Distribution Settings (Impostazioni distribuzione) - Amazon CloudFront
Price Class (Categoria prezzo)AWS WAF ACL WebNomi di dominio alternativi (CNAME)Certificato SSLSupporto client SSL personalizzatoPolicy di sicurezza (versione minima SSL/TLS)Versioni HTTP supportateDefault Root Object (Oggetto root di default)Registrazione di log standardLog Prefix (Prefisso log)Registrazione dei cookieAbilitazione di IPv6 (richieste visualizzatore)Abilitazione di IPv6 per origini personalizzate (richieste origine)CommentoDistribution State (Stato distribuzione)

Distribution Settings (Impostazioni distribuzione)

I seguenti valori si applicano a tutta la distribuzione.

Price Class (Categoria prezzo)

La categoria di prezzo che corrisponde al prezzo massimo che intendi pagare per il servizio CloudFront. Per impostazione predefinita, CloudFront serve gli oggetti da posizioni edge in tutte le aree CloudFront.

Per ulteriori informazioni sulle categorie di prezzo e su come la scelta della categoria di prezzo influisca sulle prestazioni di CloudFront per la distribuzione, consulta Prezzi di Amazon CloudFront.

AWS WAF ACL Web

È possibile proteggere la propria distribuzione CloudFront con AWS WAF un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API per bloccare le richieste prima che raggiungano i server. È possibile effettuare l'operazione Abilitazione di AWS WAF per le distribuzioni quando si crea o si modifica una distribuzione CloudFront.

Facoltativamente, è possibile configurare successivamente protezioni di sicurezza aggiuntive per altre minacce specifiche dell'applicazione nella console AWS WAF all'indirizzo https://console.aws.amazon.com/wafv2/.

Per ulteriori informazioni su AWS WAF, consulta la Guida per lo sviluppatore di AWS WAF.

Nomi di dominio alternativi (CNAME)

Facoltativo. Specifica uno o più nomi di dominio che desideri utilizzare per gli URL dei tuoi oggetti anziché il nome di dominio che CloudFront assegna al momento della creazione della distribuzione. Il nome di dominio deve essere di tua proprietà o devi disporre dell'autorizzazione per utilizzarlo. Per verificarlo, aggiungi un certificato SSL/TLS.

Ad esempio, se desideri l'URL per l'oggetto:

/images/image.jpg

Appaia così:

https://www.example.com/images/image.jpg

Anziché così:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Aggiungi un CNAME per www.example.com.

Importante

Se aggiungi un CNAME per www.example.com alla distribuzione, devi anche eseguire le operazioni seguenti:

  • Crea (o aggiorna) un record CNAME con il servizio DNS per instradare le query per www.example.com a d111111abcdef8.cloudfront.net.

  • Aggiungi un certificato a CloudFront da un'autorità di certificazione (CA) attendibile che copre il nome di dominio (CNAME) che aggiungi alla distribuzione, per convalidare l'autorizzazione a utilizzare il nome di dominio.

Per creare un record CNAME con il provider del servizio DNS per il dominio devi disporre delle autorizzazioni necessarie. Normalmente questo significa che sei il proprietario del dominio o che stai sviluppando un'applicazione per il proprietario del dominio.

Per il numero massimo corrente di nomi di dominio alternativi che puoi aggiungere a una distribuzione o per richiedere una quota più elevata (precedentemente nota come limite), consulta Quote generali sulle distribuzioni.

Per ulteriori informazioni sui nomi di dominio alternativi, consulta Utilizzo di URL personalizzati aggiungendo nomi di dominio alternativi (CNAME). Per ulteriori informazioni sugli URL di CloudFront, vedere Personalizzazione del formato URL per i file in CloudFront.

Certificato SSL

Se hai specificato un nome di dominio alternativo da utilizzare con la distribuzione, scegli Custom SSL Certificate (Certificato SSL personalizzato), quindi, per convalidare l'autorizzazione per utilizzare il nome di dominio alternativo, scegli un certificato che lo copre. Se desideri che i visualizzatori utilizzino HTTPS per accedere ai tuoi oggetti, scegli l'impostazione applicabile.

  • Default CloudFront Certificate (*.cloudfront.net)(Certificato CloudFront di default (*. cloudfront.net)) - Scegli questa opzione se desideri utilizzare il nome di dominio CloudFront negli URL per i tuoi oggetti, ad esempio https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Custom SSL Certificate (Certificato SSL personalizzato) - Scegli questa opzione se desideri utilizzare il tuo nome di dominio negli URL per gli oggetti come un nome di dominio alternativo, ad esempio https://example.com/image1.jpg. Quindi, scegli un certificato da utilizzare che copre il nome di dominio alternativo. L'elenco di certificati può includere i seguenti:

    • Certificati forniti da AWS Certificate Manager

    • Certificati acquistati da un'autorità di certificazione esterna e caricati in ACM

    • Certificati acquistati da un'autorità di certificazione esterna e caricati nello store certificati di IAM

    Se scegli questa impostazione, ti consigliamo di utilizzare solo un nome di dominio alternativo negli URL di oggetti (https://example.com/logo.jpg). Se utilizzi il nome di dominio della distribuzione CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) e un client utilizza un visualizzatore precedente che non supporta SNI, il modo in cui il visualizzatore risponde dipende dal valore scelto per Clients Supported (Client supportati):

    • Tutti i client: il visualizzatore visualizza un avviso poiché il nome di dominio CloudFront non corrisponde a quello nel certificato SSL/TLS.

    • Solo i client che supportano Server Name Indication (SNI): CloudFront abbandona la connessione con il visualizzatore senza restituire l'oggetto.

Supporto client SSL personalizzato

Si applica solo quando si sceglie Certificato SSL personalizzato (example.com) per Certificato SSL. Se sono stati specificati uno o più nomi di dominio alternativi e un certificato SSL personalizzato per la distribuzione, sceglie il modo in cui CloudFront deve servire le richieste HTTPS:

  • Client che supportano SNI (Server Name Indication) - (scelta consigliata): con questa impostazione, praticamente tutti i browser Web e i client moderni possono connettersi alla distribuzione, poiché supportano SNI. Tuttavia, alcuni visualizzatori potrebbero utilizzare browser Web meno recenti o client che non supportano SNI, il che significa che non possono connettersi alla distribuzione.

    Per applicare questa impostazione utilizzando l'API CloudFront, specifica sni-only nel campo SSLSupportMethod. In CloudFormation, il campo è denominato SslSupportMethod (nota la diversa ortografia).

  • Supporto client legacy: con questa impostazione, i browser Web e i client meno recenti che non supportano SNI possono connettersi alla distribuzione. Tuttavia, questa impostazione comporta costi mensili aggiuntivi. Per il prezzo esatto, vai alla pagina Prezzi di Amazon CloudFront e cerca nella pagina SSL personalizzato con IP dedicato.

    Per applicare questa impostazione utilizzando l'API CloudFront, specifica vip nel campo SSLSupportMethod. In CloudFormation, il campo è denominato SslSupportMethod (nota la diversa ortografia).

Per ulteriori informazioni, consulta Scelta del modo in cui CloudFront gestisce le richieste HTTPS.

Policy di sicurezza (versione minima SSL/TLS)

Specifica la policy di sicurezza che CloudFront deve utilizzare per le connessioni HTTPS con i visualizzatori (client). Dalla policy di sicurezza dipendono due impostazioni:

  • Il protocollo SSL/TLS minimo utilizzato da CloudFront per comunicare con i visualizzatori.

  • La crittografia che CloudFront può utilizzare per crittografare i contenuti che restituirà ai visualizzatori

Per ulteriori informazioni sui criteri di sicurezza, compresi i protocolli e le crittografia inclusi, vedere Protocolli e cifrari supportati tra gli visualizzatori e CloudFront.

Le policy di sicurezza disponibili variano a seconda dei valori che hai specificato per SSL Certificate (Certificato SSL) e Custom SSL Client Support (Supporto client SSL personalizzato) (noto come CloudFrontDefaultCertificate e SSLSupportMethod nell'API CloudFront):

  • Quando SSL Certificate (Certificato SSL) è Default CloudFront Certificate (*.cloudfront.net) (Certificato CloudFront predefinito (*. cloudfront.net)), (quando CloudFrontDefaultCertificate è true nell'API), CloudFront imposta automaticamente la policy di sicurezza su TLSv1.

  • Quando Certificato SSL è Certificato SSL personalizzato (example.com) e Supporto client SSL personalizzato è Client che supportano l’indicazione del nome del server (SNI) - (suggerita) (quando nell’API CloudFrontDefaultCertificate è false e SSLSupportMethod è sni-only), puoi scegliere tra le seguenti policy di sicurezza:

    • TLSv1.3_2025

    • TLSv1.2_2025

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Quando Certificato SSL è Certificato SSL personalizzato (example.com) e Supporto client SSL personalizzato è Supporto client legacy (quando nell’API CloudFrontDefaultCertificate è false e SSLSupportMethod è vip), puoi scegliere tra le seguenti policy di sicurezza:

    • TLSv1

    • SSLv3

    In questa configurazione, le policy di sicurezza TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 e TLSv1_2016 non sono disponibili nella console o nell’API CloudFront. Se si desidera utilizzare uno di questi criteri di sicurezza, sono disponibili le seguenti opzioni:

    • Valutare se la distribuzione necessita di supporto per i client legacy con indirizzi IP dedicati. Se i visualizzatori supportano l’indicazione del nome server (SNI), si consiglia di aggiornare l’impostazione Supporto client SSL personalizzato della distribuzione in Client che supportano l’indicazione del nome server (SNI) (impostare SSLSupportMethod su sni-only nell’API). Ciò consente di utilizzare uno qualsiasi dei criteri di sicurezza TLS disponibili e può anche ridurre i costi di CloudFront.

    • Se è necessario mantenere il supporto client legacy con indirizzi IP dedicati, puoi richiedere uno degli altri criteri di protezione TLS (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 o TLSv1_2016) creando un caso nel Centro assistenza AWS.

      Nota

      Prima di contattare AWS Support per richiedere questa modifica, considerare quanto segue:

      • Quando si aggiunge una di queste policy di sicurezza (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 o TLSv1_2016) a una distribuzione di supporto di client legacy, la policy di sicurezza viene applicata a tutte le richieste di visualizzatore non SNI per tutte le distribuzioni di supporto client legacy nell’account AWS. Tuttavia, quando i visualizzatori inviano richieste SNI a una distribuzione con il supporto client legacy, vengono applicate le policy di sicurezza di tale distribuzione. Per assicurarsi che le policy di sicurezza desiderate vengano applicate a tutte le richieste dei visualizzatori inviate a tutte le distribuzioni del supporto client legacy nell'account AWS, aggiungere le policy desiderate a ciascuna distribuzione singolarmente.

      • Per definizione, la nuova policy di sicurezza non supporta gli stessi protocolli e la stessa crittografia di quella precedente. Ad esempio, se si sceglie di aggiornare le policy di protezione di una distribuzione da TLSv1 a TLSv1.1_2016, tale distribuzione non supporterà più la crittografia DES-CBC3-SHA. Per ulteriori informazioni sui crittografia e protocolli supportati da ogni policy di protezione, vedere Protocolli e cifrari supportati tra gli visualizzatori e CloudFront.

Versioni HTTP supportate

Scegliere le versioni HTTP che si desidera vengano supportate dalla distribuzione quando i visualizzatori comunicano con CloudFront.

Per utilizzare HTTP/2, i visualizzatori e CloudFront devono supportare TLSv1.2 o versioni successive e Server Name Indication (SNI).

Per utilizzare HTTP/3, i visualizzatori e CloudFront devono supportare TLSv1.3 e Server Name Indication (SNI). CloudFront supporta la migrazione della connessione HTTP/3 per consentire al visualizzatore di cambiare rete senza perdere la connessione. Per ulteriori informazioni sulla migrazione della connessione, consultare Migrazione della connessione in RFC 9000.

Nota

Per ulteriori informazioni sulla crittografia TLS1.3 supportata, consulta Protocolli e cifrari supportati tra gli visualizzatori e CloudFront.

Nota

Se utilizzi Amazon Route 53, puoi utilizzare i record HTTPS per consentire la negoziazione del protocollo come parte della ricerca DNS, se supportata dal client. Per ulteriori informazioni, consulta Create alias resource record set.

Default Root Object (Oggetto root di default)

Facoltativo. L'oggetto che CloudFront deve richiedere dall'origine (ad esempio, index.html) quando un visualizzatore richiede l'URL radice per la distribuzione (https://www.example.com/) anziché un oggetto nella distribuzione (https://www.example.com/product-description.html). La specifica di un oggetto root di default evita l'esposizione del contenuto della distribuzione.

La lunghezza massima del nome è 255 caratteri. Il nome può contenere uno qualsiasi dei seguenti caratteri:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, passato e restituito come &

Quando specifichi l'oggetto root di default, immetti solo il nome dell'oggetto, ad esempio, index.html. Non aggiungere una / prima del nome dell'oggetto.

Per ulteriori informazioni, consulta Specifica di un oggetto root predefinito.

Registrazione di log standard

Specifica se CloudFront deve registrare le informazioni su ogni richiesta per un oggetto e archiviare i file di log. Puoi attivare o disattivare la registrazione in qualsiasi momento. L’abilitazione della registrazione di log non comporta alcun costo aggiuntivo, ma potrebbero essere addebitati costi per l’archiviazione e l’accesso ai file. Puoi eliminare i log in qualsiasi momento.

CloudFront supporta le seguenti opzioni di registrazione di log standard:

Log Prefix (Prefisso log)

(Facoltativo) Se abiliti la registrazione di log standard (legacy), specifica la stringa, se presente, che CloudFront deve anteporre ai nomi dei file di log di accesso per questa distribuzione, ad esempio exampleprefix/. La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Configurazione della registrazione di log standard (legacy).

Registrazione dei cookie

Se desideri che CloudFront includa cookie nei log di accesso, scegli On. Se scegli di includere cookie nei log, CloudFront registra tutti i cookie indipendentemente dal tipo di configurazione dei comportamenti cache per questa distribuzione: inoltro di tutti i cookie, inoltro di nessun cookie o inoltro di un elenco specificato di cookie all'origine.

Amazon S3 non elabora cookie, di conseguenza, a meno che la tua distribuzione non includa anche un origine Amazon EC2 o un'altra origine personalizzata, ti consigliamo di scegliere Off per il valore di Cookie Logging (Registrazione cookie).

Per ulteriori informazioni sui cookie, consulta Caching dei contenuti basati su cookie.

Abilitazione di IPv6 (richieste visualizzatore)

Se CloudFront deve rispondere alle richieste visualizzatore dagli indirizzi IP IPv4 e IPv6, seleziona Abilita IPv6. Per ulteriori informazioni, consulta Abilitazione di IPv6 per distribuzioni CloudFront.

Abilitazione di IPv6 per origini personalizzate (richieste origine)

Quando utilizzi un’origine personalizzata (escluse le origini Amazon S3 e VPC), puoi personalizzare le impostazioni dell’origine per la distribuzione in modo da scegliere in che modo CloudFront si connette all’origine utilizzando indirizzi IPv4 o IPv6. Per ulteriori informazioni, consulta Abilitazione di IPv6 per distribuzioni CloudFront.

Commento

Facoltativo. Quando crei una distribuzione, puoi includere un commento di 128 caratteri al massimo. Puoi aggiornare il commento in qualsiasi momento.

Distribution State (Stato distribuzione)

Indica se intendi attivare o disattivare la distribuzione implementata:

  • Enabled (Attivata) significa che subito dopo l'implementazione della distribuzione, puoi distribuire i collegamenti che utilizzano il nome di dominio della distribuzione e gli utenti possono recuperare il contenuto. Ogni volta che una distribuzione è attivata, CloudFront accetta e gestisce tutte le richieste utente finale di contenuto che utilizzano il nome di dominio associato a quella distribuzione.

    Quando crei, modifichi o elimini una distribuzione CloudFront, la propagazione delle modifiche al database di CloudFront richiede un certo tempo. Una richiesta di informazioni immediata su una distribuzione potrebbe non visualizzare la modifica. La propagazione in genere viene completata in pochi minuti, ma una partizione di rete o un carico di sistema elevato potrebbe aumentare il tempo dell'operazione.

  • Disabled (Disattivata) significa che anche se la distribuzione è implementata e pronta all'uso, gli utenti non possono utilizzarla. Ogni volta che una distribuzione è disattivata, CloudFront non accetta alcuna richiesta utente finale che utilizza il nome di dominio associato a quella distribuzione. Fino a che non modifichi lo stato della distribuzione da Disabled (Disattivata) a Enabled (Attivata) (aggiornando la configurazione della distribuzione), nessuno può utilizzare la distribuzione.

Puoi passare da uno stato all'altro della distribuzione tutte le volte che lo desideri. Segui la procedura di aggiornamento della configurazione di una distribuzione. Per ulteriori informazioni, consulta Aggiornamento di una distribuzione.