custom SSL Certificate (example.com) untuk Sertifikat SSL. Jika Anda menentukan satu atau beberapa nama domain alternatif dan sertifikat SSL khusus untuk distribusi, pilih cara Anda CloudFront ingin menyajikan permintaan HTTPS:

• Klien yang Mendukung Indikasi Nama Server (SNI) - (Disarankan) – Dengan pengaturan ini, hampir semua browser web modern dan klien dapat terhubung ke distribusi, karena mereka mendukung SNI. Namun, beberapa pemirsa mungkin menggunakan browser web atau klien lama yang tidak mendukung SNI, yang berarti mereka tidak dapat terhubung ke distribusi.

  Untuk menerapkan pengaturan ini menggunakan CloudFront API, tentukan sni-only di SSLSupportMethod bidang. Dalam CloudFormation, kolom diberi nama SslSupportMethod (perhatikan berbagai kapitalisasi).

• Dukungan Klien Warisan – Dengan pengaturan ini, browser web dan klien yang lebih lama yang tidak mendukung SNI dapat terhubung ke distribusi. Namun, pengaturan ini akan dikenakan biaya bulanan tambahan. Untuk harga yang tepat, buka halaman CloudFront Harga Amazon, dan cari halaman untuk SSL khusus IP Khusus.

  Untuk menerapkan pengaturan ini menggunakan CloudFront API, tentukan vip di SSLSupportMethod bidang. Di CloudFormation, bidang diberi nama SslSupportMethod (perhatikan kapitalisasi yang berbeda).

Untuk informasi selengkapnya, lihat Pilih cara CloudFront melayani permintaan HTTPS.

Kebijakan keamanan (versi SSL/TLS minimum)

Tentukan kebijakan keamanan yang ingin Anda gunakan CloudFront untuk koneksi HTTPS dengan pemirsa (klien). Kebijakan keamanan menentukan dua pengaturan:

• SSL/TLS Protokol minimum yang CloudFront digunakan untuk berkomunikasi dengan pemirsa.

• Cipher yang CloudFront dapat digunakan untuk mengenkripsi konten yang dikembalikan ke pemirsa.

Untuk informasi lebih lanjut tentang kebijakan keamanan, termasuk protokol dan cipher yang disertakan oleh masing-masing kebijakan, lihat Protokol dan cipher yang didukung antara pemirsa dan CloudFront.

Kebijakan keamanan yang tersedia bergantung pada nilai yang Anda tentukan untuk Sertifikat SSL dan Dukungan Klien SSL Kustom (dikenal sebagai CloudFrontDefaultCertificate dan SSLSupportMethod di CloudFront API):

• Ketika Sertifikat SSL adalah CloudFront Sertifikat Default (*.cloudfront.net) (saat CloudFrontDefaultCertificate berada true di API), CloudFront secara otomatis menetapkan kebijakan keamanan ke. TLSv1

• Jika Sertifikat SSL adalah Sertifikat SSL Kustom (contoh.com) dan Dukungan Klien SSL Kustom adalah Klien yang Mendukung Indikasi Nama Server (SNI) - (Disarankan) (jika CloudFrontDefaultCertificate adalah false dan SSLSupportMethod adalah sni-only di API), Anda dapat memilih dari kebijakan keamanan berikut:

  • TLSv1.3_2025

  • TLSv1.2_2025

  • TLSv1.2_2021

  • TLSv1.2_2019

  • TLSv1.2_2018

  • TLSv1.1_2016

  • TLSv1_2016

  • TLSv1

• Saat Sertifikat SSL adalah Sertifikat SSL Khusus (contoh.com) dan Dukungan Klien SSL Khusus adalah Dukungan Klien Warisan (saat CloudFrontDefaultCertificate adalah false dan SSLSupportMethod adalah vip di API), Anda dapat memilih dari kebijakan keamanan berikut:

  • TLSv1

  • SSLv3

  Dalam konfigurasi ini, kebijakan keamanan TLSv1 .3_2025, .2_2025, TLSv1 TLSv1 .2_2021, TLSv1 .2_2019, .2_2018, .1_2016, dan _2016 tidak tersedia di TLSv1 konsol atau API. TLSv1 TLSv1 CloudFront Jika Anda ingin menggunakan salah satu kebijakan keamanan ini, Anda memiliki opsi berikut:

  • Evaluasi apakah kebutuhan distribusi Anda Dukungan Klien Legacy dengan alamat IP khusus. Jika penampil Anda mendukung indikasi nama server (SNI), kami menyarankan agar Anda memperbarui pengaturan Dukungan Klien SSL Kustom distribusi untuk Klien yang Mendukung Indikasi Nama Server (SNI) (tetapkan SSLSupportMethod untuk sni-only di API). Hal ini memungkinkan Anda untuk menggunakan kebijakan keamanan TLS yang tersedia, dan juga dapat mengurangi CloudFront biaya.

  • Jika Anda harus menyimpan Legacy Clients Support dengan alamat IP khusus, Anda dapat meminta salah satu kebijakan keamanan TLS lainnya (TLSv1.3_2025, .2_2025, TLSv1 .2_2021, TLSv1 .2_2019, .2_2018, .1_2016, atau _2016) dengan membuat TLSv1 case di Support Center. TLSv1 TLSv1 TLSv1 AWS

    catatan

    Sebelum Anda menghubungi AWS Support untuk meminta perubahan ini, pertimbangkan hal berikut:

    • Saat Anda menambahkan salah satu kebijakan keamanan ini (TLSv1.3_2025, .2_2025, TLSv1 TLSv1 .2_2021, .2_2019, .2_2018, TLSv1 .1_2016, atau _2016TLSv1) ke distribusi Dukungan Klien Legacy TLSv1, kebijakan keamanan diterapkan pada semua permintaan TLSv1 penampil non-SNI untuk semua distribusi Dukungan Klien Legacy di akun Anda. AWS Namun, jika pemirsa mengirimkan permintaan SNI ke distribusi dengan Dukungan Klien Warisan, kebijakan keamanan distribusi tersebut akan berlaku. Untuk memastikan bahwa kebijakan keamanan yang Anda inginkan diterapkan pada semua permintaan penampil yang dikirim ke semua distribusi Dukungan Klien Legacy di AWS akun Anda, tambahkan kebijakan keamanan yang diinginkan ke setiap distribusi satu per satu.

    • Menurut definisi, kebijakan keamanan baru tidak mendukung ciphers dan protokol yang sama dengan yang lama. Misalnya, jika Anda memilih untuk meningkatkan kebijakan keamanan distribusi dari TLSv1 ke TLSv1 .1_2016, distribusi itu tidak akan lagi mendukung cipher DES- CBC3 -SHA. Untuk informasi lebih lanjut tentang ciphers dan protokol yang didukung oleh setiap kebijakan keamanan, lihat Protokol dan cipher yang didukung antara pemirsa dan CloudFront.

Versi HTTP yang didukung

Pilih versi HTTP yang ingin didukung distribusi saat pemirsa berkomunikasi CloudFront.

Untuk penonton dan CloudFront untuk menggunakan HTTP/2, pemirsa harus mendukung TLSv1 .2 atau lebih baru, dan Server Name Indication (SNI).

Untuk penonton dan CloudFront untuk menggunakan HTTP/3, pemirsa harus mendukung TLSv1 .3 dan Server Name Indication (SNI). CloudFront mendukung migrasi koneksi HTTP/3 untuk memungkinkan penampil beralih jaringan tanpa kehilangan koneksi. Untuk informasi selengkapnya tentang migrasi koneksi, lihat Migrasi Sambungan di RFC 9000.

catatan

Untuk informasi selengkapnya tentang cipher TLSv1 .3 yang didukung, lihat. Protokol dan cipher yang didukung antara pemirsa dan CloudFront

catatan

Jika Anda menggunakan Amazon Route 53, Anda dapat menggunakan catatan HTTPS untuk mengizinkan negosiasi protokol sebagai bagian dari pencarian DNS jika klien mendukungnya. Untuk informasi selengkapnya, lihat Create alias resource record set.

Objek akar default

Opsional. Objek yang CloudFront ingin Anda minta dari asal Anda (misalnya,index.html) ketika penampil meminta URL root distribusi Anda (https://www.example.com/), bukan objek dalam distribusi Anda (https://www.example.com/product-description.html). Menentukan objek akar default menghindari pemaparan konten distribusi Anda.

Panjang maksimum nama adalah 255 karakter. Nama dapat berisi salah satu karakter berikut:

• A-Z, a-z

• 0-9

• _ - . * $ / ~ " '

• &, lulus dan kembali saat &

Saat Anda menetapkan objek akar default, masukkan nama objek saja, misalnya, index.html. Jangan menambahkan / sebelum nama objek.

Untuk informasi selengkapnya, lihat Tentukan objek root default.

Pencatatan standar

Tentukan apakah Anda CloudFront ingin mencatat informasi tentang setiap permintaan untuk objek dan menyimpan file log. Anda dapat mengaktifkan atau menonaktifkan log kapan saja. Tidak ada biaya tambahan jika Anda mengaktifkan logging, tetapi Anda dapat dikenakan biaya untuk menyimpan dan mengakses file. Anda dapat menghapus log kapan saja.

CloudFront mendukung opsi logging standar berikut:

• Pencatatan standar (v2) - Anda dapat mengirim log ke tujuan pengiriman, termasuk Amazon CloudWatch Logs, Amazon Data Firehose, dan Amazon Simple Storage Service (Amazon S3).

• Pencatatan standar (lama) - Anda hanya dapat mengirim log ke bucket Amazon S3.

Awalan log

(Opsional) Jika Anda mengaktifkan logging standar (legacy), tentukan string, jika ada, yang ingin Anda awalan CloudFront ke nama file log akses untuk distribusi ini, misalnya,. exampleprefix/ The trailing slash ( / ) adalah opsional tetapi dianjurkan untuk menyederhanakan browsing file log Anda. Untuk informasi selengkapnya, lihat Konfigurasikan logging standar (warisan).

Pencatatan cookie

Jika Anda CloudFront ingin menyertakan cookie di log akses, pilih Aktif. Jika Anda memilih untuk memasukkan cookie dalam CloudFront log, mencatat semua cookie terlepas dari bagaimana Anda mengonfigurasi perilaku cache untuk distribusi ini: meneruskan semua cookie, tidak meneruskan cookie, atau meneruskan daftar cookie tertentu ke asal.

Amazon S3 tidak memproses cookie, jadi kecuali distribusi Anda juga menyertakan Amazon EC2 atau asal kustom lainnya, kami sarankan Anda memilih Off untuk nilai Cookie Logging.

Untuk informasi selengkapnya tentang cookie, lihat Konten cache berdasarkan cookie.

Aktifkan IPv6 (permintaan penampil)

Jika Anda ingin CloudFront menanggapi permintaan penampil dari IPv4 dan alamat IPv6 IP, pilih Aktifkan IPv6. Untuk informasi selengkapnya, lihat Aktifkan IPv6 untuk CloudFront distribusi.

IPv6 Aktifkan asal kustom (permintaan asal)

Bila Anda menggunakan custom origin (tidak termasuk Amazon S3 dan asal VPC), Anda dapat menyesuaikan pengaturan asal untuk distribusi Anda untuk memilih CloudFront cara menghubungkan ke asal Anda menggunakan atau alamat. IPv4 IPv6 Untuk informasi selengkapnya, lihat Aktifkan IPv6 untuk CloudFront distribusi.

Komentar

Opsional. Saat membuat distribusi, Anda dapat menyertakan komentar berisi hingga 128 karakter. Anda dapat memperbarui komentar kapan saja.

Status distribusi

Menunjukkan apakah Anda ingin distribusi diaktifkan atau dinonaktifkan setelah diterapkan:

• Diaktifkan berarti bahwa segera setelah distribusi sepenuhnya diterapkan, Anda dapat menerapkan tautan yang menggunakan nama domain distribusi dan pengguna dapat mengambil konten. Setiap kali distribusi diaktifkan, CloudFront menerima dan menangani setiap permintaan pengguna akhir untuk konten yang menggunakan nama domain yang terkait dengan distribusi tersebut.

  Saat Anda membuat, memodifikasi, atau menghapus CloudFront distribusi, perlu waktu untuk perubahan Anda menyebar ke CloudFront database. Permintaan segera untuk informasi tentang distribusi mungkin tidak menunjukkan perubahan tersebut. Propagasi biasanya selesai dalam beberapa menit, tetapi beban sistem tinggi atau partisi jaringan dapat meningkatkan waktu ini.

• Nonaktif berarti bahwa meskipun distribusi mungkin diterapkan dan siap digunakan, pengguna tidak dapat menggunakannya. Setiap kali distribusi dinonaktifkan, CloudFront tidak menerima permintaan pengguna akhir apa pun yang menggunakan nama domain yang terkait dengan distribusi tersebut. Sampai Anda mengalihkan distribusi dari dinonaktifkan ke diaktifkan (dengan memperbarui konfigurasi distribusi), tidak ada yang dapat menggunakannya.

Anda dapat mengubah distribusi antara dinonaktifkan dan diaktifkan sesering yang Anda inginkan. Ikuti proses untuk memperbarui konfigurasi distribusi. Untuk informasi selengkapnya, lihat Perbarui distribusi.