Paramètres de distribution - Amazon CloudFront
Catégorie de tarifsAWS WAF ACL WebNoms de domaine alternatifs (CNAMEs)Certificat SSLPrise en charge d’un client SSL personnaliséPolitique de sécurité (version SSL/TLS minimale)Versions de HTTP prises en chargeObjet racine par défautJournalisation standardPréfixe de journalJournalisation des cookiesActiver IPv6CommentÉtat de la distribution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Paramètres de distribution

Les valeurs suivantes s’appliquent à la totalité de la distribution.

Catégorie de tarifs

Choisissez la classe de prix qui correspond au prix maximum que vous souhaitez payer pour le CloudFront service. Par défaut, CloudFront diffuse vos objets à partir d'emplacements périphériques dans toutes les CloudFront régions.

Pour plus d'informations sur les classes de prix et sur l'impact de votre choix sur les CloudFront performances de votre distribution, consultez la section CloudFront Tarification.

AWS WAF ACL Web

Vous pouvez protéger votre CloudFront distribution à l'aide AWS WAFd'un pare-feu pour applications Web qui vous permet de sécuriser vos applications Web et de APIs bloquer les demandes avant qu'elles n'atteignent vos serveurs. Vous pouvez le faire Activer AWS WAF les distributions lors de la création ou de la modification d'une CloudFront distribution.

Vous pouvez éventuellement configurer ultérieurement des protections de sécurité supplémentaires pour d'autres menaces spécifiques à votre application dans la AWS WAF console à l'adresse https://console.aws.amazon.com/wafv2/.

Pour plus d'informations à ce sujet AWS WAF, consultez le guide du AWS WAF développeur.

Noms de domaine alternatifs (CNAMEs)

Facultatif. Spécifiez un ou plusieurs noms de domaine que vous souhaitez utiliser URLs pour vos objets au lieu du nom de domaine attribué lors de CloudFront la création de votre distribution. Vous devez être propriétaire du nom de domaine ou être autorisé à l'utiliser, ce que vous devez vérifier en ajoutant un SSL/TLS certificat.

Par exemple, si vous voulez que l’URL de l’objet :

/images/image.jpg

se présente ainsi :

https://www.example.com/images/image.jpg

et non comme suit :

https://d111111abcdef8.cloudfront.net/images/image.jpg

Ajoutez un CNAME pour www.example.com.

Important

Si vous ajoutez un CNAME pour www.example.com à votre distribution, vous devez également effectuer les opérations suivantes :

  • Créez (ou mettez à jour) un enregistrement CNAME avec votre service DNS pour acheminer les requêtes de www.example.com vers d111111abcdef8.cloudfront.net.

  • Ajoutez un certificat CloudFront auprès d'une autorité de certification (CA) approuvée qui couvre le nom de domaine (CNAME) que vous ajoutez à votre distribution, afin de valider votre autorisation d'utiliser le nom de domaine.

Vous devez avoir l’autorisation de créer un enregistrement CNAME avec le fournisseur de services DNS du domaine. Cela signifie normalement que le domaine vous appartient ou que vous développez une application pour le propriétaire du domaine.

Pour connaître le nombre maximum actuel de noms de domaine alternatifs que vous pouvez ajouter à une distribution ou demander un quota plus élevé (auparavant appelé limite), veuillez consulter Quotas généraux sur les distributions.

Pour plus d’informations sur les noms de domaine alternatifs, consultez Utilisez la personnalisation URLs en ajoutant des noms de domaine alternatifs (CNAMEs). Pour plus d'informations sur CloudFront URLs, voirPersonnalisez le format d'URL pour les fichiers dans CloudFront.

Certificat SSL

Si vous avez spécifié un nom de domaine alternatif à utiliser avec votre distribution, choisissez Certificat SSL personnalisé, puis, pour valider votre autorisation d’utiliser le nom de domaine alternatif, choisissez un certificat qui couvre cela. Pour que vos utilisateurs utilisent HTTPS pour accéder à vos objets, sélectionnez la valeur applicable.

  • CloudFront Certificat par défaut (*.cloudfront.net) — Choisissez cette option si vous souhaitez utiliser le nom de CloudFront domaine URLs pour vos objets, tels que. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Certificat SSL personnalisé — Choisissez cette option si vous souhaitez utiliser votre propre nom de domaine URLs pour vos objets comme nom de domaine alternatif, par exemplehttps://example.com/image1.jpg. Ensuite, choisissez un certificat à utiliser qui couvre le nom de domaine alternatif. La liste des certificats peut inclure l’un des éléments suivants :

    • Certificats fournis par AWS Certificate Manager

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans ACM

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans le magasin de certificats IAM

    Si vous choisissez ce paramètre, nous vous recommandons de n'utiliser qu'un autre nom de domaine dans votre objet URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) et qu'un client utilise un ancien visualiseur qui ne prend pas en charge le SNI. La façon dont le lecteur réagit dépend de la valeur que vous choisissez pour Clients pris en charge :

    • Tous les clients : le lecteur affiche un avertissement car le nom de CloudFront domaine ne correspond pas au nom de domaine indiqué dans votre SSL/TLS certificat.

    • Uniquement les clients qui supportent l'indication du nom du serveur (SNI) : CloudFront abandonne la connexion avec le visualiseur sans renvoyer l'objet.

Prise en charge d’un client SSL personnalisé

S'applique uniquement lorsque vous choisissez un certificat SSL personnalisé (exemple.com) pour le certificat SSL. Si vous avez indiqué un ou plusieurs noms de domaine alternatifs et un certificat SSL personnalisé pour la distribution, choisissez la manière dont vous CloudFront souhaitez traiter les requêtes HTTPS :

  • Clients prenant en charge l’indication de nom de serveur (SNI, Server Name Indication) - (recommandé) – Avec ce paramètre, pratiquement tous les navigateurs et clients web modernes peuvent se connecter à la distribution, car ils prennent en charge SNI. Cependant, certains utilisateurs peuvent utiliser d’anciens navigateurs web ou clients qui ne prennent pas en charge SNI, ce qui signifie qu’ils ne peuvent pas se connecter à la distribution.

    Pour appliquer ce paramètre à l'aide de l' CloudFront API, spécifiez-le sni-only dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

  • Support des clients hérités : avec ce paramètre, les anciens navigateurs web et clients qui ne prennent pas en charge SNI peuvent se connecter à la distribution. Toutefois, ce paramètre entraîne des frais mensuels supplémentaires. Pour connaître le prix exact, rendez-vous sur la page CloudFront des tarifs d'Amazon et recherchez le SSL personnalisé sur la page Dedicated IP.

    Pour appliquer ce paramètre à l'aide de l' CloudFront API, spécifiez-le vip dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

Pour de plus amples informations, veuillez consulter Choisissez le mode de CloudFront traitement des requêtes HTTPS.

Politique de sécurité (version SSL/TLS minimale)

Spécifiez la politique de sécurité que vous CloudFront souhaitez utiliser pour les connexions HTTPS avec les spectateurs (clients). Une politique de sécurité détermine deux paramètres :

  • SSL/TLS Protocole minimal CloudFront utilisé pour communiquer avec les spectateurs.

  • Les chiffrements qui CloudFront peuvent être utilisés pour chiffrer le contenu renvoyé aux spectateurs.

Pour de plus amples informations sur les politiques de sécurité, y compris les protocoles et les chiffrements inclus dans chacune d’elles, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Les politiques de sécurité disponibles dépendent des valeurs que vous spécifiez pour le certificat SSL et le support client SSL personnalisé (connu sous le nom CloudFrontDefaultCertificate et SSLSupportMethod dans l' CloudFront API) :

  • Lorsque le certificat SSL est le CloudFront certificat par défaut (*.cloudfront.net) (lorsqu'il CloudFrontDefaultCertificate se trouve true dans l'API), définit CloudFront automatiquement la politique de sécurité sur. TLSv1

  • Lorsque SSL Certificate (Certificat SSL) est Custom SSL Certificate (example.com) [Certificat SSL personnalisé (example.com)] et que Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) est Clients that Support Server Name Indication (SNI) - (Recommended)[Clients qui prennent en charge l’indication de nom de serveur (SNI) - (Recommandé)] (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est sni-only dans l’API), , vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv12.2_2021

    • TLSv12.2_2019

    • TLSv12.2_2018

    • TLSv11.1_2016

    • TLSv1_2016

    • TLSv1

  • Lorsque SSL Certificate (Certificat SSL) est Custom SSL Certificate (example.com) [SSL personnalisé (example.com)] et que Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) est Legacy Clients Support (Prise en charge de clients hérités) (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est vip dans l’API), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv1

    • SSLv3

    Dans cette configuration, les politiques de sécurité TLSv1 .2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 et TLSv1 _2016 ne sont pas disponibles dans la console ou dans l'API. CloudFront Si vous souhaitez utiliser l’une de ces politiques de sécurité, vous disposez des options suivantes :

    • Évaluez si votre distribution a besoin d’une prise en charge de client hérité avec adresses IP dédiées. Si vos utilisateurs prennent en charge l’indication de nom de serveur (SNI), nous vous recommandons de mettre à jour le paramètre Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) de votre distribution sur Clients that Support Server Name Indication (SNI) [Clients qui prennent en charge Server Name Indication (SNI)] (définissez SSLSupportMethod sur sni-only dans l’API). Cela vous permet d'utiliser n'importe laquelle des politiques de sécurité TLS disponibles, et cela peut également réduire vos CloudFront frais.

    • Si vous devez conserver le support des anciens clients avec des adresses IP dédiées, vous pouvez demander l'une des autres politiques de sécurité TLS (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou TLSv1 _2016) en créant un dossier dans le centre de support.AWS

      Note

      Avant de contacter le AWS Support pour demander cette modification, prenez en compte les points suivants :

      • Lorsque vous ajoutez l'une de ces politiques de sécurité (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou _2016 TLSv1) à une distribution d'assistance aux anciens clients, la politique de sécurité est appliquée à toutes les demandes des utilisateurs non SNI concernant toutes les distributions d'assistance aux anciens clients de votre compte. AWS Toutefois, lorsque les visionneuses envoient des demandes SNI à une distribution avec prise en charge de client hérité, la politique de sécurité de cette distribution s’applique. Pour vous assurer que la politique de sécurité souhaitée est appliquée à toutes les demandes des utilisateurs envoyées à toutes les distributions Legacy Clients Support de votre AWS compte, ajoutez la politique de sécurité souhaitée à chaque distribution individuellement.

      • Par définition, la nouvelle politique de sécurité ne prend pas en charge les mêmes chiffrements et protocoles que l’ancienne. Par exemple, si vous choisissez de mettre à niveau la politique de sécurité d'une distribution TLSv1 vers TLSv1 .1_2016, cette distribution ne prendra plus en charge le chiffrement DES- CBC3 -SHA. Pour de plus amples informations sur les chiffrements et les protocoles pris en charge par chaque politique de sécurité, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Versions de HTTP prises en charge

Choisissez les versions HTTP que vous souhaitez que votre distribution prenne en charge lorsque les utilisateurs communiquent avec elles CloudFront.

Pour les utilisateurs et CloudFront pour utiliser le protocole HTTP/2, les lecteurs doivent prendre en charge la version TLSv1 2.2 ou une version ultérieure, ainsi que l'indication du nom du serveur (SNI).

Pour les utilisateurs et CloudFront pour utiliser le protocole HTTP/3, ils doivent prendre en charge la version TLSv1 .3 et l'indication du nom du serveur (SNI). CloudFront prend en charge la migration des connexions HTTP/3 pour permettre au spectateur de changer de réseau sans perdre la connexion. Pour plus d'informations sur la migration des connexions à distance, consultez Migration des connexions au RFC 9000.

Note

Pour plus d'informations sur les chiffrements TLSv1 .3 pris en charge, consultez. Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront

Note

Si vous utilisez Amazon Route 53, vous pouvez utiliser des enregistrements HTTPS pour autoriser la négociation de protocole dans le cadre de la recherche DNS si le client le prend en charge. Pour de plus amples informations, veuillez consulter Create alias resource record set.

Objet racine par défaut

Facultatif. L'objet que vous souhaitez demander CloudFront à votre origine (par exemple,index.html) lorsqu'un utilisateur demande l'URL racine de votre distribution (https://www.example.com/) au lieu d'un objet de votre distribution (https://www.example.com/product-description.html). Spécifier un objet racine par défaut permet d’éviter d’exposer le contenu de votre distribution.

La longueur maximale du nom est de 255 caractères. Le nom peut contenir l’un des caractères suivants :

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, transmis et renvoyé comme &

Lorsque vous spécifiez l’objet racine par défaut, entrez uniquement le nom de l’objet, par exemple, index.html. N’ajoutez pas / devant le nom de l’objet.

Pour de plus amples informations, veuillez consulter Spécifier un objet racine par défaut.

Journalisation standard

Spécifiez si vous CloudFront souhaitez enregistrer les informations relatives à chaque demande d'objet et stocker les fichiers journaux. Vous pouvez activer ou désactiver la journalisation à tout moment. Il n'y a pas de frais supplémentaires si vous activez la journalisation, mais le stockage et l'accès aux fichiers peuvent vous être facturés. Vous pouvez supprimer les fichiers journaux à tout moment.

CloudFront prend en charge les options de journalisation standard suivantes :

  • Journalisation standard (v2) — Vous pouvez envoyer des journaux vers des destinations de livraison, notamment Amazon CloudWatch Logs, Amazon Data Firehose et Amazon Simple Storage Service (Amazon S3).

  • Journalisation standard (ancienne) : vous ne pouvez envoyer des journaux que vers un compartiment Amazon S3.

Préfixe de journal

(Facultatif) Si vous activez la journalisation standard (ancienne), spécifiez la chaîne, le cas échéant, que vous CloudFront souhaitez préfixer aux noms des fichiers journaux d'accès pour cette distribution, par exemple,exampleprefix/. La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour de plus amples informations, veuillez consulter Configuration de la journalisation standard (ancienne version).

Journalisation des cookies

Si vous CloudFront souhaitez inclure des cookies dans les journaux d'accès, choisissez Activé. Si vous choisissez d'inclure des cookies dans les CloudFront journaux, enregistre tous les cookies, quelle que soit la manière dont vous configurez les comportements de cache pour cette distribution : transférer tous les cookies, ne transférer aucun cookie ou transmettre une liste spécifiée de cookies à l'origine.

Amazon S3 ne traite pas les cookies. Par conséquent, à moins que votre distribution n'inclue également une origine Amazon EC2 ou une autre origine personnalisée, nous vous recommandons de choisir Désactivé pour la valeur de la journalisation des cookies.

Pour plus d’informations sur les cookies, consultez Contenu du cache basé sur les cookies.

Activer IPv6

IPv6 est une nouvelle version du protocole IP. Il remplace éventuellement un espace d'adressage plus grand IPv4 et utilise un espace d'adressage plus important. CloudFront répond toujours aux IPv4 demandes. Si vous souhaitez répondre CloudFront aux demandes provenant d'adresses IPv4 IP (telles que 192.0.2.44) et aux demandes provenant d' IPv6 adresses (telles que 2001:0 db 8:85 a3 : :8a2e : 0370:7334), sélectionnez Activer. IPv6

En général, vous devez l'activer IPv6 si des utilisateurs de IPv6 réseaux souhaitent accéder à votre contenu. Toutefois, si vous utilisez des cookies signés URLs ou signés pour restreindre l'accès à votre contenu, et si vous utilisez une politique personnalisée qui inclut le IpAddress paramètre permettant de restreindre les adresses IP autorisées à accéder à votre contenu, ne les activez pas IPv6. Si vous souhaitez limiter l’accès à un contenu spécifique par adresse IP et ne pas limiter l’accès aux autres contenus (ou limiter l’accès, mais pas par adresse IP), vous pouvez créer deux distributions. Pour plus d'informations sur la création de URLs documents signés à l'aide d'une politique personnalisée, consultezCréation d'une URL signée à l'aide d'une politique personnalisée. Pour plus d’informations sur la création de cookies signés à l’aide d’une politique personnalisée, consultez Définissez des cookies signés à l'aide d'une politique personnalisée.

Si vous utilisez un jeu d'enregistrements de ressources d'alias Route 53 pour acheminer le trafic vers votre CloudFront distribution, vous devez créer un deuxième ensemble d'enregistrements de ressources d'alias lorsque les deux conditions suivantes sont remplies :

  • Vous activez IPv6 la distribution

  • Vous utilisez des noms de domaine alternatifs URLs pour vos objets

Pour plus d'informations, consultez la section Acheminer le trafic vers une CloudFront distribution Amazon en utilisant votre nom de domaine dans le guide du développeur Amazon Route 53.

Si vous avez créé un jeu d’enregistrements de ressources CNAME, que ce soit avec Route 53 ou avec un autre service DNS, vous n’avez besoin d’effectuer aucune modification. Un enregistrement CNAME achemine le trafic vers votre distribution, quel que soit le format d’adresse IP de la requête de visionneuse.

Si vous activez IPv6 et CloudFront accédez aux journaux, la c-ip colonne inclut les valeurs IPv4 et le IPv6 format. Pour de plus amples informations, veuillez consulter Champs du fichier journal.

Note

Pour maintenir une haute disponibilité des clients, CloudFront répondez aux demandes des utilisateurs en utilisant IPv4 si nos données suggèrent que cela IPv4 offrira une meilleure expérience utilisateur. Pour connaître le pourcentage de demandes traitées CloudFront IPv6, activez la CloudFront journalisation de votre distribution et analysez la c-ip colonne, qui contient l'adresse IP de l'utilisateur à l'origine de la demande. Ce pourcentage devrait augmenter au fil du temps, mais il restera une minorité du trafic car il n' IPv6 est pas encore supporté par tous les réseaux de téléspectateurs du monde entier. Certains réseaux de téléspectateurs offrent un excellent IPv6 support, mais d'autres ne le font pas IPv6 du tout. (Un réseau de visionneuse est similaire à votre opérateur sans fil ou Internet).

Pour plus d'informations sur notre assistance pour IPv6, consultez la CloudFront FAQ. Pour plus d'informations sur l'activation des journaux d'accèsJournalisation standard, consultez les champs etPréfixe de journal.

Comment

Facultatif. Lorsque vous créez une distribution, vous pouvez inclure un commentaire de 128 caractères au plus. Vous pouvez mettre à jour le commentaire à tout moment.

État de la distribution

Indique si vous voulez que la distribution soit activée ou désactivée une fois déployée :

  • Activé signifie que dès que la distribution est entièrement déployée, vous pouvez déployer les liens qui utilisent le nom de domaine de la distribution et que les utilisateurs peuvent extraire le contenu. Chaque fois qu'une distribution est activée, CloudFront accepte et gère toutes les demandes de contenu de l'utilisateur final qui emploient le nom de domaine associé à cette distribution.

    Lorsque vous créez, modifiez ou supprimez une CloudFront distribution, la propagation des modifications dans la CloudFront base de données prend du temps. Une demande immédiate d’informations sur une distribution peut ne pas afficher la modification. La propagation s’effectue généralement en quelques minutes, mais une charge système ou une partition du réseau élevées peuvent augmenter cette durée.

  • Désactivé signifie que même si la distribution peut être déployée et prête à être utilisée, les utilisateurs ne peuvent pas l’utiliser. Chaque fois qu'une distribution est désactivée, CloudFront n'accepte aucune demande d'utilisateur final utilisant le nom de domaine associé à cette distribution. Tant que vous n’avez pas basculé la distribution de « disabled » en « enabled » (en mettant à jour la configuration de la distribution), personne ne peut l’utiliser.

Vous pouvez basculer une distribution de désactivée à activée (et inversement) aussi souvent que vous le voulez. Suivez la procédure de mise à jour de la configuration d’une distribution. Pour de plus amples informations, veuillez consulter Mettre à jour une distribution.