Distribution Settings (Impostazioni distribuzione)

I seguenti valori si applicano a tutta la distribuzione.

Price Class (Categoria prezzo)

Scegli la classe di prezzo corrispondente al prezzo massimo che desideri pagare per il servizio. CloudFront Per impostazione predefinita, CloudFront serve gli oggetti da posizioni periferiche in tutte le CloudFront regioni.

Per ulteriori informazioni sulle classi di prezzo e su come la scelta della classe di prezzo influisce sulle CloudFront prestazioni della distribuzione, consulta la pagina CloudFront dei prezzi.

AWS WAF ACL web

Puoi proteggere la tua CloudFront distribuzione con AWS WAFun firewall per applicazioni Web che ti consente di proteggere le tue applicazioni Web e di APIs bloccare le richieste prima che raggiungano i tuoi server. Puoi farlo Abilita AWS WAF per le distribuzioni quando crei o modifichi una CloudFront distribuzione.

Facoltativamente, è possibile configurare successivamente protezioni di sicurezza aggiuntive per altre minacce specifiche dell'applicazione nella AWS WAF console all'indirizzo. https://console.aws.amazon.com/wafv2/

Per ulteriori informazioni in merito AWS WAF, consulta la Guida per gli AWS WAF sviluppatori.

Nomi di dominio alternativi () CNAMEs

Facoltativo. Specificate uno o più nomi di dominio che desiderate utilizzare URLs per i vostri oggetti anziché il nome di dominio assegnato al momento della creazione della distribuzione. CloudFront È necessario possedere il nome di dominio o disporre dell'autorizzazione per utilizzarlo, cosa che si verifica aggiungendo un SSL/TLS certificato.

Ad esempio, se desideri l'URL per l'oggetto:

/images/image.jpg

Appaia così:

https://www.example.com/images/image.jpg

Anziché così:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Aggiungi un CNAME per www.example.com.

Importante

Se aggiungi un CNAME per www.example.com alla distribuzione, devi anche eseguire le operazioni seguenti:

• Crea (o aggiorna) un record CNAME con il servizio DNS per instradare le query per www.example.com a d111111abcdef8.cloudfront.net.

• Aggiungi un certificato rilasciato CloudFront da un'autorità di certificazione (CA) affidabile che copra il nome di dominio (CNAME) che aggiungi alla tua distribuzione, per convalidare l'autorizzazione all'uso del nome di dominio.

Per creare un record CNAME con il provider del servizio DNS per il dominio devi disporre delle autorizzazioni necessarie. Normalmente questo significa che sei il proprietario del dominio o che stai sviluppando un'applicazione per il proprietario del dominio.

Per il numero massimo corrente di nomi di dominio alternativi che puoi aggiungere a una distribuzione o per richiedere una quota più elevata (precedentemente nota come limite), consulta Quote generali sulle distribuzioni.

Per ulteriori informazioni sui nomi di dominio alternativi, consulta Utilizza la funzionalità personalizzata URLs aggiungendo nomi di dominio alternativi () CNAMEs. Per ulteriori informazioni su CloudFront URLs, consulta. Personalizza il formato URL per i file in CloudFront

Certificato SSL

Se hai specificato un nome di dominio alternativo da utilizzare con la distribuzione, scegli Custom SSL Certificate (Certificato SSL personalizzato), quindi, per convalidare l'autorizzazione per utilizzare il nome di dominio alternativo, scegli un certificato che lo copre. Se desideri che i visualizzatori utilizzino HTTPS per accedere ai tuoi oggetti, scegli l'impostazione applicabile.

• CloudFront Certificato predefinito (*.cloudfront.net): scegli questa opzione se desideri utilizzare il nome di CloudFront dominio presente nel campo URLs per i tuoi oggetti, ad esempio. https://d111111abcdef8.cloudfront.net/image1.jpg

• Certificato SSL personalizzato: scegli questa opzione se desideri utilizzare il tuo nome di dominio URLs per i tuoi oggetti come nome di dominio alternativo, ad esempio. https://example.com/image1.jpg Quindi, scegli un certificato da utilizzare che copre il nome di dominio alternativo. L'elenco di certificati può includere i seguenti:

  • Certificati forniti da AWS Certificate Manager

  • Certificati acquistati da un'autorità di certificazione esterna e caricati in ACM

  • Certificati acquistati da un'autorità di certificazione esterna e caricati nello store certificati di IAM

  Se scegli questa impostazione, ti consigliamo di utilizzare solo un nome di dominio alternativo nell'oggetto URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) e un client utilizza un visualizzatore precedente che non supporta SNI. La risposta del visualizzatore dipende dal valore che scegli per Clients Supported:

  • Tutti i client: il visualizzatore visualizza un avviso perché il nome di dominio non corrisponde al nome di dominio nel certificato. CloudFront SSL/TLS

  • Solo client che supportano Server Name Indication (SNI): CloudFront interrompe la connessione con il visualizzatore senza restituire l'oggetto.

Supporto client SSL personalizzato

Si applica solo quando si sceglie Certificato SSL personalizzato (example.com) per Certificato SSL. Se hai specificato uno o più nomi di dominio alternativi e un certificato SSL personalizzato per la distribuzione, scegli come gestire le richieste HTTPS: CloudFront

• Client che supportano SNI (Server Name Indication) - (scelta consigliata): con questa impostazione, praticamente tutti i browser Web e i client moderni possono connettersi alla distribuzione, poiché supportano SNI. Tuttavia, alcuni visualizzatori potrebbero utilizzare browser Web meno recenti o client che non supportano SNI, il che significa che non possono connettersi alla distribuzione.

  Per applicare questa impostazione utilizzando l' CloudFront API, specifica sni-only nel SSLSupportMethod campo. In AWS CloudFormation, il campo è denominato SslSupportMethod (nota il diverso formato maiuscolo/minuscolo).

• Supporto client legacy: con questa impostazione, i browser Web e i client meno recenti che non supportano SNI possono connettersi alla distribuzione. Tuttavia, questa impostazione comporta costi mensili aggiuntivi. Per il prezzo esatto, vai alla pagina CloudFront dei prezzi di Amazon e cerca SSL personalizzato con IP dedicato.

  Per applicare questa impostazione utilizzando l' CloudFront API, specifica vip nel SSLSupportMethod campo. In AWS CloudFormation, il campo è denominato SslSupportMethod (notate le diverse lettere maiuscole).

Per ulteriori informazioni, consulta Scegli in che modo CloudFront vengono servite le richieste HTTPS.

Politica di sicurezza (versione minima SSL/TLS)

Specificate la politica di sicurezza che desiderate utilizzare CloudFront per le connessioni HTTPS con i visualizzatori (client). Dalla policy di sicurezza dipendono due impostazioni:

• Il SSL/TLS protocollo minimo CloudFront utilizzato per comunicare con gli spettatori.

• I codici che è CloudFront possibile utilizzare per crittografare il contenuto restituito agli utenti.

Per ulteriori informazioni sui criteri di sicurezza, compresi i protocolli e le crittografia inclusi, vedere Protocolli e cifrari supportati tra visualizzatori e CloudFront.

Le politiche di sicurezza disponibili dipendono dai valori specificati per SSL Certificate e Custom SSL Client Support (noti come CloudFrontDefaultCertificate e SSLSupportMethod presenti nell' CloudFront API):

• Quando il certificato SSL è un CloudFront certificato predefinito (*.cloudfront.net) (quando CloudFrontDefaultCertificate è presente true nell'API), imposta automaticamente la politica di sicurezza su. CloudFront TLSv1

• Quando SSL Certificate (Certificato SSL) è Custom SSL Certificate (example.com) (Certificato SSL personalizzato (example.com)) e Custom SSL Client Support (Supporto client SSL personalizzato) è Clients that Support Server Name Indication (SNI) - (Recommended) (Client che supportano l'indicazione del nome del server (SNI) - (scelta suggerita) (quando nell'API CloudFrontDefaultCertificate è false e SSLSupportMethod è sni-only), è possibile scegliere tra le seguenti policy di sicurezza:

  • TLSv1.3_2025

  • TLSv1.2_2025

  • TLSv1.2_2021

  • TLSv1.2_2019

  • TLSv1.2_2018

  • TLSv1.1_2016

  • TLSv1_2016

  • TLSv1

• Quando SSL Certificate (Certificato SSL) è Custom SSL Certificate (example.com) (Certificato SSL personalizzato (example.com) e Custom SSL Client Support (Supporto client SSL personalizzato) è Legacy Clients Support (Supporto client legacy) (quando nell'API CloudFrontDefaultCertificate è false e SSLSupportMethod è vip), è possibile scegliere tra le seguenti policy di sicurezza:

  • TLSv1

  • SSLv3

  In questa configurazione, le politiche di sicurezza TLSv1 .3_2025, .2_2025, TLSv1 TLSv1 .2_2021, TLSv1 .2_2019, .2_2018, .1_2016 e _2016 non sono disponibili nella console o nell'TLSv1API. TLSv1 TLSv1 CloudFront Se si desidera utilizzare uno di questi criteri di sicurezza, sono disponibili le seguenti opzioni:

  • Valutare se la distribuzione necessita di supporto per i client legacy con indirizzi IP dedicati. Se i visualizzatori supportano l'indicazione del nome server (SNI), si consiglia di aggiornare l'impostazione di Custom SSL Client Support (Supporto client SSL personalizzato) della distribuzione in Clients that Support Server Name Indication (SNI) (Client che supportano l'indicazione del nome server (SNI)) (impostare SSLSupportMethod su sni-only nell'API). Ciò consente di utilizzare qualsiasi politica di sicurezza TLS disponibile e può anche ridurre i costi. CloudFront

  • Se devi mantenere Legacy Clients Support con indirizzi IP dedicati, puoi richiedere una delle altre politiche di sicurezza TLS (TLSv1.3_2025, .2_2025, TLSv1 .2_2021, TLSv1 TLSv1 .2_2019, .2_2018, .1_2016 o _2016) creando un caso nel Support Center TLSv1. TLSv1 TLSv1 AWS

    Nota

    Prima di contattare AWS Support per richiedere questa modifica, considera quanto segue:

    • Quando aggiungi una di queste politiche di sicurezza (TLSv1.3_2025, .2_2025, TLSv1 TLSv1 .2_2021, .2_2019, .2_2018 TLSv1, .1_2016 o _2016 TLSv1TLSv1) a una distribuzione Legacy Clients Support TLSv1, la politica di sicurezza viene applicata a tutte le richieste di visualizzatori non SNI per tutte le distribuzioni Legacy Clients Support del tuo account. AWS Tuttavia, quando i visualizzatori inviano richieste SNI a una distribuzione con il supporto client legacy, vengono applicate le policy di sicurezza di tale distribuzione. Per assicurarti che la politica di sicurezza desiderata venga applicata a tutte le richieste dei visualizzatori inviate a tutte le distribuzioni Legacy Clients Support del tuo AWS account, aggiungi la politica di sicurezza desiderata a ciascuna distribuzione singolarmente.

    • Per definizione, la nuova policy di sicurezza non supporta gli stessi protocolli e la stessa crittografia di quella precedente. Ad esempio, se scegli di aggiornare la politica di sicurezza di una distribuzione TLSv1 da TLSv1 .1_2016, tale distribuzione non supporterà più il codice DES- -SHA. CBC3 Per ulteriori informazioni sui crittografia e protocolli supportati da ogni policy di protezione, vedere Protocolli e cifrari supportati tra visualizzatori e CloudFront.

Versioni HTTP supportate

Scegli le versioni HTTP che desideri che la tua distribuzione supporti quando gli spettatori comunicano con. CloudFront

Per i visualizzatori e CloudFront per utilizzare HTTP/2, i visualizzatori devono supportare TLSv1 .2 o versioni successive e Server Name Indication (SNI).

Per i visualizzatori e CloudFront per utilizzare HTTP/3, i visualizzatori devono supportare .3 e Server Name Indication (SNI). TLSv1 CloudFront supporta la migrazione della connessione HTTP/3 per consentire allo spettatore di cambiare rete senza perdere la connessione. Per ulteriori informazioni sulla migrazione della connessione, consultare Migrazione della connessione in RFC 9000.

Nota

Per ulteriori informazioni sui cifrari TLSv1 .3 supportati, consulta. Protocolli e cifrari supportati tra visualizzatori e CloudFront

Nota

Se utilizzi Amazon Route 53, puoi utilizzare i record HTTPS per consentire la negoziazione del protocollo come parte della ricerca DNS, se il client la supporta. Per ulteriori informazioni, consulta Create alias resource record set.

Default Root Object (Oggetto root di default)

Facoltativo. L'oggetto che desideri richiedere CloudFront alla tua origine (ad esempio,index.html) quando un visualizzatore richiede l'URL principale della tua distribuzione (https://www.example.com/) anziché un oggetto nella tua distribuzione (). https://www.example.com/product-description.html La specifica di un oggetto root di default evita l'esposizione del contenuto della distribuzione.

La lunghezza massima del nome è 255 caratteri. Il nome può contenere uno qualsiasi dei seguenti caratteri:

• A-Z, a-z

• 0-9

• _ - . * $ / ~ " '

• &, passato e restituito come &

Quando specifichi l'oggetto root di default, immetti solo il nome dell'oggetto, ad esempio, index.html. Non aggiungere una / prima del nome dell'oggetto.

Per ulteriori informazioni, consulta Specificare un oggetto radice predefinito.

Registrazione standard

Specificate se desiderate CloudFront registrare le informazioni su ogni richiesta di un oggetto e memorizzare i file di registro. Puoi attivare o disattivare la registrazione in qualsiasi momento. Non sono previsti costi aggiuntivi se si abilita la registrazione, ma è possibile che vengano addebitati costi per l'archiviazione e l'accesso ai file. Puoi eliminare i log in qualsiasi momento.

CloudFront supporta le seguenti opzioni di registrazione standard:

• Registrazione standard (v2): puoi inviare log a destinazioni di consegna, tra cui Amazon CloudWatch Logs, Amazon Data Firehose e Amazon Simple Storage Service (Amazon S3).

• Registrazione standard (legacy): puoi inviare i log solo a un bucket Amazon S3.

Log Prefix (Prefisso log)

(Facoltativo) Se abiliti la registrazione standard (legacy), specifica l'eventuale stringa che desideri aggiungere come prefisso CloudFront ai nomi dei file di log di accesso per questa distribuzione, ad esempio. exampleprefix/ La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Configurazione della registrazione standard (legacy).

Registrazione dei cookie

Se desideri includere CloudFront i cookie nei log di accesso, scegli Attivato. Se scegli di includere i cookie nei CloudFront log, registra tutti i cookie indipendentemente da come configuri i comportamenti della cache per questa distribuzione: inoltra tutti i cookie, non inoltra nessun cookie o inoltra un elenco specifico di cookie all'origine.

Amazon S3 non elabora i cookie, quindi a meno che la tua distribuzione non includa anche un Amazon EC2 o un'altra origine personalizzata, ti consigliamo di scegliere Off per il valore di Cookie Logging.

Per ulteriori informazioni sui cookie, consulta Contenuto della cache basato sui cookie.

Abilita IPv6 (richieste del visualizzatore)

Se desideri rispondere CloudFront alle richieste degli spettatori IPv4 e agli indirizzi IPv6 IP, seleziona Abilita IPv6. Per ulteriori informazioni, consulta Abilita IPv6 per le CloudFront distribuzioni.

Abilita IPv6 le origini personalizzate (richieste di origine)

Quando utilizzi un'origine personalizzata (escluse le origini Amazon S3 e VPC), puoi personalizzare le impostazioni di origine per la tua distribuzione per scegliere come CloudFront connettersi alla tua origine utilizzando o gli indirizzi. IPv4 IPv6 Per ulteriori informazioni, consulta Abilita IPv6 per le CloudFront distribuzioni.

Commento

Facoltativo. Quando crei una distribuzione, puoi includere un commento di 128 caratteri al massimo. Puoi aggiornare il commento in qualsiasi momento.

Distribution State (Stato distribuzione)

Indica se intendi attivare o disattivare la distribuzione implementata:

• Enabled (Attivata) significa che subito dopo l'implementazione della distribuzione, puoi distribuire i collegamenti che utilizzano il nome di dominio della distribuzione e gli utenti possono recuperare il contenuto. Ogni volta che una distribuzione è attivata, CloudFront accetta e gestisce tutte le richieste utente finale di contenuto che utilizzano il nome di dominio associato a quella distribuzione.

  Quando crei, modifichi o elimini una CloudFront distribuzione, ci vuole del tempo prima che le modifiche si propaghino nel database. CloudFront Una richiesta di informazioni immediata su una distribuzione potrebbe non visualizzare la modifica. La propagazione in genere viene completata in pochi minuti, ma una partizione di rete o un carico di sistema elevato potrebbe aumentare il tempo dell'operazione.

• Disabled (Disattivata) significa che anche se la distribuzione è implementata e pronta all'uso, gli utenti non possono utilizzarla. Ogni volta che una distribuzione è disabilitata, CloudFront non accetta richieste dell'utente finale che utilizzano il nome di dominio associato a quella distribuzione. Fino a che non modifichi lo stato della distribuzione da Disabled (Disattivata) a Enabled (Attivata) (aggiornando la configurazione della distribuzione), nessuno può utilizzare la distribuzione.

Puoi passare da uno stato all'altro della distribuzione tutte le volte che lo desideri. Segui la procedura di aggiornamento della configurazione di una distribuzione. Per ulteriori informazioni, consulta Aggiornamento di una distribuzione.