Restricciones en CloudFront Functions - Amazon CloudFront

Restricciones en CloudFront Functions

Las siguientes restricciones se aplican solo a CloudFront Functions.

Para obtener información acerca de las cuotas (anteriormente denominadas límites), consulte Cuotas en CloudFront Functions.

Registros

Los registros de funciones en CloudFront Functions están limitados a 10 KB.

Cuerpo de la solicitud

CloudFront Functions no tiene acceso al cuerpo de la solicitud HTTP.

Uso de credenciales temporales con la API KeyValueStore de CloudFront

Puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales (también conocidas como tokens de sesión). Gracias a los tokens de sesión, podrá asumir temporalmente un rol de AWS Identity and Access Management (IAM) para poder acceder a Servicios de AWS.

Para llamar a la API KeyValueStore de CloudFront, utilice un punto de conexión regional en AWS STS para devolver un token de sesión de la versión 2. Si utiliza el punto de conexión global para AWS STS (sts.amazonaws.com), AWS STS generará un token de sesión de la versión 1, que no es compatible con Signature Version 4A (SigV4A). Como resultado, se producirá un error de autenticación.

Para llamar a la API KeyValueStore de CloudFront, puede utilizar las siguientes opciones:

SDK de AWS CLI y AWS

Puede configurar la AWS CLI o un SDK de AWS para utilizar puntos de conexión de AWS STS regionales. Para obtener más información, consulte Puntos de conexión regionalizados de AWS STS en la Guía de referencia de AWS SDK y las herramientas.

Para obtener más información sobre los puntos de conexión de AWS STS disponibles, consulte Regiones y puntos de conexión en la Guía del usuario de IAM.

SAML

Puede configurar SAML para utilizar puntos de conexión de AWS STS regionales. Para obtener más información, consulte la entrada de blog How to use regional SAML endpoints for failover.

API de SetSecurityTokenServicePreferences

En lugar de utilizar un punto de conexión de AWS STS regional, puede configurar el punto de conexión global para que AWS STS devuelva tokens de sesión de la versión 2. Para ello, utilice la operación de la API SetSecurityTokenServicePreferences para configurar la Cuenta de AWS.

ejemplo Ejemplo: Comando de la CLI de IAM
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
sugerencia

Le recomendamos que utilice los puntos de conexión regionales de AWS STS en lugar de esta opción. Los puntos de conexión regionales proporcionan una mayor disponibilidad y escenarios de conmutación por error.

Proveedor de identidades personalizado

Si está utilizando un proveedor de identidades personalizado que realiza la federación y asume el rol, utilice una de las opciones anteriores para el sistema del proveedor de identidades principal que es responsable de generar el token de sesión.

Tiempo de ejecución

El entorno de tiempo de ejecución de CloudFront Functions no admite la evaluación dinámica del código y restringe el acceso a la red, al sistema de archivos, a las variables de entorno y a los temporizadores. Para obtener más información, consulte Características restringidas.

nota

Para usar CloudFront KeyValueStore, la función de CloudFront debe usar el tiempo de ejecución 2.0 de JavaScript.

Utilización de cómputo

CloudFront Functions tiene un límite en el tiempo que pueden tardar en ejecutarse, que se mide como Utilización de cómputo. La utilización de cómputo es un número entre 0 y 100 que indica la cantidad de tiempo que la función tardó en ejecutarse como porcentaje del tiempo máximo permitido. Por ejemplo, una utilización de cómputo de 35 significa que la función se completó en 35 % del tiempo máximo permitido.

Cuando prueba una función, puede ver el valor de utilización de cómputo en la salida del evento de prueba. Para las funciones de producción, puede ver la Métrica de utilización de cómputo en la página de Monitoring (Monitorización) de la consola de CloudFront o en CloudWatch.