Référence des paramètres de distribution - Amazon CloudFront
Paramètres d’origineParamètres de comportement du cacheParamètres de distributionPages d’erreur personnalisées et mise en cache des erreursRestrictions géographiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des paramètres de distribution

Lorsque vous utilisez la CloudFrontconsole pour créer une nouvelle distribution ou mettre à jour une distribution existante, vous spécifiez les valeurs suivantes.

Pour plus d'informations sur la création ou la mise à jour d'une distribution à l'aide de la CloudFront console, consultez Créer une distribution ouMettre à jour une distribution.

Paramètres d’origine

Lorsque vous utilisez la CloudFront console pour créer ou mettre à jour une distribution, vous fournissez des informations sur un ou plusieurs emplacements, appelés origines, où vous stockez les versions originales de votre contenu Web. CloudFront récupère votre contenu Web depuis vos origines et le diffuse aux spectateurs via un réseau mondial de serveurs périphériques.

Pour connaître le nombre maximal actuel d’origines que vous pouvez créer pour une distribution ou pour demander un quota plus élevé, consultez Quotas généraux sur les distributions.

Si vous voulez supprimer une origine, vous devez d’abord modifier ou supprimer les comportements de cache associés à cette origine.

Important

Si vous supprimez une origine, confirmez que les fichiers qui étaient précédemment remis par cette origine sont disponibles dans une autre origine et que vos comportements de cache acheminent désormais ces fichiers vers la nouvelle origine.

Lorsque vous créez ou mettez à jour une distribution web, vous spécifiez les valeurs suivantes pour chaque origine.

Domaine d'origine

Le domaine d'origine est le nom de DNS domaine de la ressource où CloudFront seront obtenus les objets correspondant à votre origine, tels qu'un compartiment ou un HTTP serveur Amazon S3. Par exemple :

  • Compartiment Amazon S3amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com

    Note

    Si vous avez récemment créé le compartiment S3, la CloudFront distribution peut renvoyer HTTP 307 Temporary Redirect des réponses pendant 24 heures au maximum. La propagation du nom du compartiment S3 dans toutes les AWS régions peut prendre jusqu'à 24 heures. Lorsque la propagation est terminée, la distribution arrête automatiquement l’envoi de ces réponses de redirection ; vous n’avez pas besoin de prendre d’action. Pour plus d'informations, consultez Pourquoi est-ce que je reçois une réponse de redirection temporaire HTTP 307 d'Amazon S3 ? et redirection de demandes temporaires.

  • Compartiment Amazon S3 configuré en tant que site webamzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com

  • MediaStore contenantexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage point de terminaisonexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • EC2Instance Amazonec2-203-0-113-25.compute-1.amazonaws.com

  • Équilibreur de charge Elastic Load Balancingexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Votre propre serveur webwww.example.com

Choisissez le nom de domaine dans le champ Domaine d’origine ou saisissez le nom. Les ressources provenant des régions participantes doivent être saisies manuellement. Le nom de domaine n’est pas sensible à la casse. Votre domaine d'origine doit avoir un DNS nom pouvant être résolu publiquement qui achemine les demandes des clients vers des cibles via Internet.

Si vous configurez CloudFront pour vous connecter à votre origineHTTPS, l'un des noms de domaine du certificat doit correspondre au nom de domaine que vous avez spécifié pour le nom de domaine d'origine. Si aucun nom de domaine ne correspond, CloudFront renvoie le code d'HTTPétat 502 (Bad Gateway) au lecteur. Pour plus d’informations, consultez Noms de domaine dans la CloudFront distribution et dans le certificat et SSL/échec de TLS négociation entre CloudFront et un serveur d'origine personnalisé.

Note

Si vous utilisez une politique de demande d'origine qui transmet l'en-tête de l'hôte du lecteur à l'origine, l'origine doit répondre par un certificat correspondant à l'en-tête de l'hôte du lecteur. Pour de plus amples informations, veuillez consulter Ajouter des en-têtes de CloudFront demande.

Si votre origine est un compartiment Amazon S3, notez les points suivants :

  • Si le compartiment est configuré comme site web, entrez le point de terminaison de l’hébergement du site web statique Amazon S3 de votre compartiment ; ne sélectionnez pas le nom du compartiment dans la liste du champ Origin domain (Domaine d’origine). Le point de terminaison de l’hébergement du site web statique s’affiche dans la console Amazon S3, sur la page Properties (Propriétés) sous Static Website Hosting (Hébergement de site Web statique). Pour de plus amples informations, veuillez consulter Utiliser un compartiment Amazon S3 configuré comme point de terminaison de site Web.

  • Si vous avez configuré Amazon S3 Transfer Acceleration pour votre compartiment, ne spécifiez pas le point de terminaison s3-accelerate pour Origin domain (Domaine d’origine).

  • Si vous utilisez un bucket provenant d'un autre AWS compte et si le bucket n'est pas configuré en tant que site Web, entrez le nom au format suivant :

    bucket-name.s3.region.amazonaws.com

    Si votre compartiment se trouve dans la région USA et que vous voulez qu’Amazon S3 route les demandes vers une installation située en Virginie du Nord, utilisez le format suivant :

    bucket-name.s3.us-east-1.amazonaws.com

  • Les fichiers doivent être lisibles par le public, sauf si vous sécurisez votre contenu dans Amazon S3 à l'aide d'un contrôle CloudFront d'accès à l'origine. Pour plus d’informations sur le contrôle d’accès, consultez Restreindre l'accès à une origine Amazon Simple Storage Service.

Important

Si l'origine est un compartiment Amazon S3, le nom du compartiment doit être conforme aux exigences de DNS dénomination. Pour plus d’informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l’utilisateur Amazon Simple Storage Service.

Lorsque vous modifiez la valeur du domaine d'origine pour une origine, commence CloudFront immédiatement à répliquer la modification aux emplacements CloudFront périphériques. Jusqu'à ce que la configuration de distribution soit mise à jour dans un emplacement périphérique donné, CloudFront continue de transférer les demandes vers l'origine précédente. Dès que la configuration de distribution est mise à jour dans cet emplacement périphérique, CloudFront commence à transférer les demandes vers la nouvelle origine.

La modification de l'origine ne nécessite pas CloudFront de repeupler les caches périphériques avec des objets provenant de la nouvelle origine. Tant que les demandes du lecteur dans votre application n'ont pas changé, le service CloudFront continue de traiter les objets qui se trouvent déjà dans un cache périphérique jusqu'à ce que le TTL délai correspondant à chaque objet expire ou jusqu'à ce que les objets rarement demandés soient expulsés.

Protocole (origines personnalisées uniquement)

Note

Ceci s’applique uniquement aux origines personnalisées.

La politique de protocole que vous CloudFront souhaitez utiliser lors de la récupération d'objets depuis votre origine.

Choisissez l’une des valeurs suivantes :

  • HTTPuniquement : ne CloudFront sert qu'HTTPà accéder à l'origine.

    Important

    HTTPn'est le paramètre par défaut que lorsque l'origine est un point de terminaison d'hébergement de site Web statique Amazon S3, car Amazon S3 ne prend pas en charge HTTPS les connexions pour les points de terminaison d'hébergement de sites Web statiques. La CloudFront console ne prend pas en charge la modification de ce paramètre pour les points de terminaison d'hébergement de sites Web statiques Amazon S3.

  • HTTPSuniquement : ne CloudFront sert qu'HTTPSà accéder à l'origine.

  • Match Viewer : CloudFront communique avec votre origine en utilisant HTTP ouHTTPS, selon le protocole de la demande du spectateur. CloudFront ne met en cache l'objet qu'une seule fois, même si les utilisateurs font des demandes en utilisant à la fois les HTTPS protocoles HTTP et.

    Important

    Pour les HTTPS demandes des utilisateurs CloudFront qui sont transférées vers cette origine, l'un des noms de domaine figurant dans le TLS certificatSSL/de votre serveur d'origine doit correspondre au nom de domaine que vous avez spécifié pour le domaine d'origine. Sinon, CloudFront répond aux demandes du spectateur avec un code d'HTTPétat 502 (Bad Gateway) au lieu de renvoyer l'objet demandé. Pour de plus amples informations, veuillez consulter Conditions requises pour utiliser les TLS certificatsSSL/avec CloudFront.

HTTPport

Note

Ceci s’applique uniquement aux origines personnalisées.

(Facultatif) Vous pouvez spécifier le HTTP port sur lequel l'origine personnalisée écoute. Valeurs valides : ports 80, 443, et 1024 à 65535. La valeur par défaut est le port 80.

Important

Le port 80 est le paramètre par défaut lorsque l’origine est un point de terminaison d’hébergement de site web statique Amazon S3, car Amazon S3 prend uniquement en charge le port 80 pour les points de terminaison d’hébergement de sites web statiques. La CloudFront console ne prend pas en charge la modification de ce paramètre pour les points de terminaison d'hébergement de sites Web statiques Amazon S3.

HTTPSport

Note

Ceci s’applique uniquement aux origines personnalisées.

(Facultatif) Vous pouvez spécifier le HTTPS port sur lequel l'origine personnalisée écoute. Valeurs valides : ports 80, 443, et 1024 à 65535. La valeur par défaut est le port 443. Lorsque le protocole est défini sur HTTPuniquement, vous ne pouvez pas spécifier de valeur pour le HTTPSport.

SSLProtocole d'origine minimal

Note

Ceci s’applique uniquement aux origines personnalisées.

Choisissez le SSL protocole minimumTLS/qui CloudFront peut être utilisé lorsqu'il établit une HTTPS connexion avec votre origine. Les TLS protocoles inférieurs sont moins sécurisés. Nous vous recommandons donc de choisir le dernier TLS protocole pris en charge par votre origine. Lorsque le protocole est défini sur HTTPuniquement, vous ne pouvez pas spécifier de valeur pour le SSLprotocole d'origine minimal.

Si vous utilisez le CloudFront API pour définir les TLS/SSL protocol for CloudFront to use, you cannot set a minimum protocol. Instead, you specify all of the TLS/SSL protocoles CloudFront utilisables avec votre origine. Pour plus d'informations, consultez OriginSslProtocolsle Amazon CloudFront API Reference.

Chemin d’origine

Si vous souhaitez demander votre contenu CloudFront à partir d'un répertoire de votre origine, entrez le chemin du répertoire, en commençant par une barre oblique (/). CloudFront ajoute le chemin du répertoire à la valeur du domaine d'origine, par exemple,cf-origin.example.com/production/images. N’ajoutez pas un slash (/) à la fin du chemin d’accès.

Imaginons que vous ayez, par exemple, les valeurs suivantes pour votre distribution :

  • Origin domain (Domaine d’origine) – Compartiment Amazon S3 nommé amzn-s3-demo-bucket

  • Chemin d’origine/production

  • Noms de domaine alternatifs (CNAME)example.com

Lorsqu'un utilisateur entre example.com/index.html dans un navigateur, il CloudFront envoie une demande à Amazon S3 pouramzn-s3-demo-bucket/production/index.html.

Lorsqu'un utilisateur entre example.com/acme/index.html dans un navigateur, il CloudFront envoie une demande à Amazon S3 pouramzn-s3-demo-bucket/production/acme/index.html.

Nom

Un nom est une chaîne qui identifie de façon unique cette origine dans cette distribution. Si vous créez des comportements de cache en plus du comportement de cache par défaut, vous utilisez le nom que vous spécifiez ici pour identifier l'origine CloudFront vers laquelle vous souhaitez acheminer une demande lorsque la demande correspond au modèle de chemin correspondant à ce comportement de cache.

Accès à l'origine (origines Amazon S3 uniquement)

Note

Cela s’applique uniquement aux origines du compartiment Amazon S3 (celles qui n’utilisent pas le point de terminaison statique du site web S3).

Choisissez les paramètres de contrôle d'accès Origin (recommandés) si vous souhaitez permettre de restreindre l'accès à l'origine d'un compartiment Amazon S3 à des CloudFront distributions spécifiques uniquement.

Choisissez Public si l'origine du compartiment Amazon S3 est accessible au public.

Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

Pour plus d'informations sur la manière d'obliger les utilisateurs à accéder aux objets sur une origine personnalisée en utilisant uniquement CloudFront URLs, voirRestreindre l'accès aux fichiers dont l'origine est personnalisée.

Ajout d'en-tête personnalisé

Si vous CloudFront souhaitez ajouter des en-têtes personnalisés chaque fois qu'une demande est envoyée à votre origine, spécifiez le nom de l'en-tête et sa valeur. Pour de plus amples informations, veuillez consulter Ajouter des en-têtes personnalisés aux demandes d'origine.

Pour obtenir le nombre maximum actuel d’en-têtes personnalisés que vous pouvez ajouter, la longueur maximale d’un nom et d’une valeur d’en-tête personnalisé, et la longueur totale maximale de tous les noms et valeurs d’en-tête, veuillez consulter Quotas.

Activer Origin Shield

Choisissez Oui pour activer CloudFront Origin Shield. Pour plus d'informations au sujet de Origin Shield, consultez Utilisation d'Amazon CloudFront Origin Shield.

Tentatives de connexion

Vous pouvez définir le nombre de CloudFront tentatives de connexion à l'origine. Vous pouvez spécifier 1, 2 ou 3 tentatives. Le nombre par défaut (sauf indication contraire) est 3.

Utilisez ce paramètre avec le délai d'expiration de la connexion pour spécifier le temps d' CloudFront attente avant de tenter de vous connecter à l'origine secondaire ou de renvoyer une réponse d'erreur au visualiseur. Par défaut, CloudFront attend jusqu'à 30 secondes (3 tentatives de 10 secondes chacune) avant de tenter de se connecter à l'origine secondaire ou de renvoyer une réponse d'erreur. Vous pouvez réduire ce délai en spécifiant moins de tentatives, un délai d’attente de connexion plus court, ou les deux.

Si le nombre de tentatives de connexion spécifié échoue, CloudFront effectue l'une des opérations suivantes :

  • Si l'origine fait partie d'un groupe d'origine, CloudFront tente de se connecter à l'origine secondaire. Si le nombre spécifié de tentatives de connexion à l'origine secondaire échouent, CloudFront renvoie une réponse d'erreur au visualiseur.

  • Si l'origine ne fait pas partie d'un groupe d'origine, CloudFront renvoie une réponse d'erreur au visualiseur.

Pour une origine personnalisée (y compris un compartiment Amazon S3 configuré avec un hébergement de site Web statique), ce paramètre spécifie également le nombre de CloudFront tentatives d'obtention d'une réponse de la part de l'origine. Pour de plus amples informations, veuillez consulter Délai de réponse (origines personnalisées uniquement).

Délai de connexion

Le délai d'expiration de la connexion est le nombre de secondes qui CloudFront attendent lorsque vous essayez d'établir une connexion avec l'origine. Vous pouvez spécifier un nombre de secondes compris entre 1 et 10 (inclus). Le délai d’expiration par défaut (sauf indication contraire) est de 10 secondes.

Utilisez ce paramètre avec les tentatives de connexion pour spécifier le temps d' CloudFront attente avant de tenter de vous connecter à l'origine secondaire ou avant de renvoyer une réponse d'erreur au visualiseur. Par défaut, CloudFront attend jusqu'à 30 secondes (3 tentatives de 10 secondes chacune) avant de tenter de se connecter à l'origine secondaire ou de renvoyer une réponse d'erreur. Vous pouvez réduire ce délai en spécifiant moins de tentatives, un délai d’attente de connexion plus court, ou les deux.

S'il CloudFront n'établit pas de connexion avec l'origine dans le délai de secondes spécifié, CloudFront effectue l'une des opérations suivantes :

  • Si le nombre de tentatives de connexion spécifié est supérieur à 1, CloudFront essaie à nouveau d'établir une connexion. CloudFront essaie jusqu'à 3 fois, en fonction de la valeur des tentatives de connexion.

  • Si toutes les tentatives de connexion échouent et que l'origine fait partie d'un groupe d'origine, CloudFront tente de se connecter à l'origine secondaire. Si le nombre spécifié de tentatives de connexion à l'origine secondaire échouent, CloudFront renvoie une réponse d'erreur au visualiseur.

  • Si toutes les tentatives de connexion échouent et que l'origine ne fait pas partie d'un groupe d'origine, CloudFront renvoie une réponse d'erreur au visualiseur.

Délai de réponse (origines personnalisées uniquement)

Le délai de réponse de l’origine, également appelé délai de demande à l’origine ou délai d’attente des opérations de lecture depuis l’origine, s’applique aux deux valeurs suivantes :

  • Durée (en secondes) d' CloudFront attente d'une réponse après avoir transmis une demande à l'origine.

  • Durée (en secondes) d' CloudFront attente après réception d'un paquet de réponse de l'origine et avant de recevoir le paquet suivant.

Astuce

Si vous souhaitez augmenter le délai d'attente car les spectateurs rencontrent HTTP 504 erreurs de code d'état, envisagez d'explorer d'autres moyens d'éliminer ces erreurs avant de modifier la valeur du délai d'attente. Consultez les suggestions de dépannage dans HTTPCode d'état 504 (Gateway Timeout).

CloudFront le comportement dépend de la HTTP méthode utilisée dans la demande du visualiseur :

  • GETet HEAD demandes : si l'origine ne répond pas ou cesse de répondre dans le délai imparti, interrompt CloudFront la connexion. CloudFront essaie à nouveau de se connecter en fonction de la valeur deTentatives de connexion.

  • DELETE,OPTIONS, PATCHPUT, et POST demandes : si l'origine ne répond pas pendant le délai de lecture, interrompt CloudFront la connexion et n'essaie plus de contacter l'origine. Le client peut soumettre à nouveau la demande si nécessaire.

Délai d'attente des connexions actives (origines personnalisées uniquement)

Le délai de conservation correspond à la durée (en secondes) des CloudFront tentatives de maintien d'une connexion à votre origine personnalisée après réception du dernier paquet de réponse. Le maintien d'une connexion permanente permet de gagner du temps nécessaire pour rétablir la TCP connexion et effectuer une nouvelle prise de contact TLS pour les demandes suivantes. L'augmentation du délai de conservation permet d'améliorer la request-per-connection métrique des distributions.

Note

Pour que la valeur Délai d’attente des connexions actives ait un effet, votre origine doit être configurée pour autoriser les connexions persistantes.

Quotas de délai de réponse et de maintien en vie

Note

Ceci s’applique uniquement aux origines personnalisées.

Après avoir demandé une augmentation du délai d'expiration pour votre Compte AWS, mettez à jour les origines de votre distribution afin qu'elles présentent les valeurs de délai de réponse et de délai de maintien en vie souhaitées. Une augmentation du quota de votre compte ne met pas automatiquement à jour vos origines. Par exemple, si vous utilisez une fonction Lambda @Edge pour définir un délai de maintien en vie de 90 secondes, votre origine doit déjà avoir un délai de maintien en vie de 90 secondes ou plus. Dans le cas contraire, votre fonction Lambda @Edge risque de ne pas s'exécuter.

Pour plus d'informations sur les quotas de distribution, consultezQuotas généraux sur les distributions.

Paramètres de comportement du cache

En définissant le comportement du cache, vous pouvez configurer diverses CloudFront fonctionnalités pour un modèle de URL chemin donné pour les fichiers de votre site Web. Par exemple, un comportement de cache peut s'appliquer à tous les .jpg fichiers du images répertoire d'un serveur Web que vous utilisez comme serveur d'origine CloudFront. Les fonctionnalités que vous pouvez configurer pour chaque comportement de cache sont les suivantes :

  • Le modèle de chemin d’accès

  • Si vous avez configuré plusieurs origines pour votre CloudFront distribution, l'origine vers laquelle vous CloudFront souhaitez transférer vos demandes

  • S’il convient ou non de transférer les chaînes de requête à votre origine

  • Si l'accès aux fichiers spécifiés doit être signé URLs

  • S'il faut obliger les utilisateurs HTTPS à accéder à ces fichiers

  • Durée minimale pendant laquelle ces fichiers restent dans le CloudFront cache, quelle que soit la valeur des Cache-Control en-têtes ajoutés aux fichiers par votre origine

Lorsque vous créez une distribution, vous spécifiez les paramètres du comportement de cache par défaut, lequel achemine automatiquement toutes les demandes vers l’origine que vous spécifiez lors de la création de la distribution. Après avoir créé une distribution, vous pouvez créer des comportements de cache supplémentaires qui définissent le mode de CloudFront réponse lorsqu'il reçoit une demande d'objets correspondant à un modèle de chemin, par exemple,*.jpg. Si vous créez des comportements de cache supplémentaires, le comportement de cache par défaut est toujours le dernier à être traité. Les autres comportements de cache sont traités dans l'ordre dans lequel ils sont répertoriés dans la CloudFront console ou, si vous utilisez le CloudFront API, dans l'ordre dans lequel ils sont répertoriés dans l'DistributionConfigélément de distribution. Pour de plus amples informations, veuillez consulter Modèle de chemin d’accès.

Lorsque vous créez un comportement de cache, vous spécifiez l'origine à partir de laquelle vous CloudFront souhaitez obtenir les objets. Par conséquent, si vous CloudFront souhaitez distribuer des objets provenant de toutes vos origines, vous devez avoir au moins autant de comportements de cache (y compris le comportement de cache par défaut) que d'origines. Par exemple, si vous avez deux origines et que vous utilisez uniquement le comportement de cache par défaut, le comportement de cache par défaut permet d'obtenir des objets CloudFront à partir de l'une des origines, mais l'autre origine n'est jamais utilisée.

Pour connaître le nombre maximum actuel de comportements de cache que vous pouvez ajouter à une distribution ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas généraux sur les distributions.

Modèle de chemin d’accès

Un modèle de chemin d’accès (par exemple, images/*.jpg) spécifie les demandes auxquelles vous voulez que ce comportement de cache s’applique. Lors de la CloudFront réception d'une demande d'utilisateur final, le chemin demandé est comparé aux modèles de chemin dans l'ordre dans lequel les comportements du cache sont répertoriés dans la distribution. La première correspondance détermine le comportement de cache qui s’applique à la demande. Imaginons, par exemple, que vous ayez trois comportements de cache avec les trois modèles de chemin suivants classés par ordre :

  • images/*.jpg

  • images/*

  • *.gif

Note

Vous pouvez éventuellement inclure une barre oblique (/) au début du modèle de tracé, par exemple,/images/*.jpg. CloudFront le comportement est le même avec ou sans le premier /. Si vous ne spécifiez pas le/au début du chemin, ce caractère est automatiquement implicite ; CloudFront traite le chemin de la même manière, avec ou sans le premier /. Par exemple, CloudFront traite /*product.jpg la même chose que *product.jpg

Une demande du fichier images/sample.gif ne correspondant pas au premier modèle de chemin d’accès, les comportements de cache associés ne s’appliquent pas à la demande. Comme le fichier satisfait bel et bien au second modèle, les comportements de cache associés au deuxième modèle s’appliquent même si la demande correspond aussi au troisième modèle.

Note

Lorsque vous créez une distribution, la valeur de Modèle de chemin pour le comportement de cache par défaut est définie sur * (tous les fichiers) et ne peut pas être modifiée. Cette valeur CloudFront entraîne le transfert de toutes les demandes relatives à vos objets vers l'origine que vous avez spécifiée dans le Domaine d'origine champ. Si la demande d'un objet ne correspond au modèle de chemin d'aucun autre comportement de cache, CloudFront applique le comportement que vous spécifiez dans le comportement de cache par défaut.

Important

Définissez soigneusement les modèles de chemin et leur séquence, sans quoi vous risquez d’offrir aux utilisateurs un accès non souhaité à votre contenu. Par exemple, imaginons qu’une demande corresponde au modèle de chemin de deux comportements de cache. Le premier comportement de cache ne nécessite pas de signature URLs et le second comportement de cache nécessite une signatureURLs. Les utilisateurs peuvent accéder aux objets sans utiliser de signature, URL car il CloudFront traite le comportement du cache associé à la première correspondance.

Si vous travaillez avec un MediaPackage canal, vous devez inclure des modèles de chemin spécifiques pour le comportement du cache que vous définissez pour le type de point de terminaison de votre origine. Par exemple, pour un DASH point de terminaison, vous tapez *.mpd Path Pattern. Pour plus d’informations et pour obtenir des instructions spécifiques, consultez Diffusez des vidéos en direct formatées avec AWS Elemental MediaPackage.

Le chemin que vous spécifiez s'applique aux demandes pour tous les fichiers du répertoire spécifié et des sous-répertoires situés sous le répertoire spécifié. CloudFront ne prend pas en compte les chaînes de requête ou les cookies lors de l'évaluation du modèle de chemin. Par exemple, si un répertoire images contient les sous-répertoires product1 et product2, le modèle de chemin d’accès images/*.jpg s’applique aux demandes concernant un fichier .jpg des répertoires images, images/product1 et images/product2. Si vous voulez appliquer un autre comportement de cache aux fichiers du répertoire images/product1 qu’à ceux des répertoires images et images/product2, créez un comportement de cache distinct pour images/product1 et déplacez ce comportement de cache vers un emplacement au-dessus (avant) du comportement de cache du répertoire images.

Vous pouvez utiliser les caractères génériques suivants dans votre modèle de chemin d’accès :

  • * correspond à 0 caractère ou plus.

  • ? correspond à 1 caractère exactement.

L’exemple suivant montre le fonctionnement des caractères génériques :

Modèle de chemin d’accès Fichiers correspondant au modèle de chemin d’accès

*.jpg

Tous les fichiers .jpg.

images/*.jpg

Tous les fichiers .jpg dans le répertoire images et dans les sous-répertoires du répertoire images.

a*.jpg

  • Tous les fichiers .jpg dont le nom commence par a : par exemple, apple.jpg et appalachian_trail_2012_05_21.jpg.

  • Tous les fichiers .jpg dont le chemin d’accès commence par a : par exemple, abra/cadabra/magic.jpg.

a??.jpg

Tous les fichiers .jpg dont le nom commence par a, suivi de deux autres caractères exactement : par exemple, ant.jpg et abe.jpg.

*.doc*

Tous les fichiers .jpg dont l’extension de nom de fichier commence par .doc : par exemple, les fichiers .doc, .docx et .docm. Vous ne pouvez pas utiliser le modèle de chemin d’accès *.doc? dans ce cas, parce que ce modèle ne s’appliquerait pas aux demandes relatives aux fichiers .doc ; le caractère générique ? remplace exactement un seul caractère.

La longueur maximale d’un modèle de chemin est de 255 caractères. La valeur peut contenir l’un des caractères suivants :

  • A-Z, a-z

    Les modèles de chemin d’accès étant sensibles à la casse, le modèle de chemin d’accès *.jpg ne s’applique pas au fichier LOGO.JPG.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • &, transmis et renvoyé comme &

Normalisation du chemin

CloudFront normalise les URI chemins conformes à RFC3986, puis fait correspondre le chemin avec le comportement de cache correct. Une fois que le comportement du cache correspond, CloudFront envoie le URI chemin brut vers l'origine. S'ils ne correspondent pas, les demandes sont associées à votre comportement de cache par défaut.

Certains caractères sont normalisés et supprimés du chemin, tels que les barres obliques multiples (//) ou les points (). .. Cela peut modifier le URL qui est CloudFront utilisé pour qu'il corresponde au comportement de cache prévu.

Exemple

Vous spécifiez les /a* chemins /a/b* et pour le comportement de votre cache.

  • Un visualiseur qui envoie le /a/b?c=1 chemin correspondra au comportement du /a/b* cache.

  • Un visualiseur qui envoie le /a/b/..?c=1 chemin correspondra au comportement du /a* cache.

Pour contourner les chemins normalisés, vous pouvez mettre à jour les chemins de vos requêtes ou le modèle de chemin correspondant au comportement du cache.

Origine ou groupe d’origines

Ce paramètre s'applique uniquement lorsque vous créez ou mettez à jour un comportement de cache pour une distribution existante.

Entrez la valeur d’une origine ou d’un groupe d’origines existant. Cela identifie l'origine ou le groupe d'origine vers lequel vous souhaitez CloudFront acheminer les demandes lorsqu'une demande (telle que https://example.com /logo.jpg) correspond au modèle de chemin d'un comportement de cache (tel que *.jpg) ou au comportement de cache par défaut (*).

Viewer Protocol Policy

Choisissez la politique de protocole que vous souhaitez que les spectateurs utilisent pour accéder à votre contenu dans des emplacements CloudFront périphériques :

  • HTTPet HTTPS : Les spectateurs peuvent utiliser les deux protocoles.

  • Rediriger HTTP vers HTTPS : les utilisateurs peuvent utiliser les deux protocoles, mais les HTTP demandes sont automatiquement redirigées vers les HTTPS demandes.

  • HTTPSUniquement : les spectateurs ne peuvent accéder à votre contenu que s'ils l'utilisentHTTPS.

Pour de plus amples informations, veuillez consulter Exiger le protocole HTTPS pour la communication entre les spectateurs et CloudFront.

HTTPMéthodes autorisées

Spécifiez les HTTP méthodes que vous souhaitez CloudFront traiter et transmettre à votre point d'origine :

  • GET, HEAD : Vous ne pouvez l'utiliser CloudFront que pour récupérer des objets depuis votre origine ou pour obtenir des en-têtes d'objets.

  • GET,HEAD, OPTIONS : Vous CloudFront ne pouvez l'utiliser que pour obtenir des objets depuis votre origine, obtenir des en-têtes d'objets ou récupérer une liste des options prises en charge par votre serveur d'origine.

  • GET,HEAD,,OPTIONS, PUT POSTPATCH, DELETE : Vous pouvez l'utiliser CloudFront pour obtenir, ajouter, mettre à jour et supprimer des objets, ainsi que pour obtenir des en-têtes d'objets. En outre, vous pouvez effectuer d'autres POST opérations, telles que l'envoi de données à partir d'un formulaire Web.

    Note

    CloudFront met en cache les réponses aux HEAD demandes GET et, éventuellement, OPTIONS aux demandes. Les réponses aux OPTIONS demandes sont mises en cache séparément des réponses aux HEAD demandes GET et aux demandes (la OPTIONS méthode est incluse dans la clé de cache pour les OPTIONS demandes). CloudFront ne met pas en cache les réponses aux demandes utilisant d'autres méthodes.

Important

Si vous le souhaitez GETHEAD, OPTIONS ou, GET,HEAD,,OPTIONS,PUT,POST,PATCH, DELETE,,,,, vous devrez peut-être restreindre l'accès à votre compartiment Amazon S3 ou à votre origine personnalisée pour empêcher les utilisateurs d'effectuer des opérations que vous ne souhaitez pas qu'ils effectuent. Les exemples suivants expliquent comment limiter l’accès :

  • Si vous utilisez Amazon S3 comme origine pour votre distribution : créez un contrôle CloudFront d'accès à l'origine pour restreindre l'accès à votre contenu Amazon S3 et autorisez le contrôle d'accès à l'origine. Par exemple, si vous configurez CloudFront pour accepter et transférer ces méthodes uniquement parce que vous souhaitez les utiliserPUT, vous devez tout de même configurer les politiques de compartiment Amazon S3 afin de traiter les DELETE demandes de manière appropriée. Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

  • Si vous utilisez une origine personnalisée : configurez votre serveur d’origine pour qu’il gère toutes les méthodes. Par exemple, si vous configurez CloudFront pour accepter et transférer ces méthodes uniquement parce que vous souhaitez les utiliserPOST, vous devez tout de même configurer votre serveur d'origine pour traiter les DELETE demandes de manière appropriée.

Configuration du chiffrement au niveau du champ

Si vous souhaitez appliquer un chiffrement au niveau du champ à des champs de données spécifiques, dans la liste déroulante, choisissez une configuration de chiffrement au niveau du champ.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Méthodes mises en cache HTTP

Spécifiez si vous souhaitez CloudFront mettre en cache la réponse depuis votre origine lorsqu'un utilisateur envoie une OPTIONS demande. CloudFront met toujours en cache les réponses GET et les HEAD demandes.

Mise en cache basée sur des en-têtes de demande sélectionnés

Spécifiez si vous souhaitez CloudFront mettre en cache les objets en fonction des valeurs des en-têtes spécifiés :

  • Aucune (améliore la mise en cache) : CloudFront ne met pas en cache vos objets en fonction des valeurs d'en-tête.

  • Allowlist : met en CloudFront cache vos objets en fonction uniquement des valeurs des en-têtes spécifiés. Utilisez Allowlist Headers pour choisir les en-têtes sur lesquels vous souhaitez CloudFront baser la mise en cache.

  • Tout : CloudFront ne met pas en cache les objets associés à ce comportement de cache. Au lieu de cela, CloudFront envoie chaque demande à l'origine. (Déconseillé pour les origines Amazon S3.)

Quelle que soit l'option que vous choisissez, CloudFront transfère certains en-têtes vers votre origine et prend des mesures spécifiques en fonction des en-têtes que vous transférez. Pour plus d'informations sur le mode de CloudFront gestion du transfert d'en-têtes, consultezHTTPen-têtes et CloudFront comportement des demandes (personnalisés et origines d'Amazon S3).

Pour plus d'informations sur la configuration de la mise en cache à l'aide CloudFront des en-têtes de demande, consultez. Contenu du cache basé sur les en-têtes des demandes

En-têtes de la liste d’autorisation

Ces paramètres s'appliquent uniquement lorsque vous choisissez Allowlist for Cache en fonction des en-têtes de demande sélectionnés.

Spécifiez les en-têtes que vous souhaitez prendre en compte lors CloudFront de la mise en cache de vos objets. Sélectionnez les en-têtes dans la liste des en-têtes disponibles et choisissez Ajouter. Pour transmettre un en-tête personnalisé, entrez le nom de l’en-tête dans le champ et choisissez Ajouter un en-tête personnalisé.

Pour connaître le nombre maximal actuel d’en-têtes qu’il est possible d’ajouter en liste d’autorisation pour chaque comportement de cache, ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas sur les en-têtes.

Mise en cache d’un objet

Si votre serveur d'origine ajoute un Cache-Control en-tête à vos objets pour contrôler la durée pendant laquelle les objets restent dans le CloudFront cache et si vous ne souhaitez pas modifier la Cache-Control valeur, choisissez Utiliser les en-têtes du cache d'origine.

Pour définir la durée minimale et maximale pendant laquelle vos objets restent dans le CloudFront cache, quels que soient Cache-Control les en-têtes, et la durée par défaut pendant laquelle vos objets restent dans le CloudFront cache lorsque l'Cache-Controlen-tête est absent d'un objet, choisissez Personnaliser. Spécifiez ensuite des valeurs dans les TTL champs Minimum TTLTTL, Default et Maximum.

Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Minimum TTL

Spécifiez la durée minimale, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant d' CloudFront envoyer une autre demande à l'origine pour déterminer si l'objet a été mis à jour.

Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Maximum TTL

Spécifiez la durée maximale, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant de demander CloudFront à votre origine si l'objet a été mis à jour. La valeur que vous spécifiez pour Maximum TTL s'applique uniquement lorsque votre origine ajoute HTTP des en-têtes tels que Cache-Control max-ageCache-Control s-maxage, ou Expires à des objets. Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Pour spécifier une valeur pour Maximum TTL, vous devez choisir l'option Personnaliser pour le paramètre Object Caching.

La valeur par défaut pour Maximum TTL est de 31536000 secondes (un an). Si vous modifiez la valeur de Minimum TTL ou Default TTL à plus de 31536000 secondes, la valeur par défaut de Maximum TTL devient la valeur de Default. TTL

Par défaut TTL

Spécifiez la durée par défaut, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant de transmettre une CloudFront autre demande à votre origine afin de déterminer si l'objet a été mis à jour. La valeur que vous spécifiez pour Default TTL s'applique uniquement lorsque votre origine n'ajoute pas d'HTTPen-têtes tels que Cache-Control max-ageCache-Control s-maxage, ou Expires à des objets. Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Pour spécifier une valeur pour Default TTL, vous devez choisir l'option Personnaliser pour le paramètre Object Caching.

La valeur par défaut pour Default TTL est de 86 400 secondes (un jour). Si vous remplacez la valeur de Minimum TTL par plus de 86 400 secondes, la valeur par défaut de Default TTL devient la valeur Minimum TTL.

Réacheminer les cookies

Note

Pour les origines Amazon S3, cette option s’applique uniquement aux compartiments configurés en tant que point de terminaison de site Web.

Spécifiez si vous CloudFront souhaitez transférer les cookies vers votre serveur d'origine et, dans l'affirmative, lesquels. Si vous choisissez de transférer uniquement les cookies sélectionnés (liste d’autorisation de cookies), entrez les noms de cookies dans le champ Cookies de la liste d’autorisation. Si vous choisissez Tout, CloudFront transfère tous les cookies, quel que soit le nombre utilisé par votre application.

Amazon S3 ne traite pas les cookies, et la transmission des cookies à l’origine réduit la capacité de mise en cache. Pour les comportements de cache qui transmettent les demandes à une origine Amazon S3, choisissez None (Aucun) pour Forward Cookies (Réacheminer les cookies).

Pour plus d’informations sur la transmission des cookies à l’origine, consultez Contenu du cache basé sur les cookies.

Cookies de la liste d’autorisation

Note

Pour les origines Amazon S3, cette option s’applique uniquement aux compartiments configurés en tant que point de terminaison de site Web.

Si vous avez choisi Allowlist dans la liste des cookies de transfert, entrez dans le champ Allowlist Cookies les noms des cookies que vous souhaitez transférer CloudFront vers votre serveur d'origine pour ce comportement de cache. Entrez chaque nom de cookie sur une nouvelle ligne.

Vous pouvez utiliser les caractères génériques suivants pour spécifier les noms de cookie :

  • * correspond à 0 caractère ou plus dans le nom de cookie

  • ? correspond à 1 caractère exactement dans le nom de cookie.

Imaginons, par exemple, qu’une demande inclue un cookie nommé :

userid_member-number

Où chacun de vos utilisateurs possède une valeur unique pour member-number. Vous souhaitez CloudFront mettre en cache une version distincte de l'objet pour chaque membre. Vous pouvez y parvenir en transférant tous les cookies vers votre source, mais les demandes des utilisateurs incluent certains cookies que vous ne souhaitez pas mettre CloudFront en cache. Vous pouvez également spécifier la valeur suivante comme nom de cookie, ce qui entraîne CloudFront le transfert à l'origine de tous les cookies commençant par userid_ :

userid_*

Pour connaître le nombre maximal actuel de noms de cookies qu’il est possible d’ajouter en liste d’autorisation pour chaque comportement de cache, ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas sur les cookies (paramètres de cache hérités).

Réacheminement et mise en cache des chaînes de requête

CloudFront peut mettre en cache différentes versions de votre contenu en fonction des valeurs des paramètres de chaîne de requête. Choisissez l’une des options suivantes :

Aucun (optimise la mise en cache)

Choisissez cette option si votre origine renvoie la même version d’un objet quelles que soient les valeurs des paramètres de la chaîne de requête. Cela augmente la probabilité de CloudFront répondre à une demande depuis le cache, ce qui améliore les performances et réduit la charge sur votre origine.

Tout réacheminer, cache basé sur la liste d’autorisation

Sélectionnez cette option si votre serveur d’origine renvoie des versions différentes de vos objets en fonction d’un ou de plusieurs paramètres de la chaîne de requête. Spécifiez ensuite les paramètres que vous CloudFront souhaitez utiliser comme base pour la mise en cache dans le Liste d’autorisation des chaînes de requête champ.

Tout réacheminer, cache basé sur tout

Sélectionnez cette option si votre serveur d’origine renvoie des versions différentes de vos objets en fonction de tous les paramètres de la chaîne de requête.

Pour plus d’informations sur la mise en cache en fonction des paramètres de la chaîne de requête, y compris sur la façon d’améliorer les performances, consultez la page Contenu du cache basé sur les paramètres de chaîne de requête.

Liste d’autorisation des chaînes de requête

Ce paramètre s'applique uniquement lorsque vous choisissez Transférer tout, cache basé sur la liste d'autorisation pourRéacheminement et mise en cache des chaînes de requête. Vous pouvez spécifier les paramètres de chaîne de requête que vous CloudFront souhaitez utiliser comme base pour la mise en cache.

Smooth Streaming

Choisissez Oui si vous souhaitez distribuer des fichiers multimédia au format Microsoft Smooth Streaming et que vous ne possédez pas de IIS serveur.

Choisissez Non si vous souhaitez utiliser un IIS serveur Microsoft comme origine pour distribuer des fichiers multimédia au format Microsoft Smooth Streaming, ou si vous ne distribuez pas de fichiers multimédia Smooth Streaming.

Note

Si vous spécifiez Oui, vous pouvez continuer à distribuer d’autres contenus en utilisant ce comportement de cache s’ils correspondent à la valeur de Modèle de chemin.

Pour de plus amples informations, veuillez consulter Configuration de la vidéo à la demande pour Microsoft Smooth Streaming.

Restreindre l'accès des spectateurs (utiliser des cookies signés URLs ou signés)

Si vous souhaitez que les demandes d'objets correspondant PathPattern au comportement de ce cache soient publiquesURLs, choisissez Non.

Si vous souhaitez que les demandes d'objets correspondant au comportement PathPattern de ce cache soient signéesURLs, choisissez Oui. Spécifiez ensuite les AWS comptes que vous souhaitez utiliser pour créer des comptes signés URLs ; ces comptes sont appelés signataires approuvés.

Pour plus d’informations sur les utilisateurs de confiance, consultez Spécifiez les signataires autorisés à créer des cookies signés URLs et signés.

Signataires autorisés

Ce paramètre s'applique uniquement lorsque vous sélectionnez Oui pour Restreindre l'accès du spectateur (utiliser des cookies signés URLs ou signés).

Choisissez les AWS comptes que vous souhaitez utiliser comme signataires approuvés pour ce comportement de cache :

  • Auto-signature : utilisez le compte avec lequel vous êtes actuellement connecté en AWS Management Console tant que signataire de confiance. Si vous êtes actuellement connecté en tant qu'IAMutilisateur, le AWS compte associé est ajouté en tant que signataire de confiance.

  • Spécifier des comptes : saisissez les numéros de comptes des utilisateurs de confiance dans le champ Numéros de comptes AWS .

Pour créer un AWS compte signéURLs, il faut qu'au moins une paire de CloudFront clés soit active.

Important

Si vous mettez à jour une distribution que vous utilisez déjà pour distribuer du contenu, ajoutez des signataires de confiance uniquement lorsque vous êtes prêt à commencer à générer des signatures URLs pour vos objets. Une fois que vous avez ajouté des signataires approuvés à une distribution, les utilisateurs doivent utiliser URLs Signed pour accéder aux objets qui correspondent au PathPattern comportement de ce cache.

Compte AWS chiffres

Ce paramètre s'applique uniquement lorsque vous choisissez Spécifier les comptes pour les signataires approuvés.

Si vous souhaitez créer une signature URLs Comptes AWS en plus ou à la place du compte courant, entrez un Compte AWS chiffre par ligne dans ce champ. Notez ce qui suit :

  • Les comptes que vous spécifiez doivent avoir au moins une paire de CloudFront clés active. Pour de plus amples informations, veuillez consulter Créez des paires de clés pour vos signataires.

  • Vous ne pouvez pas créer de paires de CloudFront clés pour IAM les utilisateurs. Vous ne pouvez donc pas IAM les utiliser comme signataires de confiance.

  • Pour plus d'informations sur la façon d'obtenir le Compte AWS numéro d'un compte, voir Afficher les Compte AWS identifiants dans le Guide de référence Compte AWS de gestion.

  • Si vous entrez le numéro de compte du compte courant, cochez CloudFront automatiquement la case Automatique et supprimez le numéro de compte de la liste des numéros de AWS compte.

Compresser des objets automatiquement

Si vous souhaitez CloudFront compresser automatiquement certains types de fichiers lorsque les utilisateurs acceptent le contenu compressé, choisissez Oui. Lorsque CloudFront vous compressez votre contenu, les téléchargements sont plus rapides car les fichiers sont plus petits et vos pages Web s'affichent plus rapidement pour vos utilisateurs. Pour de plus amples informations, veuillez consulter Servir des fichiers compressés.

CloudFront événement

Ce paramètre s'applique aux associations de fonctions Lambda.

Vous pouvez choisir d'exécuter une fonction Lambda lorsqu'un ou plusieurs des CloudFront événements suivants se produisent :

  • Quand CloudFront reçoit une demande d'un téléspectateur (demande du téléspectateur)

  • Avant CloudFront de transmettre une demande à l'origine (demande d'origine)

  • Quand CloudFront reçoit une réponse de l'origine (réponse d'origine)

  • Before CloudFront renvoie la réponse au spectateur (réponse du spectateur)

Pour de plus amples informations, veuillez consulter Choisissez l'événement pour déclencher la fonction.

Fonction Lambda ARN

Ce paramètre s'applique aux associations de fonctions Lambda.

Spécifiez le nom de ressource Amazon (ARN) de la fonction Lambda pour laquelle vous souhaitez ajouter un déclencheur. Pour savoir comment obtenir le ARN for pour une fonction, reportez-vous à l'étape 1 de la procédure Ajouter des déclencheurs à l'aide de la CloudFront console.

Inclure le corps

Ce paramètre s'applique aux associations de fonctions Lambda.

Pour plus d'informations, voir Inclure le corps.

Paramètres de distribution

Les valeurs suivantes s’appliquent à la totalité de la distribution.

Catégorie de tarifs

Choisissez la classe de prix qui correspond au prix maximum que vous souhaitez payer pour le CloudFront service. Par défaut, CloudFront diffuse vos objets à partir d'emplacements périphériques dans toutes les CloudFront régions.

Pour plus d'informations sur les classes de prix et sur l'impact de votre choix sur les CloudFront performances de votre distribution, consultez la section CloudFront Tarification.

AWS WAF web ACL

Vous pouvez protéger votre CloudFront distribution à l'aide AWS WAFd'un pare-feu pour applications Web qui vous permet de sécuriser vos applications Web et de APIs bloquer les demandes avant qu'elles n'atteignent vos serveurs. Vous pouvez le faire Activer AWS WAF pour les distributions lors de la création ou de la modification d'une CloudFront distribution.

Vous pouvez éventuellement configurer ultérieurement des protections de sécurité supplémentaires pour d'autres menaces spécifiques à votre application dans la AWS WAF console à l'adresse https://console.aws.amazon.com/wafv2/.

Pour plus d'informations AWS WAF, consultez le guide du AWS WAF développeur.

Noms de domaine alternatifs (CNAMEs)

Facultatif. Spécifiez un ou plusieurs noms de domaine que vous souhaitez utiliser URLs pour vos objets au lieu du nom de domaine attribué lors de CloudFront la création de votre distribution. Vous devez être propriétaire du nom de domaine ou être autorisé à l'utiliser, ce que vous pouvez vérifier en ajoutant un TLS certificat SSL /.

Par exemple, si vous voulez le URL pour l'objet :

/images/image.jpg

se présente ainsi :

https://www.example.com/images/image.jpg

et non comme suit :

https://d111111abcdef8.cloudfront.net/images/image.jpg

Ajoutez un CNAME pourwww.example.com.

Important

Si vous ajoutez un CNAME for www.example.com à votre distribution, vous devez également effectuer les opérations suivantes :

  • Créez (ou mettez à jour) un CNAME enregistrement auprès de votre DNS service pour acheminer les requêtes www.example.com versd111111abcdef8.cloudfront.net.

  • Ajoutez un certificat CloudFront provenant d'une autorité de certification (CA) approuvée qui couvre le nom de domaine (CNAME) que vous ajoutez à votre distribution, afin de valider votre autorisation d'utiliser le nom de domaine.

Vous devez être autorisé à créer un CNAME enregistrement auprès du fournisseur DNS de services pour le domaine. Cela signifie normalement que le domaine vous appartient ou que vous développez une application pour le propriétaire du domaine.

Pour connaître le nombre maximum actuel de noms de domaine alternatifs que vous pouvez ajouter à une distribution ou demander un quota plus élevé (auparavant appelé limite), veuillez consulter Quotas généraux sur les distributions.

Pour plus d’informations sur les noms de domaine alternatifs, consultez Utilisez la personnalisation URLs en ajoutant des noms de domaine alternatifs (CNAMEs). Pour plus d'informations sur CloudFront URLs, voirPersonnalisez le URL format des fichiers dans CloudFront.

SSLcertificat

Si vous avez spécifié un autre nom de domaine à utiliser avec votre distribution, choisissez SSLCertificat personnalisé, puis, pour valider votre autorisation d'utiliser le nom de domaine alternatif, choisissez un certificat qui le couvre. Si vous souhaitez que les utilisateurs accèdent HTTPS à vos objets, choisissez les paramètres qui le permettent.

Note

Avant de pouvoir spécifier un SSL certificat personnalisé, vous devez spécifier un autre nom de domaine valide. Pour plus d’informations, consultez Exigences relatives à l’utilisation de noms de domaines alternatifs et Utilisez des noms de domaine alternatifs et HTTPS.

  • CloudFront Certificat par défaut (*.cloudfront.net) — Choisissez cette option si vous souhaitez utiliser le nom de CloudFront domaine URLs pour vos objets, tels que. https://d111111abcdef8.cloudfront.net/image1.jpg

  • SSLCertificat personnalisé — Choisissez cette option si vous souhaitez utiliser votre propre nom de domaine URLs pour vos objets en tant que nom de domaine alternatif, par exemplehttps://example.com/image1.jpg. Ensuite, choisissez un certificat à utiliser qui couvre le nom de domaine alternatif. La liste des certificats peut inclure l’un des éléments suivants :

    • Certificats fournis par AWS Certificate Manager

    • Certificats que vous avez achetés auprès d'une autorité de certification tierce et téléchargés sur ACM

    • Certificats que vous avez achetés auprès d'une autorité de certification tierce et téléchargés dans le magasin de IAM certificats

    Si vous choisissez ce paramètre, nous vous recommandons de n'utiliser qu'un autre nom de domaine dans votre objet URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) et qu'un client utilise un ancien visualiseur qui ne le prend pas en charge. La façon dont le lecteur réagit dépend de la valeur que vous choisissez pour Clients pris en charge SNI :

    • Tous les clients : le visualiseur affiche un avertissement car le nom de CloudFront domaine ne correspond pas au nom de domaine indiqué dans votre SSL TLS certificat/.

    • Uniquement les clients qui supportent l'indication du nom du serveur (SNI) : CloudFront abandonne la connexion avec le visualiseur sans renvoyer l'objet.

Support SSL client personnalisé

S'applique uniquement lorsque vous choisissez SSLCertificat personnalisé (exemple.com) comme SSL certificat. Si vous avez indiqué un ou plusieurs noms de domaine alternatifs et un SSL certificat personnalisé pour la distribution, choisissez la manière dont vous CloudFront souhaitez traiter les HTTPS demandes :

  • Clients prenant en charge l'indication du nom du serveur (SNI) - (Recommandé) — Avec ce paramètre, pratiquement tous les navigateurs Web et clients modernes peuvent se connecter à la distribution, car ils le prennent en chargeSNI. Cependant, certains utilisateurs peuvent utiliser des navigateurs Web plus anciens ou des clients qui ne sont pas compatiblesSNI, ce qui signifie qu'ils ne peuvent pas se connecter à la distribution.

    Pour appliquer ce paramètre à l'aide du CloudFront API, spécifiez-le sni-only dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

  • Support pour les anciens clients : avec ce paramètre, les anciens navigateurs Web et les clients non compatibles SNI peuvent se connecter à la distribution. Toutefois, ce paramètre entraîne des frais mensuels supplémentaires. Pour connaître le prix exact, rendez-vous sur la page de CloudFront tarification d'Amazon et recherchez une adresse IP dédiée personnalisée sur la pageSSL.

    Pour appliquer ce paramètre à l'aide du CloudFront API, spécifiez-le vip dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

Pour de plus amples informations, veuillez consulter Choisissez le mode de CloudFront traitement des HTTPS demandes.

Politique de sécurité (SSLTLSminimum/version)

Spécifiez la politique de sécurité que vous CloudFront souhaitez utiliser pour les HTTPS connexions avec les spectateurs (clients). Une politique de sécurité détermine deux paramètres :

  • TLSProtocoleSSL/minimal CloudFront utilisé pour communiquer avec les spectateurs.

  • Les chiffrements qui CloudFront peuvent être utilisés pour chiffrer le contenu renvoyé aux spectateurs.

Pour de plus amples informations sur les politiques de sécurité, y compris les protocoles et les chiffrements inclus dans chacune d’elles, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Les politiques de sécurité disponibles dépendent des valeurs que vous spécifiez pour les SSLcertificats et le support SSL client personnalisé (appelées CloudFrontDefaultCertificate et SSLSupportMethod dans le CloudFront API) :

  • Lorsque le SSLcertificat est le CloudFront certificat par défaut (*.cloudfront.net) (lorsqu'il CloudFrontDefaultCertificate se trouve true dans leAPI), définit CloudFront automatiquement la politique de sécurité sur. TLSv1

  • Lorsque le SSLcertificat est SSLun certificat personnalisé (exemple.com) et que le support SSL client personnalisé est composé de clients qui prennent en charge l'indication du nom du serveur (SNI) - (recommandé) (quand CloudFrontDefaultCertificate false figure et SSLSupportMethod se trouve sni-only dans leAPI), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv12.2_2021

    • TLSv12.2_2019

    • TLSv12.2_2018

    • TLSv11.1_2016

    • TLSv1_2016

    • TLSv1

  • Lorsque le SSLcertificat est SSLun certificat personnalisé (exemple.com) et que le support SSL client personnalisé est un support pour les anciens clients (quand il CloudFrontDefaultCertificate SSLSupportMethod figure false et vip figure dans leAPI), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv1

    • SSLv3

    Dans cette configuration, les politiques de sécurité TLSv1 .2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 et TLSv1 _2016 ne sont pas disponibles dans la console ou. CloudFront API Si vous souhaitez utiliser l’une de ces politiques de sécurité, vous disposez des options suivantes :

    • Évaluez si votre distribution a besoin d’une prise en charge de client hérité avec adresses IP dédiées. Si vos spectateurs acceptent l'indication du nom du serveur (SNI), nous vous recommandons de mettre à jour le paramètre de support SSL client personnalisé de votre distribution en indiquant les clients qui prennent en charge l'indication du nom du serveur (SNI) (défini SSLSupportMethod sur sni-only dans leAPI). Cela vous permet d'utiliser n'importe laquelle des politiques TLS de sécurité disponibles, et cela peut également réduire vos CloudFront frais.

    • Si vous devez conserver l'assistance aux anciens clients avec des adresses IP dédiées, vous pouvez demander l'une des autres politiques de TLS sécurité (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou TLSv1 _2016) en créant un dossier dans le centre de support.AWS

      Note

      Avant de contacter le AWS Support pour demander cette modification, prenez en compte les points suivants :

      • Lorsque vous ajoutez l'une de ces politiques de sécurité (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou _2016TLSv1) à une distribution d'assistance aux anciens clients, la politique de sécurité est appliquée à toutes les SNI demandes non consultées concernant toutes les distributions d'assistance aux anciens clients de votre compte. AWS Toutefois, lorsque les spectateurs envoient des SNI demandes à une distribution via Legacy Clients Support, la politique de sécurité de cette distribution s'applique. Pour vous assurer que la politique de sécurité souhaitée est appliquée à toutes les demandes des utilisateurs envoyées à toutes les distributions Legacy Clients Support de votre AWS compte, ajoutez la politique de sécurité souhaitée à chaque distribution individuellement.

      • Par définition, la nouvelle politique de sécurité ne prend pas en charge les mêmes chiffrements et protocoles que l’ancienne. Par exemple, si vous choisissez de mettre à niveau la politique de sécurité d'une distribution TLSv1 vers TLSv1 .1_2016, cette distribution ne prendra plus en charge le chiffrement DES - CBC3 -SHA. Pour de plus amples informations sur les chiffrements et les protocoles pris en charge par chaque politique de sécurité, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

HTTPVersions prises en charge

Choisissez les HTTP versions que vous souhaitez que votre distribution prenne en charge lorsque les spectateurs communiquent avec elles CloudFront.

Pour les spectateurs et CloudFront pour utiliser HTTP /2, les lecteurs doivent prendre en charge la version TLSv1 .2 ou une version ultérieure et l'indication du nom du serveur (SNI). CloudFront n'offre pas de support natif pour g RPC over HTTP /2.

Pour les utilisateurs et CloudFront pour utiliser HTTP /3, les utilisateurs doivent prendre en charge TLSv1 .3 et Server Name Indication (SNI). CloudFront prend en charge la migration des connexions HTTP /3 pour permettre au spectateur de changer de réseau sans perdre la connexion. Pour plus d'informations sur la migration des connexions, consultez la section Migration des connexions à RFC 9000.

Note

Pour plus d'informations sur les chiffrements TLSv1 .3 pris en charge, consultez. Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront

Objet racine par défaut

Facultatif. L'objet que vous souhaitez demander CloudFront à votre origine (par exemple,index.html) lorsqu'un utilisateur demande la racine URL de votre distribution (https://www.example.com/) au lieu d'un objet de votre distribution (https://www.example.com/product-description.html). Spécifier un objet racine par défaut permet d’éviter d’exposer le contenu de votre distribution.

La longueur maximale du nom est de 255 caractères. Le nom peut contenir l’un des caractères suivants :

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, transmis et renvoyé comme &

Lorsque vous spécifiez l’objet racine par défaut, entrez uniquement le nom de l’objet, par exemple, index.html. N’ajoutez pas / devant le nom de l’objet.

Pour de plus amples informations, veuillez consulter Spécifier un objet racine par défaut.

Journalisation

Si vous souhaitez CloudFront enregistrer les informations relatives à chaque demande d'objet et stocker les fichiers journaux dans un compartiment Amazon S3. Vous pouvez activer ou désactiver la journalisation à tout moment. L’activation de la journalisation ne fait l’objet d’aucuns frais supplémentaires, mais vous augmentez le coût habituel Amazon S3 pour le stockage des fichiers et l’accès à ces fichiers dans un compartiment Amazon S3. Vous pouvez supprimer les fichiers journaux à tout moment. Pour plus d'informations sur les journaux CloudFront d'accès, consultezConfiguration et utilisation de journaux standard (journaux d'accès).

Compartiment pour les journaux

Si vous avez choisi Activé pour la journalisation, le compartiment Amazon S3 dans lequel vous CloudFront souhaitez stocker l'accès se connecte, par exemple,myLogs-amzn-s3-demo-bucket.s3.amazonaws.com.

Important

Ne choisissez pas de compartiment Amazon S3 dans les cas suivants Régions AWS. CloudFront ne fournit pas de journaux standard aux compartiments dans les régions suivantes :

  • Afrique (Le Cap)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Hyderabad)

  • Asie-Pacifique (Jakarta)

  • Asie-Pacifique (Melbourne)

  • Canada Ouest (Calgary)

  • Europe (Milan)

  • Europe (Espagne)

  • Europe (Zurich)

  • Israël (Tel Aviv)

  • Moyen-Orient (Bahreïn)

  • Moyen-Orient (UAE)

Si vous activez la journalisation, CloudFront enregistre les informations relatives à chaque demande d'objet par un utilisateur final et stocke les fichiers dans le compartiment Amazon S3 spécifié. Vous pouvez activer ou désactiver la journalisation à tout moment. Pour plus d'informations sur les journaux CloudFront d'accès, consultezConfiguration et utilisation de journaux standard (journaux d'accès).

Note

Vous devez disposer des autorisations requises pour obtenir et mettre à jour le compartiment Amazon S3ACLs, et le S3 ACL associé au compartiment doit vous les accorderFULL_CONTROL. Cela permet CloudFront d'autoriser le awslogsdelivery compte à enregistrer les fichiers journaux dans le compartiment. Pour de plus amples informations, veuillez consulter Autorisations requises pour configurer la journalisation standard et accéder aux fichiers journaux.

Préfixe de journal

Facultatif. Si vous avez choisi Activé pour la journalisation, spécifiez la chaîne, le cas échéant, que vous CloudFront souhaitez préfixer aux noms des fichiers journaux d'accès pour cette distribution, par exemple,exampleprefix/. La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour plus d'informations sur les journaux CloudFront d'accès, consultezConfiguration et utilisation de journaux standard (journaux d'accès).

Journalisation des cookies

Si vous CloudFront souhaitez inclure des cookies dans les journaux d'accès, choisissez Activé. Si vous choisissez d'inclure des cookies dans les CloudFront journaux, enregistre tous les cookies, quelle que soit la manière dont vous configurez les comportements de cache pour cette distribution : transférer tous les cookies, ne transférer aucun cookie ou transmettre une liste spécifiée de cookies à l'origine.

Amazon S3 ne traite pas les cookies. Par conséquent, à moins que votre distribution n'inclue également une origine Amazon EC2 ou une autre origine personnalisée, nous vous recommandons de choisir Désactivé pour la valeur de la journalisation des cookies.

Pour plus d’informations sur les cookies, consultez Contenu du cache basé sur les cookies.

Activer IPv6

IPv6est une nouvelle version du protocole IP. Il remplace éventuellement un espace d'adressage plus grand IPv4 et utilise un espace d'adressage plus important. CloudFront répond toujours aux IPv4 demandes. Si vous souhaitez répondre CloudFront aux demandes provenant d'adresses IPv4 IP (telles que 192.0.2.44) et aux demandes provenant d'IPv6adresses (telles que 2001:0 db 8:85 a3 : :8a2e : 0370:7334), sélectionnez Activer. IPv6

En général, vous devez l'activer IPv6 si des utilisateurs de IPv6 réseaux souhaitent accéder à votre contenu. Toutefois, si vous utilisez des cookies signés URLs ou signés pour restreindre l'accès à votre contenu, et si vous utilisez une politique personnalisée qui inclut le IpAddress paramètre permettant de restreindre les adresses IP autorisées à accéder à votre contenu, ne les activez pasIPv6. Si vous souhaitez limiter l’accès à un contenu spécifique par adresse IP et ne pas limiter l’accès aux autres contenus (ou limiter l’accès, mais pas par adresse IP), vous pouvez créer deux distributions. Pour plus d'informations sur la création de URLs documents signés à l'aide d'une politique personnalisée, consultezCréation d'un document signé URL à l'aide d'une politique personnalisée. Pour plus d’informations sur la création de cookies signés à l’aide d’une politique personnalisée, consultez Définissez des cookies signés à l'aide d'une politique personnalisée.

Si vous utilisez un jeu d'enregistrements de ressources d'alias Route 53 pour acheminer le trafic vers votre CloudFront distribution, vous devez créer un deuxième ensemble d'enregistrements de ressources d'alias lorsque les deux conditions suivantes sont remplies :

  • Vous activez IPv6 la distribution

  • Vous utilisez des noms de domaine alternatifs URLs pour vos objets

Pour plus d'informations, consultez la section Acheminer le trafic vers une CloudFront distribution Amazon en utilisant votre nom de domaine dans le guide du développeur Amazon Route 53.

Si vous avez créé un ensemble d'enregistrements de CNAME ressources, que ce soit avec Route 53 ou avec un autre DNS service, vous n'avez pas besoin d'apporter de modifications. Un CNAME enregistrement achemine le trafic vers votre distribution quel que soit le format d'adresse IP de la demande du visiteur.

Si vous activez IPv6 et CloudFront accédez aux journaux, la c-ip colonne inclut les valeurs IPv4 et le IPv6 format. Pour de plus amples informations, veuillez consulter Configuration et utilisation de journaux standard (journaux d'accès).

Note

Pour maintenir une haute disponibilité des clients, CloudFront répondez aux demandes des utilisateurs en utilisant IPv4 si nos données suggèrent que cela IPv4 offrira une meilleure expérience utilisateur. Pour connaître le pourcentage de demandes traitées CloudFront IPv6, activez la CloudFront journalisation de votre distribution et analysez la c-ip colonne, qui contient l'adresse IP de l'utilisateur à l'origine de la demande. Ce pourcentage devrait augmenter au fil du temps, mais il restera une minorité du trafic car il n'IPv6est pas encore supporté par tous les réseaux de téléspectateurs du monde entier. Certains réseaux de téléspectateurs offrent un excellent IPv6 support, mais d'autres ne le font pas IPv6 du tout. (Un réseau de visionneuse est similaire à votre opérateur sans fil ou Internet).

Pour plus d'informations sur notre assistance pourIPv6, consultez le CloudFront FAQ. Pour plus d’informations sur l’activation des journaux d’accès, consultez les champs Journalisation, Compartiment pour les journaux et Préfixe de journal.

Comment

Facultatif. Lorsque vous créez une distribution, vous pouvez inclure un commentaire de 128 caractères au plus. Vous pouvez mettre à jour le commentaire à tout moment.

État de la distribution

Indique si vous voulez que la distribution soit activée ou désactivée une fois déployée :

  • Activé signifie que dès que la distribution est entièrement déployée, vous pouvez déployer les liens qui utilisent le nom de domaine de la distribution et que les utilisateurs peuvent extraire le contenu. Chaque fois qu'une distribution est activée, CloudFront accepte et gère toutes les demandes de contenu des utilisateurs finaux utilisant le nom de domaine associé à cette distribution.

    Lorsque vous créez, modifiez ou supprimez une CloudFront distribution, la propagation des modifications dans la CloudFront base de données prend du temps. Une demande immédiate d’informations sur une distribution peut ne pas afficher la modification. La propagation s’effectue généralement en quelques minutes, mais une charge système ou une partition du réseau élevées peuvent augmenter cette durée.

  • Désactivé signifie que même si la distribution peut être déployée et prête à être utilisée, les utilisateurs ne peuvent pas l’utiliser. Chaque fois qu'une distribution est désactivée, CloudFront n'accepte aucune demande d'utilisateur final utilisant le nom de domaine associé à cette distribution. Tant que vous n’avez pas basculé la distribution de « disabled » en « enabled » (en mettant à jour la configuration de la distribution), personne ne peut l’utiliser.

Vous pouvez basculer une distribution de désactivée à activée (et inversement) aussi souvent que vous le voulez. Suivez la procédure de mise à jour de la configuration d’une distribution. Pour de plus amples informations, veuillez consulter Mettre à jour une distribution.

Pages d’erreur personnalisées et mise en cache des erreurs

Vous pouvez avoir CloudFront renvoyé un objet au lecteur (par exemple, un HTML fichier) lorsque votre Amazon S3 ou votre origine personnalisée renvoie un code de statut HTTP 4xx ou 5xx à. CloudFront Vous pouvez également spécifier la durée pendant laquelle une réponse d'erreur provenant de votre origine ou d'une page d'erreur personnalisée est mise en cache dans les CloudFront caches périphériques. Pour de plus amples informations, veuillez consulter Création d'une page d'erreur personnalisée pour des codes d'HTTPétat spécifiques.

Note

Comme les valeurs suivantes ne sont pas incluses dans l’Assistant Create Distribution, vous ne pouvez configurer les pages d’erreur personnalisées que lorsque vous mettez à jour une distribution.

HTTPcode d'erreur

Code d'HTTPétat pour lequel vous souhaitez CloudFront renvoyer une page d'erreur personnalisée. Vous pouvez configurer CloudFront pour renvoyer des pages d'erreur personnalisées pour aucun, certains ou tous les codes d'HTTPétat mis en CloudFront cache.

Chemin de la page de réponse

Le chemin d'accès à la page d'erreur personnalisée (par exemple,/4xx-errors/403-forbidden.html) que vous souhaitez renvoyer CloudFront à un utilisateur lorsque votre origine renvoie le code d'HTTPétat que vous avez spécifié pour le code d'erreur (par exemple, 403). Si vous souhaitez stocker vos objets et vos pages d’erreur personnalisées dans des emplacements différents, votre distribution doit inclure un comportement de cache pour lequel les conditions suivantes sont vraies :

  • La valeur de Modèle de chemin correspond au chemin d’accès de vos messages d’erreur personnalisés. Par exemple, supposons que vous ayez enregistré des pages d’erreur personnalisées pour les erreurs 4xx dans un compartiment Amazon S3 d’un répertoire nommé /4xx-errors. Votre distribution doit inclure un comportement de cache pour lequel le modèle de chemin transmet les demandes de vos pages d’erreur personnalisées vers cet emplacement, par exemple, /erreurs-4xx/*.

  • La valeur d’Origine spécifie la valeur d’ID d’origine pour l’origine qui contient vos pages d’erreur personnalisées.

HTTPcode de réponse

Le code HTTP d'état que vous CloudFront souhaitez renvoyer au visualiseur avec la page d'erreur personnalisée.

Erreur minimale lors de la mise en cache TTL (secondes)

Durée minimale pendant laquelle vous souhaitez mettre en cache CloudFront les réponses aux erreurs depuis votre serveur d'origine.

Restrictions géographiques

Si vous devez empêcher les utilisateurs de certains pays d'accéder à votre contenu, vous pouvez configurer votre CloudFront distribution avec une liste d'autorisation ou une liste de blocage. Il n’y a pas de frais supplémentaires pour la configuration de restrictions géographiques. Pour de plus amples informations, veuillez consulter Limitez la distribution géographique de votre contenu.