# Introducción al funcionamiento de las distribuciones de varios inquilinos
Puede crear distribuciones de varios inquilinos de CloudFront con configuraciones que se puedan reutilizar en varios inquilinos de distribución. Con una distribución de varios inquilinos, puede hacer que CloudFront configure los ajustes de distribución por usted en función del tipo de origen del contenido. Para obtener más información sobre los ajustes preconfigurados, consulte [Referencia de la configuración de distribución preconfigurada](template-preconfigured-origin-settings.md).
Entre los beneficios de utilizar una distribución de varios inquilinos en lugar de una distribución estándar se incluyen los siguientes:
+ Reducción de la carga operativa.
+ Configuraciones reutilizables para que los administradores web y los proveedores de software administren la distribución de CloudFront para varias aplicaciones web que entregan contenido a los usuarios finales.
+ Integraciones mejoradas con otros Servicios de AWS para ofrecer una administración de certificados automatizada, controles de seguridad unificados y un control de configuración sencillo y a escala.
+ Mantenimiento de patrones de recursos coherentes en todas las implementaciones. Defina la configuración que se debe compartir y, a continuación, especifique las personalizaciones de la configuración que desee invalidar.
+ Configuraciones de origen y seguridad personalizables para satisfacer necesidades específicas en nivel de inquilino de distribución.
+ Organice los inquilinos de distribución en diferentes niveles. Por ejemplo, si algunos inquilinos de distribución requieren el escudo de origen y otros no, puede agrupar los inquilinos de distribución en distintas distribuciones de varios inquilinos.
+ Compartir una configuración de DNS común en varios dominios.
A diferencia de una distribución estándar, no se puede acceder directamente a una distribución de varios inquilinos porque no tiene un punto de conexión de enrutamiento de CloudFront. Por lo tanto, se debe usar junto con un grupo de conexión y uno o más inquilinos de distribución. Aunque las distribuciones estándar tienen su propio punto de conexión de CloudFront y los usuarios finales pueden acceder a ellas directamente, no se pueden utilizar como plantilla para otras distribuciones.
Para obtener información acerca de las cuotas de distribución de varios inquilinos, consulte [Cuotas en distribuciones de varios inquilinos](cloudfront-limits.md#limits-template).
**Topics**
+ [Funcionamiento](#how-template-distribution-works)
+ [Términos](#template-distributions-concepts)
+ [Características no admitidas](#unsupported-saas)
+ [Personalizaciones de inquilinos de distribución](tenant-customization.md)
+ [Solicitud de certificados para el inquilino de distribución de CloudFront](managed-cloudfront-certificates.md)
+ [Creación de un grupo de conexiones personalizado (opcional)](custom-connection-group.md)
+ [Migración a una distribución de varios inquilinos](template-migrate-distribution.md)
## Funcionamiento
En una *distribución estándar*, la distribución contiene todos los ajustes que desea habilitar para su sitio web o aplicación, como las configuraciones de origen, los comportamientos de la memoria caché y los ajustes de seguridad. Si desea crear un sitio web independiente y utilizar muchos de los mismos ajustes, tendrá que crear una nueva distribución cada vez.
Las distribuciones de varios usuarios de CloudFront son diferentes en el sentido de que puede crear una distribución de varios inquilinos inicial. Para cada sitio web nuevo, debe crear un inquilino de distribución que hereda automáticamente los valores definidos de su distribución de origen. A continuación, personaliza la configuración específica del inquilino de distribución.
**Descripción general**
1. Para empezar, primero debe crear una distribución de varios inquilinos. CloudFront configura los ajustes de distribución automáticamente en función del tipo de origen del contenido. Puede personalizar la configuración de todos los orígenes, excepto los de la VPC. La configuración de orígenes de la VPC se personaliza en el propio recurso de origen de la VPC. Para obtener más información acerca de la configuración de distribución de varios inquilinos que puede personalizar, consulte [Referencia de la configuración de distribución preconfigurada](template-preconfigured-origin-settings.md).
+ Los inquilinos de la distribución pueden heredar el certificado TLS que utilice para la distribución de varios inquilinos. La distribución de varios usuarios en sí misma no es enrutable, por lo que no tendrá un nombre de dominio asociado.
1. De forma predeterminada, CloudFront crea un grupo de conexiones para usted. El grupo de conexiones controla la forma en que las solicitudes de contenido de los lectores se conectan a CloudFront. Puede personalizar algunos ajustes de enrutamiento en el grupo de conexiones.
Puede cambiarlo mediante la creación manual del propio grupo de conexiones. Para obtener más información, consulte [Creación de un grupo de conexiones personalizado (opcional)](custom-connection-group.md).
1. A continuación, debe crear uno o varios inquilinos de distribución. El inquilino de distribución es la “puerta principal” para que los lectores accedan al contenido. Cada inquilino de distribución hace referencia a la distribución de varios inquilinos y se asocia automáticamente al grupo de conexiones que CloudFront creó para usted. El inquilino de distribución admite un dominio o subdominio individual.
1. A continuación, puede personalizar algunos ajustes de los inquilinos de distribución, como los dominios personalizados y las rutas de origen. Para obtener más información, consulte [Personalizaciones de inquilinos de distribución](tenant-customization.md).
1. Por último, debe actualizar el registro de DNS en el host de DNS para enrutar el tráfico al inquilino de distribución. Para ello, obtenga el valor del punto de conexión de CloudFront del grupo de conexiones y cree un registro de CNAME que apunte al punto de conexión de CloudFront.
**Example Ejemplo**
El siguiente gráfico muestra cómo una distribución de varios inquilinos, los inquilinos de distribución y los grupos de conexión funcionan juntos para ofrecer contenido a los lectores en varios dominios.
1. La distribución de varios inquilinos define la configuración heredada para cada inquilino de distribución. Se utiliza la distribución de varios inquilinos como plantilla.
1. Cada inquilino de distribución creado a partir de la distribución de varios inquilinos tiene su propio dominio.
1. Los inquilinos de distribución se agregan automáticamente al grupo de conexiones que CloudFront creó para usted al crear la distribución de varios inquilinos. Los grupos de conexiones controlan la forma en que las solicitudes de contenido de los lectores se conectan a la red de CloudFront.
![\[Cómo funcionan las distribuciones de varios inquilinos con los inquilinos de distribución.\]](http://docs.aws.amazon.com/es_es/AmazonCloudFront/latest/DeveloperGuide/images/template_distribution.png)
Para obtener instrucciones detalladas sobre la creación de distribuciones de varios inquilinos, consulte [Creación de una distribución de CloudFront en la consola](distribution-web-creating-console.md#create-console-distribution).
## Términos
Los siguientes conceptos describen los componentes de las distribuciones de varios inquilinos:
**Distribución de varios inquilinos**
Un esquema de distribución de varios inquilinos que especifica todos los ajustes de configuración compartidos para cualquier inquilino de distribución, incluidos el comportamiento de la caché, las protecciones de seguridad y los orígenes. Las distribuciones de varios inquilinos no pueden atender el tráfico directamente. Se deben usar junto con grupos de conexión e inquilinos de distribución.
**Distribución estándar**
Una distribución que no tiene funcionalidad de varios inquilinos. Estas distribuciones son las mejores para admitir sitios web o aplicaciones individuales.
**Inquilino de distribución**
Un inquilino de distribución hereda la configuración de distribución de varios inquilinos. Algunos ajustes de configuración se pueden personalizar en nivel de inquilino de distribución. El inquilino de distribución debe tener un certificado TLS válido, que se puede heredar de la distribución de varios inquilinos siempre que cubra el dominio o subdominio del inquilino de distribución.
El inquilino de distribución debe estar asociado a un grupo de conexiones. CloudFront crea un grupo de conexiones para usted al crear un inquilino de distribución y asigna automáticamente los inquilinos de distribución a ese grupo de conexiones.
**Tenencia múltiple**
Puede usar la distribución de varios inquilinos para ofrecer contenido en varios dominios y, al mismo tiempo, compartir la configuración y la infraestructura. Este enfoque permite que los diferentes dominios (denominados inquilinos) compartan configuraciones comunes de la distribución de varios inquilinos y, al mismo tiempo, mantengan sus propias personalizaciones.
**Grupos de conexiones**
Proporciona el punto de conexión de enrutamiento de CloudFront que sirve contenido a los lectores. Debe asociar cada inquilino de distribución a un grupo de conexiones para obtener el punto de conexión de enrutamiento de CloudFront correspondiente para el registro de CNAME que cree para su dominio o subdominio del inquilino de distribución. Los grupos de conexiones se pueden compartir entre varios inquilinos de distribución. Los grupos de conexiones administran la configuración de enrutamiento para los inquilinos de distribución, como la configuración de las listas de IP de IPv6 y Anycast.
**Parameters**
Una lista de pares clave-valor para valores de marcador de posición, como rutas de origen y nombres de dominio. Puede definir parámetros en la distribución de varios inquilinos y proporcionar valores para esos parámetros en el nivel de inquilino de distribución. Usted elige si es necesario ingresar los valores de los parámetros para el inquilino de distribución.
Si no proporciona un valor para un parámetro opcional en un inquilino de distribución, se utilizará como valor el valor predeterminado de la distribución de varios inquilinos.
**Punto de conexión de enrutamiento de CloudFront**
DNS canónico para el grupo de conexiones, como `d123.cloudfront.net`. Se utiliza en el registro CNAME del dominio o subdominio de inquilino de distribución.
**Personalizaciones**
Puede personalizar los inquilinos de distribución para que usen configuraciones *diferentes* a las de la distribución de varios inquilinos. Para cada inquilino de distribución, puede especificar una lista de control de acceso (ACL) web de AWS WAF, certificados TLS y restricciones geográficas diferentes.
## Características no admitidas
Las siguientes características no se pueden usar con una distribución de varios inquilinos. Si desea crear una nueva distribución de varios inquilinos con la misma configuración que la distribución estándar, tenga en cuenta que algunas configuraciones no están disponibles.
**Notas**
Actualmente, las políticas de AWS Firewall Manager solo se aplican a las distribuciones estándar. Firewall Manager agregará compatibilidad con distribuciones de varios inquilinos en una versión futura.
A diferencia de las distribuciones estándar, usted especifica el nombre de dominio (alias) en el nivel de *inquilino de distribución*. Para obtener más información, consulte [Solicitud de certificados para el inquilino de distribución de CloudFront](managed-cloudfront-certificates.md) y la operación de la API [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html).
+ [Implementación continua](continuous-deployment.md)
+ [Identidad de acceso de origen (OAI)](private-content-restricting-access-to-s3.md#private-content-restricting-access-to-s3-oai): utilice el [control de acceso de origen (OAC)](private-content-restricting-access-to-origin.md) en su lugar.
+ [Soporte SSL personalizado con IP dedicada](DownloadDistValuesGeneral.md#DownloadDistValuesClientsSupported): solo se admite el método `sni-only`.
+ [ACL web clásica (V1) de AWS WAF](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL): solo se admiten las ACL web de AWS WAF V2.
+ [Registro estándar (heredado)](standard-logging-legacy-s3.md)
+ [Tiempo de vida mínimo](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMinTTL)
+ [Tiempo de vida predeterminado](DownloadDistValuesCacheBehavior.md#DownloadDistValuesDefaultTTL)
+ [Tiempo de vida máximo](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMaxTTL)
+ [ForwardedValues](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ForwardedValues.html)
+ [PriceClass](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_DistributionConfig.html)
+ [Firmantes de confianza ](DownloadDistValuesCacheBehavior.md#DownloadDistValuesTrustedSigners)
+ [Smooth Streaming](DownloadDistValuesCacheBehavior.md#DownloadDistValuesSmoothStreaming)
+ [AWS Identity and Access Management (Certificados de servidor de (IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)
+ [Direcciones IP dedicadas](cnames-https-dedicated-ip-or-sni.md#cnames-https-dedicated-ip)
+ [Versión mínima de protocolo SSLv3](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy)
Los siguientes ajustes no se pueden configurar en una distribución de varios inquilinos o inquilino de distribución. En su lugar, debe establecer los valores que desee en un grupo de conexión. Todos los inquilinos de distribución asociados al grupo de conexión utilizarán esta configuración. Para obtener más información, consulte [Creación de un grupo de conexiones personalizado (opcional)](custom-connection-group.md).
+ [Habilitación de IPv6 (solicitudes de espectadores)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6)
+ [Lista de direcciones IP estáticas de Anycast](request-static-ips.md)
# Personalizaciones de inquilinos de distribución
Cuando se utiliza una distribución de varios inquilinos, los inquilinos de la distribución heredan la configuración de distribución de varios inquilinos. Sin embargo, puede personalizar algunos ajustes en el nivel de inquilino de distribución.
Puede personalizar lo siguiente:
+ **Parámetros**: los parámetros son pares clave-valor que se pueden utilizar para el dominio de origen o las rutas de origen. Consulte [Funcionamiento de los parámetros con los inquilinos de distribución](#tenant-customize-parameters).
+ **ACL web de AWS WAF (V2)**: puede especificar una ACL web independiente para el inquilino de distribución, que *invalidará* la ACL web utilizada para la distribución de varios inquilinos. También puede desactivar esta configuración para un inquilino de distribución específico, lo que significa que el inquilino de distribución no heredará las protecciones de ACL web de la distribución de varios inquilinos. Para obtener más información, consulte [ACL web de AWS WAF](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL).
+ **Restricciones geográficas**: las restricciones geográficas que especifique para un inquilino de distribución *invalidarán* cualquier restricción geográfica para la distribución de varios inquilinos. Por ejemplo, si bloquea Alemania (DE) en la distribución de varios inquilinos, todos los inquilinos de distribución asociados también bloquearán DE. Sin embargo, si permite DE para un inquilino de distribución específico, la configuración de ese inquilino de distribución invalidará la configuración de la distribución de varios inquilinos. Para obtener más información, consulte [Restricción de la distribución geográfica de su contenido](georestrictions.md).
+ **Rutas de invalidación**: especifique las rutas de archivo del contenido que desea invalidar para el inquilino de distribución. Para obtener más información, consulte [Invalidación de archivos](Invalidation_Requests.md).
+ **Certificados TLS personalizados**: los certificados de AWS Certificate Manager (ACM) que especifique para los inquilinos de distribución son complementarios al certificado proporcionado en la distribución de varios inquilinos. Sin embargo, si el certificado de distribución de varios inquilinos y el certificado de inquilino de distribución cubren el mismo dominio, se utilizará el certificado de inquilino. Para obtener más información, consulte [Solicitud de certificados para el inquilino de distribución de CloudFront](managed-cloudfront-certificates.md).
+ **Nombres de dominio**: debe especificar al menos un nombre de dominio por inquilino de distribución.
## Funcionamiento de los parámetros con los inquilinos de distribución
Un parámetro es un par clave-valor que puede utilizar como valores de marcador de posición. Defina los parámetros que desee usar en la distribución de varios inquilinos y especifique si son obligatorios.
Al definir los parámetros en la distribución de varios inquilinos, se decide si es necesario ingresar dichos parámetros en el nivel de inquilino de distribución.
+ Si define los parámetros según *sea necesario* en la distribución de varios inquilinos, deben ingresarse en el nivel de inquilino de distribución. (No se heredan).
+ Si los parámetros *no son necesarios*, puede proporcionar un valor predeterminado en la distribución multiusuario que herede el inquilino de distribución.
Puede utilizar parámetros en las siguientes propiedades:
+ Nombre de dominio de origen
+ Ruta de origen
En la distribución de varios inquilinos, puede definir hasta dos parámetros para cada una de las propiedades anteriores.
## Parámetros de ejemplo
Consulte los siguientes ejemplos a fin de utilizar parámetros para el nombre de dominio y la ruta de origen.
**Parámetros de nombre de dominio**
En la configuración de distribución de varios inquilinos, puede definir un parámetro para el nombre de dominio de origen como en los siguientes ejemplos:
**Amazon S3**
+ `{{parameter1}}.amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
+ `{{parameter1}}–amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
**Orígenes personalizados**
+ `{{parameter1}}.lambda-url.us-east-1.on.aws`
+ `{{parameter1}}.mediapackagev2.ap-south-1.amazonaws.com`
Al crear un inquilino de distribución, especifique el valor que se utilizará para `parameter1`.
```
"Parameters": [
{
"Name": "parameter1",
"Value": "mycompany-website"
}
]
```
Según los ejemplos anteriores especificados en la distribución de varios inquilinos, el nombre de dominio de origen para el inquilino de distribución se resuelve de la siguiente manera:
+ `mycompany-website.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website–amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website.lambda-url.us-east-1.on.aws`
+ `mycompany-website.mediapackagev2.ap-south-1.amazonaws.com`
**Parámetros de ruta de origen**
Del mismo modo, puede definir parámetros para la ruta de origen en la distribución de varios inquilinos como en los siguientes ejemplos:
+ `/{{parameter2}}`
+ `/{{parameter2}}/test`
+ `/public/{{parameter2}}/test`
+ `/search?name={{parameter2}}`
Al crear un inquilino de distribución, especifique el valor que se utilizará para `parameter2`.
```
"Parameters": [
{
"Name": "parameter2",
"Value": "myBrand"
}
]
```
Según los ejemplos anteriores especificados en la distribución de varios inquilinos, la ruta de origen para el inquilino de distribución se resuelve de la siguiente manera:
+ `/myBrand`
+ `/myBrand/test`
+ `/public/myBrand/test`
+ `/search?name=myBrand`
**Example Ejemplo**
Desea crear varios sitios web (inquilinos) para los clientes y debe asegurarse de que cada recurso de inquilino de distribución utilice los valores correctos.
1. Crea una distribución de varios inquilinos e incluye dos parámetros para la configuración del inquilino de distribución.
1. Para el nombre de dominio de origen, crea un parámetro denominado *customer-name* y especifica que es obligatorio. Introduce el parámetro antes del bucket de S3, de modo que aparezca como:
`{{customer-name}}.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`.
1. Para la ruta de origen, crea un segundo parámetro denominado *my-theme* y especifica que es opcional, con el valor predeterminado de *basic*. La ruta de origen aparece como `/{{my-theme}}`
1. Al crear un inquilino de distribución:
+ En el nombre de dominio, debe especificar un valor para *customer-name*, ya que está marcado como obligatorio en la distribución de varios inquilinos.
+ Para la ruta de origen, puede especificar opcionalmente un valor para *my-theme* o utilizar el valor predeterminado.
# Solicitud de certificados para el inquilino de distribución de CloudFront
Cuando crea un inquilino de distribución, el inquilino hereda el certificado compartido de AWS Certificate Manager (ACM) de la distribución de varios inquilinos. Este certificado compartido proporciona HTTPS para todos los inquilinos asociados a la distribución de varios inquilinos.
Al crear o actualizar un inquilino de distribución de CloudFront para agregar dominios, puede agregar un certificado de CloudFront administrado desde ACM. A continuación, CloudFront obtiene un certificado validado por HTTP de ACM en su nombre. Puede usar este certificado de ACM en el nivel de inquilino para configuraciones de dominio personalizadas. CloudFront optimiza el flujo de trabajo de renovación para ayudar a mantener los certificados actualizados y garantizar la entrega de contenido sin interrupciones.
**nota**
Posee el certificado, pero *solo* se puede usar con los recursos de CloudFront y la clave privada *no se puede* exportar.
Puede solicitar el certificado al crear o actualizar el inquilino de distribución.
**Topics**
+ [Agregación de un dominio y un certificado (inquilino de distribución)](#vanity-domain-tls-tenant)
+ [Configuración completa de dominio](#complete-domain-ownership)
+ [Dirección de dominios a CloudFront](#point-domains-to-cloudfront)
+ [Consideraciones sobre el dominio (inquilino de distribución)](#tenant-domain-considerations)
+ [Dominios comodín (inquilino de distribución)](#tenant-wildcard-domains)
## Agregación de un dominio y un certificado (inquilino de distribución)
El siguiente procedimiento muestra cómo agregar un dominio y actualizar el certificado de un inquilino de distribución.
**Agregación de un dominio y un certificado (inquilino de distribución)**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. En **SaaS**, elija **Inquilinos de distribución**.
1. Busque el inquilino de distribución. Utilice el menú desplegable de la barra de búsqueda para filtrar por dominio, nombre, ID de distribución, ID de certificado, ID de grupo de conexión o ID de ACL web.
1. Elija el nombre del inquilino de la distribución.
1. En **Dominios**, elija **Administrar dominio**.
1. En **Certificado**, elija si desea un **certificado TLS personalizado** para el inquilino de distribución. El certificado verifica si está autorizado a usar el nombre de dominio. El certificado debe existir en la región Este de EE. UU. (Norte de Virginia).
1. En **Dominios**, elija **Agregar dominio** e ingrese el nombre de dominio. Según el dominio, los siguientes mensajes aparecerán bajo el nombre de dominio que ingrese.
+ Este dominio está cubierto por el certificado.
+ Este dominio está cubierto por el certificado, pendiente de validación.
+ Este dominio está cubierto por el certificado. (Esto significa que debe verificar la propiedad del dominio).
1. Elija **Actualizar inquilino de distribución**.
En la página de detalles del inquilino, en **Dominios**, puede ver los siguientes campos:
+ **Propiedad del dominio**: el estado de la propiedad del dominio. Antes de que CloudFront pueda ofrecer contenido, se debe verificar la propiedad del dominio mediante la validación del certificado TLS.
+ **Estado de DNS**: los registros de DNS del dominio deben apuntar a CloudFront para enrutar el tráfico correctamente.
1. Si no se ha verificado la propiedad del dominio, en la página de detalles del inquilino, en **Dominios**, elija **Configuración completa del dominio** y, a continuación, complete el siguiente procedimiento para apuntar el registro de DNS al nombre de dominio de CloudFront.
## Configuración completa de dominio
Siga estos procedimientos para verificar que posee el dominio de los inquilinos de distribución. En función del dominio, elija uno de los procedimientos siguientes.
**nota**
Si el dominio ya apunta a CloudFront con un registro de alias de Amazon Route 53, debe agregar el registro TXT de DNS con `_cf-challenge.` delante del nombre de dominio. Este registro TXT verifica que el nombre de dominio esté vinculado a CloudFront. Repita este paso para cada dominio. A continuación, se muestra cómo actualizar el registro de TXT:
Nombre del registro: `_cf-challenge.DomainName`
Tipo del registro: `TXT`
Valor del registro: `CloudFrontRoutingEndpoint`
Por ejemplo, el registro de TXT podría tener un aspecto similar al siguiente: `_cf-challenge.example.com TXT d111111abcdef8.cloudfront.net`
Puede encontrar el punto de conexión de enrutamiento de CloudFront en la consola, en la página de detalles del arrendatario de distribución, o utilizar la acción de la API [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) en la *Referencia de la API de Amazon CloudFront* para encontrarlo.
**sugerencia**
Si es proveedor de SaaS y desea permitir la emisión de certificados sin necesidad de que los clientes (inquilinos) agreguen un registro TXT directamente al DNS, haga lo siguiente:
Si es propietario del dominio `example-saas-provider.com`, asigne subdominios a los inquilinos, como `customer-123.example-saas-provider.com`
En el DNS, agregue el registro TXT `_cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net` a la configuración de DNS.
A continuación, los clientes (los inquilinos) pueden actualizar el registro de DNS propio para asignar el nombre de dominio al subdominio que ha proporcionado usted.
`www.customer-domain.com CNAME customer-123.example-saas-provider.com`
------
#### [ I have existing traffic ]
Seleccione esta opción si el dominio no puede tolerar el tiempo de inactividad. Debe tener acceso al servidor web o de origen. Utilice el siguiente procedimiento para validar la propiedad del dominio.
**Cómo completar la configuración del dominio cuando hay tráfico**
1. En **Especificar el tráfico web**, elija **Tengo tráfico existente** y, a continuación, elija **Siguiente**.
1. En **Verificar la propiedad del dominio**, elija una de las siguientes opciones:
+ **Utilizar certificado existente**: busque un certificado de ACM existente o ingrese el ARN del certificado que cubre los dominios mostrados.
+ **Carga manual de archivos**: elija esta opción si tiene acceso directo para cargar archivos al servidor web.
Para cada dominio, cree un archivo de texto sin formato que contenga el token de validación desde la **ubicación del token** y cárguelo en el origen en la **ruta de archivo** especificada en el servidor actual. La ruta a este archivo podría tener un aspecto similar al siguiente: `/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt`. Tras completar ese paso, ACM verifica el token y, a continuación, emite el certificado TLS para el dominio.
+ **Redirección HTTP**: elija si no tiene acceso directo para cargar archivos al servidor web o si utiliza una CDN o un servicio proxy.
Para cada dominio, se crea una redirección 301 en el servidor actual. Copie la ruta conocida en **Redirigir desde** y diríjala al punto de conexión del certificado especificado en **Redirigir a**. La redirección podría tener un aspecto similar al siguiente:
```
If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
```
**nota**
Puede elegir **Comprobar el estado del certificado** para verificar cuándo ACM emite el certificado para el dominio.
1. Elija **Siguiente**.
1. Complete los pasos para [Dirección de dominios a CloudFront](#point-domains-to-cloudfront).
------
#### [ I don't have traffic ]
Seleccione esta opción si va a agregar dominios nuevos. CloudFront administrará la validación de los certificados por usted.
**Cómo completar la configuración del dominio si no tiene tráfico**
1. En **Especificar el tráfico web**, elija **Aún no tengo tráfico**.
1. Para cada nombre de dominio, complete los pasos de [Dirección de dominios a CloudFront](#point-domains-to-cloudfront).
1. Después de actualizar los registros de DNS de cada nombre de dominio, elija **Siguiente**.
1. Espere a que se emita el certificado.
**nota**
Puede elegir **Comprobar el estado del certificado** para verificar cuándo ACM emite el certificado para el dominio.
1. Elija **Enviar**.
------
## Dirección de dominios a CloudFront
Actualice los registros de DNS para dirigir el tráfico de cada dominio al punto de conexión de enrutamiento de CloudFront. Puede tener varios nombres de dominio, pero todos deben resolverse a este punto de conexión.
**Dirección de dominios a CloudFront**
1. Copie el valor del punto de conexión de enrutamiento de CloudFront, como d111111abcdef8.cloudfront.net.
1. Actualice los registros de DNS para dirigir el tráfico de cada dominio al punto de conexión de enrutamiento de CloudFront.
1. Inicie sesión en el registrador de dominios o en la consola de administración del proveedor de DNS.
1. Vaya a la sección de administración de DNS del dominio.
+ **Para subdominios**: cree un registro CNAME. Por ejemplo:
+ **Nombre**: el subdominio (como `www` o `app`)
+ **Valor/objetivo**: el punto de conexión de enrutamiento de CloudFront
+ **Tipo de registro**: CNAME
+ **TTL**: 3600 (o lo que sea adecuado para el caso de uso)
+ **Para dominios de vértice/raíz**: esto requiere una configuración de DNS única, ya que los registros CNAME estándar no se pueden utilizar en el dominio raíz o de vértice. Como la mayoría de los proveedores de DNS no admiten los registros ALIAS, recomendamos crear un registro ALIAS en Route 53. Por ejemplo:
+ **Nombre**: el dominio de apex (por ejemplo, `example.com`)
+ **Tipo de registro**: A
+ **Alias**: sí
+ **Destino de alias**: el punto de conexión de enrutamiento de CloudFront
+ **Política de enrutamiento**: simple (o lo que sea apropiado para el caso de uso)
1. Compruebe que el cambio de DNS se haya propagado. (Esto suele ocurrir cuando caduca TTL. A veces puede tardar entre 24 y 48 horas). Use una herramienta como `dig` o `nslookup`.
```
dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint
```
1. Vuelva a la consola de CloudFront y elija **Enviar**. Cuando el dominio está activo, CloudFront actualiza el estado del dominio para indicar que el dominio está listo para atender el tráfico.
Para obtener más información, consulte la documentación del proveedor de DNS:
+ [Cloudflare](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)
+ [ClouDNS](https://www.cloudns.net/wiki/article/9/)
+ [DNSimple](https://support.dnsimple.com/categories/dns/)
+ [Gandi.net](https://www.gandi.net/)
+ [GoDaddy](https://www.godaddy.com/help/manage-dns-records-680)
+ [Google Cloud DNS](https://cloud.google.com/dns/docs/records)
+ [Namecheap](https://www.namecheap.com/support/knowledgebase/article.aspx/767/10/how-to-change-dns-for-a-domain/)
## Consideraciones sobre el dominio (inquilino de distribución)
Cuando un dominio está activo, se ha establecido el control del dominio y CloudFront responderá a todas las solicitudes de los lectores a este dominio. Una vez activado, un dominio no se puede desactivar ni cambiar a un estado inactivo. El dominio no se puede asociar a otro recurso de CloudFront mientras ya esté en uso. Para asociar el dominio a otra distribución, utilice la solicitud [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) para mover el dominio de un recurso de CloudFront a otro.
Cuando un dominio está inactivo, CloudFront no responderá a las solicitudes de los lectores al dominio. Mientras el dominio esté inactivo, tenga en cuenta lo siguiente:
+ Si tiene una solicitud de certificado pendiente, CloudFront responderá a las solicitudes de la ruta conocida. Mientras la solicitud esté pendiente, el dominio no se puede asociar a ningún otro recurso de CloudFront.
+ Si no tiene una solicitud de certificado pendiente, CloudFront no responderá a las solicitudes del dominio. Puede asociar el dominio a otros recursos de CloudFront.
+ Solo puede tener *una solicitud de certificado pendiente* por inquilino de distribución. Antes de poder solicitar otro certificado para dominios adicionales, debe cancelar la solicitud pendiente existente. Cancelar una solicitud de certificado existente no elimina el certificado de ACM asociado. Puede eliminarlo mediante la API de ACM.
+ Si aplica un nuevo certificado al inquilino de la distribución, se desasociará el certificado anterior. Puede reutilizar el certificado para cubrir el dominio de otro inquilino de distribución.
Al igual que ocurre con las renovaciones de certificados validados por DNS, se le notificará cuando la renovación del certificado se realice correctamente. Sin embargo, no tiene que hacer nada. CloudFront administrará automáticamente la renovación del certificado del dominio.
**nota**
No necesita llamar a las operaciones de la API de ACM para crear o actualizar los recursos de certificados. Puede administrar los certificados mediante las operaciones de la API [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html) y [UpdateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionTenant.html) para especificar los detalles de la solicitud de certificado administrado.
## Dominios comodín (inquilino de distribución)
Los dominios comodín se admiten con los inquilinos de distribución en las siguientes situaciones:
+ Cuando el comodín se incluye en el certificado compartido que se hereda de la distribución principal de varios inquilinos
+ Cuando utiliza un certificado TLS personalizado existente y válido para el inquilino de distribución
# Creación de un grupo de conexiones personalizado (opcional)
De forma predeterminada, CloudFront crea un grupo de conexiones para usted cuando crea una distribución de varios inquilinos. El grupo de conexiones controla la forma en que las solicitudes de contenido de los lectores se conectan a CloudFront.
Se recomienda usar el grupo de conexión predeterminado. Sin embargo, si necesita aislar aplicaciones empresariales o administrar grupos de inquilinos de distribución de forma independiente, puede optar por crear un grupo de conexiones personalizado. Por ejemplo, es posible que necesite mover un inquilino de distribución a un grupo de conexiones independiente si sufre un ataque DDoS. De esta forma, puede proteger a otros inquilinos de la distribución del impacto.
## Creación de un grupo de conexiones personalizado (opcional)
Si lo desea, tiene la opción de elegir crear un grupo de conexiones personalizado para los inquilinos de distribución.
**Creación de un grupo de conexiones personalizado (opcional)**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. En el panel de navegación, seleccione **Configuración**.
1. Active la configuración del **Grupo de conexiones**.
1. En el panel de navegación, elija **Grupos de conexiones** y, a continuación, elija **Crear grupo de conexión**.
1. En **Nombre del grupo de conexiones**, escriba un nombre para el grupo de conexiones. No puede actualizar este nombre después de haber creado el grupo de conexiones.
1. Para **IPv6**, especifique si desea habilitar este protocolo IP. Para obtener más información, consulte [Habilitación de IPv6 (solicitudes de espectadores)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6).
1. Para la **lista de IP estáticas de Anycast**, especifique si desea entregar tráfico a los inquilinos de distribución desde un conjunto de direcciones IP. Para obtener más información, consulte [Lista de IP estática de Anycast](request-static-ips.md).
1. (Opcional) Agregue etiquetas al grupo de conexiones.
1. Elija **Crear grupo de conexiones**.
Cuando se crea el grupo de conexiones, puede encontrar la configuración que especificó, así como el ARN y el punto de conexión.
+ El ARN tiene el aspecto del siguiente ejemplo: `arn:aws:cloudfront::123456789012:connection-group/cg_2uVbA9KeWaADTbKzhj9lcKDoM25`
+ El punto de conexión tiene el aspecto del siguiente ejemplo: d111111abcdef8.cloudfront.net
Puede editar o eliminar un grupo de conexión personalizado una vez que lo haya creado. Antes de eliminar un grupo de conexión, primero debe eliminar todos los inquilinos de distribución asociados. No puede eliminar el grupo de conexiones predeterminado que CloudFront creó para usted cuando creó la distribución de varios inquilinos.
**importante**
Si cambia el grupo de conexiones de un inquilino de distribución, CloudFront seguirá transportando tráfico para el inquilino de distribución, pero con una mayor latencia. Le recomendamos que actualice el registro de DNS del inquilino de distribución para que utilice el punto de conexión de enrutamiento de CloudFront del nuevo grupo de conexiones.
Hasta que actualice el registro de DNS, CloudFront enrutará en función de la configuración definida para el punto de conexión de enrutamiento al que apunta actualmente el sitio web con DNS. Por ejemplo, supongamos que el grupo de conexiones predeterminado no usa direcciones IP estáticas de Anycast, pero sí lo hace el nuevo grupo de conexiones personalizado. Debe actualizar el registro de DNS antes de que CloudFront utilice las IP estáticas de Anycast para los inquilinos de distribución del grupo de conexiones personalizado.
# Migración a una distribución de varios inquilinos
Si tiene una distribución estándar de CloudFront y desea migrar a una distribución de varios inquilinos, siga estos pasos.
**Migración de una distribución estándar a una distribución de varios inquilinos**
1. Consulte el [Características no admitidas](distribution-config-options.md#unsupported-saas).
1. Cree una distribución de varios inquilinos con la misma configuración que la distribución estándar, menos las características no compatibles. Para obtener más información, consulte [Creación de una distribución de CloudFront en la consola](distribution-web-creating-console.md#create-console-distribution).
1. Cree un inquilino de distribución y agregue un nombre de dominio alternativo que le pertenezca.
**aviso**
*No* utilice el nombre de dominio actual que está asociado a la distribución estándar. Agregue un dominio de marcador de posición en su lugar. Trasladará el dominio más adelante. Para obtener más información sobre cómo crear un inquilino de distribución, consulte [Creación de una distribución de CloudFront en la consola](distribution-web-creating-console.md#create-console-distribution).
1. Proporcione un certificado existente para el dominio del inquilino de distribución. Este es el certificado que cubrirá el dominio de marcador de posición y el dominio que desea mover.
1. Copie el punto de conexión de enrutamiento de CloudFront desde la página de detalles del inquilino de distribución en la consola. Otra opción, encuéntrelo mediante la acción de la API [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) en la *Referencia de la API de Amazon CloudFront*.
1. Para verificar la propiedad del dominio, cree un registro TXT DCV con un prefijo de guion bajo ( \$1 ) que apunte al punto de conexión de enrutamiento de CloudFront para el inquilino de distribución. Para obtener más información, consulte [Dirección de dominios a CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. Cuando los cambios se hayan propagado, actualice el inquilino de la distribución para que utilice el dominio que utilizó anteriormente para la distribución estándar.
+ **Consola**: para obtener instrucciones detalladas, consulte [Agregación de un dominio y un certificado (inquilino de distribución)](managed-cloudfront-certificates.md#vanity-domain-tls-tenant).
+ **API**: utilice la acción de la API [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) en la *Referencia de la API de Amazon CloudFront*.
**importante**
Esto restablece la clave de la caché del contenido. Después de esto, CloudFront comienza a almacenar en caché su contenido mediante la nueva clave de la caché. Para obtener más información, consulte [Descripción de la clave de caché](understanding-the-cache-key.md).
1. Actualice el registro de DNS para que apunte el dominio al punto de conexión de enrutamiento de CloudFront para el inquilino de distribución. Una vez completado este paso, el dominio estará listo para servir tráfico al inquilino de distribución. Para obtener más información, consulte [Dirección de dominios a CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. (Opcional) Después de migrar correctamente el dominio a un inquilino de distribución, puede utilizar un certificado administrado por CloudFront diferente que cubra el nombre de dominio del inquilino de distribución. Para solicitar un certificado administrado, cree un registro TXT independiente para emitir el certificado y siga los pasos que se indican en [Configuración completa de dominio](managed-cloudfront-certificates.md#complete-domain-ownership).