Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pengaturan distribusi
Nilai berikut berlaku untuk seluruh distribusi.
Topik
Kelas harga
Pilih kelas harga yang sesuai dengan harga maksimum yang ingin Anda bayar untuk CloudFront layanan. Secara default, CloudFront melayani objek Anda dari lokasi tepi di semua CloudFront Wilayah.
Untuk informasi selengkapnya tentang kelas harga dan tentang bagaimana pilihan kelas harga memengaruhi CloudFront kinerja distribusi Anda, lihat CloudFront harga
AWS WAF web ACL
Anda dapat melindungi CloudFront distribusi Anda dengan AWS WAFfirewall aplikasi web yang memungkinkan Anda untuk mengamankan aplikasi web Anda dan APIs memblokir permintaan sebelum mereka mencapai server Anda. Anda bisa Aktifkan AWS WAF untuk distribusi saat membuat atau mengedit CloudFront distribusi.
Secara opsional, Anda nantinya dapat mengonfigurasi perlindungan keamanan tambahan untuk ancaman lain yang spesifik untuk aplikasi Anda di AWS WAF konsol di. https://console.aws.amazon.com/wafv2/
Untuk informasi selengkapnya AWS WAF, lihat Panduan AWS WAF Pengembang.
Nama domain alternatif (CNAMEs)
Opsional. Tentukan satu atau beberapa nama domain yang ingin Anda gunakan URLs untuk objek Anda, bukan nama domain yang CloudFront ditetapkan saat Anda membuat distribusi. Anda harus memiliki nama domain, atau memiliki otorisasi untuk menggunakannya, yang Anda verifikasi dengan menambahkan SSL/TLS sertifikat.
Misalnya, jika Anda menginginkan URL untuk objek tersebut:
/images/image.jpg
Seperti ini:
https://www.example.com/images/image.jpg
Alih-alih seperti ini:
https://d111111abcdef8.cloudfront.net/images/image.jpg
Tambahkan CNAME untuk www.example.com.
penting
Jika Anda menambahkan CNAME untuk www.example.com ke distribusi, Anda juga harus melakukan hal berikut:
-
Buat (atau perbarui) catatan CNAME dengan layanan DNS Anda untuk menjawab pertanyaan
www.example.comuntukd111111abcdef8.cloudfront.net. -
Tambahkan sertifikat CloudFront dari otoritas sertifikat tepercaya (CA) yang mencakup nama domain (CNAME) yang Anda tambahkan ke distribusi Anda, untuk memvalidasi otorisasi Anda untuk menggunakan nama domain.
Anda harus memiliki izin untuk membuat catatan CNAME dengan penyedia layanan DNS untuk domain tersebut. Biasanya, ini berarti bahwa Anda memiliki domain, atau bahwa Anda mengembangkan aplikasi untuk pemilik domain.
Untuk jumlah maksimum nama domain alternatif saat ini yang dapat Anda tambahkan ke distribusi, atau untuk meminta kuota yang lebih tinggi (sebelumnya dikenal sebagai batas), lihat Kuota umum di distribusi.
Untuk informasi selengkapnya tentang nama domain alternatif, lihat Gunakan kustom URLs dengan menambahkan nama domain alternatif (CNAMEs). Untuk informasi lebih lanjut tentang CloudFront URLs, lihatKustomisasi format URL untuk file di CloudFront.
Sertifikat SSL
Jika Anda menentukan nama domain alternatif untuk digunakan dengan distribusi Anda, pilih Sertifikat SSL Kustom, dan kemudian, untuk memvalidasi otorisasi Anda untuk menggunakan nama domain alternatif, pilih sertifikat yang mencakupnya. Jika Anda ingin penampil menggunakan HTTPS untuk mengakses objek Anda, pilih pengaturan yang mendukungnya.
-
CloudFront Sertifikat Default (*.cloudfront.net) - Pilih opsi ini jika Anda ingin menggunakan nama CloudFront domain di URLs untuk objek Anda, seperti.
https://d111111abcdef8.cloudfront.net/image1.jpg -
Sertifikat SSL Kustom - Pilih opsi ini jika Anda ingin menggunakan nama domain Anda sendiri di URLs untuk objek Anda sebagai nama domain alternatif, seperti
https://example.com/image1.jpg. Kemudian pilih sertifikat yang akan digunakan yang mencakup nama domain alternatif. Daftar sertifikat dapat mencakup salah satu dari berikut ini:-
Sertifikat disediakan oleh AWS Certificate Manager
-
Sertifikat yang Anda beli dari otoritas sertifikat pihak ketiga dan diunggah ke ACM
-
Sertifikat yang Anda beli dari otoritas sertifikat pihak ketiga dan diunggah ke toko sertifikat IAM
Jika Anda memilih pengaturan ini, kami sarankan Anda hanya menggunakan nama domain alternatif di objek Anda URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) dan klien menggunakan penampil lama yang tidak mendukung SNI, bagaimana penampil merespons tergantung pada nilai yang Anda pilih untuk Klien yang Didukung:
-
Semua Klien: Penampil menampilkan peringatan karena nama CloudFront domain tidak cocok dengan nama domain dalam SSL/TLS sertifikat Anda.
-
Hanya Klien yang Mendukung Indikasi Nama Server (SNI): CloudFront menjatuhkan koneksi dengan penampil tanpa mengembalikan objek.
-
Dukungan klien SSL kustom
Berlaku hanya jika Anda memilih Custom SSL Certificate (example.com) untuk Sertifikat SSL. Jika Anda menentukan satu atau beberapa nama domain alternatif dan sertifikat SSL khusus untuk distribusi, pilih cara Anda CloudFront ingin menyajikan permintaan HTTPS:
-
Klien yang Mendukung Indikasi Nama Server (SNI) - (Disarankan) – Dengan pengaturan ini, hampir semua browser web modern dan klien dapat terhubung ke distribusi, karena mereka mendukung SNI. Namun, beberapa pemirsa mungkin menggunakan browser web atau klien lama yang tidak mendukung SNI, yang berarti mereka tidak dapat terhubung ke distribusi.
Untuk menerapkan pengaturan ini menggunakan CloudFront API, tentukan
sni-onlydiSSLSupportMethodbidang. Dalam AWS CloudFormation, kolom diberi namaSslSupportMethod(perhatikan berbagai kapitalisasi). -
Dukungan Klien Warisan – Dengan pengaturan ini, browser web dan klien yang lebih lama yang tidak mendukung SNI dapat terhubung ke distribusi. Namun, pengaturan ini akan dikenakan biaya bulanan tambahan. Untuk harga yang tepat, buka halaman CloudFront Harga Amazon
, dan cari halaman untuk SSL khusus IP Khusus. Untuk menerapkan pengaturan ini menggunakan CloudFront API, tentukan
vipdiSSLSupportMethodbidang. Di AWS CloudFormation, bidang diberi namaSslSupportMethod(perhatikan kapitalisasi yang berbeda).
Untuk informasi selengkapnya, lihat Pilih cara CloudFront melayani permintaan HTTPS.
Kebijakan keamanan (versi SSL/TLS minimum)
Tentukan kebijakan keamanan yang ingin Anda gunakan CloudFront untuk koneksi HTTPS dengan pemirsa (klien). Kebijakan keamanan menentukan dua pengaturan:
-
SSL/TLS Protokol minimum yang CloudFront digunakan untuk berkomunikasi dengan pemirsa.
-
Cipher yang CloudFront dapat digunakan untuk mengenkripsi konten yang dikembalikan ke pemirsa.
Untuk informasi lebih lanjut tentang kebijakan keamanan, termasuk protokol dan cipher yang disertakan oleh masing-masing kebijakan, lihat Protokol dan cipher yang didukung antara pemirsa dan CloudFront.
Kebijakan keamanan yang tersedia bergantung pada nilai yang Anda tentukan untuk Sertifikat SSL dan Custom SSL Client Support (dikenal sebagai CloudFrontDefaultCertificate dan SSLSupportMethod di CloudFront API):
-
Ketika Sertifikat SSL adalah CloudFront Sertifikat Default (*.cloudfront.net) (saat
CloudFrontDefaultCertificateberadatruedi API), CloudFront secara otomatis menetapkan kebijakan keamanan ke. TLSv1 -
Jika Sertifikat SSL adalah Sertifikat SSL Kustom (contoh.com) dan Dukungan Klien SSL Kustom adalah Klien yang Mendukung Indikasi Nama Server (SNI) - (Disarankan) (jika
CloudFrontDefaultCertificateadalahfalsedanSSLSupportMethodadalahsni-onlydi API), Anda dapat memilih dari kebijakan keamanan berikut:-
TLSv1.2_2021
-
TLSv1.2_2019
-
TLSv1.2_2018
-
TLSv1.1_2016
-
TLSv1_2016
-
TLSv1
-
-
Saat Sertifikat SSL adalah Sertifikat SSL Khusus (contoh.com) dan Dukungan Klien SSL Khusus adalah Dukungan Klien Warisan (saat
CloudFrontDefaultCertificateadalahfalsedanSSLSupportMethodadalahvipdi API), Anda dapat memilih dari kebijakan keamanan berikut:-
TLSv1
-
SSLv3
Dalam konfigurasi ini, kebijakan keamanan TLSv1 .2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016, dan TLSv1 _2016 tidak tersedia di konsol atau API. CloudFront Jika Anda ingin menggunakan salah satu kebijakan keamanan ini, Anda memiliki opsi berikut:
-
Evaluasi apakah kebutuhan distribusi Anda Dukungan Klien Legacy dengan alamat IP khusus. Jika penampil Anda mendukung indikasi nama server (SNI)
, kami menyarankan agar Anda memperbarui pengaturan Dukungan Klien SSL Kustom distribusi untuk Klien yang Mendukung Indikasi Nama Server (SNI) (tetapkan SSLSupportMethoduntuksni-onlydi API). Hal ini memungkinkan Anda untuk menggunakan kebijakan keamanan TLS yang tersedia, dan juga dapat mengurangi CloudFront biaya. -
catatan
Sebelum Anda menghubungi AWS Support untuk meminta perubahan ini, pertimbangkan hal berikut:
-
Saat Anda menambahkan salah satu kebijakan keamanan ini (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, .1_2016, atau TLSv1 TLSv1 _2016) ke distribusi Dukungan Klien Lama, kebijakan keamanan diterapkan pada semua permintaan penampil non-SNI untuk semua distribusi Dukungan Klien Legacy di akun Anda. AWS Namun, jika pemirsa mengirimkan permintaan SNI ke distribusi dengan Dukungan Klien Warisan, kebijakan keamanan distribusi tersebut akan berlaku. Untuk memastikan bahwa kebijakan keamanan yang Anda inginkan diterapkan pada semua permintaan penampil yang dikirim ke semua distribusi Dukungan Klien Legacy di AWS akun Anda, tambahkan kebijakan keamanan yang diinginkan ke setiap distribusi satu per satu.
-
Menurut definisi, kebijakan keamanan baru tidak mendukung ciphers dan protokol yang sama dengan yang lama. Misalnya, jika Anda memilih untuk meningkatkan kebijakan keamanan distribusi dari TLSv1 ke TLSv1 .1_2016, distribusi itu tidak akan lagi mendukung cipher DES- CBC3 -SHA. Untuk informasi lebih lanjut tentang ciphers dan protokol yang didukung oleh setiap kebijakan keamanan, lihat Protokol dan cipher yang didukung antara pemirsa dan CloudFront.
-
-
Versi HTTP yang didukung
Pilih versi HTTP yang ingin didukung distribusi saat pemirsa berkomunikasi CloudFront.
Untuk penonton dan CloudFront untuk menggunakan HTTP/2, pemirsa harus mendukung TLSv1 .2 atau yang lebih baru, dan Server Name Indication (SNI).
Untuk penonton dan CloudFront untuk menggunakan HTTP/3, pemirsa harus mendukung TLSv1 .3 dan Server Name Indication (SNI). CloudFront mendukung migrasi koneksi HTTP/3 untuk memungkinkan penampil beralih jaringan tanpa kehilangan koneksi. Untuk informasi selengkapnya tentang migrasi koneksi, lihat Migrasi Sambungan
catatan
Untuk informasi selengkapnya tentang cipher TLSv1 .3 yang didukung, lihat. Protokol dan cipher yang didukung antara pemirsa dan CloudFront
catatan
Jika Anda menggunakan Amazon Route 53, Anda dapat menggunakan catatan HTTPS untuk mengizinkan negosiasi protokol sebagai bagian dari pencarian DNS jika klien mendukungnya. Untuk informasi selengkapnya, lihat Create alias resource record set.
Objek akar default
Opsional. Objek yang CloudFront ingin Anda minta dari asal Anda (misalnya,index.html) ketika penampil meminta URL root distribusi (https://www.example.com/), bukan objek dalam distribusi (https://www.example.com/product-description.html) Anda. Menentukan objek akar default menghindari pemaparan konten distribusi Anda.
Panjang maksimum nama adalah 255 karakter. Nama dapat berisi salah satu karakter berikut:
-
A-Z, a-z
-
0-9
-
_ - . * $ / ~ " '
-
&, lulus dan kembali saat
&
Saat Anda menetapkan objek akar default, masukkan nama objek saja, misalnya, index.html. Jangan menambahkan / sebelum nama objek.
Untuk informasi selengkapnya, lihat Tentukan objek root default.
Pencatatan standar
Tentukan apakah Anda CloudFront ingin mencatat informasi tentang setiap permintaan untuk objek dan menyimpan file log. Anda dapat mengaktifkan atau menonaktifkan log kapan saja. Tidak ada biaya tambahan jika Anda mengaktifkan logging, tetapi Anda dapat dikenakan biaya untuk menyimpan dan mengakses file. Anda dapat menghapus log kapan saja.
CloudFront mendukung opsi logging standar berikut:
-
Pencatatan standar (v2) - Anda dapat mengirim log ke tujuan pengiriman, termasuk Amazon CloudWatch Logs, Amazon Data Firehose, dan Amazon Simple Storage Service (Amazon S3).
-
Pencatatan standar (lama) - Anda hanya dapat mengirim log ke bucket Amazon S3.
Awalan log
(Opsional) Jika Anda mengaktifkan logging standar (legacy), tentukan string, jika ada, yang ingin Anda awalan CloudFront ke nama file log akses untuk distribusi ini, misalnya,. exampleprefix/ The trailing slash ( / ) adalah opsional tetapi dianjurkan untuk menyederhanakan browsing file log Anda. Untuk informasi selengkapnya, lihat Konfigurasikan logging standar (warisan).
Pencatatan cookie
Jika Anda CloudFront ingin menyertakan cookie di log akses, pilih Aktif. Jika Anda memilih untuk memasukkan cookie dalam CloudFront log, mencatat semua cookie terlepas dari bagaimana Anda mengonfigurasi perilaku cache untuk distribusi ini: meneruskan semua cookie, tidak meneruskan cookie, atau meneruskan daftar cookie tertentu ke asal.
Amazon S3 tidak memproses cookie, jadi kecuali distribusi Anda juga menyertakan Amazon EC2 atau asal kustom lainnya, kami sarankan Anda memilih Off untuk nilai Cookie Logging.
Untuk informasi selengkapnya tentang cookie, lihat Konten cache berdasarkan cookie.
Aktifkan IPv6
IPv6 adalah versi baru dari protokol IP. Ini adalah pengganti akhirnya IPv4 dan menggunakan ruang alamat yang lebih besar. CloudFront Selalu menanggapi IPv4 permintaan. Jika Anda CloudFront ingin menanggapi permintaan dari alamat IPv4 IP (seperti 192.0.2.44) dan permintaan dari IPv6 alamat (seperti 2001:0 db 8:85 a3: :8a2e: 0370:7334), pilih Aktifkan. IPv6
Secara umum, Anda harus mengaktifkan IPv6 jika Anda memiliki pengguna di IPv6 jaringan yang ingin mengakses konten Anda. Namun, jika Anda menggunakan cookie yang ditandatangani URLs atau ditandatangani untuk membatasi akses ke konten Anda, dan jika Anda menggunakan kebijakan khusus yang menyertakan IpAddress parameter untuk membatasi alamat IP yang dapat mengakses konten Anda, jangan aktifkan. IPv6 Jika Anda ingin membatasi akses ke sebagian konten dengan alamat IP dan tidak membatasi akses ke konten lain (atau membatasi akses tetapi tidak oleh alamat IP), Anda dapat membuat dua distribusi. Untuk informasi tentang membuat URLs ditandatangani menggunakan kebijakan kustom, lihatMembuat URL yang ditandatangani menggunakan kebijakan khusus. Untuk informasi tentang membuat cookie yang ditandatangani dengan menggunakan kebijakan kustom, lihat Tetapkan cookie yang ditandatangani menggunakan kebijakan khusus.
Jika Anda menggunakan catatan sumber daya Route 53 alias diatur untuk mengarahkan lalu lintas ke CloudFront Anda perlu membuat rekaman sumber daya alias kedua jika kedua hal berikut benar:
-
Anda mengaktifkan IPv6 distribusi
-
Anda menggunakan nama domain alternatif di URLs untuk objek Anda
Untuk informasi selengkapnya, lihat Merutekan lalu lintas ke CloudFront distribusi Amazon dengan menggunakan nama domain Anda di Panduan Pengembang Amazon Route 53.
Jika Anda membuat data sumber daya CNAME, baik dengan Route 53 atau dengan layanan DNS lainnya, Anda tidak perlu melakukan perubahan apa pun. CNAME mencatat lalu lintas ke distribusi Anda tanpa memandang format alamat IP penampil.
Jika Anda mengaktifkan IPv6 dan CloudFront mengakses log, c-ip kolom menyertakan nilai dalam IPv4 dan IPv6 format. Untuk informasi selengkapnya, lihat Bidang file log.
catatan
Untuk menjaga ketersediaan pelanggan yang tinggi, CloudFront menanggapi permintaan pemirsa dengan menggunakan IPv4 jika data kami menunjukkan bahwa IPv4 akan memberikan pengalaman pengguna yang lebih baik. Untuk mengetahui persentase permintaan yang CloudFront disajikanIPv6, aktifkan CloudFront pencatatan untuk distribusi Anda dan uraikan c-ip kolom, yang berisi alamat IP penampil yang membuat permintaan. Persentase ini akan tumbuh dari waktu ke waktu, tetapi akan tetap menjadi minoritas lalu lintas karena belum IPv6 didukung oleh semua jaringan pemirsa secara global. Beberapa jaringan pemirsa memiliki IPv6 dukungan yang sangat baik, tetapi yang lain tidak mendukung IPv6 sama sekali. (Jaringan penampil serupa dengan internet rumah atau operator nirkabel Anda.)
Untuk informasi lebih lanjut tentang dukungan kami IPv6, lihat CloudFront FAQ
Komentar
Opsional. Saat membuat distribusi, Anda dapat menyertakan komentar berisi hingga 128 karakter. Anda dapat memperbarui komentar kapan saja.
Status distribusi
Menunjukkan apakah Anda ingin distribusi diaktifkan atau dinonaktifkan setelah diterapkan:
-
Diaktifkan berarti bahwa segera setelah distribusi sepenuhnya diterapkan, Anda dapat menerapkan tautan yang menggunakan nama domain distribusi dan pengguna dapat mengambil konten. Setiap kali distribusi diaktifkan, CloudFront menerima dan menangani setiap permintaan pengguna akhir untuk konten yang menggunakan nama domain yang terkait dengan distribusi tersebut.
Saat Anda membuat, memodifikasi, atau menghapus CloudFront distribusi, perlu waktu untuk perubahan Anda menyebar ke CloudFront database. Permintaan segera untuk informasi tentang distribusi mungkin tidak menunjukkan perubahan tersebut. Propagasi biasanya selesai dalam beberapa menit, tetapi beban sistem tinggi atau partisi jaringan dapat meningkatkan waktu ini.
-
Nonaktif berarti bahwa meskipun distribusi mungkin diterapkan dan siap digunakan, pengguna tidak dapat menggunakannya. Setiap kali distribusi dinonaktifkan, CloudFront tidak menerima permintaan pengguna akhir apa pun yang menggunakan nama domain yang terkait dengan distribusi tersebut. Sampai Anda mengalihkan distribusi dari dinonaktifkan ke diaktifkan (dengan memperbarui konfigurasi distribusi), tidak ada yang dapat menggunakannya.
Anda dapat mengubah distribusi antara dinonaktifkan dan diaktifkan sesering yang Anda inginkan. Ikuti proses untuk memperbarui konfigurasi distribusi. Untuk informasi selengkapnya, lihat Perbarui distribusi.
