배포 설정 - Amazon CloudFront
요금 계층AWS WAF 웹 ACL대체 도메인 이름(CNAME)SSL 인증서사용자 지정 SSL 클라이언트 지원보안 정책(최소 SSL/TLS 버전)지원되는 HTTP 버전기본 루트 객체표준 로깅로그 접두사쿠키 로깅IPv6 사용설명배포 상태

배포 설정

다음 값들이 전체 배포에 적용됩니다.

요금 계층

CloudFront 서비스를 위해 지급하려는 최고가에 해당하는 요금 계층을 선택합니다. 기본적으로 CloudFront는 모든 CloudFront 리전의 엣지 로케이션에서 객체를 제공합니다.

가격 등급과 가격 등급 선택이 배포를 위한 CloudFront 성능에 미치는 영향에 대한 자세한 내용은 CloudFront 요금제를 참조합니다.

AWS WAF 웹 ACL

웹 애플리케이션 및 API를 보호하여 요청이 서버에 도달하기 전에 요청을 차단할 수 있는 웹 애플리케이션 방화벽인 AWS WAF를 사용하여 CloudFront 배포를 보호할 수 있습니다. CloudFront 배포를 생성하거나 편집할 때 배포에 AWS WAF 활성화할 수 있습니다.

선택적으로 나중에 AWS WAF 콘솔(https://console.aws.amazon.com/wafv2/)에서 애플리케이션과 관련된 다른 위협에 대한 추가 보안 보호를 구성할 수 있습니다.

AWS WAF에 대한 자세한 내용은 AWS WAF개발자 안내서 단원을 참조하십시오.

대체 도메인 이름(CNAME)

선택. 사용자가 배포를 만들 때 CloudFront에서 할당하는 도메인 이름 대신 객체의 URL에 사용할 하나 이상의 도메인 이름을 지정합니다. 도메인 이름을 소유하거나, 도메인 이름을 사용할 권한이 있어야 합니다. 사용 권한은 SSL/TLS 인증서를 추가하여 확인합니다.

예를 들어 객체의 URL이 아래와 같은 경우

/images/image.jpg

아래와 같이 변경하고

https://www.example.com/images/image.jpg

아래와 같이 변경하지 않으려면

https://d111111abcdef8.cloudfront.net/images/image.jpg

www.example.com에 대한 CNAME을 추가합니다.

중요

배포에 www.example.com에 대한 CNAME을 추가하는 경우, 다음도 수행해야 합니다.

  • DNS 서비스로 CNAME 레코드를 만들거나 업데이트해 www.example.com에 대한 쿼리를 d111111abcdef8.cloudfront.net로 라우팅합니다.

  • 배포에 추가하는 도메인 이름(CNAME)이 포함된 신뢰할 수 있는 인증 기관(CA)의 인증서를 CloudFront에 추가하여 도메인 이름을 사용할 권한을 검증합니다.

도메인에 대한 DNS 서비스 공급자를 통해 CNAME 레코드를 만들려면 권한이 있어야 합니다. 일반적으로 이 경우 도메인을 소유하고 있거나, 도메인 소유자를 위해 애플리케이션을 개발하는 중일 수도 있습니다.

현재 하나의 배포에 추가할 수 있는 대체 도메인 이름의 최대 수를 살펴보고 더 높은 할당량(이전에는 제한이라고 함)을 요청하려면, 배포의 일반 할당량 단원을 참조하세요.

대체 도메인 이름에 대한 자세한 내용은 대체 도메인 이름(CNAME)을 추가하여 사용자 지정 URL 사용 단원을 참조하십시오. CloudFront URL에 대한 자세한 내용은 CloudFront에서 파일에 대한 URL 형식 사용자 지정 단원을 참조하세요.

SSL 인증서

배포에 사용할 대체 도메인 이름을 지정한 경우, Custom SSL Certificate(사용자 지정 SSL 인증서)를 선택한 후 대체 도메인 이름을 사용할 권한을 검증하고, 대체 도메인 이름이 포함된 인증서를 선택합니다. 최종 사용자가 HTTPS를 사용하여 객체에 액세스하게 하려는 경우, 이를 지원하는 설정을 선택합니다.

  • 기본 CloudFront 인증서(*.cloudfront.net)(Default CloudFront Certificate (*.cloudfront.net)) - CloudFront 도메인 이름을 객체(예: https://d111111abcdef8.cloudfront.net/image1.jpg)의 URL에 사용하려는 경우, 이 옵션을 선택합니다.

  • 사용자 정의 SSL 인증서(Custom SSL Certificate) - 자체 도메인 이름을 객체의 URL에 대체 도메인 이름(예: https://example.com/image1.jpg)으로 사용하려는 경우, 이 옵션을 선택합니다. 그런 다음 대체 도메인 이름이 포함된 사용할 인증서를 선택합니다. 인증서 목록에는 다음이 포함될 수 있습니다.

    • AWS Certificate Manager에서 제공하는 인증서

    • 서드 파티 인증 기관으로부터 구매했고 ACM에 업로드한 인증서

    • 서드 파티 인증 기관으로부터 구매했고 IAM 인증서 스토어에 업로드한 인증서

    이 설정을 선택한 경우 대체 도메인 이름만 객체 URL에 사용하는 것이 좋습니다(https://example.com/logo.jpg). CloudFront 배포 도메인 이름(https://d111111abcdef8.cloudfront.net/logo.jpg)을 사용하고 클라이언트가 SNI를 지원하지 않는 이전 최종 사용자를 사용하는 경우, 최종 사용자가 응답하는 방식은 지원되는 클라이언트(Clients Supported)에서 선택하는 값에 따라 달라집니다.

    • 모든 클라이언트(All Clients): CloudFront 도메인 이름이 SSL/TLS 인증서의 도메인 이름과 일치하지 않으므로 최종 사용자에게 경고가 표시됩니다.

    • SNI(서버 이름 표시)를 지원하는 클라이언트만(Only Clients that Support Server Name Indication (SNI)): CloudFront에서 객체를 반환하지 않고 해당 최종 사용자와의 연결을 끊습니다.

사용자 지정 SSL 클라이언트 지원

SSL 인증서에 대해 사용자 정의 SSL 인증서(example.com)를 선택한 경우에만 적용됩니다. 배포에 대해 하나 이상의 대체 도메인 이름과 사용자 정의 SSL 인증서를 지정한 경우 CloudFront에서 HTTPS 요청을 제공할 방법을 선택합니다.

  • SNI(서버 이름 표시)를 지원하는 클라이언트 - (권장) - 이 설정을 사용하면 거의 모든 최신 웹 브라우저와 클라이언트가 SNI를 지원하므로 배포에 연결할 수 있습니다. 그러나 일부 최종 사용자는 SNI를 지원하지 않는 이전 웹 브라우저나 클라이언트를 사용할 수 있으므로 배포에 연결할 수 없습니다.

    CloudFront API를 사용하여 이 설정을 적용하려면 SSLSupportMethod 필드에서 sni-only를 지정합니다. AWS CloudFormation에서 필드의 이름은 SslSupportMethod입니다(다른 대소문자에 유의).

  • 레거시 클라이언트 지원 - 이 설정을 사용하면 SNI를 지원하지 않는 이전 웹 브라우저와 클라이언트가 배포에 연결할 수 있습니다. 그러나 이 설정에는 추가 월별 요금이 발생합니다. 정확한 가격을 보려면 Amazon CloudFront 요금 페이지로 이동하여 전용 IP 사용자 정의 SSL을 검색하세요.

    CloudFront API를 사용하여 이 설정을 적용하려면 SSLSupportMethod 필드에서 vip를 지정합니다. AWS CloudFormation에서 필드의 이름은 SslSupportMethod입니다(다른 대소문자에 유의).

자세한 내용은 CloudFront에서 HTTPS 요청을 제공하는 방식 선택 섹션을 참조하세요.

보안 정책(최소 SSL/TLS 버전)

CloudFront가 최종 사용자(클라이언트)와의 HTTPS 연결에 사용할 보안 정책을 지정합니다. 보안 정책은 다음 두 가지 설정을 결정합니다.

  • CloudFront가 최종 사용자와 통신하는 데 사용하는 최소 SSL/TLS 프로토콜.

  • CloudFront가 최종 사용자로 반환하는 콘텐츠를 암호화할 때 사용할 수 있는 암호입니다.

각 보안 정책에 포함되는 프로토콜과 암호를 포함해 보안 정책에 관한 자세한 내용은 최종 사용자와 CloudFront 간에 지원되는 프로토콜 및 암호 단원을 참조하세요.

사용 가능한 보안 정책은 SSL 인증서사용자 지정 SSL 클라이언트 지원(CloudFront API의 CloudFrontDefaultCertificateSSLSupportMethod라고도 함)에 지정한 값에 따라 다릅니다.

  • SSL 인증서(SSL Certificate)기본 CloudFront 인증서(*.cloudfront.net)(Default CloudFront Certificate(*.cloudfront.net))인 경우(CloudFrontDefaultCertificate가 API에서 true일 때) CloudFront가 보안 정책을 자동으로 TLSv1로 설정합니다.

  • SSL 인증서(SSL Certificate)사용자 정의 SSL 인증서(example.com)(Custom SSL Certificate(example.com))이고 사용자 지정 SSL 클라이언트 지원(Custom SSL Client Support)서버 이름 표시(SNI)를 지원하는 클라이언트(권장)(Clients that Support Server Name Indication (SNI) - (Recommended))일 때(API에서 CloudFrontDefaultCertificatefalse이고 SSLSupportMethodsni-only일 때) 다음 보안 정책 중에서 선택할 수 있습니다.

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • SSL 인증서(SSL Certificate)사용자 정의 SSL 인증서(example.com)(Custom SSL Certificate(example.com))이고 사용자 지정 SSL 클라이언트 지원(Custom SSL Client Support)레거시 클라이언트 지원(Legacy Client Support)일 때(API에서 CloudFrontDefaultCertificatefalse이고 SSLSupportMethodvip일 때) 다음 보안 정책 중에서 선택할 수 있습니다.

    • TLSv1

    • SSLv3

    이 구성에서는 TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 및 TLSv1_2016 보안 정책을 CloudFront 콘솔 또는 API에서 사용할 수 없습니다. 이러한 보안 정책 중 하나를 사용할 경우 다음과 같은 옵션이 있습니다.

    • 배포에 전용 IP 주소로 레거시 클라이언트 지원이 필요한지 여부를 평가합니다. 최종 사용자 측에서 서버 이름 표시(SNI)를 지원하는 경우에는 배포의 사용자 지정 SSL 클라이언트 지원(Custom SSL Client Support) 설정을 SNI(서버 네임 인디케이션)를 지원하는 클라이언트(Clients that Support Server Name Indication)로 설정하는 것이 좋습니다(API에서는 SSLSupportMethodsni-only로 설정). 이를 통해 사용 가능한 TLS 보안 정책을 사용할 수 있으며 CloudFront 요금도 줄일 수 있습니다.

    • 레거시 클라이언트 지원을 전용 IP 주소로 유지해야 하는 경우에는 AWS Support Center에서 사례를 생성하여 다른 TLS 보안 정책(TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 또는 TLSv1_2016) 중 하나를 요청할 수 있습니다.

      참고

      AWS Support로 연락해 이러한 변경을 요청하기 전에 다음 사항을 고려합니다.

      • 이러한 보안 정책 중 하나(TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 또는 TLSv1_2016)를 레거시 클라이언트 지원 배포에 추가하면 AWS 계정의 모든 레거시 클라이언트 지원 배포에 대한 SNI 이외의 모든 뷰어 요청에 보안 정책이 적용됩니다. 그러나 최종 사용자가 레거시 클라이언트 지원을 사용하여 배포에 SNI 요청을 보낼 경우 해당 배포의 보안 정책이 적용됩니다. 원하는 보안 정책이 AWS 계정의 모든 레거시 클라이언트 지원 배포에 전송된 모든 뷰어 요청에 적용되도록 하려면 원하는 보안 정책을 각 배포에 개별적으로 추가합니다.

      • 당연히 새 보안 정책에서는 이전 보안 정책과 동일한 암호 및 프로토콜을 지원하지 않습니다. 예를 들어, 배포의 보안 정책을 TLSv1에서 TLSv1.1_2016으로 업그레이드하도록 선택한 경우 해당 배포는 DES-CBC3-SHA 암호를 더 이상 지원하지 않습니다. 각 보안 정책이 지원하는 암호 및 프로토콜에 대한 자세한 내용은 최종 사용자와 CloudFront 간에 지원되는 프로토콜 및 암호 단원을 참조하세요.

지원되는 HTTP 버전

최종 사용자가 CloudFront와 통신할 때 배포에서 지원할 HTTP 버전을 선택합니다.

뷰어와 CloudFront가 HTTP/2를 사용하는 경우 뷰어는 TLSv1.2 이상 및 SNI(Server Name Indication)를 지원해야 합니다.

뷰어와 CloudFront가 HTTP/3를 사용하는 경우 뷰어는 TLSv1.3 및 SNI(Server Name Indication)를 지원해야 합니다. CloudFront는 HTTP/3 연결 마이그레이션을 지원하므로 뷰어가 연결 손실 없이 네트워크를 전환할 수 있습니다. 연결 마이그레이션에 대한 자세한 내용은 RFC 9000의 연결 마이그레이션을 참조하세요.

참고

지원되는 TLSv1.3 암호에 대한 자세한 내용은 최종 사용자와 CloudFront 간에 지원되는 프로토콜 및 암호 섹션을 참조하세요.

참고

Amazon Route 53을 사용하는 경우, 클라이언트가 지원한다면 HTTPS 레코드를 사용하여 DNS 조회의 일부로 프로토콜 협상을 허용할 수 있습니다. 자세한 내용은 Create alias resource record set 섹션을 참조하세요.

기본 루트 객체

선택. 최종 사용자가 배포의 객체(index.html)가 아닌 배포의 루트 URL(https://www.example.com/)을 요청할 때 CloudFront가 소스(예: https://www.example.com/product-description.html)으로부터 요청할 객체입니다. 기본 루트 객체를 지정하면 배포 콘텐츠가 노출되지 않습니다.

이름의 최대 길이는 255자입니다. 이름에는 다음 문자 중 어느 것이든 포함할 수 있습니다.

  • A~Z, a~z

  • 0~9

  • _ - . * $ / ~ " '

  • &, &로 처리되고 반환됨

기본 루트 객체를 지정하는 경우 객체 이름만 입력합니다(예: index.html). 객체 이름 앞에 /를 추가하지 마십시오.

자세한 내용은 기본 루트 객체 지정 섹션을 참조하세요.

표준 로깅

CloudFront에서 객체에 대한 각 요청의 정보를 로그하고 이 로그 파일을 저장할지 지정합니다. 언제든지 로깅을 활성화 또는 비활성화할 수 있습니다. 로그를 사용해도 추가 비용이 들지 않지만 파일을 저장하고 이에 액세스하는 데 요금이 발생합니다. 로그는 언제든지 삭제할 수 있습니다.

CloudFront는 다음의 표준 로깅 옵션을 지원합니다.

  • 표준 로깅(v2) - Amazon CloudWatch Logs, Amazon Data Firehose, Amazon Simple Storage Service(Amazon S3)를 포함한 전송 대상으로 로그를 전송할 수 있습니다.

  • 표준 로깅(레거시) - Amazon S3 버킷에만 로그를 보낼 수 있습니다.

로그 접두사

(선택 사항) 표준 로깅(레거시)을 사용하면 CloudFront에서 이 배포에 대한 액세스 로그 파일 이름에 접두사로 지정하려는 문자열(해당하는 경우)을 지정합니다(예: exampleprefix/). 후행 슬래시(/)는 선택 사항이지만 로그 파일을 쉽게 검색할 수 있도록 넣는 것이 좋습니다. 자세한 내용은 표준 로깅(레거시) 구성 섹션을 참조하세요.

쿠키 로깅

CloudFront에서 쿠키를 액세스 로그에 포함하려는 경우 설정(On)을 선택합니다. 로그에 쿠키를 포함하도록 선택한 경우, CloudFront에서는 이 배포에 대한 캐시 동작을 어떻게 구성했는지(전체 쿠키 전달, 쿠키 전달 안 함 또는 오리진에 지정한 쿠키 목록 전달)와 관계없이 모든 쿠키를 로깅합니다.

Amazon S3에서는 쿠키를 처리하지 않습니다. 따라서 배포에 Amazon EC2 또는 다른 사용자 지정 오리진 역시 포함하지 않는 한 쿠키 로깅(Cookie Logging) 값으로 해제(Off)를 선택하는 것이 좋습니다.

쿠키에 대한 자세한 내용은 쿠키 기반의 콘텐츠 캐싱 단원을 참조하십시오.

IPv6 사용

IPv6은 최신 버전의 IP 프로토콜입니다. 이 버전은 IPv4를 대체하며 더 큰 주소 공간을 사용합니다. CloudFront는 항상 IPv4 요청에 응답합니다. CloudFront에서 IPv4 IP 주소(예: 192.0.2.44)의 요청 및 IPv6 주소(예: 2001:0db8:85a3::8a2e:0370:7334)의 요청에 응답하도록 하려면 IPv6 사용(Enable IPv6)을 선택합니다.

일반적으로, 콘텐츠를 액세스하려는 사용자 중에 IPv6 네트워크의 사용자가 있을 경우 IPv6를 사용하도록 설정해야 합니다. 하지만 서명된 URL이나 서명된 쿠키를 사용하여 콘텐츠에 대한 액세스를 제한하며, IpAddress 파라미터를 포함하는 사용자 지정 정책을 사용하여, 콘텐츠에 액세스할 수 있는 IP 주소를 제한하려는 경우에는 IPv6를 사용하도록 설정하지 마세요. 일부 콘텐츠에 대한 액세스를 IP 주소에 따라 제한하고, 다른 콘텐츠에 대한 액세스는 제한하지 않으려면(또는 액세스를 제한하되 IP 주소로 제한하지 않으려면), 두 개의 배포를 만들면 됩니다. 사용자 지정 정책을 사용하여 서명된 URL을 만드는 방법에 대한 자세한 내용은 사용자 지정 정책을 사용하여 서명된 URL 생성을 참조합니다. 사용자 지정 정책을 사용하여 서명된 쿠키를 만드는 방법에 대한 자세한 내용은 사용자 지정 정책을 사용하여 서명된 쿠키 설정을 참조합니다.

Route 53 별칭 리소스 레코드 세트를 사용하여 CloudFront 배포로 트래픽을 라우팅할 경우, 다음 조건이 모두 해당되면 두 번째 별칭 리소스 레코드 세트를 만들어야 합니다.

  • 배포에 대해 IPv6를 사용하도록 설정함

  • 객체의 URL에 대체 도메인 이름을 사용함

자세한 내용은 Amazon Route 53 개발자 안내서에서 도메인 이름을 사용하여 Amazon CloudFront 배포로 트래픽 라우팅을 참조하세요.

Route 53 또는 다른 DNS 서비스를 사용하여 CNAME 리소스 레코드 세트를 만들었을 경우 아무것도 변경할 필요가 없습니다. CNAME 레코드는 최종 사용자 요청의 IP 주소 형식과 상관없이 배포로 트래픽을 라우팅합니다.

IPv6와 CloudFront 액세스 로그를 사용하도록 설정하면 c-ip 열에 IPv4 및 IPv6 형식의 값이 포함됩니다. 자세한 내용은 로그 파일 필드 섹션을 참조하세요.

참고

IPv4가 더 우수한 사용자 경험을 제공할 것으로 추천될 경우 CloudFront는 고객에 대해 가용성을 높게 유지하기 위해 IPv4를 사용하여 최종 사용자 요청에 응답합니다. CloudFront가 IPv6를 통해 처리하는 요청의 비율을 확인하려면 배포에 대해 CloudFront 로그 기록을 활성화하여 c-ip 열을 구문 분석하세요. 이 열에는 요청을 한 최종 사용자의 IP 주소가 들어 있습니다. 이 비율은 갈수록 커지겠지만 아직 전 세계 모든 최종 사용자 네트워크에서 IPv6가 지원되지는 않으므로 트래픽에서 상대적으로 적은 부분을 차지할 것입니다. 일부 최종 사용자 네트워크는 IPv6를 완벽하게 지원하지만, IPv6를 전혀 지원하지 않는 최종 사용자 네트워크도 있습니다. 최종 사용자 네트워크는 가정용 인터넷이나 무선 통신업체와 유사합니다.

IPv6에 대한 지원을 자세히 알아보려면 CloudFront FAQ를 참조하세요. 액세스 로그 사용 설정에 대한 자세한 내용은 표준 로깅, 로그 접두사 필드를 참조하시기 바랍니다.

설명

선택 사항. 배포를 만들 때 최대 128자의 설명을 포함할 수 있습니다. 설명은 언제든지 업데이트할 수 있습니다.

배포 상태

배포가 완료되었을 때 활성화 또는 비활성화할지 여부를 나타냅니다.

  • Enabled(활성화됨)는 배포가 완료되는 대로 이 배포의 도메인 이름을 사용하는 링크를 배포할 수 있고 사용자가 콘텐츠를 가져올 수 있음을 의미합니다. 배포가 활성화되어 있으면 CloudFront에서는 해당 배포와 연결된 도메인 이름을 사용하는 콘텐츠에 대해 최종 사용자 요청을 수락하고 처리합니다.

    CloudFront 배포를 생성, 수정 또는 삭제할 경우 CloudFront 데이터베이스에 변경 사항이 전파되는 데에는 다소 시간이 소요됩니다. 배포 정보에 대한 즉각적인 요청에는 변경 사항이 반영되지 않을 수 있습니다. 전파는 대개 몇 분 내에 완료되지만, 이때 시스템에 과도한 로드가 걸리거나 네트워크 파티션이 증가할 수 있습니다.

  • Disabled(비활성화됨)는 배포가 완료되어 사용할 준비가 되더라도 사용자가 이를 사용할 수 없음을 의미합니다. 배포가 비활성화되어 있으면 CloudFront에서는 해당 배포와 연결된 도메인 이름을 사용하는 최종 사용자 요청을 수락하지 않습니다. 배포의 구성을 업데이트하여 비활성 상태에서 활성 상태로 전환할 때까지는 누구도 이 배포를 사용할 수 없습니다.

원하는 만큼 배포를 비활성 상태와 활성 상태 간에 전환할 수 있습니다. 배포 구성 업데이트에 대한 프로세스를 따르세요. 자세한 내용은 배포 업데이트 단원을 참조합니다.