Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Compréhension du fonctionnement des distributions multi-locataires
Vous pouvez créer des distributions CloudFront multi-locataires avec des paramètres qui peuvent être réutilisés entre plusieurs locataires de distribution. Dans le cas d'une distribution mutualisée, vous pouvez CloudFront configurer vos paramètres de distribution pour vous, en fonction du type d'origine de votre contenu. Pour en savoir plus sur les paramètres précédents, consultez [Référence des paramètres de distribution préconfigurés](template-preconfigured-origin-settings.md).
L’utilisation d’une distribution multi-locataires plutôt qu’une distribution standard présente les avantages suivants :
+ Réduction de la charge opérationnelle.
+ Configurations réutilisables permettant aux administrateurs Web et aux fournisseurs de logiciels de gérer CloudFront la distribution de plusieurs applications Web fournissant du contenu aux utilisateurs finaux.
+ Intégrations améliorées avec d'autres solutions Services AWS pour fournir une gestion automatisée des certificats, des contrôles de sécurité unifiés et un contrôle de configuration à grande échelle sans tracas.
+ Maintien de modèles de ressources cohérents dans l’ensemble de vos implémentations. Définissez les paramètres qui doivent être partagés, puis indiquez les personnalisations à appliquer à ceux qui doivent être remplacés.
+ Paramètres d’origine et de sécurité personnalisables pour répondre à des besoins spécifiques au niveau du locataire de distribution.
+ Organisez vos locataires de distribution en différents niveaux. Par exemple, si certains locataires de distribution ont besoin d’Origin Shield et d’autres non, vous pouvez regrouper les locataires de distribution dans différentes distributions multi-locataires.
+ Partage d’une configuration DNS commune sur plusieurs domaines.
Contrairement à une distribution standard, une distribution multi-locataires n'est pas directement accessible car elle ne possède pas de point de terminaison CloudFront de routage. Elle doit donc être utilisée conjointement avec un groupe de connexion et un ou plusieurs locataires de distribution. Bien que les distributions standard aient leur propre CloudFront point de terminaison et soient directement accessibles aux utilisateurs finaux, elles ne peuvent pas être utilisées comme modèle pour d'autres distributions.
Pour plus d’informations sur les quotas de distribution multi-locataires, consultez [Quotas sur les distributions multi-locataires](cloudfront-limits.md#limits-template).
**Topics**
+ [Comment ça marche](#how-template-distribution-works)
+ [Conditions](#template-distributions-concepts)
+ [Fonctions non prises en charge](#unsupported-saas)
+ [Personnalisations du locataire de distribution](tenant-customization.md)
+ [Demandez des certificats pour votre locataire CloudFront de distribution](managed-cloudfront-certificates.md)
+ [Création d’un groupe de connexions personnalisé (facultatif)](custom-connection-group.md)
+ [Migration vers une distribution multi-locataires](template-migrate-distribution.md)
## Comment ça marche
Une *distribution standard* regroupe tous les paramètres que vous souhaitez activer pour votre site web ou votre application, notamment les configurations d’origine, les comportements du cache et les paramètres de sécurité. Si vous souhaitez créer un site web différent tout en conservant de nombreux paramètres identiques, vous devez créer une nouvelle distribution à chaque fois.
CloudFront Les distributions multi-locataires sont différentes dans la mesure où vous pouvez créer une distribution multi-locataires initiale. Pour chaque nouveau site web, vous créez un locataire de distribution qui hérite automatiquement des valeurs définies dans sa distribution source. Vous personnalisez ensuite des paramètres spécifiques pour votre locataire de distribution.
**Présentation de**
1. Pour commencer, vous devez d'abord créer une distribution multi-locataires. CloudFront configure vos paramètres de distribution pour vous, en fonction du type d'origine de votre contenu. Vous pouvez personnaliser les paramètres pour toutes les origines, à l’exception des origines VPC. Les paramètres des origines VPC sont personnalisés directement sur la ressource d’origine VPC elle-même. Pour plus d’informations sur les paramètres de distribution multi-locataires que vous pouvez personnaliser, consultez [Référence des paramètres de distribution préconfigurés](template-preconfigured-origin-settings.md).
+ Le certificat TLS que vous utilisez pour la distribution multi-locataires peut être hérité par vos locataires de distribution. La distribution multi-locataires elle-même n’est pas routable ; aucun nom de domaine ne peut donc lui être associé.
1. Par défaut, CloudFront crée un groupe de connexion pour vous. Le groupe de connexion contrôle la manière dont les demandes de contenu des utilisateurs se connectent CloudFront. Vous pouvez personnaliser certains paramètres de routage dans le groupe de connexions.
Vous pouvez les modifier en créant manuellement un groupe de connexions. Pour de plus amples informations, veuillez consulter [Création d’un groupe de connexions personnalisé (facultatif)](custom-connection-group.md).
1. Vous créez ensuite un ou plusieurs locataires de distribution. Le locataire de distribution constitue la « porte d’entrée » permettant aux utilisateurs d’accéder à votre contenu. Chaque tenant de distribution fait référence à la distribution multi-locataires et est automatiquement associé au groupe de connexion CloudFront créé pour vous. Le locataire de distribution prend en charge un domaine ou un sous-domaine individuel.
1. Vous pouvez ensuite personnaliser certains paramètres des locataires de distribution, tels que les domaines personnalisés et les chemins d’origine. Pour de plus amples informations, veuillez consulter [Personnalisations du locataire de distribution](tenant-customization.md).
1. Enfin, vous devez mettre à jour l’enregistrement DNS de votre hôte DNS pour acheminer le trafic vers le locataire de distribution. Pour ce faire, récupérez la valeur du CloudFront point de terminaison auprès de votre groupe de connexion et créez un enregistrement CNAME pointant vers le CloudFront point de terminaison.
**Example Exemple**
Le graphique suivant illustre comment une distribution multi-locataires, des locataires de distribution et des groupes de connexions collaborent pour diffuser du contenu à vos utilisateurs sur plusieurs domaines.
1. La distribution multi-locataires définit les paramètres hérités pour chaque locataire de distribution. Vous utilisez la distribution multi-locataires comme modèle.
1. Chaque locataire de distribution créé à partir de la distribution multi-locataires possède son propre domaine.
1. Les locataires de distribution sont automatiquement ajoutés au groupe de connexion CloudFront créé pour vous lorsque vous avez créé la distribution multi-locataires. Les groupes de connexion contrôlent la manière dont les demandes des utilisateurs sont connectées au CloudFront réseau.
![\[Comment fonctionnent les distributions multi-locataires avec les locataires de distribution.\]](http://docs.aws.amazon.com/fr_fr/AmazonCloudFront/latest/DeveloperGuide/images/template_distribution.png)
Pour obtenir des instructions détaillées sur la création d’une distribution multi-locataires, consultez [Création d'une CloudFront distribution dans la console](distribution-web-creating-console.md#create-console-distribution).
## Conditions
Les concepts suivants décrivent les composants des distributions multi-locataires :
**Distribution multi-locataires**
Une distribution multi-locataires servant de plan et définissant l’ensemble des paramètres de configuration partagés pour tous les locataires de distribution, notamment les comportements du cache, les protections de sécurité et les origines. Les distributions multi-locataires ne peuvent pas diffuser le trafic directement. Elles doivent donc être utilisées conjointement avec des groupes de connexions et des locataires de distribution.
**Distribution standard**
Une distribution qui ne dispose pas de fonctionnalités multi-locataires. Ces distributions sont idéales pour prendre en charge des sites web ou des applications uniques.
**Locataire de distribution**
Un locataire de distribution hérite de la configuration de distribution multi-locataires. Certains paramètres de configuration peuvent être personnalisés au niveau du locataire de distribution. Le locataire de distribution doit disposer d’un certificat TLS valide, qui peut être hérité de la distribution multi-locataires tant qu’il couvre le domaine ou le sous-domaine du locataire de distribution.
Le tenant de distribution doit être associé à un groupe de connexion. CloudFront crée un groupe de connexion pour vous lorsque vous créez un tenant de distribution, et assigne automatiquement tous les locataires de distribution à ce groupe de connexion.
**Multilocataire**
Vous pouvez utiliser la distribution multi-locataires pour diffuser du contenu sur plusieurs domaines, tout en partageant la configuration et l’infrastructure. Cette approche permet à différents domaines (appelés locataires) de partager des paramètres communs issus de la distribution multi-locataires, tout en conservant leurs propres personnalisations.
**Groupe de connexions**
Fournit le point CloudFront de terminaison de routage qui diffuse le contenu aux spectateurs. Vous devez associer chaque tenant de distribution à un groupe de connexion pour obtenir le point de terminaison de CloudFront routage correspondant à l'enregistrement CNAME que vous créez pour le domaine ou le sous-domaine de votre locataire de distribution. Les groupes de connexions peuvent être partagés entre plusieurs locataires de distribution. Les groupes de connexion gèrent les paramètres de routage pour les locataires de distribution, tels que IPv6 les paramètres de liste d'adresses IP Anycast.
**Parameters**
Liste de paires clé-valeur pour les valeurs d’espace réservé, telles que les chemins d’origine et les noms de domaine. Vous pouvez définir des paramètres dans votre distribution multi-locataires et fournir des valeurs pour ces paramètres au niveau du locataire de distribution. C’est vous qui décidez si les valeurs du paramètre doivent être saisies obligatoirement pour chaque locataire de distribution.
Si vous ne fournissez pas de valeur pour un paramètre facultatif dans un locataire de distribution, la valeur par défaut définie dans la distribution multi-locataires est utilisée.
**CloudFront point final de routage**
DNS canonique pour le groupe de connexions, tel que `d123.cloudfront.net`. Il est utilisé dans l’enregistrement CNAME de votre domaine ou sous-domaine de locataire de distribution.
**Personnalisations**
Vous pouvez personnaliser vos locataires de distribution afin qu’ils utilisent des paramètres *différents* de ceux de la distribution multi-locataires. Pour chaque locataire de distribution, vous pouvez spécifier une liste de contrôle d'accès AWS WAF Web (ACL), des certificats TLS et des restrictions géographiques différents.
## Fonctions non prises en charge
Les fonctionnalités suivantes ne peuvent pas être utilisées avec une distribution multi-locataires. Si vous souhaitez créer une nouvelle distribution multi-locataires en utilisant les mêmes paramètres que votre distribution standard, notez que certains paramètres ne sont pas disponibles.
**Remarques**
Actuellement, AWS Firewall Manager les politiques ne s'appliquent qu'à vos distributions standard. Firewall Manager ajoutera la prise en charge des distributions multi-locataires dans une future version.
Contrairement aux distributions standard, le nom de domaine (alias) doit être défini au niveau du *locataire de distribution*. Pour plus d'informations, consultez la section [Demandez des certificats pour votre locataire CloudFront de distribution](managed-cloudfront-certificates.md) et le fonctionnement de l'[CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html)API.
+ [Déploiement continu](continuous-deployment.md)
+ [Identité d’accès d’origine (OAI)](private-content-restricting-access-to-s3.md#private-content-restricting-access-to-s3-oai) : utilisez plutôt le [contrôle d’accès d’origine (OAC)](private-content-restricting-access-to-origin.md).
+ [Prise en charge SSL personnalisée avec IP dédiée](DownloadDistValuesGeneral.md#DownloadDistValuesClientsSupported) : seule la méthode `sni-only` est prise en charge.
+ [AWS WAF ACL Web classique (V1)](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL) — Seul le Web AWS WAF ACLs V2 est pris en charge.
+ [Journalisation standard (héritée)](standard-logging-legacy-s3.md)
+ [TTL minimal](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMinTTL)
+ [TTL par défaut](DownloadDistValuesCacheBehavior.md#DownloadDistValuesDefaultTTL)
+ [TTL maximal](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMaxTTL)
+ [ForwardedValues](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ForwardedValues.html)
+ [PriceClass](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_DistributionConfig.html)
+ [Signataires autorisés](DownloadDistValuesCacheBehavior.md#DownloadDistValuesTrustedSigners)
+ [Smooth Streaming](DownloadDistValuesCacheBehavior.md#DownloadDistValuesSmoothStreaming)
+ [Gestion des identités et des accès AWS certificats de serveur (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)
+ [Adresses IP dédiées](cnames-https-dedicated-ip-or-sni.md#cnames-https-dedicated-ip)
+ [Version minimale du protocole SSLv3](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy)
Les paramètres suivants ne peuvent pas être configurés dans une distribution multi-locataires ou dans un locataire de distribution. Définissez plutôt les valeurs souhaitées dans un groupe de connexions. Tous les locataires de distribution associés au groupe de connexions utiliseront ces paramètres. Pour de plus amples informations, veuillez consulter [Création d’un groupe de connexions personnalisé (facultatif)](custom-connection-group.md).
+ [Activer IPv6 (demandes du spectateur)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6)
+ [Liste d’adresses IP statique en unidiffusion](request-static-ips.md)
# Personnalisations du locataire de distribution
Lorsque vous utilisez une distribution multi-locataires, vos locataires de distribution héritent automatiquement de sa configuration. Cependant, vous pouvez personnaliser certains paramètres au niveau du locataire de distribution.
Vous pouvez personnaliser les éléments suivants :
+ **Paramètres** : les paramètres sont des paires clé-valeur que vous pouvez utiliser pour le domaine d’origine ou les chemins d’origine. Consultez [Fonctionnement des paramètres avec les locataires de distribution](#tenant-customize-parameters).
+ **AWS WAF ACL Web (V2)** — Vous pouvez spécifier une ACL Web distincte pour le locataire de distribution, qui *remplacera* l'ACL Web utilisée pour la distribution multi-locataires. Vous pouvez également désactiver ce paramètre pour un locataire de distribution spécifique, ce qui signifie que le locataire de distribution n’héritera pas des protections ACL web de la distribution multi-locataires. Pour de plus amples informations, veuillez consulter [AWS WAF ACL Web](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL).
+ **Restrictions géographiques :** les restrictions géographiques que vous spécifiez pour un locataire de distribution *remplaceront* toutes les restrictions géographiques définies pour la distribution multi-locataires. Par exemple, si vous bloquez l’Allemagne (DE) dans votre distribution multi-locataires, tous les locataires de distribution associés bloqueront également DE. Toutefois, si vous autorisez DE pour un locataire de distribution spécifique, les paramètres de ce locataire remplaceront ceux de la distribution multi-locataires. Pour de plus amples informations, veuillez consulter [Restriction de la distribution géographique de votre contenu](georestrictions.md).
+ **Chemins d’invalidation** : spécifiez les chemins de fichier vers le contenu que vous souhaitez invalider pour le locataire de distribution. Pour de plus amples informations, veuillez consulter [Invalidation de fichiers](Invalidation_Requests.md).
+ Certificats **TLS personnalisés : les certificats** AWS Certificate Manager (ACM) que vous spécifiez pour les locataires de distribution complètent le certificat fourni dans la distribution multi-locataires. Cependant, si le même domaine est couvert à la fois par le certificat de la distribution multi-locataires et par celui du locataire de distribution, alors c’est le certificat du locataire qui est utilisé. Pour de plus amples informations, veuillez consulter [Demandez des certificats pour votre locataire CloudFront de distribution](managed-cloudfront-certificates.md).
+ **Noms de domaine** : vous devez spécifier au moins un nom de domaine par locataire de distribution.
## Fonctionnement des paramètres avec les locataires de distribution
Un paramètre est une paire clé-valeur que vous pouvez utiliser comme valeur d’espace réservé. Définissez les paramètres que vous souhaitez utiliser dans votre distribution multi-locataires et précisez s’ils sont obligatoires.
Lorsque vous définissez des paramètres dans votre distribution multi-locataires, vous choisissez si ces paramètres doivent être renseignés au niveau du locataire de distribution.
+ Si vous définissez les paramètres comme *obligatoires* dans la distribution multi-locataires, ils doivent alors être renseignés au niveau du locataire de distribution. (Ils ne sont pas hérités).
+ Si les paramètres *ne sont pas obligatoires*, vous pouvez définir une valeur par défaut dans la distribution multi-locataires, laquelle sera héritée par le tenant de distribution.
Vous pouvez utiliser des paramètres dans les propriétés suivantes :
+ Nom de domaine d’origine
+ Chemin d’origine
Dans la distribution multi-locataires, vous pouvez définir jusqu’à deux paramètres pour chacune des propriétés précédentes.
## Exemples de paramètres
Consultez les exemples suivants pour l’utilisation de paramètres pour le nom de domaine et le chemin d’origine.
**Paramètres du nom de domaine**
Dans la configuration de distribution multi-locataires, vous pouvez définir un paramètre pour le nom de domaine d’origine, comme dans les exemples suivants :
**Amazon S3**
+ `{{parameter1}}.amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
+ `{{parameter1}}–amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
**Origines personnalisées**
+ `{{parameter1}}.lambda-url.us-east-1.on.aws`
+ `{{parameter1}}.mediapackagev2.ap-south-1.amazonaws.com`
Lorsque vous créez un locataire de distribution, spécifiez la valeur à utiliser pour `parameter1`.
```
"Parameters": [
{
"Name": "parameter1",
"Value": "mycompany-website"
}
]
```
En utilisant les exemples précédemment définis dans la distribution multi-locataires, le nom de domaine d’origine du locataire de distribution se résout comme suit :
+ `mycompany-website.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website–amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website.lambda-url.us-east-1.on.aws`
+ `mycompany-website.mediapackagev2.ap-south-1.amazonaws.com`
**Paramètres du chemin d’origine**
De la même manière, vous pouvez définir des paramètres pour le chemin d’origine dans la distribution multi-locataires, comme l’illustrent les exemples ci-dessous :
+ `/{{parameter2}}`
+ `/{{parameter2}}/test`
+ `/public/{{parameter2}}/test`
+ `/search?name={{parameter2}}`
Lorsque vous créez un locataire de distribution, spécifiez la valeur à utiliser pour `parameter2`.
```
"Parameters": [
{
"Name": "parameter2",
"Value": "myBrand"
}
]
```
En utilisant les exemples précédemment définis dans la distribution multi-locataires, le chemin d’origine du locataire de distribution se résout comme suit :
+ `/myBrand`
+ `/myBrand/test`
+ `/public/myBrand/test`
+ `/search?name=myBrand`
**Example Exemple**
Vous souhaitez créer plusieurs sites web (locataires) pour vos clients, et vous devez vous assurer que chaque ressource de locataire de distribution utilise les valeurs appropriées.
1. Vous créez une distribution multi-locataires et vous incluez deux paramètres pour la configuration du locataire de distribution.
1. Pour le nom de domaine d'origine, vous créez un paramètre nommé *customer-name* et spécifiez qu'il est obligatoire. Vous entrez le paramètre avant le compartiment S3, de sorte qu’il apparaisse comme suit :
`{{customer-name}}.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`.
1. Pour le chemin d'origine, vous créez un deuxième paramètre nommé *my-theme* et spécifiez qu'il est facultatif, avec une valeur par défaut de*basic*. Votre chemin d’origine apparaît comme suit : `/{{my-theme}}`
1. Lorsque vous créez un locataire de distribution :
+ Pour le nom de domaine, vous devez spécifier une valeur pour*customer-name*, car elle est marquée comme obligatoire dans la distribution multi-locataires.
+ Pour le chemin d'origine, vous pouvez éventuellement spécifier une valeur *my-theme* ou utiliser la valeur par défaut.
# Demandez des certificats pour votre locataire CloudFront de distribution
Lorsque vous créez un tenant de distribution, le locataire hérite du certificat partagé AWS Certificate Manager (ACM) de la distribution multi-locataires. Ce certificat partagé fournit le protocole HTTPS à tous les locataires associés à la distribution multi-locataires.
Lorsque vous créez ou mettez à jour un tenant de CloudFront distribution pour ajouter des domaines, vous pouvez ajouter un CloudFront certificat géré par ACM. CloudFront obtient ensuite un certificat validé par HTTP auprès d'ACM en votre nom. Vous pouvez utiliser ce certificat ACM au niveau du locataire pour des configurations de domaine personnalisées. CloudFront rationalise le processus de renouvellement afin de garantir la continuité des certificats up-to-date et de garantir la diffusion de contenu.
**Note**
Le certificat vous appartient, mais il *ne peut être utilisé qu'*avec CloudFront des ressources et la clé privée *ne peut pas* être exportée.
Vous pouvez demander le certificat lorsque vous créez ou mettez à jour le locataire de distribution.
**Topics**
+ [Ajout d’un domaine et d’un certificat (locataire de distribution)](#vanity-domain-tls-tenant)
+ [Configuration complète du domaine](#complete-domain-ownership)
+ [Pointer les domaines vers CloudFront](#point-domains-to-cloudfront)
+ [Considérations relatives au domaine (locataire de distribution)](#tenant-domain-considerations)
+ [Domaines génériques (locataire de distribution)](#tenant-wildcard-domains)
## Ajout d’un domaine et d’un certificat (locataire de distribution)
La procédure suivante vous indique comment ajouter un domaine et mettre à jour le certificat d’un locataire de distribution.
**Pour ajouter un domaine et un certificat (locataire de distribution)**
1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Dans **SaaS**, choisissez **Locataires de distribution**.
1. Recherchez le locataire de distribution. Utilisez le menu déroulant de la barre de recherche pour filtrer par domaine, nom, ID de distribution, ID de certificat, ID de groupe de connexions ou ID de liste ACL web.
1. Choisissez le nom du locataire de distribution.
1. Pour **domaines**, choisissez **Gérer le domaine**.
1. Pour **Certificat**, choisissez si vous souhaitez utiliser un **certificat TLS personnalisé** pour votre locataire de distribution. Le certificat vérifie si vous êtes autorisé à utiliser le nom de domaine. Le certificat doit exister dans la région USA Est (Virginie du Nord).
1. Pour **Domaines**, choisissez **Ajouter un domaine** et entrez le domaine. En fonction de votre domaine, les messages suivants apparaîtront sous le nom de domaine que vous avez saisi.
+ Ce domaine est couvert par le certificat.
+ Ce domaine est couvert par le certificat, en attente de validation.
+ Ce domaine n’est pas couvert par le certificat. (Autrement dit, vous devez vérifier la propriété du domaine.)
1. Choisissez **Mettre à jour le locataire de distribution**.
Sur la page des détails du locataire, sous **Domaines**, les champs suivants sont affichés :
+ **Propriété du domaine** : état de la propriété du domaine. Avant de CloudFront pouvoir diffuser du contenu, la propriété de votre domaine doit être vérifiée à l'aide de la validation du certificat TLS.
+ **État du DNS** : les enregistrements DNS de votre domaine doivent pointer CloudFront vers pour acheminer correctement le trafic.
1. Si la propriété de votre domaine n'est pas vérifiée, sur la page des détails du locataire, sous **Domaines**, sélectionnez **Terminer la configuration du domaine**, puis suivez la procédure suivante pour faire pointer l'enregistrement DNS vers votre nom de CloudFront domaine.
## Configuration complète du domaine
Suivez ces procédures pour vérifier que vous êtes le propriétaire du domaine de vos locataires de distribution. Choisissez l’une des procédures suivantes en fonction de votre domaine.
**Note**
Si votre domaine est déjà pointé CloudFront par un enregistrement d'alias Amazon Route 53, vous devez ajouter votre enregistrement DNS TXT `_cf-challenge.` devant le nom de domaine. Cet enregistrement TXT vérifie que votre nom de domaine est lié à CloudFront. Répétez cette étape pour chaque domaine. L’exemple suivant montre comment mettre à jour votre enregistrement TXT :
Nom de l’enregistrement : `_cf-challenge.DomainName`
Type d’enregistrement : `TXT`
Valeur de l’enregistrement : `CloudFrontRoutingEndpoint`
Votre enregistrement TXT pourrait, par exemple, se présenter ainsi : `_cf-challenge.example.com TXT d111111abcdef8.cloudfront.net`
Vous pouvez trouver votre point de terminaison de CloudFront routage dans la console sur la page détaillée du locataire de distribution ou utiliser l'action [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html)API dans le *Amazon CloudFront API Reference* pour le trouver.
**Astuce**
Si vous êtes un fournisseur de SaaS et que vous souhaitez autoriser l’émission de certificats sans obliger vos clients (locataires) à ajouter un enregistrement TXT directement à leur DNS, procédez comme suit :
Si vous êtes propriétaire du domaine `example-saas-provider.com`, attribuez des sous-domaines à vos locataires, tels que `customer-123.example-saas-provider.com`
Dans votre DNS, ajoutez l’enregistrement TXT `_cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net` à votre configuration DNS.
Vos clients (les locataires) peuvent ensuite mettre à jour leur propre enregistrement DNS pour mapper leur nom de domaine au sous-domaine que vous avez fourni.
`www.customer-domain.com CNAME customer-123.example-saas-provider.com`
------
#### [ I have existing traffic ]
Sélectionnez cette option si votre domaine ne tolère pas les durées d’indisponibilité. Vous devez avoir accès à votre origin/web serveur. Suivez la procédure suivante pour valider la propriété du domaine.
**Pour terminer la configuration du domaine lorsque votre domaine reçoit déjà du trafic**
1. Pour **Spécifier votre trafic web**, sélectionnez **Mon domaine reçoit déjà du trafic**, puis cliquez sur **Suivant**.
1. Pour **Vérifier la propriété du domaine**, choisissez l’une des options suivantes :
+ **Utiliser un certificat existant** : recherchez un certificat ACM existant ou entrez l’ARN du certificat qui couvre les domaines répertoriés.
+ **Téléchargement manuel de fichiers** : indiquez si vous pouvez téléverser des fichiers directement sur votre serveur web.
Pour chaque domaine, créez un fichier en texte brut contenant votre jeton de validation à partir de l’**emplacement du jeton**, puis transférez-le vers votre origine à l’aide du **Chemin de fichier** spécifié sur votre serveur existant. Le chemin vers ce fichier peut ressembler à l’exemple suivant : `/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt`. Une fois cette étape terminée, ACM vérifie le jeton, puis émet le certificat TLS pour le domaine.
+ **Redirection HTTP** : choisissez cette option si vous n’avez pas d’accès direct pour télécharger des fichiers sur votre serveur web, ou si vous utilisez un CDN ou un service de proxy.
Pour chaque domaine, créez une redirection 301 sur votre serveur existant. Copiez le chemin well-known dans **Rediriger depuis** et pointez vers le point de terminaison du certificat spécifié dans **Rediriger vers**. Votre redirection peut ressembler à l’exemple suivant :
```
If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
```
**Note**
Vous pouvez choisir **Vérifier l’état du certificat** pour savoir à quel moment ACM émet le certificat pour le domaine.
1. Choisissez **Suivant**.
1. Terminez la procédure indiquée dans [Pointer les domaines vers CloudFront](#point-domains-to-cloudfront).
------
#### [ I don't have traffic ]
Sélectionnez cette option si vous ajoutez de nouveaux domaines. CloudFront gérera la validation des certificats pour vous.
**Pour terminer la configuration du domaine lorsque votre domaine ne reçoit pas encore de trafic**
1. Pour **Spécifier votre trafic web**, choisissez **Mon domaine ne reçoit pas encore de trafic**.
1. Pour chaque nom de domaine, suivez la procédure indiquée dans [Pointer les domaines vers CloudFront](#point-domains-to-cloudfront).
1. Après avoir mis à jour vos enregistrements DNS pour chaque nom de domaine, choisissez **Suivant**.
1. Patientez jusqu’à l’émission du certificat.
**Note**
Vous pouvez choisir **Vérifier l’état du certificat** pour savoir à quel moment ACM émet le certificat pour le domaine.
1. Sélectionnez **Soumettre**.
------
## Pointer les domaines vers CloudFront
Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage. Vous pouvez utiliser plusieurs noms de domaine, mais ils doivent tous pointer vers ce point de terminaison.
**Pour pointer des domaines vers CloudFront**
1. Copiez la valeur du point CloudFront de terminaison de routage, telle que d111111abcdef8.cloudfront.net.
1. Mettez à jour vos enregistrements DNS pour acheminer le trafic de chaque domaine vers le point de terminaison CloudFront de routage.
1. Connectez-vous à votre registre de domaine ou à la console de gestion de votre fournisseur DNS.
1. Accédez à la section de gestion DNS correspondant à votre domaine.
+ **Pour les sous-domaines** : créez un enregistrement CNAME. Par exemple :
+ **Nom** : votre sous-domaine (tel que `www` ou `app`)
+ **Value/Target** — Le point de terminaison du CloudFront routage
+ **Type d’enregistrement** : CNAME
+ **TTL** : 3600 (ou ce qui convient à votre cas d’utilisation)
+ **Pour les apex/root domaines** : cela nécessite une configuration DNS unique, car les enregistrements CNAME standard ne peuvent pas être utilisés au niveau du domaine racine ou apex. Étant donné que la plupart des fournisseurs DNS ne prennent pas en charge les enregistrements ALIAS, nous vous recommandons de créer un enregistrement ALIAS dans Route 53. Par exemple :
+ **Nom** : votre domaine apex (tel que `example.com`)
+ **Type d’enregistrement** : A
+ **Alias** : oui
+ **Alias cible** : votre point de terminaison CloudFront de routage
+ **Stratégie de routage** : Simple (ou selon ce qui convient à votre cas d’utilisation)
1. Vérifiez que la modification DNS s’est bien propagée. (Cela se produit généralement lorsque le TTL est expiré. Parfois, la propagation peut prendre de 24 à 48 heures.) Utilisez un outil tel que `dig` ou `nslookup`.
```
dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint
```
1. Retournez à la CloudFront console et choisissez **Soumettre**. Lorsque votre domaine est actif, CloudFront met à jour le statut du domaine pour indiquer qu'il est prêt à recevoir du trafic.
Pour plus d’informations, consultez la documentation de votre fournisseur DNS :
+ [Cloudflare](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)
+ [ClouDNS](https://www.cloudns.net/wiki/article/9/)
+ [DNSimple](https://support.dnsimple.com/categories/dns/)
+ [Gandi.net](https://www.gandi.net/)
+ [GoDaddy](https://www.godaddy.com/help/manage-dns-records-680)
+ [Google Cloud DNS](https://cloud.google.com/dns/docs/records)
+ [Nom : cheap](https://www.namecheap.com/support/knowledgebase/article.aspx/767/10/how-to-change-dns-for-a-domain/)
## Considérations relatives au domaine (locataire de distribution)
Lorsqu'un domaine est actif, le contrôle du domaine a été établi et CloudFront répond à toutes les demandes des utilisateurs concernant ce domaine. Une fois activé, un domaine ne peut pas être désactivé ou remplacé par un état inactif. Le domaine ne peut pas être associé à une autre CloudFront ressource lorsqu'il est déjà utilisé. Pour associer le domaine à une autre distribution, utilisez la [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html)demande pour déplacer le domaine d'une CloudFront ressource à l'autre.
Lorsqu'un domaine est inactif, il CloudFront ne répond pas aux demandes des utilisateurs adressées au domaine. Si le domaine est inactif, tenez compte des éléments suivants :
+ Si vous avez une demande de certificat en attente, CloudFront répondra aux demandes concernant le chemin connu. Tant que la demande est en attente, le domaine ne peut être associé à aucune autre CloudFront ressource.
+ Si aucune demande de certificat n'est en attente, je CloudFront ne répondrai pas aux demandes concernant le domaine. Vous pouvez associer le domaine à d'autres CloudFront ressources.
+ Vous ne pouvez avoir qu’*une seule demande de certificat en attente* par locataire de distribution. Pour demander un nouveau certificat couvrant d’autres domaines, vous devez d’abord annuler la demande en attente. L’annulation d’une demande de certificat existante ne supprime pas le certificat ACM associé. Vous pouvez le supprimer avec l’API ACM.
+ Si vous appliquez un nouveau certificat à votre locataire de distribution, le certificat précédent sera dissocié. Vous pouvez réutiliser le certificat pour couvrir le domaine d’un autre locataire de distribution.
Comme pour les renouvellements des certificats validés par DNS, vous serez averti lorsque le renouvellement du certificat aura réussi. Cependant, vous n'avez rien d'autre à faire. CloudFront gérera automatiquement le renouvellement des certificats pour votre domaine.
**Note**
Vous n’avez pas besoin d’appeler les opérations de l’API ACM pour créer ou mettre à jour vos ressources de certificats. Vous pouvez gérer vos certificats à l'aide des opérations [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html)et de [UpdateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionTenant.html)l'API pour spécifier les détails de votre demande de certificat géré.
## Domaines génériques (locataire de distribution)
Les domaines génériques sont pris en charge pour les locataires de distribution dans les situations suivantes :
+ Lorsque le domaine générique figure dans le certificat partagé hérité de la distribution parente multi-locataires
+ Lorsque vous utilisez un certificat TLS personnalisé valide pour votre locataire de distribution
# Création d’un groupe de connexions personnalisé (facultatif)
Par défaut, CloudFront crée un groupe de connexion pour vous lorsque vous créez une distribution multi-locataires. Le groupe de connexion contrôle la manière dont les demandes de contenu des utilisateurs se connectent CloudFront.
Nous vous recommandons d’utiliser le groupe de connexions par défaut. Toutefois, si vous devez isoler des applications d’entreprise ou gérer des groupes de locataires de distribution séparément, vous pouvez choisir de créer un groupe de connexions personnalisé. Par exemple, vous devrez peut-être déplacer un tenant de distribution vers un groupe de connexion distinct s'il est victime d'une attaque DDo S. Ainsi, vous pouvez protéger les autres locataires de la distribution contre tout impact éventuel.
## Création d’un groupe de connexions personnalisé (facultatif)
Vous pouvez éventuellement choisir de créer un groupe de connexions personnalisé pour vos locataires de distribution.
**Pour créer un groupe de connexions personnalisé (facultatif)**
1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Activez les paramètres du **Groupe de connexions**.
1. Dans le volet de navigation, choisissez **Groupes de connexions**, puis **Créer un groupe de connexions**.
1. Pour **Nom du groupe de connexions**, entrez un nom de groupe. Vous ne pouvez plus modifier ce nom une fois le groupe de connexions créé.
1. Pour **IPv6**, spécifiez si vous souhaitez activer ce protocole IP. Pour de plus amples informations, veuillez consulter [Activer IPv6 (demandes du spectateur)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6).
1. Pour la **Liste d’adresses IP statiques en unidiffusion**, indiquez si vous souhaitez acheminer du trafic vers vos locataires de distribution à partir d’un ensemble d’adresses IP. Pour plus d’informations, consultez [Liste d’adresses IP statiques en unidiffusion](request-static-ips.md).
1. (Facultatif) Ajoutez des balises à votre groupe de connexions.
1. Choisissez **Créer un groupe de connexions**.
Une fois le groupe de connexions créé, vous pourrez accéder aux paramètres configurés, à l’ARN et au point de terminaison.
+ L’ARN ressemble à l’exemple suivant : `arn:aws:cloudfront::123456789012:connection-group/cg_2uVbA9KeWaADTbKzhj9lcKDoM25`
+ Le point de terminaison ressemble à l’exemple suivant : d111111abcdef8.cloudfront.net
Vous pouvez modifier ou supprimer votre groupe de connexions personnalisé après l’avoir créé. Avant de supprimer un groupe de connexions, vous devez commencer par supprimer tous les locataires de distribution associés. Vous ne pouvez pas supprimer le groupe de connexion par défaut CloudFront créé pour vous lors de la création de votre distribution multi-locataires.
**Important**
Si vous modifiez le groupe de connexion d'un tenant de distribution, le trafic CloudFront continuera à être acheminé vers le tenant de distribution, mais avec une latence accrue. Nous vous recommandons de mettre à jour l'enregistrement DNS pour que le locataire de distribution utilise le point de terminaison de CloudFront routage du nouveau groupe de connexion.
Jusqu'à ce que vous mettiez à jour l'enregistrement DNS, le routage CloudFront sera effectué en fonction des paramètres définis pour le point de terminaison de routage vers lequel le site Web pointe actuellement avec le DNS. Par exemple, supposons que votre groupe de connexion par défaut n'utilise pas Anycast static, IPs mais que votre nouveau groupe de connexion personnalisé le fait. Vous devez mettre à jour l'enregistrement DNS avant CloudFront d'utiliser Anycast static IPs pour les locataires de distribution de votre groupe de connexion personnalisé.
# Migration vers une distribution multi-locataires
Si vous disposez d'une distribution CloudFront standard et que vous souhaitez migrer vers une distribution multi-locataires, procédez comme suit.
**Pour migrer d’une distribution standard vers une distribution multi-locataires**
1. Prenez connaissance des [Fonctions non prises en charge](distribution-config-options.md#unsupported-saas).
1. Créez une distribution multi-locataires avec la même configuration que votre distribution standard, à l’exception des fonctionnalités non prises en charge. Pour de plus amples informations, veuillez consulter [Création d'une CloudFront distribution dans la console](distribution-web-creating-console.md#create-console-distribution).
1. Créez un locataire de distribution, puis ajoutez un autre nom de domaine dont vous êtes propriétaire.
**Avertissement**
N’utilisez *pas* le nom de domaine actuel associé à votre distribution standard. Ajoutez plutôt un domaine fictif. Vous déplacerez votre domaine ultérieurement. Pour plus d’informations sur la création d’un locataire de distribution, consultez [Création d'une CloudFront distribution dans la console](distribution-web-creating-console.md#create-console-distribution).
1. Fournissez un certificat existant pour le domaine du locataire de distribution. Il s’agit du certificat qui couvrira le domaine fictif et le domaine que vous souhaitez déplacer.
1. Copiez le point de terminaison de CloudFront routage depuis la page détaillée du locataire de distribution dans la console. Vous pouvez également le trouver en utilisant l'action [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html)API dans le *Amazon CloudFront API Reference*.
1. Pour vérifier la propriété du domaine, créez un enregistrement DCV TXT avec un préfixe de soulignement (\$1) qui pointe vers le point de terminaison de CloudFront routage de votre locataire de distribution. Pour de plus amples informations, veuillez consulter [Pointer les domaines vers CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. Lorsque vos modifications se sont propagées, mettez à jour votre locataire de distribution afin qu’il utilise le domaine que vous avez précédemment utilisé pour votre distribution standard.
+ **Console** : pour obtenir des instructions complètes, consultez [Ajout d’un domaine et d’un certificat (locataire de distribution)](managed-cloudfront-certificates.md#vanity-domain-tls-tenant).
+ **API** — Utilisez l'action [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html)API dans le *Amazon CloudFront API Reference*.
**Important**
Cette action réinitialise la clé de cache de votre contenu. Ensuite, CloudFront commence à mettre en cache votre contenu à l'aide de la nouvelle clé de cache. Pour de plus amples informations, veuillez consulter [Comprendre la clé de cache](understanding-the-cache-key.md).
1. Mettez à jour votre enregistrement DNS pour faire pointer votre domaine vers le point de terminaison de CloudFront routage de votre locataire de distribution. Une fois cette étape terminée, votre domaine sera prêt à envoyer du trafic à votre locataire de distribution. Pour de plus amples informations, veuillez consulter [Pointer les domaines vers CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. (Facultatif) Une fois que vous avez réussi à migrer votre domaine vers un locataire de distribution, vous pouvez utiliser un autre certificat CloudFront géré qui couvre le nom de domaine de votre locataire de distribution. Pour demander un certificat géré, créez un enregistrement TXT distinct pour émettre le certificat et suivez les étapes décrites dans [Configuration complète du domaine](managed-cloudfront-certificates.md#complete-domain-ownership).