Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Utilisez différentes origines avec les CloudFront distributions

Mode de mise au point
Utilisez différentes origines avec les CloudFront distributions - Amazon CloudFront

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lorsque vous créez une distribution, vous spécifiez l'origine à laquelle les demandes de fichiers sont CloudFront envoyées. Vous pouvez utiliser différents types d'origines avec CloudFront. Par exemple, vous pouvez utiliser un compartiment Amazon S3, un MediaStore conteneur, un MediaPackage canal, un Application Load Balancer ou une AWS Lambda fonction. URL

Utiliser un compartiment Amazon S3

Les rubriques suivantes décrivent les différentes manières d'utiliser un compartiment Amazon S3 comme origine d'une CloudFront distribution.

Utiliser un compartiment Amazon S3 standard

Lorsque vous utilisez Amazon S3 comme origine pour votre distribution, vous placez les objets que vous CloudFront souhaitez livrer dans un compartiment Amazon S3. Vous pouvez utiliser n’importe quelle méthode prise en charge par Amazon S3 pour accéder à vos objets dans Amazon S3. Par exemple, vous pouvez utiliser la console Amazon S3 ou un outil tiers. API Vous pouvez créer une hiérarchie dans votre compartiment pour stocker les objets, comme vous le feriez avec tout autre compartiment Amazon S3 standard.

L'utilisation d'un compartiment Amazon S3 existant comme serveur CloudFront d'origine ne modifie en rien le compartiment ; vous pouvez toujours l'utiliser comme vous le feriez normalement pour stocker et accéder à des objets Amazon S3 au prix standard d'Amazon S3. Le stockage d’objets dans le compartiment fait l’objet de frais Amazon S3 réguliers. Pour plus d'informations sur les frais d'utilisation CloudFront, consultez Amazon CloudFront Pricing. Pour plus d'informations sur l'utilisation CloudFront avec un compartiment S3 existant, consultezAjouter CloudFront à un compartiment Amazon S3 existant.

Important

Pour que votre bucket fonctionne CloudFront, le nom doit être conforme aux exigences de DNS dénomination. Pour plus d’informations, consultez la section Bucket naming rules dans le Guide de l’utilisateur Amazon Simple Storage Service.

Lorsque vous spécifiez un compartiment Amazon S3 comme origine pour CloudFront, nous vous recommandons d'utiliser le format suivant :

bucket-name.s3.region.amazonaws.com

Lorsque vous spécifiez le nom du bucket dans ce format, vous pouvez utiliser les CloudFront fonctionnalités suivantes :

Ne spécifiez pas le compartiment à l’aide des formats suivants :

  • Le type de chemin d’accès Amazon S3  : s3.amazonaws.com/bucket-name

  • L'Amazon S3 CNAME

Utiliser Amazon S3 Object Lambda

Quand vous créez un point d'accès Object Lambda, Amazon S3 génère automatiquement un alias unique pour votre point d'accès Object Lambda. Vous pouvez utiliser cet alias au lieu d'un nom de compartiment Amazon S3 comme origine pour votre CloudFront distribution.

Lorsque vous utilisez un alias de point d'accès Object Lambda comme origine pour CloudFront, nous vous recommandons d'utiliser le format suivant :

alias.s3.region.amazonaws.com

Pour plus d'informations sur la manière de rechercher l'alias, consultez Comment utiliser un alias de type compartiment pour votre point d'accès Object Lambda de compartiment S3 dans le Guide de l'utilisateur Amazon S3.

Important

Lorsque vous utilisez un point d'accès Object Lambda comme origine pour CloudFront, vous devez utiliser le contrôle d'accès à l'origine.

Pour un exemple de cas d'utilisation, consultez Utiliser Amazon S3 Object Lambda avec Amazon pour adapter CloudFront le contenu aux utilisateurs finaux.

CloudFront traite l'origine d'un point d'accès Object Lambda de la même manière que l'origine d'un compartiment Amazon S3 standard.

Si vous utilisez Amazon S3 Object Lambda comme origine pour votre distribution, vous devez configurer les quatre autorisations suivantes.

Object Lambda Access Point
Pour ajouter des autorisations pour le point d'accès Object Lambda
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation, choisissez Points d'accès Lambda d'objet.

  3. Choisissez le point d'accès Object Lambda que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Stratégie de point d'accès Lambda d'objet.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": "s3-object-lambda:Get*", "Resource": "arn:aws:s3-object-lambda:region:AWS-account-ID:accesspoint/Object-Lambda-Access-Point-name", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudfront::AWS-account-ID:distribution/CloudFront-distribution-ID" } } } ] }
  7. Sélectionnez Enregistrer les modifications.

Amazon S3 Access Point
Pour ajouter des autorisations pour le point d'accès Amazon S3
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation, choisissez Points d'accès.

  3. Choisissez le point d'accès Amazon S3 que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Stratégie de point d'accès.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Id": "default", "Statement": [ { "Sid": "s3objlambda", "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": "s3:*", "Resource": [ "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name", "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name/object/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "s3-object-lambda.amazonaws.com" } } } ] }
  7. Choisissez Save (Enregistrer).

Amazon S3 bucket
Pour ajouter des autorisations au compartiment Amazon S3
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Compartiments.

  3. Choisissez le compartiment Amazon S3 que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Politique de compartiment.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "s3:DataAccessPointAccount": "AWS-account-ID" } } } ] }
  7. Sélectionnez Enregistrer les modifications.

AWS Lambda function
Pour ajouter des autorisations à la fonction Lambda
  1. Connectez-vous à la AWS Lambda console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/lambda/.

  2. Dans le volet de navigation, choisissez Fonctions.

  3. Choisissez la AWS Lambda fonction que vous souhaitez utiliser.

  4. Choisissez l'onglet Configuration, puis choisisssez Autorisations.

  5. Choisissez Ajouter des autorisations dans la section Déclarations de stratégie basées sur les ressources.

  6. Sélectionnez Compte AWS.

  7. Entrez un nom pour ID de déclaration.

  8. Entrez cloudfront.amazonaws.com pour Principal.

  9. Choisissez lambda:InvokeFunction dans le menu déroulant Action.

  10. Choisissez Save (Enregistrer).

Pour ajouter des autorisations pour le point d'accès Object Lambda
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation, choisissez Points d'accès Lambda d'objet.

  3. Choisissez le point d'accès Object Lambda que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Stratégie de point d'accès Lambda d'objet.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudfront.amazonaws.com" }, "Action": "s3-object-lambda:Get*", "Resource": "arn:aws:s3-object-lambda:region:AWS-account-ID:accesspoint/Object-Lambda-Access-Point-name", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudfront::AWS-account-ID:distribution/CloudFront-distribution-ID" } } } ] }
  7. Sélectionnez Enregistrer les modifications.

Utiliser le point d'accès Amazon S3

Lorsque vous utilisez un point d'accès S3, Amazon S3 génère automatiquement un alias unique pour vous. Vous pouvez utiliser cet alias au lieu d'un nom de compartiment Amazon S3 comme origine pour votre CloudFront distribution.

Lorsque vous utilisez un alias de point d'accès Amazon S3 comme origine pour CloudFront, nous vous recommandons d'utiliser le format suivant :

alias.s3.region.amazonaws.com

Pour plus d'informations sur la manière de les trouveralias, consultez la section Utilisation d'un alias de type bucket pour le point d'accès à votre compartiment S3 dans le guide de l'utilisateur Amazon S3.

Important

Lorsque vous utilisez un point d'accès Amazon S3 comme origine pour CloudFront, vous devez utiliser le contrôle d'accès à l'origine.

CloudFront traite l'origine d'un point d'accès Amazon S3 de la même manière qu'une origine de compartiment Amazon S3 standard.

Si vous utilisez Amazon S3 Object Lambda comme origine pour votre distribution, vous devez configurer les deux autorisations suivantes.

Amazon S3 Access Point
Pour ajouter des autorisations pour le point d'accès Amazon S3
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation, choisissez Points d'accès.

  3. Choisissez le point d'accès Amazon S3 que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Stratégie de point d'accès.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Id": "default", "Statement": [ { "Sid": "s3objlambda", "Effect": "Allow", "Principal": {"Service": "cloudfront.amazonaws.com"}, "Action": "s3:*", "Resource": [ "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name", "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name/object/*" ], "Condition": { "StringEquals": {"aws:SourceArn": "arn:aws:cloudfront::AWS-account-ID:distribution/CloudFront-distribution-ID"} } } ] }
  7. Choisissez Save (Enregistrer).

Amazon S3 bucket
Pour ajouter des autorisations au compartiment Amazon S3
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Compartiments.

  3. Choisissez le compartiment Amazon S3 que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Politique de compartiment.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], "Condition": { "StringEquals": { "s3:DataAccessPointAccount": "AWS-account-ID" } } } ] }
  7. Sélectionnez Enregistrer les modifications.

Pour ajouter des autorisations pour le point d'accès Amazon S3
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation, choisissez Points d'accès.

  3. Choisissez le point d'accès Amazon S3 que vous souhaitez utiliser.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Choisissez Modifier dans la section Stratégie de point d'accès.

  6. Collez la politique suivante dans le champ Politique.

    { "Version": "2012-10-17", "Id": "default", "Statement": [ { "Sid": "s3objlambda", "Effect": "Allow", "Principal": {"Service": "cloudfront.amazonaws.com"}, "Action": "s3:*", "Resource": [ "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name", "arn:aws:s3:region:AWS-account-ID:accesspoint/Access-Point-name/object/*" ], "Condition": { "StringEquals": {"aws:SourceArn": "arn:aws:cloudfront::AWS-account-ID:distribution/CloudFront-distribution-ID"} } } ] }
  7. Choisissez Save (Enregistrer).

Utiliser un compartiment Amazon S3 configuré comme point de terminaison de site Web

Vous pouvez utiliser un compartiment Amazon S3 configuré comme point de terminaison de site Web comme origine personnalisée avecCloudFront. Lorsque vous configurez votre CloudFront distribution, pour l'origine, entrez le point de terminaison d'hébergement de site Web statique Amazon S3 pour votre compartiment. La valeur s’affiche dans la console Amazon S3, sur l’onglet Properties (Propriétés), dans le volet Static website hosting (Hébergement de site Web statique). Par exemple :

http://bucket-name.s3-website-region.amazonaws.com

Pour de plus amples informations sur la spécification de points de terminaison web statiques Amazon S3, veuillez consulter Points de terminaison de sites web dans le Guide de l’utilisateur Amazon Simple Storage Service.

Lorsque vous spécifiez le nom du compartiment dans ce format comme votre origine, vous pouvez utiliser les redirections Amazon S3 et les documents d’erreur personnalisés Amazon S3. Pour de plus amples informations, veuillez consulter Configuration d’un document d’erreur personnalisé et Configuration d’une redirection dans le guide de l’utilisateur d’Amazon Simple Storage Service. (fournit CloudFront également des pages d'erreur personnalisées. Pour plus d'informations, voirCréation d'une page d'erreur personnalisée pour des codes d'HTTPétat spécifiques.)

L'utilisation d'un compartiment Amazon S3 comme serveur CloudFront d'origine ne modifie en rien le compartiment. Vous pouvez continuer de l’utiliser normalement et des frais Amazon S3 réguliers s’appliquent. Pour plus d'informations sur les frais d'utilisation CloudFront, consultez Amazon CloudFront Pricing.

Note

Si vous utilisez le CloudFront API pour créer votre distribution avec un compartiment Amazon S3 configuré comme point de terminaison de site Web, vous devez le configurer en utilisantCustomOriginConfig, même si le site Web est hébergé dans un compartiment Amazon S3. Pour plus d'informations sur la création de distributions à l'aide du CloudFront API, consultez CreateDistributionla CloudFront APIréférence Amazon.

Ajouter CloudFront à un compartiment Amazon S3 existant

Si vous stockez vos objets dans un compartiment Amazon S3, vous pouvez soit demander aux utilisateurs d'obtenir vos objets directement auprès de S3, soit configurer CloudFront pour obtenir vos objets depuis S3, puis les distribuer à vos utilisateurs. L'utilisation CloudFront peut être plus rentable si vos utilisateurs accèdent fréquemment à vos objets car, en cas d'utilisation élevée, le prix du transfert de CloudFront données est inférieur à celui du transfert de données Amazon S3. De plus, les téléchargements sont plus rapides avec CloudFront Amazon S3 uniquement, car vos objets sont stockés plus près de vos utilisateurs.

Note

Si vous CloudFront souhaitez respecter les paramètres de partage de ressources entre origines d'Amazon S3, configurez CloudFront pour transmettre l'Originen-tête à Amazon S3. Pour de plus amples informations, veuillez consulter Contenu du cache basé sur les en-têtes des demandes.

Si vous distribuez actuellement du contenu directement depuis votre compartiment Amazon S3 en utilisant votre propre nom de domaine (tel que example.com) au lieu du nom de domaine de votre compartiment Amazon S3 (tel que amzn-s3-demo-bucket. s3.us-west-2.amazonaws.com), vous pouvez l'ajouter CloudFront sans interruption en suivant la procédure suivante.

À ajouter CloudFront lorsque vous distribuez déjà votre contenu depuis Amazon S3
  1. Créez une CloudFront distribution. Pour de plus amples informations, veuillez consulter Créer une distribution.

    Lors de la création de la distribution, indiquez le nom de votre compartiment Amazon S3 comme serveur d’origine.

    Important

    Pour que votre bucket fonctionne CloudFront, le nom doit être conforme aux exigences de DNS dénomination. Pour plus d’informations, consultez la section Bucket naming rules dans le Guide de l’utilisateur Amazon Simple Storage Service.

    Si vous utilisez un CNAME avec Amazon S3, spécifiez-le également CNAME pour votre distribution.

  2. Créez une page web test qui contient des liens vers des objets accessibles au public dans votre compartiment Amazon S3 et testez les liens. Pour ce test initial, utilisez le nom de CloudFront domaine de votre distribution dans l'objetURLs, par exemple,https://d111111abcdef8.cloudfront.net/images/image.jpg.

    Pour plus d'informations sur le format de CloudFront URLs, consultezPersonnalisez le URL format des fichiers dans CloudFront.

  3. Si vous utilisez Amazon S3CNAMEs, votre application utilise votre nom de domaine (par exemple, exemple.com) pour référencer les objets de votre compartiment Amazon S3 au lieu d'utiliser le nom de votre compartiment (par exemple, amzn-s3-demo-bucket.s3.amazonaws.com). Pour continuer à utiliser votre nom de domaine pour référencer des objets au lieu d'utiliser le nom de CloudFront domaine de votre distribution (par exemple, d111111abcdef8.cloudfront.net), vous devez mettre à jour vos paramètres auprès de votre fournisseur de services. DNS

    Pour CNAMEs qu'Amazon S3 fonctionne, votre fournisseur de DNS services doit disposer d'un enregistrement de CNAME ressources défini pour votre domaine qui achemine actuellement les requêtes relatives au domaine vers votre compartiment Amazon S3. Si un utilisateur demande, par exemple, cet objet :

    https://example.com/images/image.jpg

    La requête est automatiquement réacheminée et l’utilisateur voit cet objet :

    https://amzn-s3-demo-bucket.s3.amazonaws.com/images/image.jpg

    Pour acheminer les requêtes vers votre CloudFront distribution plutôt que vers votre compartiment Amazon S3, vous devez utiliser la méthode fournie par votre fournisseur de DNS services pour mettre à jour l'ensemble d'enregistrements de CNAME ressources pour votre domaine. Cet CNAME enregistrement mis à jour redirige DNS les requêtes de votre domaine vers le nom de CloudFront domaine de votre distribution. Pour plus d'informations, consultez la documentation fournie par votre fournisseur DNS de services.

    Note

    Si vous utilisez Route 53 comme DNS service, vous pouvez utiliser un jeu d'enregistrements de CNAME ressources ou un jeu d'enregistrements de ressources alias. Pour de plus amples informations sur la modification des jeux d’enregistrements de ressources, veuillez consulter Modification des enregistrements. Pour de plus amples informations sur les jeux d’enregistrements de ressources d’alias, veuillez consulter Choix entre des enregistrements avec ou sans alias. Les deux rubriques se trouvent dans le Manuel du développeur Amazon Route 53.

    Pour plus d'informations sur l'utilisation CNAMEs avec CloudFront, consultezUtilisez la personnalisation URLs en ajoutant des noms de domaine alternatifs (CNAMEs).

    Une fois que vous avez mis à jour le jeu d'enregistrements de CNAME ressources, la propagation de la modification dans l'ensemble du DNS système peut prendre jusqu'à 72 heures, bien que cela se produise généralement plus rapidement. Pendant ce temps, certaines demandes concernant votre contenu continueront d'être acheminées vers votre compartiment Amazon S3, tandis que d'autres le seront. CloudFront

Déplacer un compartiment Amazon S3 vers un autre Région AWS

Si vous utilisez Amazon S3 comme origine pour une CloudFront distribution et que vous déplacez le compartiment vers une autre distribution Région AWS, la mise à jour de ses enregistrements afin d'utiliser la nouvelle région CloudFront peut prendre jusqu'à une heure lorsque les deux conditions suivantes sont remplies :

  • Vous utilisez une identité CloudFront d'accès d'origine (OAI) pour restreindre l'accès au compartiment.

  • vous déplacez le compartiment vers une région Amazon S3 qui exige Signature version 4 pour l’authentification.

Lorsque vous utilisezOAIs, CloudFront utilise la région (entre autres valeurs) pour calculer la signature qu'il utilise pour demander des objets à votre compartiment. Pour plus d'informations surOAIs, voirUtiliser une identité d'accès d'origine (ancienne, non recommandée). Pour une liste de ceux Régions AWS qui prennent en charge la version 2 de Signature, voir le processus de signature de la version 2 de Signature dans le Référence générale d'Amazon Web Services.

Pour forcer une mise à CloudFront jour plus rapide des enregistrements, vous pouvez mettre à jour votre CloudFront distribution, par exemple en mettant à jour le champ Description dans l'onglet Général de la CloudFront console. Lorsque vous mettez à jour une distribution, vérifie CloudFront immédiatement la région dans laquelle se trouve votre compartiment. La propagation du changement à tous les emplacements périphériques ne doit prendre que quelques minutes.

Utiliser un MediaStore conteneur ou un MediaPackage canal

Pour diffuser des vidéos en streaming CloudFront, vous pouvez configurer un compartiment Amazon S3 configuré en tant que MediaStore conteneur, ou créer un canal et des points de terminaison avec MediaPackage. Ensuite, vous créez et configurez une distribution CloudFront pour diffuser la vidéo.

Pour plus d'informations et step-by-step d'instructions, consultez les rubriques suivantes :

Utiliser un Application Load Balancer

Si votre origine est un ou plusieurs HTTP (S) serveurs (serveurs Web) hébergés sur une ou plusieurs EC2 instances Amazon, vous pouvez utiliser un Application Load Balancer connecté à Internet pour distribuer le trafic vers les instances. Un équilibreur de charge connecté à Internet a un DNS nom pouvant être résolu publiquement et achemine les demandes des clients vers des cibles via Internet.

Pour plus d'informations sur l'utilisation d'un Application Load Balancer comme point de départ CloudFront, notamment sur la manière de s'assurer que les utilisateurs ne peuvent accéder à vos serveurs Web que par le biais de l'équilibreur de charge CloudFront et non en accédant directement à l'équilibreur de charge, consultez. Restreindre l'accès aux équilibreurs de charge des applications

Utiliser une fonction Lambda URL

Une fonction Lambda URL est un point de HTTPS terminaison dédié pour une fonction Lambda. Vous pouvez utiliser une fonction Lambda URL pour créer une application Web sans serveur entièrement dans Lambda. Vous pouvez appeler l'application Web Lambda directement via la fonctionURL, sans avoir besoin de l'intégrer à API Gateway ou à un Application Load Balancer.

Si vous créez une application Web sans serveur à l'aide de fonctions Lambda associées à une URLs fonction, vous pouvez en CloudFront ajouter pour bénéficier des avantages suivants :

  • Accélérer votre application en mettant en cache le contenu plus près des utilisateurs

  • Utiliser un nom de domaine personnalisé pour votre application Web

  • URLAcheminez différents chemins vers différentes fonctions Lambda à l'aide CloudFront de comportements de cache

  • Bloquer des demandes spécifiques en utilisant des restrictions CloudFront géographiques ou AWS WAF (ou les deux)

  • AWS WAF À utiliser CloudFront pour protéger votre application contre les robots malveillants, empêcher les exploits courants des applications et améliorer la protection contre DDoS les attaques

Pour utiliser une fonction Lambda URL comme origine d'une CloudFront distribution, spécifiez le nom de domaine complet de la fonction Lambda URL comme domaine d'origine. Le nom de URL domaine d'une fonction Lambda utilise le format suivant :

function-URL-ID.lambda-url.AWS-Region.on.aws

Lorsque vous utilisez une fonction Lambda URL comme origine d'une CloudFront distribution, la fonction URL doit être accessible au public. Pour ce faire, utilisez l'une des options suivantes :

  • Si vous utilisez le contrôle d'accès à l'origine (OAC), le AuthType paramètre de la fonction Lambda URL doit utiliser la AWS_IAM valeur et autoriser l'lambda:InvokeFunctionUrlautorisation dans une politique basée sur les ressources. Pour plus d'informations sur l'utilisation de la fonction Lambda URLs pourOAC, consultez. Restreindre l'accès à l'origine de l'URL d'une AWS Lambda fonction

  • Si vous ne l'utilisez pasOAC, vous pouvez définir le AuthType paramètre de la fonction sur NONE et URL autoriser l'lambda:InvokeFunctionUrlautorisation dans une politique basée sur les ressources.

Vous pouvez également ajouter un en-tête d'origine personnalisé aux demandes CloudFront envoyées à l'origine et écrire un code de fonction pour renvoyer une réponse d'erreur si l'en-tête n'est pas présent dans la demande. Cela permet de s'assurer que les utilisateurs ne peuvent accéder à votre application Web que par le biais de la fonction Lambda CloudFront, et non directement à l'aide de celle-ci. URL

Pour plus d'informations sur la fonction LambdaURLs, consultez les rubriques suivantes du Guide du AWS Lambda développeur :

Utiliser Amazon EC2 (ou une autre origine personnalisée)

Une origine personnalisée est un serveur Web HTTP (S) dont le DNS nom peut être résolu publiquement et qui achemine les demandes des clients vers des cibles via Internet. Le serveur HTTP (S) peut être hébergé sur AWS une EC2 instance Amazon, par exemple, ou ailleurs. Une origine Amazon S3 configurée comme point de terminaison d’un site web est également considérée comme une origine personnalisée. Pour de plus amples informations, veuillez consulter Utiliser un compartiment Amazon S3 configuré comme point de terminaison de site Web.

Lorsque vous utilisez votre propre HTTP serveur comme origine personnalisée, vous spécifiez le DNS nom du serveur, ainsi que les HTTPS ports HTTP et le protocole que vous souhaitez utiliser CloudFront pour récupérer des objets depuis votre origine.

La plupart des CloudFront fonctionnalités sont prises en charge lorsque vous utilisez une origine personnalisée, à l'exception du contenu privé. Bien que vous puissiez utiliser une signature URL pour distribuer du contenu à partir d'une origine personnalisée, CloudFront pour accéder à l'origine personnalisée, celle-ci doit rester accessible au public. Pour de plus amples informations, veuillez consulter Diffusez du contenu privé avec des cookies signés URLs et signés.

Suivez ces instructions pour utiliser les EC2 instances Amazon et d'autres origines personnalisées avecCloudFront.

  • Hébergez et diffusez le même contenu sur tous les serveurs qui diffusent du contenu de même CloudFront origine. Pour plus d’informations, consultez Paramètres d’origine dans la rubrique Référence des paramètres de distribution.

  • Enregistrez les entrées X-Amz-Cf-Id d'en-tête sur tous les serveurs au cas où vous en auriez besoin AWS Support ou CloudFront pour utiliser cette valeur pour le débogage.

  • Limitez les demandes aux HTTPS ports HTTP et que votre origine personnalisée écoute.

  • Synchronisez les horloges de tous les serveurs de votre implémentation. Notez qu'il CloudFront utilise le temps universel coordonné (UTC) pour les cookies signés URLs et signés, pour les journaux et les rapports. En outre, si vous surveillez CloudFront l'activité à l'aide de CloudWatch métriques, notez que cela utilise CloudWatch égalementUTC.

  • Utilisez des serveurs redondants pour gérer les défaillances.

  • Pour plus d’informations sur l’utilisation d’une origine personnalisée pour servir un contenu privé consultez Restreindre l'accès aux fichiers dont l'origine est personnalisée.

  • Pour plus d'informations sur le comportement des demandes et des réponses et sur les codes HTTP d'état pris en charge, consultezComportement des demandes et des réponses.

Si vous utilisez Amazon EC2 pour une origine personnalisée, nous vous recommandons de procéder comme suit :

  • Utilisez un Amazon Machine Image qui installe automatiquement le logiciel d’un serveur web. Pour plus d'informations, consultez la EC2documentation Amazon.

  • Utilisez un équilibreur de charge Elastic Load Balancing pour gérer le trafic entre plusieurs EC2 instances Amazon et pour isoler votre application des modifications apportées aux EC2 instances Amazon. Par exemple, si vous utilisez un équilibreur de charge, vous pouvez ajouter et supprimer des EC2 instances Amazon sans modifier votre application. Pour de plus amples informations, veuillez consulter la documentation relative à Elastic Load Balancing.

  • Lorsque vous créez votre CloudFront distribution, spécifiez l'équilibreur URL de charge pour le nom de domaine de votre serveur d'origine. Pour de plus amples informations, veuillez consulter Créer une distribution.

Utiliser des groupes CloudFront d'origine

Vous pouvez spécifier un groupe d'origine pour votre CloudFront origine si, par exemple, vous souhaitez configurer le basculement d'origine pour les scénarios nécessitant une haute disponibilité. Utilisez le basculement d'origine pour désigner une origine principale et une CloudFront deuxième origine qui passe CloudFront automatiquement à une origine lorsque l'origine principale renvoie des réponses d'erreur de code d'HTTPétat spécifiques.

Pour de plus amples informations, notamment les étapes de configuration d’un groupe d’origine, veuillez consulter Optimisez la haute disponibilité grâce au basculement CloudFront d'origine.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2024, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.