Configurações de distribuição - Amazon CloudFront
Classe de preçoACL da WEb do AWS WAFNomes de domínio alternativos (CNAMEs)Certificado SSLSuporte ao cliente SSL personalizadoPolítica de segurança (versão mínima de SSL/TLS)Versões de HTTP compatíveisObjeto raiz padrãoRegistro em log padrãoPrefixo de logRegistro em log de cookiesEnable IPv6ComentárioEstado de distribuição

Configurações de distribuição

Os valores a seguir se aplicam a toda a distribuição.

Classe de preço

Escolha o preço que corresponde ao preço máximo que você está disposto a pagar pelo serviço do CloudFront. Por padrão, o CloudFront fornece seus objetos de pontos de presença em todas as regiões do CloudFront.

Para ter mais informações sobre as classes de preço e como sua escolha de classe de preço afeta a performance do CloudFront para sua distribuição, consulte Definição de preços do CloudFront.

ACL da WEb do AWS WAF

Você pode proteger sua distribuição do CloudFront com o AWS WAF, um firewall de aplicações da Web que permite proteger suas aplicações e APIs da web para bloquear solicitações antes que elas cheguem aos servidores. Você pode usar o Habilitar o AWS WAF para distribuições ao criar ou editar uma distribuição do CloudFront.

Você também pode configurar posteriormente proteções de segurança adicionais para outras ameaças específicas de sua aplicação no console do AWS WAF em https://console.aws.amazon.com/wafv2/.

Para obter mais informações sobre o AWS WAF, consulte o Guia do desenvolvedor do AWS WAF.

Nomes de domínio alternativos (CNAMEs)

Opcional. Especifique um ou mais nomes de domínio que você deseja usar nas URLs de seus objetos em vez do nome de domínio atribuído pelo CloudFront ao criar sua distribuição. Você deve possuir o nome de domínio, ou ter autorização para usá-lo, o que você verifica adicionando um certificado SSL/TLS.

Por exemplo, se você quiser que o URL do objeto:

/images/image.jpg

Seja parecido com:

https://www.example.com/images/image.jpg

Em vez de:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Adicione um CNAME para www.example.com.

Importante

Se você adicionar um CNAME para www.example.com à distribuição, também deverá fazer o seguinte:

  • Crie (ou atualize) um registro CNAME no serviço de DNS para rotear consultas de www.example.com para d111111abcdef8.cloudfront.net.

  • Adicione um certificado ao CloudFront de uma autoridade de certificação (CA) confiável que abranja o nome de domínio (CNAME) que você adicionar à distribuição, para validar a autorização para usar o nome de domínio.

Você deve ter permissão para criar um registro CNAME com o provedor de serviço de DNS para o domínio. Normalmente, isso significa que você possui o domínio ou que está desenvolvendo um aplicativo para o proprietário do domínio.

Para saber o número máximo atual de nomes de domínio alternativos que podem ser adicionados a uma distribuição ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Para obter mais informações sobre nomes de domínio alternativo, consulte Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs). Para mais informações sobre URLs do CloudFront, consulte Personalizar o formato do URL para arquivos no CloudFront.

Certificado SSL

Se você especificou um nome de domínio alternativo para usar com a distribuição, selecione Custom SSL Certificate (Certificado SSL personalizado) e, para validar a autorização para usar o nome de domínio alternativo, escolha um certificado que o abranja. Se você quiser que os visualizadores usem HTTPS para acessar seus objetos, escolha as configurações que oferecem suporte para isso.

  • Default CloudFront Certificate (Certificado padrão do CloudFront) (*.cloudfront.net): escolha essa opção se quiser usar o nome de domínio do CloudFront nos URLs para seus objetos, como https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Custom SSL Certificate (Certificado SSL personalizado): escolha essa opção se quiser usar seu próprio nome de domínio nos URLs dos seus objetos como um nome de domínio alternativo, por exemplo https://example.com/image1.jpg. Em seguida, escolha um certificado para usar que abranja o nome de domínio alternativo. A lista de certificados pode incluir qualquer um dos seguintes:

    • Certificados fornecidos pelo AWS Certificate Manager

    • Os certificados adquiridos de uma autoridade de certificação de terceiros e carregados no ACM

    • Os certificados adquiridos de autoridades de certificação de terceiros e carregados no armazenamento de certificados do IAM

    Se você escolher essa configuração, recomendamos que use apenas um nome de domínio alternativo nos URLs dos seus objetos (https://example.com/logo.jpg). Se você usar o nome de domínio da distribuição do CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) e um cliente usar um visualizador mais antigo que não seja compatível com SNI, como o visualizador responderá vai depender do valor escolhido para Clients Supported (Clientes compatíveis):

    • All Clients (Todos os clientes): o visualizador exibe um aviso porque o nome de domínio do CloudFront não corresponde ao nome de domínio do certificado SSL/TLS.

    • Only Clients that Support Server Name Indication (SNI) (Somente os clientes que oferecem suporte à indicação de nome de servidor (SNI)): o CloudFront interrompe a conexão com o visualizador sem retornar o objeto.

Suporte ao cliente SSL personalizado

Aplica-se somente quando você escolhe Certificado SSL personalizado (exemplo.com) para Certificado SSL. Se você especificou um ou mais nomes de domínio alternativos e um certificado SSL personalizado para a distribuição, defina como você deseja que o CloudFront atenda às solicitações HTTPS:

  • Clientes que oferecem suporte a SNI (Indicação de nome de servidor) – (Recomendado): com essa configuração, praticamente todos os navegadores e clientes da Web modernos podem se conectar à distribuição, porque eles oferecem suporte a SNI. No entanto, alguns visualizadores podem usar navegadores da Web mais antigos ou clientes incompatíveis com SNI, o que significa que não conseguem se conectar à distribuição.

    Para aplicar essa configuração usando a API do CloudFront, especifique sni-only no campo SSLSupportMethod. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

  • Suporte de clientes herdados: com essa configuração, navegadores da Web e clientes mais antigos incompatíveis com SNI podem se conectar à distribuição. No entanto, essa configuração gera cobranças mensais adicionais. Para saber o preço exato, acesse a página Definição de preços do Amazon CloudFront e pesquise SSL personalizado de IP dedicado na página.

    Para aplicar essa configuração usando a API do CloudFront, especifique vip no campo SSLSupportMethod. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

Para obter mais informações, consulte Escolher como o CloudFront atende a solicitações HTTPS.

Política de segurança (versão mínima de SSL/TLS)

Especifique a política de segurança que você deseja que o CloudFront use para conexões HTTPS com os visualizadores (clientes). Uma política de segurança determina duas configurações:

  • O protocolo SSL/TLS mínimo que o CloudFront usa para se comunicar com os visualizadores

  • A criptografia que o CloudFront pode usar para criptografar o conteúdo que retorna aos visualizadores.

Para mais informações sobre as políticas de segurança, incluindo os protocolos e as cifras que cada uma inclui, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

As políticas de segurança que estão disponíveis dependem dos valores que você especifica para o SSL Certificate (Certificado SSL) e o Custom SSL Client Support (Suporte ao cliente SSL personalizado) (conhecidos como CloudFrontDefaultCertificate e SSLSupportMethod na API do CloudFront):

  • Quando o SSL Certificate (Certificado SSL) for Default CloudFront Certificate (*.cloudfront.net) (Certificado padrão do CloudFront (*.cloudfront.net)) (quando CloudFrontDefaultCertificate for true na API), o CloudFront definirá automaticamente a política de segurança como TLSv1.

  • Quando SSL Certificate (Certificado SSL) for Custom SSL Certificate (example.com) (Certificado SSL personalizado, example.com) e Custom SSL Client Support (Suporte ao cliente SSL personalizado) for Clients that Support Server Name Indication (SNI) – (Recommended) (Clientes que comportam a indicação de nome do servidor, SNI – recomendado) (quandoCloudFrontDefaultCertificate for false e SSLSupportMethod for sni-only na API), será possível escolher entre as seguintes políticas de segurança:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Quando SSL Certificate (Certificado SSL) for Custom SSL Certificate (example.com) (Certificado SSL personalizado, example.com) e Custom SSL Client Support (Suporte ao cliente SSL personalizado) for Legacy Clients Support (Suporte a clientes herdados) (quando CloudFrontDefaultCertificate for false e SSLSupportMethod for vip na API), será possível escolher entre as seguintes políticas de segurança:

    • TLSv1

    • SSLv3

    Nesta configuração, as políticas de segurança TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016, e TLSv1_2016 não estão disponíveis na API nem no console do CloudFront. Se quiser utilizar uma dessas políticas de segurança, você terá as seguintes opções:

    • Avalie se a distribuição precisa de suporte a clientes legados com endereços IP dedicados. Se seus visualizadores comportarem a indicação de nome de servidor (SNI), recomendamos atualizar a definição Custom SSL Client Support (Suporte ao cliente SSL personalizado) de sua distribuição para Clients that Support Server Name Indication (SNI) (Clientes que oferecem suporte a indicação de nome de servidor, SNI) (defina SSLSupportMethod como sni-only na API). Isso permite usar qualquer uma das políticas de segurança TLS disponíveis, e também pode reduzir as cobranças do CloudFront.

    • Se for necessário manter o suporte a clientes herdados com endereços IP dedicados, será possível solicitar uma das outras políticas de segurança para o TLS (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) criando um caso na Central de Suporte da AWS.

      nota

      Antes de entrar em contato com o AWS Support para solicitar essa alteração, considere o seguinte:

      • Quando você adiciona uma dessas políticas de segurança (TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) a uma distribuição de suporte a clientes herdados, a política de segurança é aplicada a todas as solicitações de visualizador que não são de SNI para todas as distribuições de suporte a clientes herdados em sua conta da AWS. No entanto, quando os visualizadores enviam solicitações SNI para uma distribuição com o Suporte a clientes legados, a política de segurança dessa distribuição se aplica. Para garantir que a política de segurança desejada seja aplicada a todas as solicitações do visualizador enviadas a todas as distribuições de suporte de clientes herdadas em sua conta da AWS, adicione a política de segurança desejada a cada distribuição individualmente.

      • Por definição, a nova política de segurança não é compatível com as mesmas criptografias e protocolos que a antiga. Por exemplo, se optar por atualizar a política de segurança de uma distribuição de TLSv1 para TLSv1.1_2016, essa distribuição não será mais compatível com a criptografia DES-CBC3-SHA. Para mais informações sobre as cifras e os protocolos com os quais cada política de segurança é compatível, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

Versões de HTTP compatíveis

Escolha as versões HTTP às quais deseja que a distribuição ofereça suporte quando os visualizadores se comunicarem com o CloudFront.

Para os visualizadores e o CloudFront usarem HTTP/3, os visualizadores devem ser compatíveis com TLSv1.2 ou posterior e com Server Name Indication (SNI).

Para os visualizadores e o CloudFront usarem HTTP/3, os visualizadores devem ser compatíveis com TLSv1.3 e com Server Name Indication (SNI). O CloudFront é compatível com a migração de conexão HTTP/3 para permitir que o visualizador alterne de rede sem perder a conexão. Para obter mais informações sobre migração de conexões, consulte Connection Migration (Migração de conexões) no RFC 9000.

nota

Para obter mais informações sobre as criptografias TLSv1.3 compatíveis, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

nota

Se você usa o Amazon Route 53, pode usar registros HTTPS para permitir a negociação de protocolos como parte da consulta de DNS, caso o cliente ofereça suporte. Para obter mais informações, consulte Create alias resource record set.

Objeto raiz padrão

Opcional. O objeto que você deseja que o CloudFront solicite da sua origem (por exemplo, index.html) quando o visualizador solicitar o URL raiz da sua distribuição (https://www.example.com/), em vez de um objeto nela (https://www.example.com/product-description.html). A especificação de um objeto raiz padrão evita a exposição do conteúdo da distribuição.

O tamanho máximo do nome é 255 caracteres. O nome pode conter espaços ou um destes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, passado e retornado como &

Ao especificar o objeto raiz padrão, insira apenas o nome do objeto, por exemplo, index.html. Não adicione / antes do nome do objeto.

Para obter mais informações, consulte Especificar um objeto raiz padrão.

Registro em log padrão

Especifique se você deseja que o CloudFront registre em log as informações sobre cada solicitação de um objeto e armazene os arquivos de log. É possível habilitar ou desabilitar o registro a qualquer momento. Não há custo adicional ao habilitar o registro em log, mas você pode incorrer em cobranças de armazenamento e acesso a arquivos. Você pode excluir os logs a qualquer momento.

O CloudFront permite as seguintes opções de registro em log padrão:

Prefixo de log

(Opcional) Se você habilitar o registro em log padrão (legado), especifique a string, se houver, a ser prefixada pelo CloudFront nos nomes de arquivo de log de acesso dessa distribuição; por exemplo, exampleprefix/. A barra no final (/) é opcional, mas recomendada para simplificar a navegação em seus arquivos de log. Para obter mais informações, consulte Configurar o registro em log padrão (legado).

Registro em log de cookies

Se você quiser que o CloudFront inclua cookies nos logs de acesso, escolha On (Ativado). Se você optar por incluir cookies nos logs, o CloudFront registrará em log todos os cookies, independentemente da configuração dos comportamentos de cache dessa distribuição: encaminhar todos os cookies, nenhum cookie ou uma lista específica de cookies para a origem.

O Amazon S3 não processa cookies, portanto, a menos que sua distribuição também inclua um Amazon EC2 ou outra origem personalizada, recomendamos que você escolha Off (Desativado) para o valor de Cookie Logging (Registro em log de cookies).

Para obter mais informações sobre cookies, consulte Conteúdo em cache com base em cookies.

Enable IPv6

IPv6 é uma nova versão do protocolo IP. É a substituição eventual do IPv4 e usa um espaço de endereço maior. O CloudFront sempre responde a solicitações do IPv4. Se quiser que o CloudFront responda a solicitações de endereços IP IPv4 (como 192.0.2.44) e IPv6 (como 2001:0db8:85a3::8a2e:0370:7334), selecione Enable IPv6 (Habilitar IPv6).

Em geral, você deverá habilitar o IPv6 se tiver usuários em redes IPv6 que desejam acessar seu conteúdo. No entanto, se você estiver usando signed URLs ou cookies para restringir o acesso ao seu conteúdo e uma política personalizada que inclui o parâmetro IpAddress para restringir os endereços IP que podem acessar seu conteúdo, não habilite o IPv6. Se você quiser restringir o acesso a algum conteúdo, mas não a outros, por endereço IP (ou restringir o acesso, mas não por endereço IP), é possível criar duas distribuições. Para obter informações sobre como criar signed URLs usando uma política personalizada, consulte Criar um URL assinado usando uma política personalizada. Para obter informações sobre como criar signed cookies usando uma política personalizada, consulte Definir cookies assinados usando uma política personalizada.

Se estiver usando um conjunto de registros de recursos de alias do Route 53 para rotear tráfego para sua distribuição do CloudFront, você deverá criar um segundo conjunto de registros de recursos de alias quando:

  • Você habilitar o IPv6 para a distribuição

  • Você estiver usando nomes de domínio alternativos nos URLs dos seus objetos

Para mais informações, consulte Como rotear o tráfego para uma distribuição do Amazon CloudFront usando seu nome de domínio no Guia do desenvolvedor do Amazon Route 53.

Se você criar um conjunto de registros de recursos de CNAME com o Route 53 ou outro serviço de DNS, não será necessário fazer nenhuma alteração. Um registro CNAME roteará o tráfego para a distribuição, independentemente do formato de endereço IP da solicitação do visualizador.

Se você habilitar o IPv6 e os logs de acesso do CloudFront, a coluna c-ip incluirá os valores nos formatos IPv4 e IPv6. Para obter mais informações, consulte Campos de arquivo de log.

nota

Para manter a alta disponibilidade do cliente, o CloudFront responderá a solicitações do visualizador usando IPv4 se nossos dados sugerirem que o IPv4 fornecerá uma experiência de usuário melhor. Para descobrir qual porcentagem de solicitações do CloudFront é por IPv6, habilite o registro em log do CloudFront em sua distribuição e analise a coluna c-ip, que contém o endereço IP do visualizador que fez a solicitação. Essa porcentagem deve aumentar com o tempo, mas continuará sendo parte mínima do tráfego, pois o IPv6 ainda não é compatível pelo todas as redes dos visualizadores em todo o mundo. Algumas redes de visualizador têm excelente suporte a IPv6, mas outras não são compatíveis com ele. (Uma rede de visualizador é semelhante à sua operadora de Internet ou sem fio doméstica.)

Para mais informações sobre nosso suporte a IPv6, consulte Perguntas frequentes sobre o CloudFront. Para ter informações sobre como habilitar logs de acesso, consulte os campos Registro em log padrão e Prefixo de log.

Comentário

Opcional. Ao criar uma distribuição, você pode incluir um comentário com até 128 caracteres. Você pode atualizá-lo qualquer momento.

Estado de distribuição

Indica se você deseja que a distribuição seja ativada ou desativada após a implantação:

  • Enabled: assim que a distribuição for totalmente implantada, você poderá implantar links que usam o nome de domínio da distribuição, e os usuários poderão recuperar o conteúdo. Sempre que uma distribuição estiver ativada, o CloudFront aceitará e lidará com qualquer solicitação do usuário final de conteúdo que use o nome de domínio associado a essa distribuição.

    Ao criar, modificar ou excluir uma distribuição do CloudFront, leva um tempo para que as alterações sejam propagadas para o banco de dados do CloudFront. Uma solicitação imediata de informações sobre uma distribuição pode não refletir a alteração. A propagação é normalmente concluída em minutos, mas uma alta carga do sistema ou partição de rede pode aumentar esse tempo.

  • Disabled: mesmo que a distribuição possa ser implantada e esteja pronta para ser usada, os usuários não poderão usá-la. Sempre que uma distribuição estiver desativada, o CloudFront não aceitará nenhuma solicitação do usuário final que use o nome de domínio associado a essa distribuição. Enquanto você não alternar a distribuição de desativada para habilitada (atualizando a configuração dela), ninguém poderá usá-la.

Você pode alternar uma distribuição entre desativada e ativada sempre que desejar. Siga o processo de atualização da configuração de uma distribuição. Para obter mais informações, consulte Atualizar uma distribuição.