マネージドレスポンスヘッダーポリシーを使用する
レスポンスヘッダーポリシーを使用して、Amazon CloudFront からビューワーに送信するレスポンスで削除または追加する HTTP ヘッダーを指定できます。レスポンスヘッダーポリシーおよびそれらを使用する理由の詳細については、「ポリシーを使用して CloudFront レスポンスの HTTP ヘッダーを追加または削除する」を参照してください。
CloudFront で、CloudFront ディストリビューションのキャッシュ動作にアタッチできるマネージドレスポンスヘッダーポリシーを提供します。マネージドレスポンスヘッダーポリシーを使用すると、独自のポリシーを記述したり、維持したりする必要がありません。このマネージドポリシーには、一般的ユースケース用の HTTP レスポンスヘッダーのセットが含まれています。
マネージドレスポンスヘッダーポリシーを使用するには、ディストリビューションのキャッシュ動作にそのポリシーをアタッチします。このプロセスは、カスタムレスポンスヘッダーポリシーを作成するときと同じです。ただし、新しいポリシーを作成する代わりに、マネージドポリシーの 1 つをアタッチします。ポリシーは、名前 (コンソールを使用) または ID (AWS CloudFormation、AWS CLI、または AWS SDK を使用) を使用してアタッチします。名前と ID は、次のセクションに記載されています。
詳細については、「レスポンスヘッダーポリシーの作成」を参照してください。
次のトピックでは、使用可能なマネージドレスポンスヘッダーポリシーについて説明します。
トピック
CORS-and-SecurityHeadersPolicy
このマネージドポリシーを使用して、オリジンからの単一の CORS リクエストが許可されます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、SimpleCORS ポリシーおよび SecurityHeadersPolicy ポリシーを 1 つにまとめます。
AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。
e61eb60c-9c35-4d20-a928-2b84e02af89c
ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | |
---|---|---|---|
CORS ヘッダー: | Access-Control-Allow-Origin |
* |
いいえ |
セキュリティヘッダー: | Referrer-Policy |
strict-origin-when-cross-origin |
いいえ |
Strict-Transport-Security |
max-age=31536000 |
いいえ | |
X-Content-Type-Options |
nosniff |
はい | |
X-Frame-Options |
SAMEORIGIN |
いいえ | |
X-XSS-Protection |
1; mode=block |
いいえ |
CORS-With-Preflight
このマネージドポリシーを使用して、プリフライトリクエストを含むオリジンからの CORS リクエストが許可されます。プリフライトリクエスト (HTTP の OPTIONS
メソッドを使用) の場合、CloudFront は次の 3 つのヘッダーすべてをレスポンスに追加します。単一の CORS リクエストの場合、CloudFront は Access-Control-Allow-Origin
ヘッダーのみ追加します。
CloudFront がオリジンから受信するレスポンスにこれらのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。
AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。
5cc3b908-e619-4b99-88e5-2cf7f45965bd
ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | |
---|---|---|---|
CORS ヘッダー: | Access-Control-Allow-Methods |
DELETE , GET , HEAD ,
OPTIONS , PATCH , POST ,
PUT |
いいえ |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
CORS-with-preflight-and-SecurityHeadersPolicy
このマネージドポリシーを使用して、オリジンからの CORS リクエストが許可されます。これには、プリフライトリクエストが含まれます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、CORS-With-Preflight ポリシーおよび SecurityHeadersPolicy ポリシーを 1 つにまとめます。
AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。
eaab4381-ed33-4a86-88ca-d9558dc6cd63
ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | |
---|---|---|---|
CORS ヘッダー: | Access-Control-Allow-Methods |
DELETE , GET , HEAD ,
OPTIONS , PATCH , POST ,
PUT |
いいえ |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
||
セキュリティヘッダー: | Referrer-Policy |
strict-origin-when-cross-origin |
いいえ |
Strict-Transport-Security |
max-age=31536000 |
いいえ | |
X-Content-Type-Options |
nosniff |
はい | |
X-Frame-Options |
SAMEORIGIN |
いいえ | |
X-XSS-Protection |
1; mode=block |
いいえ |
SecurityHeadersPolicy
このマネージドポリシーを使用して、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。これらのセキュリティヘッダーの詳細については、Mozilla のウェブセキュリティに関するガイドライン
このレスポンスヘッダーポリシーでは、CloudFront はすべてのレスポンスに X-Content-Type-Options:
nosniff
を追加します。これは、CloudFront がオリジンから受け取ったレスポンスにこのヘッダーが含まれていなかった場合です。このポリシーのその他すべてのヘッダーについては、CloudFront がオリジンから受信するレスポンスにこのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。
AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。
67f7725c-6f97-4210-82d7-5512b31e9d03
ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | |
---|---|---|---|
セキュリティヘッダー: | Referrer-Policy |
strict-origin-when-cross-origin |
いいえ |
Strict-Transport-Security |
max-age=31536000 |
いいえ | |
X-Content-Type-Options |
nosniff |
はい | |
X-Frame-Options |
SAMEORIGIN |
いいえ | |
X-XSS-Protection |
1; mode=block |
いいえ |
SimpleCORS
このマネージドポリシーを使用して、オリジンからの単一の CORS リクエストAccess-Control-Allow-Origin: *
単一の CORS リクエストのすべてのレスポンスにヘッダーを追加します。
CloudFront がオリジンから受信するレスポンスに Access-Control-Allow-Origin
ヘッダーが含まれる場合、CloudFront は、ビューワーへのレスポンスにそのヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。
AWS CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。
60669652-455b-4ae9-85a4-c4c02393f86c
ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | |
---|---|---|---|
CORS ヘッダー: | Access-Control-Allow-Origin |
* |
いいえ |