Gunakan kustom URLs dengan menambahkan nama domain alternatif (CNAMEs)

Semua nama domain alternatif (CNAMEs) harus huruf kecil.

Untuk menambahkan nama domain alternatif (CNAME) ke CloudFront distribusi, Anda harus melampirkan TLS sertifikat yang tepercaya dan valid SSL pada distribusi yang mencakup nama domain alternatif. Ini memastikan bahwa hanya orang yang memiliki akses ke sertifikat domain Anda yang dapat mengasosiasikan dengan CloudFront yang CNAME terkait dengan domain Anda.

Sertifikat tepercaya adalah sertifikat yang dikeluarkan oleh AWS Certificate Manager (ACM) atau oleh otoritas sertifikat lain yang valid (CA). Anda dapat menggunakan sertifikat yang ditandatangani sendiri untuk memvalidasi yang sudah adaCNAME, tetapi tidak untuk yang baru. CNAME CloudFront mendukung otoritas sertifikat yang sama dengan Mozilla. Untuk daftar saat ini, lihat Daftar Sertifikat CA yang Disertakan Mozilla.

Untuk memverifikasi nama domain alternatif dengan menggunakan sertifikat yang Anda lampirkan, termasuk nama domain alternatif yang menyertakan wildcard, CloudFront periksa nama alternatif subjek (SAN) pada sertifikat. Nama domain alternatif yang Anda tambahkan harus dicakup olehSAN.

Anda membuktikan bahwa Anda berwenang menambahkan nama domain alternatif tertentu ke distribusi Anda dengan melakukan salah satu hal berikut:

Contoh berikut menggambarkan cara menggunakan wildcard dalam nama domain dalam sertifikat berfungsi untuk mengizinkan Anda menambahkan nama domain alternatif tertentu. CloudFront

Saat menambahkan nama domain alternatif, Anda harus membuat CNAME catatan untuk merutekan DNS kueri untuk nama domain alternatif ke CloudFront distribusi Anda. Untuk melakukan ini, Anda harus memiliki izin untuk membuat CNAME catatan dengan penyedia DNS layanan untuk nama domain alternatif yang Anda gunakan. Biasanya, ini berarti Anda memiliki domain, tetapi Anda mungkin mengembangkan aplikasi untuk pemilik domain.

Jika Anda ingin HTTPS pemirsa menggunakan nama domain alternatif, Anda harus menyelesaikan beberapa konfigurasi tambahan. Untuk informasi selengkapnya, lihat Gunakan nama domain alternatif dan HTTPS.

Untuk jumlah maksimum nama domain alternatif saat ini yang dapat Anda tambahkan ke distribusi, atau untuk meminta kuota yang lebih tinggi (sebelumnya dikenal sebagai batas), lihat Kuota umum di distribusi.

Anda tidak dapat menambahkan nama domain alternatif ke CloudFront distribusi jika nama domain alternatif yang sama sudah ada di CloudFront distribusi lain, bahkan jika AWS akun Anda memiliki distribusi lainnya.

Namun, Anda dapat menambahkan nama domain alternatif wildcard, seperti *.example.com, yang menyertakan (yang tumpang tindih dengan) nama domain alternatif non-wildcard, seperti www.example.com. Jika Anda memiliki nama domain alternatif yang tumpang tindih dalam dua distribusi, CloudFront kirimkan permintaan ke distribusi dengan pencocokan nama yang lebih spesifik, terlepas dari distribusi yang ditunjuk oleh DNS catatan. Misalnya, marketing.domain.com lebih spesifik daripada *.domain.com.

Jika Anda memiliki DNS entri wildcard yang mengarah ke CloudFront distribusi dan Anda menerima DNS kesalahan yang salah dikonfigurasi saat mencoba menambahkan yang baru CNAME dengan nama yang lebih spesifik, lihatCloudFront mengembalikan kesalahan DNS catatan yang tidak dikonfigurasi dengan benar ketika saya mencoba menambahkan yang baru CNAME.

CloudFront mencakup perlindungan terhadap fronting domain yang terjadi di berbagai AWS akun. Domain fronting adalah skenario di mana klien non-standar membuat TLS SSL /koneksi ke nama domain dalam satu AWS akun, tetapi kemudian membuat HTTPS permintaan untuk nama yang tidak terkait di akun lain. AWS Misalnya, TLS koneksi mungkin terhubung ke www.example.com, dan kemudian mengirim HTTP permintaan untuk www.example.org.

Untuk mencegah kasus di mana fronting domain melintasi AWS akun yang berbeda CloudFront , pastikan bahwa AWS akun yang memiliki sertifikat yang dilayaninya untuk koneksi tertentu selalu cocok dengan AWS akun yang memiliki permintaan yang ditangani pada koneksi yang sama.

Jika kedua nomor AWS akun tidak cocok, CloudFront tanggapi dengan respons Permintaan Salah Arah HTTP 421 untuk memberi klien kesempatan untuk terhubung menggunakan domain yang benar.

Ketika Anda menambahkan nama domain alternatif ke distribusi, Anda biasanya membuat CNAME catatan dalam DNS konfigurasi Anda untuk merutekan DNS kueri untuk nama domain ke CloudFront distribusi Anda. Namun, Anda tidak dapat membuat CNAME catatan untuk node atas DNS namespace, juga dikenal sebagai puncak zona; DNS protokol tidak mengizinkannya. Misalnya, jika Anda mendaftarkan DNS nama example.com, puncak zona adalah example.com. Anda tidak dapat membuat CNAME rekaman untuk example.com, tetapi Anda dapat membuat CNAME catatan untuk www.example.com, newproduct.example.com, dan sebagainya.

Jika Anda menggunakan Route 53 sebagai DNS layanan Anda, Anda dapat membuat kumpulan catatan sumber daya alias, yang memiliki dua keunggulan dibandingkan CNAME catatan. Anda dapat membuat rekaman sumber daya alias yang ditetapkan untuk nama domain di simpul atas (contoh.com). Selain itu, saat Anda menggunakan kumpulan catatan sumber daya alias, Anda tidak membayar kueri Route 53.

Untuk informasi selengkapnya, lihat Merutekan lalu lintas ke distribusi CloudFront web Amazon dengan menggunakan nama domain Anda di Panduan Pengembang Amazon Route 53.