Valores especificados ao criar ou atualizar uma distribuição - Amazon CloudFront
Configurações de origemConfigurações de comportamento de cacheConfigurações de distribuiçãoPáginas de erro personalizadas e erro de armazenamento em cacheRestrições geográficas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Valores especificados ao criar ou atualizar uma distribuição

Ao usar o CloudFrontconsole para criar uma nova distribuição ou atualizar uma distribuição existente, você especifica os seguintes valores:

Configurações de origem

Configurações de comportamento de cache

Os valores a seguir se aplicam às Configurações de comportamento de cache padrão ao criar uma distribuição. Eles também se aplicam a outros comportamentos de cache criados posteriormente.

Os valores a seguir se aplicam às Associações de funções do Lambda.

Configurações de distribuição

Páginas de erro personalizadas e erro de armazenamento em cache

Restrições geográficas

Para obter mais informações sobre como criar ou atualizar uma distribuição usando o console do CloudFront, consulte Criar uma distribuição ou Atualizar uma distribuição.

Configurações de origem

Ao usar o CloudFront console para criar ou atualizar uma distribuição, você fornece informações sobre um ou mais locais, conhecidos como origens, onde você armazena as versões originais do seu conteúdo da web. CloudFront obtém seu conteúdo da web de suas origens e o exibe aos espectadores por meio de uma rede mundial de servidores de ponta.

Para obter o número máximo atual de origens que você pode criar para uma distribuição ou para solicitar uma cota maior, consulte Cotas gerais para distribuições.

Se você quiser excluir uma origem, primeiro, deve editar ou excluir os comportamentos de cache associados a ela.

Importante

Se você excluir uma origem, confirme se os arquivos fornecidos anteriormente por ela estão disponíveis em outra origem e se os seus comportamentos de cache estão roteando as solicitações desses arquivos para a nova origem.

Ao criar ou atualizar uma distribuição, você especifica os valores a seguir para cada origem.

Domínio de origem

O domínio de origem é o nome de domínio DNS do bucket Amazon S3 ou servidor HTTP do qual você CloudFront deseja obter objetos para essa origem, por exemplo:

  • Bucket do Amazon S3DOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com

    nota

    Se você criou recentemente o bucket do S3, a CloudFront distribuição pode retornar HTTP 307 Temporary Redirect respostas por até 24 horas. Pode demorar até 24 horas para que o nome do bucket do S3 seja propagado para todas as regiões da AWS. Quando a propagação estiver concluída, a distribuição interromperá automaticamente o envio dessas respostas de redirecionamento sem exigir nenhuma ação. Para obter mais informações, consulte Por que estou obtendo uma resposta de redirecionamento temporário HTTP 307 do Amazon S3? e Redirecionamento de solicitação temporário.

  • Bucket do Amazon S3 configurado como siteDOC-EXAMPLE-BUCKET.s3-website.us-west-2.amazonaws.com

  • MediaStore recipienteexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage ponto finalexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Instância do Amazon EC2ec2-203-0-113-25.compute-1.amazonaws.com

  • Balanceador de carga do Elastic Load Balancingexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Seu próprio servidor Web: https://www.example.com

Escolha o nome do domínio no campo Origin domain (Domínio de origem) ou digite o nome. O nome de domínio não diferencia maiúsculas de minúsculas.

Se sua origem for um bucket do Amazon S3, observe o seguinte:

  • Se o bucket estiver configurado como um site, insira o endpoint de hospedagem do site estático do Amazon S3 no bucket. Não selecione o nome do bucket na lista do campo Origin domain (Domínio de origem). O endpoint de hospedagem do site estático é exibido no console do Amazon S3, na página Properties (Propriedades) em Static website hosting (Hospedagem de site estático). Para ter mais informações, consulte Usar um bucket do Amazon S3 configurado como um endpoint do site.

  • Se você configurou o Amazon S3 Transfer Acceleration para seu bucket, não especifique o endpoint s3-accelerate para Origin domain (Domínio de origem).

  • Se você estiver usando um bucket de uma conta da AWS diferente e ele não estiver configurado como um site, digite o nome no seguinte formato:

    bucket-name.s3.region.amazonaws.com

    Se o bucket estiver em uma região dos EUA e você quiser que o Amazon S3 direcione as solicitações para uma instalação no Norte da Virgínia, use o seguinte formato:

    bucket-name.s3.us-east-1.amazonaws.com

  • Os arquivos devem ser legíveis publicamente, a menos que você proteja seu conteúdo no Amazon S3 usando CloudFront um controle de acesso de origem. Para obter mais informações sobre controle do acesso, consulte Restringir o acesso ao conteúdo do Amazon S3.

Importante

Se a origem for um bucket do Amazon S3, o nome do bucket deverá seguir os requisitos de nomenclatura do DNS. Para obter mais informações, acesse Restrições e limitações de bucket no Guia do usuário do Amazon Simple Storage Service.

Quando você altera o valor do domínio Origin para uma origem, CloudFront imediatamente começa a replicar a alteração para pontos de CloudFront presença. Até que a configuração de distribuição seja atualizada em um determinado ponto de presença, CloudFront continua encaminhando solicitações para a origem anterior. Assim que a configuração de distribuição é atualizada nesse ponto de borda, CloudFront começa a encaminhar solicitações para a nova origem.

A alteração da origem não exige CloudFront o repreenchimento dos caches de borda com objetos da nova origem. Desde que as solicitações do visualizador em seu aplicativo não tenham sido alteradas, CloudFront continue a servir objetos que já estão em um cache de borda até que o TTL de cada objeto expire ou até que objetos raramente solicitados sejam removidos.

Caminho de origem

Se você CloudFront quiser solicitar seu conteúdo de um diretório em sua origem, insira o caminho do diretório, começando com uma barra (/). CloudFront anexa o caminho do diretório ao valor do domínio Origin, por exemplo,cf-origin.example.com/production/images. Não adicione barra (/) no fim do caminho.

Por exemplo, imagine que você especificou os seguintes valores para sua distribuição:

  • Origin domain (Domínio de origem): um bucket do Amazon S3 denominado DOC-EXAMPLE-BUCKET

  • Origin path (Caminho da origem): /production

  • Nomes de domínio alternativos (CNAMEs): example.com

Quando um usuário entra example.com/index.html em um navegador, CloudFront envia uma solicitação ao Amazon S3 para. DOC-EXAMPLE-BUCKET/production/index.html

Quando um usuário entra example.com/acme/index.html em um navegador, CloudFront envia uma solicitação ao Amazon S3 para. DOC-EXAMPLE-BUCKET/production/acme/index.html

Nome

Nome é uma string que identifica exclusivamente essa origem nessa distribuição. Se você criar comportamentos de cache além do comportamento de cache padrão, use o nome especificado aqui para identificar a origem para a qual deseja CloudFront rotear uma solicitação quando a solicitação corresponder ao padrão de caminho desse comportamento de cache.

Adicionar cabeçalho personalizado

Se você quiser CloudFront adicionar cabeçalhos personalizados sempre que ele enviar uma solicitação à sua origem, especifique o nome do cabeçalho e seu valor. Para ter mais informações, consulte Adicionar cabeçalhos personalizados às solicitações de origem.

Para saber o número máximo de cabeçalhos personalizados que você pode adicionar, o tamanho máximo do nome e valor de um cabeçalho personalizado e o tamanho total de todos os nomes e valores de cabeçalho, consulte Cotas.

Habilitar o Origin Shield

Escolha Sim para ativar o CloudFront Origin Shield. Para obter mais informações sobre o Origin Shield, consulte Usando o Amazon CloudFront Origin Shield.

Tentativas de conexão

Você pode definir o número de vezes que CloudFront tenta se conectar à origem. É possível especificar 1, 2 ou 3 como o número de tentativas. O número padrão (caso nenhum seja especificado) é 3.

Use essa configuração junto com o tempo limite de conexão para especificar quanto tempo CloudFront espera antes de tentar se conectar à origem secundária ou retornar uma resposta de erro ao visualizador. Por padrão, CloudFront espera até 30 segundos (3 tentativas de 10 segundos cada) antes de tentar se conectar à origem secundária ou retornar uma resposta de erro. É possível reduzir esse tempo especificando menos tentativas, um tempo limite de conexão mais curto ou ambos.

Se o número especificado de tentativas de conexão falhar, CloudFront faça o seguinte:

  • Se a origem fizer parte de um grupo de origem, CloudFront tentará se conectar à origem secundária. Se o número especificado de tentativas de conexão com a origem secundária falhar, CloudFront retornará uma resposta de erro para o visualizador.

  • Se a origem não fizer parte de um grupo de origem, CloudFront retornará uma resposta de erro para o visualizador.

Para uma origem personalizada (incluindo um bucket do Amazon S3 configurado com hospedagem estática de sites), essa configuração também especifica o número de vezes que se CloudFront tenta obter uma resposta da origem. Para ter mais informações, consulte Tempo limite de resposta (somente origens personalizadas).

Tempo limite da conexão

O tempo limite da conexão é o número de segundos que CloudFront espera ao tentar estabelecer uma conexão com a origem. É possível especificar um número de segundos entre 1 e 10 (inclusive). O tempo limite padrão (caso nenhum seja especificado) é 10 segundos.

Use essa configuração junto com as tentativas de conexão para especificar quanto tempo CloudFront espera antes de tentar se conectar à origem secundária ou antes de retornar uma resposta de erro ao visualizador. Por padrão, o CloudFront aguarda até 30 segundos (3 tentativas de 10 segundos cada) antes de tentar se conectar à origem secundária ou retornar uma resposta de erro. É possível reduzir esse tempo especificando menos tentativas, um tempo limite de conexão mais curto ou ambos.

Se CloudFront não estabelecer uma conexão com a origem dentro do número especificado de segundos, CloudFront faça o seguinte:

  • Se o número especificado de tentativas de conexão for maior que 1, CloudFront tente novamente estabelecer uma conexão. CloudFront tenta até 3 vezes, conforme determinado pelo valor das tentativas de conexão.

  • Se todas as tentativas de conexão falharem e a origem fizer parte de um grupo de origem, CloudFront tentará se conectar à origem secundária. Se o número especificado de tentativas de conexão com a origem secundária falhar, CloudFront retornará uma resposta de erro para o visualizador.

  • Se todas as tentativas de conexão falharem e a origem não fizer parte de um grupo de origem, CloudFront retornará uma resposta de erro para o visualizador.

Tempo limite de resposta (somente origens personalizadas)

nota

Isto se aplica apenas a origens personalizadas.

O tempo limite da resposta de origem, também conhecido como tempo limite da leitura de origem ou tempo limite da solicitação de origem, aplica-se a estes dois valores:

  • Quanto tempo (em segundos) CloudFront espera por uma resposta após encaminhar uma solicitação para a origem.

  • Quanto tempo (em segundos) CloudFront espera depois de receber um pacote de uma resposta da origem e antes de receber o próximo pacote.

O tempo limite padrão é de 30 segundos. É possível alterar o valor para que ele seja de 1 a 60 segundos. Se você precisar de um valor de tempo limite fora desse intervalo, crie um caso no AWS Support Center Console.

dica

Se você quiser aumentar o valor de tempo limite porque os visualizadores estão com erros de código de status HTTP 504, considere explorar outras maneiras de eliminar esses erros antes de alterar o valor de tempo limite. Consulte as sugestões para solução de problemas em Código de status HTTP 504 (tempo limite do gateway).

CloudFront o comportamento depende do método HTTP na solicitação do visualizador:

  • GETe HEAD solicitações — se a origem não responder ou parar de responder dentro do tempo limite de resposta, a conexão será CloudFront interrompida. CloudFront tenta novamente se conectar de acordo com o valor deTentativas de conexão.

  • DELETE,OPTIONS,PATCH,PUT, e POST solicitações — se a origem não responder durante o tempo limite de leitura, interrompe a CloudFront conexão e não tenta entrar em contato com a origem novamente. O cliente pode reenviar a solicitação, se necessário.

Tempo limite keep alive (somente origens personalizadas)

nota

Isto se aplica apenas a origens personalizadas.

O tempo limite de manutenção de atividade é quanto tempo (em segundos) CloudFront tenta manter uma conexão com sua origem personalizada após receber o último pacote de uma resposta. A manutenção de uma conexão persistente economiza o tempo necessário para restabelecer a conexão TCP e executar outro handshake TLS para solicitações subsequentes. Aumentar o tempo limite de manutenção de atividade ajuda a melhorar a métrica das request-per-connection distribuições.

nota

Para que o valor Keep-alive timeout (Tempo limite keep alive) entre em vigor, a origem deverá ser configurada para permitir conexões persistentes.

O tempo limite padrão é 5 segundos. Você pode alterar o valor para um número de 1 a 60 segundos. Se você precisar de um tempo limite de manutenção de atividade superior a 60 segundos, crie um caso no. AWS Support Center Console

Acesso à origem (somente origens do Amazon S3)

nota

Isso se aplica somente às origens de bucket do Amazon S3 (aquelas que não estão usando o endpoint de site estático do S3).

Escolha as configurações de controle de acesso Origin (recomendadas) se quiser tornar possível restringir o acesso a uma origem de bucket do Amazon S3 somente para distribuições específicas CloudFront .

Selecione Public (Pública) se a origem do bucket do Amazon S3 for acessível ao público.

Para ter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3.

Para obter informações sobre como exigir que os usuários acessem objetos em uma origem personalizada usando somente CloudFront URLs, consulte Restringir o acesso a arquivos em origens personalizadas.

Protocolo (somente origens personalizadas)

nota

Isto se aplica apenas a origens personalizadas.

A política de protocolo que você CloudFront deseja usar ao buscar objetos da sua origem.

Escolha um dos seguintes valores:

  • Somente HTTP: CloudFront usa somente HTTP para acessar a origem.

    Importante

    HTTP only (Somente HTTP) é a configuração padrão quando a origem é um endpoint de hospedagem de site estático do Amazon S3, porque o Amazon S3 não comporta conexões HTTPS para endpoint de hospedagem de site estático. O CloudFront console não suporta a alteração dessa configuração para endpoints de hospedagem de sites estáticos do Amazon S3.

  • Somente HTTPS: CloudFront usa somente HTTPS para acessar a origem.

  • Visualizador de correspondências: CloudFront se comunica com sua origem usando HTTP ou HTTPS, dependendo do protocolo da solicitação do visualizador. CloudFront armazena o objeto em cache somente uma vez, mesmo que os visualizadores façam solicitações usando os protocolos HTTP e HTTPS.

    Importante

    Para solicitações do visualizador HTTPS CloudFront encaminhadas para essa origem, um dos nomes de domínio no certificado SSL/TLS em seu servidor de origem deve corresponder ao nome de domínio que você especificou para o domínio Origin. Caso contrário, CloudFront responderá às solicitações do visualizador com um código de status HTTP 502 (Bad Gateway) em vez de retornar o objeto solicitado. Para ter mais informações, consulte Requisitos para usar certificados SSL/TLS com CloudFront.

Porta HTTP

nota

Isto se aplica apenas a origens personalizadas.

(Opcional) É possível especificar a porta HTTP na qual a origem personalizada escuta. Os valores válidos incluem as portas 80, 443 e 1024 a 65535. O valor padrão é a porta 80.

Importante

A porta 80 é a configuração padrão quando a origem é um endpoint de hospedagem de site estático do Amazon S3, porque ele só oferece suporte à porta 80 para endpoints de hospedagem de site estático. O CloudFront console não suporta a alteração dessa configuração para endpoints de hospedagem de sites estáticos do Amazon S3.

Porta HTTPS

nota

Isto se aplica apenas a origens personalizadas.

(Opcional) É possível especificar a porta HTTPS na qual a origem personalizada escuta. Os valores válidos incluem as portas 80, 443 e 1024 a 65535. O valor padrão é a porta 443. Quando Protocol (Protocolo) é definido como HTTP only (Somente HTTP), não é possível especificar um valor para HTTPS port (Porta HTTPS).

Protocolo SSL de origem mínimo

nota

Isto se aplica apenas a origens personalizadas.

Escolha o protocolo TLS/SSL mínimo que CloudFront pode ser usado ao estabelecer uma conexão HTTPS com sua origem. Protocolos TLS mais baixos são menos seguros, portanto, recomendamos que você escolha o protocolo TLS mais recente compatível com a origem. Quando Protocol (Protocolo) é definido como HTTP only (Somente HTTP), não é possível especificar um valor para Minimum origin SSL protocol (Protocolo SSL de origem mínimo).

Se você usar a CloudFront API para definir o protocolo TLS/SSL CloudFront para uso, não poderá definir um protocolo mínimo. Em vez disso, você especifica todos os protocolos TLS/SSL que CloudFront podem ser usados com sua origem. Para obter mais informações, consulte OriginSslProtocolsa Amazon CloudFront API Reference.

Configurações de comportamento de cache

Ao definir o comportamento do cache, você pode configurar uma variedade de CloudFront funcionalidades para um determinado padrão de caminho de URL para arquivos em seu site. Por exemplo, um comportamento de cache pode se aplicar a todos os arquivos .jpg no diretório images em um servidor da web sendo usado como servidor de origem do CloudFront. A funcionalidade que pode ser configurada para cada comportamento de cache inclui:

  • O padrão de caminho.

  • Se você configurou várias origens para sua CloudFront distribuição, a origem para a qual você CloudFront deseja encaminhar suas solicitações

  • Se deve encaminhar strings de consulta para a origem.

  • Se o acesso a arquivos específicos requer URLs assinados.

  • Se deve exigir que os usuários usem HTTPS para acessar esses arquivos.

  • A quantidade mínima de tempo que esses arquivos permanecem no CloudFront cache, independentemente do valor de qualquer Cache-Control cabeçalho que sua origem adicione aos arquivos

Ao criar uma distribuição, você especifica as configurações do comportamento de cache padrão, que encaminha automaticamente todas as solicitações para a origem especificada ao criar a distribuição. Depois de criar uma distribuição, você pode criar comportamentos de cache adicionais que definem como CloudFront responde quando recebe uma solicitação de objetos que correspondem a um padrão de caminho, por exemplo,*.jpg. Se você criar mais comportamentos de cache, o comportamento de cache padrão será sempre o último a ser processado. Outros comportamentos de cache são processados na ordem em que estão listados no CloudFront console ou, se você estiver usando a CloudFront API, na ordem em que estão listados no DistributionConfig elemento da distribuição. Para ter mais informações, consulte Padrão de caminho.

Ao criar um comportamento de cache, você especifica a única origem da qual CloudFront deseja obter objetos. Como resultado, se você quiser CloudFront distribuir objetos de todas as suas origens, deverá ter pelo menos tantos comportamentos de cache (incluindo o comportamento de cache padrão) quanto suas origens. Por exemplo, se você tiver duas origens e somente o comportamento de cache padrão, o comportamento de cache padrão fará CloudFront com que os objetos sejam obtidos de uma das origens, mas a outra origem nunca será usada.

Para obter o número máximo atual de comportamentos de cache que podem ser adicionados a uma distribuição ou solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Padrão de caminho

Um padrão de caminho (por exemplo, images/*.jpg) especifica a quais solicitações aplicar o comportamento de cache. Quando CloudFront recebe uma solicitação do usuário final, o caminho solicitado é comparado com os padrões de caminho na ordem em que os comportamentos de cache são listados na distribuição. A primeira correspondência determina qual comportamento de cache é aplicado a essa solicitação. Por exemplo, imagine que você tenha três comportamentos de cache com os seguintes padrões de caminho, na ordem:

  • images/*.jpg

  • images/*

  • *.gif

nota

Opcionalmente, você pode incluir uma barra (/) no início do padrão do caminho, por exemplo,. /images/*.jpg CloudFront o comportamento é o mesmo com ou sem o /. Se você não especificar/no início do caminho, esse caractere estará automaticamente implícito; CloudFront trata o caminho da mesma forma com ou sem o /. Por exemplo, CloudFront trata /*product.jpg o mesmo que *product.jpg

Uma solicitação para o arquivo images/sample.gif não satisfaz o primeiro padrão de caminho. Portanto, os comportamentos de cache associados não são aplicados à solicitação. O arquivo satisfaz o segundo padrão de caminho, portanto, os comportamentos de cache associados a ele são aplicados, embora a solicitação também corresponda ao terceiro padrão de caminho.

nota

Ao criar uma distribuição, o valor de Path Pattern para o comportamento de cache padrão é definido como * (todos os arquivos) e não pode ser alterado. Esse valor faz CloudFront com que todas as solicitações de seus objetos sejam encaminhadas para a origem especificada no Domínio de origem campo. Se a solicitação de um objeto não corresponder ao padrão de caminho para nenhum dos outros comportamentos de cache, CloudFront aplique o comportamento especificado no comportamento de cache padrão.

Importante

Defina os padrões de caminho e a sequência deles cuidadosamente, caso contrário, você poderá conceder aos usuários acesso indesejado ao seu conteúdo. Por exemplo, imagine que uma solicitação corresponda ao padrão de caminho de dois comportamentos de cache. O primeiro comportamento de cache não requer signed URLs, mas o segundo comportamento de cache, sim. Os usuários podem acessar os objetos sem usar uma URL assinada porque CloudFront processa o comportamento do cache associado à primeira correspondência.

Se você estiver trabalhando com um MediaPackage canal, deverá incluir padrões de caminho específicos para o comportamento do cache que você define para o tipo de endpoint de sua origem. Por exemplo, para um endpoint DASH, digite *.mpd em Path Pattern (Padrão de caminho). Para mais informações e instruções específicas, consulte Veicular vídeo ao vivo formatado com o AWS Elemental MediaPackage.

O caminho especificado se aplica às solicitações de todos os arquivos no diretório especificado e nos subdiretórios abaixo do diretório especificado. CloudFront não considera cadeias de caracteres de consulta ou cookies ao avaliar o padrão do caminho. Por exemplo, se um diretório images contém subdiretórios product1 e product2, o padrão de caminho images/*.jpg se aplica a solicitações de qualquer arquivo .jpg nos diretórios images, images/product1 e images/product2. Se você quiser aplicar um comportamento de cache nos arquivos do diretório images/product1 diferente dos arquivos dos diretórios images e images/product2, crie um comportamento de cache separado para images/product1 e mova-o para uma posição acima (anterior) do comportamento de cache do diretório images.

Você pode usar os seguintes caracteres curinga no padrão de caminho:

  • * corresponde a 0 ou mais caracteres.

  • ? corresponde a exatamente 1 caractere.

Os seguintes exemplos mostram como funcionam os caracteres curinga:

Padrão de caminho Os arquivos que correspondem ao padrão de caminho

*.jpg

Todos os arquivos .jpg

images/*.jpg

Todos os arquivos do diretório images e subdiretórios no diretório images

a*.jpg

  • Todos os arquivos .jpg cujo nome começa com a, por exemplo, apple.jpg e appalachian_trail_2012_05_21.jpg.

  • Todos os arquivos .jpg cujo caminho começa com a, por exemplo, abra/cadabra/magic.jpg.

a??.jpg

Todos os arquivos .jpg cujo nome começa com a e é seguido por exatamente dois outros caracteres, por exemplo, ant.jpg e abe.jpg.

*.doc*

Todos os arquivos cuja extensão do nome de arquivo começa com .doc, por exemplo, os arquivos .doc, .docx e .docm. Você não pode usar o padrão de caminho *.doc? nesse caso, porque ele não se aplica a solicitações de arquivos .doc. O caractere curinga ? substitui exatamente um caractere.

O tamanho máximo de um padrão de caminho é 255 caracteres. O valor pode conter espaços ou um destes caracteres:

  • A-Z, a-z

    Os padrões de caminho diferenciam letras maiúsculas de minúsculas, portanto, o padrão *.jpg não se aplica ao arquivo LOGO.JPG.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • &, passado e retornado como &

Origem ou grupo de origem

Informe o valor de uma origem ou um grupo de origem existente. Isso identifica a origem ou o grupo de origem para o qual você CloudFront deseja rotear solicitações quando uma solicitação (como https://example.com/logo.jpg) corresponde ao padrão de caminho para um comportamento de cache (como *.jpg) ou para o comportamento de cache padrão (*).

Política de protocolo do visualizador

Escolha a política de protocolo que você deseja que os espectadores usem para acessar seu conteúdo nos pontos CloudFront de presença:

  • HTTP and HTTPS: os visualizadores pode usar os dois protocolos.

  • Redirect HTTP to HTTPS: os visualizadores podem usar os dois protocolos, mas solicitações HTTP são automaticamente redirecionadas para HTTPS.

  • HTTPS Only: os visualizadores só podem acessar seu conteúdo se estiverem usando HTTPS.

Para ter mais informações, consulte Exigindo HTTPS para comunicação entre espectadores e CloudFront.

Métodos HTTP permitidos

Especifique os métodos HTTP que você CloudFront deseja processar e encaminhar para sua origem:

  • GET, HEAD: Você pode usar CloudFront somente para obter objetos de sua origem ou para obter cabeçalhos de objetos.

  • GET, HEAD, OPTIONS: você só pode usar o CloudFront para obter objetos da sua origem, obter cabeçalhos do objeto ou recuperar uma lista das opções compatíveis com seu servidor de origem.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE: Você pode usar CloudFront para obter, adicionar, atualizar e excluir objetos e obter cabeçalhos de objetos. Além disso, você pode executar outras operações de POST, como enviar dados de um formulário da web.

    nota

    CloudFront armazena em cache respostas GET e HEAD solicitações e, opcionalmente, OPTIONS solicitações. As respostas às OPTIONS solicitações são armazenadas em cache separadamente das respostas GET e HEAD solicitações (o OPTIONS método está incluído na chave de cache das OPTIONS solicitações). CloudFront não armazena em cache as respostas às solicitações que usam outros métodos.

Importante

Se você escolher GET, HEAD, OPTIONS ou GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE, talvez seja necessário restringir o acesso ao seu bucket do Amazon S3 ou à sua origem personalizada para evitar que os usuários executem operações indesejadas. Os seguintes exemplos explicam como restringir o acesso:

  • Se você estiver usando o Amazon S3 como origem para sua distribuição: Crie um controle de acesso de CloudFront origem para restringir o acesso ao seu conteúdo do Amazon S3 e conceda permissões ao controle de acesso de origem. Por exemplo, se você configurar CloudFront para aceitar e encaminhar esses métodos somente porque deseja usarPUT, você ainda deve configurar as políticas de bucket do Amazon S3 para lidar com as DELETE solicitações de forma adequada. Para ter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3.

  • Se você estiver usando uma origem personalizada: configure seu servidor de origem para lidar com todos os métodos. Por exemplo, se você configurar CloudFront para aceitar e encaminhar esses métodos somente porque deseja usarPOST, você ainda deve configurar seu servidor de origem para lidar com as DELETE solicitações de forma adequada.

Configuração da criptografia em nível de campo

Para impor a criptografia em nível de campo em campos de dados específicos, na lista suspensa, selecione uma configuração de criptografia em nível de campo.

Para ter mais informações, consulte Usar a criptografia no nível de campo para ajudar a proteger dados sigilosos.

Métodos HTTP em cache

Especifique se você CloudFront deseja armazenar em cache a resposta de sua origem quando um espectador envia uma OPTIONS solicitação. CloudFront sempre armazena em cache a resposta GET e as HEAD solicitações.

Cache baseado em Cabeçalhos de solicitação selecionados

Especifique se você CloudFront deseja armazenar objetos em cache com base nos valores dos cabeçalhos especificados:

  • Nenhum (melhora o armazenamento em cache) — CloudFront não armazena em cache seus objetos com base nos valores do cabeçalho.

  • Lista de permissões — CloudFront armazena seus objetos em cache com base somente nos valores dos cabeçalhos especificados. Use os cabeçalhos da lista de permissões para escolher os cabeçalhos nos quais você deseja CloudFront basear o armazenamento em cache.

  • Tudo — CloudFront não armazena em cache os objetos associados a esse comportamento de cache. Em vez disso, CloudFront envia todas as solicitações para a origem. (Não recomendado para origens do Amazon S3.)

Independentemente da opção escolhida, CloudFront encaminha determinados cabeçalhos para sua origem e executa ações específicas com base nos cabeçalhos que você encaminha. Para obter mais informações sobre como CloudFront lidar com o encaminhamento de cabeçalhos, consulteCabeçalhos e CloudFront comportamento da solicitação HTTP (origens personalizadas e do Amazon S3).

Para obter mais informações sobre como configurar o armazenamento em cache CloudFront usando cabeçalhos de solicitação, consulte. Armazenar conteúdo em cache com base nos cabeçalhos de solicitação

Lista de permissões de cabeçalhos

Especifique os cabeçalhos que você deseja considerar CloudFront ao armazenar seus objetos em cache. Selecione os cabeçalhos na lista de cabeçalhos disponíveis e escolha Add. Para encaminhar um cabeçalho personalizado, insira o nome dele no campo e escolha Add Custom.

Para saber o número máximo atual de cabeçalhos que podem ser incluídos na lista de permissões para cada comportamento de cache ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas para cabeçalhos.

Armazenamento de objetos em cache

Se seu servidor de origem estiver adicionando um Cache-Control cabeçalho aos seus objetos para controlar quanto tempo os objetos permanecem no CloudFront cache e se você não quiser alterar o Cache-Control valor, escolha Usar cabeçalhos de cache de origem.

Para especificar um tempo mínimo e máximo para que seus objetos permaneçam no CloudFront cache, independentemente dos Cache-Control cabeçalhos, e um tempo padrão em que seus objetos permaneçam no CloudFront cache quando o Cache-Control cabeçalho está ausente de um objeto, escolha Personalizar. Em seguida, especifique valores nos campos Minimum TTL (TTL mínimo), Default TTL (TTL padrão)e Maximum TTL (TTL máximo).

Para ter mais informações, consulte Gerenciar o tempo de permanência do conteúdo no cache (expiração).

Minimum TTL (TTL mínimo)

Especifique o tempo mínimo, em segundos, durante o qual você deseja que os objetos permaneçam no CloudFront cache antes de CloudFront enviar outra solicitação à origem para determinar se o objeto foi atualizado.

Para ter mais informações, consulte Gerenciar o tempo de permanência do conteúdo no cache (expiração).

Maximum TTL

Especifique o tempo máximo, em segundos, durante o qual você deseja que os objetos permaneçam em CloudFront caches antes de CloudFront consultar sua origem para ver se o objeto foi atualizado. O valor especificado para Maximum TTL é aplicado apenas quando sua origem adiciona cabeçalhos HTTP, como Cache-Control max-age, Cache-Control s-maxage ou Expires, aos objetos. Para ter mais informações, consulte Gerenciar o tempo de permanência do conteúdo no cache (expiração).

Para especificar um valor para Maximum TTL, você deve escolher a opção Customize para a configuração Object Caching.

O valor padrão de Maximum TTL é 31.536.000 segundos (um ano). Se você alterar o valor de Minimum TTL ou Default TTL para mais de 31.536.000 segundos, o valor padrão de Maximum TTL será alterado para o valor de Default TTL.

TTL padrão

Especifique o tempo padrão, em segundos, durante o qual você deseja que os objetos permaneçam em CloudFront caches antes de CloudFront encaminhar outra solicitação para sua origem para determinar se o objeto foi atualizado. O valor especificado para Default TTL (TTL padrão) aplica-se apenas quando sua origem não adiciona cabeçalhos de HTTP, comoCache-Control max-age, Cache-Control s-maxage ou Expires, aos objetos. Para ter mais informações, consulte Gerenciar o tempo de permanência do conteúdo no cache (expiração).

Para especificar um valor para Default TTL, você deve escolher a opção Customize para a configuração Object Caching.

O valor padrão de Default TTL é 86.400 segundos (um dia). Se você alterar o valor de Minimum TTL para mais de 86.400 segundos, o valor padrão de Default TTL será alterado para o valor de Minimum TTL.

Cookies progressivos

nota

Para as origens do Amazon S3, essa opção se aplica somente a buckets configurados como um endpoint de site.

Especifique se você CloudFront deseja encaminhar cookies para seu servidor de origem e, em caso afirmativo, quais. Se você optar por encaminhar apenas cookies selecionados (uma lista de permissões de cookies), insira os nomes dos cookies no campo Lista de permissões de cookies. Se você escolher All (Tudo), o CloudFront encaminhará todos os cookies, independentemente de quantos seu aplicativo usa.

O Amazon S3 não processa cookies, e o encaminhamento deles para a origem reduz a capacidade de armazenamento em cache. Para comportamentos de cache que estiverem encaminhando solicitações para uma origem do Amazon S3, escolha None (Nenhum) em Forward Cookies (Encaminhar cookies).

Para obter mais informações sobre como encaminhar cookies para a origem, acesse Armazenar conteúdo em cache com base em cookies.

Lista de permissões de cookies

nota

Para as origens do Amazon S3, essa opção se aplica somente a buckets configurados como um endpoint de site.

Se você escolher Lista de permissões na lista Encaminhar cookies, no campo Cookies da lista de permissões, insira os nomes dos cookies que você deseja encaminhar CloudFront ao seu servidor de origem para esse comportamento de cache. Insira cada nome de cookie em uma nova linha.

Você pode especificar os seguintes curingas para especificar nomes de cookies:

  • * corresponde a zero ou mais caracteres no nome do cookie

  • ? corresponde a exatamente um caractere no nome do cookie

Por exemplo, imagine que o visualizador solicite que um objeto inclua um cookie denominado:

userid_member-number

Em que cada usuário tem um valor exclusivo para member-number. Você deseja CloudFront armazenar em cache uma versão separada do objeto para cada membro. Você pode fazer isso encaminhando todos os cookies para sua origem, mas as solicitações do visualizador incluem alguns cookies que você não CloudFront deseja armazenar em cache. Como alternativa, você pode especificar o seguinte valor como nome de cookie, o que faz CloudFront com que todos os cookies que começam comuserid_:

userid_*

Para saber o número máximo atual de nomes de cookies que podem ser incluídos na lista de permissões para cada comportamento de cache ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas para cookies (configurações de cache herdadas).

Encaminhamento e armazenamento em cache de strings de consulta

CloudFront pode armazenar em cache diferentes versões do seu conteúdo com base nos valores dos parâmetros da sequência de caracteres de consulta. Escolha uma das seguintes opções:

None (Improves Caching)

Escolha essa opção se a sua origem retornar a mesma versão de um objeto, independentemente dos valores dos parâmetros de query string. Isso aumenta a probabilidade de CloudFront atender a uma solicitação do cache, o que melhora o desempenho e reduz a carga em sua origem.

Encaminhar tudo, cache com base em lista de permissões

Escolha essa opção caso o servidor de origem retorne diferentes versões dos objetos com base em um ou mais parâmetros de query string. Em seguida, especifique os parâmetros que você CloudFront deseja usar como base para o armazenamento em cache no Lista de permissões de strings de consulta campo.

Forward all, cache based on all

Escolha essa opção caso o servidor de origem retorne diferentes versões dos objetos para todos os parâmetros de query string.

Para obter mais informações sobre como armazenar em cache com base nos parâmetros de query string, inclusive como melhorar a performance, consulte Armazenar em cache o conteúdo com base em parâmetros de string de consulta.

Lista de permissões de strings de consulta

Se você escolher Encaminhar tudo, armazenar em cache com base na lista de permissões paraEncaminhamento e armazenamento em cache de strings de consulta, especifique os parâmetros da sequência de caracteres de consulta que você CloudFront deseja usar como base para o armazenamento em cache.

Smooth Streaming

Escolha Yes (Sim) se quiser distribuir arquivos de mídia no formato Microsoft Smooth Streaming e não tiver um servidor IIS.

Escolha No (Não) se você tiver um servidor Microsoft IIS que deseja usar como origem para distribuir arquivos de mídia no formato Microsoft Smooth Streaming, ou se não estiver distribuindo arquivos de mídia do Smooth Streaming.

nota

Se você especificar Yes (Sim), é possível distribuir outro conteúdo usando esse comportamento de cache se o conteúdo corresponder ao valor de Path Pattern (Padrão de caminho).

Para ter mais informações, consulte Configurar vídeo sob demanda para o Microsoft Smooth Streaming.

Restringir acesso do visualizador (usar URLs ou cookies assinados)

Se você quiser solicitações de objetos correspondentes a PathPattern para que esse comportamento de cache use URLs públicos, escolha No.

Se você quiser solicitações de objetos correspondentes a PathPattern para que esse comportamento de cache use signed URLs, escolha Yes. Em seguida, especifique as contas da AWS que você deseja usar para criar signed URLs. Essas contas são conhecidas como assinantes confiáveis.

Para obter mais informações sobre assinantes confiáveis, consulte Especificar os assinantes que podem criar signed URLs e cookies.

Signatários confiáveis

Selecione quais contas da AWS você quer usar como assinantes confiáveis para esse comportamento de cache:

  • Self (Próprio): use a conta na qual você está conectado no AWS Management Console como assinante confiável. Se você estiver conectado como um usuário do IAM, a conta da AWS associada será adicionada como assinante confiável.

  • Specify Accounts (Especificar contas): insira números de contas para signatários confiáveis no campo AWS Account Numbers (Números de contas da AWS).

Para criar URLs assinados, uma AWS conta deve ter pelo menos um par de CloudFront chaves ativo.

Importante

Se você está atualizando uma distribuição que já está usando para distribuir conteúdo, adicione assinantes confiáveis somente quando estiver pronto para começar a gerar signed URLs para seus objetos. Depois de adicionar assinantes confiáveis a uma distribuição, os usuários devem usar signed URLs para acessar os objetos correspondentes a PathPattern para esse comportamento de cache.

Números de Conta da AWS

Se quiser criar signed URLs usando Contas da AWS além ou em vez da conta atual, insira um número de Conta da AWS por linha neste campo. Observe o seguinte:

  • As contas especificadas deve ter pelo menos um par de chaves ativo do CloudFront. Para ter mais informações, consulte Criar pares de chaves para seus assinantes.

  • Você não pode criar pares de CloudFront chaves para usuários do IAM, portanto, não pode usar usuários do IAM como assinantes confiáveis.

  • Para obter informações sobre como obter o número da Conta da AWS de uma conta, consulte Seus Conta da AWS identificadores no Referência geral da Amazon Web Services.

  • Se você inserir o número da conta atual, marcará CloudFront automaticamente a caixa de seleção Automático e removerá o número da conta da lista Números de AWS Conta.

Compactar objetos automaticamente

Se você quiser CloudFront compactar automaticamente arquivos de determinados tipos quando os visualizadores oferecem suporte a conteúdo compactado, escolha Sim. Quando o CloudFront compacta seu conteúdo, os downloads são mais rápidos, pois os arquivos são menores, e suas páginas da web renderizam mais rapidamente para seus usuários. Para ter mais informações, consulte Fornecer arquivos compactados.

CloudFront evento

Você pode optar por executar uma função Lambda quando um ou mais dos seguintes CloudFront eventos ocorrerem:

  • Quando CloudFront recebe uma solicitação de um visualizador (solicitação do visualizador)

  • Antes de CloudFront encaminhar uma solicitação para a origem (solicitação de origem)

  • Quando CloudFront recebe uma resposta da origem (resposta de origem)

  • Before CloudFront retorna a resposta ao espectador (resposta do espectador)

Para ter mais informações, consulte Como decidir qual CloudFront evento usar para acionar uma função Lambda @Edge.

ARN da função do Lambda.

Especifique o Nome de recurso da Amazon (ARN) da função do Lambda para a qual deseja adicionar um trigger. Para saber como obter o ARN de uma função, consulte a etapa 1 do procedimento Adicionar acionadores usando o console. CloudFront

Configurações de distribuição

Os valores a seguir se aplicam a toda a distribuição.

Classe de preço

Escolha a classe de preço que corresponde ao preço máximo que você deseja pagar pelo CloudFront serviço. Por padrão, CloudFront exibe seus objetos a partir de pontos de presença em todas as CloudFront regiões.

Para obter mais informações sobre classes de preço e sobre como sua escolha de classe de preço afeta CloudFront o desempenho de sua distribuição, consulteEscolhendo a classe de preço para uma CloudFront distribuição. Para obter informações sobre CloudFront preços, incluindo como as classes de preço são CloudFront mapeadas para regiões, acesse Amazon CloudFront Pricing.

ACL da WEb do AWS WAF

Você pode proteger sua CloudFront distribuição com AWS WAFum firewall de aplicativos da web que permite proteger seus aplicativos da web e APIs para bloquear solicitações antes que elas cheguem aos seus servidores. Você pode Habilitar o AWS WAF para novas distribuições ao criar ou editar uma CloudFront distribuição.

Você também pode configurar posteriormente proteções de segurança adicionais para outras ameaças específicas de sua aplicação no console do AWS WAF em https://console.aws.amazon.com/wafv2/.

Para obter mais informações sobre o AWS WAF, consulte o Guia do desenvolvedor do AWS WAF.

Nomes de domínio alternativos (CNAMEs)

Opcional. Especifique um ou mais nomes de domínio que você deseja usar como URLs para seus objetos, em vez do nome de domínio CloudFront atribuído ao criar sua distribuição. Você deve possuir o nome de domínio, ou ter autorização para usá-lo, o que você verifica adicionando um certificado SSL/TLS.

Por exemplo, se você quiser que o URL do objeto:

/images/image.jpg

Seja parecido com:

https://www.example.com/images/image.jpg

Em vez de:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Adicione um CNAME para www.example.com.

Importante

Se você adicionar um CNAME para www.example.com à distribuição, também deverá fazer o seguinte:

  • Crie (ou atualize) um registro CNAME no serviço de DNS para rotear consultas de www.example.com para d111111abcdef8.cloudfront.net.

  • Adicione um certificado CloudFront de uma autoridade de certificação (CA) confiável que cubra o nome de domínio (CNAME) que você adiciona à sua distribuição, para validar sua autorização de uso do nome de domínio.

Você deve ter permissão para criar um registro CNAME com o provedor de serviço de DNS para o domínio. Normalmente, isso significa que você possui o domínio ou que está desenvolvendo um aplicativo para o proprietário do domínio.

Para saber o número máximo atual de nomes de domínio alternativos que podem ser adicionados a uma distribuição ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Para obter mais informações sobre nomes de domínio alternativo, consulte Uso de URLs personalizados adicionando nomes de domínio alternativos (CNAMEs). Para obter mais informações sobre CloudFront URLs, consultePersonalizando o formato de URL para arquivos em CloudFront.

Certificado SSL

Se você especificou um nome de domínio alternativo para usar com a distribuição, selecione Custom SSL Certificate (Certificado SSL personalizado) e, para validar a autorização para usar o nome de domínio alternativo, escolha um certificado que o abranja. Se você quiser que os visualizadores usem HTTPS para acessar seus objetos, escolha as configurações que oferecem suporte para isso.

nota

Antes de poder especificar um certificado SSL personalizado, você precisa especificar um nome de domínio alternativo válido. Para obter mais informações, consulte Usar nomes de domínio alternativos e HTTPS e Requisitos para o uso de nomes de domínio alternativos.

  • CloudFront Certificado padrão (*.cloudfront.net) — Escolha essa opção se quiser usar o nome de CloudFront domínio nos URLs para seus objetos, como. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Custom SSL Certificate (Certificado SSL personalizado): escolha essa opção se quiser usar seu próprio nome de domínio nos URLs dos seus objetos como um nome de domínio alternativo, por exemplo https://example.com/image1.jpg. Em seguida, escolha um certificado para usar que abranja o nome de domínio alternativo. A lista de certificados pode incluir qualquer um dos seguintes:

    • Certificados fornecidos pelo AWS Certificate Manager

    • Os certificados adquiridos de uma autoridade de certificação de terceiros e carregados no ACM

    • Os certificados adquiridos de autoridades de certificação de terceiros e carregados no armazenamento de certificados do IAM

    Se você escolher essa configuração, recomendamos que use apenas um nome de domínio alternativo nos URLs dos seus objetos (https://example.com/logo.jpg). Se você usa seu nome de domínio de CloudFront distribuição (https://d111111abcdef8.cloudfront.net/logo.jpg) e um cliente usa um visualizador antigo que não suporta SNI, a forma como o visualizador responde depende do valor que você escolher para Clientes compatíveis:

    • Todos os clientes: o visualizador exibe um aviso porque o nome do CloudFront domínio não corresponde ao nome do domínio no seu certificado SSL/TLS.

    • Somente clientes que suportam a indicação de nome de servidor (SNI): CloudFront interrompe a conexão com o visualizador sem retornar o objeto.

Suporte ao cliente SSL personalizado

Se você especificou um ou mais nomes de domínio alternativos e um certificado SSL personalizado para a distribuição, escolha como deseja atender CloudFront às solicitações HTTPS:

  • Clientes que oferecem suporte a SNI (Indicação de nome de servidor) – (Recomendado): com essa configuração, praticamente todos os navegadores e clientes da Web modernos podem se conectar à distribuição, porque eles oferecem suporte a SNI. No entanto, alguns visualizadores podem usar navegadores da Web mais antigos ou clientes incompatíveis com SNI, o que significa que não conseguem se conectar à distribuição.

    Para aplicar essa configuração usando a CloudFront API, especifique sni-only no SSLSupportMethod campo. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

  • Suporte de clientes herdados: com essa configuração, navegadores da Web e clientes mais antigos incompatíveis com SNI podem se conectar à distribuição. No entanto, essa configuração gera cobranças mensais adicionais. Para saber o preço exato, acesse a página de CloudFrontpreços da Amazon e pesquise a página por SSL personalizado com IP dedicado.

    Para aplicar essa configuração usando a CloudFront API, especifique vip no SSLSupportMethod campo. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

Para ter mais informações, consulte Escolhendo como CloudFront atende às solicitações HTTPS.

Política de segurança

Especifique a política de segurança que você CloudFront deseja usar para conexões HTTPS com visualizadores (clientes). Uma política de segurança determina duas configurações:

  • O protocolo SSL/TLS mínimo CloudFront usado para se comunicar com os espectadores.

  • As cifras que CloudFront podem ser usadas para criptografar o conteúdo que ele retorna aos espectadores.

Para mais informações sobre as políticas de segurança, incluindo os protocolos e as cifras que cada uma inclui, consulte Protocolos e cifras suportados entre visualizadores e CloudFront.

As políticas de segurança disponíveis dependem dos valores que você especifica para o Certificado SSL e o Custom SSL Client Support (conhecidos como CloudFrontDefaultCertificate e SSLSupportMethod na CloudFront API):

  • Quando o certificado SSL é CloudFront certificado padrão (*.cloudfront.net) (quando CloudFrontDefaultCertificate está true na API), define CloudFront automaticamente a política de segurança como TLSv1.

  • Quando SSL Certificate (Certificado SSL) for Custom SSL Certificate (example.com) (Certificado SSL personalizado, example.com) e Custom SSL Client Support (Suporte ao cliente SSL personalizado) for Clients that Support Server Name Indication (SNI) – (Recommended) (Clientes que comportam a indicação de nome do servidor, SNI – recomendado) (quandoCloudFrontDefaultCertificate for false e SSLSupportMethod for sni-only na API), será possível escolher entre as seguintes políticas de segurança:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Quando SSL Certificate (Certificado SSL) for Custom SSL Certificate (example.com) (Certificado SSL personalizado, example.com) e Custom SSL Client Support (Suporte ao cliente SSL personalizado) for Legacy Clients Support (Suporte a clientes herdados) (quando CloudFrontDefaultCertificate for false e SSLSupportMethod for vip na API), será possível escolher entre as seguintes políticas de segurança:

    • TLSv1

    • SSLv3

    Nessa configuração, as políticas de segurança TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 e TLSv1_2016 não estão disponíveis no console ou na API. CloudFront Se quiser utilizar uma dessas políticas de segurança, você terá as seguintes opções:

    • Avalie se a distribuição precisa de suporte a clientes legados com endereços IP dedicados. Se seus visualizadores comportarem a indicação de nome de servidor (SNI), recomendamos atualizar a definição Custom SSL Client Support (Suporte ao cliente SSL personalizado) de sua distribuição para Clients that Support Server Name Indication (SNI) (Clientes que oferecem suporte a indicação de nome de servidor, SNI) (defina SSLSupportMethod como sni-only na API). Isso permite que você use qualquer uma das políticas de segurança TLS disponíveis e também pode reduzir suas CloudFront cobranças.

    • Se for necessário manter o suporte a clientes herdados com endereços IP dedicados, será possível solicitar uma das outras políticas de segurança para o TLS (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) criando um caso na Central de Suporte da AWS.

      nota

      Antes de entrar em contato com o AWS Support para solicitar essa alteração, considere o seguinte:

      • Quando você adiciona uma dessas políticas de segurança (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) a uma distribuição de suporte a clientes herdados, a política de segurança é aplicada a todas as solicitações de visualizador que não são de SNI para todas as distribuições de suporte a clientes herdados em sua conta da AWS. No entanto, quando os visualizadores enviam solicitações SNI para uma distribuição com o Suporte a clientes legados, a política de segurança dessa distribuição se aplica. Para garantir que a política de segurança desejada seja aplicada a todas as solicitações do visualizador enviadas a todas as distribuições de suporte de clientes herdadas em sua conta da AWS, adicione a política de segurança desejada a cada distribuição individualmente.

      • Por definição, a nova política de segurança não é compatível com as mesmas criptografias e protocolos que a antiga. Por exemplo, se optar por atualizar a política de segurança de uma distribuição de TLSv1 para TLSv1.1_2016, essa distribuição não será mais compatível com a criptografia DES-CBC3-SHA. Para mais informações sobre as cifras e os protocolos com os quais cada política de segurança é compatível, consulte Protocolos e cifras suportados entre visualizadores e CloudFront.

Versões de HTTP compatíveis

Escolha as versões HTTP que você deseja que sua distribuição ofereça suporte quando os espectadores se comunicarem CloudFront.

Para visualizadores e CloudFront para usar HTTP/2, os visualizadores devem oferecer suporte ao TLSv1.2 ou posterior e à Indicação de Nome do Servidor (SNI). CloudFront não oferece suporte nativo para gRPC via HTTP/2.

Para visualizadores e CloudFront para usar HTTP/3, os visualizadores devem oferecer suporte ao TLSv1.3 e à Indicação de Nome do Servidor (SNI). CloudFront suporta a migração de conexão HTTP/3 para permitir que o espectador alterne de rede sem perder a conexão. Para obter mais informações sobre migração de conexões, consulte Connection Migration (Migração de conexões) no RFC 9000.

nota

Para obter mais informações sobre as criptografias TLSv1.3 compatíveis, consulte Protocolos e cifras suportados entre visualizadores e CloudFront.

Objeto raiz padrão

Opcional. O objeto que você CloudFront deseja solicitar da sua origem (por exemplo,index.html) quando um visualizador solicita a URL raiz da sua distribuição (https://www.example.com/) em vez de um objeto na sua distribuição (https://www.example.com/product-description.html). A especificação de um objeto raiz padrão evita a exposição do conteúdo da distribuição.

O tamanho máximo do nome é 255 caracteres. O nome pode conter espaços ou um destes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, passado e retornado como &

Ao especificar o objeto raiz padrão, insira apenas o nome do objeto, por exemplo, index.html. Não adicione / antes do nome do objeto.

Para ter mais informações, consulte Especificar um objeto raiz padrão.

Registro em log

Se você CloudFront deseja registrar informações sobre cada solicitação de um objeto e armazenar os arquivos de log em um bucket do Amazon S3. É possível habilitar ou desabilitar o registro a qualquer momento. Não há custo adicional ao habilitar o registro em log, mas você acumula as cobranças normais do Amazon S3 pelo armazenamento e acesso a arquivos em um bucket do Amazon S3. Você pode excluir os logs a qualquer momento. Para obter mais informações sobre logs de acesso do CloudFront, consulte Configurar e usar logs padrão (logs de acesso).

Bucket para logs

Se você escolher Ativado para registro, o bucket do Amazon S3 no qual você CloudFront deseja armazenar o acesso faz login, por exemplo,. myLogs-DOC-EXAMPLE-BUCKET.s3.amazonaws.com

Importante

Não escolha um bucket do Amazon S3 em nenhuma das seguintes regiões, porque CloudFront não entrega registros padrão para buckets nessas regiões:

  • Africa (Cape Town)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Hyderabad)

  • Ásia-Pacífico (Jacarta)

  • Ásia-Pacífico (Melbourne)

  • Canadá (Central)

  • Europa (Milão)

  • Europa (Espanha)

  • Europa (Zurique)

  • Israel (Tel Aviv)

  • Oriente Médio (Barém)

  • Oriente Médio (Emirados Árabes Unidos)

Se você ativar o registro, CloudFront registra as informações sobre cada solicitação do usuário final para um objeto e armazena os arquivos no bucket do Amazon S3 especificado. É possível habilitar ou desabilitar o registro a qualquer momento. Para obter mais informações sobre logs de acesso do CloudFront, consulte Configurar e usar logs padrão (logs de acesso).

nota

Você deve ter as permissões necessárias para obter e atualizar as ACLs do bucket do Amazon S3, e a ACL do S3 do bucket deve conceder a você FULL_CONTROL. Isso permite que CloudFront a awslogsdelivery conta tenha permissão para salvar arquivos de log no bucket. Para ter mais informações, consulte Permissões necessárias para configurar o registro em log padrão e acessar os arquivos de log.

Prefixo de log

Opcional. Se você escolher On (Ativado) em Logging (Registro em log), especifique a string, se houver, a ser prefixada pelo CloudFront nos nomes de arquivo do log de acesso dessa distribuição, por exemplo, exampleprefix/. A barra no final (/) é opcional, mas recomendada para simplificar a navegação em seus arquivos de log. Para obter mais informações sobre registros de CloudFront acesso, consulteConfigurar e usar logs padrão (logs de acesso).

Registro em log de cookies

Se você CloudFront quiser incluir cookies nos registros de acesso, escolha Ativado. Se você optar por incluir cookies nos logs, o CloudFront registrará todos os cookies, independentemente da configuração dos comportamentos de cache dessa distribuição: encaminhar todos os cookies, nenhum ou uma lista específica para a origem.

O Amazon S3 não processa cookies, portanto, a menos que sua distribuição também inclua um Amazon EC2 ou outra origem personalizada, recomendamos que você escolha Off (Desativado) para o valor de Cookie Logging (Registro em log de cookies).

Para obter mais informações sobre cookies, acesse Armazenar conteúdo em cache com base em cookies.

Enable IPv6

IPv6 é uma nova versão do protocolo IP. É o eventual substituto do IPv4 e usa um espaço de endereço maior. CloudFront sempre responde às solicitações IPv4. Se você quiser responder CloudFront a solicitações de endereços IP IPv4 (como 192.0.2.44) e solicitações de endereços IPv6 (como 2001:0 db 8:85 a3: :8a2e: 0370:7334), selecione Habilitar IPv6.

Em geral, você deverá habilitar o IPv6 se tiver usuários em redes IPv6 que desejam acessar seu conteúdo. No entanto, se você estiver usando signed URLs ou cookies para restringir o acesso ao seu conteúdo e uma política personalizada que inclui o parâmetro IpAddress para restringir os endereços IP que podem acessar seu conteúdo, não habilite o IPv6. Se você quiser restringir o acesso a algum conteúdo, mas não a outros, por endereço IP (ou restringir o acesso, mas não por endereço IP), é possível criar duas distribuições. Para obter informações sobre como criar signed URLs usando uma política personalizada, consulte Criar um signed URL usando uma política personalizada. Para obter informações sobre como criar signed cookies usando uma política personalizada, consulte Definir signed cookies usando uma política personalizada.

Se você estiver usando um conjunto de registros de recurso de alias do Route 53 para rotear o tráfego para sua CloudFront distribuição, precisará criar um segundo conjunto de registros de recurso de alias quando as duas condições a seguir forem verdadeiras:

  • Você habilitar o IPv6 para a distribuição

  • Você estiver usando nomes de domínio alternativos nos URLs dos seus objetos

Para obter mais informações, consulte Roteamento de tráfego para uma CloudFront distribuição da Amazon usando seu nome de domínio no Guia do desenvolvedor do Amazon Route 53.

Se você criar um conjunto de registros de recursos de CNAME com o Route 53 ou outro serviço de DNS, não será necessário fazer nenhuma alteração. Um registro CNAME roteará o tráfego para a distribuição, independentemente do formato de endereço IP da solicitação do visualizador.

Se você habilitar IPv6 e registros de CloudFront acesso, a c-ip coluna incluirá valores nos formatos IPv4 e IPv6. Para ter mais informações, consulte Configurar e usar logs padrão (logs de acesso).

nota

Para manter a alta disponibilidade do cliente, CloudFront responde às solicitações dos espectadores usando IPv4 se nossos dados sugerirem que o IPv4 proporcionará uma melhor experiência ao usuário. Para descobrir qual porcentagem de solicitações CloudFront está sendo veiculada por IPv6, ative o CloudFront registro para sua distribuição e analise a c-ip coluna, que contém o endereço IP do visualizador que fez a solicitação. Essa porcentagem deve aumentar com o tempo, mas continuará sendo parte mínima do tráfego, pois o IPv6 ainda não é compatível pelo todas as redes dos visualizadores em todo o mundo. Algumas redes de visualizador têm excelente suporte a IPv6, mas outras não são compatíveis com ele. (Uma rede de visualizador é semelhante à sua operadora de Internet ou sem fio doméstica.)

Para obter mais informações sobre nosso suporte a IPv6, consulte Perguntas frequentes sobre o CloudFront . Para obter informações sobre como permitir logs de acesso, consulte os campos Registro em log, Bucket para logs e Prefixo de log.

Comentário

Opcional. Ao criar uma distribuição, você pode incluir um comentário com até 128 caracteres. Você pode atualizá-lo qualquer momento.

Estado de distribuição

Indica se você deseja que a distribuição seja ativada ou desativada após a implantação:

  • Enabled: assim que a distribuição for totalmente implantada, você poderá implantar links que usam o nome de domínio da distribuição, e os usuários poderão recuperar o conteúdo. Sempre que uma distribuição é ativada, CloudFront aceita e processa qualquer solicitação de conteúdo do usuário final que use o nome de domínio associado a essa distribuição.

    Quando você cria, modifica ou exclui uma CloudFront distribuição, leva tempo para que suas alterações se propaguem para o CloudFront banco de dados. Uma solicitação imediata de informações sobre uma distribuição pode não refletir a alteração. A propagação é normalmente concluída em minutos, mas uma alta carga do sistema ou partição de rede pode aumentar esse tempo.

  • Disabled: mesmo que a distribuição possa ser implantada e esteja pronta para ser usada, os usuários não poderão usá-la. Sempre que uma distribuição é desativada, CloudFront não aceita nenhuma solicitação do usuário final que use o nome de domínio associado a essa distribuição. Enquanto você não alternar a distribuição de desativada para habilitada (atualizando a configuração dela), ninguém poderá usá-la.

Você pode alternar uma distribuição entre desativada e ativada sempre que desejar. Siga o processo de atualização da configuração de uma distribuição. Para ter mais informações, consulte Atualizar uma distribuição.

Páginas de erro personalizadas e erro de armazenamento em cache

Você pode CloudFront retornar um objeto para o visualizador (por exemplo, um arquivo HTML) quando seu Amazon S3 ou origem personalizada retorna um código de status HTTP 4xx ou 5xx para. CloudFront Você também pode especificar por quanto tempo uma resposta de erro da sua origem ou uma página de erro personalizada é armazenada em cache nos caches de CloudFront borda. Para ter mais informações, consulte Criar uma página de erro personalizada para códigos de status HTTP específicos.

nota

Os valores a seguir não são incluídos no assistente "Criar distribuição", portanto, você poderá configurar páginas de erro personalizadas somente quando atualizar uma distribuição.

Código de erro HTTP

O código de status HTTP para o qual você CloudFront deseja retornar uma página de erro personalizada. Você pode configurar CloudFront para retornar páginas de erro personalizadas para nenhum, alguns ou todos os códigos de status HTTP armazenados em CloudFront cache.

Erro ao armazenar TTL mínimo em cache (segundos)

O tempo mínimo em que você deseja armazenar em cache CloudFront as respostas de erro do seu servidor de origem.

Caminho da página de resposta

O caminho para a página de erro personalizada (por exemplo, /4xx-errors/403-forbidden.html) que você deseja que o CloudFront retorne para um visualizador quando sua origem retorna o código de status HTTP especificado para Error Code (Código de erro) (por exemplo, 403). Se você quiser armazenar seus objetos e páginas de erro personalizadas em locais diferentes, sua distribuição deverá incluir um comportamento de cache para o qual o seguinte é verdadeiro:

  • O valor de Path Pattern é correspondente às suas mensagens de erro personalizadas. Por exemplo, imagine que você salvou páginas de erro personalizadas para erros 4xx em um bucket do Amazon S3 em um diretório denominado /4xx-errors. Sua distribuição deverá incluir um comportamento de cache para o qual o padrão de caminho roteia solicitações de suas páginas de erro personalizadas para esse local, por exemplo /4xx-errors/*.

  • O valor de Origin especifica o valor de Origin ID da origem que contém suas páginas de erro personalizadas.

Código de resposta HTTP

O código de status HTTP que você deseja retornar CloudFront ao visualizador junto com a página de erro personalizada.

Restrições geográficas

Se precisar impedir que usuários em países selecionados acessem seu conteúdo, você pode configurar sua CloudFront distribuição com uma Lista de Permissões ou uma Lista de Bloqueios. Não há custo adicional para configurar restrições geográficas. Para ter mais informações, consulte Restringir a distribuição geográfica de seu conteúdo.