Référence des paramètres de distribution - Amazon CloudFront
Paramètres d’origineParamètres de comportement du cacheParamètres de distributionPages d’erreur personnalisées et mise en cache des erreursRestrictions géographiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des paramètres de distribution

Lorsque vous utilisez la console CloudFront pour créer une distribution ou mettre à jour une distribution existante, vous spécifiez les valeurs ci-après.

Pour de plus amples informations sur la création ou la mise à jour d'une distribution à l'aide de la console CloudFront, veuillez consulter Créer une distribution ou Mettre à jour une distribution.

Paramètres d’origine

Lorsque vous utilisez la CloudFront console pour créer ou mettre à jour une distribution, vous fournissez des informations sur un ou plusieurs emplacements, appelés origines, où vous stockez les versions originales de votre contenu Web. CloudFront récupère votre contenu Web depuis vos origines et le diffuse aux spectateurs via un réseau mondial de serveurs périphériques.

Pour connaître le nombre maximal actuel d’origines que vous pouvez créer pour une distribution ou pour demander un quota plus élevé, consultez Quotas généraux sur les distributions.

Si vous voulez supprimer une origine, vous devez d’abord modifier ou supprimer les comportements de cache associés à cette origine.

Important

Si vous supprimez une origine, confirmez que les fichiers qui étaient précédemment remis par cette origine sont disponibles dans une autre origine et que vos comportements de cache acheminent désormais ces fichiers vers la nouvelle origine.

Lorsque vous créez ou mettez à jour une distribution web, vous spécifiez les valeurs suivantes pour chaque origine.

Domaine d'origine

Le domaine d'origine est le nom de domaine DNS de la ressource où CloudFront seront obtenus les objets correspondant à votre origine, tels qu'un bucket Amazon S3 ou un serveur HTTP. Par exemple :

  • Compartiment Amazon S3amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com

    Note

    Si vous avez récemment créé le compartiment S3, la CloudFront distribution peut renvoyer HTTP 307 Temporary Redirect des réponses pendant 24 heures au maximum. La propagation du nom du compartiment S3 dans toutes les AWS régions peut prendre jusqu'à 24 heures. Lorsque la propagation est terminée, la distribution arrête automatiquement l’envoi de ces réponses de redirection ; vous n’avez pas besoin de prendre d’action. Pour de plus amples informations, veuillez consulter Pourquoi Amazon S3 m’envoie-t-il une réponse de redirection temporaire HTTP 307 ? et Redirection de demande temporaire.

  • Compartiment Amazon S3 configuré en tant que site webamzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com

  • MediaStore contenantexamplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage point finalexamplemediapackage.mediapackage.us-west-1.amazonaws.com

  • EC2 Instance Amazonec2-203-0-113-25.compute-1.amazonaws.com

  • Équilibreur de charge Elastic Load Balancingexample-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • Votre propre serveur webwww.example.com

Choisissez le nom de domaine dans le champ Domaine d’origine ou saisissez le nom. Les ressources des régions participantes doivent être saisies manuellement. Le nom de domaine n’est pas sensible à la casse. Votre domaine d'origine doit avoir un nom DNS pouvant être résolu publiquement qui achemine les demandes des clients vers des cibles via Internet.

Si vous configurez CloudFront pour vous connecter à votre origine via HTTPS, l'un des noms de domaine du certificat doit correspondre au nom de domaine que vous avez spécifié pour le nom de domaine d'origine. Si aucun nom de domaine ne correspond, CloudFront renvoie le code d'état HTTP 502 (Bad Gateway) au lecteur. Pour plus d’informations, consultez Noms de domaine dans la CloudFront distribution et dans le certificat et Echec de négociation SSL/TLS entre CloudFront et un serveur d'origine personnalisé.

Note

Si vous utilisez une politique de demande d'origine qui transmet l'en-tête de l'hôte du lecteur à l'origine, l'origine doit répondre par un certificat correspondant à l'en-tête de l'hôte du lecteur. Pour de plus amples informations, veuillez consulter Ajouter des en-têtes de CloudFront demande.

Si votre origine est un compartiment Amazon S3, notez les points suivants :

  • Si le compartiment est configuré comme site web, entrez le point de terminaison de l’hébergement du site web statique Amazon S3 de votre compartiment ; ne sélectionnez pas le nom du compartiment dans la liste du champ Origin domain (Domaine d’origine). Le point de terminaison de l’hébergement du site web statique s’affiche dans la console Amazon S3, sur la page Properties (Propriétés) sous Static Website Hosting (Hébergement de site Web statique). Pour de plus amples informations, veuillez consulter Utiliser un compartiment Amazon S3 configuré comme point de terminaison de site Web.

  • Si vous avez configuré Amazon S3 Transfer Acceleration pour votre compartiment, ne spécifiez pas le point de terminaison s3-accelerate pour Origin domain (Domaine d’origine).

  • Si vous utilisez un bucket provenant d'un autre AWS compte et si le bucket n'est pas configuré en tant que site Web, entrez le nom au format suivant :

    bucket-name.s3.region.amazonaws.com

    Si votre compartiment se trouve dans la région USA et que vous voulez qu’Amazon S3 route les demandes vers une installation située en Virginie du Nord, utilisez le format suivant :

    bucket-name.s3.us-east-1.amazonaws.com

  • Les fichiers doivent être lisibles par le public, sauf si vous sécurisez votre contenu dans Amazon S3 à l'aide d'un contrôle CloudFront d'accès à l'origine. Pour plus d’informations sur le contrôle d’accès, consultez Restreindre l'accès à une origine Amazon Simple Storage Service.

Important

Si l’origine est un compartiment Amazon S3, le nom du compartiment doit être conforme aux exigences de dénomination DNS. Pour plus d’informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l’utilisateur Amazon Simple Storage Service.

Lorsque vous modifiez la valeur du domaine d'origine pour une origine, commence CloudFront immédiatement à répliquer la modification aux emplacements CloudFront périphériques. Jusqu'à ce que la configuration de distribution soit mise à jour dans un emplacement périphérique donné, CloudFront continue de transmettre les demandes à l'origine précédente. Dès que la configuration de distribution est mise à jour dans cet emplacement périphérique, CloudFront commence à transférer les demandes vers la nouvelle origine.

La modification de l'origine ne nécessite pas CloudFront de repeupler les caches périphériques avec des objets provenant de la nouvelle origine. Tant que les demandes du lecteur dans votre application n'ont pas changé, CloudFront continue à servir les objets qui se trouvent déjà dans un cache périphérique jusqu'à ce que le TTL de chaque objet expire ou jusqu'à ce que les objets rarement demandés soient expulsés.

Protocole (origines personnalisées uniquement)

Note

Ceci s’applique uniquement aux origines personnalisées.

La politique de protocole que vous CloudFront souhaitez utiliser lors de la récupération d'objets depuis votre origine.

Choisissez l’une des valeurs suivantes :

  • HTTP uniquement : CloudFront utilise uniquement le protocole HTTP pour accéder à l'origine.

    Important

    HTTP only (HTTP uniquement) est le paramètre par défaut lorsque l’origine est un point de terminaison d’hébergement de site web statique Amazon S3, car Amazon S3 ne prend pas en charge les connexions HTTPS pour les points de terminaison d’hébergement de sites web statiques. La CloudFront console ne prend pas en charge la modification de ce paramètre pour les points de terminaison d'hébergement de sites Web statiques Amazon S3.

  • HTTPS uniquement : CloudFront utilise uniquement le protocole HTTPS pour accéder à l'origine.

  • Match Viewer : CloudFront communique avec votre source via HTTP ou HTTPS, selon le protocole de la demande du spectateur. CloudFront ne met en cache l'objet qu'une seule fois, même si les utilisateurs font des demandes à l'aide des protocoles HTTP et HTTPS.

    Important

    Pour les demandes du lecteur HTTPS qui CloudFront sont transférées vers cette origine, l'un des noms de domaine figurant dans le certificat SSL/TLS de votre serveur d'origine doit correspondre au nom de domaine que vous avez spécifié pour le domaine d'origine. Sinon, CloudFront répond aux demandes du spectateur avec un code d'état HTTP 502 (Bad Gateway) au lieu de renvoyer l'objet demandé. Pour de plus amples informations, veuillez consulter Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront.

Port HTTP

Note

Ceci s’applique uniquement aux origines personnalisées.

(Facultatif) Vous pouvez spécifier le port HTTP sur lequel l’origine personnalisée est à l’écoute. Valeurs valides : ports 80, 443, et 1024 à 65535. La valeur par défaut est le port 80.

Important

Le port 80 est le paramètre par défaut lorsque l’origine est un point de terminaison d’hébergement de site web statique Amazon S3, car Amazon S3 prend uniquement en charge le port 80 pour les points de terminaison d’hébergement de sites web statiques. La CloudFront console ne prend pas en charge la modification de ce paramètre pour les points de terminaison d'hébergement de sites Web statiques Amazon S3.

Port HTTPS

Note

Ceci s’applique uniquement aux origines personnalisées.

(Facultatif) Vous pouvez spécifier le port HTTPS sur lequel l’origine personnalisée est à l’écoute. Valeurs valides : ports 80, 443, et 1024 à 65535. La valeur par défaut est le port 443. Quand Protocol (Protocole) a la valeur HTTP only (HTTP uniquement), vous ne pouvez pas spécifier une valeur pourHTTPS port (Port HTTPS).

Minimum de protocole SSL d’origine

Note

Ceci s’applique uniquement aux origines personnalisées.

Choisissez le protocole TLS/SSL minimal à CloudFront utiliser lorsqu'il établit une connexion HTTPS avec votre point d'origine. Les protocoles TLS inférieurs sont moins sécurisés, nous vous recommandons donc de choisir le dernier protocole TLS que votre origine prend en charge. QuandProtocol (Protocole) a la valeur HTTP only (HTTP uniquement), vous ne pouvez pas spécifier une valeur pour Minimum origin SSL protocol (Minimum de protocole SSL d’origine).

Si vous utilisez l' CloudFront API pour définir les TLS/SSL protocol for CloudFront to use, you cannot set a minimum protocol. Instead, you specify all of the TLS/SSL protocoles CloudFront utilisables avec votre origine. Pour plus d'informations, consultez OriginSslProtocolsle Amazon CloudFront API Reference.

Chemin d’origine

Si vous souhaitez demander votre contenu CloudFront à partir d'un répertoire de votre origine, entrez le chemin du répertoire, en commençant par une barre oblique (/). CloudFront ajoute le chemin du répertoire à la valeur du domaine d'origine, par exemple,cf-origin.example.com/production/images. N’ajoutez pas un slash (/) à la fin du chemin d’accès.

Imaginons que vous ayez, par exemple, les valeurs suivantes pour votre distribution :

  • Origin domain (Domaine d’origine) – Compartiment Amazon S3 nommé amzn-s3-demo-bucket

  • Chemin d’origine/production

  • Noms de domaine alternatifs (CNAME)example.com

Lorsqu'un utilisateur entre example.com/index.html dans un navigateur, il CloudFront envoie une demande à Amazon S3 pouramzn-s3-demo-bucket/production/index.html.

Lorsqu'un utilisateur entre example.com/acme/index.html dans un navigateur, il CloudFront envoie une demande à Amazon S3 pouramzn-s3-demo-bucket/production/acme/index.html.

Nom

Un nom est une chaîne qui identifie de façon unique cette origine dans cette distribution. Si vous créez des comportements de cache en plus du comportement de cache par défaut, vous utilisez le nom que vous spécifiez ici pour identifier l'origine CloudFront vers laquelle vous souhaitez acheminer une demande lorsque la demande correspond au modèle de chemin correspondant à ce comportement de cache.

Accès à l'origine (origines Amazon S3 uniquement)

Note

Cela s’applique uniquement aux origines du compartiment Amazon S3 (celles qui n’utilisent pas le point de terminaison statique du site web S3).

Choisissez les paramètres de contrôle d'accès Origin (recommandés) si vous souhaitez permettre de restreindre l'accès à l'origine d'un compartiment Amazon S3 à des CloudFront distributions spécifiques uniquement.

Choisissez Public si l'origine du compartiment Amazon S3 est accessible au public.

Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

Pour plus d'informations sur la manière d'obliger les utilisateurs à accéder aux objets sur une origine personnalisée en utilisant uniquement CloudFront URLs, voirRestreindre l'accès aux fichiers dont l'origine est personnalisée.

Ajout d'en-tête personnalisé

Si vous CloudFront souhaitez ajouter des en-têtes personnalisés chaque fois qu'une demande est envoyée à votre origine, spécifiez le nom de l'en-tête et sa valeur. Pour de plus amples informations, veuillez consulter Ajouter des en-têtes personnalisés aux demandes d'origine.

Pour obtenir le nombre maximum actuel d’en-têtes personnalisés que vous pouvez ajouter, la longueur maximale d’un nom et d’une valeur d’en-tête personnalisé, et la longueur totale maximale de tous les noms et valeurs d’en-tête, veuillez consulter Quotas.

Activer Origin Shield

Choisissez Oui pour activer CloudFront Origin Shield. Pour plus d'informations au sujet de Origin Shield, consultez Utilisation d'Amazon CloudFront Origin Shield.

Tentatives de connexion

Vous pouvez définir le nombre de CloudFront tentatives de connexion à l'origine. Vous pouvez spécifier 1, 2 ou 3 tentatives. Le nombre par défaut (sauf indication contraire) est 3.

Utilisez ce paramètre avec le délai d'expiration de la connexion pour spécifier le temps d' CloudFront attente avant de tenter de vous connecter à l'origine secondaire ou de renvoyer une réponse d'erreur au visualiseur. Par défaut, CloudFront attend jusqu'à 30 secondes (3 tentatives de 10 secondes chacune) avant de tenter de se connecter à l'origine secondaire ou de renvoyer une réponse d'erreur. Vous pouvez réduire ce délai en spécifiant moins de tentatives, un délai d’attente de connexion plus court, ou les deux.

Si le nombre de tentatives de connexion spécifié échoue, CloudFront effectue l'une des opérations suivantes :

  • Si l'origine fait partie d'un groupe d'origine, CloudFront tente de se connecter à l'origine secondaire. Si le nombre spécifié de tentatives de connexion à l'origine secondaire échouent, CloudFront renvoie une réponse d'erreur au visualiseur.

  • Si l'origine ne fait pas partie d'un groupe d'origine, CloudFront renvoie une réponse d'erreur au visualiseur.

Pour une origine personnalisée (y compris un compartiment Amazon S3 configuré avec un hébergement de site Web statique), ce paramètre indique également le nombre de CloudFront tentatives d'obtention d'une réponse de la part de l'origine. Pour de plus amples informations, veuillez consulter Délai de réponse (origines personnalisées uniquement).

Délai de connexion

Le délai d'expiration de la connexion est le nombre de secondes qui CloudFront attendent lorsque vous essayez d'établir une connexion avec l'origine. Vous pouvez spécifier un nombre de secondes compris entre 1 et 10 (inclus). Le délai d’expiration par défaut (sauf indication contraire) est de 10 secondes.

Utilisez ce paramètre avec les tentatives de connexion pour spécifier le temps d' CloudFront attente avant de tenter de vous connecter à l'origine secondaire ou avant de renvoyer une réponse d'erreur au visualiseur. Par défaut, CloudFront attend jusqu'à 30 secondes (3 tentatives de 10 secondes) avant de tenter de se connecter à l'origine secondaire ou de renvoyer une réponse d'erreur. Vous pouvez réduire ce délai en spécifiant moins de tentatives, un délai d’attente de connexion plus court, ou les deux.

S'il CloudFront n'établit pas de connexion avec l'origine dans le délai de secondes spécifié, CloudFront effectue l'une des opérations suivantes :

  • Si le nombre de tentatives de connexion spécifié est supérieur à 1, CloudFront essaie à nouveau d'établir une connexion. CloudFront essaie jusqu'à 3 fois, selon la valeur des tentatives de connexion.

  • Si toutes les tentatives de connexion échouent et que l'origine fait partie d'un groupe d'origine, CloudFront tente de se connecter à l'origine secondaire. Si le nombre spécifié de tentatives de connexion à l'origine secondaire échouent, CloudFront renvoie une réponse d'erreur au visualiseur.

  • Si toutes les tentatives de connexion échouent et que l'origine ne fait pas partie d'un groupe d'origine, CloudFront renvoie une réponse d'erreur au visualiseur.

Délai de réponse (origines personnalisées uniquement)

Le délai de réponse de l’origine, également appelé délai de demande à l’origine ou délai d’attente des opérations de lecture depuis l’origine, s’applique aux deux valeurs suivantes :

  • Durée (en secondes) d' CloudFront attente d'une réponse après avoir transmis une demande à l'origine.

  • Durée (en secondes) d' CloudFront attente après réception d'un paquet de réponse de l'origine et avant de recevoir le paquet suivant.

Astuce

Si vous souhaitez augmenter la valeur de délai de réponse de l’origine parce que les utilisateurs rencontrent des erreurs de code d’état HTTP 504, envisagez d’explorer d’autres moyens pour éliminer ces erreurs avant de modifier la valeur de délai. Consultez les suggestions de dépannage dans Code d’état HTTP 504 (Délai d’attente de passerelle expiré).

CloudFront le comportement dépend de la méthode HTTP utilisée dans la requête du visualiseur :

  • GETet HEAD demandes : si l'origine ne répond pas ou cesse de répondre dans le délai imparti, interrompt CloudFront la connexion. CloudFront essaie à nouveau de se connecter en fonction de la valeur deTentatives de connexion.

  • DELETE,OPTIONS, PATCHPUT, et POST demandes : si l'origine ne répond pas pendant le délai de lecture, interrompt CloudFront la connexion et n'essaie plus de contacter l'origine. Le client peut soumettre à nouveau la demande si nécessaire.

Délai d'attente des connexions actives (origines personnalisées uniquement)

Le délai de conservation correspond à la durée (en secondes) des CloudFront tentatives de maintien d'une connexion à votre origine personnalisée après réception du dernier paquet de réponse. Maintenir une connexion persistante permet de gagner le temps requis pour ré-établir la connexion TCP et établir une autre liaison TLS pour les demandes ultérieures. L'augmentation du délai de conservation permet d'améliorer la request-per-connection métrique des distributions.

Note

Pour que la valeur Délai d’attente des connexions actives ait un effet, votre origine doit être configurée pour autoriser les connexions persistantes.

Quotas de délai de réponse et de maintien en vie

Note

Ceci s’applique uniquement aux origines personnalisées.

Après avoir demandé une augmentation du délai d'expiration pour votre Compte AWS, mettez à jour les origines de votre distribution afin qu'elles présentent les valeurs de délai de réponse et de délai de maintien en vie souhaitées. Une augmentation du quota de votre compte ne met pas automatiquement à jour vos origines. Par exemple, si vous utilisez une fonction Lambda @Edge pour définir un délai de maintien en vie de 90 secondes, votre origine doit déjà avoir un délai de maintien en vie de 90 secondes ou plus. Dans le cas contraire, votre fonction Lambda @Edge risque de ne pas s'exécuter.

Pour plus d'informations sur les quotas de distribution, consultezQuotas généraux sur les distributions.

Paramètres de comportement du cache

En définissant le comportement du cache, vous pouvez configurer diverses CloudFront fonctionnalités pour un modèle de chemin d'URL donné pour les fichiers de votre site Web. Par exemple, un comportement de cache peut s'appliquer à tous les fichiers .jpg du répertoire images d'un serveur web que vous utilisez comme serveur d'origine pour CloudFront. Les fonctionnalités que vous pouvez configurer pour chaque comportement de cache sont les suivantes :

  • Le modèle de chemin d’accès

  • Si vous avez configuré plusieurs origines pour votre CloudFront distribution, l'origine vers laquelle vous CloudFront souhaitez transférer vos demandes

  • S’il convient ou non de transférer les chaînes de requête à votre origine

  • Si l'accès aux fichiers spécifiés doit être signé URLs

  • S’il convient ou non d’exiger que les utilisateurs utilisent HTTPS pour accéder à ces fichiers

  • Durée minimale pendant laquelle ces fichiers restent dans le CloudFront cache, quelle que soit la valeur des Cache-Control en-têtes ajoutés aux fichiers par votre origine

Lorsque vous créez une distribution, vous spécifiez les paramètres du comportement de cache par défaut, lequel achemine automatiquement toutes les demandes vers l’origine que vous spécifiez lors de la création de la distribution. Après avoir créé une distribution, vous pouvez créer des comportements de cache supplémentaires qui définissent le mode de CloudFront réponse lorsqu'il reçoit une demande d'objets correspondant à un modèle de chemin, par exemple,*.jpg. Si vous créez des comportements de cache supplémentaires, le comportement de cache par défaut est toujours le dernier à être traité. Les autres comportements de cache sont traités dans l'ordre dans lequel ils sont répertoriés dans la CloudFront console ou, si vous utilisez l' CloudFront API, dans l'ordre dans lequel ils sont répertoriés dans l'DistributionConfigélément de distribution. Pour de plus amples informations, veuillez consulter Modèle de chemin d’accès.

Lorsque vous créez un comportement de cache, vous spécifiez l'origine à partir de laquelle vous CloudFront souhaitez obtenir les objets. Par conséquent, si vous CloudFront souhaitez distribuer des objets provenant de toutes vos origines, vous devez avoir au moins autant de comportements de cache (y compris le comportement de cache par défaut) que d'origines. Par exemple, si vous avez deux origines et que vous utilisez uniquement le comportement de cache par défaut, le comportement de cache par défaut permet d'obtenir des objets CloudFront à partir de l'une des origines, mais l'autre origine n'est jamais utilisée.

Pour connaître le nombre maximum actuel de comportements de cache que vous pouvez ajouter à une distribution ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas généraux sur les distributions.

Modèle de chemin d’accès

Un modèle de chemin d’accès (par exemple, images/*.jpg) spécifie les demandes auxquelles vous voulez que ce comportement de cache s’applique. Lors de la CloudFront réception d'une demande d'utilisateur final, le chemin demandé est comparé aux modèles de chemin dans l'ordre dans lequel les comportements du cache sont répertoriés dans la distribution. La première correspondance détermine le comportement de cache qui s’applique à la demande. Imaginons, par exemple, que vous ayez trois comportements de cache avec les trois modèles de chemin suivants classés par ordre :

  • images/*.jpg

  • images/*

  • *.gif

Note

Vous pouvez éventuellement inclure une barre oblique (/) au début du modèle de tracé, par exemple,/images/*.jpg. CloudFront le comportement est le même avec ou sans le premier /. Si vous ne spécifiez pas le/au début du chemin, ce caractère est automatiquement implicite ; CloudFront traite le chemin de la même manière, avec ou sans le premier /. Par exemple, CloudFront traite /*product.jpg la même chose que *product.jpg

Une demande du fichier images/sample.gif ne correspondant pas au premier modèle de chemin d’accès, les comportements de cache associés ne s’appliquent pas à la demande. Comme le fichier satisfait bel et bien au second modèle, les comportements de cache associés au deuxième modèle s’appliquent même si la demande correspond aussi au troisième modèle.

Note

Lorsque vous créez une distribution, la valeur de Modèle de chemin pour le comportement de cache par défaut est définie sur * (tous les fichiers) et ne peut pas être modifiée. Cette valeur CloudFront entraîne le transfert de toutes les demandes relatives à vos objets vers l'origine que vous avez spécifiée dans le Domaine d'origine champ. Si la demande d'un objet ne correspond au modèle de chemin d'aucun autre comportement de cache, CloudFront applique le comportement que vous spécifiez dans le comportement de cache par défaut.

Important

Définissez soigneusement les modèles de chemin et leur séquence, sans quoi vous risquez d’offrir aux utilisateurs un accès non souhaité à votre contenu. Par exemple, imaginons qu’une demande corresponde au modèle de chemin de deux comportements de cache. Le premier comportement de cache ne nécessite pas de signature URLs et le second comportement de cache nécessite une signature URLs. Les utilisateurs peuvent accéder aux objets sans utiliser d'URL signée car CloudFront traite le comportement du cache associé à la première correspondance.

Si vous travaillez avec un MediaPackage canal, vous devez inclure des modèles de chemin spécifiques pour le comportement du cache que vous définissez pour le type de point de terminaison de votre origine. Par exemple, pour un point de terminaison DASH, tapez *.mpd pour Path Pattern (Modèle de chemin). Pour plus d’informations et pour obtenir des instructions spécifiques, consultez Diffusez des vidéos en direct formatées avec AWS Elemental MediaPackage.

Le chemin que vous spécifiez s'applique aux demandes pour tous les fichiers du répertoire spécifié et des sous-répertoires situés sous le répertoire spécifié. CloudFront ne prend pas en compte les chaînes de requête ou les cookies lors de l'évaluation du modèle de chemin. Par exemple, si un répertoire images contient les sous-répertoires product1 et product2, le modèle de chemin d’accès images/*.jpg s’applique aux demandes concernant un fichier .jpg des répertoires images, images/product1 et images/product2. Si vous voulez appliquer un autre comportement de cache aux fichiers du répertoire images/product1 qu’à ceux des répertoires images et images/product2, créez un comportement de cache distinct pour images/product1 et déplacez ce comportement de cache vers un emplacement au-dessus (avant) du comportement de cache du répertoire images.

Vous pouvez utiliser les caractères génériques suivants dans votre modèle de chemin d’accès :

  • * correspond à 0 caractère ou plus.

  • ? correspond à 1 caractère exactement.

L’exemple suivant montre le fonctionnement des caractères génériques :

Modèle de chemin d’accès Fichiers correspondant au modèle de chemin d’accès

*.jpg

Tous les fichiers .jpg.

images/*.jpg

Tous les fichiers .jpg dans le répertoire images et dans les sous-répertoires du répertoire images.

a*.jpg

  • Tous les fichiers .jpg dont le nom commence par a : par exemple, apple.jpg et appalachian_trail_2012_05_21.jpg.

  • Tous les fichiers .jpg dont le chemin d’accès commence par a : par exemple, abra/cadabra/magic.jpg.

a??.jpg

Tous les fichiers .jpg dont le nom commence par a, suivi de deux autres caractères exactement : par exemple, ant.jpg et abe.jpg.

*.doc*

Tous les fichiers .jpg dont l’extension de nom de fichier commence par .doc : par exemple, les fichiers .doc, .docx et .docm. Vous ne pouvez pas utiliser le modèle de chemin d’accès *.doc? dans ce cas, parce que ce modèle ne s’appliquerait pas aux demandes relatives aux fichiers .doc ; le caractère générique ? remplace exactement un seul caractère.

La longueur maximale d’un modèle de chemin est de 255 caractères. La valeur peut contenir l’un des caractères suivants :

  • A-Z, a-z

    Les modèles de chemin d’accès étant sensibles à la casse, le modèle de chemin d’accès *.jpg ne s’applique pas au fichier LOGO.JPG.

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • &, transmis et renvoyé comme &

Normalisation des trajectoires

CloudFront normalise les chemins d'URI conformément à la RFC 3986, puis fait correspondre le chemin avec le comportement de cache correct. Une fois que le comportement du cache correspond, CloudFront envoie le chemin d'URI brut à l'origine. S'ils ne correspondent pas, les demandes sont associées à votre comportement de cache par défaut.

Certains caractères sont normalisés et supprimés du chemin, tels que les barres obliques multiples (//) ou les points (). .. Cela peut modifier l'URL CloudFront utilisée pour qu'elle corresponde au comportement de cache prévu.

Exemple exemple

Vous spécifiez les /a* chemins /a/b* et pour le comportement de votre cache.

  • Un visualiseur qui envoie le /a/b?c=1 chemin correspondra au comportement du /a/b* cache.

  • Un visualiseur qui envoie le /a/b/..?c=1 chemin correspondra au comportement du /a* cache.

Pour contourner les chemins normalisés, vous pouvez mettre à jour les chemins de vos requêtes ou le modèle de chemin correspondant au comportement du cache.

Origine ou groupe d’origines

Ce paramètre s'applique uniquement lorsque vous créez ou mettez à jour un comportement de cache pour une distribution existante.

Entrez la valeur d’une origine ou d’un groupe d’origines existant. Cela identifie l'origine ou le groupe d'origine vers lequel vous souhaitez CloudFront acheminer les demandes lorsqu'une demande (telle que https://example.com /logo.jpg) correspond au modèle de chemin d'un comportement de cache (tel que *.jpg) ou au comportement de cache par défaut (*).

Viewer Protocol Policy

Choisissez la politique de protocole que vous souhaitez que les spectateurs utilisent pour accéder à votre contenu dans des emplacements CloudFront périphériques :

  • HTTP et HTTPS : les deux protocoles peuvent être utilisés.

  • Rediriger HTTP vers HTTPS : les deux protocoles peuvent être utilisés, mais les requêtes HTTP sont automatiquement redirigées vers des requêtes HTTPS.

  • HTTPS uniquement : l’accès au contenu ne peut se faire qu’à l’aide du protocole HTTPS.

Pour de plus amples informations, veuillez consulter Exiger le protocole HTTPS pour la communication entre les spectateurs et CloudFront.

Méthodes HTTP autorisées

Spécifiez les méthodes HTTP que vous CloudFront souhaitez traiter et transmettre à votre origine :

  • GET, HEAD : Vous ne pouvez l'utiliser CloudFront que pour récupérer des objets depuis votre origine ou pour obtenir des en-têtes d'objets.

  • GET, HEAD, OPTIONS : Vous pouvez utiliser CloudFront uniquement pour obtenir les objets de votre origine, récupérer les en-têtes d'objet ou extraire la liste des options que votre serveur d'origine prend en charge.

  • GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE : vous pouvez les utiliser CloudFront pour obtenir, ajouter, mettre à jour et supprimer des objets, ainsi que pour obtenir des en-têtes d'objets. De plus, vous pouvez exécuter d’autres opérations POST telles que l’envoi de données à partir d’un formulaire web.

    Note

    Si vous utilisez gRPC dans votre charge de travail, vous devez sélectionner GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE. Les charges de travail gRPC nécessitent cette méthode. POST Pour de plus amples informations, veuillez consulter Utilisation de gRPC avec des distributions CloudFront .

    CloudFront met en cache les réponses aux HEAD demandes GET et, éventuellement, OPTIONS aux demandes. Les réponses aux OPTIONS demandes sont mises en cache séparément des réponses aux HEAD demandes GET et aux demandes (la OPTIONS méthode est incluse dans la clé de cache pour les OPTIONS demandes). CloudFront ne met pas en cache les réponses aux demandes utilisant d'autres méthodes.

Important

Si vous choisissez GET, HEAD, OPTIONS ou GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE, il se peut que vous ayez besoin de limiter l’accès à votre compartiment Amazon S3 ou à votre origine personnalisée pour empêcher que les utilisateurs n’exécutent des opérations qu’ils ne sont pas autorisés à faire. Les exemples suivants expliquent comment limiter l’accès :

  • Si vous utilisez Amazon S3 comme origine pour votre distribution : créez un contrôle CloudFront d'accès à l'origine pour restreindre l'accès à votre contenu Amazon S3 et autorisez le contrôle d'accès à l'origine. Par exemple, si vous configurez CloudFront pour accepter et transférer ces méthodes uniquement parce que vous souhaitez les utiliserPUT, vous devez tout de même configurer les politiques de compartiment Amazon S3 afin de traiter les DELETE demandes de manière appropriée. Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

  • Si vous utilisez une origine personnalisée : configurez votre serveur d’origine pour qu’il gère toutes les méthodes. Par exemple, si vous configurez CloudFront pour accepter et transférer ces méthodes uniquement parce que vous souhaitez les utiliserPOST, vous devez tout de même configurer votre serveur d'origine pour traiter les DELETE demandes de manière appropriée.

Configuration du chiffrement au niveau du champ

Si vous souhaitez appliquer un chiffrement au niveau du champ à des champs de données spécifiques, dans la liste déroulante, choisissez une configuration de chiffrement au niveau du champ.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Méthodes HTTP mises en cache

Spécifiez si vous souhaitez CloudFront mettre en cache la réponse depuis votre origine lorsqu'un utilisateur envoie une OPTIONS demande. CloudFront met toujours en cache les réponses GET et les HEAD demandes.

Autoriser les requêtes gRPC via HTTP/2

Spécifiez si vous souhaitez que votre distribution autorise les requêtes gRPC. Pour activer gRPC, sélectionnez les paramètres suivants :

  • Pour les méthodes HTTP autorisées, sélectionnez les méthodes GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE. Le POST gRPC nécessite cette méthode.

  • Cochez la case gRPC qui apparaît une fois que vous avez sélectionné la méthode. POST

  • Pour Versions de HTTP prises en charge, sélectionnez HTTP/2.

Pour de plus amples informations, veuillez consulter Utilisation de gRPC avec des distributions CloudFront .

Mise en cache basée sur des en-têtes de demande sélectionnés

Spécifiez si vous souhaitez CloudFront mettre en cache les objets en fonction des valeurs des en-têtes spécifiés :

  • Aucune (améliore la mise en cache) : CloudFront ne met pas en cache vos objets en fonction des valeurs d'en-tête.

  • Allowlist — met en CloudFront cache vos objets en fonction uniquement des valeurs des en-têtes spécifiés. Utilisez Allowlist Headers pour choisir les en-têtes sur lesquels vous souhaitez CloudFront baser la mise en cache.

  • Tout : CloudFront ne met pas en cache les objets associés à ce comportement de cache. Il CloudFront envoie plutôt chaque demande à l'origine. (Déconseillé pour les origines Amazon S3.)

Quelle que soit l'option que vous choisissez, CloudFront redirige certains en-têtes vers votre origine et prend des mesures spécifiques en fonction des en-têtes que vous transférez. Pour plus d'informations sur le mode de CloudFront gestion du transfert d'en-têtes, consultezEn-têtes et CloudFront comportement des requêtes HTTP (personnalisés et origines d'Amazon S3).

Pour plus d'informations sur la configuration de la mise en cache à l'aide CloudFront des en-têtes de demande, consultez. Contenu du cache basé sur les en-têtes des demandes

En-têtes de la liste d’autorisation

Ces paramètres s'appliquent uniquement lorsque vous choisissez Allowlist for Cache en fonction des en-têtes de demande sélectionnés.

Spécifiez les en-têtes que vous souhaitez prendre en compte lors CloudFront de la mise en cache de vos objets. Sélectionnez les en-têtes dans la liste des en-têtes disponibles et choisissez Ajouter. Pour transmettre un en-tête personnalisé, entrez le nom de l’en-tête dans le champ et choisissez Ajouter un en-tête personnalisé.

Pour connaître le nombre maximal actuel d’en-têtes qu’il est possible d’ajouter en liste d’autorisation pour chaque comportement de cache, ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas sur les en-têtes.

Mise en cache d’un objet

Si votre serveur d'origine ajoute un Cache-Control en-tête à vos objets pour contrôler la durée pendant laquelle les objets restent dans le CloudFront cache et si vous ne souhaitez pas modifier la Cache-Control valeur, choisissez Utiliser les en-têtes du cache d'origine.

Pour définir la durée minimale et maximale pendant laquelle vos objets restent dans le CloudFront cache, quels que soient Cache-Control les en-têtes, et la durée par défaut pendant laquelle vos objets restent dans le CloudFront cache lorsque l'Cache-Controlen-tête est absent d'un objet, choisissez Personnaliser. Puis, dans les champs Durée de vie minimale, Durée de vie par défaut et Durée de vie maximale, spécifiez la valeur applicable.

Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Durée de vie minimale

Spécifiez la durée minimale, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant d' CloudFront envoyer une autre demande à l'origine pour déterminer si l'objet a été mis à jour.

Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Durée de vie (TTL) maximale

Spécifiez la durée maximale, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant de demander CloudFront à votre origine si l'objet a été mis à jour. La valeur que vous spécifiez pour Durée de vie maximale s’applique uniquement quand votre origine ajoute aux objets les en-têtes HTTP tels que Cache-Control max-age, Cache-Control s-maxage ou Expires. Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Pour spécifier une valeur pour Durée de vie maximale, vous devez choisir l’option Personnaliser pour le paramètre Mise en cache d’un objet.

La valeur par défaut de Durée de vie maximale est 31 536 000 secondes (soit 1 année). Si vous remplacez la valeur de Durée de vie minimale ou Durée de vie par défaut par une valeur supérieure à 31 536 000 secondes, la valeur par défaut de Durée de vie maximale prend la valeur de Durée de vie par défaut.

TTL par défaut

Spécifiez la durée par défaut, en secondes, pendant laquelle vous souhaitez que les objets restent dans le CloudFront cache avant de transmettre une CloudFront autre demande à votre origine afin de déterminer si l'objet a été mis à jour. La valeur que vous spécifiez pour Default TTL (TTL par défaut) s’applique uniquement quand votre origine n’ajoute aps des en-têtes HTTP tels queCache-Control max-age, Cache-Control s-maxage ou Expires aux objets. Pour de plus amples informations, veuillez consulter Gérer la durée pendant laquelle le contenu reste dans le cache (expiration).

Pour spécifier une valeur pour Durée de vie par défaut, vous devez choisir l’option Personnaliser pour le paramètre Mise en cache d’un objet.

La valeur par défaut de Durée de vie par défaut est 86 400 secondes (soit 1 journée). Si vous remplacez la valeur de Durée de vie minimale par une valeur supérieure à 86 400 secondes, la valeur par défaut de Durée de vie par défaut prend la valeur de Durée de vie minimale.

Réacheminer les cookies

Note

Pour les origines Amazon S3, cette option s’applique uniquement aux compartiments configurés en tant que point de terminaison de site Web.

Spécifiez si vous CloudFront souhaitez transférer les cookies vers votre serveur d'origine et, dans l'affirmative, lesquels. Si vous choisissez de transférer uniquement les cookies sélectionnés (liste d’autorisation de cookies), entrez les noms de cookies dans le champ Cookies de la liste d’autorisation. Si vous choisissez Tous, CloudFront transmet tous les cookies, quel que soit le nombre utilisé par votre application.

Amazon S3 ne traite pas les cookies, et la transmission des cookies à l’origine réduit la capacité de mise en cache. Pour les comportements de cache qui transmettent les demandes à une origine Amazon S3, choisissez None (Aucun) pour Forward Cookies (Réacheminer les cookies).

Pour plus d’informations sur la transmission des cookies à l’origine, consultez Contenu du cache basé sur les cookies.

Cookies de la liste d’autorisation

Note

Pour les origines Amazon S3, cette option s’applique uniquement aux compartiments configurés en tant que point de terminaison de site Web.

Si vous avez choisi Allowlist dans la liste des cookies de transfert, entrez dans le champ Allowlist Cookies les noms des cookies que vous souhaitez transférer CloudFront vers votre serveur d'origine pour ce comportement de cache. Entrez chaque nom de cookie sur une nouvelle ligne.

Vous pouvez utiliser les caractères génériques suivants pour spécifier les noms de cookie :

  • * correspond à 0 caractère ou plus dans le nom de cookie

  • ? correspond à 1 caractère exactement dans le nom de cookie.

Imaginons, par exemple, qu’une demande inclue un cookie nommé :

userid_member-number

Où chacun de vos utilisateurs possède une valeur unique pourmember-number. Vous souhaitez CloudFront mettre en cache une version distincte de l'objet pour chaque membre. Vous pouvez y parvenir en transférant tous les cookies vers votre source, mais les demandes des utilisateurs incluent certains cookies que vous ne souhaitez pas mettre CloudFront en cache. Vous pouvez également spécifier la valeur suivante comme nom de cookie, ce qui entraîne CloudFront le transfert à l'origine de tous les cookies commençant par userid_ :

userid_*

Pour connaître le nombre maximal actuel de noms de cookies qu’il est possible d’ajouter en liste d’autorisation pour chaque comportement de cache, ou pour demander un quota plus élevé (auparavant appelé limite), consultez Quotas sur les cookies (paramètres de cache hérités).

Réacheminement et mise en cache des chaînes de requête

CloudFront peut mettre en cache différentes versions de votre contenu en fonction des valeurs des paramètres de chaîne de requête. Choisissez l’une des options suivantes :

Aucun (optimise la mise en cache)

Choisissez cette option si votre origine renvoie la même version d’un objet quelles que soient les valeurs des paramètres de la chaîne de requête. Cela augmente la probabilité de CloudFront répondre à une demande depuis le cache, ce qui améliore les performances et réduit la charge sur votre origine.

Tout réacheminer, cache basé sur la liste d’autorisation

Sélectionnez cette option si votre serveur d’origine renvoie des versions différentes de vos objets en fonction d’un ou de plusieurs paramètres de la chaîne de requête. Spécifiez ensuite les paramètres que vous CloudFront souhaitez utiliser comme base pour la mise en cache dans le Liste d’autorisation des chaînes de requête champ.

Tout réacheminer, cache basé sur tout

Sélectionnez cette option si votre serveur d’origine renvoie des versions différentes de vos objets en fonction de tous les paramètres de la chaîne de requête.

Pour plus d’informations sur la mise en cache en fonction des paramètres de la chaîne de requête, y compris sur la façon d’améliorer les performances, consultez la page Contenu du cache basé sur les paramètres de chaîne de requête.

Liste d’autorisation des chaînes de requête

Ce paramètre s'applique uniquement lorsque vous choisissez Transférer tout, cache basé sur la liste d'autorisation pourRéacheminement et mise en cache des chaînes de requête. Vous pouvez spécifier les paramètres de chaîne de requête que vous CloudFront souhaitez utiliser comme base pour la mise en cache.

Smooth Streaming

Choisissez Oui si vous voulez distribuer des fichiers multimédias au format Microsoft Smooth Streaming et que vous n’avez pas de serveur IIS.

Choisissez Non si vous avez un serveur Microsoft IIS que vous souhaitez utiliser comme origine pour distribuer des fichiers multimédias au format Microsoft Smooth Streaming ou si vous ne distribuez pas de fichiers multimédias Smooth Streaming.

Note

Si vous spécifiez Oui, vous pouvez continuer à distribuer d’autres contenus en utilisant ce comportement de cache s’ils correspondent à la valeur de Modèle de chemin.

Pour de plus amples informations, veuillez consulter Configuration de la vidéo à la demande pour Microsoft Smooth Streaming.

Restreindre l'accès des spectateurs (utiliser des cookies signés URLs ou signés)

Si vous souhaitez que les demandes d'objets correspondant PathPattern au comportement de ce cache soient publiques URLs, choisissez Non.

Si vous souhaitez que les demandes d'objets correspondant au comportement PathPattern de ce cache soient signées URLs, choisissez Oui. Spécifiez ensuite les AWS comptes que vous souhaitez utiliser pour créer des comptes signés URLs ; ces comptes sont appelés signataires approuvés.

Pour plus d’informations sur les utilisateurs de confiance, consultez Spécifiez les signataires autorisés à créer des cookies signés URLs et signés.

Signataires autorisés

Ce paramètre s'applique uniquement lorsque vous sélectionnez Oui pour Restreindre l'accès du spectateur (utiliser des cookies signés URLs ou signés).

Choisissez les AWS comptes que vous souhaitez utiliser comme signataires approuvés pour ce comportement de cache :

  • Auto-signature : utilisez le compte avec lequel vous êtes actuellement connecté en AWS Management Console tant que signataire de confiance. Si vous êtes actuellement connecté en tant qu'utilisateur IAM, le AWS compte associé est ajouté en tant que signataire de confiance.

  • Spécifier des comptes : saisissez les numéros de comptes des utilisateurs de confiance dans le champ Numéros de comptes AWS .

Pour créer un AWS compte signé URLs, il faut qu'au moins une paire de CloudFront clés soit active.

Important

Si vous mettez à jour une distribution que vous utilisez déjà pour distribuer du contenu, ajoutez des signataires de confiance uniquement lorsque vous êtes prêt à commencer à générer des signatures URLs pour vos objets. Une fois que vous avez ajouté des signataires approuvés à une distribution, les utilisateurs doivent utiliser URLs Signed pour accéder aux objets qui correspondent au PathPattern comportement de ce cache.

Compte AWS chiffres

Ce paramètre s'applique uniquement lorsque vous choisissez Spécifier les comptes pour les signataires approuvés.

Si vous souhaitez créer une signature URLs Comptes AWS en plus ou à la place du compte courant, entrez un Compte AWS chiffre par ligne dans ce champ. Remarques :

  • Les comptes que vous spécifiez doivent avoir au moins une paire de clés CloudFront active. Pour de plus amples informations, veuillez consulter Créez des paires de clés pour vos signataires.

  • Vous ne pouvez pas créer de paires de CloudFront clés pour les utilisateurs IAM. Vous ne pouvez donc pas utiliser les utilisateurs IAM comme signataires de confiance.

  • Pour plus d'informations sur la façon d'obtenir le Compte AWS numéro d'un compte, voir Afficher les Compte AWS identifiants dans le Guide de référence Compte AWS de gestion.

  • Si vous entrez le numéro de compte du compte courant, cochez CloudFront automatiquement la case Automatique et supprimez le numéro de compte de la liste des numéros de AWS compte.

Compresser des objets automatiquement

Si vous souhaitez CloudFront compresser automatiquement certains types de fichiers lorsque les utilisateurs acceptent le contenu compressé, choisissez Oui. Quand CloudFront compresse votre contenu, les téléchargements sont beaucoup plus rapides, parce que les fichiers sont plus petits et que vos pages web s'affichent plus rapidement pour vos utilisateurs. Pour de plus amples informations, veuillez consulter Servir des fichiers compressés.

CloudFront événement

Ce paramètre s'applique aux associations de fonctions Lambda.

Vous pouvez choisir d'exécuter une fonction Lambda lorsqu'un ou plusieurs des CloudFront événements suivants se produisent :

  • Quand CloudFront reçoit une demande d'un téléspectateur (demande du téléspectateur)

  • Avant CloudFront de transmettre une demande à l'origine (demande d'origine)

  • Quand CloudFront reçoit une réponse de l'origine (réponse d'origine)

  • Before CloudFront renvoie la réponse au spectateur (réponse du spectateur)

Pour de plus amples informations, veuillez consulter Choisissez l'événement pour déclencher la fonction.

ARN de fonction Lambda

Ce paramètre s'applique aux associations de fonctions Lambda.

Spécifiez l’Amazon Resource Name (ARN) de la fonction Lambda pour laquelle vous voulez ajouter un déclencheur. Pour savoir comment obtenir l'ARN d'une fonction, reportez-vous à l'étape 1 de la procédure Ajouter des déclencheurs à l'aide de la CloudFront console.

Inclure le corps

Ce paramètre s'applique aux associations de fonctions Lambda.

Pour plus d'informations, voir Inclure le corps.

Paramètres de distribution

Les valeurs suivantes s’appliquent à la totalité de la distribution.

Catégorie de tarifs

Choisissez la classe de prix qui correspond au prix maximum que vous souhaitez payer pour le CloudFront service. Par défaut, CloudFront diffuse vos objets à partir d'emplacements périphériques dans toutes les CloudFront régions.

Pour plus d'informations sur les classes de prix et sur l'impact de votre choix sur les CloudFront performances de votre distribution, consultez la section CloudFront Tarification.

AWS WAF ACL Web

Vous pouvez protéger votre CloudFront distribution à l'aide AWS WAFd'un pare-feu pour applications Web qui vous permet de sécuriser vos applications Web et de APIs bloquer les demandes avant qu'elles n'atteignent vos serveurs. Vous pouvez le faire Activer AWS WAF les distributions lors de la création ou de la modification d'une CloudFront distribution.

Vous pouvez éventuellement configurer ultérieurement des protections de sécurité supplémentaires pour d'autres menaces spécifiques à votre application dans la AWS WAF console à l'adresse https://console.aws.amazon.com/wafv2/.

Pour plus d'informations à ce sujet AWS WAF, consultez le guide du AWS WAF développeur.

Noms de domaine alternatifs (CNAMEs)

Facultatif. Spécifiez un ou plusieurs noms de domaine que vous souhaitez utiliser URLs pour vos objets au lieu du nom de domaine attribué lors de CloudFront la création de votre distribution. Vous devez être propriétaire du nom de domaine ou disposer de l’autorisation de l’utiliser. Vous vérifiez cela en ajoutant un certificat SSL/TLS.

Par exemple, si vous voulez que l’URL de l’objet :

/images/image.jpg

se présente ainsi :

https://www.example.com/images/image.jpg

et non comme suit :

https://d111111abcdef8.cloudfront.net/images/image.jpg

Ajoutez un CNAME pour www.example.com.

Important

Si vous ajoutez un CNAME pour www.example.com à votre distribution, vous devez également effectuer les opérations suivantes :

  • Créez (ou mettez à jour) un enregistrement CNAME avec votre service DNS pour acheminer les requêtes de www.example.com vers d111111abcdef8.cloudfront.net.

  • Ajoutez un certificat CloudFront auprès d'une autorité de certification (CA) approuvée qui couvre le nom de domaine (CNAME) que vous ajoutez à votre distribution, afin de valider votre autorisation d'utiliser le nom de domaine.

Vous devez avoir l’autorisation de créer un enregistrement CNAME avec le fournisseur de services DNS du domaine. Cela signifie normalement que le domaine vous appartient ou que vous développez une application pour le propriétaire du domaine.

Pour connaître le nombre maximum actuel de noms de domaine alternatifs que vous pouvez ajouter à une distribution ou demander un quota plus élevé (auparavant appelé limite), veuillez consulter Quotas généraux sur les distributions.

Pour plus d’informations sur les noms de domaine alternatifs, consultez Utilisez la personnalisation URLs en ajoutant des noms de domaine alternatifs (CNAMEs). Pour plus d'informations sur CloudFront URLs, voirPersonnalisez le format d'URL pour les fichiers dans CloudFront.

Certificat SSL

Si vous avez spécifié un nom de domaine alternatif à utiliser avec votre distribution, choisissez Certificat SSL personnalisé, puis, pour valider votre autorisation d’utiliser le nom de domaine alternatif, choisissez un certificat qui couvre cela. Pour que vos utilisateurs utilisent HTTPS pour accéder à vos objets, sélectionnez la valeur applicable.

  • CloudFront Certificat par défaut (*.cloudfront.net) — Choisissez cette option si vous souhaitez utiliser le nom de CloudFront domaine URLs pour vos objets, tels que. https://d111111abcdef8.cloudfront.net/image1.jpg

  • Certificat SSL personnalisé — Choisissez cette option si vous souhaitez utiliser votre propre nom de domaine URLs pour vos objets comme nom de domaine alternatif, par exemplehttps://example.com/image1.jpg. Ensuite, choisissez un certificat à utiliser qui couvre le nom de domaine alternatif. La liste des certificats peut inclure l’un des éléments suivants :

    • Certificats fournis par AWS Certificate Manager

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans ACM

    • Les certificats que vous avez achetés auprès d’une autorité de certification tierce et chargés dans le magasin de certificats IAM

    Si vous choisissez ce paramètre, nous vous recommandons de n'utiliser qu'un autre nom de domaine dans votre objet URLs (https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) et qu'un client utilise un ancien visualiseur qui ne prend pas en charge le SNI. La façon dont le lecteur réagit dépend de la valeur que vous choisissez pour Clients pris en charge :

    • Tous les clients : le visualiseur affiche un avertissement car le nom de CloudFront domaine ne correspond pas au nom de domaine de votre certificat SSL/TLS.

    • Uniquement les clients qui supportent l'indication du nom du serveur (SNI) : CloudFront abandonne la connexion avec le visualiseur sans renvoyer l'objet.

Prise en charge d’un client SSL personnalisé

S'applique uniquement lorsque vous choisissez un certificat SSL personnalisé (exemple.com) pour le certificat SSL. Si vous avez indiqué un ou plusieurs noms de domaine alternatifs et un certificat SSL personnalisé pour la distribution, choisissez la manière dont vous CloudFront souhaitez traiter les requêtes HTTPS :

  • Clients prenant en charge l’indication de nom de serveur (SNI, Server Name Indication) - (recommandé) – Avec ce paramètre, pratiquement tous les navigateurs et clients web modernes peuvent se connecter à la distribution, car ils prennent en charge SNI. Cependant, certains utilisateurs peuvent utiliser d’anciens navigateurs web ou clients qui ne prennent pas en charge SNI, ce qui signifie qu’ils ne peuvent pas se connecter à la distribution.

    Pour appliquer ce paramètre à l'aide de l' CloudFront API, spécifiez-le sni-only dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

  • Support des clients hérités : avec ce paramètre, les anciens navigateurs web et clients qui ne prennent pas en charge SNI peuvent se connecter à la distribution. Toutefois, ce paramètre entraîne des frais mensuels supplémentaires. Pour connaître le prix exact, rendez-vous sur la page CloudFront des tarifs d'Amazon et recherchez le SSL personnalisé sur la page Dedicated IP.

    Pour appliquer ce paramètre à l'aide de l' CloudFront API, spécifiez-le vip dans le SSLSupportMethod champ. Dans AWS CloudFormation, le champ est nommé SslSupportMethod (notez les différentes majuscules).

Pour de plus amples informations, veuillez consulter Choisissez le mode de CloudFront traitement des requêtes HTTPS.

Politique de sécurité (version SSL/TLS minimale)

Spécifiez la politique de sécurité que vous CloudFront souhaitez utiliser pour les connexions HTTPS avec les spectateurs (clients). Une politique de sécurité détermine deux paramètres :

  • Protocole SSL/TLS minimal CloudFront utilisé pour communiquer avec les utilisateurs.

  • Les chiffrements qui CloudFront peuvent être utilisés pour chiffrer le contenu renvoyé aux spectateurs.

Pour de plus amples informations sur les politiques de sécurité, y compris les protocoles et les chiffrements inclus dans chacune d’elles, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Les politiques de sécurité disponibles dépendent des valeurs que vous spécifiez pour le certificat SSL et le support client SSL personnalisé (connu sous le nom CloudFrontDefaultCertificate et SSLSupportMethod dans l' CloudFront API) :

  • Lorsque le certificat SSL est le CloudFront certificat par défaut (*.cloudfront.net) (lorsqu'il CloudFrontDefaultCertificate se trouve true dans l'API), définit CloudFront automatiquement la politique de sécurité sur. TLSv1

  • Lorsque SSL Certificate (Certificat SSL) est Custom SSL Certificate (example.com) [Certificat SSL personnalisé (example.com)] et que Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) est Clients that Support Server Name Indication (SNI) - (Recommended)[Clients qui prennent en charge l’indication de nom de serveur (SNI) - (Recommandé)] (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est sni-only dans l’API), , vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv12.2_2021

    • TLSv12.2_2019

    • TLSv12.2_2018

    • TLSv11.1_2016

    • TLSv1_2016

    • TLSv1

  • Lorsque SSL Certificate (Certificat SSL) est Custom SSL Certificate (example.com) [SSL personnalisé (example.com)] et que Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) est Legacy Clients Support (Prise en charge de clients hérités) (lorsque CloudFrontDefaultCertificate est false et que SSLSupportMethod est vip dans l’API), vous pouvez choisir parmi les politiques de sécurité suivantes :

    • TLSv1

    • SSLv3

    Dans cette configuration, les politiques de sécurité TLSv1 .2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 et TLSv1 _2016 ne sont pas disponibles dans la console ou dans l'API. CloudFront Si vous souhaitez utiliser l’une de ces politiques de sécurité, vous disposez des options suivantes :

    • Évaluez si votre distribution a besoin d’une prise en charge de client hérité avec adresses IP dédiées. Si vos utilisateurs prennent en charge l’indication de nom de serveur (SNI), nous vous recommandons de mettre à jour le paramètre Custom SSL Client Support (Prise en charge d’un client SSL personnalisé) de votre distribution sur Clients that Support Server Name Indication (SNI) [Clients qui prennent en charge Server Name Indication (SNI)] (définissez SSLSupportMethod sur sni-only dans l’API). Cela vous permet d'utiliser n'importe laquelle des politiques de sécurité TLS disponibles, et cela peut également réduire vos CloudFront frais.

    • Si vous devez conserver le support des anciens clients avec des adresses IP dédiées, vous pouvez demander l'une des autres politiques de sécurité TLS (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou TLSv1 _2016) en créant un dossier dans le centre de support.AWS

      Note

      Avant de contacter le AWS Support pour demander cette modification, prenez en compte les points suivants :

      • Lorsque vous ajoutez l'une de ces politiques de sécurité (TLSv1.2_2021, TLSv1 .2_2019, TLSv1 .2_2018, TLSv1 .1_2016 ou _2016 TLSv1) à une distribution d'assistance aux anciens clients, la politique de sécurité est appliquée à toutes les demandes des utilisateurs n'appartenant pas au SNI pour toutes les distributions d'assistance aux anciens clients de votre compte. AWS Toutefois, lorsque les visionneuses envoient des demandes SNI à une distribution avec prise en charge de client hérité, la politique de sécurité de cette distribution s’applique. Pour vous assurer que la politique de sécurité souhaitée est appliquée à toutes les demandes des utilisateurs envoyées à toutes les distributions Legacy Clients Support de votre AWS compte, ajoutez la politique de sécurité souhaitée à chaque distribution individuellement.

      • Par définition, la nouvelle politique de sécurité ne prend pas en charge les mêmes chiffrements et protocoles que l’ancienne. Par exemple, si vous choisissez de mettre à niveau la politique de sécurité d'une distribution TLSv1 vers TLSv1 .1_2016, cette distribution ne prendra plus en charge le chiffrement DES- CBC3 -SHA. Pour de plus amples informations sur les chiffrements et les protocoles pris en charge par chaque politique de sécurité, veuillez consulter Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront.

Versions de HTTP prises en charge

Choisissez les versions HTTP que vous souhaitez que votre distribution prenne en charge lorsque les utilisateurs communiquent avec elles CloudFront.

Pour les utilisateurs et CloudFront pour utiliser le protocole HTTP/2, les lecteurs doivent prendre en charge la version TLSv1 2.2 ou ultérieure et l'indication du nom du serveur (SNI).

Pour les utilisateurs et CloudFront pour utiliser le protocole HTTP/3, ils doivent prendre en charge la version TLSv1 .3 et l'indication du nom du serveur (SNI). CloudFront prend en charge la migration des connexions HTTP/3 pour permettre au spectateur de changer de réseau sans perdre la connexion. Pour plus d'informations sur la migration des connexions à distance, consultez Migration des connexions au RFC 9000.

Note

Pour plus d'informations sur les chiffrements TLSv1 .3 pris en charge, consultez. Protocoles et chiffrements pris en charge entre les utilisateurs et CloudFront

Objet racine par défaut

Facultatif. L'objet que vous souhaitez demander CloudFront à votre origine (par exemple,index.html) lorsqu'un utilisateur demande l'URL racine de votre distribution (https://www.example.com/) au lieu d'un objet de votre distribution (https://www.example.com/product-description.html). Spécifier un objet racine par défaut permet d’éviter d’exposer le contenu de votre distribution.

La longueur maximale du nom est de 255 caractères. Le nom peut contenir l’un des caractères suivants :

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, transmis et renvoyé comme &

Lorsque vous spécifiez l’objet racine par défaut, entrez uniquement le nom de l’objet, par exemple, index.html. N’ajoutez pas / devant le nom de l’objet.

Pour de plus amples informations, veuillez consulter Spécifier un objet racine par défaut.

Journalisation standard

Spécifiez si vous CloudFront souhaitez enregistrer les informations relatives à chaque demande d'objet et stocker les fichiers journaux. Vous pouvez activer ou désactiver la journalisation à tout moment. Il n'y a pas de frais supplémentaires si vous activez la journalisation, mais le stockage et l'accès aux fichiers peuvent vous être facturés. Vous pouvez supprimer les fichiers journaux à tout moment.

CloudFront prend en charge les options de journalisation standard suivantes :

  • Journalisation standard (v2) — Vous pouvez envoyer des journaux vers des destinations de livraison, notamment Amazon CloudWatch Logs, Amazon Data Firehose et Amazon Simple Storage Service (Amazon S3).

  • Journalisation standard (ancienne) : vous ne pouvez envoyer des journaux que vers un compartiment Amazon S3.

Préfixe de journal

(Facultatif) Si vous activez la journalisation standard (ancienne), spécifiez la chaîne, le cas échéant, que vous CloudFront souhaitez préfixer aux noms des fichiers journaux d'accès pour cette distribution, par exemple,exampleprefix/. La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour de plus amples informations, veuillez consulter Configuration de la journalisation standard (ancienne version).

Journalisation des cookies

Si vous CloudFront souhaitez inclure des cookies dans les journaux d'accès, choisissez Activé. Si vous choisissez d'inclure des cookies dans les CloudFront journaux, enregistre tous les cookies, quelle que soit la manière dont vous configurez les comportements de cache pour cette distribution : transférer tous les cookies, ne transférer aucun cookie ou transmettre une liste spécifiée de cookies à l'origine.

Amazon S3 ne traite pas les cookies. Par conséquent, à moins que votre distribution n'inclue également une origine Amazon EC2 ou une autre origine personnalisée, nous vous recommandons de choisir Désactivé pour la valeur de la journalisation des cookies.

Pour plus d’informations sur les cookies, consultez Contenu du cache basé sur les cookies.

Activer IPv6

IPv6 est une nouvelle version du protocole IP. Il remplace éventuellement un espace d'adressage plus grand IPv4 et utilise un espace d'adressage plus important. CloudFront répond toujours aux IPv4 demandes. Si vous souhaitez répondre CloudFront aux demandes provenant d'adresses IPv4 IP (telles que 192.0.2.44) et aux demandes provenant d' IPv6 adresses (telles que 2001:0 db 8:85 a3 : :8a2e : 0370:7334), sélectionnez Activer. IPv6

En général, vous devez l'activer IPv6 si des utilisateurs de IPv6 réseaux souhaitent accéder à votre contenu. Toutefois, si vous utilisez des cookies signés URLs ou signés pour restreindre l'accès à votre contenu, et si vous utilisez une politique personnalisée qui inclut le IpAddress paramètre permettant de restreindre les adresses IP autorisées à accéder à votre contenu, ne les activez pas IPv6. Si vous souhaitez limiter l’accès à un contenu spécifique par adresse IP et ne pas limiter l’accès aux autres contenus (ou limiter l’accès, mais pas par adresse IP), vous pouvez créer deux distributions. Pour plus d'informations sur la création de URLs documents signés à l'aide d'une politique personnalisée, consultezCréation d'une URL signée à l'aide d'une politique personnalisée. Pour plus d’informations sur la création de cookies signés à l’aide d’une politique personnalisée, consultez Définissez des cookies signés à l'aide d'une politique personnalisée.

Si vous utilisez un jeu d'enregistrements de ressources d'alias Route 53 pour acheminer le trafic vers votre CloudFront distribution, vous devez créer un deuxième ensemble d'enregistrements de ressources d'alias lorsque les deux conditions suivantes sont remplies :

  • Vous activez IPv6 la distribution

  • Vous utilisez des noms de domaine alternatifs URLs pour vos objets

Pour plus d'informations, consultez la section Acheminer le trafic vers une CloudFront distribution Amazon en utilisant votre nom de domaine dans le guide du développeur Amazon Route 53.

Si vous avez créé un jeu d’enregistrements de ressources CNAME, que ce soit avec Route 53 ou avec un autre service DNS, vous n’avez besoin d’effectuer aucune modification. Un enregistrement CNAME achemine le trafic vers votre distribution, quel que soit le format d’adresse IP de la requête de visionneuse.

Si vous activez IPv6 et CloudFront accédez aux journaux, la c-ip colonne inclut les valeurs IPv4 et le IPv6 format. Pour de plus amples informations, veuillez consulter Champs du fichier journal.

Note

Pour maintenir une haute disponibilité des clients, CloudFront répondez aux demandes des utilisateurs en utilisant IPv4 si nos données suggèrent que cela IPv4 offrira une meilleure expérience utilisateur. Pour connaître le pourcentage de demandes traitées CloudFront IPv6, activez la CloudFront journalisation de votre distribution et analysez la c-ip colonne, qui contient l'adresse IP de l'utilisateur à l'origine de la demande. Ce pourcentage devrait augmenter au fil du temps, mais il restera une minorité du trafic car il n' IPv6 est pas encore supporté par tous les réseaux de téléspectateurs du monde entier. Certains réseaux de téléspectateurs offrent un excellent IPv6 support, mais d'autres ne le font pas IPv6 du tout. (Un réseau de visionneuse est similaire à votre opérateur sans fil ou Internet).

Pour plus d'informations sur notre assistance pour IPv6, consultez la CloudFront FAQ. Pour plus d'informations sur l'activation des journaux d'accèsJournalisation standard, consultez les champs etPréfixe de journal.

Comment

Facultatif. Lorsque vous créez une distribution, vous pouvez inclure un commentaire de 128 caractères au plus. Vous pouvez mettre à jour le commentaire à tout moment.

État de la distribution

Indique si vous voulez que la distribution soit activée ou désactivée une fois déployée :

  • Activé signifie que dès que la distribution est entièrement déployée, vous pouvez déployer les liens qui utilisent le nom de domaine de la distribution et que les utilisateurs peuvent extraire le contenu. Chaque fois qu'une distribution est activée, CloudFront accepte et gère toutes les demandes de contenu de l'utilisateur final qui emploient le nom de domaine associé à cette distribution.

    Lorsque vous créez, modifiez ou supprimez une CloudFront distribution, la propagation des modifications dans la CloudFront base de données prend du temps. Une demande immédiate d’informations sur une distribution peut ne pas afficher la modification. La propagation s’effectue généralement en quelques minutes, mais une charge système ou une partition du réseau élevées peuvent augmenter cette durée.

  • Désactivé signifie que même si la distribution peut être déployée et prête à être utilisée, les utilisateurs ne peuvent pas l’utiliser. Chaque fois qu'une distribution est désactivée, CloudFront n'accepte aucune demande d'utilisateur final utilisant le nom de domaine associé à cette distribution. Tant que vous n’avez pas basculé la distribution de « disabled » en « enabled » (en mettant à jour la configuration de la distribution), personne ne peut l’utiliser.

Vous pouvez basculer une distribution de désactivée à activée (et inversement) aussi souvent que vous le voulez. Suivez la procédure de mise à jour de la configuration d’une distribution. Pour de plus amples informations, veuillez consulter Mettre à jour une distribution.

Pages d’erreur personnalisées et mise en cache des erreurs

Vous pouvez avoir CloudFront renvoyé un objet au lecteur (par exemple, un fichier HTML) lorsque votre Amazon S3 ou votre origine personnalisée renvoie un code de statut HTTP 4xx ou 5xx à. CloudFront Vous pouvez également spécifier la durée pendant laquelle une réponse d'erreur provenant de votre origine ou d'une page d'erreur personnalisée est mise en cache dans les CloudFront caches périphériques. Pour de plus amples informations, veuillez consulter Création d'une page d'erreur personnalisée pour des codes d'état HTTP spécifiques.

Note

Comme les valeurs suivantes ne sont pas incluses dans l’Assistant Create Distribution, vous ne pouvez configurer les pages d’erreur personnalisées que lorsque vous mettez à jour une distribution.

Code d’erreur HTTP

Code d'état HTTP pour lequel vous souhaitez CloudFront renvoyer une page d'erreur personnalisée. Vous pouvez configurer CloudFront pour renvoyer des pages d'erreur personnalisées pour aucun, certains ou tous les codes d'état HTTP mis en CloudFront cache.

Chemin de la page de réponse

Chemin d'accès à la page d'erreur personnalisée (par exemple, /4xx-errors/403-forbidden.html) que CloudFront doit renvoyer à un navigateur quand votre origine retourne le code de statut HTTP que vous avez spécifié pour Code d'erreur (par exemple, 403). Si vous souhaitez stocker vos objets et vos pages d’erreur personnalisées dans des emplacements différents, votre distribution doit inclure un comportement de cache pour lequel les conditions suivantes sont vraies :

  • La valeur de Modèle de chemin correspond au chemin d’accès de vos messages d’erreur personnalisés. Par exemple, supposons que vous ayez enregistré des pages d’erreur personnalisées pour les erreurs 4xx dans un compartiment Amazon S3 d’un répertoire nommé /4xx-errors. Votre distribution doit inclure un comportement de cache pour lequel le modèle de chemin transmet les demandes de vos pages d’erreur personnalisées vers cet emplacement, par exemple, /erreurs-4xx/*.

  • La valeur d’Origine spécifie la valeur d’ID d’origine pour l’origine qui contient vos pages d’erreur personnalisées.

Code de réponse HTTP

Le code d'état HTTP que vous CloudFront souhaitez renvoyer au visualiseur avec la page d'erreur personnalisée.

Erreur de mise en cache de TTL minimum (secondes)

Durée minimale pendant laquelle vous souhaitez mettre en cache CloudFront les réponses aux erreurs depuis votre serveur d'origine.

Restrictions géographiques

Si vous devez empêcher les utilisateurs de certains pays d'accéder à votre contenu, vous pouvez configurer votre CloudFront distribution avec une liste d'autorisation ou une liste de blocage. Il n’y a pas de frais supplémentaires pour la configuration de restrictions géographiques. Pour de plus amples informations, veuillez consulter Limitez la distribution géographique de votre contenu.