Gunakan kustom URLs dengan menambahkan nama domain alternatif (CNAMEs)

Semua nama domain alternatif (CNAMEs) harus huruf kecil.

Untuk menambahkan nama domain alternatif (CNAME) ke CloudFront distribusi, Anda harus melampirkan sertifikat SSL/TLS yang tepercaya dan valid yang mencakup nama domain alternatif. Ini memastikan bahwa hanya orang yang memiliki akses ke sertifikat domain Anda yang dapat mengasosiasikan dengan CNAME CloudFront yang terkait dengan domain Anda.

Sertifikat terpercaya adalah sertifikat yang dikeluarkan oleh AWS Certificate Manager (ACM) atau oleh otoritas sertifikat lain yang valid (CA). Anda dapat menggunakan sertifikat yang ditandatangani sendiri untuk memvalidasi CNAME yang ada, tetapi tidak untuk CNAME baru. CloudFront mendukung otoritas sertifikat yang sama dengan Mozilla. Untuk daftar saat ini, lihat Daftar Sertifikat CA yang Disertakan Mozilla. Untuk informasi tentang sertifikat perantara saat menggunakan CA pihak ketiga, lihatSertifikat Menengah.

Untuk memverifikasi nama domain alternatif dengan menggunakan sertifikat yang Anda lampirkan, termasuk nama domain alternatif yang menyertakan wildcard, CloudFront periksa nama alternatif subjek (SAN) pada sertifikat. Nama domain alternatif yang Anda tambahkan harus dicakup oleh SAN.

Anda membuktikan bahwa Anda berwenang menambahkan nama domain alternatif tertentu ke distribusi Anda dengan melakukan salah satu hal berikut:

Contoh berikut menggambarkan cara menggunakan wildcard dalam nama domain dalam karya sertifikat untuk mengizinkan Anda menambahkan nama domain alternatif khusus di CloudFront.

Saat menambahkan nama domain alternatif, Anda harus membuat catatan CNAME untuk merutekan kueri DNS untuk nama domain alternatif ke distribusi Anda. CloudFront Untuk melakukannya, Anda harus memiliki izin untuk membuat catatan CNAME dengan penyedia layanan DNS untuk nama domain alternatif yang Anda gunakan. Biasanya, ini berarti Anda memiliki domain, tetapi Anda mungkin mengembangkan aplikasi untuk pemilik domain.

Jika Anda ingin penampil menggunakan HTTPS dengan nama domain alternatif, Anda harus menyelesaikan beberapa konfigurasi tambahan. Untuk informasi selengkapnya, lihat Gunakan nama domain alternatif dan HTTPS.

Untuk jumlah maksimum nama domain alternatif saat ini yang dapat Anda tambahkan ke distribusi, atau untuk meminta kuota yang lebih tinggi (sebelumnya dikenal sebagai batas), lihat Kuota umum di distribusi.

Anda tidak dapat menambahkan nama domain alternatif ke CloudFront distribusi jika nama domain alternatif yang sama sudah ada di CloudFront distribusi lain, bahkan jika AWS akun Anda memiliki distribusi lainnya.

Namun, Anda dapat menambahkan nama domain alternatif wildcard, seperti *.example.com, yang menyertakan (yang tumpang tindih dengan) nama domain alternatif non-wildcard, seperti www.example.com. Jika Anda memiliki nama domain alternatif yang tumpang tindih dalam dua distribusi, CloudFront kirimkan permintaan ke distribusi dengan pencocokan nama yang lebih spesifik, terlepas dari distribusi yang ditunjuk oleh catatan DNS. Misalnya, marketing.domain.com lebih spesifik daripada *.domain.com.

Jika Anda memiliki entri DNS wildcard yang mengarah ke CloudFront distribusi dan Anda menerima kesalahan DNS yang tidak dikonfigurasi dengan benar saat mencoba menambahkan CNAME baru dengan nama yang lebih spesifik, lihat. CloudFront mengembalikan kesalahan catatan DNS yang tidak dikonfigurasi dengan benar ketika saya mencoba menambahkan CNAME baru

CloudFront mencakup perlindungan terhadap fronting domain yang terjadi di berbagai AWS akun. Domain fronting adalah skenario di mana klien non-standar membuat koneksi TLS/SSL ke nama domain dalam satu AWS akun, tetapi kemudian membuat permintaan HTTPS untuk nama yang tidak terkait di akun lain. AWS Misalnya, koneksi TLS mungkin terhubung ke www.example.com, dan kemudian mengirim permintaan HTTP untuk www.example.org.

Untuk mencegah kasus di mana fronting domain melintasi AWS akun yang berbeda CloudFront , pastikan bahwa AWS akun yang memiliki sertifikat yang dilayaninya untuk koneksi tertentu selalu cocok dengan AWS akun yang memiliki permintaan yang ditangani pada koneksi yang sama.

Jika kedua nomor AWS akun tidak cocok, CloudFront merespons dengan respons Permintaan Salah Arah HTTP 421 untuk memberi klien kesempatan untuk terhubung menggunakan domain yang benar.

Saat menambahkan nama domain alternatif ke distribusi, Anda biasanya membuat catatan CNAME dalam konfigurasi DNS untuk merutekan kueri DNS untuk nama domain ke distribusi Anda. CloudFront Namun, Anda tidak dapat membuat catatan CNAME untuk node atas dari ruang nama DNS, yang juga dikenal sebagai apeks zona; protokol DNS tidak mengizinkannya. Misalnya, jika Anda mendaftarkan nama DNS example.com, zone apex-nya adalah example.com. Anda tidak dapat membuat catatan CNAME untuk example.com, tetapi Anda dapat membuat catatan CNAME untuk www.example.com, newproduct.example.com, dan sebagainya.

Jika Anda menggunakan Route 53 sebagai layanan DNS, Anda dapat membuat set sumber daya alias, yang memiliki dua keuntungan melalui catatan CNAME. Anda dapat membuat rekaman sumber daya alias yang ditetapkan untuk nama domain di simpul atas (contoh.com). Selain itu, saat Anda menggunakan kumpulan catatan sumber daya alias, Anda tidak membayar kueri Route 53.

Untuk informasi selengkapnya, lihat Merutekan lalu lintas ke distribusi CloudFront web Amazon dengan menggunakan nama domain Anda di Panduan Pengembang Amazon Route 53.