搭配 CloudFront 使用 SSL/TLS 憑證的配額 (僅限檢視器與 CloudFront 之間的 HTTPS)

將 SSL/TLS 憑證與 CloudFront 搭配使用時，請注意下列配額。這些配額僅適用於您使用匯入 ACM 的 AWS Certificate Manager (ACM) 佈建的 SSL/TLS 憑證，或上傳至 IAM 憑證存放區以在檢視器和 CloudFront 之間進行 HTTPS 通訊。

如需詳細資訊，請參閱增加 SSL/TLS 憑證的配額。

每個 CloudFront 分佈的憑證數目上限

您可以把一個 SSL/TLS 憑證的上限數量與每個 CloudFront 分佈相關聯。

您可以匯入 ACM 或上傳至 IAM 憑證存放區的憑證上限數量

如果您從第三方 CA 取得 SSL/TLS 憑證，您必須在以下其中一個位置存放憑證：

• AWS Certificate Manager – 如需 ACM 憑證數量的目前配額，請參閱 AWS Certificate Manager 使用者指南中的配額。列出的配額是包含您使用 ACM 佈建的憑證與匯入 ACM 的憑證之總和。

• IAM 憑證存放區 – 如需您可以上傳到 AWS 帳戶 IAM 憑證存放區的憑證數量目前配額 （先前稱為限制），請參閱《IAM 使用者指南》中的 IAM 和 STS 限制。您可以在 Service Quotas 主控台中請求更高的配額。

每個 AWS 帳戶的憑證數量上限 （僅限專用 IP 地址）

如果您想要使用專用 IP 地址提供 HTTPS 請求，請注意以下事項：

• 根據預設，CloudFront 會授予您許可，在 AWS 您的帳戶中使用兩個憑證，一個用於日常使用，另一個用於需要輪換多個分佈的憑證。

• 如果您需要兩個以上的自訂 SSL/TLS 憑證 AWS ，您可以在 Service Quotas 主控台中請求更高的配額。

針對使用不同 AWS 帳戶建立的 CloudFront 分佈使用相同的憑證

如果您使用第三方 CA，而且想要使用相同的憑證搭配使用不同 AWS 帳戶建立的多個 CloudFront 分佈，您必須將憑證匯入 ACM，或為每個 AWS 帳戶將其上傳至 IAM 憑證存放區一次。

如果您使用 ACM 提供的憑證，則不能配置 CloudFront 使用不同 AWS 帳戶建立的憑證。

將相同的憑證用於 CloudFront 和其他 AWS 服務

如果您從信任的憑證授權機構購買憑證，例如 Comodo、DigiCert 或 Symantec，您可以將相同的憑證用於 CloudFront 和其他 AWS 服務。如果將憑證匯入到 ACM，則只需要匯入一次，即可將憑證用於多個 AWS 服務。

如果您使用 ACM 提供的憑證，則在 ACM 中存放憑證。

針對多個 CloudFront 分佈使用相同的憑證

您可以對用來提供 HTTPS 請求的任何或所有 CloudFront 分佈使用相同的憑證。注意下列事項：

• 您可以使用相同的憑證提供使用專用 IP 地址的請求，與提供使用 SNI 的請求。

• 您僅能把一個 SSL/TLS 憑證與每個 &CF; 分佈相關聯。

• 每個分佈必須包含一或多個也出現在憑證中 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體別名) 欄位的備用網域名稱。

• 如果您使用專用 IP 地址提供 HTTPS 請求，且透過使用相同的 AWS 帳戶建立所有分發，則可以藉由使用適用於所有分發的相同憑證大幅降低您的成本。CloudFront 收取每個憑證的費用，而不是每個分佈。

  例如，假設您使用相同的 AWS 帳戶來建立三個分佈，並且針對所有三個分佈使用相同的憑證。您只需支付使用專用 IP 地址的費用一次。

  不過，如果您使用專用 IP 地址提供 HTTPS 請求，且在不同的 AWS 帳戶中使用相同的憑證建立 CloudFront 分發，則需支付每個帳戶使用專用 IP 地址的費用。例如，如果您使用三個不同的 AWS 帳戶來建立三個分佈，並且針對所有三個分佈使用相同的憑證，則每個帳戶都會支付使用專用 IP 地址的完整費用。