Uso de URLs personalizados adicionando nomes de domínio alternativos (CNAMEs) - Amazon CloudFront

Uso de URLs personalizados adicionando nomes de domínio alternativos (CNAMEs)

No CloudFront, um nome de domínio alternativo, também conhecido como CNAME, permite usar seu próprio nome de domínio (por exemplo, www.exemplo.com) nos URLs dos arquivos, em vez de usar o nome de domínio que o CloudFront atribui para a distribuição.

Quando você cria uma distribuição, o CloudFront fornece um nome de domínio a ela, por exemplo, d111111abcdef8.cloudfront.net.

Se desejar usar seu próprio nome de domínio, como www.exemplo.com, em vez do nome de domínio cloudfront.net, você poderá adicionar um nome de domínio alternativo à sua distribuição.

Adição um nome de domínio alternativo

A lista de tarefas a seguir descreve como usar o console do CloudFront para adicionar um nome de domínio alternativo à distribuição, para que você possa usar seu próprio nome de domínio nos links, em vez do nome de domínio do CloudFront. Para obter informações sobre como atualizar sua distribuição usando a API do CloudFront, consulte Trabalhar com distribuições.

nota

Se você quiser que os visualizadores usem HTTPS com seu nome de domínio alternativo, consulte Usar nomes de domínio alternativos e HTTPS.

Antes de começar: faça o seguinte antes de atualizar a distribuição para adicionar um nome de domínio alternativo:

  • Registre o nome de domínio com o Route 53 ou outro provedor de domínio.

  • Obtenha um certificado SSL/TLS de uma autoridade de certificação (CA) autorizada que cubra o nome de domínio. Adicione o certificado à sua distribuição para validar que você está autorizado a usar o domínio. Para obter mais informações, consulte Requisitos para o uso de nomes de domínio alternativos.

Adição um nome de domínio alternativo

  1. Faça login no AWS Management Console e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v3/home.

  2. Escolha o ID da distribuição que você deseja atualizar.

  3. Na guia General, escolha Edit.

  4. Atualize os seguintes valores:

    Alternate Domain Names (CNAMEs)

    Como adicionar nomes de domínio alternativos. Separe os nomes de domínio com vírgulas ou digite cada nome de domínio em uma nova linha.

    Certificado SSL

    Escolha a seguinte configuração:

    • Usar HTTPS: escolha Custom SSL Certificate (Certificado SSL personalizado) e escolha um certificado na lista. A lista inclui certificados provisionados pelo AWS Certificate Manager (ACM), certificados adquiridos de outra CA e carregados no ACM e certificados adquiridos de outra CA e carregados no armazenamento de certificados do IAM.

      Se você fez upload de um certificado no armazenamento de certificados do IAM, mas ele não for exibido na lista, reveja o procedimento Importar um certificado SSL/TLS para confirmar se fez upload do certificado corretamente.

      Se você escolher essa configuração, recomendamos que use apenas um nome de domínio alternativo nos URLs dos seus objetos (https://www.example.com/logo.jpg). Se você usar o nome de domínio da distribuição do CloudFront (https://d111111abcdef8.cloudfront.net.cloudfront.net/logo.jpg), um visualizador poderá se comportar da seguinte forma, dependendo do valor escolhido para Clients Supported (Clientes compatíveis):

      • All Clients (Todos os clientes): se o visualizador não for compatível com SNI, ele receberá um aviso, porque o nome de domínio do CloudFront não corresponde ao nome de domínio do certificado TLS/SSL.

      • Only Clients that Support Server Name Indication (SNI) (Somente os clientes que oferecem suporte à indicação de nome de servidor (SNI)): o CloudFront interrompe a conexão com o visualizador sem retornar o objeto.

    Clients Supported

    Escolha uma opção:

    • All Clients (Todos os clientes): o CloudFront fornece seu conteúdo HTTP usando endereços IP dedicados. Se você selecionar essa opção, será cobrado encargos adicionais ao associar seu certificado SSL/TLS a uma distribuição ativada. Para mais informações, consulte Definição de preços do Amazon CloudFront.

    • Only Clients that Support Server Name Indication (SNI) (Recommended) *(Somente clientes compatíveis com o Server Name Indication [SNI] [Recomendado]): navegadores antigos ou outros clientes não compatíveis com SNI devem usar outro método para acessar o conteúdo.

    Para obter mais informações, consulte Escolher como o CloudFront atende a solicitações HTTPS.

  5. Escolha Yes, Edit.

  6. Na guia General na distribuição, confirme se Distribution Status foi alterado para Deployed. Se você tentar usar um nome de domínio alternativo antes de as atualizações da sua distribuição serem implementados, os links criados nas etapas a seguir poderão não funcionar.

  7. Configure o serviço de DNS para o nome de domínio alternativo (como www.exemplo.com) para rotear tráfego para o nome de domínio do CloudFront para sua distribuição (por exemplo, d111111abcdef8.cloudfront.net). O método usado depende se você está usando o Route 53 como o provedor de serviço DNS para o domínio ou outro provedor.

    nota

    Se o registro DNS já aponta para uma distribuição diferente daquela que você está atualizando, adicione o nome de domínio alternativo à distribuição somente após atualizar o DNS. Para obter mais informações, consulte Restrições de uso de nomes de domínio alternativos.

    Route 53

    Crie um conjunto de registros de recursos de alias. Com um conjunto de registros de recurso de alias, você não paga pelas consultas do Route 53. Além disso, é possível criar um conjunto de registros de recurso de alias para o nome de domínio raiz (example.com), que não é permitido pelo DNS para CNAMEs. Para mais informações, consulte Rotear o tráfego para uma distribuição na web do Amazon CloudFront usando seu nome de domínio no Guia do desenvolvedor do Amazon Route 53.

    Outro provedor de serviço de DNS

    Use o método fornecido pelo provedor de serviço DNS para adicionar um registro CNAME ao domínio. Esse novo registro CNAME redirecionará consultas de DNS do seu nome de domínio alternativo (como www.exemplo.com) para o nome de domínio do CloudFront da sua distribuição (por exemplo, d111111abcdef8.cloudfront.net). Para obter mais informações, consulte a documentação fornecida por seu provedor de serviço de DNS.

    Importante

    Se você já tiver um registro CNAME para seu nome de domínio alternativo, atualize-o ou substitua-o por um novo que aponte para o nome de domínio do CloudFront da sua distribuição.

  8. Usando dig ou uma ferramenta de DNS semelhante, confirme se a configuração de DNS criada na etapa anterior aponta para o nome de domínio da sua distribuição.

    O exemplo a seguir mostra uma solicitação dig no domínio www.example.com, bem como a parte relevante da resposta.

    PROMPT> dig www.example.com ; <<> DiG 9.3.3rc2 <<> www.example.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15917 ;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.example.com. IN A ;; ANSWER SECTION: www.example.com. 10800 IN CNAME d111111abcdef8.cloudfront.net. ...

    A seção de resposta mostra um registro CNAME que roteia consultas de www.exemplo.com para o nome de domínio de distribuição do CloudFront d111111abcdef8.cloudfront.net. Se o nome à direita de CNAME for o nome de domínio de sua distribuição do CloudFront, o registro CNAME estará configurado corretamente. Se o valor for qualquer outro, por exemplo, o nome de domínio do bucket do Amazon S3, o registro CNAME está configurado incorretamente. Nesse caso, volte para a etapa 7 e corrija o registro CNAME de modo que ele aponte para o nome de domínio da sua distribuição.

  9. Teste o nome de domínio alternativo acessando URLs com seu nome de domínio em vez do nome de domínio do CloudFront da distribuição.

  10. Na aplicação, altere os URLs para que os objetos usem o nome de domínio alternativo, em vez do nome de domínio da distribuição do CloudFront.

Mudança de um nome de domínio alternativo para uma distribuição diferente

Quando você tentar adicionar um nome de domínio alternativo a uma distribuição, mas o nome de domínio alternativo já estiver em uso em uma distribuição diferente, você receberá um erro CNAMEAlreadyExists (One or more of the CNAMEs you provided are already associated with a different resource (Um ou mais CNAMEs fornecidos já estão associados a um recurso diferente)). Por exemplo, você recebe esse erro ao tentar adicionar www.exemplo.com a uma distribuição, mas www.exemplo.com já está associado a uma distribuição diferente.

Nesse caso, talvez você queira mover o nome de domínio alternativo existente de uma distribuição (a distribuição de origem) para outra (a distribuição de destino). As etapas a seguir são uma visão geral do processo. Para obter mais informações, siga o link em cada etapa da visão geral.

Para mover um nome de domínio alternativo

  1. Configure a distribuição de destino. Essa distribuição deve ter um certificado SSL/TLS que cubra o nome de domínio alternativo que você está movendo. Para obter mais informações, consulte Configurar a distribuição de destino.

  2. Localize a distribuição de origem. Você pode usar o AWS Command Line Interface (AWS CLI) para localizar a distribuição à qual o nome de domínio alternativo está associado. Para obter mais informações, consulte Localizar a distribuição de origem.

  3. Mova o nome de domínio alternativo. O modo de fazer isso depende se as distribuições de origem e de destino estão na mesma conta da AWS. Para obter mais informações, consulte Mover o nome de domínio alternativo.

Configurar a distribuição de destino

Antes de mover um nome de domínio alternativo, você deve configurar a distribuição de destino (a distribuição para a qual você está movendo o nome de domínio alternativo).

Para configurar a distribuição de destino

  1. Obtenha um certificado SSL/TLS que inclua o nome de domínio alternativo que você está movendo. Caso não possua um, poderá solicitá-lo no AWS Certificate Manager (ACM) ou obtê-lo junto a outra autoridade de certificação (CA) e importá-lo para o ACM. Certifique-se de solicitar ou importar o certificado na região Leste dos EUA (Norte da Virgínia) (us-east-1).

  2. Se você ainda não criou a distribuição de destino, crie-a agora. Como parte da criação da distribuição de destino, associe seu certificado (da etapa anterior) à distribuição. Para obter mais informações, consulte Criar uma distribuição.

    Se você já tiver uma distribuição de destino, associe seu certificado (da etapa anterior) à distribuição de destino. Para obter mais informações, consulte Atualizar uma distribuição.

  3. Crie um registro TXT de DNS que associe o nome de domínio alternativo ao nome de domínio de distribuição da distribuição de destino. Crie seu registro TXT com um sublinhado (_) na frente do nome de domínio alternativo. O exemplo a seguir mostra um registro TXT de DNS:

    _www.example.com TXT d111111abcdef8.cloudfront.net

    O CloudFront usa esse registro TXT para validar que você é o proprietário do nome de domínio alternativo.

Localizar a distribuição de origem

Antes de mover um nome de domínio alternativo de uma distribuição para outra, será necessário localizar a distribuição de origem (a distribuição em que o nome de domínio alternativo está atualmente em uso). Quando você conhece o ID da conta da AWS das distribuições de origem e de destino, pode determinar como o nome de domínio alternativo será movido.

Para localizar a distribuição de origem para o nome de domínio alternativo

  1. Use o comando list-conflicting-aliases do CloudFront AWS Command Line Interface (AWS CLI) conforme mostrado no exemplo a seguir. Substitua www.exemplo.com pelo nome de domínio alternativo e EDFDVBD6EXAMPLE pelo ID da distribuição de destino configurada anteriormente. Execute este comando usando credenciais que estão na mesma conta da AWS que a distribuição de destino. Para usar esse comando, você deve ter permissões cloudfront:GetDistribution e cloudfront:ListConflictingAlias na distribuição de destino.

    aws cloudfront list-conflicting-aliases --alias www.example.com --distribution-id EDFDVBD6EXAMPLE

    A saída do comando mostra uma lista de todos os nomes de domínio alternativos que entram em conflito ou se sobrepõem ao fornecido. Por exemplo:

    • Se você fornecer www.exemplo.com ao comando, a saída do comando incluirá www.exemplo.com e o nome de domínio alternativo curinga sobreposto (*.exemplo.com), se ele existir.

    • Se você fornecer *.exemplo.com ao comando, a saída do comando incluirá *.exemplo.com e quaisquer nomes de domínio alternativos cobertos por esse curinga (por exemplo, www.exemplo.com, teste.exemplo.com, dev.exemplo.com e assim por diante).

    Para cada nome de domínio alternativo na saída do comando, você poderá ver o ID da distribuição à qual ele está associado e o ID da conta da AWS proprietária da distribuição. Os IDs de distribuição e de conta são parcialmente ocultados, o que permite identificar as distribuições e contas que você possui, mas ajuda a proteger as informações daquelas que você não possui.

  2. Na saída do comando, localize a distribuição para o nome de domínio alternativo que você está movendo e observe o ID da conta da AWS da distribuição de origem. Compare o ID da conta da distribuição de origem com o ID da conta em que você criou a distribuição de destino e determine se essas duas distribuições estão na mesma conta da AWS. Isso ajuda você a determinar como mover o nome de domínio alternativo.

    Para mover o nome de domínio alternativo, consulte o tópico a seguir.

Mover o nome de domínio alternativo

Dependendo da sua situação, escolha uma das seguintes formas de mover o nome de domínio alternativo:

Se as distribuições de origem e de destino estiverem na mesma conta da AWS

Use a o comando associate-alias na AWS CLI para mover o nome de domínio alternativo. Esse método funciona para todas as movimentações da mesma conta, inclusive quando o nome de domínio alternativo é um domínio apex (também chamado de domínio raiz, como exemplo.com). Para obter mais informações, consulte Usar associate-alias para mover um nome de domínio alternativo.

Se as distribuições de origem e de destino estiverem em contas da AWS diferentes

Se você tiver acesso à distribuição de origem, o nome de domínio alternativo não será um domínio apex (também chamado de domínio raiz, comoexample.com) e, se ainda não estiver usando um curinga que se sobreponha a esse nome de domínio alternativo, use um curinga para mover o nome de domínio alternativo. Para obter mais informações, consulte Usar um curinga para mover um nome de domínio alternativo.

Se não tiver acesso à conta da AWS da distribuição de origem, você poderá tentar usar o comando associate-aliasna AWS CLI para mover o nome de domínio alternativo. Se a distribuição de origem estiver desabilitada, você poderá mover o nome de domínio alternativo. Para obter mais informações, consulte Usar associate-alias para mover um nome de domínio alternativo.

Se o nome de domínio alternativo que você está movendo for um domínio apex ou se você não tiver acesso à conta da AWS da distribuição de origem, entre em contato com o AWS Support. Para obter mais informações, consulte Entre em contato com o AWS Support para mover um nome de domínio alternativo.

Usar associate-alias para mover um nome de domínio alternativo

Se a distribuição de origem estiver na mesma conta da AWS que a distribuição de destino, ou se ela estiver em uma conta diferente, mas desabilitada, você pode usar o comando associate-alias do CloudFront na AWS CLI para mover o nome de domínio alternativo.

Para usar associate-alias para mover um nome de domínio alternativo

  1. Use a AWS CLI para executar o comando associate-alias do CloudFront, conforme mostrado no exemplo a seguir. Substitua www.exemplo.com pelo nome de domínio alternativo e EDFDVBD6EXAMPLE pelo ID da distribuição de destino. Execute este comando usando credenciais que estão na mesma conta da AWS que a distribuição de destino. Observe as seguintes restrições ao uso desse comando:

    • Você deve ter permissões cloudfront:AssociateAlias e cloudfront:UpdateDistribution na distribuição de destino.

    • Se as distribuições de origem e de destino estiverem na mesma conta da AWS, você deverá ter permissão cloudfront:UpdateDistribution na distribuição de origem.

    • Se as distribuições de origem e de destino estiverem em contas da AWS diferentes, a distribuição de origem deverá ser desabilitada.

    • A distribuição de destino deve ser configurada conforme descrito em Configurar a distribuição de destino.

    aws cloudfront associate-alias --alias www.example.com --target-distribution-id EDFDVBD6EXAMPLE

    Este comando atualiza ambas as distribuições removendo o nome de domínio alternativo da distribuição de origem e adicionando-o à distribuição de destino.

  2. Depois que a distribuição de destino estiver totalmente implantada, atualize sua configuração de DNS para apontar o registro de DNS do nome de domínio alternativo para o nome de domínio da distribuição de destino.

Usar um curinga para mover um nome de domínio alternativo

Se a distribuição de origem estiver em uma conta da AWS diferente da distribuição de destino e a distribuição de origem estiver habilitada, você poderá usar um curinga para mover o nome de domínio alternativo.

nota

Você não pode usar um caractere curinga para mover um domínio apex (como exemplo.com). Para mover um domínio apex quando as distribuições de origem e de destino estiverem em contas da AWS diferentes, entre em contato com o AWS Support. Para obter mais informações, consulte Entre em contato com o AWS Support para mover um nome de domínio alternativo.

Para usar um curinga para mover um nome de domínio alternativo

nota

Esse processo envolve várias atualizações para suas distribuições. Aguarde até que cada distribuição implante totalmente a última alteração antes de prosseguir para a próxima etapa.

  1. Atualize a distribuição de destino para adicionar um nome de domínio alternativo curinga que cubra o nome de domínio alternativo que você está movendo. Por exemplo, se o nome de domínio alternativo que você está movendo for www.exemplo.com, adicione o nome de domínio alternativo *.exemplo.com à distribuição de destino. Para fazer isso, o certificado SSL/TLS na distribuição de destino deve incluir o nome de domínio curinga. Para obter mais informações, consulte Atualizar uma distribuição.

  2. Atualize as configurações de DNS para o nome de domínio alternativo para apontar para o nome de domínio da distribuição de destino. Por exemplo, se o nome de domínio alternativo que você está movendo for www.exemplo.com, atualize o registro de DNS para www.exemplo.com para rotear o tráfego para o nome de domínio da distribuição de destino (por exemplo, d111111abcdef8.cloudfront.net).

    nota

    Mesmo depois que as configurações de DNS forem atualizadas, o nome de domínio alternativo ainda será atendido pela distribuição de origem, pois é nela que o nome de domínio alternativo está configurado no momento.

  3. Atualize a distribuição de origem para remover o nome de domínio alternativo. Para obter mais informações, consulte Atualizar uma distribuição.

  4. Atualize a distribuição de destino para adicionar o nome de domínio alternativo. Para obter mais informações, consulte Atualizar uma distribuição.

  5. Use o dig (ou uma ferramenta de consulta de DNS semelhante) para validar que o registo de DNS para o nome de domínio alternativo está sendo resolvido para o nome de domínio da distribuição de destino.

  6. (Opcional) Atualize a distribuição de destino para remover o nome de domínio alternativo curinga.

Entre em contato com o AWS Support para mover um nome de domínio alternativo

Se o nome de domínio alternativo que você está movendo for um domínio apex, as distribuições de origem e de destino estiverem em contas da AWS diferentes e você não tiver acesso à conta da AWS da distribuição de origem ou não puder desabilitar a distribuição de origem, você poderá entrar em contato com o AWS Support para mover o nome de domínio alternativo.

Para entrar em contato com o AWS Support para mover um nome de domínio alternativo

  1. Configure uma distribuição de destino, incluindo o registro TXT de DNS que aponta para a distribuição de destino. Para obter mais informações, consulte Configurar a distribuição de destino.

  2. Entre em contato com o AWS Support para solicitar uma verificação de que você é o proprietário do domínio e mover o domínio para a nova distribuição do CloudFront para você.

Remoção de um nome de domínio alternativo

Se você quiser interromper o roteamento do tráfego de um domínio ou subdomínio para uma distribuição do CloudFront, siga as etapas nesta seção para atualizar a configuração de DNS e a configuração de distribuição do CloudFront.

É importante que você remova os nomes de domínio alternativos da distribuição e atualize sua configuração DNS. Isso ajudará a evitar problemas posteriormente se você quiser associar o nome de domínio a outra distribuição do CloudFront. Se um nome de domínio alternativo já estiver associado a uma distribuição, ele não poderá ser configurado com outra.

nota

Se você quiser remover o nome de domínio alternativo dessa distribuição para que possa adicioná-lo a outra, siga as etapas em Mudança de um nome de domínio alternativo para uma distribuição diferente. Se você seguir as etapas descritas aqui (para remover um domínio) e depois adicionar o domínio a outra distribuição, haverá um período durante o qual o domínio não será vinculado à nova distribuição porque o CloudFront estará propagando as atualizações para os pontos de presença.

Para remover o nome de domínio alternativo de uma distribuição

  1. Para começar, roteie o tráfego da Internet do seu domínio para outro recurso que não seja sua distribuição do CloudFront, como um balanceador de carga do Elastic Load Balancing. Se preferir, exclua o registro de DNS que direciona o tráfego para o CloudFront.

    Siga um destes procedimentos, dependendo do serviço DNS do seu domínio:

    • Se estiver usando o Route 53, atualize ou exclua registros de alias ou registros CNAME. Para mais informações, consulte Editar registros ou Excluir registros.

    • Se estiver usando outro provedor de serviços de DNS, use o método fornecido pelo provedor de serviços de DNS para atualizar ou excluir o registro CNAME que direciona o tráfego para o CloudFront. Para obter mais informações, consulte a documentação fornecida por seu provedor de serviço de DNS.

  2. Depois de atualizar os registros DNS do seu domínio, aguarde até que as alterações sejam propagadas e os resolvedores de DNS estejam roteando o tráfego para o novo recurso. Você pode verificar quando o processo foi concluído criando alguns links de teste que usam seu domínio no URL.

  3. Faça login no AWS Management Console, abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v3/home e atualize sua distribuição do CloudFront para remover o nome de domínio fazendo o seguinte:

    1. Escolha o ID da distribuição que você deseja atualizar.

    2. Na guia General, escolha Edit.

    3. Em Alternate Domain Names (CNAMEs), remova o nome de domínio alternativo (ou nomes de domínio) que você não quer mais usar na sua distribuição.

    4. Escolha Yes, Edit.

Uso de curingas em nomes de domínio alternativos

Ao adicionar nomes de domínio alternativos, você pode usar o curinga "*" no início de um nome de domínio, em vez de adicionar cada subdomínio. Por exemplo, com um nome de domínio alternativo de *.exemplo.com, você pode usar qualquer nome de domínio que termine com exemplo.com em seus URLs, como www.exemplo.com, nome_do_produto.exemplo.com, marketing.nome_do_produto.exemplo.com e assim por diante. Caminho para o objeto permanece o mesmo, independentemente do nome de domínio, por exemplo:

  • www.exemplo.com/images/image.jpg

  • nome_do_produto.exemplo.com/images/image.jpg

  • marketing.nome_do_produto.exemplo.com/images/image.jpg

Siga estes requisitos para nomes de domínio alternativos que incluem curingas:

  • O nome de domínio alternativo deve começar com um asterisco e um ponto (*.).

  • Não é possível usar um curinga para substituir parte de um nome de subdomínio, como em *domínio.exemplo.com.

  • Não é possível substituir um subdomínio no meio de um nome de domínio, como em subdomínio.*.exemplo.com.

  • Todos os nomes de domínio alternativos, incluindo nomes de domínio alternativo que usam caracteres curingas, devem estar cobertos pelo nome alternativo da entidade (SAN) no certificado.

Um nome de domínio alternativo curinga, como *.exemplo.com, pode incluir outro nome de domínio alternativo em uso, como exemplo.com.

Requisitos para o uso de nomes de domínio alternativos

Ao adicionar um nome de domínio alternativo, como www.example.com, a uma distribuição do CloudFront, os requisitos são os seguintes:

Os nomes de domínio alternativos devem estar em letras minúsculas

Todos os nomes de domínio alternativos (CNAMEs) devem estar em letras minúsculas.

Os nomes de domínio alternativos devem ser cobertos por um certificado SSL/TLS válido

Para adicionar um nome de domínio alternativo (CNAME) a uma distribuição do CloudFront, é necessário anexar à distribuição um certificado SSL/TLS válido e confiável, que abranja o nome de domínio alternativo. Isso garante que somente as pessoas com acesso ao certificado do domínio possam associar ao CloudFront um CNAME relacionado ao seu domínio.

Um certificado confiável é aquele que é emitido pelo AWS Certificate Manager (ACM) ou por outra autoridade de certificação (CA) válida. Não é possível usar um certificado autoassinado. O CloudFront oferece suporte às mesmas autoridades de certificação que o Mozilla. Para ver a lista atual, consulte Mozilla Included CA Certificate List.

Para verificar um nome de domínio alternativo usando o certificado que você anexar, incluindo nomes de domínio alternativos que incluem curingas, o CloudFront verifica o nome de assunto alternativo (SAN, subject alternative name) no certificado. O nome de domínio alternativo que você estiver adicionando deverá ser coberto pelo SAN.

nota

É possível anexar somente um certificado por vez a uma distribuição do CloudFront.

Você prova que está autorizado a adicionar um determinado nome de domínio alternativo à distribuição de uma das seguintes maneiras:

  • Anexar um certificado que inclui o nome de domínio alternativo, como nome_do_produto.exemplo.com.

  • Anexando um certificado que inclui um caractere curinga * no início de um nome de domínio, para cobrir vários subdomínios com um certificado. Ao especificar um caractere curinga, é possível adicionar vários subdomínios como nomes de domínio alternativos no CloudFront.

Os exemplos a seguir ilustram como usar caracteres curinga em nomes de domínio em um trabalho certificado para autorizar a adição de nomes de domínio alternativos específicos no CloudFront.

  • Você deseja adicionar marketing.exemplo.com como um nome de domínio alternativo. Você lista no seu certificado o seguinte nome de domínio: *.exemplo.com. Ao anexar esse certificado ao CloudFront, você poderá adicionar qualquer nome de domínio alternativo à distribuição que substitua o caractere curinga nesse nível, incluindo marketing.exemplo.com. Você também pode, por exemplo, adicionar os seguintes nomes de domínio alternativos:

    • produto.exemplo.com

    • api.example.com

    No entanto, você não pode adicionar nomes de domínio alternativos que estão em níveis maiores ou menores que o caractere curinga. Por exemplo, você não pode adicionar os nomes de domínio alternativos exemplo.com nem marketing.produto.exemplo.com.

  • Você deseja adicionar exemplo.com como um nome de domínio alternativo. Para fazer isso, você deve listar o próprio nome de domínio exemplo.com no certificado que anexa à distribuição.

  • Você deseja adicionar marketing.produto.exemplo.com como um nome de domínio alternativo. Para fazer isso, você pode listar *.produto.exemplo.com no certificado ou pode listar o próprio marketing.produto.exemplo.com no certificado.

Permissão para alterar a configuração de DNS

Ao adicionar nomes de domínio alternativos, é necessário criar registros CNAME para rotear consultas de DNS para os nomes de domínio alternativos à distribuição do CloudFront. Para fazer isso, você deve ter permissão para criar registros CNAME com o provedor de serviço DNS para os nomes de domínio alternativos que está usando. Normalmente, isso significa que você tem os domínios, mas pode estar desenvolvendo um aplicativo para o proprietário dele.

Nomes de domínio alternativos e HTTP

Se quiser que os visualizadores usem HTTPS com um nome de domínio alternativo, será necessário realizar algumas configurações adicionais. Para obter mais informações, consulte Usar nomes de domínio alternativos e HTTPS.

Restrições de uso de nomes de domínio alternativos

Observe as seguintes restrições de uso de nomes de domínio alternativos:

Número máximo de nomes de domínio alternativos

Para saber o número máximo atual de nomes de domínio alternativos que podem ser adicionados a uma distribuição ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Duplicar e substituir nomes de domínio alternativos

Não será possível adicionar um nome de domínio alternativo a uma distribuição do CloudFront se o mesmo nome de domínio alternativo já existir em outra distribuição do CloudFront, mesmo se a sua conta da AWS for a proprietária da outra distribuição.

No entanto, você pode adicionar um nome de domínio alternativo curinga, como *.exemplo.com, que inclui (sobrepõe) um nome de domínio alternativo não curinga, como www.exemplo.com. Se você tiver nomes de domínio alternativos sobrepostos em duas distribuições, o CloudFront enviará a solicitação para a distribuição com a correspondência de nome mais específica, independentemente da distribuição para a qual o registro de DNS apontar. Por exemplo, marketing.domínio.com é mais específico que *.domínio.com.

Domain fronting

O CloudFront inclui proteção contra a ocorrência de domain fronting entre contas diferentes da AWS. O domain fronting é um cenário em que um cliente não padrão cria uma conexão TLS/SSL com um nome de domínio em uma conta da AWS, mas faz uma solicitação HTTPS para um nome não relacionado em outra conta da AWS. Por exemplo, a conexão TLS pode se conectar a www.exemplo.com e enviar uma solicitação HTTP para www.exemplo.org.

Para evitar casos em que o domain fronting passe por diferentes contas da AWS, o CloudFront garante que a conta da AWS que possui o certificado que serve para determinada conexão sempre corresponda à conta da AWS que possui a solicitação que ele processa na mesma conexão.

Se os dois números de conta da AWS não corresponderem, o CloudFront responderá com uma resposta HTTP 421 Misdirected Request (Solicitação indevida) para oferecer ao cliente uma oportunidade de se conectar usando o domínio correto.

Adicionar um nome de domínio alternativo no nó superior (apex de zona) de um domínio

Ao adicionar um nome de domínio alternativo a uma distribuição, geralmente, você cria um registro CNAME na sua configuração de DNS para rotear consultas de DNS do nome de domínio para sua distribuição do CloudFront. No entanto, não é possível criar um registro CNAME no nó superior de um namespace DNS, também conhecido como o apex de zona. O protocolo DNS não permite isso. Por exemplo, se você registrar o nome do DNS exemplo.com, o apex de zona será exemplo.com. Você não pode criar um registro CNAME para exemplo.com, mas pode criar registros CNAME para www.exemplo.com, produtonovo.exemplo.com e assim por diante.

Se estiver usando o Route 53 como o serviço de DNS, você poderá criar um conjunto de registros de recurso de alias, que tem duas vantagens sobre os registros CNAME. Você pode criar um conjunto de registros de recurso de alias para um nome de domínio no nó superior (example.com). Além disso, ao usar um conjunto de registros de recurso de alias, você não paga pelas consultas do Route 53.

nota

Se ativar o IPv6, você deve criar dois conjuntos de registros de recurso de alias: um para rotear o tráfego IPv4 (um registro A) e outro para rotear o tráfego IPv6 (um registro AAAA). Para obter mais informações, consulte Enable IPv6 no tópico Valores especificados ao criar ou atualizar uma distribuição na.

Para mais informações, consulte Rotear o tráfego para uma distribuição na web do Amazon CloudFront usando seu nome de domínio no Guia do desenvolvedor do Amazon Route 53.