Paramètres de distribution - Amazon CloudFront
Catégorie de tarifsACL Web AWS WAFNoms de domaine alternatifs (CNAME)Certificat SSLPrise en charge d’un client SSL personnaliséPolitique de sécurité (version SSL/TLS minimale)Versions de HTTP prises en chargeObjet racine par défautJournalisation standardPréfixe de journalJournalisation des cookiesActivation d’IPv6 (demandes des utilisateurs)Activation d’IPv6 pour les origines personnalisées (demandes d’origine)CommentaireÉtat de la distribution

Paramètres de distribution

Les valeurs suivantes s’appliquent à la totalité de la distribution.

Catégorie de tarifs

Choisissez la catégorie de tarifs associée au prix maximum que vous souhaitez payer pour un service CloudFront. Par défaut, CloudFront traite vos objets à partir d’emplacements périphériques de toutes les régions CloudFront.

Pour plus d’informations sur les catégories de tarifs et sur la façon dont votre choix de catégorie affecte les performances de CloudFront pour votre distribution, consultez Tarification CloudFront.

ACL Web AWS WAF

Vous pouvez protéger votre distribution CloudFront à l'aide de AWS WAF, un pare-feu d'applications Web qui vous permet de sécuriser vos applications Web et vos API, afin de bloquer les demandes avant qu'elles n'atteignent vos serveurs. Vous pouvez Activation d’AWS WAF pour les distributions lors de la création ou de la modification d'une distribution CloudFront.

Vous pourrez éventuellement configurer ultérieurement des protections de sécurité supplémentaires pour d'autres menaces spécifiques à votre application dans la console AWS WAF à l'adresse https://console.aws.amazon.com/wafv2/.

Pour plus d’informations sur AWS WAF, consultez le Guide du développeur AWS WAF.

Noms de domaine alternatifs (CNAME)

Facultatif. Spécifiez un ou plusieurs noms de domaine que vous voulez utiliser pour les URL de vos objets à la place du nom de domaine que CloudFront attribue lorsque vous créez votre distribution. Vous devez être propriétaire du nom de domaine ou disposer de l’autorisation de l’utiliser. Vous vérifiez cela en ajoutant un certificat SSL/TLS.

Par exemple, si vous voulez que l’URL de l’objet :

/images/image.jpg

se présente ainsi :

https://www.example.com/images/image.jpg

et non comme suit :

https://d111111abcdef8.cloudfront.net/images/image.jpg

Ajoutez un CNAME pour www.example.com.

Important

Si vous ajoutez un CNAME pour www.example.com à votre distribution, vous devez également effectuer les opérations suivantes :

  • Créez (ou mettez à jour) un enregistrement CNAME avec votre service DNS pour acheminer les requêtes de www.example.com vers d111111abcdef8.cloudfront.net.

  • Ajoutez un certificat à CloudFront de la part d’une autorité de certification (CA) approuvée, qui couvre le nom de domaine (CNAME) que vous ajoutez à votre distribution, pour valider votre autorisation d’utiliser le nom de domaine.

Vous devez avoir l’autorisation de créer un enregistrement CNAME avec le fournisseur de services DNS du domaine. Cela signifie normalement que le domaine vous appartient ou que vous développez une application pour le propriétaire du domaine.

Pour connaître le nombre maximum actuel de noms de domaine alternatifs que vous pouvez ajouter à une distribution ou demander un quota plus élevé (auparavant appelé limite), consultez Quotas généraux sur les distributions.

Pour plus d’informations sur les noms de domaine alternatifs, consultez Utilisation d’URL personnalisées en ajoutant des noms de domaine alternatifs (CNAME). Pour plus d’informations sur les URL CloudFront, consultez Personnalisation du format de l’URL pour les fichiers dans CloudFront.

Certificat SSL

Si vous avez spécifié un nom de domaine alternatif à utiliser avec votre distribution, choisissez Certificat SSL personnalisé, puis, pour valider votre autorisation d’utiliser le nom de domaine alternatif, choisissez un certificat qui couvre cela. Pour que vos utilisateurs utilisent HTTPS pour accéder à vos objets, sélectionnez la valeur applicable.

  • Certificat CloudFront par défaut (*.cloudfront.net) : choisissez cette option si vous souhaitez utiliser le nom de domaine CloudFront dans les URL de vos objets, telles que https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Certificat SSL personnalisé : choisissez cette option si vous souhaitez utiliser votre propre nom de domaine dans les URL de vos objets en tant que nom de domaine alternatif, tel que https://example.com/image1.jpg. Ensuite, choisissez un certificat à utiliser qui couvre le nom de domaine alternatif. La liste des certificats peut inclure l’un des éléments suivants :

    • Les certificats fournis par AWS Certificate Manager

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans ACM

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans le magasin de certificats IAM

    Si vous choisissez cette valeur, il est recommandé de n’utiliser qu’un nom de domaine alternatif dans vos URL d’objets (https://example.com/logo.jpg). Si vous utilisez votre nom de domaine de distribution CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) et un client utilise un ancien lecteur qui ne prend pas en charge SNI, la façon dont le lecteur répond dépend de la valeur que vous choisissez pour Clients Supported (Clients pris en charge) :

    • All Clients (Tous les clients) : le lecteur affiche un avertissement, car le nom de domaine CloudFront ne correspond pas au nom de domaine de votre certificat SSL/TLS.

    • Only Clients that Support Server Name Indication (SNI) (Seuls les clients qui prennent en charge Server Name Indication (SNI)) : CloudFront abandonne la connexion avec l’utilisateur sans renvoyer l’objet.

Prise en charge d’un client SSL personnalisé

S’applique uniquement lorsque vous choisissez Certificat SSL personnalisé (exemple.com) pour Certificat SSL. Si vous avez spécifié un ou plusieurs noms de domaine alternatifs et un certificat SSL personnalisé pour la distribution, choisissez la manière dont vous souhaitez que CloudFront traite les demandes HTTPS :

  • Clients prenant en charge l’indication de nom de serveur (SNI, Server Name Indication) – (recommandé) : avec ce paramètre, pratiquement tous les navigateurs et clients web modernes peuvent se connecter à la distribution, car ils prennent en charge SNI. Cependant, certains utilisateurs peuvent utiliser d’anciens navigateurs web ou clients qui ne prennent pas en charge SNI, ce qui signifie qu’ils ne peuvent pas se connecter à la distribution.

    Pour appliquer ce paramètre à l’aide de l’API CloudFront, spécifiez sni-only dans le champ SSLSupportMethod. Dans CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

  • Support des clients hérités : avec ce paramètre, les anciens navigateurs web et clients qui ne prennent pas en charge SNI peuvent se connecter à la distribution. Toutefois, ce paramètre entraîne des frais mensuels supplémentaires. Pour connaître le prix exact, consultez la page Tarification Amazon CloudFront et recherchez Certificats SSL personnalisés à IP dédiée.

    Pour appliquer ce paramètre à l’aide de l’API CloudFront, spécifiez vip dans le champ SSLSupportMethod. Dans CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

Pour plus d’informations, consultez Choix de la façon dont CloudFront doit traiter les demandes HTTPS.

Politique de sécurité (version SSL/TLS minimale)

Spécifiez la politique de sécurité que vous voulez que CloudFront utilise pour les connexions HTTPS avec les utilisateurs (clients). Une politique de sécurité détermine deux paramètres :

  • Le protocole SSL/TLS minimal utilisé par CloudFront pour communiquer avec les utilisateurs

  • Chiffrements que CloudFront peut utiliser pour chiffrer le contenu renvoyé aux utilisateurs.

Pour plus d’informations sur les politiques de sécurité, y compris les protocoles et les chiffrements inclus dans chacune d’elles, consultez Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Les politiques de sécurité disponibles dépendent des valeurs que vous spécifiez pour Certificat SSL et Prise en charge d’un client SSL personnalisé (appelées CloudFrontDefaultCertificate et SSLSupportMethod dans l’API CloudFront) :

  • Lorsque SSL Certificate (Certificat SSL) est Default CloudFront Certificate (*.cloudfront.net) (Certificat CloudFront par défaut (*.cloudfront.net)) (lorsque CloudFrontDefaultCertificate est true dans l’API), CloudFront définit automatiquement la valeur de la politique de sécurité sur TLSv1.

  • Lorsque Certificat SSL est Certificat SSL personnalisé (example.com) et que Prise en charge d’un client SSL personnalisé est Clients qui prennent en charge l’indication de nom de serveur (SNI) - (Recommandé) (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est sni-only dans l’API), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv1.3_2025

    • TLSv1.2_2025

    • TLSv1.2_2021

    • TLSV1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Lorsque Certificat SSL est SSL personnalisé (example.com) et que Prise en charge d’un client SSL personnalisé est Prise en charge de clients hérités (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est vip dans l’API), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv1

    • SSLv3

    Dans cette configuration, les politiques de sécurité TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 et TLSv1_2016 ne sont pas disponibles dans la console ou l’API CloudFront. Si vous souhaitez utiliser l’une de ces politiques de sécurité, vous disposez des options suivantes :

    • Évaluez si votre distribution a besoin d’une prise en charge de client hérité avec adresses IP dédiées. Si vos utilisateurs prennent en charge l’indication de nom de serveur (SNI), nous vous recommandons de mettre à jour le paramètre Prise en charge d’un client SSL personnalisé de votre distribution sur Clients qui prennent en charge l’indication de nom de serveur (SNI) (définissez SSLSupportMethod sur sni-only dans l’API). Cela vous permet d’utiliser toutes les politiques de sécurité TLS disponibles et de réduire vos frais CloudFront.

    • Si vous devez conserver la prise en charge de clients hérités avec des adresses IP dédiées, vous pouvez demander une des autres politiques de sécurité TLS (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) en créant un dossier dans le Centre de support AWS.

      Note

      Avant de contacter AWS Support pour demander cette modification, tenez compte des points suivants :

      • Lorsque vous ajoutez une de ces politiques de sécurité (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) à une distribution avec prise en charge de clients hérités, la politique de sécurité est appliquée à toutes les demandes utilisateurs non-SNI pour toutes les distributions avec prise en charge de clients hérités dans votre compte AWS. Toutefois, lorsque les visionneuses envoient des demandes SNI à une distribution avec prise en charge de client hérité, la politique de sécurité de cette distribution s’applique. Pour vous assurer que votre politique de sécurité souhaitée est appliquée à toutes les requêtes utilisateurs envoyées à toutes les distributions avec prise en charge de clients hérités dans votre compte AWS, ajoutez la politique de sécurité souhaitée individuellement à chaque distribution.

      • Par définition, la nouvelle politique de sécurité ne prend pas en charge les mêmes chiffrements et protocoles que l’ancienne. Par exemple, si vous choisissez de mettre à niveau la politique de sécurité d’une distribution de TLSv1 vers TLSv1.1_2016, cette distribution ne prendra plus en charge le chiffrement DES-CBC3-SHA. Pour plus d’informations sur les chiffrements et les protocoles pris en charge par chaque politique de sécurité, consultez Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Versions de HTTP prises en charge

Choisissez les versions HTTP que votre distribution doit prendre en charge lorsque les utilisateurs communiquent avec CloudFront.

Pour que les utilisateurs et CloudFront puissent utiliser HTTP/2, ils doivent prendre en charge TLSv 1.2 ou une version ultérieure, ainsi que Server Name Identification (SNI).

Pour que les utilisateurs et CloudFront puissent utiliser HTTP/3, ils doivent prendre en charge TLSv1.3 et Server Name Indication (SNI). CloudFront prend en charge la migration des connexions HTTP/3 pour permettre à l'utilisateur de changer de réseau sans perdre de connexion. Pour plus d'informations sur la migration des connexions à distance, consultez Migration des connexions au RFC 9000.

Note

Pour plus d'informations sur les chiffrements TLSv1.3 pris en charge, consultez Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Note

Si vous utilisez Amazon Route 53, vous pouvez utiliser des enregistrements HTTPS pour autoriser la négociation de protocole lors de la recherche DNS si le client le prend en charge. Pour plus d’informations, consultez Create alias resource record set.

Objet racine par défaut

Facultatif. Objet que CloudFront doit demander depuis votre origine (par exemple, index.html) en cas de demande de l’URL racine de votre distribution (https://www.example.com/) au lieu d’un objet de votre distribution (https://www.example.com/product-description.html). Spécifier un objet racine par défaut permet d’éviter d’exposer le contenu de votre distribution.

La longueur maximale du nom est de 255 caractères. Le nom peut contenir l’un des caractères suivants :

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, transmis et renvoyé comme &

Lorsque vous spécifiez l’objet racine par défaut, entrez uniquement le nom de l’objet, par exemple, index.html. N’ajoutez pas / devant le nom de l’objet.

Pour plus d’informations, consultez Spécification d’un objet racine par défaut.

Journalisation standard

Indiquez si vous souhaitez que CloudFront journalise les informations relatives à chaque demande pour un objet et stocke les fichiers journaux. Vous pouvez activer ou désactiver la journalisation à tout moment. L’activation de la journalisation n’entraîne aucun frais supplémentaire, toutefois vous pouvez encourir des coûts liés au stockage et à la consultation des fichiers. Vous pouvez supprimer les fichiers journaux à tout moment.

CloudFront prend en charge les options de journalisation standard suivantes :

Préfixe de journal

(Facultatif) Si vous activez la journalisation standard (héritée), indiquez la chaîne, le cas échéant, que CloudFront doit utiliser comme préfixe pour les noms des fichiers de journaux d’accès de cette distribution, par exemple : exampleprefix/. La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour plus d’informations, consultez Configurer la journalisation standard (héritée).

Journalisation des cookies

Si vous voulez que CloudFront inclue les cookies dans les journaux d’accès, choisissez On (Activé). Si vous avez choisi d’inclure les cookies dans les journaux, CloudFront enregistre tous les cookies, quelle que soit la façon dont vous configurez les comportements de cache pour cette distribution : transmettre tous les cookies, ne transmettre aucun cookie ou transmettre une liste spécifiée de cookies à l’origine.

Comme Amazon S3 ne traite pas les cookies, à moins que votre distribution n’inclue aussi une origine Amazon EC2 ou autre origine personnalisée, nous vous recommandons de choisir Off (Désactivé) comme valeur de Cookie Logging (Journalisation des cookies).

Pour plus d’informations sur les cookies, consultez Mise en cache de contenu basée sur des cookies.

Activation d’IPv6 (demandes des utilisateurs)

Si vous souhaitez que CloudFront réponde aux demandes des utilisateurs provenant d’adresses IPv4 et IPv6, sélectionnez Activer IPv6. Pour plus d’informations, consultez Activation d’IPv6 pour les distributions CloudFront.

Activation d’IPv6 pour les origines personnalisées (demandes d’origine)

Lorsque vous utilisez une origine personnalisée (à l’exception des origines Amazon S3 et VPC), vous pouvez personnaliser les paramètres d’origine de votre distribution afin de choisir la manière dont CloudFront se connecte à votre origine à l’aide d’adresses IPv4 ou IPv6. Pour plus d’informations, consultez Activation d’IPv6 pour les distributions CloudFront.

Commentaire

Facultatif. Lorsque vous créez une distribution, vous pouvez inclure un commentaire de 128 caractères au plus. Vous pouvez mettre à jour le commentaire à tout moment.

État de la distribution

Indique si vous voulez que la distribution soit activée ou désactivée une fois déployée :

  • Activé signifie que dès que la distribution est entièrement déployée, vous pouvez déployer les liens qui utilisent le nom de domaine de la distribution et que les utilisateurs peuvent extraire le contenu. Chaque fois qu’une distribution est activée, CloudFront accepte et gère toutes les demandes de contenu de l’utilisateur final qui emploient le nom de domaine associé à cette distribution.

    Lorsque vous créez, modifiez ou supprimez une distribution CloudFront, la propagation des modifications sur la base de données CloudFront nécessite un certain temps. Une demande immédiate d’informations sur une distribution peut ne pas afficher la modification. La propagation s’effectue généralement en quelques minutes, mais une charge système ou une partition du réseau élevées peuvent augmenter cette durée.

  • Désactivé signifie que même si la distribution peut être déployée et prête à être utilisée, les utilisateurs ne peuvent pas l’utiliser. Quand une distribution est désactivée, CloudFront n’accepte pas les demandes de l’utilisateur final qui emploient le nom de domaine associé à cette distribution. Tant que vous n’avez pas basculé la distribution de « disabled » en « enabled » (en mettant à jour la configuration de la distribution), personne ne peut l’utiliser.

Vous pouvez basculer une distribution de désactivée à activée (et inversement) aussi souvent que vous le voulez. Suivez la procédure de mise à jour de la configuration d’une distribution. Pour plus d’informations, consultez Mettre à jour une distribution.