Utilisez la personnalisation URLs en ajoutant des noms de domaine alternatifs (CNAMEs)

Tous les noms de domaine alternatifs (CNAMEs) doivent être en minuscules.

Pour ajouter un autre nom de domaine (CNAME) à une CloudFront distribution, vous devez joindre à votre distribution un certificat SSL/TLS valide et fiable qui couvre le nom de domaine alternatif. Cela garantit que seules les personnes ayant accès au certificat de votre domaine peuvent s'associer à CloudFront un CNAME lié à votre domaine.

Un certificat sécurisé est un certificat émis par AWS Certificate Manager (ACM) ou par une autre autorité de certification (CA) valide. Vous pouvez utiliser un certificat auto-signé pour valider un CNAME existant, mais pas pour un nouveau CNAME. CloudFront supporte les mêmes autorités de certification que Mozilla. Pour obtenir la liste actuelle, consultez la Liste des certificats de CA inclus dans Mozilla. Pour plus d'informations sur les certificats intermédiaires lors de l'utilisation d'une autorité de certification tierce, consultezCertificats intermédiaires.

Pour vérifier un autre nom de domaine à l'aide du certificat que vous joignez, y compris les noms de domaine alternatifs contenant des caractères génériques, CloudFront vérifiez le nom alternatif du sujet (SAN) sur le certificat. Le nom de domaine alternatif que vous ajoutez doit être couvert par le SAN.

Vous prouvez que vous êtes autorisé à ajouter un nom de domaine alternatif spécifique à votre distribution en effectuant l’une des actions suivantes :

Les exemples suivants illustrent comment l'utilisation de caractères génériques dans les noms de domaines dans un certificat vous autorise à ajouter des noms de domaines alternatifs spécifiques dans CloudFront.

Lorsque vous ajoutez des noms de domaine alternatifs, vous devez créer des enregistrements CNAME pour acheminer les requêtes DNS relatives aux noms de domaine alternatifs vers votre CloudFront distribution. Pour ce faire, vous devez être autorisé à créer des enregistrements CNAME auprès du fournisseur de services DNS pour les noms de domaines alternatifs que vous utilisez. Cela signifie normalement que les domaines vous appartiennent, mais vous pouvez développer une application pour le propriétaire du domaine.

Si vous souhaitez que les utilisateurs emploient HTTPS avec un nom de domaine alternatif, une configuration supplémentaire est nécessaire. Pour de plus amples informations, veuillez consulter Utiliser des noms de domaine alternatifs et le protocole HTTPS.

Pour connaître le nombre maximum actuel de noms de domaine alternatifs que vous pouvez ajouter à une distribution ou demander un quota plus élevé (auparavant appelé limite), veuillez consulter Quotas généraux sur les distributions.

Vous ne pouvez pas ajouter un autre nom de domaine à une CloudFront distribution si le même nom de domaine alternatif existe déjà dans une autre CloudFront distribution, même si l'autre distribution appartient à votre AWS compte.

Néanmoins, vous pouvez ajouter un nom de domaine alternatif à caractère générique, comme *.example.com, qui comporte (ou qui chevauche) un nom de domaine alternatif sans caractère générique, tel que www.example.com. Si des noms de domaine alternatifs se chevauchent dans deux distributions, CloudFront envoie la demande à la distribution dont le nom correspond le plus précisément, quelle que soit la distribution vers laquelle pointe l'enregistrement DNS. Par exemple, marketing.domain.com est plus spécifique que *. domain.com.

Si vous avez une entrée DNS générique pointant vers une CloudFront distribution et que vous recevez une erreur DNS mal configurée lorsque vous essayez d'ajouter un nouveau CNAME avec un nom plus spécifique, consultez. CloudFront renvoie une erreur d'enregistrement DNS mal configurée lorsque j'essaie d'ajouter un nouveau CNAME

CloudFront inclut une protection contre le fronting de domaine sur différents AWS comptes. Le fronting de domaine est un scénario dans lequel un client non standard crée une connexion TLS/SSL vers un nom de domaine dans un AWS compte, puis effectue une requête HTTPS pour un nom non lié dans un autre compte. AWS Par exemple, la connexion TLS peut se connecter à www.example.com, puis envoyer une demande pour www.example.org.

Pour éviter les cas où le fronting de domaine croise différents AWS comptes, CloudFront assurez-vous que le AWS compte propriétaire du certificat qu'il sert pour une connexion spécifique correspond toujours au AWS compte propriétaire de la demande traitée sur cette même connexion.

Si les deux numéros de AWS compte ne correspondent pas, CloudFront répond par une réponse HTTP 421 Misdirected Request pour donner au client la possibilité de se connecter en utilisant le bon domaine.

Lorsque vous ajoutez un autre nom de domaine à une distribution, vous créez généralement un enregistrement CNAME dans votre configuration DNS pour acheminer les requêtes DNS relatives au nom de domaine vers votre CloudFront distribution. Cependant, il n’est pas possible de créer un enregistrement CNAME pour le nœud supérieur d’un espace de nom DNS, également appelé zone apex. Le protocole DNS ne le permet pas. Par exemple, si vous enregistrez le nom DNS example.com, la zone apex est example.com. Vous ne pouvez pas créer un enregistrement CNAME pour example.com, mais vous pouvez créer des enregistrements CNAME pour www.example.com, newproduct.example.com, etc.

Si vous utilisez Route 53 comme service DNS, vous pouvez créer un jeu d’enregistrements de ressources d’alias, qui présente deux avantages par rapport aux enregistrements CNAME. Vous pouvez créer un jeu d’enregistrements de ressources d’alias pour un nom de domaine sur le nœud supérieur (example.com). De plus, lorsque vous utilisez un jeu d’enregistrements de ressources d’alias, vous ne payez pas pour les requêtes Route 53.

Pour plus d'informations, consultez la section Acheminer le trafic vers une distribution CloudFront Web Amazon en utilisant votre nom de domaine dans le guide du développeur Amazon Route 53.