分佈設定參考 - Amazon CloudFront
原始設定快取行為設定分佈設定自訂錯誤頁面和錯誤快取地理限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

分佈設定參考

當您使用 CloudFront 主控台建立新的標準分佈或更新現有的標準分佈時,您可以指定下列值。

當您建立多租用戶分佈時,CloudFront 會根據內容原始伺服器類型為您設定分佈設定。如需預先設定設定的詳細資訊,請參閱 CloudFront 多租戶分佈參考

如需使用 CloudFront 主控台建立或更新分發的相關資訊,請參閱建立分發更新分佈

原始設定

使用 CloudFront 主控台建立或更新分佈時,您可以提供有關一或多個位置 (稱為原始伺服器) 的資訊,您可以在其中存放 Web 內容的原始版本。CloudFront 從您的原始伺服器原始伺服器取得 Web 內容,並透過全球網路邊緣伺服器將其提供給檢視器。

如需您可為分佈建立之原始伺服器數量的目前上限,或是有關請求更高配額的詳細資訊,請參閱 分佈的一般配額

如果您想要刪除原始來源,則必須先編輯或刪除與該原始來源相關聯的快取行為。

重要

如果您要刪除原始來源,請確認之前由該原始來源提供的檔案,可在另一個原始來源中使用,而且您的快取行為現在正將這些檔案的請求,路由傳送到新的原始來源。

當您建立或更新分佈時,請為每個原始來源指定以下值。

原始網域

原始網域是 CloudFront 將取得原始伺服器物件之資源的 DNS 網域名稱,例如 Amazon S3 儲存貯體或 HTTP 伺服器。例如:

  • Amazon S3 儲存貯體amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com

    注意

    如果您最近建立了 S3 儲存貯體,CloudFront 分佈可能會傳回 HTTP 307 Temporary Redirect 回應 (最多需要 24 小時)。S3 儲存貯體名稱最多可能需要 24 小時才能傳播到所有 AWS 區域。傳播完成後,分佈會自動停止傳送這些重新引導回應;您不需要執行任何動作。如需詳細資訊,請參閱為何會收到來自 Amazon S3 的 HTTP 307 暫時重新引導回應?暫時請求重新引導

  • 設定為網站的 Amazon S3 儲存貯體amzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com

  • MediaStore 容器examplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage 端點examplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Amazon EC2 執行個體ec2-203-0-113-25.compute-1.amazonaws.com

  • Elastic Load Balancing 負載平衡器example-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • 您自己的 Web 伺服器www.example.com

Origin domain (原始網域) 欄位中選擇網域名稱,或是輸入名稱。來自選擇加入區域的資源必須手動輸入。網域名稱不區分大小寫。您的原始網域必須具有可公開解析的 DNS 名稱,透過網際網路將請求從用戶端路由到目標。

如果您設定 CloudFront 透過 HTTPS 連線至原始伺服器,憑證中的其中一個網域名稱必須符合您為原始伺服器網域名稱指定的網域名稱。如果沒有網域名稱相符,CloudFront 會將 HTTP 狀態碼 502 (無效的閘道) 傳回給檢視器。如需詳細資訊,請參閱CloudFront 分佈和憑證中的網域名稱CloudFront 與自訂原始伺服器間的 SSL/TLS 溝通失敗

注意

如果您使用的原始伺服器請求政策將檢視器主機標頭轉送至原始伺服器,原始伺服器必須使用符合檢視器主機標頭的憑證來回應。如需詳細資訊,請參閱新增 CloudFront 請求標頭

如果您的原始伺服器是 Amazon S3 儲存貯體,請注意下列事項:

  • 若儲存貯體已設為網站,請輸入您儲存貯體的 Amazon S3 靜態網站託管端點;請不要從 Origin domain (原始網域) 欄位中的清單選取儲存貯體名稱。靜態網站託管端點顯示在 Amazon S3 主控台中,在 Static website hosting (靜態網站託管) 下的 Properties (屬性) 頁面上。如需詳細資訊,請參閱使用設定為網站端點的 Amazon S3 儲存貯體

  • 如果您為儲存貯體配置了 Amazon S3 Transfer Acceleration,請不要為 Origin domain (原始網域)指定 s3-accelerate 端點。

  • 如果您使用不同 AWS 帳戶的儲存貯體,而且儲存貯體未設定為網站,請使用下列格式輸入名稱:

    bucket-name.s3.region.amazonaws.com

    如果您的儲存貯體位於美國區域,而且您希望 Amazon S3 將請求路由到維吉尼亞北部的一個設施,請使用以下格式:

    bucket-name.s3.us-east-1.amazonaws.com

  • 除非使用 CloudFront 原始存取控制來保護 Amazon S3 中的內容,否則這些檔案必須是可公開讀取。如需存取控制的詳細資訊,請參閱 限制對 Amazon S3 原始伺服器的存取

重要

如果該原始伺服器是 Amazon S3 儲存貯體時,則儲存貯體名稱必須符合 DNS 命名請求。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的儲存貯體限制與局限

當您變更原始伺服器的 Origin domain (原始網域) 的值時,CloudFront 會立即開始將變更複寫到 CloudFront 節點。在特定節點更新分佈組態之前,CloudFront 會繼續將請求轉送至先前原始伺服器。只要在該節點更新分佈組態,CloudFront 就會開始將請求轉送到新的原始伺服器。

變更原始伺服器不需要使用 CloudFront 將來自新原始伺服器的物件來重新填入邊緣快取。只要您的應用程式中的檢視器請求尚未變更,則 CloudFront 會繼續為已存在於邊緣快取中的物件提供服務,直到每個物件上的 TTL 到期,或者直到很少未被請求的物件被逐出。

通訊協定 (僅限自訂原始伺服器)

注意

這僅適用於自訂原始伺服器。

在從原始伺服器擷取物件時,您想要 CloudFront 使用的通訊協定政策。

請選擇下列其中一個值:

  • HTTP only (僅限 HTTP): CloudFront 只會使用 HTTP 來存取原始伺服器。

    重要

    當原始伺服器是 Amazon S3 靜態網站託管端點時,HTTP only (僅限 HTTP) 是預設設定,因為 Amazon S3 不支援 HTTPS 連線的靜態網站託管端點。CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。

  • HTTPS only (僅限 HTTPS):CloudFront 僅使用 HTTPS 存取原始伺服器。

  • Match viewer (比對檢視器):CloudFront 使用 HTTP 或 HTTPS 與您的原始伺服器通訊,這取決於檢視器請求的通訊協定。請注意 CloudFront 僅會在檢視器使用 HTTP 和 HTTPS 協定發出請求時,快取物件一次。

    重要

    對於 CloudFront 轉送至此原始伺服器的 HTTPS 檢視器請求,原始伺服器上的 SSL/TLS 憑證中的網域名稱之一,必須符合您為 Origin domain (原始網域) 指定的網域名稱。否則,CloudFront 將使用 HTTP 狀態碼 502 (無效閘道) 來回應檢視器請求,而非傳回請求的物件。如需詳細資訊,請參閱與 CloudFront 搭配使用 SSL/TLS 憑證的要求

HTTP 連接埠

注意

這僅適用於自訂原始伺服器。

(選擇性) 您可以指定自訂原始伺服器偵聽的 HTTP 連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 80。

重要

當原始伺服器是 Amazon S3 靜態網站託管端點時,連線埠 80 是預設設定,因為 Amazon S3 僅支援連線埠 80 的靜態網站託管端點。CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。

HTTPS 連接埠

注意

這僅適用於自訂原始伺服器。

(選擇性) 您可以指定自訂原始伺服器偵聽的 HTTPS 連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 443。當 Protocol (通訊協定) 設定為 HTTP only (僅限 HTTP),您無法指定 HTTPS port (HTTPS 連接埠) 值。

最低來源 SSL 通訊協定

注意

這僅適用於自訂原始伺服器。

選擇 CloudFront 在建立與您原始伺服器的 HTTPS 連線時可使用的最低 TLS/SSL 通訊協定。由於較低的 TLS 通訊協定安全性較低,因此我們建議您選擇您來源支援的最新 TLS 通訊協定。當 Protocol (通訊協定) 設定為 HTTP only (僅限 HTTP),您無法指定 Minimum origin SSL protocol (最低來源 SSL 通訊協定) 值。

如果您使用 CloudFront API 來設定用於 CloudFront 的 TLS/SSL 通訊協定,則無法設定最低通訊協定。反之,您可指定所有 TLS/SSL 協定,以供 CloudFront 與您的原始伺服器搭配使用。如需詳細資訊,請參閱 Amazon CloudFront API 參考中的 OriginSslProtocols

原始伺服器路徑

如果您希望 CloudFront 從原始伺服器的目錄中請求內容,請輸入以斜線 (/) 開頭的目錄路徑。CloudFront 會將目錄路徑附加到 Origin domain (原始網域) 的值中,例如:cf-origin.example.com/production/images。請勿在路徑的尾端加上斜線 (/)。

例如,假設您已為您的分佈指定以下值:

  • Origin domain (原始網域) – 名為 amzn-s3-demo-bucket 的 Amazon S3 儲存貯體

  • Origin path (原始伺服器路徑) - /production

  • Alternate domain names (CNAME) (備用網域名稱 (CNAME))example.com

當使用者在瀏覽器中輸入 example.com/index.html 時,CloudFront 會針對 amzn-s3-demo-bucket/production/index.html 將請求傳送到 Amazon S3。

當使用者在瀏覽器中輸入 example.com/acme/index.html 時,CloudFront 會針對 amzn-s3-demo-bucket/production/acme/index.html 將請求傳送到 Amazon S3。

名稱

名稱是一個可唯一識別該分佈中此原始伺服器的字串。如果您除了預設快取行為外,還建立快取行為,則可以使用您在此處指定的名稱,以識別您所希望 CloudFront 將請求路由至其中的原始伺服器,前提是該請求需與該快取行為的路徑模式相符。

原始存取 (僅限 Amazon S3 原始伺服器)

注意

這僅適用於 Amazon S3 儲存貯體原始伺服器 (那些使用 S3 靜態網站端點的原始伺服器)。

如果您想將對 Amazon S3 儲存貯體的存取限制為僅限特定 CloudFront 分佈,請選擇 Origin access control settings (recommended) (原始伺服器存取控制設定 (建議使用))。

如果 Amazon S3 儲存貯體可公開存取,請選擇 public (公有)。

如需詳細資訊,請參閱限制對 Amazon S3 原始伺服器的存取

如需如何請求使用者只使用 CloudFront URL 來存取自訂原始伺服器上的物件的詳細資訊,請參閱限制存取自訂原始伺服器上的檔案

新增自訂標頭

如果您希望 CloudFront 在將請求傳送到您的原始伺服器時新增自訂標頭,請指定標頭名稱和值。如需詳細資訊,請參閱將自訂標頭新增至原始伺服器請求

如需可新增自訂標頭數量上限的目前上限、自訂標頭的名稱和值的最大長度,以及所有標頭名稱和值的總長度上限的詳細資訊,請參閱 配額

啟用 Origin Shield

選擇 Yes (是) 以啟用 CloudFront Origin Shield。如需 Origin Shield 的詳細資訊,請參閱 使用 Amazon CloudFront Origin Shield

連線嘗試

您可以設定 CloudFront 嘗試連線至原始伺服器的次數。您可以指定 1、2 或 3 做為嘗試次數。預設數字 (如果您未另外指定) 是 3。

將此設定與 Connection timeout (連線逾時) 搭配使用,可指定在嘗試連線至次要原始伺服器或將錯誤回應傳回給檢視器之前 CloudFront 等待的時間長度。依預設,CloudFront 會等待 30 秒 (嘗試 3 次,每次 10 秒),然後再嘗試連線至次要原始伺服器或傳回錯誤回應。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。

如果指定的連線嘗試次數失敗,CloudFront 會執行下列其中一項操作:

  • 如果原始伺服器是原始伺服器群組的一部分,則 CloudFront 會嘗試連線至次要原始伺服器。如果對次要原始伺服器指定的連線嘗試次數失敗,則 CloudFront 會傳回錯誤回應給檢視器。

  • 如果原始伺服器不是原始伺服器群組的一部分,則 CloudFront 會傳回錯誤回應給檢視器。

對於自訂原始伺服器 (包括使用靜態網站託管所配置的 Amazon S3 儲存貯體),此配置也會指定 CloudFront 嘗試從原始伺服器取得回應的次數。如需詳細資訊,請參閱回應逾時 (僅限自訂和 VPC 原始伺服器)

連線逾時。

連線逾時是嘗試建立與原始伺服器的連線時 CloudFront 所等待的秒數。您可以指定介於 1 到 10 之間的秒數 (含)。預設逾時 (如果您另外未指定) 是 10 秒。

將此設定與 Connection attempts (連線嘗試次數) 搭配使用,可指定在嘗試連線至次要原始伺服器之前或將錯誤回應傳回給檢視器之前 CloudFront 等待的時間長短。依預設,CloudFront 會等待 30 秒 (嘗試 3 次,每次 10 秒),然後再嘗試連線至次要原始伺服器或傳回錯誤回應。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。

如果 CloudFront 未在指定的秒數內建立與原始伺服器的連線,CloudFront 會執行下列其中一項操作:

  • 如果指定的 Connection attempts (連線嘗試次數)超過 1,CloudFront 會再次嘗試建立連線。CloudFront 最多可嘗試 3 次,由 Connection attempts (連線嘗試次數)的值決定。

  • 如果所有連線嘗試失敗,且原始伺服器是原始伺服器群組的一部分,則 CloudFront 會嘗試連線至次要原始伺服器。如果對次要原始伺服器指定的連線嘗試次數失敗,則 CloudFront 會傳回錯誤回應給檢視器。

  • 如果所有連線嘗試失敗,且原始伺服器不是原始伺服器群組的一部分,則 CloudFront 會傳回錯誤回應給檢視器。

回應逾時 (僅限自訂和 VPC 原始伺服器)

原始伺服器回應逾時,也稱為原始伺服器讀取逾時原始伺服器請求逾時,適用於以下兩個值:

  • 在將請求轉送到自訂原始伺服器之後,CloudFront 等待回應的時間 (以秒為單位)。

  • CloudFront 在收到來自原始伺服器的回應封包後,並在接收下一個封包前,等待的時間長短 (以秒為單位)

提示

如果因為檢視器遇到 HTTP 504 狀態碼錯誤,而您想要增加逾時值,請考慮在變更逾時值之前先探索其他方式來消除這些錯誤。請查看在 HTTP 504 狀態碼 (閘道逾時) 中的故障診斷建議。

CloudFront 行為取決於檢視器請求中的 HTTP 方法:

  • GETHEAD 請求 – 如果原始伺服器在回應逾時期間未回應或是停止回應,CloudFront 會結束連線。CloudFront 會根據 連線嘗試 的值再次嘗試連線。

  • DELETEOPTIONSPATCHPUTPOST 請求 – 如果在讀取逾時期間原始伺服器未回應,CloudFront 將會結束連線,並且不再嘗試聯絡原始伺服器。用戶端可以視需要重新提交請求。

保持連線逾時 (僅限自訂和 VPC 原始伺服器)

保持連線逾時是在取得上次封包回應之後,CloudFront 嘗試與您的自訂原始伺服器保持連線的時間 (以秒為單位)。維護持久性連線可節省重新建立 TCP 連線所需的時間,並為後續請求執行另一個 TLS 交握。增加「保持活動逾時」有助於改善分佈的「每個連線請求指標」。

注意

為了讓 Keep-alive Timeout (保持連線逾時) 值有效,必須將原始伺服器設定為允許持久連線。

回應和持續作用逾時配額

注意

這僅適用於自訂原始伺服器。

為您的 請求增加逾時後 AWS 帳戶,請更新您的分佈原始伺服器,使其具有您想要的回應逾時和持續作用逾時值。您帳戶的配額增加不會自動更新您的原始伺服器。例如,如果您使用 Lambda@Edge 函數來設定 90 秒的持續作用逾時,您的原始伺服器必須已有 90 秒以上的持續作用逾時。否則,您的 Lambda@Edge 函數可能無法執行。

如需分佈配額的詳細資訊,請參閱 分佈的一般配額

快取行為設定

快取行為可讓您為網站上的檔案的指定 URL 路徑模式配置各種 CloudFront 功能。例如,一個快取行為可能會套用到 Web 伺服器上的 images 目錄中的所有 .jpg 檔案,您正在使用它做為 CloudFront 的原始伺服器。您可以為每個快取行為設定的功能包括:

  • 路徑模式

  • 如果您為 CloudFront 分佈設定了多個原始伺服器,您希望 CloudFront 將您的請求轉送至哪個原始伺服器

  • 是否將查詢字串轉發到您的原始伺服器。

  • 存取指定的檔案是否需要已簽署的 URL

  • 是否要求使用者使用 HTTPS 來存取這些檔案

  • 這些檔案在 CloudFront 快取中停留的最短時間,此時間與原始伺服器新增至檔案中的任何 Cache-Control 標頭值無關

在建立新的分佈,您可以指定預設快取行為的設定,該設定會自動將所有請求轉發到您在建立分佈時指定的原始伺服器。在建立分發後,您可以建立額外的快取行為,以定義 CloudFront 在收到與路徑模式符合的物件的請求時如何回應,例如,*.jpg。如果您建立額外的快取行為,則預設的快取行為一律是最後要處理的。其他快取行為按其在 CloudFront 主控台中所列的順序進行處理,或者如果您使用的是 CloudFront API ,它們在分發的 DistributionConfig 元素中列出順序。如需詳細資訊,請參閱路徑模式

當建立快取行為時,您可以指定一個您希望 CloudFront 從中取得物件的原始伺服器。因此,如果您希望 CloudFront 從您的所有原始伺服器分配物件,則必須至少擁有的快取行為儘可能與該您的原始伺服器一樣多 (包括預設的快取行為)。例如,如果您有兩部原始伺服器,且只有預設的快取行為,則預設快取行為會導致 CloudFront 從其中一部原始伺服器取得物件,但永遠不會使用其他原始伺服器。

如需您可為分發新增之快取行為數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額

路徑模式

路徑模式 (例如,images/*.jpg) 指定您希望將此快取行為套用到哪些請求。當 CloudFront 收到檢視器請求時,會依快取行為在分佈中的排列順序,比較請求的路徑與路徑模式。第一種符合決定哪個快取行為套用到該請求。例如,假設您在以下三種路徑模式下有三個快取行為模式,並按此順序排列:

  • images/*.jpg

  • images/*

  • *.gif

注意

您可以選擇在路徑模式的開頭包括斜線 (/),例如 /images/*.jpg。無論是否有前導斜線,CloudFront 的行為都一樣。如果您未在路徑開頭指定 /,則會自動隱含此字元;CloudFront 會使用或不使用前置 / 來處理相同的路徑。例如,CloudFront /*product.jpg會將相同 視為 *product.jpg

對檔案 images/sample.gif 的請求無法滿足第一個路徑模式,所以關聯的快取行為不能套用到該請求。該檔案確實滿足第二個路徑模式,因此即使該請求也與第三個路徑模式相符合,也會套用與第二個路徑模式相關聯的快取行為。

注意

當您建立新的分佈時,預設快取行為的 Path Pattern (路徑模式) 值將設定為 * (所有檔案),而且無法變更。這個值會導致 CloudFront 將您的物件的所有請求轉送到在 原始網域 欄位中指定的原始伺服器。如果對物件的請求與任何其他快取行為的路徑模式不符合,CloudFront 將套用您在預設快取行為中指定的行為。

重要

請謹慎定義路徑模式及其序列,否則可能會讓使用者對您的內容作出無法預料的存取。例如,假設請求與兩個快取行為的路徑模式相符合。第一個快取行為不需要簽章的 URL 和第二個快取行為確實需要簽章的 URL。使用者能夠在不使用簽署的 URL 的情況下存取物件,因為 CloudFront 處理與第一個符合相關聯的快取行為。

如果您正在使用 MediaPackage 頻道,您必須針對您為原始伺服器的端點類型定義的快取行為納入特定的路徑模式。例如,如果是 DASH 端點,請在 路徑模式 中,輸入 *.mpd。如需詳細資訊和特定說明,請參閱提供格式化為 的即時影片 AWS Elemental MediaPackage

您所指定的路徑套用到指定目錄中所有檔案和指定目錄下子目錄中所有檔案的請求。CloudFront 在評估路徑模式時不考慮查詢字串或 Cookie。例如,如果 images 目錄包含 product1product2 子目錄,則路徑模式 images/*.jpg 適用於 imagesimages/product1images/product2 目錄中任何 .jpg 檔案的請求。如果要對 images/product1 目錄中的檔案套用與 imagesimages/product2 目錄中的套用不同的快取行為,請為 images/product1 建立一個單獨的快取行為,並將該快取行為移至 images 目錄快取行為上方 (之前) 的位置。

您可以在路徑模式中使用以下萬用字元:

  • * 符合 0 或更多字元。

  • ? 符合完全 1 個字元。

以下範例說明萬用字元的工作方式:

路徑模式 與路徑模式相符的檔案

*.jpg

所有 .jpg 檔案。

images/*.jpg

位於 images 目錄和 images 目錄下子目錄中的所有 .jpg 檔案。

a*.jpg

  • 檔案名稱以 a 開頭的所有 .jpg 檔案,例如 apple.jpgappalachian_trail_2012_05_21.jpg

  • 檔案路徑以 a 開頭的所有 .jpg 檔案,例如 abra/cadabra/magic.jpg

a??.jpg

檔案名稱以 a 開頭的所有 .jpg 檔案,後面緊接恰好兩個其他字元,例如 ant.jpgabe.jpg

*.doc*

檔案名稱副檔名以 .doc 開頭的所有檔案,例如 .doc.docx.docm 檔案。在這種情況下,您不能使用路徑模式*.doc?,因為該路徑模式不適用於 .doc 檔案的請求;? 萬用字元僅取代一個字元。

路徑模式 的長度上限為 255 個字元。這個值可以包含以下任何字元:

  • A-Z、a-z

    途徑模式會區分大小寫,因此路徑模式 *.jpg 不適用於檔案 LOGO.JPG

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • & 通過並以 & 傳回

路徑標準化

CloudFront 會標準化符合 RFC 3986 的 URI 路徑,然後將路徑與正確的快取行為相符。快取行為相符後,CloudFront 會將原始 URI 路徑傳送至原始伺服器。如果不相符,請求會改為符合您的預設快取行為。

有些字元會標準化並從路徑中移除,例如多個斜線 (//) 或句點 ()..。這可能會改變 CloudFront 用來符合預期快取行為的 URL。

範例

您可以指定快取行為的 /a/b*/a* 路徑。

  • 傳送/a/b?c=1路徑的檢視器將符合/a/b*快取行為。

  • 傳送/a/b/..?c=1路徑的檢視器將符合/a*快取行為。

若要解決正標準化的路徑,您可以更新請求路徑或快取行為的路徑模式。

來源或來源群組

此設定僅適用於您為現有分佈建立或更新快取行為時。

輸入現有來源或來源群組的值。這會識別當請求 (例如 https://example.com/logo.jpg) 與快取行為的路徑模式 (例如 *.jpg) 或預設快取行為的路徑模式 (*) 相符時,您要 CloudFront 將請求路由到的原始伺服器或原始伺服器群組。

檢視器通訊協定政策

選擇您想要檢視器在 CloudFront 節點存取您的內容時使用的通訊協定政策:

  • HTTP and HTTPS (HTTP 和 HTTPS):檢視器可使用這兩種通訊協定。

  • Redirect HTTP to HTTPS (將 HTTP 重新引導到 HTTPS):檢視器可使用這兩種通訊協定,但是 HTTP 請求會自動重新引導到 HTTPS 請求。

  • HTTPS Only (僅限 HTTPS):檢視器只能在使用 HTTPS 的情況下存取您的內容。

如需詳細資訊,請參閱檢視器和 CloudFront 之間需要 HTTPS 進行通訊

Allowed HTTP methods (允許的 HTTP 方法)

指定您希望 CloudFront 處理並轉送到您的原始伺服器的 HTTP 方法。

  • GET、HEAD:您只能使用 CloudFront 來從您的原始伺服器取得物件或物件標頭。

  • GET、HEAD、OPTIONS:您只能使用 CloudFront 來從您的原始伺服器取得物件,取得物件標頭或擷取原始伺服器支援的選項清單。

  • GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE:您可以使用 CloudFront 來取得、新增、更新和刪除物件,以及取得物件標頭。此外,您可以執行其他 POST 操作,例如從 Web 表單提交資料。

    注意

    如果您在工作負載中使用 gRPC,則必須選取 GET、HEAD、OPONS、PUT、POST、PATCH、DELETE。gRPC 工作負載需要 POST方法。如需詳細資訊,請參閱使用 gRPC 搭配 CloudFront 分佈

    CloudFront 快取對 GETHEAD 請求的回應,以及 可選的 OPTIONS 請求的回應。OPTIONS 請求的回應與 GETHEAD 請求的回應分開快取 (OPTIONS 方法包含在適用於 OPTIONS 請求的快取金鑰中)。CloudFront 不會快取對使用其他方法之請求的回應。

重要

如果您選擇 GET、HEAD、OPTIONSGET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE,則可能需要限制對 Amazon S3 儲存貯體或自訂原始伺服器原始伺服器的存取,以防止使用者執行不希望它們執行的操作。下列範例說明如何限制存取:

  • 如果您正在使用 Amazon S3 做為分佈的原始伺服器:建立 CloudFront 原始存取控制以限制對 Amazon S3 內容的存取,並為原始存取控制授予許可。例如,若您將 CloudFront 配置為接受並轉送這些方法,因為您要使用 PUT,則仍然必須配置 Amazon S3 儲存貯體原則以正確處理 DELETE 請求。如需詳細資訊,請參閱限制對 Amazon S3 原始伺服器的存取

  • 如果您使用自訂原始伺服器:請設定您的原始伺服器以處理所有方法。例如,如果您將 CloudFront 配置為接受並轉送這些方法,因為您要使用 POST,則仍然必須配置您的原始伺服器以正確處理 DELETE 請求。

欄位層級加密 Config

如果想要針對特定資料欄位強制執行欄位層級加密,請在下拉式清單中選擇欄位層級加密組態。

如需詳細資訊,請參閱使用欄位層級加密來協助保護敏感資料

快取的 HTTP 方法

指定當檢視器提交 OPTIONS 請求,您是否希望 CloudFront 快取原始伺服器原始伺服器的回應。CloudFront 一律快取 GETHEAD 請求的回應。

透過 HTTP/2 允許 gRPC 請求

指定您是否希望分發允許 gRPC 請求。若要啟用 gRPC,請選取下列設定:

  • 針對允許的 HTTP 方法,選取 GET、HEAD、OPONS、PUT、POST、PATCH、DELETE 方法。gRPC 需要 POST方法。

  • 選取選取POST方法後出現的 gRPC 核取方塊。

  • 針對 支援的 HTTP 版本,選取 HTTP/2

如需詳細資訊,請參閱使用 gRPC 搭配 CloudFront 分佈

根據選取請求標頭的快取

指定是否希望 CloudFront 根據特定標頭的值來快取物件:

  • 無 (提升快取) – CloudFront 不會根據標頭值快取物件。

  • 允許清單 – CloudFront 僅依據指定標頭的值來快取物件。使用允許清單標頭選擇您希望 CloudFront 進行快取時所依據的標頭。

  • 所有 – CloudFront 不會快取與此快取行為相關聯的物件。相反地,CloudFront 會將每個請求傳送給原始伺服器。(不建議用於 Amazon S3 原始伺服器。)

無論您選擇的選項為何,CloudFront 皆會轉送特定標頭到原始伺服器,並根據您轉送的標頭來採取特定動作。如需 CloudFront 處理標頭轉送的詳細資訊,請參閱HTTP 請求標頭和 CloudFront 行為 (自訂和 Amazon S3 原始伺服器)

如需如何使用請求標頭以在 CloudFront 配置快取的詳細資訊,請參閱根據請求標頭快取內容

允許清單標頭

這些設定僅適用於您根據選取的請求標頭選擇快取允許清單時。

指定希望 CloudFront 在快取物件時考慮的標頭。從可用標頭清單中選擇標頭,然後選擇 Add (新增)。若要轉送自訂標頭,請在欄位中輸入標頭的名稱,然後選擇 Add Custom (新增自訂)

如需您可為每個快取行為列入允許清單之標頭數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱標頭的配額

物件快取

如果您的原始伺服器向您的物件新增 Cache-Control 標頭以控制物件在 CloudFront 快取中的停留時間,而且您不想變更 Cache-Control 值,請選擇使用原始伺服器快取標頭

若要指定物件停留在 CloudFront 快取中的最短和最長時間,而不考慮 Cache-Control 標頭,以及當物件中的 Cache-Control 標頭時遺失時,物件停留在 CloudFront 快取中的預設時間,請選擇自訂。然後,在 Minimum TTL (最短 TTL)Default TTL (預設 TTL)Maximum TTL (最長 TTL) 欄位中指定值。

如需詳細資訊,請參閱管理內容在快取中停留的時間 (過期)

最短 TTL

指定時間的長度下限 (以秒為單位),此時間是您希望在 CloudFront 傳送另一個請求至原始伺服器前,物件要停留在 CloudFront 快取中以判定物件是否已更新的時間。

如需詳細資訊,請參閱管理內容在快取中停留的時間 (過期)

最長 TTL

指定希望物件在 CloudFront 快取中停留的最長時間 (以秒為單位),然後在 CloudFront 查詢您的原始伺服器原始伺服器,以查看該物件是否已更新。您為 Maximum TTL (最長 TTL) 指定的值僅適用於您的原始伺服器將 HTTP 標題 (例如 Cache-Control max-ageCache-Control s-maxageExpires) 新增至物件時。如需詳細資訊,請參閱管理內容在快取中停留的時間 (過期)

若要指定 Maximum TTL (最長 TTL) 的值,您必須為 Object Caching (物件快取) 設定選擇 Customize (自訂) 選項。

Maximum TTL (最長 TTL) 的預設值為 31536000 秒 (一年)。如果將 Minimum TTL (最短 TTL)Default TTL (預設 TTL) 的值變更為 31536000 秒以上,則 Maximum TTL (最長 TTL) 的預設值將變更為 Default TTL (預設 TTL) 的值。

預設 TTL

指定您希望物件在 CloudFront 快取中停留的預設時間,然後 CloudFront 會將另一個請求轉送到原始伺服器,以判斷物件是否已更新。您為 Default TTL (預設 TTL) 指定的值僅適用於您的原始伺服器不會將 HTTP 標題 (例如 Cache-Control max-ageCache-Control s-maxageExpires) 新增至物件時。如需詳細資訊,請參閱管理內容在快取中停留的時間 (過期)

若要指定 Default TTL (預設 TTL) 的值,您必須為 Object Caching (物件快取) 設定選擇 Customize (自訂) 選項。

Default TTL (預設 TTL) 的預設值為 86400 秒 (一天)。如果將 Minimum TTL (最短 TTL) 的值變更為 86400 秒以上,則 Default TTL (預設 TTL) 的預設值將變更為 Minimum TTL (最短 TTL) 的值。

轉送 Cookie

注意

對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。

指定您是否希望 CloudFront 轉送 Cookie 到原始伺服器,若要轉送,則請指定是哪些 Cookie。如果您選擇僅轉送所選取的 Cookie (Cookie 的允許清單),請在允許清單 Cookie 欄位中輸入 Cookie 名稱。如果您選擇所有,無論您的應用程式使用多少,CloudFront 都會轉送所有Cookie。

Amazon S3 並不處理 Cookie,而且將 Cookie 轉送到原始伺服器的動作,會降低快取的能力。對於將請求轉送到 Amazon S3 原始伺服器的快取行為,請為轉送 Cookie選擇

如需有關將 Cookie 轉發到原始伺服器的詳細資訊,請前往根據 Cookie 快取內容

允許清單 Cookie

注意

對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。

如果您在轉送 Cookies 清單中選擇了允許清單,請在允許清單 Cookies 欄位中輸入您希望 CloudFront 針對此快取行為要轉送至原始伺服器的 Cookie 名稱。在新的列上輸入每個 Cookie 名稱。

您可以指定以下萬用字元,以指定 Cookie 名稱:

  • * 符合 Cookie 名稱中的 0 個或多個字元

  • ? 僅符合 Cookie 名稱中的一個字元

例如,假設檢視器為包含 Cookie 的物件作請求,其 Cookie 名為:

userid_member-number

其中每個使用者都有會員編號的唯一值。您希望 CloudFront 為每個成員快取單獨版本的物件。您可以透過將所有 Cookie 轉送到原始伺服器原始伺服器來達成此目標,但檢視器請求包含一些您不希望 CloudFront 快取的 Cookie。或者,您可以指定以下值做為 Cookie 名稱,這會導致 CloudFront 將所有以 userid_ 開頭的 Cookie 轉送至原始伺服器:

userid_*

如需您可為每個快取行為列入允許清單之 Cookie 名稱的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱Cookie 的配額 (舊版快取設定)

查詢字串轉送和快取

CloudFront 可以根據查詢字串參數的值快取不同版本的內容。請選擇下列其中一個選項:

無 (提升快取)

如果您的原始來源傳回物件的相同版本,而不考慮查詢字串參數的值,請選擇此選項。這會增加 CloudFront 的可能性,可以提供來自快取的請求,這可以提高效能,並降低您的原始伺服器原始伺服器的負載。

全部轉送,依據允許清單進行快取

如果您的原始伺服器根據一或多個查詢字串參數傳回物件的不同版本,請選擇此選項。接著,在 查詢字串允許清單 欄位中,指定您希望 CloudFront 使用做為快取基礎的參數。

轉發所有,根據所有快取

如果您的原始伺服器針對所有查詢字串參數傳回物件的不同版本,請選擇此選項。

如需有關根據查詢字串參數進行快取的詳細資訊,包括如何提升效能,請參閱根據查詢字串參數快取內容

查詢字串允許清單

此設定僅適用於您根據 的允許清單選擇全部轉送快取查詢字串轉送和快取。您可以指定要 CloudFront 用作快取基礎的查詢字串參數。

Smooth Streaming

如果您想要以 Microsoft Smooth Streaming 格式分配媒體檔案,而且您沒有 IIS 伺服器,請選擇 Yes (是)。

如果您有 Microsoft IIS 伺服器,而且想要將它當做以 Microsoft Smooth Streaming 格式分配媒體檔案的原始伺服器使用,或者您並非分配 Smooth Streaming 媒體檔案,請選擇 No (否)。

注意

如果您指定 Yes (是),而內容與 Path Pattern (路徑模式) 的值符合,您仍然可以使用此快取行為分配其他內容。

如需詳細資訊,請參閱設定 Microsoft Smooth Streaming 的隨需影片

限制檢視器存取 (使用已簽章的 URL 或已簽章的 Cookie)

如果您希望與此快取行為之 PathPattern 相符的物件請求使用公有 URL,請選擇 No (否)

如果您希望與此快取行為之 PathPattern 相符的物件請求使用已簽章的 URL,請選擇 Yes (是)。然後指定您要用來建立已簽署 URLs AWS 的帳戶;這些帳戶稱為信任簽署者。

如需有關可信任簽署者的詳細資訊,請參閱指定可以建立已簽署 URLs簽署者

可信簽署者

此設定僅適用於您為限制檢視器存取選擇時 (使用已簽署 URL 或已簽署 Cookie。 URLs

選擇您要使用此快取行為做為信任簽署者的 AWS 帳戶:

  • 自我:使用您目前以信任簽署者 AWS Management Console 身分登入 的帳戶。如果您目前以 IAM 使用者身分登入,則相關聯的 AWS 帳戶會新增為信任的簽署者。

  • Specify Accounts (指定帳戶):AWS Account Numbers ( 帳號) 欄位中輸入可信任簽署者的帳號。

若要建立簽章URLs, AWS 帳戶必須至少有一個作用中的 CloudFront 金鑰對。

重要

如果您正在更新已用於分配內容的分佈,則只有在準備好開始為您的物件產生已簽章 URL 時,才會新增可信任簽署者。將可信任簽署者新增到分佈後,使用者必須使用已簽名的 URL 來存取與此 PathPattern 快取行為符合的物件。

AWS 帳戶 數字

此設定僅適用於選擇為受信任簽署者指定帳戶時。

如果您想要使用 AWS 帳戶 除了目前帳戶以外的 或 建立已簽章URLs,請在此欄位的每行輸入一個 AWS 帳戶 數字。注意下列事項:

  • 您指定的帳戶必須至少有一個作用中的 CloudFront 金鑰對。如需詳細資訊,請參閱為您的簽署者建立金鑰對

  • 您無法為 IAM 使用者建立 CloudFront 金鑰對,因此您不能將 IAM 使用者用作可信任簽署者。

  • 如需如何取得帳戶 AWS 帳戶 號碼的資訊,請參閱《 AWS 帳戶 管理參考指南》中的檢視 AWS 帳戶 識別符

  • 如果您輸入目前帳戶的帳號,CloudFront 將自動勾選 Self (自我) 核取方塊並從 AWS Account Numbers (AWS 帳號) 清單中移除該帳號。

自動壓縮物件

如果您想要 CloudFront 在檢視器支援壓縮內容時自動壓縮特定類型的檔案,請選擇。當 CloudFront 壓縮您的內容時,下載的速度會更快,因為檔案較小,而且您的網頁呈現給使用者的速度更快。如需詳細資訊,請參閱提供壓縮檔案

CloudFront 事件

此設定適用於 Lambda 函數關聯

當發生以下一或多個 CloudFront 事件時,您可以選擇執行 Lambda 函式:

  • 當 CloudFront 接收到來自檢視器的請求 (檢視器請求) 時

  • 在 CloudFront 轉寄請求至來源 (原始請求) 之前

  • 當 CloudFront 接收到來自來源的回應 (原始回應) 時

  • 在 CloudFront 傳回回應給檢視器 (檢視器回應) 之前

如需詳細資訊,請參閱選擇要觸發函數的事件

Lambda 函數 ARN

此設定適用於 Lambda 函數關聯

指定要為其新增觸發的 Lambda 函式的 Amazon 資源名稱 (ARN)。若要了解如何取得函式的 ARN,請參閱使用 CloudFront 主控台新增觸發條件的步驟 1。

包含內文

此設定適用於 Lambda 函數關聯

如需詳細資訊,請參閱包含內文

分佈設定

以下值適用於整個分佈。

價格分級

選擇對應您希望支付之 CloudFront 服務最高價的價格分級。根據預設,CloudFront 會從所有 CloudFront 區域的節點提供您的物件。

如需有關價格分級以及您選擇的價格分級如何影響分佈的 CloudFront 效能的詳細資訊,請參閱 CloudFront 定價

AWS WAF Web ACL

您可以使用 Web 應用程式防火牆 AWS WAF 來保護 CloudFront 分發,該防火牆可讓您保護 Web 應用程式和 API,以便在請求到達伺服器之前封鎖請求。在建立或編輯 CloudFront 分發時,您可以 AWS WAF 為分佈啟用

或者,您可以稍後在 AWS WAF 主控台 https://https://console.aws.amazon.com/wafv2/ 中為應用程式特有的其他威脅設定額外的安全保護。

如需 的詳細資訊 AWS WAF,請參閱 AWS WAF 開發人員指南

備用網域名稱 (CNAME)

選用。指定一或多個您要用於物件 URL 的網域名稱,而非您建立分佈時 CloudFront 指派的網域名稱。您必須擁有網域名稱,或是擁有使用它的授權;您可以透過新增 SSL/TLS 憑證來進行驗證。

例如,若您希望物件的 URL:

/images/image.jpg

看起來像此 URL:

https://www.example.com/images/image.jpg

而不是此 URL:

https://d111111abcdef8.cloudfront.net/images/image.jpg

請新增 www.example.com 的 CNAME。

重要

若您將 www.example.com 的 CNAME 新增到您的分佈,您也必須執行以下作業:

  • 使用您的 DNS 服務建立 (或更新) CNAME 記錄,以將 www.example.com 的查詢路由傳送到 d111111abcdef8.cloudfront.net

  • 將來自可信任憑證授權機構 (CA),涵蓋您新增至分佈網域名稱 (CNAME) 的憑證新增到 CloudFront,以驗證您使用該網域名稱的授權。

您必須擁有使用網域 DNS 服務提供者建立 CNAME 記錄的許可。通常,這表示您擁有網域,或者您正在為網域擁有者開發應用程式。

如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額

如需備用網域名稱的詳細資訊,請參閱透過新增備用網域名稱 (CNAMEs來使用自訂 URLs 。如需 CloudFront URL 的詳細資訊,請參閱自訂 CloudFront 中檔案的 URL 格式

SSL 憑證

若您指定要搭配分佈使用的備用網域名稱,請選擇 Custom SSL Certificate (自訂 SSL 憑證),然後,為了驗證您的憑證使用其他網域名稱,請選擇涵蓋該名稱的憑證。如果您希望檢視器使用 HTTPS 存取您的物件,請選擇支援該功能的設定。

  • 預設 CloudFront 憑證 (*.cloudfront.net) – 若您要在物件的 URL 中使用 CloudFront 網域名稱 (例如 https://d111111abcdef8.cloudfront.net/image1.jpg),請選擇此選項。

  • 自訂 SSL 憑證 – 若您希望在物件的 URL 中使用您自己的網域名稱,做為備用網域名稱 (例如 https://example.com/image1.jpg),請選擇此選項。然後要使用的憑證,其中涵蓋了備用網域名稱。憑證的清單可包括以下任何項目:

    • 提供的憑證 AWS Certificate Manager

    • 您從第三方憑證授權機構購買並上傳到 ACM 的憑證

    • 您從第三方憑證授權機構購買,並上傳到 IAM 憑證存放區的憑證

    若您選擇此設定,我們建議您僅使用您物件 URL 中的備用網域名稱 (https://example.com/logo.jpg)。若您使用 CloudFront 分佈網域名稱 (https://d111111abcdef8.cloudfront.net/logo.jpg),而用戶端因使用較舊的檢視器而不支援 SNI,檢視器回應的方式會取決於您為支援用戶端所選取的值:

    • 所有用戶端:檢視器會因為 CloudFront 網域名稱與您 SSL/TLS 憑證中的網域名稱不同而顯示警告。

    • 僅限支援伺服器名稱指示 (SNI) 的用戶端:CloudFront 失去與檢視器的連線而不傳回物件。

自訂 SSL 用戶端支援

僅適用於您為 SSL 憑證選擇自訂 SSL 憑證 (example.com://) 時。 如果您為分佈指定了一或多個備用網域名稱和自訂 SSL 憑證,請選擇您要 CloudFront 提供 HTTPS 請求的方式:

  • 支援伺服器名稱指示 (SNI) 的用戶端 - (建議) — 使用此設定,幾乎所有現代網頁瀏覽器和用戶端都可以連線到分佈,因為它們都支援 SNI。不過,有些檢視器可能會使用較舊的網頁瀏覽器或不支援 SNI 的用戶端,這表示他們無法連線至分佈。

    若要使用 CloudFront API 套用此設定,請在 SSLSupportMethod 欄位中指定 sni-only。在 AWS CloudFormation中,欄位會命名為 SslSupportMethod (請注意大小寫)。

  • 舊式用戶端支援 — 使用此設定,不支援 SNI 的舊式網頁瀏覽器和用戶端就可以連線到分佈。不過,此設定每月會產生額外費用。如需確切的價格,請移至 Amazon CloudFront 定價頁面,然後搜尋專用 IP 自訂 SSL 的頁面。

    若要使用 CloudFront API 套用此設定,請在 SSLSupportMethod 欄位中指定 vip。在 中 AWS CloudFormation, 欄位會命名為 SslSupportMethod(請注意不同的大寫)。

如需詳細資訊,請參閱選擇 CloudFront 如何提供 HTTPS 請求

安全政策 (最低 SSL/TLS 版本)

指定您希望 CloudFront 用於與檢視器 (用戶端) 之 HTTPS 連線的安全政策。安全政策判斷兩個設定:

  • CloudFront 用來與檢視器通訊的最低 SSL/TLS 通訊協定。

  • 加密,供 CloudFront 用來加密傳回給檢視器的內容。

如需安全原則 (包括每個原則所包含的通訊協定和密碼) 的詳細資訊,請參閱檢視器和 CloudFront 之間支援的通訊協定和密碼

可用的安全政策取決於您為 SSL Certificate (SSL 憑證)Custom SSL Client Support (自訂 SSL 用戶端支援) (在 CloudFront API 中稱為 CloudFrontDefaultCertificateSSLSupportMethod) 指定的值:

  • SSL 憑證預設 CloudFront 憑證 (*. cloudfront.net) 時 (在 API 中則是 CloudFrontDefaultCertificatetrue),CloudFront 會自動將安全政策設定為 TLSv1。

  • SSL Certificate (SSL 憑證)Custom SSL Certificate (example.com) (自訂 SSL 憑證 (example.com)) Custom SSL Client Support (自訂 SSL 用戶端支援)Clients that Support Server Name Indication (SNI) - (Recommended) (支援伺服器名稱指示 (SNI) 的用戶端 - (建議使用)) 時 (在 API 中則是 CloudFrontDefaultCertificatefalse SSLSupportMethodsni-only),您可以從下列安全政策中進行選擇:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • SSL Certificate (SSL 憑證)Custom SSL Certificate (example.com) (自訂 SSL 憑證 (example.com)) Custom SSL Client Support (自訂 SSL 用戶端支援)Legacy Clients Support (舊式用戶端支援) 時 (在 API 中則是 CloudFrontDefaultCertificatefalse SSLSupportMethodvip),您可以從下列安全政策中進行選擇:

    • TLSv1

    • SSLv3

    在此組態中,無法在 CloudFront 主控台或 API 中使用 TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 和 TLSv1_2016 安全政策。如果您想要使用這些安全政策之一,您可以選擇下列選項:

    • 評估您的分佈是否需要具有專用 IP 位址的舊式用戶端支援。如果您的檢視器支援伺服器名稱指示 (SNI),我們建議您將分佈的 Custom SSL Client Support (自訂 SSL 用戶端支援) 設定更新為 Clients that Support Server Name Indication (SNI) (支援伺服器名稱指示 (SNI) 的用戶端) (在 API 中則是將 SSLSupportMethod 設為 sni-only)。這可讓您使用任何可用的 TLS 安全政策,也可以降低 CloudFront 費用。

    • 如果您必須保留具有專用 IP 地址的舊式用戶端支援,則可以在 AWS 支援中心建立案例,請求其他 TLS 安全原則之一 (TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 或 TLSv1_2016)。

      注意

      在您聯絡 AWS Support 請求此變更之前,請考慮下列事項:

      • 當您將其中一個安全政策 (TLSv1.2_2021,TLSv1.2_2019,TLSv1.2_2018,TLSv1.1_2016, 或 TLSv1_2016) 新增至舊版用戶端支援分發時,安全政策會套用至您 AWS 帳戶中所有舊版用戶端支援分發的所有非 SNI 檢視器請求。不過,當檢視器將 SNI 請求傳送至具有舊式用戶端支援的分佈時,會套用該分佈的安全政策。若要確保將所需的安全政策套用至傳送至 AWS 帳戶中所有 Legacy Client Support 分佈的所有瀏覽者請求,請將所需的安全政策個別新增至每個分佈。

      • 根據定義,新的安全政策不支援舊版的相同密碼和通訊協定。例如,如果您選擇將分佈的安全政策從 TLSv1 升級到 TLSv1.1_2016,則該分佈將不再支援 DES-CBC3-SHA 加密。如需每個安全政策所支援之密碼和通訊協定的詳細資訊,請參閱檢視器和 CloudFront 之間支援的通訊協定和密碼

支援的 HTTP 版本

選擇您要在檢視器與 CloudFront 通訊時,您的分佈支援的 HTTP 版本。

針對使用 HTTP/2 的檢視器和 CloudFront,檢視器必須支援 TLSv1.2 或更新版本,和伺服器名稱指示 (SNI)。

針對使用 HTTP/3 的檢視器和 CloudFront,檢視器必須支援 TLSv1.3 和伺服器名稱指示 (SNI)。CloudFront 支援 HTTP/3 連線遷移功能,可讓檢視器在不遺失連線的情況下切換網路。如需連線遷移的詳細資訊,請參閱在 RFC 9000 的連線遷移

注意

如需支援 TLSv1.3 密碼的詳細資訊,請參閱 檢視器和 CloudFront 之間支援的通訊協定和密碼

預設根物件

選用。當檢視器請求分佈的根 URL 時 (index.html),您希望 CloudFront 向原始伺服器請求的物件 (例如 https://www.example.com/),而不是分佈中的物件 (https://www.example.com/product-description.html)。指定預設根物件可避免暴露分佈的內容。

該名稱的長度上限為 255 個字元。該名稱可以包含以下任何字元:

  • A-Z、a-z

  • 0-9

  • _ - . * $ / ~ " '

  • & 通過並以 & 傳回

當您指定預設根物件時,只需輸入物件名稱,例如,index.html。不要在物件名稱前新增 /

如需詳細資訊,請參閱指定預設根物件

標準記錄

指定您是否希望 CloudFront 記錄物件每個請求的相關資訊,並存放日誌檔案。您可以隨時啟用或停用記錄。如果您啟用記錄功能,則不會產生額外費用,但您可能會因為儲存和存取檔案而產生費用。您隨時都可刪除日誌。

CloudFront 支援下列標準記錄選項:

  • 標準記錄 (v2) – 您可以將日誌傳送至交付目的地,包括 Amazon CloudWatch Logs、Amazon Data Firehose 和 Amazon Simple Storage Service (Amazon S3)。

  • 標準記錄 (舊版) – 您只能將日誌傳送至 Amazon S3 儲存貯體。

日誌字首

(選用) 如果您啟用標準記錄 (舊版),請指定您希望 CloudFront 為此分佈的存取日誌檔案名稱加上字首的字串,例如 exampleprefix/。結尾的斜線) (/) 是可選的,但建議簡化瀏覽日誌檔案。如需詳細資訊,請參閱設定標準記錄 (舊版)

Cookie 記錄

如果您希望 CloudFront 在存取日誌中包含 Cookie,請選擇開啟。如果您選擇將 Cookie 包含在日誌中,那麼不管您如何為此分佈配置快取行為,CloudFront 都會記錄所有 Cookie:轉送所有 Cookie,不轉送 Cookie 或將指定的 Cookie 清單轉送至原始伺服器原始伺服器。

Amazon S3 不處理 Cookie,因此除非您的分佈還包含 Amazon EC2 或其他自訂原始伺服器原始伺服器,我們建議您選擇關閉做為 Cookie 記錄的值。

如需 Cookie 的詳細資訊,請參閱根據 Cookie 快取內容

啟用 IPv6

IPv6 是 IP 通訊協定的新版本。這是 IPv4 的最終替代方案,並使用較大的位址空間。CloudFront 一律會回應 IPv4 請求。如果您希望 CloudFront 回應來自 IPv4 IP 地址 (例如 192.0.2.44) 的請求,以及來自 IPv6 地址 (例如 2001:0db8:85a3::8a2e:0370:7334) 的請求,請選擇 Enable IPv6 (啟用 IPv6)。

一般而言,如果在 IPv6 網路上有需要存取您的內容的使用者,則應該啟用 IPv6。不過,如果您使用簽章的 URL 或簽章的 Cookie 來限制對內容的存取,並且如果您使用自訂政策,包含 IpAddress 參數以限制存取您的內容的 IP 地址,請不要啟用 IPv6。如果您想要透過 IP 位址限制存取一些內容,並且不限制對其他內容的存取 (或限制存取但不透過 IP 地址),則可以建立兩個分佈。如需有關使用自訂政策建立簽章的 URL 的詳細資訊,請參閱使用自訂政策建立已簽章的 URL。如需有關使用自訂政策建立簽章的 Cookie 的詳細資訊,請參閱使用自訂政策設定已簽章的 Cookie

如果您使用 Route 53 別名資源紀錄集將流量路由至 CloudFront 分佈,則在滿足以下兩個條件時,您必須建立第二個別名資源紀錄集:

  • 您為分佈啟用 IPv6

  • 您在物件的 URL 中使用備用網域名稱

如需詳細資訊,請參閱 Amazon Route 53 開發人員指南中的使用網域名稱將流量路由傳送到 Amazon CloudFront 分佈

如果您透過 Route 53 或其他 DNS 服務建立了 CNAME 資源紀錄集,則不需要進行任何變更。無論檢視器請求的 IP 地址格式如何,CNAME 記錄都會把流量路由到您的分佈。

如果您啟用 IPv6 和 CloudFront 存取日誌,c-ip 欄會包含 IPv4 和 IPv6 格式的值。如需詳細資訊,請參閱日誌檔案欄位

注意

為了保持較高的客戶可用性,如果我們的資料建議 IPv4 將提供更好的使用者體驗,CloudFront 會透過使用 IPv4 來回應檢視器請求。要了解 CloudFront 透過 IPv6 提供請求的百分比,請為您的分發啟用 CloudFront 記錄,並剖析 c-ip 列,其中包含發出請求的檢視器的 IP 地址。這個百分比應該隨著時間的推移而增長,但它仍然是少數的流量,因為 IPv6 還沒有得到全球所有檢視器網路的支援。有些檢視器網路擁有優異的 IPv6 支援,但其他檢視器網路則完全不支援 IPv6。(檢視器網路類似於家用網路或無線電信業者)。

如需我們對 IPv6 的支援的詳細資訊,請參閱 CloudFront 常見問答集。如需啟用存取日誌的資訊,請參閱欄位 標準記錄、 和 日誌字首

註解

選用。當您建立分佈,您可以包含高達 128 個字元的評論。您隨時都可以更新評論。

分佈狀態

表示是否要在部署後啟用或停用該分佈:

  • 啟用表示一旦分佈完全部署後,您就可以部署使用分佈的網域名稱的連結,使用者可以擷取內容。當分佈被啟用時,CloudFront 接受並處理使用與該分佈關聯的網域名稱的內容的任何最終使用者請求。

    當建立、修改或刪除 CloudFront 分佈時,仍需要時間將您的變更傳播到 CloudFront 資料庫。對分佈資訊的立即請求可能不會顯示其變更。傳輸通常可在幾分鐘內完成,但此時可能會增加高系統負載或網路分區。

  • 停用表示即使分佈可能已部署並可供使用,但使用者無法使用它。每當分佈停用時,CloudFront 不接受使用與該分佈關聯的網域名稱的任何最終使用者請求。在將分佈從停用狀態切換到啟用狀態之前 (透過更新分佈的組態),沒有人可以使用它。

您可以根據需要隨時在停用和啟用之間切換分佈。依照更新分佈組態處理。如需詳細資訊,請參閱更新分佈

自訂錯誤頁面和錯誤快取

當您的 Amazon S3 或自訂原始伺服器原始伺服器向 CloudFront 傳回 HTTP 4xx 和 5xx 狀態程式碼時,您可以讓 CloudFront 將物件傳回到檢視器 (例如 HTML 檔案)。關於來自原始伺服器原始伺服器或自訂錯誤頁面的錯誤回應,您還可以指定該錯誤回應在 CloudFront 邊緣快取中的時間。如需詳細資訊,請參閱針對特定 HTTP 狀態碼建立自訂錯誤頁面

注意

在建立分佈精靈中不包含以下值,因此只在您更新分佈時才能設定自訂錯誤頁面。

HTTP 錯誤代碼

您希望 CloudFront 傳回自訂錯誤頁面的 HTTP 狀態碼。您可以將 CloudFront 配置為針對 CloudFront 快取的 HTTP 狀態碼 (包括無、一些或全部) 傳回自訂錯誤頁面。

回應頁面路徑

當您的原始伺服器傳回您為錯誤代碼指定的 HTTP 狀態碼 (例如 403) 時,您希望 CloudFront 返回到檢視器的自訂錯誤頁面的路徑 (例如 /4xx-errors/403-forbidden.html)。如果您要在不同位置存放物件和自訂錯誤頁面,則您的分佈必須包含下列為屬實的快取行為:

  • Path Pattern (路徑模式) 的值與自訂錯誤訊息的路徑相符。例如,假設您已在 Amazon S3 儲存貯體名為 /4xx-errors 的目錄中儲存了 4xx 錯誤的自訂錯誤頁面。您的分佈必須包含快取行為,其路徑模式會將自訂錯誤頁面的請求路由至該位置,例如 /4xx-errors/* (/4xx-errors/*)

  • Origin (原始伺服器) 的數值將 Origin ID (原始伺服器 ID) 的數值指定給包含自訂錯誤頁面的原始伺服器。

HTTP 回應代碼

您希望 CloudFront 傳回給檢視器的 HTTP 狀態碼以及自訂錯誤頁面。

錯誤快取最短 TTL (秒)

您希望 CloudFront 從原始伺服器快取錯誤回應的最短時間。

地理限制

若您要防止選取的國家/地區的使用者存取您的內容,則可以使用允許清單封鎖清單配置您的 CloudFront 分佈。設定地理限制無需額外收費。如需詳細資訊,請參閱限制內容的地理分佈