本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
分佈設定
以下值適用於整個分佈。
主題
價格分級
選擇對應您希望支付之 CloudFront 服務最高價的價格分級。根據預設,CloudFront 會從所有 CloudFront 區域的節點提供您的物件。
如需價格分級以及您選擇的價格分級如何影響分佈的 CloudFront 效能的詳細資訊,請參閱 CloudFront 定價
AWS WAF Web ACL
您可以使用 Web 應用程式防火牆 AWS WAF 來保護 CloudFront 分發,該防火牆可讓您保護 Web 應用程式和 API,以便在請求到達伺服器之前封鎖請求。在建立或編輯 CloudFront 分發時,您可以 AWS WAF 為分佈啟用。
或者,您可以稍後在 AWS WAF 主控台 https://https://console.aws.amazon.com/wafv2/
如需 的詳細資訊 AWS WAF,請參閱 AWS WAF 開發人員指南。
備用網域名稱 (CNAME)
選用。指定一或多個您要用於物件 URL 的網域名稱,而非您建立分佈時 CloudFront 指派的網域名稱。您必須擁有網域名稱,或是擁有使用它的授權;您可以透過新增 SSL/TLS 憑證來進行驗證。
例如,若您希望物件的 URL:
/images/image.jpg
看起來像此 URL:
https://www.example.com/images/image.jpg
而不是此 URL:
https://d111111abcdef8.cloudfront.net/images/image.jpg
請新增 www.example.com 的 CNAME。
重要
若您將 www.example.com 的 CNAME 新增到您的分佈,您也必須執行以下作業:
-
使用您的 DNS 服務建立 (或更新) CNAME 記錄,以將
www.example.com的查詢路由傳送到d111111abcdef8.cloudfront.net。 -
將來自可信任憑證授權機構 (CA),涵蓋您新增至分佈網域名稱 (CNAME) 的憑證新增到 CloudFront,以驗證您使用該網域名稱的授權。
您必須擁有使用網域 DNS 服務提供者建立 CNAME 記錄的許可。通常,這表示您擁有網域,或者您正在為網域擁有者開發應用程式。
如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額。
如需備用網域名稱的詳細資訊,請參閱透過新增備用網域名稱 (CNAMEs來使用自訂 URLs 。如需 CloudFront URL 的詳細資訊,請參閱自訂 CloudFront 中檔案的 URL 格式。
SSL 憑證
若您指定要搭配分佈使用的備用網域名稱,請選擇 Custom SSL Certificate (自訂 SSL 憑證),然後,為了驗證您的憑證使用其他網域名稱,請選擇涵蓋該名稱的憑證。如果您希望檢視器使用 HTTPS 存取您的物件,請選擇支援該功能的設定。
-
預設 CloudFront 憑證 (*.cloudfront.net) – 若您要在物件的 URL 中使用 CloudFront 網域名稱 (例如
https://d111111abcdef8.cloudfront.net/image1.jpg),請選擇此選項。 -
自訂 SSL 憑證 – 若您希望在物件的 URL 中使用您自己的網域名稱,做為備用網域名稱 (例如
https://example.com/image1.jpg),請選擇此選項。然後要使用的憑證,其中涵蓋了備用網域名稱。憑證的清單可包括以下任何項目:-
提供的憑證 AWS Certificate Manager
-
您從第三方憑證授權機構購買並上傳到 ACM 的憑證
-
您從第三方憑證授權機構購買,並上傳到 IAM 憑證存放區的憑證
若您選擇此設定,我們建議您僅使用您物件 URL 中的備用網域名稱 (https://example.com/logo.jpg)。若您使用 CloudFront 分佈網域名稱 (https://d111111abcdef8.cloudfront.net/logo.jpg),而用戶端因使用較舊的檢視器而不支援 SNI,檢視器回應的方式會取決於您為支援用戶端所選取的值:
-
所有用戶端:檢視器會因為 CloudFront 網域名稱與您 SSL/TLS 憑證中的網域名稱不同而顯示警告。
-
僅限支援伺服器名稱指示 (SNI) 的用戶端:CloudFront 失去與檢視器的連線而不傳回物件。
-
自訂 SSL 用戶端支援
僅適用於您為 SSL 憑證選擇自訂 SSL 憑證 (example.com://) 時。 如果您為分佈指定了一或多個備用網域名稱和自訂 SSL 憑證,請選擇您要 CloudFront 提供 HTTPS 請求的方式:
-
支援伺服器名稱指示 (SNI) 的用戶端 - (建議) — 使用此設定,幾乎所有現代網頁瀏覽器和用戶端都可以連線到分佈,因為它們都支援 SNI。不過,有些檢視器可能會使用較舊的網頁瀏覽器或不支援 SNI 的用戶端,這表示他們無法連線至分佈。
若要使用 CloudFront API 套用此設定,請在
SSLSupportMethod欄位中指定sni-only。在 AWS CloudFormation中,欄位會命名為SslSupportMethod(請注意大小寫)。 -
舊式用戶端支援 — 使用此設定,不支援 SNI 的舊式網頁瀏覽器和用戶端就可以連線到分佈。不過,此設定每月會產生額外費用。如需確切的價格,請移至 Amazon CloudFront 定價
頁面,然後搜尋專用 IP 自訂 SSL 的頁面。 若要使用 CloudFront API 套用此設定,請在
SSLSupportMethod欄位中指定vip。在 中 AWS CloudFormation, 欄位會命名為SslSupportMethod(請注意不同的大寫)。
如需詳細資訊,請參閱選擇 CloudFront 如何提供 HTTPS 請求。
安全政策 (最低 SSL/TLS 版本)
指定您希望 CloudFront 用於與檢視器 (用戶端) 之 HTTPS 連線的安全政策。安全政策判斷兩個設定:
-
CloudFront 用來與檢視器通訊的最低 SSL/TLS 通訊協定。
-
加密,供 CloudFront 用來加密傳回給檢視器的內容。
如需安全原則 (包括每個原則所包含的通訊協定和密碼) 的詳細資訊,請參閱檢視器和 CloudFront 之間支援的通訊協定和密碼。
可用的安全政策取決於您為 SSL Certificate (SSL 憑證) 和 Custom SSL Client Support (自訂 SSL 用戶端支援) (在 CloudFront API 中稱為 CloudFrontDefaultCertificate 和 SSLSupportMethod) 指定的值:
-
當 SSL 憑證為預設 CloudFront 憑證 (*. cloudfront.net) 時 (在 API 中則是
CloudFrontDefaultCertificate為true),CloudFront 會自動將安全政策設定為 TLSv1。 -
當 SSL Certificate (SSL 憑證) 為 Custom SSL Certificate (example.com) (自訂 SSL 憑證 (example.com)),且 Custom SSL Client Support (自訂 SSL 用戶端支援) 為 Clients that Support Server Name Indication (SNI) - (Recommended) (支援伺服器名稱指示 (SNI) 的用戶端 - (建議使用)) 時 (在 API 中則是
CloudFrontDefaultCertificate為false且SSLSupportMethod為sni-only),您可以從下列安全政策中進行選擇:-
TLSv1.2_2021
-
TLSv1.2_2019
-
TLSv1.2_2018
-
TLSv1.1_2016
-
TLSv1_2016
-
TLSv1
-
-
當 SSL Certificate (SSL 憑證) 為 Custom SSL Certificate (example.com) (自訂 SSL 憑證 (example.com)),且 Custom SSL Client Support (自訂 SSL 用戶端支援) 為 Legacy Clients Support (舊式用戶端支援) 時 (在 API 中則是
CloudFrontDefaultCertificate為false且SSLSupportMethod為vip),您可以從下列安全政策中進行選擇:-
TLSv1
-
SSLv3
在此組態中,無法在 CloudFront 主控台或 API 中使用 TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 和 TLSv1_2016 安全政策。如果您想要使用這些安全政策之一,您可以選擇下列選項:
-
評估您的分佈是否需要具有專用 IP 位址的舊式用戶端支援。如果您的檢視器支援伺服器名稱指示 (SNI)
,我們建議您將分佈的 Custom SSL Client Support (自訂 SSL 用戶端支援) 設定更新為 Clients that Support Server Name Indication (SNI) (支援伺服器名稱指示 (SNI) 的用戶端) (在 API 中則是將 SSLSupportMethod設為sni-only)。這可讓您使用任何可用的 TLS 安全政策,也可以降低 CloudFront 費用。 -
如果您必須保留具有專用 IP 地址的舊式用戶端支援,則可以在 AWS 支援中心
建立案例,請求其他 TLS 安全原則之一 (TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 或 TLSv1_2016)。 注意
在您聯絡 AWS Support 請求此變更之前,請考慮下列事項:
-
當您將其中一個安全政策 (TLSv1.2_2021,TLSv1.2_2019,TLSv1.2_2018,TLSv1.1_2016, 或 TLSv1_2016) 新增至舊版用戶端支援分發時,安全政策會套用至您 AWS 帳戶中所有舊版用戶端支援分發的所有非 SNI 檢視器請求。不過,當檢視器將 SNI 請求傳送至具有舊式用戶端支援的分佈時,會套用該分佈的安全政策。若要確保將所需的安全政策套用至傳送至您 AWS 帳戶中所有 Legacy Client Support 分佈的所有瀏覽者請求,請將所需的安全政策個別新增至每個分佈。
-
根據定義,新的安全政策不支援舊版的相同密碼和通訊協定。例如,如果您選擇將分佈的安全政策從 TLSv1 升級到 TLSv1.1_2016,則該分佈將不再支援 DES-CBC3-SHA 加密。如需每個安全政策所支援之密碼和通訊協定的詳細資訊,請參閱檢視器和 CloudFront 之間支援的通訊協定和密碼。
-
-
支援的 HTTP 版本
選擇您要在檢視器與 CloudFront 通訊時,您的分佈支援的 HTTP 版本。
針對使用 HTTP/2 的檢視器和 CloudFront,檢視器必須支援 TLSv1.2 或更新版本,和伺服器名稱指示 (SNI)。
針對使用 HTTP/3 的檢視器和 CloudFront,檢視器必須支援 TLSv1.3 和伺服器名稱指示 (SNI)。CloudFront 支援 HTTP/3 連線遷移功能,可讓檢視器在不遺失連線的情況下切換網路。如需連線遷移的詳細資訊,請參閱在 RFC 9000 的連線遷移
注意
如需支援 TLSv1.3 密碼的詳細資訊,請參閱 檢視器和 CloudFront 之間支援的通訊協定和密碼。
注意
如果您使用 Amazon Route 53,則可以使用 HTTPS 記錄,在用戶端支援通訊協定時允許通訊協定交涉做為 DNS 查詢的一部分。如需詳細資訊,請參閱Create alias resource record set。
預設根物件
選用。當檢視器請求分佈的根 URL 時 (index.html),您希望 CloudFront 向原始伺服器請求的物件 (例如 https://www.example.com/),而不是分佈中的物件 (https://www.example.com/product-description.html)。指定預設根物件可避免暴露分佈的內容。
該名稱的長度上限為 255 個字元。該名稱可以包含以下任何字元:
-
A-Z、a-z
-
0-9
-
_ - . * $ / ~ " '
-
& 通過並以
&傳回
當您指定預設根物件時,只需輸入物件名稱,例如,index.html。不要在物件名稱前新增 /。
如需詳細資訊,請參閱指定預設根物件。
標準記錄
指定您是否希望 CloudFront 記錄物件每個請求的相關資訊,並存放日誌檔案。您可以隨時啟用或停用記錄。如果您啟用記錄功能,則不會產生額外費用,但您可能會因為儲存和存取檔案而產生費用。您隨時都可刪除日誌。
CloudFront 支援下列標準記錄選項:
日誌字首
(選用) 如果您啟用標準記錄 (舊版),請指定您希望 CloudFront 為此分佈的存取日誌檔案名稱加上字首的字串,例如 exampleprefix/。結尾的斜線) (/) 是可選的,但建議簡化瀏覽日誌檔案。如需詳細資訊,請參閱設定標準記錄 (舊版)。
Cookie 記錄
如果您希望 CloudFront 在存取日誌中包含 Cookie,請選擇開啟。如果您選擇將 Cookie 包含在日誌中,那麼不管您如何為此分佈配置快取行為,CloudFront 都會記錄所有 Cookie:轉送所有 Cookie,不轉送 Cookie 或將指定的 Cookie 清單轉送至原始伺服器原始伺服器。
Amazon S3 不處理 Cookie,因此除非您的分佈還包含 Amazon EC2 或其他自訂原始伺服器原始伺服器,我們建議您選擇關閉做為 Cookie 記錄的值。
如需 Cookie 的詳細資訊,請參閱根據 Cookie 快取內容。
啟用 IPv6
IPv6 是 IP 通訊協定的新版本。這是 IPv4 的最終替代方案,並使用較大的位址空間。CloudFront 一律會回應 IPv4 請求。如果您希望 CloudFront 回應來自 IPv4 IP 地址 (例如 192.0.2.44) 的請求,以及來自 IPv6 地址 (例如 2001:0db8:85a3::8a2e:0370:7334) 的請求,請選擇 Enable IPv6 (啟用 IPv6)。
一般而言,如果在 IPv6 網路上有需要存取您的內容的使用者,則應該啟用 IPv6。不過,如果您使用簽章的 URL 或簽章的 Cookie 來限制對內容的存取,並且如果您使用自訂政策,包含 IpAddress 參數以限制存取您的內容的 IP 地址,請不要啟用 IPv6。如果您想要透過 IP 位址限制存取一些內容,並且不限制對其他內容的存取 (或限制存取但不透過 IP 地址),則可以建立兩個分佈。如需有關使用自訂政策建立簽章的 URL 的詳細資訊,請參閱使用自訂政策建立已簽章的 URL。如需有關使用自訂政策建立簽章的 Cookie 的詳細資訊,請參閱使用自訂政策設定已簽章的 Cookie。
如果您使用 Route 53 別名資源紀錄集將流量路由至 CloudFront 分佈,則在滿足以下兩個條件時,您必須建立第二個別名資源紀錄集:
-
您為分佈啟用 IPv6
-
您在物件的 URL 中使用備用網域名稱
如需詳細資訊,請參閱 Amazon Route 53 開發人員指南中的使用網域名稱將流量路由傳送到 Amazon CloudFront 分佈。
如果您透過 Route 53 或其他 DNS 服務建立了 CNAME 資源紀錄集,則不需要進行任何變更。無論檢視器請求的 IP 地址格式如何,CNAME 記錄都會把流量路由到您的分佈。
如果您啟用 IPv6 和 CloudFront 存取日誌,c-ip 欄會包含 IPv4 和 IPv6 格式的值。如需詳細資訊,請參閱日誌檔案欄位。
注意
為了保持較高的客戶可用性,如果我們的資料建議 IPv4 將提供更好的使用者體驗,CloudFront 會透過使用 IPv4 來回應檢視器請求。要了解 CloudFront 透過 IPv6 提供請求的百分比,請為您的分發啟用 CloudFront 記錄,並剖析 c-ip 列,其中包含發出請求的檢視器的 IP 地址。這個百分比應該隨著時間的推移而增長,但它仍然是少數的流量,因為 IPv6 還沒有得到全球所有檢視器網路的支援。有些檢視器網路擁有優異的 IPv6 支援,但其他檢視器網路則完全不支援 IPv6。(檢視器網路類似於家用網路或無線電信業者)。
如需我們對 IPv6 的支援的詳細資訊,請參閱 CloudFront 常見問答集
註解
選用。當您建立分佈,您可以包含高達 128 個字元的評論。您隨時都可以更新評論。
分佈狀態
表示是否要在部署後啟用或停用該分佈:
-
啟用表示一旦分佈完全部署後,您就可以部署使用分佈的網域名稱的連結,使用者可以擷取內容。當分佈被啟用時,CloudFront 接受並處理使用與該分佈關聯的網域名稱的內容的任何最終使用者請求。
當建立、修改或刪除 CloudFront 分佈時,仍需要時間將您的變更傳播到 CloudFront 資料庫。對分佈資訊的立即請求可能不會顯示其變更。傳輸通常可在幾分鐘內完成,但此時可能會增加高系統負載或網路分區。
-
停用表示即使分佈可能已部署並可供使用,但使用者無法使用它。每當分佈停用時,CloudFront 不接受使用與該分佈關聯的網域名稱的任何最終使用者請求。在將分佈從停用狀態切換到啟用狀態之前 (透過更新分佈的組態),沒有人可以使用它。
您可以根據需要隨時在停用和啟用之間切換分佈。依照更新分佈組態處理。如需詳細資訊,請參閱更新分佈。
