對 CloudFront Functions 的限制 - Amazon CloudFront
日誌請求內文搭配 CloudFront KeyValueStore API 使用臨時憑證執行期運算利用率

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對 CloudFront Functions 的限制

下列限制僅適用於 CloudFront Functions。

如需配額 (先前稱為限制) 的資訊,請參閱 CloudFront Functions 上的配額

日誌

CloudFront Functions 中的函數日誌在 10 KB 處被截斷。

請求內文

CloudFront Functions 無法存取 HTTP 請求的內文。

搭配 CloudFront KeyValueStore API 使用臨時憑證

您可以使用 AWS Security Token Service (AWS STS) 來產生臨時安全登入資料 (也稱為工作階段字符)。工作階段字符可讓您暫時擔任 AWS Identity and Access Management (IAM) 角色,以便存取 AWS 服務。

若要呼叫 CloudFront KeyValueStore API,請在 中使用區域端點 AWS STS 來傳回第 2 版工作階段字符。如果您使用 (sts.amazonaws.com) 的 AWS STS 全域端點, AWS STS 將產生第 1 版工作階段字符,SigV4A 版 (SigV4A) 不支援此字符。 SigV4A 因此,您會收到身分驗證錯誤。

若要呼叫 CloudFront KeyValueStore API,您可以使用下列選項:

AWS CLI 和 AWS SDKs

您可以設定 AWS CLI 或 AWS 開發套件來使用區域 AWS STS 端點。如需詳細資訊,請參閱 AWS SDK 和工具參考指南中的AWS STS 區域化端點

如需可用 AWS STS 端點的詳細資訊,請參閱《IAM 使用者指南》中的區域和端點

SAML

您可以設定 SAML 以使用區域 AWS STS 端點。如需詳細資訊,請參閱如何使用區域 SAML 端點進行容錯移轉部落格文章。

SetSecurityTokenServicePreferences API

您可以設定 的全域端點 AWS STS 以傳回第 2 版工作階段字符,而不是使用區域 AWS STS 端點。若要這樣做,請使用 SetSecurityTokenServicePreferences API 操作來設定您的 AWS 帳戶。

範例:IAM CLI 命令
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
提示

建議您使用 AWS STS 區域端點,而非此選項。區域端點提供更高的可用性和容錯移轉案例。

自訂身分提供者

如果您使用的是執行聯合並擔任該角色的自訂身分提供者,請針對負責產生工作階段字符的父身分提供者系統使用先前其中一個選項。

執行期

CloudFront Functions 執行期環境不支援動態程式碼評估,且會限制對網路、檔案系統、環境變數和計時器的存取。如需詳細資訊,請參閱限制功能

注意

若要使用 CloudFront KeyValueStore,您的 CloudFront 函數必須使用 JavaScript 執行期 2.0

運算利用率

CloudFront Functions 對其可以執行所需的時間有限制,測量為運算利用率。運算利用率是介於 0 到 100 之間的數字,表示函數執行所花費的時間,以所允許時間上限的百分比表示。例如,35 的運算利用率表示函數以所允許時間上限的 35% 完成。

當您測試函數時,您可以在測試事件的輸出中看到運算利用率值。對於生產函數,您可以在 CloudFront 主控台中的 Monitoring (監控) 頁面 上,或在 CloudWatch 中檢視運算利用率指標