Ajustes de la distribución - Amazon CloudFront
Clase de precioACL web de AWS WAFNombres de dominio alternativos (CNAME)Certificado SSLCompatibilidad con clientes SSL personalizadosPolítica de seguridad (versión mínima de SSL/TLS)Versiones de HTTP compatiblesObjeto raíz predeterminadoRegistro estándarPrefijo de registrosRegistro de cookiesHabilitar IPv6ComentarioEstado de la distribución

Ajustes de la distribución

Los siguientes valores se aplican a toda la distribución.

Clase de precio

Elija la clase de precio que corresponde al precio máximo que desea pagar por el servicio de CloudFront. De forma predeterminada, CloudFront distribuye sus objetos desde ubicaciones de borde en todas las regiones de CloudFront.

Para obtener más información acerca de las clases de precios y cómo la clase que elija afecta al rendimiento de CloudFront para la distribución, consulte Precios de CloudFront.

ACL web de AWS WAF

Puede proteger la distribución de CloudFront con AWS WAF, un firewall de aplicaciones web que le permite proteger las aplicaciones web y las API para bloquear las solicitudes antes de que lleguen a los servidores. Puede Habilitación de AWS WAF para distribuciones al crear o editar una distribución de CloudFront.

Si lo desea, puede configurar más adelante protecciones de seguridad adicionales para otras amenazas específicas de la aplicación en la consola de AWS WAF en https://console.aws.amazon.com/wafv2/.

Para obtener más información sobre AWS WAF, consulte la Guía para desarrolladores de AWS WAF.

Nombres de dominio alternativos (CNAME)

Opcional. Especifique uno o varios nombres de dominio que desee utilizar para direcciones URL de sus objetos en lugar del nombre de dominio que CloudFront asigna al crear la distribución. Debe ser el propietario del nombre de dominio, o tener autorización para utilizarlo, lo que puede demostrar añadiendo un certificado SSL/TLS.

Por ejemplo, si desea que la URL del objeto:

/images/image.jpg

Sea así:

https://www.example.com/images/image.jpg

En lugar de así:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Añada un CNAME para www.example.com.

importante

Si añade un CNAME para www.example.com a la distribución, también debe hacer lo siguiente:

  • Crear o actualizar un registro de CNAME en el servicio de DNS para dirigir las consultas de www.example.com a d111111abcdef8.cloudfront.net.

  • Agregar un certificado a CloudFront de una entidad de certificación (CA) de confianza emitido para el nombre de dominio (CNAME) que va a agregar a la distribución, con el fin de demostrar que dispone de autorización para utilizar el nombre de dominio.

Debe tener permiso para crear un registro CNAME con el proveedor de servicios de DNS para el dominio. Por lo general, esto indica que es el propietario del dominio o que está desarrollando una aplicación para el propietario del dominio.

Para obtener el número máximo actual de nombres de dominio alternativos que puede agregar a una distribución o solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.

Para obtener más información acerca de los nombres de dominio alternativos, consulte Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME). Para obtener más información acerca de las direcciones URL de CloudFront, consulte Personalización del formato de URL para archivos en CloudFront.

Certificado SSL

Si ha especificado un nombre de dominio alternativo para usarlo con la distribución, seleccione Custom SSL Certificate (Certificado SSL personalizado) y, a continuación, para validar su autorización para utilizar el nombre de dominio alternativo, elija un certificado emitido para él. Si desea que los espectadores utilicen HTTPS para obtener acceso a sus objetos, elija el ajuste correspondiente.

  • Default CloudFront Certificate (*.cloudfront.net) (Certificado de CloudFront predeterminado (*.cloudfront.net)): elija esta opción si desea utilizar el nombre de dominio de CloudFront en las URL de los objetos, por ejemplo, https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Custom SSL Certificate (Certificado SSL personalizado): elija esta opción si desea utilizar su propio nombre de dominio en las URL de sus objetos como nombre de dominio alternativo; por ejemplo https://example.com/image1.jpg. A continuación, elija un certificado que haya sido emitido para el nombre de dominio alternativo. En la lista de certificados puede haber los elementos siguientes:

    • Certificados proporcionados por AWS Certificate Manager

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en ACM

    • Certificados adquiridos a una entidad de certificación de terceros y cargados en el almacén de certificados de IAM

    Si elige esta opción, le recomendamos que utilice solo un nombre de dominio alternativo en las URL de sus objetos (https://example.com/logo.jpg). Si utiliza el nombre de dominio de la distribución de CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) y un cliente utiliza un lector antiguo que no admite SNI, la respuesta del lector depende del valor que elija para Clients Supported (Clientes admitidos):

    • All Clients (Todos los clientes): el lector muestra una advertencia, ya que el nombre de dominio de CloudFront no coincide con el nombre de dominio del certificado SSL/TLS.

    • Only Clients that Support Server Name Indication (SNI) (Solo los clientes que admiten indicación de nombre de servidor (SNI)): CloudFront interrumpe la conexión con el lector sin devolver el objeto.

Compatibilidad con clientes SSL personalizados

Se aplica solo cuando elige Certificado SSL personalizado (example.com) en Certificado SSL. Si especificó uno o más nombres de dominio alternativos y un certificado SSL personalizado para la distribución, elija cómo desea que CloudFront sirva las solicitudes HTTPS:

  • Clientes compatibles con la indicación de nombre de servidor (SNI) - (recomendado): con esta configuración, prácticamente todos los navegadores web y clientes modernos pueden conectarse a la distribución, ya que admiten SNI. Sin embargo, algunos usuarios pueden utilizar navegadores web antiguos o clientes que no admiten SNI, lo que significa que no pueden conectarse a la distribución.

    Para aplicar esta configuración mediante la API de CloudFront, especifique sni-only en el campo SSLSupportMethod. En AWS CloudFormation, el campo se denomina SslSupportMethod, (tenga en cuenta el uso de mayúsculas y minúsculas).

  • Compatibilidad con clientes heredados: con esta configuración, los navegadores web antiguos y los clientes que no admiten SNI pueden conectarse a la distribución. Sin embargo, a esta configuración se le aplican cargos mensuales adicionales. Para obtener el precio exacto, vaya a la página Precios de Amazon CloudFront y busque la página de SSL personalizado de IP dedicada.

    Para aplicar esta configuración mediante la API de CloudFront, especifique vip en el campo SSLSupportMethod. En AWS CloudFormation, el campo se denomina SslSupportMethod, (tenga en cuenta el uso de mayúsculas y minúsculas).

Para obtener más información, consulte Elección de la forma en que CloudFront atiende las solicitudes HTTPS.

Política de seguridad (versión mínima de SSL/TLS)

Especifique la política de seguridad que desea que utilice CloudFront para las conexiones HTTPS con lectores (clientes). Una política de seguridad determina dos ajustes:

  • El protocolo SSL/TLS mínimo que utiliza CloudFront para comunicarse con los lectores.

  • El cifrado que puede utilizar CloudFront para cifrar el contenido que devuelve a los espectadores.

Para obtener más información acerca de las políticas de seguridad, incluidos los protocolos y los cifrados que incluye cada una, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.

Las políticas de seguridad disponibles dependen de los valores que especifique para el Certificado SSL y el Soporte de cliente SSL personalizado (conocidos como CloudFrontDefaultCertificate y SSLSupportMethod en la API de CloudFront):

  • Cuando el SSL Certificate (Certificado SSL) es el Default CloudFront Certificate (*.cloudfront.net) (Certificado predeterminado de CloudFront (*.cloudfront.net)) (cuando CloudFrontDefaultCertificate es true en la API), CloudFront configura automáticamente la política de seguridad a TLSv1.

  • Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es Clientes que admiten la indicación de nombre de servidor (SNI) (Recomendado) (cuando CloudFrontDefaultCertificate es false y SSLSupportMethod es sni-only en la API), puede elegir entre las siguientes políticas de seguridad:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Cuando el Certificado SSL es el Certificado SSL personalizado (ejemplo.com) y el Soporte de cliente SSL personalizado es el Soporte de clientes heredados (cuando CloudFrontDefaultCertificate es false y SSLSupportMethod es vip en la API), puede elegir entre las siguientes políticas de seguridad:

    • TLSv1

    • SSLv3

    En esta configuración, las políticas de seguridad TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 y TLSv1_2016 no están disponibles en la API ni en la consola de CloudFront. Si desea utilizar una de estas políticas de seguridad, tiene las siguientes opciones:

    • Evalúe si su distribución necesita soporte de clientes heredados con direcciones IP dedicadas. Si sus lectores admiten la indicación de nombre de servidor (SNI), recomendamos que actualice la configuración de Soporte de cliente SSL personalizado de su distribución a Clientes que admiten la indicación de nombre de servidor (SNI) (configure SSLSupportMethod como sni-only en la API). Esto le permite utilizar cualquiera de las políticas de seguridad TLS disponibles y también puede reducir sus cargos de CloudFront.

    • Si tiene que mantener el soporte de clientes heredados con direcciones IP dedicadas, puede solicitar alguna de las otras políticas de seguridad de TLS (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, o TLSv1_2016) mediante la creación de un caso en el Centro de soporte de AWS.

      nota

      Antes de contactar con AWS Support para solicitar este cambio, tenga en cuenta lo siguiente:

      • Cuando agrega una de estas políticas de seguridad (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 o TLSv1_2016) a una distribución de soporte de clientes heredados, la política de seguridad se aplica a todas‭‬ las solicitudes de lector que no sean SNI para todas las distribuciones de soporte de clientes heredados en su cuenta de AWS‬. En cambio, cuando los espectadores envían solicitudes SNI a una distribución con soporte de clientes heredados, se aplica la política de seguridad de dicha distribución. Para asegurarse de que se aplica su política de seguridad deseada a todas las solicitudes de lector enviadas a todas las distribuciones de soporte de clientes heredados en su cuenta de AWS, agregue la política de seguridad deseada a cada distribución individualmente.

      • Por definición, la nueva política de seguridad no admite los mismos cifrados y protocolos que la anterior. Por ejemplo, si decide actualizar la política de seguridad de una distribución de TLSv1 a TLSv1.1_2016, esa distribución ya no admitirá el cifrado DES-CBC3-SHA. Para obtener más información sobre los cifrados y protocolos compatibles con cada política de seguridad, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.

Versiones de HTTP compatibles

Elija las versiones de HTTP que desea que admita la distribución cuando los lectores se comuniquen con CloudFront.

Para que los lectores y CloudFront utilicen HTTP/2, los lectores deben ser compatibles con TLSv1.2 o posterior y con la indicación de nombre de servidor (SNI).

Para que los lectores y CloudFront utilicen HTTP/3, los lectores deben ser compatibles con TLSv1.3 y con la indicación del nombre del servidor (SNI). CloudFront es compatible con la migración de la conexión HTTP/3 para que el lector pueda cambiar de red sin perder la conexión. Para obtener más información sobre la migración de conexiones, consulte Connection Migration (Migración de conexiones) en RFC 9000.

nota

Para obtener más información acerca de los cifrados TLSv1.3, consulte Protocolos y cifrados admitidos entre lectores y CloudFront.

nota

Si utiliza Amazon Route 53, puede utilizar registros HTTPS para permitir la negociación de protocolos como parte de la búsqueda de DNS si el cliente lo admite. Para obtener más información, consulte Create alias resource record set.

Objeto raíz predeterminado

Opcional. El objeto que quiera que CloudFront solicite desde su origen (por ejemplo, index.html) cuando un lector solicite la URL raíz de la distribución (https://www.example.com/) en lugar de un objeto de la distribución (https://www.example.com/product-description.html). Especificar un objeto raíz predeterminado evita exponer el contenido de su distribución.

La longitud máxima de un nombre es 255 caracteres. El nombre puede contener cualquiera de los siguientes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, pasado y devuelto como &

Al especificar el objeto raíz predeterminado, escriba únicamente el nombre de objeto, por ejemplo, index.html. No añada / antes del nombre del objeto.

Para obtener más información, consulte Especificación de un objeto raíz predeterminado.

Registro estándar

Especifique si desea que CloudFront registre información acerca de cada solicitud de un objeto y almacene los archivos de registro. Puede habilitar o deshabilitar el registro de acceso en cualquier momento. No se aplica ningún cargo adicional si activa el registro, pero se podrían acumular cargos por almacenar y acceder a los archivos. Puede eliminar los registros en cualquier momento.

CloudFront admite las siguientes opciones de registro estándar:

  • Registro estándar (v2): puede enviar registros a los destinos de entrega, incluidos los registros de Amazon CloudWatch, Amazon Data Firehose y Amazon Simple Storage Service (Amazon S3).

  • Registro estándar (heredado): solo puede enviar registros a un bucket de Amazon S3.

Prefijo de registros

(Opcional) Si activa el registro estándar (heredado), especifique la cadena, de haberla, a la que CloudFront debe agregar un prefijo para los nombres de archivo de los registros de acceso de esta distribución; por ejemplo, exampleprefix/. La barra inclinada (/) al final es opcional pero recomendable para simplificar la navegación de los archivos de registro. Para obtener más información, consulte Configuración del registro estándar (heredado).

Registro de cookies

Si desea que CloudFront incluya cookies en los registros de acceso, elija On. Si decide incluir las cookies en los registros, CloudFront registra todas las cookies independientemente de cómo configura los comportamientos de la caché para esta distribución: para reenviar al origen todas las cookies, ninguna o las que se determinen en una lista concreta.

Amazon S3 no procesa las cookies, por lo que, a menos que la distribución también incluya un origen de Amazon EC2 u otro personalizado, le recomendamos que elija el valor Off en Registros de cookies.

Para obtener más información acerca de cookies, consulte Almacenamiento en caché de contenido en función de cookies.

Habilitar IPv6

IPv6 es una nueva versión del protocolo IP. Es la sustitución final de IPv4 y utiliza un espacio de direcciones mayor. CloudFront siempre responde a las solicitudes por IPv4. Si desea que CloudFront responda a las solicitudes de direcciones IP IPv4 (como 192.0.2.44) y a las de direcciones IPv6 (como 2001:0db8:85a3::8a2e:0370:7334), seleccione Enable IPv6 (Habilitar IPv6).

En general, debe habilitar IPv6 si tiene usuarios en redes IPv6 que desean obtener acceso a su contenido. Sin embargo, si utiliza URL firmadas o cookies firmadas para restringir el acceso a su contenido además de una política personalizada con el parámetro IpAddress para restringir las direcciones IP que pueden obtener acceso a su contenido, no habilite IPv6. Si desea restringir el acceso a algún contenido por dirección IP pero no restringir otro contenido (o restringir el acceso, pero no por dirección IP), puede crear dos distribuciones. Para obtener información acerca de cómo crear URL firmadas mediante una política personalizada, consulte Creación de una URL firmada mediante una política personalizada. Para obtener información acerca de cómo crear cookies firmadas mediante una política personalizada, consulte Establecimiento de cookies firmadas mediante una política personalizada.

Si utiliza un conjunto de registros de recursos de alias de Amazon Route 53 para dirigir el tráfico a su distribución de CloudFront, debe crear un segundo conjunto de registros de recursos de alias cuando las dos condiciones siguientes se cumplan:

  • Ha habilitado IPv6 para la distribución.

  • Está utilizando nombres de dominio alternativo en las URL de sus objetos.

Para obtener más información, consulte Direccionamiento del tráfico a una distribución de Amazon CloudFront mediante el nombre de dominio en la Guía para desarrolladores de Amazon Route 53.

Si ha creado un conjunto de registros de recursos de CNAME, ya sea con Route 53 o con otro servicio de DNS, no es necesario realizar ningún cambio. Un registro CNAME dirige el tráfico hacia la distribución, sin tener en cuenta el formato de la dirección IP de la solicitud del espectador.

Si habilita IPv6 y registros de acceso de CloudFront, la columna c-ip incluye valores en formato IPv4 e IPv6. Para obtener más información, consulte Campos de un archivo de registro.

nota

Para mantener una alta disponibilidad para los clientes, CloudFront responde a solicitudes de los lectores a través de IPv4 si nuestros datos sugieren que ese protocolo proporcionará una mejor experiencia de usuario. Para saber qué porcentaje de solicitudes CloudFront atiende por IPv6, habilite el registro de CloudFront para su distribución y analice la columna c-ip, que contiene la dirección IP del lector que hizo la solicitud. Este porcentaje debería crecer con el paso del tiempo, pero seguirá siendo una minoría de tráfico ya que IPv6 aún no es compatible con todas las redes de espectadores en todo el mundo. Algunas redes de espectadores tienen excelente compatibilidad con IPv6, pero otras no admiten IPv6 en absoluto. (En este sentido, una red de espectadores es sinónimo de su red doméstica u operador de Internet).

Para obtener más información acerca de la compatibilidad con IPv6, consulte las preguntas frecuentes de CloudFront. Para obtener más información sobre la activación de registros de acceso, consulte los campos Registro estándar y Prefijo de registros.

Comentario

Opcional. Al crear una distribución, puede incluir un comentario de hasta 128 caracteres. Puede actualizarlo en cualquier momento.

Estado de la distribución

Indica si desea habilitar o deshabilitar la distribución una vez implementada:

  • Enabled (Habilitada) significa que tan pronto como la distribución se implemente totalmente, podrá implementar enlaces que utilizan el nombre de dominio de la distribución y los usuarios podrán recuperar contenido. Cuando una distribución está habilitada, CloudFront acepta y gestiona cualquier solicitud de contenido realizada por cualquier usuario final y que utilice el nombre de dominio asociado a esa distribución.

    Al crear, modificar o eliminar una distribución de CloudFront, lleva tiempo propagar los cambios a la base de datos de CloudFront. Una solicitud inmediata para obtener información acerca de una distribución puede no mostrar el cambio. La propagación suele completarse en cuestión de minutos, pero una carga de sistema o una partición de red elevadas podrían aumentar este tiempo.

  • Disabled (Deshabilitada) significa que, aunque la distribución puede haberse implementado y estar lista para su uso, los usuarios no pueden utilizarla. Cuando una distribución está desactivada, CloudFront no acepta ninguna solicitud realizada por ningún usuario final y que utilice el nombre de dominio asociado a esa distribución. Hasta que no cambie la distribución de deshabilitada a habilitada (actualizando de la distribución de la configuración), nadie podrá utilizarla.

Puede cambiar una distribución entre habilitada y deshabilitada tantas veces como quiera. Siga el proceso para actualizar la configuración de una distribución. Para obtener más información, consulte Actualizar una distribución.