# Restricciones en CloudFront Functions
<a name="cloudfront-function-restrictions"></a>

Las siguientes restricciones se aplican solo a CloudFront Functions.

**Contents**
+ [Registros](#cloudfront-function-restrictions-logs)
+ [Cuerpo de la solicitud](#cloudfront-function-restrictions-request-body)
+ [Uso de credenciales temporales con la API KeyValueStore de CloudFront](#regional-endpoint-for-key-value-store)
+ [Tiempo de ejecución](#cloudfront-function-runtime-restrictions)
+ [Utilización de cómputo](#cloudfront-function-restrictions-compute-utilization)

Para obtener información acerca de las cuotas (anteriormente denominadas límites), consulte [Cuotas en CloudFront Functions](cloudfront-limits.md#limits-functions).

## Registros
<a name="cloudfront-function-restrictions-logs"></a>

Los registros de funciones en CloudFront Functions están limitados a 10 KB.

## Cuerpo de la solicitud
<a name="cloudfront-function-restrictions-request-body"></a>

CloudFront Functions no tiene acceso al cuerpo de la solicitud HTTP.

## Uso de credenciales temporales con la API KeyValueStore de CloudFront
<a name="regional-endpoint-for-key-value-store"></a>

Puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales (también conocidas como *tokens de sesión*). Gracias a los tokens de sesión, podrá asumir temporalmente un rol de AWS Identity and Access Management (IAM) para poder acceder a Servicios de AWS.

Para llamar a la [API KeyValueStore de CloudFront](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_Operations_Amazon_CloudFront_KeyValueStore.html), utilice un punto de conexión *regional* en AWS STS para devolver un token de sesión de la *versión 2*. Si utiliza el punto de conexión *global* para AWS STS (`sts.amazonaws.com`), AWS STS generará un token de sesión de la *versión 1*, que no es compatible con Signature Version 4A (SigV4A). Como resultado, se producirá un error de autenticación.

Para llamar a la API KeyValueStore de CloudFront, puede utilizar las siguientes opciones: 

**SDK de AWS CLI y AWS**  
Puede configurar la AWS CLI o un SDK de AWS para utilizar puntos de conexión de AWS STS regionales. Para obtener más información, consulte [Puntos de conexión regionalizados de AWS STS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html) en la *Guía de referencia de AWS SDK y las herramientas*.  
Para obtener más información sobre los puntos de conexión de AWS STS disponibles, consulte [Regiones y puntos de conexión](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#id_credentials_region-endpoints) en la *Guía del usuario de IAM*.

**SAML**  
Puede configurar SAML para utilizar puntos de conexión de AWS STS regionales. Para obtener más información, consulte la entrada de blog [How to use regional SAML endpoints for failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

**`SetSecurityTokenServicePreferences`API **  
En lugar de utilizar un punto de conexión de AWS STS regional, puede configurar el punto de conexión global para que AWS STS devuelva tokens de sesión de la versión 2. Para ello, utilice la operación de la API [SetSecurityTokenServicePreferences](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetSecurityTokenServicePreferences.html) para configurar la Cuenta de AWS.   

**Example Ejemplo: Comando de la CLI de IAM**  

```
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
```
Le recomendamos que utilice los puntos de conexión regionales de AWS STS en lugar de esta opción. Los puntos de conexión regionales proporcionan una mayor disponibilidad y escenarios de conmutación por error.

**Proveedor de identidades personalizado**  
Si está utilizando un proveedor de identidades personalizado que realiza la federación y asume el rol, utilice una de las opciones anteriores para el sistema del proveedor de identidades principal que es responsable de generar el token de sesión.

## Tiempo de ejecución
<a name="cloudfront-function-runtime-restrictions"></a>

El entorno de tiempo de ejecución de CloudFront Functions no admite la evaluación dinámica del código y restringe el acceso a la red, al sistema de archivos, a las variables de entorno y a los temporizadores. Para obtener más información, consulte [Características restringidas](functions-javascript-runtime-10.md#writing-functions-javascript-features-restricted-features).

**nota**  
Para usar CloudFront KeyValueStore, la función de CloudFront debe usar el [tiempo de ejecución 2.0 de JavaScript](functions-javascript-runtime-20.md).

## Utilización de cómputo
<a name="cloudfront-function-restrictions-compute-utilization"></a>

CloudFront Functions tiene un límite en el tiempo que pueden tardar en ejecutarse, que se mide como *Utilización de cómputo*. La utilización de cómputo es un número entre 0 y 100 que indica la cantidad de tiempo que la función tardó en ejecutarse como porcentaje del tiempo máximo permitido. Por ejemplo, una utilización de cómputo de 35 significa que la función se completó en 35 % del tiempo máximo permitido.

Cuando [prueba una función](test-function.md), puede ver el valor de utilización de cómputo en la salida del evento de prueba. Para las funciones de producción, puede ver la [Métrica de utilización de cómputo](viewing-cloudfront-metrics.md#monitoring-console.cloudfront-functions) en la [página de Monitoring (Monitorización) de la consola de CloudFront](https://console.aws.amazon.com/cloudfront/v4/home?#/monitoring) o en CloudWatch.