マネージドレスポンスヘッダーポリシーを使用する - Amazon CloudFront

マネージドレスポンスヘッダーポリシーを使用する

レスポンスヘッダーポリシーを使用して、Amazon CloudFront からビューワーに送信するレスポンスで削除または追加する HTTP ヘッダーを指定できます。レスポンスヘッダーポリシーおよびそれらを使用する理由の詳細については、「ポリシーを使用して CloudFront レスポンスの HTTP ヘッダーを追加または削除する」を参照してください。

CloudFront で、CloudFront ディストリビューションのキャッシュ動作にアタッチできるマネージドレスポンスヘッダーポリシーを提供します。マネージドレスポンスヘッダーポリシーを使用すると、独自のポリシーを記述したり、維持したりする必要がありません。このマネージドポリシーには、一般的ユースケース用の HTTP レスポンスヘッダーのセットが含まれています。

マネージドレスポンスヘッダーポリシーを使用するには、ディストリビューションのキャッシュ動作にそのポリシーをアタッチします。このプロセスは、カスタムレスポンスヘッダーポリシーを作成するときと同じです。ただし、新しいポリシーを作成する代わりに、マネージドポリシーの 1 つをアタッチします。ポリシーは、名前 (コンソールを使用) または ID (AWS CloudFormation、AWS CLI、または AWS SDK を使用) を使用してアタッチします。名前と ID は、次のセクションに記載されています。

詳細については、「レスポンスヘッダーポリシーの作成」を参照してください。

次のトピックでは、使用可能なマネージドレスポンスヘッダーポリシーについて説明します。

CORS-and-SecurityHeadersPolicy

このポリシーを CloudFront コンソールで見る

このマネージドポリシーを使用して、オリジンからの単一の CORS リクエストが許可されます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、SimpleCORS ポリシーおよび SecurityHeadersPolicy ポリシーを 1 つにまとめます。

AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

e61eb60c-9c35-4d20-a928-2b84e02af89c

ポリシー設定
ヘッダー名 ヘッダー値 オーバーライドオリジンですか。
CORS ヘッダー: Access-Control-Allow-Origin * いいえ
セキュリティヘッダー: Referrer-Policy strict-origin-when-cross-origin いいえ
Strict-Transport-Security max-age=31536000 いいえ
X-Content-Type-Options nosniff はい
X-Frame-Options SAMEORIGIN いいえ
X-XSS-Protection 1; mode=block いいえ

CORS-With-Preflight

このポリシーを CloudFront コンソールで見る

このマネージドポリシーを使用して、プリフライトリクエストを含むオリジンからの CORS リクエストが許可されます。プリフライトリクエスト (HTTP の OPTIONS メソッドを使用) の場合、CloudFront は次の 3 つのヘッダーすべてをレスポンスに追加します。単一の CORS リクエストの場合、CloudFront は Access-Control-Allow-Origin ヘッダーのみ追加します。

CloudFront がオリジンから受信するレスポンスにこれらのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

5cc3b908-e619-4b99-88e5-2cf7f45965bd

ポリシー設定
ヘッダー名 ヘッダー値 オーバーライドオリジンですか。
CORS ヘッダー: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT いいえ
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *

CORS-with-preflight-and-SecurityHeadersPolicy

このポリシーを CloudFront コンソールで見る

このマネージドポリシーを使用して、オリジンからの CORS リクエストが許可されます。これには、プリフライトリクエストが含まれます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、CORS-With-Preflight ポリシーおよび SecurityHeadersPolicy ポリシーを 1 つにまとめます。

AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

eaab4381-ed33-4a86-88ca-d9558dc6cd63

ポリシー設定
ヘッダー名 ヘッダー値 オーバーライドオリジンですか。
CORS ヘッダー: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT いいえ
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *
セキュリティヘッダー: Referrer-Policy strict-origin-when-cross-origin いいえ
Strict-Transport-Security max-age=31536000 いいえ
X-Content-Type-Options nosniff はい
X-Frame-Options SAMEORIGIN いいえ
X-XSS-Protection 1; mode=block いいえ

SecurityHeadersPolicy

このポリシーを CloudFront コンソールで見る

このマネージドポリシーを使用して、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。これらのセキュリティヘッダーの詳細については、Mozilla のウェブセキュリティに関するガイドラインを参照してください。

このレスポンスヘッダーポリシーでは、CloudFront はすべてのレスポンスに X-Content-Type-Options: nosniff を追加します。これは、CloudFront がオリジンから受け取ったレスポンスにこのヘッダーが含まれていなかった場合です。このポリシーのその他すべてのヘッダーについては、CloudFront がオリジンから受信するレスポンスにこのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

67f7725c-6f97-4210-82d7-5512b31e9d03

ポリシー設定
ヘッダー名 ヘッダー値 オーバーライドオリジンですか。
セキュリティヘッダー: Referrer-Policy strict-origin-when-cross-origin いいえ
Strict-Transport-Security max-age=31536000 いいえ
X-Content-Type-Options nosniff はい
X-Frame-Options SAMEORIGIN いいえ
X-XSS-Protection 1; mode=block いいえ

SimpleCORS

このポリシーを CloudFront コンソールで見る

このマネージドポリシーを使用して、オリジンからの単一の CORS リクエストが許可されます。このポリシーを使用して、CloudFront は、Access-Control-Allow-Origin: *単一の CORS リクエストのすべてのレスポンスにヘッダーを追加します。

CloudFront がオリジンから受信するレスポンスに Access-Control-Allow-Origin ヘッダーが含まれる場合、CloudFront は、ビューワーへのレスポンスにそのヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

60669652-455b-4ae9-85a4-c4c02393f86c

ポリシー設定
ヘッダー名 ヘッダー値 オーバーライドオリジンですか。
CORS ヘッダー: Access-Control-Allow-Origin * いいえ