Distribution Settings (Impostazioni distribuzione) - Amazon CloudFront
Price Class (Categoria prezzo)AWS WAF ACL webNomi di dominio alternativi () CNAMEsCertificato SSLSupporto client SSL personalizzatoPolitica di sicurezza (versione minima SSL/TLS)Versioni HTTP supportateDefault Root Object (Oggetto root di default)Registrazione standardLog Prefix (Prefisso log)Registrazione dei cookieAbilita IPv6CommentoDistribution State (Stato distribuzione)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Distribution Settings (Impostazioni distribuzione)

I seguenti valori si applicano a tutta la distribuzione.

Price Class (Categoria prezzo)

Scegli la classe di prezzo corrispondente al prezzo massimo che desideri pagare per il CloudFront servizio. Per impostazione predefinita, CloudFront serve gli oggetti da posizioni periferiche in tutte le CloudFront regioni.

Per ulteriori informazioni sulle classi di prezzo e su come la scelta della classe di prezzo influisce sulle CloudFront prestazioni della distribuzione, consulta la pagina CloudFront dei prezzi.

AWS WAF ACL web

Puoi proteggere la tua CloudFront distribuzione con AWS WAFun firewall per applicazioni Web che ti consente di proteggere le tue applicazioni Web e di APIs bloccare le richieste prima che raggiungano i tuoi server. Puoi farlo Abilita AWS WAF per le distribuzioni quando crei o modifichi una CloudFront distribuzione.

Facoltativamente, è possibile configurare successivamente protezioni di sicurezza aggiuntive per altre minacce specifiche dell'applicazione nella AWS WAF console all'indirizzo. https://console.aws.amazon.com/wafv2/

Per ulteriori informazioni in merito AWS WAF, consulta la Guida per gli AWS WAF sviluppatori.

Nomi di dominio alternativi () CNAMEs

Facoltativo. Specificate uno o più nomi di dominio che desiderate utilizzare URLs per i vostri oggetti anziché il nome di dominio assegnato al momento della creazione della distribuzione. CloudFront È necessario possedere il nome di dominio o disporre dell'autorizzazione per utilizzarlo, cosa che si verifica aggiungendo un SSL/TLS certificato.

Ad esempio, se desideri l'URL per l'oggetto:

/images/image.jpg

Appaia così:

https://www.example.com/images/image.jpg

Anziché così:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Aggiungi un CNAME per www.example.com.

Importante

Se aggiungi un CNAME per www.example.com alla distribuzione, devi anche eseguire le operazioni seguenti:

  • Crea (o aggiorna) un record CNAME con il servizio DNS per instradare le query per www.example.com a d111111abcdef8.cloudfront.net.

  • Aggiungi un certificato rilasciato CloudFront da un'autorità di certificazione (CA) affidabile che copra il nome di dominio (CNAME) che aggiungi alla tua distribuzione, per convalidare l'autorizzazione all'uso del nome di dominio.

Per creare un record CNAME con il provider del servizio DNS per il dominio devi disporre delle autorizzazioni necessarie. Normalmente questo significa che sei il proprietario del dominio o che stai sviluppando un'applicazione per il proprietario del dominio.

Per il numero massimo corrente di nomi di dominio alternativi che puoi aggiungere a una distribuzione o per richiedere una quota più elevata (precedentemente nota come limite), consulta Quote generali sulle distribuzioni.

Per ulteriori informazioni sui nomi di dominio alternativi, consulta Usa custom URLs aggiungendo nomi di dominio alternativi () CNAMEs. Per ulteriori informazioni su CloudFront URLs, consulta. Personalizza il formato URL per i file in CloudFront

Certificato SSL

Se hai specificato un nome di dominio alternativo da utilizzare con la distribuzione, scegli Custom SSL Certificate (Certificato SSL personalizzato), quindi, per convalidare l'autorizzazione per utilizzare il nome di dominio alternativo, scegli un certificato che lo copre. Se desideri che i visualizzatori utilizzino HTTPS per accedere ai tuoi oggetti, scegli l'impostazione applicabile.

  • CloudFront Certificato predefinito (*.cloudfront.net): scegli questa opzione se desideri utilizzare il nome di CloudFront dominio presente nel campo URLs per i tuoi oggetti, ad esempio. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Certificato SSL personalizzato: scegli questa opzione se desideri utilizzare il tuo nome di dominio URLs per i tuoi oggetti come nome di dominio alternativo, ad esempio. https://example.com/image1.jpg Quindi, scegli un certificato da utilizzare che copre il nome di dominio alternativo. L'elenco di certificati può includere i seguenti:

    • Certificati forniti da AWS Certificate Manager

    • Certificati acquistati da un'autorità di certificazione esterna e caricati in ACM

    • Certificati acquistati da un'autorità di certificazione esterna e caricati nello store certificati di IAM

    Se scegli questa impostazione, ti consigliamo di utilizzare solo un nome di dominio alternativo nell'oggetto URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) e un client utilizza un visualizzatore precedente che non supporta SNI. La risposta del visualizzatore dipende dal valore che scegli per Clients Supported:

    • Tutti i client: il visualizzatore visualizza un avviso perché il nome di dominio non corrisponde al nome di dominio nel certificato. CloudFront SSL/TLS

    • Solo client che supportano Server Name Indication (SNI): CloudFront interrompe la connessione con il visualizzatore senza restituire l'oggetto.

Supporto client SSL personalizzato

Si applica solo quando si sceglie Certificato SSL personalizzato (example.com) per Certificato SSL. Se hai specificato uno o più nomi di dominio alternativi e un certificato SSL personalizzato per la distribuzione, scegli come gestire le richieste HTTPS: CloudFront

  • Client che supportano SNI (Server Name Indication) - (scelta consigliata): con questa impostazione, praticamente tutti i browser Web e i client moderni possono connettersi alla distribuzione, poiché supportano SNI. Tuttavia, alcuni visualizzatori potrebbero utilizzare browser Web meno recenti o client che non supportano SNI, il che significa che non possono connettersi alla distribuzione.

    Per applicare questa impostazione utilizzando l' CloudFront API, specifica sni-only nel SSLSupportMethod campo. In AWS CloudFormation, il campo è denominato SslSupportMethod (nota il diverso formato maiuscolo/minuscolo).

  • Supporto client legacy: con questa impostazione, i browser Web e i client meno recenti che non supportano SNI possono connettersi alla distribuzione. Tuttavia, questa impostazione comporta costi mensili aggiuntivi. Per il prezzo esatto, vai alla pagina CloudFront dei prezzi di Amazon e cerca SSL personalizzato con IP dedicato.

    Per applicare questa impostazione utilizzando l' CloudFront API, specifica vip nel SSLSupportMethod campo. In AWS CloudFormation, il campo è denominato SslSupportMethod (notate le diverse lettere maiuscole).

Per ulteriori informazioni, consulta Scegli in che modo CloudFront vengono servite le richieste HTTPS.

Politica di sicurezza (versione minima SSL/TLS)

Specificate la politica di sicurezza che desiderate utilizzare CloudFront per le connessioni HTTPS con i visualizzatori (client). Dalla policy di sicurezza dipendono due impostazioni:

  • Il SSL/TLS protocollo minimo CloudFront utilizzato per comunicare con gli spettatori.

  • I codici che è CloudFront possibile utilizzare per crittografare il contenuto restituito agli utenti.

Per ulteriori informazioni sui criteri di sicurezza, compresi i protocolli e le crittografia inclusi, vedere Protocolli e cifrari supportati tra visualizzatori e CloudFront.

Le politiche di sicurezza disponibili dipendono dai valori specificati per SSL Certificate e Custom SSL Client Support (noti come CloudFrontDefaultCertificate e SSLSupportMethod presenti nell' CloudFront API):

  • Quando il certificato SSL è un CloudFront certificato predefinito (*.cloudfront.net) (quando CloudFrontDefaultCertificate è presente true nell'API), imposta automaticamente la politica di sicurezza su. CloudFront TLSv1

  • Quando SSL Certificate (Certificato SSL) è Custom SSL Certificate (example.com) (Certificato SSL personalizzato (example.com)) e Custom SSL Client Support (Supporto client SSL personalizzato) è Clients that Support Server Name Indication (SNI) - (Recommended) (Client che supportano l'indicazione del nome del server (SNI) - (scelta suggerita) (quando nell'API CloudFrontDefaultCertificate è false e SSLSupportMethod è sni-only), è possibile scegliere tra le seguenti policy di sicurezza:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Quando SSL Certificate (Certificato SSL) è Custom SSL Certificate (example.com) (Certificato SSL personalizzato (example.com) e Custom SSL Client Support (Supporto client SSL personalizzato) è Legacy Clients Support (Supporto client legacy) (quando nell'API CloudFrontDefaultCertificate è false e SSLSupportMethod è vip), è possibile scegliere tra le seguenti policy di sicurezza:

    • TLSv1

    • SSLv3

    In questa configurazione, le politiche di sicurezza TLSv1 .2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 e _2016 non sono disponibili nella console o nell'API. TLSv1 CloudFront Se si desidera utilizzare uno di questi criteri di sicurezza, sono disponibili le seguenti opzioni:

    • Valutare se la distribuzione necessita di supporto per i client legacy con indirizzi IP dedicati. Se i visualizzatori supportano l'indicazione del nome server (SNI), si consiglia di aggiornare l'impostazione di Custom SSL Client Support (Supporto client SSL personalizzato) della distribuzione in Clients that Support Server Name Indication (SNI) (Client che supportano l'indicazione del nome server (SNI)) (impostare SSLSupportMethod su sni-only nell'API). Ciò consente di utilizzare qualsiasi politica di sicurezza TLS disponibile e può anche ridurre i costi. CloudFront

    • Se devi mantenere Legacy Clients Support con indirizzi IP dedicati, puoi richiedere una delle altre politiche di sicurezza TLS (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 o _2016) creando un caso nel Support Center. TLSv1 AWS

      Nota

      Prima di contattare AWS Support per richiedere questa modifica, considera quanto segue:

      • Quando aggiungi una di queste politiche di sicurezza (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, .1_2016 o TLSv1 TLSv1 _2016) a una distribuzione Legacy Clients Support, la politica di sicurezza viene applicata a tutte le richieste di visualizzatori non SNI per tutte le distribuzioni Legacy Clients Support del tuo account. AWS Tuttavia, quando i visualizzatori inviano richieste SNI a una distribuzione con il supporto client legacy, vengono applicate le policy di sicurezza di tale distribuzione. Per assicurarti che la politica di sicurezza desiderata venga applicata a tutte le richieste dei visualizzatori inviate a tutte le distribuzioni Legacy Clients Support del tuo AWS account, aggiungi la politica di sicurezza desiderata a ciascuna distribuzione singolarmente.

      • Per definizione, la nuova policy di sicurezza non supporta gli stessi protocolli e la stessa crittografia di quella precedente. Ad esempio, se scegli di aggiornare la politica di sicurezza di una distribuzione TLSv1 da TLSv1 .1_2016, tale distribuzione non supporterà più il codice DES- -SHA. CBC3 Per ulteriori informazioni sui crittografia e protocolli supportati da ogni policy di protezione, vedere Protocolli e cifrari supportati tra visualizzatori e CloudFront.

Versioni HTTP supportate

Scegli le versioni HTTP che desideri che la tua distribuzione supporti quando gli spettatori comunicano con. CloudFront

Per i visualizzatori e CloudFront per utilizzare HTTP/2, i visualizzatori devono supportare TLSv1 .2 o versioni successive e Server Name Indication (SNI).

Per i visualizzatori e CloudFront per utilizzare HTTP/3, i visualizzatori devono supportare .3 e Server Name Indication (SNI). TLSv1 CloudFront supporta la migrazione della connessione HTTP/3 per consentire allo spettatore di cambiare rete senza perdere la connessione. Per ulteriori informazioni sulla migrazione della connessione, consultare Migrazione della connessione in RFC 9000.

Nota

Per ulteriori informazioni sui cifrari TLSv1 .3 supportati, consulta. Protocolli e cifrari supportati tra visualizzatori e CloudFront

Nota

Se utilizzi Amazon Route 53, puoi utilizzare i record HTTPS per consentire la negoziazione del protocollo come parte della ricerca DNS, se il client la supporta. Per ulteriori informazioni, consulta Create alias resource record set.

Default Root Object (Oggetto root di default)

Facoltativo. L'oggetto che desideri richiedere CloudFront alla tua origine (ad esempio,index.html) quando un visualizzatore richiede l'URL principale della tua distribuzione (https://www.example.com/) anziché un oggetto nella tua distribuzione (). https://www.example.com/product-description.html La specifica di un oggetto root di default evita l'esposizione del contenuto della distribuzione.

La lunghezza massima del nome è 255 caratteri. Il nome può contenere uno qualsiasi dei seguenti caratteri:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, passato e restituito come &

Quando specifichi l'oggetto root di default, immetti solo il nome dell'oggetto, ad esempio, index.html. Non aggiungere una / prima del nome dell'oggetto.

Per ulteriori informazioni, consulta Specificare un oggetto radice predefinito.

Registrazione standard

Specificate se desiderate CloudFront registrare le informazioni su ogni richiesta di un oggetto e memorizzare i file di registro. Puoi attivare o disattivare la registrazione in qualsiasi momento. Non sono previsti costi aggiuntivi se si abilita la registrazione, ma è possibile che vengano addebitati costi per l'archiviazione e l'accesso ai file. Puoi eliminare i log in qualsiasi momento.

CloudFront supporta le seguenti opzioni di registrazione standard:

Log Prefix (Prefisso log)

(Facoltativo) Se abiliti la registrazione standard (legacy), specifica l'eventuale stringa che desideri aggiungere come prefisso CloudFront ai nomi dei file di log di accesso per questa distribuzione, ad esempio. exampleprefix/ La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Configurazione della registrazione standard (legacy).

Registrazione dei cookie

Se desideri includere CloudFront i cookie nei log di accesso, scegli Attivato. Se scegli di includere i cookie nei CloudFront log, registra tutti i cookie indipendentemente da come configuri i comportamenti della cache per questa distribuzione: inoltra tutti i cookie, non inoltra nessun cookie o inoltra un elenco specifico di cookie all'origine.

Amazon S3 non elabora i cookie, quindi a meno che la tua distribuzione non includa anche un Amazon EC2 o un'altra origine personalizzata, ti consigliamo di scegliere Off per il valore di Cookie Logging.

Per ulteriori informazioni sui cookie, consulta Contenuto della cache basato sui cookie.

Abilita IPv6

IPv6 è una nuova versione del protocollo IP. È l'eventuale sostituto IPv4 e utilizza uno spazio di indirizzi più ampio. CloudFront risponde sempre alle richieste. IPv4 Se desideri rispondere CloudFront alle richieste provenienti da indirizzi IPv4 IP (come 192.0.2.44) e alle richieste provenienti da IPv6 indirizzi (come 2001:0 db 8:85 a3: :8a2e: 0370:7334), seleziona Abilita. IPv6

In generale, dovresti abilitarlo se hai utenti sulle reti che desiderano accedere ai tuoi contenuti. IPv6 IPv6 Tuttavia, se utilizzi cookie firmati URLs o firmati per limitare l'accesso ai tuoi contenuti e se utilizzi una politica personalizzata che include il IpAddress parametro per limitare gli indirizzi IP che possono accedere ai tuoi contenuti, non abilitarli IPv6. Se intendi limitare l'accesso a una parte del tuo contenuto in base all'indirizzo IP e non limitare l'accesso ad altro contenuto (o limitare l'accesso ma non in base all'indirizzo IP), puoi creare due distribuzioni. Per informazioni sulla creazione di documenti URLs firmati utilizzando una politica personalizzata, consultaCrea un URL firmato utilizzando una politica personalizzata. Per informazioni sulla creazione di cookie firmati utilizzando una policy personalizzata, consulta Imposta i cookie firmati utilizzando una politica personalizzata.

Se utilizzi un record di risorse alias Route 53 impostato per indirizzare il traffico verso la tua CloudFront distribuzione, devi creare un secondo set di record di risorse alias quando entrambe le seguenti condizioni sono vere:

  • Si abilita IPv6 la distribuzione

  • Stai usando nomi di dominio alternativi URLs per i tuoi oggetti

Per ulteriori informazioni, consulta Routing del traffico verso una CloudFront distribuzione Amazon utilizzando il tuo nome di dominio nella Amazon Route 53 Developer Guide.

Se hai creato un set di record di risorsa CNAME, con Route 53; o con un altro servizio DNS, non è necessaria alcuna modifica. Un record CNAME instrada il traffico alla distribuzione indipendentemente dal formato dell'indirizzo IP della richiesta visualizzatore.

Se abiliti IPv6 e CloudFront accedi ai log, la c-ip colonna include i valori IPv4 e IPv6 il formato. Per ulteriori informazioni, consulta Campi del file di registro.

Nota

Per mantenere un'elevata disponibilità dei clienti, CloudFront risponde alle richieste degli utenti utilizzando IPv4 se i nostri dati suggeriscono che ciò IPv4 fornirà un'esperienza utente migliore. Per scoprire la percentuale di richieste CloudFront in corsoIPv6, abilita la CloudFront registrazione per la tua distribuzione e analizza la c-ip colonna, che contiene l'indirizzo IP del visualizzatore che ha effettuato la richiesta. Questa percentuale dovrebbe aumentare nel tempo, ma rimarrà una minoranza del traffico in quanto non IPv6 è ancora supportata da tutte le reti di spettatori a livello globale. Alcune reti di spettatori offrono un IPv6 supporto eccellente, mentre altre non lo supportano IPv6 affatto. (una rete di visualizzatori è analoga all'operatore Internet o wireless).

Per ulteriori informazioni sulla nostra assistenza per IPv6, consulta le CloudFront domande frequenti. Per informazioni sull'abilitazione dei log di accesso, consulta i campi Registrazione standard eLog Prefix (Prefisso log).

Commento

Facoltativo. Quando crei una distribuzione, puoi includere un commento di 128 caratteri al massimo. Puoi aggiornare il commento in qualsiasi momento.

Distribution State (Stato distribuzione)

Indica se intendi attivare o disattivare la distribuzione implementata:

  • Enabled (Attivata) significa che subito dopo l'implementazione della distribuzione, puoi distribuire i collegamenti che utilizzano il nome di dominio della distribuzione e gli utenti possono recuperare il contenuto. Ogni volta che una distribuzione è attivata, CloudFront accetta e gestisce tutte le richieste utente finale di contenuto che utilizzano il nome di dominio associato a quella distribuzione.

    Quando si crea, si modifica o si elimina una CloudFront distribuzione, è necessario del tempo prima che le modifiche si propaghino nel CloudFront database. Una richiesta di informazioni immediata su una distribuzione potrebbe non visualizzare la modifica. La propagazione in genere viene completata in pochi minuti, ma una partizione di rete o un carico di sistema elevato potrebbe aumentare il tempo dell'operazione.

  • Disabled (Disattivata) significa che anche se la distribuzione è implementata e pronta all'uso, gli utenti non possono utilizzarla. Ogni volta che una distribuzione è disabilitata, CloudFront non accetta alcuna richiesta dell'utente finale che utilizza il nome di dominio associato a quella distribuzione. Fino a che non modifichi lo stato della distribuzione da Disabled (Disattivata) a Enabled (Attivata) (aggiornando la configurazione della distribuzione), nessuno può utilizzare la distribuzione.

Puoi passare da uno stato all'altro della distribuzione tutte le volte che lo desideri. Segui la procedura di aggiornamento della configurazione di una distribuzione. Per ulteriori informazioni, consulta Aggiornamento di una distribuzione.