Restrictions sur CloudFront Functions - Amazon CloudFront
JournauxCorps de la demandeUtilisation des informations d’identification temporaires avec l’API CloudFront KeyValueStoreEnvironnement d’exécutionUtilisation du calcul

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restrictions sur CloudFront Functions

Les restrictions suivantes s'appliquent uniquement à CloudFront Functions.

Pour en savoir plus sur les quotas (anciennement appelés limites), consultez Quotas relatifs aux CloudFront fonctions.

Journaux

Les journaux de fonctions dans CloudFront Functions sont tronqués à 10 Ko.

Corps de la demande

Les fonctions CloudFront ne peuvent pas accéder au corps de la demande HTTP.

Utilisation des informations d’identification temporaires avec l’API CloudFront KeyValueStore

Vous pouvez utiliser le AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires (également appelées jetons de session). Les jetons de session vous permettent d’assumer temporairement un rôle de Gestion des identités et des accès AWS (IAM) afin de pouvoir y accéder aux Services AWS.

Pour appeler l’API CloudFront KeyValueStore, utilisez un point de terminaison Régional dans AWS STS pour renvoyer un jeton de session version 2. Si vous utilisez le point de terminaison global pour AWS STS (sts.amazonaws.com), AWS STS générera un jeton de session version 1, qui n’est pas pris en charge par Signature Version 4A (SigV4A). Par conséquent, vous recevrez une erreur d’authentification.

Pour appeler l’API CloudFront KeyValueStore, vous pouvez utiliser les options suivantes :

AWS CLI et les kits AWS SDK

Vous pouvez configurer l’AWS CLI ou un kit AWS SDK pour utiliser les points de terminaison AWS STS régionaux. Pour plus d’informations, consultez Points de terminaison AWS STS régionalisés dans le Guide de référence des kits SDK et outils AWS.

Pour plus d’informations sur les points de terminaison AWS STS disponibles, consultez Régions et points de terminaison dans le Guide de l’utilisateur IAM.

SAML

Vous pouvez configurer SAML pour utiliser les points de terminaison AWS STS régionaux. Pour plus d’informations, consultez l’article de blog Comment utiliser des points de terminaison SAML régionaux pour le basculement.

SetSecurityTokenServicePreferencesAPI

Au lieu d’utiliser un point de terminaison AWS STS régional, vous pouvez configurer le point de terminaison global pour AWS STS afin de renvoyer les jetons de session de version 2. Pour ce faire, utilisez l’opération d’API SetSecurityTokenServicePreferences pour configurer votre Compte AWS.

Exemple : commande de la CLI IAM
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
Astuce

Nous vous recommandons d’utiliser les points de terminaison AWS STS régionaux au lieu de cette option. Les points de terminaison régionaux offrent une meilleure disponibilité et des scénarios de basculement.

Fournisseur d’identité personnalisé

Si vous utilisez un fournisseur d’identité personnalisé qui assure la fédération et assume le rôle, utilisez l’une des options précédentes pour le système de fournisseur d’identité parent chargé de générer le jeton de session.

Environnement d’exécution

L’environnement d’exécution des fonctions CloudFront ne prend pas en charge l’évaluation dynamique du code et restreint l’accès au réseau, au système de fichiers, aux variables d’environnement et aux minuteurs. Pour plus d’informations, consultez Fonctions limitées.

Note

Pour utiliser CloudFront KeyValueStore, votre fonction CloudFront doit utiliser l’environnement d’exécution JavaScript 2.0.

Utilisation du calcul

Les fonctions CloudFront ont une limite de temps d'exécution, mesurée en tant qu'utilisation du calcul. L'utilisation du calcul est un nombre compris entre 0 et 100 qui indique la durée d'exécution de la fonction en pourcentage de la durée maximale autorisée. Par exemple, une utilisation du calcul de 35 signifie que la durée d'exécution de la fonction représente 35 % du temps maximum autorisé.

Lorsque vous testez une fonction, la valeur d'utilisation du calcul figure dans la sortie de l'événement test. Pour les fonctions de production, vous pouvez afficher la métrique d'utilisation du calcul dans la page Surveillance de la console CloudFront ou dans CloudWatch.