# すべてのディストリビューション設定リファレンス
ディストリビューションを作成または更新するときに、CloudFront ディストリビューション設定を手動で編集することを選択できます。以下は、編集できる設定です。
ただし、CloudFront は、コンテンツオリジンタイプに基づいて、ほとんどのディストリビューション設定を構成します。詳細については、「[事前設定されたディストリビューション設定リファレンス](template-preconfigured-origin-settings.md)」を参照してください。
CloudFront コンソールを使用してディストリビューションを作成または更新する方法の詳細については、「[ディストリビューションを作成する](distribution-web-creating-console.md)」または「[ディストリビューションを更新する](HowToUpdateDistribution.md)」を参照してください。
**Topics**
+ [オリジンの設定](DownloadDistValuesOrigin.md)
+ [キャッシュ動作の設定](DownloadDistValuesCacheBehavior.md)
+ [ディストリビューションの設定](DownloadDistValuesGeneral.md)
+ [カスタムエラーページとエラーキャッシュ](DownloadDistValuesErrorPages.md)
+ [地理的制限](DownloadDistValuesEnableGeoRestriction.md)
# オリジンの設定
CloudFront コンソールを使用してディストリビューションを作成または更新する場合、1 つ以上のロケーションに関する情報を指定します。これは、*オリジン*と呼ばれるものであり、ウェブコンテンツのオリジナルバージョンを保存する場所です。CloudFront はオリジンからウェブコンテンツを取得し、世界中のエッジサーバーネットワークを経由してビューワーにウェブコンテンツを供給します。
ディストリビューションに対して作成できるオリジンの現在の最大数について、またはクォータの引き上げを要求するには、「[ディストリビューションの一般的なクォータ](cloudfront-limits.md#limits-web-distributions)」を参照してください。
オリジンを削除する場合は、まず、そのオリジンに関連付けられたキャッシュ動作を編集または削除する必要があります。
**重要**
オリジンを削除する場合は、そのオリジンによって以前供給されていたファイルが別のオリジンで利用可能であり、現在、そのファイルへのリクエストがキャッシュ動作によって新しいオリジンにルーティングされていることを確認します。
ディストリビューションを作成または更新する場合、オリジンごとに以下の値を指定します。
**Topics**
+ [オリジンドメイン](#DownloadDistValuesDomainName)
+ [プロトコル (カスタムオリジンのみ)](#DownloadDistValuesOriginProtocolPolicy)
+ [オリジンのパス](#DownloadDistValuesOriginPath)
+ [名前](#DownloadDistValuesId)
+ [オリジンアクセス (Amazon S3 オリジンのみ)](#DownloadDistValuesOAIRestrictBucketAccess)
+ [カスタムヘッダーを追加する](#DownloadDistValuesOriginCustomHeaders)
+ [Origin Shield を有効にする](#create-update-fields-origin-shield)
+ [接続の試行](#origin-connection-attempts)
+ [接続タイムアウト](#origin-connection-timeout)
+ [応答タイムアウト](#DownloadDistValuesOriginResponseTimeout)
+ [応答完了タイムアウト](#response-completion-timeout)
+ [キープアライブタイムアウト (カスタムオリジンおよび VPC オリジンのみ)](#DownloadDistValuesOriginKeepaliveTimeout)
+ [レスポンスとキープアライブのタイムアウトクォータ](#response-keep-alive-timeout-quota)
## オリジンドメイン
オリジンドメインは、CloudFront がオリジンのオブジェクトの取得先としている、Amazon S3 バケットまたは HTTP サーバーなどのリソースの DNS ドメイン名です。例えば、次のようになります。
+ **Amazon S3 バケット** – `amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com`
**注記**
S3 バケットを最近作成した場合、CloudFront ディストリビューションは最大 24 時間以内に `HTTP 307 Temporary Redirect` レスポンスを返す可能性があります。S3 バケット名がすべての AWS リージョンに反映されるまで、最大 24 時間かかることがあります。反映が完了すると、ディストリビューションは自動的にこれらのリダイレクトレスポンスの送信を停止します。何もする必要はありません。詳細については、「[Why am I getting an HTTP 307 Temporary Redirect response from Amazon S3?](https://repost.aws/knowledge-center/s3-http-307-response)」と「[一時的なリクエストのリダイレクト](https://docs.aws.amazon.com/AmazonS3/latest/dev/Redirects.html#TemporaryRedirection)」を参照してください。
+ **ウェブサイトとして設定された Amazon S3 バケット** – `amzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com`
+ **MediaStore コンテナ** – `examplemediastore.data.mediastore.us-west-1.amazonaws.com`
+ **MediaPackage エンドポイント** – `examplemediapackage.mediapackage.us-west-1.amazonaws.com`
+ **Amazon EC2 インスタンス** – `ec2-203-0-113-25.compute-1.amazonaws.com`
+ **Elastic Load Balancing ロードバランサー** – `example-load-balancer-1234567890.us-west-2.elb.amazonaws.com`
+ **独自のウェブサーバー** – `www.example.com`
**[Origin Domain Name]** (オリジンドメイン名) フィールドでドメイン名を選択するか、名前を入力します。オプトインリージョンのリソースは手動で入力する必要があります。ドメイン名では、大文字と小文字が区別されません。オリジンドメインは、クライアントからインターネット経由でターゲットにリクエストをルーティングする、パブリックに解決可能な DNS 名を持っている必要があります。
CloudFront を HTTPS 経由でオリジンに接続するよう構成している場合、証明書のドメイン名のうち 1 つは、**[オリジンドメイン名]** で指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、CloudFront は HTTP ステータスコード 502 (Bad Gateway) をビューワーに返します。詳細については、「[CloudFront ディストリビューションと証明書のドメイン名](cnames-and-https-requirements.md#https-requirements-domain-names-in-cert)」および「[CloudFront とカスタムオリジンサーバー間の SSL/TLS ネゴシエーションエラー](http-502-bad-gateway.md#ssl-negotitation-failure)」を参照してください。
**注記**
ビューワーホストヘッダーをオリジンに転送するオリジンリクエストポリシーを使用している場合、オリジンはビューワーホストヘッダーに一致する証明書で応答する必要があります。詳細については、「[CloudFront のリクエストヘッダーを追加する](adding-cloudfront-headers.md)」を参照してください。
オリジンが Amazon S3 バケットの場合は、次の点に注意してください。
+ バケットがウェブサイトとして構成されている場合は、バケットの Amazon S3 静的ウェブサイトホスティングエンドポイントを入力します。**[Origin domain]** (オリジンドメイン) フィールドのバケット一覧からバケット名を選択しないでください。静的ウェブサイトホスティングエンドポイントは、Amazon S3 コンソールの **[Static website hosting]** (静的ウェブサイトホスティング) の **[Properties]** (プロパティ) ページに表示されます。詳細については、「[ウェブサイトのエンドポイントとして設定された Amazon S3 バケットを使用する](DownloadDistS3AndCustomOrigins.md#concept_S3Origin_website)」を参照してください。
+ バケットに Amazon S3 Transfer Acceleration を設定した場合、**[Origin domain]** (オリジンドメイン) に `s3-accelerate` エンドポイントを指定しないでください。
+ 別の AWS アカウントからのバケットを使用しており、そのバケットがウェブサイトとして設定されていない場合は、以下の形式で名前を入力します。
`bucket-name.s3.region.amazonaws.com`
バケットが米国リージョンにあり、Amazon S3 がバージニア北部の施設にリクエストをルーティングするように設定する場合は、次の形式を使用します。
`bucket-name.s3.us-east-1.amazonaws.com`
+ CloudFront のオリジンアクセスコントロールを使用して Amazon S3 内のコンテンツを保護しない限り、ファイルをパブリックに読み取り可能とする必要があります。アクセスコントロールの詳細については、「[Amazon S3 オリジンへのアクセスを制限する](private-content-restricting-access-to-s3.md)」を参照してください。
**重要**
オリジンが Amazon S3 バケットの場合、バケット名は DNS 命名要件に準拠する必要があります。詳細については、*Amazon Simple Storage Service ユーザーガイド*の[バケットの制約と制限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)を参照してください。
オリジンの **[Origin domain]** (オリジンドメイン) の値を変更すると、CloudFront は CloudFront エッジロケーションに対する変更の複製を直ちに開始します。該当するエッジロケーションでディストリビューション構成が更新されるまで、CloudFront はリクエストを以前のオリジンに引き続き転送します。該当のエッジロケーションでディストリビューション構成が更新されると、CloudFront は新しいオリジンへのリクエストの転送を直ちに開始します。
オリジンを変更しても、CloudFront が、新しいオリジンからのオブジェクトでエッジキャッシュを再生成する必要はありません。アプリケーション内でビューワーのリクエストが変更されていない限り、各オブジェクトの TTL の有効期限が切れるか、要求頻度の低いオブジェクトが削除されるまで、CloudFront は、引き続き、エッジキャッシュに既に保持されているオブジェクトを供給します。
## プロトコル (カスタムオリジンのみ)
**注記**
これは、カスタムオリジンにのみ適用されます。
CloudFront がオリジンからオブジェクトをフェッチするときに使用するプロトコルポリシー。
次のいずれかの値を選択します。
+ **[HTTP only]** (HTTP のみ): CloudFront は HTTP のみを使用してオリジンにアクセスします。
**重要**
Amazon S3 は静的ウェブサイトホスティングエンドポイントをサポートしていないため、オリジンが Amazon S3 の静的ウェブサイトホスティングエンドポイントの場合、**[HTTPS only]** (HTTP のみ) がデフォルト設定です。CloudFront コンソールは、エンドポイントをホストする Amazon S3 の静的ウェブサイトのこの設定の変更をサポートしていません。
+ **[HTTPS only]** (HTTPS のみ): CloudFront は HTTPS のみを使用してオリジンにアクセスします。
+ **[Match viewer]** (ビューワーに合わせる): CloudFront は、ビューワーのリクエストのプロトコルに応じて HTTP または HTTPS を使用し、オリジンと通信します。ビューワーが HTTP と HTTPS の両方のプロトコルを使用してリクエストを行った場合も、CloudFront がオブジェクトをキャッシュするのは 1 回だけです。
**重要**
CloudFront がこのオリジンに転送する HTTPS ビューワーリクエストの場合、オリジンサーバーの SSL 証明書のドメイン名のうち 1 つは、**[Origin domain]** (オリジンドメイン) で指定したドメイン名と一致する必要があります。一致しない場合、CloudFront は、ビューワーリクエストに対して、リクエストされたオブジェクトではなく、HTTP ステータスコード 502 (不正なゲートウェイ) を返します。詳細については、「[CloudFront で SSL/TLS 証明書を使用するための要件](cnames-and-https-requirements.md)」を参照してください。
**Topics**
+ [HTTP ポート](#DownloadDistValuesHTTPPort)
+ [HTTPS ポート](#DownloadDistValuesHTTPSPort)
+ [最小限のオリジン SSL プロトコル](#DownloadDistValuesOriginSSLProtocols)
### HTTP ポート
**注記**
これは、カスタムオリジンにのみ適用されます。
(オプション) カスタムオリジンがリスンする HTTP ポートを指定できます。有効な値には、ポート 80、443、および 1024~65535 が含まれます。デフォルト値はポート 80 です。
**重要**
オリジンが Amazon S3 の静的ウェブサイトホスティングエンドポイントの場合、ポート 80 がデフォルト設定です。Amazon S3 は、静的ウェブサイトホスティングエンドポイントではポート 80 のみサポートするためです。CloudFront コンソールは、エンドポイントをホストする Amazon S3 の静的ウェブサイトのこの設定の変更をサポートしていません。
### HTTPS ポート
**注記**
これは、カスタムオリジンにのみ適用されます。
(オプション) カスタムオリジンがリスンする HTTPS ポートを指定できます。有効な値には、ポート 80、443、および 1024~65535 が含まれます。デフォルト値はポート 443 です。**[Protocol]** (プロトコル) は、**[HTTP only]** (HTTP のみ) に設定されます。**[HTTPS port]** (HTTPS ポート) の値を指定することはできません。
### 最小限のオリジン SSL プロトコル
**注記**
これは、カスタムオリジンにのみ適用されます。
オリジンに HTTPS 接続を設立する場合には、CloudFront が使用できる最小限の TLS/SSL プロトコルを選択します。より低い TLS プロトコルは安全性が低いため、オリジンがサポートする最新の TLS を使用することが推奨されます。**[Protocol]** (プロトコル) は、**[HTTP only]** (HTTP のみ) に設定されます。**[Minimum origin SSL protocol]** (最小限のオリジン SSL プロトコル) の値を指定することはできません。
CloudFront が使用する TLS/SSL プロトコルを CloudFront API を使用して設定する場合は、最小プロトコルを設定することはできません。代わりに、CloudFront がオリジンで使用できるすべての TLS/SSL プロトコルを指定します。詳細については、*Amazon CloudFront API リファレンス*の「[OriginSslProtocols](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_OriginSslProtocols.html)」を参照してください。
## オリジンのパス
CloudFront がオリジンのディレクトリにコンテンツがリクエストされるようにするには、スラッシュ (/) 以降のディレクトリパスを入力します。CloudFront は、**[Origin domain]** (オリジンドメイン) の値にディレクトリ名を追加します。例えば、**cf-origin.example.com/production/images** などです。パスの末尾にはスラッシュ (/) を付けないでください。
例えば、特定のディストリビューションに対して次の値を指定したとします。
+ **[Origin domain]** (オリジンドメイン) - **amzn-s3-demo-bucket** と名前の付いた Amazon S3 バケット
+ **オリジンのパス** - **/production**
+ **代替ドメイン名 (CNAME)** – **example.com**
ユーザーがブラウザに `example.com/index.html` と入力すると、CloudFront が `amzn-s3-demo-bucket/production/index.html` のリクエストを Amazon S3 に送信します。
ユーザーがブラウザに `example.com/acme/index.html` と入力すると、CloudFront が `amzn-s3-demo-bucket/production/acme/index.html` のリクエストを Amazon S3 に送信します。
## 名前
名前は、このディストリビューション内でこのオリジンを一意に識別する文字列です。デフォルトのキャッシュ動作に加えてキャッシュ動作を作成する場合、ここで指定した名前を使用して、そのキャッシュ動作のパスパターンにリクエストが一致した場合に CloudFront がリクエストをルーティングするオリジンを識別します。
## オリジンアクセス (Amazon S3 オリジンのみ)
**注記**
これは、Amazon S3 バケットオリジン (S3 静的ウェブサイトエンドポイントを使用*していない*オリジン) にのみ適用されます。
Amazon S3 バケットオリジンへのアクセスを特定の CloudFront ディストリビューションのみに制限できるようにする場合は、[**オリジンアクセスコントロール設定 (推奨)**] を選択します。
Amazon S3 バケットオリジンがパブリックにアクセス可能な場合は、[**パブリック**] を選択します。
詳しくは、「[Amazon S3 オリジンへのアクセスを制限する](private-content-restricting-access-to-s3.md)」を参照してください。
CloudFront URL のみ使用してカスタムオリジン内のオブジェクトにアクセスするよう要求する方法の詳細については、「[カスタムオリジンのファイルへのアクセスを制限する](private-content-overview.md#forward-custom-headers-restrict-access)」を参照してください。
## カスタムヘッダーを追加する
CloudFront がリクエストをオリジンに転送するごとにカスタムヘッダーを追加するようにする場合は、ヘッダー名とその値を指定します。詳細については、「[オリジンリクエストにカスタムヘッダーを追加する](add-origin-custom-headers.md)」を参照してください。
現在、追加できるカスタムヘッダーの最大数、カスタムヘッダー名と値の最大長、すべてのヘッダー名と値の全長の最大長については、[クォータ](cloudfront-limits.md) を参照してください。
## Origin Shield を有効にする
**[Yes]** (はい) を選択して、CloudFront の Origin Shield を有効にします。Origin Shield の詳細については、[Amazon CloudFront Origin Shield の使用](origin-shield.md) を参照してください。
## 接続の試行
CloudFront がオリジンへの接続を試行する回数を設定できます。試行回数として 1、2、または 3 を指定できます。デフォルト値 (特に指定しない場合) は 3 です。
この設定を **[Connection timeout]** (接続タイムアウト) とともに使用すると、セカンダリオリジンに接続しようとしたり、ビューワーにエラーレスポンスを返したりするまでに CloudFront が待機する時間の長さを指定できます。デフォルトでは、CloudFront はセカンダリオリジンへの接続を試行したり、エラーレスポンスを返したりする前に 30 秒 (それぞれ 10 秒間の試行が 3 回) 待機します。試行回数を減らすか、接続タイムアウトを短くするか、その両方を行うことで、この時間を短縮できます。
接続試行が指定した回数失敗した場合、CloudFront は次のいずれかを実行します。
+ オリジンがオリジングループの一部である場合、CloudFront はセカンダリオリジンへの接続を試みます。セカンダリオリジンへの接続試行が指定された回数失敗した場合、CloudFront はビューワーにエラーレスポンスを返します。
+ オリジンがオリジングループの一部でない場合、CloudFront はビューワーにエラーレスポンスを返します。
カスタムオリジン (静的ウェブサイトホスティングで設定された Amazon S3 バケットを含む) では、この設定は、CloudFront がオリジンからレスポンスを待機する回数も指定します。詳細については、「[応答タイムアウト](#DownloadDistValuesOriginResponseTimeout)」を参照してください。
## 接続タイムアウト
接続タイムアウトは、オリジンへの接続を確立しようとしたときに CloudFront が待機する秒数です。1 ~ 10 (両端の値を含む) の秒数を指定できます。デフォルトのタイムアウト (特に指定しない場合) は 10 秒です。
この設定を **[Connection attempts]** (接続の試行) とともに使用すると、セカンダリオリジンに接続しようとしたり、ビューワーにエラーレスポンスを返したりするまでに CloudFront が待機する時間の長さを指定できます。デフォルトでは、CloudFront はセカンダリオリジンへの接続を試行したり、エラーレスポンスを返したりする前に 30 秒 (それぞれ 10 秒間の試行が 3 回) 待機します。試行回数を減らすか、接続タイムアウトを短くするか、その両方を行うことで、この時間を短縮できます。
CloudFront が指定した秒数以内にオリジンへの接続を確立しない場合、CloudFront は次のいずれかを実行します。
+ 指定した **[Connection attempts]** (接続の試行) が 1 を超える場合、CloudFront は接続の確立を再試行します。CloudFront は、**[Connection attempts]** (接続の試行) の値に従って最大 3 回試行します。
+ すべての接続試行が失敗した場合で、オリジンがオリジングループの一部である場合、CloudFront はセカンダリオリジンへの接続を試みます。セカンダリオリジンへの接続試行が指定された回数失敗した場合、CloudFront はビューワーにエラーレスポンスを返します。
+ すべての接続試行が失敗した場合で、オリジンがオリジングループの一部でない場合、CloudFront はエラーレスポンスをビューワーに返します。
## 応答タイムアウト
オリジン応答タイムアウト (*オリジンの読み取りタイムアウト*または*オリジンリクエストタイムアウト*とも呼ばれる) は、次の両方の値に適用されます。
+ CloudFront がリクエストをオリジンに転送してからレスポンスを受け取るまでの待機時間 (秒)
+ CloudFront がオリジンからレスポンスのパケットを受け取ってから次のパケットを受け取るまでの待機時間 (秒)
**ヒント**
ビューワーで HTTP 504 ステータスコードエラーが発生しているために、タイムアウト値を引き上げる必要がある場合は、タイムアウト値を変更する前に、それらのエラーを回避するその他の方法を検討します。「[HTTP 504 ステータスコード (Gateway Timeout)](http-504-gateway-timeout.md)」でトラブルシューティングのヒントを参照してください。
CloudFront の動作は、ビューワーリクエストの HTTP メソッドによって決まります。
+ `GET` および `HEAD` リクエスト ― 応答タイムアウトの期間内にオリジンが応答しない場合、または応答を停止した場合、CloudFront は接続を中断します。CloudFront は [接続の試行](#origin-connection-attempts) の値に従って接続を再試行します。
+ `DELETE`、`OPTIONS`、`PATCH`、`PUT`、`POST` の各リクエスト – オリジンが読み取りタイムアウトの期間中に応答しない場合、CloudFront は接続を中断し、オリジンへの接続を再試行しません。クライアントは、必要に応じてリクエストを再送信できます。
## 応答完了タイムアウト
**注記**
応答完了タイムアウトは、[継続的デプロイ](continuous-deployment.md)機能をサポートしていません。
CloudFront からオリジンへのリクエストを開いたままにして応答を待機できる時間 (秒単位)。この時間までにオリジンから完全な応答が受信されない場合、CloudFront は接続を終了します。
*個々*のレスポンスパケットの待機時間である**応答タイムアウト**とは異なり、**応答完了タイムアウト**は、CloudFront がレスポンスを完了するまで待機する*最大*許容時間です。この設定を使用すると、他のタイムアウト設定でより長い待機が許可されている場合でも、CloudFront が低速または応答しないオリジンを無期限に待機しないようにすることができます。
この最大タイムアウトには、他のタイムアウト設定に指定したものと、再試行ごとの**接続試行**の回数が含まれます。これらの設定を合わせて使用して、リクエストが完了するかどうかにかかわらず、CloudFront が完全なリクエストを待機する時間とリクエストを終了するタイミングを指定できます。
例えば、次の設定をした場合です。
+ **接続の試行**は 3 回です
+ **接続タイムアウト**は 10 秒です
+ **応答タイムアウト**は 30 秒です
+ **応答完了タイムアウト**は 60 秒です
つまり、CloudFront はオリジンへの接続を試み (最大合計 3 回の試行)、各接続試行は 10 秒でタイムアウトします。接続されると、CloudFront は、応答の最後のパケットを受信するまで、オリジンがリクエストに応答するまで最大 30 秒待機します。
接続試行回数や応答タイムアウトに関係なく、オリジンからの完全な応答が完了するまでに 60 秒以上かかると、CloudFront は接続を終了します。その後、CloudFront は、[HTTP 504 ステータスコード (Gateway Timeout)](http-504-gateway-timeout.md) エラー応答または指定した場合はカスタムエラー応答をビューワーに返します。
**注意事項**
応答完了タイムアウトの値を設定する場合、その値は[応答タイムアウト (オリジン読み取りタイムアウト)](#DownloadDistValuesOriginResponseTimeout) の値以上である必要があります。
応答完了タイムアウトの値を設定しない場合、CloudFront は最大値を適用しません。
## キープアライブタイムアウト (カスタムオリジンおよび VPC オリジンのみ)
キープアライブタイムアウトは、CloudFront がレスポンスの最後のパケットを取得した後にカスタムオリジンへの接続を維持する時間 (秒) です。持続的接続を維持すると、TCP 接続の再構築に必要な時間と後続のリクエストに対する別の TLS ハンドシェイクの実行に必要な時間を節約できます。キープアライブタイムアウトを増やすと、ディストリビューションの接続あたりのリクエストメトリクスの改善に役立ちます。
**注記**
**[Origin Keep-alive Timeout]** (オリジンキープアライブタイムアウト) の値が有効になるためには、永続接続を許可するようにオリジンが設定されている必要があります。
## レスポンスとキープアライブのタイムアウトクォータ
+ [レスポンスタイムアウト](#DownloadDistValuesOriginResponseTimeout)のデフォルトは 30 秒です。
+ [キープアライブタイムアウト](#DownloadDistValuesOriginKeepaliveTimeout)のデフォルトは 5 秒です。
AWS アカウントについてタイムアウトの増加をリクエストする場合、ディストリビューションオリジンを更新して、必要なレスポンスタイムアウト値とキープアライブタイムアウト値になるようにします。アカウントのクォータを増やしても、オリジンは自動的に更新されません。例えば、Lambda@Edge 関数を使用してキープアライブタイムアウトを 90 秒に設定する場合、オリジンにはすでに 90 秒以上のキープアライブタイムアウトが必要です。そうしないと、Lambda@Edge 関数の実行に失敗することがあります。
クォータの増加をリクエストする方法など、詳細については、「[ディストリビューションの一般的なクォータ](cloudfront-limits.md#limits-web-distributions)」を参照してください。
# キャッシュ動作の設定
キャッシュ動作を設定すると、ウェブサイトにあるファイルの特定の URL パスパターンに応じてさまざまな CloudFront 機能を設定できます。たとえば、CloudFront のオリジンサーバーとして使用しているウェブサーバーの `.jpg` ディレクトリ内にあるすべての `images` ファイルに 1 つのキャッシュ動作を適用することができます。キャッシュ動作ごとに構成可能な機能には以下のようなものがあります。
+ パスパターン
+ CloudFront ディストリビューションに対して複数のオリジンを構成した場合、CloudFront でリクエストを転送するオリジン。
+ クエリ文字列をオリジンに転送するかどうか
+ 指定したファイルへのアクセスに署名付き URL を必要とするかどうか
+ これらのファイルへのアクセスに HTTPS を使用するようユーザーに要求するかどうか
+ オリジンがファイルに追加する `Cache-Control` ヘッダーの値に関係なく、これらのファイルを CloudFront キャッシュに保持する最小時間
新しいディストリビューションを作成する場合、デフォルトのキャッシュ動作の設定を指定します。デフォルトのキャッシュ動作では、ディストリビューションの作成時に指定されたオリジンにすべてのリクエストが自動的に転送されます。ディストリビューションを作成した後、追加のキャッシュ動作を作成し、パスパターン (例: `*.jpg`) に一致するオブジェクトのリクエストを受け取ったときに CloudFront がどのように応答するかを定義できます。追加のキャッシュ動作を定義した場合、デフォルトのキャッシュ動作は常に最後に処理されます。他のキャッシュ動作は、CloudFront コンソールに表示された順序で処理されるか、CloudFront API が使用されている場合は、ディストリビューションの `DistributionConfig` エレメントに示された順序で処理されます。詳細については、「[パスパターン](#DownloadDistValuesPathPattern)」を参照してください。
キャッシュ動作を作成するときに、CloudFront がオブジェクトの取得先とするオリジンを 1 つ指定します。結果として、CloudFront がすべてのオリジンからオブジェクトを配信する場合、少なくともオリジンと同じ数のキャッシュ動作 (デフォルトのキャッシュ動作を含む) が必要です。2 つのオリジンとデフォルトのキャッシュ動作のみがある場合、デフォルトのキャッシュ動作によって、CloudFront は 1 つのオリジンからオブジェクトを取得します。その他のオリジンは一切使用されません。
ディストリビューションに対して作成できるキャッシュ動作の現在の最大数、またはクォータの引き上げを要求するキャッシュ動作の最大数については、「[ディストリビューションの一般的なクォータ](cloudfront-limits.md#limits-web-distributions)」を参照してください。
**Topics**
+ [パスパターン](#DownloadDistValuesPathPattern)
+ [オリジンまたはオリジングループ](#DownloadDistValuesTargetOriginId)
+ [ビューワープロトコルポリシー](#DownloadDistValuesViewerProtocolPolicy)
+ [許可される HTTP メソッド](#DownloadDistValuesAllowedHTTPMethods)
+ [フィールドレベル暗号化の設定](#DownloadDistValuesFieldLevelEncryption)
+ [キャッシュされる HTTP メソッド](#DownloadDistValuesCachedHTTPMethods)
+ [HTTP/2 経由で gRPC リクエストを許可する](#enable-grpc-distribution)
+ [選択されたリクエストヘッダーに基づいたキャッシュ](#DownloadDistValuesForwardHeaders)
+ [許可リストヘッダー](#DownloadDistValuesAllowlistHeaders)
+ [オブジェクトキャッシュ](#DownloadDistValuesObjectCaching)
+ [最小 TTL](#DownloadDistValuesMinTTL)
+ [最大 TTL](#DownloadDistValuesMaxTTL)
+ [デフォルト TTL](#DownloadDistValuesDefaultTTL)
+ [cookie の転送](#DownloadDistValuesForwardCookies)
+ [許可リスト Cookie](#DownloadDistValuesAllowlistCookies)
+ [クエリ文字列の転送とキャッシュ](#DownloadDistValuesQueryString)
+ [クエリ文字列の許可リスト](#DownloadDistValuesQueryStringAllowlist)
+ [スムーズストリーミング](#DownloadDistValuesSmoothStreaming)
+ [ビューワーのアクセス制限 (署名付き URL または署名付き cookie の使用)](#DownloadDistValuesRestrictViewerAccess)
+ [信頼された署名者](#DownloadDistValuesTrustedSigners)
+ [AWS アカウント番号](#DownloadDistValuesAWSAccountNumbers)
+ [オブジェクトを自動的に圧縮する](#DownloadDistValuesCompressObjectsAutomatically)
+ [CloudFront イベント](#DownloadDistValuesEventType)
+ [Lambda 関数の ARN](#DownloadDistValuesLambdaFunctionARN)
+ [ボディを含める](#include-body)
## パスパターン
パスパターン (例: `images/*.jpg`) は、このキャッシュ動作をどのリクエストに割り当てるかを指定します。CloudFront がエンドユーザーリクエストを受け取ると、リクエストされたパスは、ディストリビューションに含まれるキャッシュ動作の順序でパスパターンと照合されます。最初の一致によって、そのリクエストに適用されるキャッシュ動作が決まります。たとえば、以下の 3 つのパスパターンを持つ 3 つのキャッシュ動作がこの順序で設定されているとします。
+ `images/*.jpg`
+ `images/*`
+ `*.gif`
**注記**
オプションで、`/images/*.jpg` などのように、パスパターンの先頭にスラッシュ (/) を含めることができます。CloudFront の動作は先頭のスラッシュ (/) の有無で変化しません。パスの先頭に / を指定しなくても、この文字は自動的に暗黙で使用されます。CloudFront は、先頭に / があってもなくても、パスを同じように扱います。例えば、CloudFront は `/*product.jpg` を `*product.jpg` と同じように扱います。
ファイル `images/sample.gif` のリクエストは 1 番目のパスパターンを満たさないため、関連付けられたキャッシュ動作はこのリクエストに適用されません。ファイルは 2 番目のパスパターンを満たします。リクエストは 3 番目のパスパターンにも一致しますが、2 番目のパスパターンに関連付けられたキャッシュ動作が適用されます。
**注記**
新しいディストリビューションを作成すると、デフォルトのキャッシュ動作の [**Path Pattern (パスパターン)**] の値は **\$1** (すべてのファイル) に設定され、この値は変更できません。この値によって、CloudFront は、オブジェクトに対するすべてのリクエストを、[オリジンドメイン](DownloadDistValuesOrigin.md#DownloadDistValuesDomainName) フィールドに指定されたオリジンに転送します。オブジェクトのリクエストが、他のどのキャッシュ動作のパスパターンにも一致しない場合、CloudFront は、デフォルトのキャッシュ動作に指定された動作を適用します。
**重要**
パスパターンとその順序を慎重に定義します。適切に定義されていない場合、コンテンツへの意図されないアクセスがユーザーに与えられる場合があります。たとえば、リクエストが、2 つのキャッシュ動作のパスパターンに一致したと仮定します。最初のキャッシュ動作は署名付き URL を要求しませんが、2 番目のキャッシュ動作は署名付き URL を要求します。ユーザーは署名付き URL を使用せずにオブジェクトにアクセスできます。これは、CloudFront が、最初の一致に関連付けられたキャッシュ動作を処理するためです。
MediaPackage チャネルを使用する場合は、オリジンのエンドポイントタイプに対して定義するキャッシュ動作に特定のパスパターンを含める必要があります。たとえば、DASH エンドポイントの場合は、[**Path Pattern (パスパターン)**] に「`*.mpd`」と入力します。詳細と具体的な手順については、「[AWS Elemental MediaPackage でフォーマットされたライブ動画を配信する](live-streaming.md#live-streaming-with-mediapackage)」を参照してください。
指定されたパスは、指定されたディレクトリ内のあらゆるファイル、および指定されたディレクトリ以下のサブディレクトリ内のあらゆるファイルのリクエストに適用されます。CloudFront はパスパターンを評価する際にクエリ文字列や Cookie を考慮しません。たとえば、`images` ディレクトリに `product1` および `product2` サブディレクトリが含まれる場合、パスパターン `images/*.jpg` は、`images`、`images/product1`、および `images/product2` ディレクトリ内のあらゆる .jpg ファイルのリクエストに適用されます。異なるキャッシュ動作を、`images/product1` および `images` ディレクトリのファイルではなく `images/product2` ディレクトリのファイルに割り当てる場合、`images/product1` 用の独立したキャッシュ動作を作成し、そのキャッシュ動作を `images` ディレクトリ用のキャッシュ動作の上 (前) の位置に移動します。
パスパターンには、以下のワイルドカード文字を使用できます。
+ `*` は、0 個以上の文字に一致します。
+ `?` は、正確に 1 個の文字に一致します。
以下の例を使用して、ワイルドカード文字がどのように機能するかを示します。
****
| パスパターン | パスパターンに一致するファイル |
| --- | --- |
| `*.jpg` | すべての .jpg ファイル。 |
| `images/*.jpg` | `images` ディレクトリ内、および `images` ディレクトリ下のサブディレクトリ内のすべての .jpg ファイル。 |
| `a*.jpg` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/DownloadDistValuesCacheBehavior.html) |
| `a??.jpg` | ファイル名が `a` で始まり、ファイル名の後に正確に他の 2 文字が続くすべての .jpg ファイル (例: `ant.jpg`、`abe.jpg`)。 |
| `*.doc*` | ファイル名拡張子が `.doc` で始まるすべてのファイル (例: `.doc`、`.docx`、`.docm` ファイル)。この場合、パスパターン `*.doc?` を使用することはできません。このパスパターンは `.doc` ファイルのリクエストに適用されないためです。`?` ワイルドカード文字は正確に 1 個の文字を置き換えるものです。 |
パスパターンの最大長は 255 文字です。値には以下の文字を含めることができます。
+ A~Z、a~z
パスパターンでは大文字と小文字が区別されるので、パスパターン `*.jpg` はファイル `LOGO.JPG` には適用されません。
+ 0-9
+ \$1 - . \$1 \$1 / \$1 " ' @ : \$1
+ & (`&` として受け渡しされます)
### パスの正規化
CloudFront は [RFC 3986](https://datatracker.ietf.org/doc/html/rfc3986#section-6) に従って URI パスを正規化し、そのパスを正しいキャッシュ動作と照合します。キャッシュ動作が一致すると、CloudFront は未加工の URI パスをオリジンに送信します。一致しない場合、リクエストは代わりにデフォルトのキャッシュ動作と照合されます。
複数のスラッシュ (`//`) やピリオド (`..`) など、一部の文字は正規化されてパスから削除されます。これにより、CloudFront が使用する URL が意図したキャッシュ動作に合わせて変更される場合があります。
**Example 例**
キャッシュビヘイビアの `/a/b*` パスと `/a*` パスを指定します。
+ `/a/b?c=1` パスを送信するビューワーは、`/a/b*` キャッシュビヘイビアと一致します。
+ `/a/b/..?c=1` パスを送信するビューワーは、`/a*` キャッシュビヘイビアと一致します。
パスの正規化を回避するには、リクエストパスまたはキャッシュ動作のパスパターンを更新できます。
## オリジンまたはオリジングループ
この設定は、既存のディストリビューションのキャッシュ動作を作成または更新する場合のみ適用されます。
既存のオリジンまたはオリジングループの値を入力します。これは、リクエスト (https://example.com/logo.jpg など) がキャッシュ動作 (\$1.jpg) またはデフォルトキャッシュ動作 (\$1) のパスパターンに一致するときに、CloudFront にリクエストをルーティングさせる宛先となるオリジンまたはオリジングループを識別します。
## ビューワープロトコルポリシー
CloudFront エッジロケーションのコンテンツへのアクセスに使用するビューワーのプロトコルポリシーを選択します。
+ [**HTTP and HTTPS (HTTP と HTTPS)**]: ビューワーは両方のプロトコルを使用できます。
+ [**Redirect HTTP to HTTPS (HTTP を HTTPS にリダイレクト)**]: ビューワーは両方のプロトコルを使用できますが、HTTP リクエストは自動的に HTTPS リクエストにリダイレクトされます。
+ [**HTTPS Only (HTTPS のみ)**]: ビューワーは HTTPS を使用している場合にのみコンテンツにアクセスできます。
詳細については、「[ビューワーと CloudFront の間の通信に HTTPS を要求する](using-https-viewers-to-cloudfront.md)」を参照してください。
## 許可される HTTP メソッド
CloudFront が処理してオリジンに転送する HTTP メソッドを指定します。
+ [**GET, HEAD**]: CloudFront を使用して、オリジンからのオブジェクトの取得またはオブジェクトヘッダーの取得のみを行うことができます。
+ [**GET, HEAD, OPTIONS**]: CloudFront を使用して、オリジンからのオブジェクトの取得、オブジェクトヘッダーの取得、またはオリジンサーバーがサポートするオプションのリスト取得のみを行うことができます。
+ [**GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**]: CloudFront を使用して、オブジェクトの取得、追加、更新、削除、およびオブジェクトヘッダーの取得を行うことができます。また、ウェブフォームからのデータの送信など、その他の POST 操作も実行できます。
**注記**
ワークロードで gRPC を使用している場合は、**GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE** を選択する必要があります。gRPC ワークロードには `POST` メソッドが必要です。詳細については、「[CloudFront ディストリビューションでの gRPC の使用](distribution-using-grpc.md)」を参照してください。
CloudFront は、`GET` リクエスト、`HEAD` リクエスト、および (オプションで) `OPTIONS` リクエストに対する応答をキャッシュします。`OPTIONS` リクエストへのレスポンスは、`GET` および `HEAD` リクエストへのレスポンスとは別にキャッシュされます (`OPTIONS` メソッドは、`OPTIONS` リクエストの[キャッシュキー](understanding-the-cache-key.md)内にあります)。CloudFront はその他のメソッドを使用するリクエストへのレスポンスをキャッシュしません。
**重要**
[**GET, HEAD, OPTIONS**] または [**GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**] を選択した場合は、望ましくない操作がユーザーによって実行されないように、Amazon S3 バケットまたはカスタムオリジンへのアクセスを制限する必要が生じることがあります。以下の例は、アクセスを制限する方法を示しています。
**ディストリビューションのオリジンとして Amazon S3 を使用している場合:** Amazon S3 コンテンツへのアクセスを制限するための CloudFront オリジンアクセスコントロールを作成し、そのオリジンアクセスコントロールにアクセス許可を付与します。例えば、`PUT` を使用したいという*だけ*の理由で、上記のメソッドを受け入れて転送するように CloudFront を設定する場合は、Amazon S3 バケットのポリシーを `DELETE` リクエストを適切に処理するように引き続き設定する必要があります。詳しくは、「[Amazon S3 オリジンへのアクセスを制限する](private-content-restricting-access-to-s3.md)」を参照してください。
**カスタムオリジンを使用している場合:** すべてのメソッドを処理するようにオリジンサーバーを設定します。たとえば、`POST` を使用したいという*だけ*の理由で、上記のメソッドを受け入れて転送するように CloudFront を構成するという場合は、オリジンサーバーを `DELETE` リクエストを適切に処理するように引き続き構成する必要があります。
## フィールドレベル暗号化の設定
特定のデータフィールドにフィールドレベル暗号化を適用する場合は、ドロップダウンリストからフィールドレベル暗号化の設定を選択します。
詳細については、「[フィールドレベル暗号化を使用した機密データの保護](field-level-encryption.md)」を参照してください。
## キャッシュされる HTTP メソッド
ビューワーから `OPTIONS` リクエストが送信されたときに、オリジンからの応答を CloudFront でキャッシュするかどうかを指定します。CloudFront は、`GET` リクエストと `HEAD` リクエストへの応答を常にキャッシュします。
## HTTP/2 経由で gRPC リクエストを許可する
ディストリビューションで gRPC リクエストを許可するかどうかを指定します。gRPC を有効にするには、以下の設定を選択します。
+ **[[許可された HTTP メソッド]](#DownloadDistValuesAllowedHTTPMethods)** で、**GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE** メソッドを選択します。gRPC には `POST` メソッドが必要です。
+ `POST` メソッドの選択後に表示される gRPC チェックボックスをオンにします。
+ **[[サポートされる HTTP バージョン](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions)]** で、**[HTTP/2]** を選択します。
詳細については、「[CloudFront ディストリビューションでの gRPC の使用](distribution-using-grpc.md)」を参照してください。
## 選択されたリクエストヘッダーに基づいたキャッシュ
指定したヘッダーの値に基づいてオブジェクトを CloudFront でキャッシュするかどうかを指定します。
+ [**None (improves caching) (なし (キャッシュを改善))**] – CloudFront はヘッダー値に基づいたオブジェクトのキャッシュを行いません。
+ **[許可リスト]** – CloudFront は、指定されたヘッダー値のみに基づいてオブジェクトをキャッシュします。**[許可リストヘッダー]** を使って、CloudFront がキャッシュ対象とすりするヘッダーを選択します。
+ [**All (すべて)**] – CloudFront は、このキャッシュ動作に関連付けられているオブジェクトをキャッシュしません。その代わりに、CloudFront はすべてのリクエストをオリジンに送信します (Amazon S3 オリジンには推奨されません)。
選択したオプションにかかわらず、CloudFront は特定のヘッダーをオリジンに転送し、転送するヘッダーに基づいて特定のアクションを実行します。CloudFront がヘッダーの転送を処理する方法の詳細については、「[HTTP リクエストヘッダーと CloudFront の動作 (カスタムオリジンおよび Amazon S3 オリジン)](RequestAndResponseBehaviorCustomOrigin.md#request-custom-headers-behavior)」を参照してください。
リクエストヘッダーを使用した CloudFront でのキャッシュの設定方法の詳細については、「[リクエストヘッダーに基づいてコンテンツをキャッシュする](header-caching.md)」を参照してください。
## 許可リストヘッダー
これらの設定は、[**選択されたリクエストヘッダーに基づくキャッシュ**] で [**許可リスト**] を選択した場合にのみ適用されます。
オブジェクトをキャッシュする際に CloudFront が考慮するヘッダーを指定します。使用可能なヘッダーのリストからヘッダーを選択し、[**Add (追加)**] を選択します。カスタムヘッダーを転送するには、フィールドにそのヘッダーの名前を入力して [**Add Custom (カスタムの追加)**] を選択します。
キャッシュ動作ごとに許可リストに追加できるヘッダーの現在の最大数、またはクォータ (以前は制限と呼ばれていました) の引き上げを要求するヘッダーの最大数については、「[ヘッダーのクォータ](cloudfront-limits.md#limits-custom-headers)」を参照してください。
## オブジェクトキャッシュ
オリジンサーバーが `Cache-Control` ヘッダーをオブジェクトに追加して、オブジェクトを CloudFront キャッシュに保持する期間を制御している場合、`Cache-Control` の値を変更しないときは、[**Use Origin Cache Headers (オリジンキャッシュヘッダーの使用)**] を選択します。
`Cache-Control` ヘッダーに関係なくオブジェクトを CloudFront キャッシュに保持する最小および最大期間を指定するには、また、オブジェクトに `Cache-Control` ヘッダーがないときにオブジェクトを CloudFront キャッシュに保持するデフォルトの期間を指定するには、[**Customize (カスタマイズ)**] を選択します。次に、[**Minimum TTL (最小 TTL)**]、[**Default TTL (デフォルト TTL)**]、[**Maximum TTL (最大 TTL)**] の各フィールドで値を指定します。
詳細については、「[コンテンツをキャッシュに保持する期間 (有効期限) を管理する](Expiration.md)」を参照してください。
## 最小 TTL
オブジェクトに更新あったかどうかを照会するため、CloudFront が次のリクエストをオリジンに送信するまでの期間、オブジェクトを CloudFront キャッシュに保持しておきたい最小時間 (秒単位) を指定します。
**警告**
最小 TTL が 0 より大きい場合は、オリジンヘッダーに `Cache-Control: no-cache`、`no-store`、`private` ディレクティブが含まれていても、CloudFront はキャッシュポリシーの最小 TTL で指定された期間以上コンテンツをキャッシュします。
詳細については、「[コンテンツをキャッシュに保持する期間 (有効期限) を管理する](Expiration.md)」を参照してください。
## 最大 TTL
オブジェクトが更新されたかどうかを CloudFront がオリジンに照会するまでに、オブジェクトを CloudFront キャッシュに保持する最大期間 (秒) を指定します。[**Maximum TTL (最大 TTL)**] に指定する値は、オリジンが `Cache-Control max-age`、`Cache-Control s-maxage`、`Expires` などの HTTP ヘッダーをオブジェクトに追加するときにのみ適用されます。詳細については、「[コンテンツをキャッシュに保持する期間 (有効期限) を管理する](Expiration.md)」を参照してください。
[**Maximum TTL (最大 TTL)**] の値を指定するには、[**Object Caching (オブジェクトキャッシュ)**] 設定で [**Customize (カスタマイズ)**] オプションを選択する必要があります。
[**Maximum TTL (最大 TTL)**] のデフォルト値は 31,536,000 (秒)、つまり 1 年です。[**Minimum TTL (最小 TTL)**] または [**Default TTL (デフォルト TTL)**] の値を 31,536,000 (秒) より大きい値に変更する場合は、[**Maximum TTL (最大 TTL)**] のデフォルト値を [**Default TTL (デフォルト TTL)**] の値に変更します。
## デフォルト TTL
オブジェクトが更新されたかどうかを調べるために CloudFront がオリジンに別のリクエストを送るまでオブジェクトを CloudFront キャッシュに保持するデフォルト期間 (秒) を指定します。**[デフォルト TTL]** に指定する値が適用されるのは、オリジンが `Cache-Control max-age`、`Cache-Control s-maxage`、`Expires` などの HTTP ヘッダーをオブジェクトに追加*しない*場合のみです。詳細については、「[コンテンツをキャッシュに保持する期間 (有効期限) を管理する](Expiration.md)」を参照してください。
[**Default TTL (デフォルト TTL)**] の値を指定するには、[**Object Caching (オブジェクトキャッシュ)**] 設定で [**Customize (カスタマイズ)**] オプションを選択する必要があります。
[**Default TTL (デフォルト TTL)**] のデフォルト値は 86,400 (秒)、つまり 1 日です。[**Minimum TTL (最小 TTL)**] の値を 86,400 (秒) より大きい値に変更する場合は、[**Default TTL (デフォルト TTL)**] のデフォルト値を [**Minimum TTL (最小 TTL)**] の値に変更します。
## cookie の転送
**注記**
Amazon S3 オリジンの場合、このオプションは、ウェブサイトエンドポイントとして設定されているバケットにのみ適用されます。
CloudFront からオリジンサーバーに Cookie を転送するかどうかと、転送する場合にどれを転送するかを指定します。選択された Cookie (Cookie の許可リスト) のみを転送するように選択した場合、Cookie 名を **[許可リスト Cookie]** フィールドに入力します。[**All (すべて)**] を選択した場合、アプリケーションで使用されている Cookie の数に関係なく、CloudFront はすべての Cookie を転送します。
Amazon S3 は、Cookie を処理しません。オリジンに Cookie を転送すると、キャッシュ能力が低下します。リクエストを Amazon S3 オリジンに転送するキャッシュ動作の場合は、[**Forward Cookies (Cookie の転送)**] で [**None (なし)**] を選択します。
オリジンへの Cookie の転送の詳細については、「[Cookie に基づいてコンテンツをキャッシュする](Cookies.md)」を参照してください。
## 許可リスト Cookie
**注記**
Amazon S3 オリジンの場合、このオプションは、ウェブサイトエンドポイントとして設定されているバケットにのみ適用されます。
**[Cookie を転送する]** リストで **[許可リスト]** を選択した場合は、このキャッシュ動作に応じて CloudFront がオリジンサーバーに転送する Cookie の名前を **[許可リスト Cookie]** フィールドに入力します。各 Cookie 名を新しい行に入力します。
以下のワイルドカード文字を使用して Cookie 名を指定することができます。
+ **\$1** は、Cookie 名に含まれる 0 個以上の文字に一致します。
+ **?** は、Cookie 名に含まれる 1 文字に一致します。
たとえば、オブジェクトに対するビューワーリクエストに、次の名前の Cookie が含まれているとします。
`userid_member-number`
*member-number* は、各ユーザーに割り当てられた一意の値です。各メンバーについて、個別バージョンのオブジェクトを CloudFront でキャッシュするものとします。そのためにすべての Cookie をオリジンに転送することもできますが、ビューワーリクエストには、CloudFront でキャッシュすることが望ましくない Cookie も含まれています。これに代わる方法として、Cookie 名に以下の値を指定できます。その場合、CloudFront は `userid_` から始まるすべての Cookie をオリジンに転送します。
`userid_*`
キャッシュ動作ごとに許可リストに追加できる Cookie 名の現在の最大数、またはクォータの引き上げ (以前は制限と呼ばれていました) を要求する Cookie 名の最大数については、「[Cookie のクォータ (従来のキャッシュ設定)](cloudfront-limits.md#limits-allowlisted-cookies)」を参照してください。
## クエリ文字列の転送とキャッシュ
CloudFront は、クエリ文字列パラメータの値に基づいて、コンテンツのさまざまなバージョンをキャッシュできます。次のいずれかのオプションを選択します。
**None (Improves Caching)**
オリジンがクエリ文字列パラメータの値に関係なくオブジェクトの同じバージョンを返す場合、このオプションを選択します。これにより、CloudFront がキャッシュからリクエストを処理できる可能性が高くなり、パフォーマンスが向上し、オリジンの負荷が低下します。
**すべて転送、許可リストに基づいてキャッシュ**
オリジンサーバーが 1 つ以上のクエリ文字列パラメータに基づいてオブジェクトの異なるバージョンを返す場合、このオプションを選択します。次に、キャッシュ条件として CloudFront が使用するパラメータを [[クエリ文字列の許可リスト](#DownloadDistValuesQueryStringAllowlist)] フィールドに指定します。
**Forward all, cache based on all**
オリジンサーバーがすべてのクエリ文字列パラメータについてオブジェクトの異なるバージョンを返す場合、このオプションを選択します。
パフォーマンスを向上する方法を含む、クエリ文字列パラメータに基づくキャッシュについて詳しくは、「[クエリ文字列パラメータに基づいてコンテンツをキャッシュする](QueryStringParameters.md)」を参照してください。
## クエリ文字列の許可リスト
この設定は、[クエリ文字列の転送とキャッシュ](#DownloadDistValuesQueryString) の [**すべて転送、許可リストに基づいてキャッシュ**] を選択した場合にのみ適用されます。CloudFront によってキャッシュの基準として使用されるクエリ文字列パラメータを指定できます。
## スムーズストリーミング
Microsoft Smooth Streaming 形式のメディアファイルを配信するが、IIS サーバーがない場合は、[**Yes (はい)**] を選択します。
Microsoft Smooth Streaming 形式のメディアファイルを配信するためのオリジンとして使用する Microsoft IIS サーバーがある場合、または Smooth Streaming メディアファイルを配信しない場合は、[**No (いいえ)**] を選択します。
**注記**
[**Yes (はい)**] を指定した場合でも、他のコンテンツが [**Path Pattern (パスパターン)**] の値と一致すれば、このキャッシュ動作を使用してそのコンテンツを配信できます。
詳細については、「[Microsoft Smooth Streaming のビデオオンデマンドを設定する](on-demand-video.md#on-demand-streaming-smooth)」を参照してください。
## ビューワーのアクセス制限 (署名付き URL または署名付き cookie の使用)
このキャッシュ動作の `PathPattern` に一致するオブジェクトのリクエストでパブリック URL を使用する場合、[**No (いいえ)**] を選択します。
このキャッシュ動作の `PathPattern` に一致するオブジェクトのリクエストで署名付き URL を使用する場合、[**Yes (はい)**] を選択します。次に、署名付き URL の作成に使用する AWS アカウントを指定します。これらのアカウントは、信頼された署名者と呼ばれるものです。
信頼された署名者の詳細については、「[署名付き URL と署名付き Cookie を作成できる署名者を指定する](private-content-trusted-signers.md)」を参照してください。
## 信頼された署名者
この設定は、[**ビューワーのアクセスを制限 (署名付き URL または署名付き Cookie の使用)**] で [**はい**] を選択した場合にのみ適用されます。
このキャッシュ動作の信頼された署名者として使用する AWS アカウントを選択します。
+ **Self:** 信頼された署名者として AWS マネジメントコンソール へのサインインに現在使用しているアカウントを使用します。現在 IAM ユーザーとしてサインインしている場合は、関連付けられた AWS アカウントが信頼された署名者として追加されます。
+ **[アカウントの指定]:** 信頼された署名者のアカウント番号を **[AWS アカウント番号]** フィールドに入力します。
署名付き URL を作成するには、AWS アカウントに少なくとも 1 つのアクティブな CloudFront キーペアが必要です。
**重要**
コンテンツの配信で既に使用されているディストリビューションを更新する場合は、オブジェクトの署名付き URL の生成を開始する準備ができたときにのみ、信頼された署名者を追加します。信頼された署名者がディストリビューションに追加されると、ユーザーは、このキャッシュ動作の `PathPattern` に一致するオブジェクトへのアクセスに、署名付き URL を使用する必要があります。
## AWS アカウント番号
この設定は、[**信頼された署名者**] で [**アカウントを指定**] を選択した場合にのみ適用されます。
現在のアカウントに加えて、または現在のアカウントの代わりに、AWS アカウントを使用して署名付き URL を作成する場合、このフィールドの行ごとに 1 つの AWS アカウント番号を入力します。次の点に注意してください。
+ 指定するアカウントに少なくとも 1 つのアクティブな CloudFront キーペアが必要です。詳細については、「[署名者のキーペアを作成する](private-content-trusted-signers.md#private-content-creating-cloudfront-key-pairs)」を参照してください。
+ IAM ユーザーの CloudFront キーペアを作成できないため、信頼された署名者として IAM ユーザーを使用することはできません。
+ アカウントの AWS アカウント 番号を取得する方法については、「AWS アカウント管理リファレンスガイド」の「[AWS アカウント ID を表示する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html)」を参照してください。**
+ 現在のアカウントのアカウント番号を入力した場合、CloudFront は自動的に **[自己]** のチェックボックスをオンにして、**[AWS アカウント番号]** リストからそのアカウント番号を削除します。
## オブジェクトを自動的に圧縮する
ビューワーが圧縮コンテンツをサポートしている場合に、特定のタイプのファイルを CloudFront で自動的に圧縮するには、[**Yes (はい)**] を選択します。CloudFront がコンテンツを圧縮すると、ファイルが小さくなるため、ダウンロードが速くなります。また、ユーザーに対するウェブページのレンダリングが高速化されます。詳細については、「[圧縮ファイルを供給する](ServingCompressedFiles.md)」を参照してください。
## CloudFront イベント
この設定は、**Lambda 関数の関連付け**に適用されます。
次の CloudFront イベントが 1 つ以上発生したときは、Lambda 関数を実行することを選択できます。
+ CloudFront がビューワーからリクエストを受信したとき (ビューワーリクエスト)
+ CloudFront がリクエストをオリジンに転送する前 (オリジンリクエスト)
+ CloudFront がオリジンからレスポンスを受信したとき (オリジンレスポンス)
+ CloudFront がビューワーにレスポンスを返す前 (ビューワーレスポンス)
詳細については、「[イベントを選択して関数をトリガーする](lambda-how-to-choose-event.md)」を参照してください。
## Lambda 関数の ARN
この設定は、**Lambda 関数の関連付け**に適用されます。
トリガーを追加する Lambda 関数の Amazon リソースネーム (ARN) を指定します。関数の ARN を取得する方法については、「[CloudFront コンソールを使ってトリガーを追加する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-add-triggers.html#lambda-edge-add-triggers-cf-console)」の手順のステップ 1 を参照してください。
## ボディを含める
この設定は、**Lambda 関数の関連付け**に適用されます。
詳細については、「[ボディを含める](lambda-generating-http-responses.md#lambda-include-body-access)」を参照してください。
# ディストリビューションの設定
以下の値はディストリビューション全体に適用されます。
**Topics**
+ [価格クラス](#DownloadDistValuesPriceClass)
+ [AWS WAF ウェブ ACL](#DownloadDistValuesWAFWebACL)
+ [代替ドメイン名 (CNAME)](#DownloadDistValuesCNAME)
+ [SSL 証明書](#DownloadDistValuesSSLCertificate)
+ [独自 SSL クライアントのサポート](#DownloadDistValuesClientsSupported)
+ [セキュリティポリシー (SSL/TLS の最小バージョン)](#DownloadDistValues-security-policy)
+ [サポートされる HTTP バージョン](#DownloadDistValuesSupportedHTTPVersions)
+ [デフォルトのルートオブジェクト](#DownloadDistValuesDefaultRootObject)
+ [標準ログ記録](#DownloadDistValuesLoggingOnOff)
+ [接続ログ](#DownloadDistValuesConnectionLogs)
+ [ログのプレフィックス](#DownloadDistValuesLogPrefix)
+ [cookie のログ作成](#DownloadDistValuesCookieLogging)
+ [IPv6 を有効にする (ビューワーリクエスト)](#DownloadDistValuesEnableIPv6)
+ [相互認証](#DownloadDistValuesMutualAuthentication)
+ [カスタムオリジン (オリジンリクエスト) の IPv6 を有効にする](#DownloadDistValuesEnableIPv6-origin)
+ [Comment](#DownloadDistValuesComment)
+ [ディストリビューションの状態](#DownloadDistValuesEnabled)
## 価格クラス
CloudFront サービスに支払う上限価格に対応する価格クラスを選択します。デフォルトでは、CloudFront は、すべての CloudFront リージョンのエッジロケーションからオブジェクトを供給します。
料金クラスと、選択した料金クラスがディストリビューションの CloudFront パフォーマンスに与える影響の詳細については、「[CloudFront の料金](https://aws.amazon.com/cloudfront/pricing/)」を参照してください。
## AWS WAF ウェブ ACL
CloudFront ディストリビューションは、ウェブアプリケーションと API を保護してリクエストがサーバーに到達する前にブロックできるようにするウェブアプリケーションファイアウォールである [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf) で保護できます。CloudFront ディストリビューションを作成または編集するときに、[ディストリビューションで AWS WAF を有効にする](WAF-one-click.md)ことができます。
オプションで、後で AWS WAF コンソール ([https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)) から、アプリケーションに固有の他の脅威に対する追加のセキュリティ保護を設定できます。
AWS WAF の詳細については、[AWS WAF 開発者ガイド](https://docs.aws.amazon.com/waf/latest/developerguide/)を参照してください。
## 代替ドメイン名 (CNAME)
オプション。ディストリビューションを作成するときに CloudFront が割り当てるドメイン名ではなく、オブジェクトの URL に使用する 1 つ以上のドメイン名を指定します。ドメイン名を所有しているか、あるいはこのドメイン名を使用する許可があることが必要です。この許可は、SSL/TLS 証明書を追加することで検証します。
たとえば、次のオブジェクトの URL があります。
`/images/image.jpg`
この URL を次のように表示します。
`https://www.example.com/images/image.jpg`
次のようには指定しません。
`https://d111111abcdef8.cloudfront.net/images/image.jpg`
この場合、`www.example.com` の CNAME を追加します。
**重要**
ディストリビューションに `www.example.com` の CNAME を追加する場合、さらに以下を実行する必要があります。
DNS サービスを使用して CNAME レコードを作成 (または更新) して、`www.example.com` のクエリを `d111111abcdef8.cloudfront.net` にルーティングします。
ディストリビューションに追加するドメイン名 (CNAME) が対象の信頼される認証機関 (CA) から証明書を CloudFront に追加して、このドメイン名を使用する認可を検証します。
ドメインの DNS サービスプロバイダーがある CNAME レコードを作成する許可が必要です。通常、これはドメインを所有している、またはドメイン所有者向けにアプリケーションを開発していることを示します。
ディストリビューションに対して作成できる代替ドメイン名の現在の最大数、またはクォータの引き上げを要求する代替ドメイン名の最大数については、「[ディストリビューションの一般的なクォータ](cloudfront-limits.md#limits-web-distributions)」を参照してください。
代替ドメイン名の詳細については、「[代替ドメイン名 (CNAME) を追加することによって、カスタム URL を使用する](CNAMEs.md)」を参照してください。CloudFront URL の詳細については、「[CloudFront でファイルの URL 形式をカスタマイズする](LinkFormat.md)」を参照してください。
## SSL 証明書
ディストリビューションで使用する代替ドメイン名を指定した場合は、[**Custom SSL Certificate (カスタム SSL 証明書)**] を選択してこの代替ドメイン名を使用する許可を検証し、これを対象とする証明書を選択します。ビューワーが HTTPS を使用してオブジェクトにアクセスするようにする場合は、それをサポートしている設定を選択します。
+ **デフォルトの CloudFront 証明書 (\$1.cloudfront.net)** – オブジェクトの URL で `https://d111111abcdef8.cloudfront.net/image1.jpg` のような CloudFront ドメイン名を使用する場合は、このオプションを選択します。
+ **独自 SSL 証明書** – オブジェクトの URL で独自のドメイン名を代替ドメイン名として使用する場合 (`https://example.com/image1.jpg` など)、このオプションを選択します。次に、代替ドメイン名を対象とする証明書を使用するために選択します。証明書のリストには、次のいずれかを含めることができます。
+ から提供される証明書AWS Certificate Manager
+ サードパーティー認証機関から購入して ACM にアップロードした証明書
+ サードパーティー認証機関から購入して IAM 証明書ストアにアップロードした証明書
この設定を選択した場合、オブジェクト URL でのみ代替ドメイン名を使用することをお勧めします (https://example.com/logo.jpg)。CloudFront ディストリビューションドメイン名 (https://d111111abcdef8.cloudfront.net/logo.jpg) を使用し、クライアントが SNI をサポートしない古いビューワーを使用している場合、ビューワーが応答する方法は [**Clients Supported (サポートされるクライアント)**] で選択した値に応じて異なります。
+ [**All Clients (すべてのクライアント)**]: CloudFront ドメイン名が SSL/TLS 証明書のドメイン名と一致しないため、ビューワーには警告が表示されます。
+ [**Only Clients that Support Server Name Indication (SNI) (Server Name Indication (SNI) をサポートするクライアントのみ)**]: CloudFront はオブジェクトを返さないでビューワーとの接続を中断します。
## 独自 SSL クライアントのサポート
[**SSL 証明書**] で [**カスタム SSL 証明書 (example.com)**] を選択した場合にのみ適用されます。ディストリビューションに 1 つ以上の代替ドメイン名と独自 SSL 証明書を指定した場合は、CloudFront が HTTPS リクエストを処理する方法を選択します。
+ [**Clients that Support Server Name Indication (SNI) - (Recommended) (Server Name Indication (SNI) をサポートするクライアント - (推奨))**] – この設定では、ほとんどすべての最新のウェブブラウザとクライアントは、SNI をサポートしているため、ディストリビューションに接続できます。ただし、一部のビューワーは SNI をサポートしていない古いウェブブラウザやクライアントを使用している可能性があります。つまり、一部のビューワーはディストリビューションに接続できません。
CloudFront API を使用してこの設定を適用するには、`sni-only` フィールドで `SSLSupportMethod` を指定します。CloudFormation では、このフィールドの名前は `SslSupportMethod` です (大文字と小文字の変更に注意してください)。
+ [**Legacy Clients Support (レガシークライアントサポート)**] – この設定では、SNI をサポートしていない古いウェブブラウザとクライアントはディストリビューションに接続できます。ただし、この設定では、追加の月額料金が発生します。正確な価格については、[[Amazon CloudFront Pricing (Amazon CloudFront の料金)](https://aws.amazon.com/cloudfront/pricing/)] ページに移動し、[**Dedicated IP custom SSL (専用 IP 独自 SSL)**] のページを検索します。
CloudFront API を使用してこの設定を適用するには、`vip` フィールドで `SSLSupportMethod` を指定します。CloudFormation では、このフィールドの名前は `SslSupportMethod` です (大文字と小文字の変更に注意してください)。
詳細については、「[CloudFront で HTTPS リクエストを処理する方法を選択する](cnames-https-dedicated-ip-or-sni.md)」を参照してください。
## セキュリティポリシー (SSL/TLS の最小バージョン)
CloudFront がビューワー (クライアント) との HTTPS 接続に使用するセキュリティポリシーを指定します。セキュリティポリシーは 2 通りの設定を決定します。
+ CloudFront でビューワーとの通信に使用する最小の SSL/TLS プロトコル。
+ ビューワーに返すコンテンツを暗号化するために CloudFront で使用できる暗号。
セキュリティポリシー (各ポリシーに含まれるプロトコルや暗号など) の詳細については、「[ビューワーと CloudFront との間でサポートされているプロトコルと暗号](secure-connections-supported-viewer-protocols-ciphers.md)」を参照してください。
利用可能なセキュリティポリシーは、[**SSL Certificate (SSL 証明書)**] および [**Custom SSL Client Support (独自 SSL クライアントサポート)**] に指定する値によって異なります (CloudFront API では `CloudFrontDefaultCertificate` および `SSLSupportMethod` が該当します)。
+ [**SSL Certificate (SSL 証明書)**] が [**Default CloudFront Certificate (デフォルトの CloudFront 証明書) (\$1.cloudfront.net)**] である場合 (API では `CloudFrontDefaultCertificate` が `true` である場合)、CloudFront はセキュリティポリシーを自動的に TLSv1 に設定します。
+ **[SSL 証明書]** が **[カスタム SSL 証明書 (example.com)]** で、*かつ* **[カスタム SSL クライアントのサポート]** が **[Server Name Indication (SNI) をサポートするクライアント) - (推奨)]**、(つまり API で `CloudFrontDefaultCertificate` が `false` *かつ* `SSLSupportMethod` が `sni-only` である場合) 次のセキュリティポリシーから選択できます。
+ TLSv1.3\$12025
+ TLSv1.2\$12025
+ TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016
+ TLSv1\$12016
+ TLSv1
+ **[SSL 証明書]** が **[カスタム SSL 証明書 (example.com)]** で、*かつ* **[カスタム SSL クライアントサポート]** が **[レガシークライアントサポート]**、(つまり API で `CloudFrontDefaultCertificate` が `false` *かつ* `SSLSupportMethod` が `vip` である場合) 次のセキュリティポリシーから選択できます。
+ TLSv1
+ SSLv3
この設定では、TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016、および TLSv1\$12016 の各セキュリティポリシーを CloudFront コンソールまたは API で使用することはできません。これらのセキュリティポリシーのいずれかを使用する場合は、以下のオプションを指定できます。
+ ディストリビューションが専用 IP アドレスを使用したレガシークライアントサポートを必要としているかどうかを評価します。ビューワーが [[サーバー名表示 (SNI)]](https://en.wikipedia.org/wiki/Server_Name_Indication) をサポートしている場合は、ディストリビューションの **[カスタム SSL クライアントのサポート]** の設定を **[サーバー名表示 (SNI) をサポートするクライアント]** に更新 (API で `SSLSupportMethod` を `sni-only` に設定する) することをお勧めします。これにより、利用可能な TLS セキュリティポリシーのいずれでも使用できます。また、CloudFront の料金も削減できます。
+ 専用 IP アドレスを使用するレガシークライアントのサポートを維持する必要がある場合は、[AWS サポートセンター](https://console.aws.amazon.com/support/home)でケースを作成することによって、他の TLS セキュリティポリシー (TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016、または TLSv1\$12016) のいずれかをリクエストできます。
**注記**
AWS Support に連絡してこの変更をリクエストする前に、以下の点を考慮してください。
これらのセキュリティポリシー (TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016、または TLSv1\$12016) のいずれかをレガシークライアントサポートディストリビューションに追加すると、セキュリティポリシーが AWS アカウントの*すべての*レガシークライアントサポートディストリビューションに対する SNI 以外の*すべての*ビューワーリクエストに適用されます。ただし、ビューワーが、レガシークライアントサポートを使用するディストリビューションに SNI リクエストを送信した場合は、そのディストリビューションのセキュリティポリシーが適用されます。AWS アカウントの*すべての*レガシークライアントサポートディストリビューションに送信された*すべての*ビューワーリクエストに望ましいセキュリティポリシーが適用されることを確実にするには、望ましいセキュリティポリシーをディストリビューションごとに個別に追加します。
定義上、新しいセキュリティポリシーは、古いセキュリティポリシーと同じ暗号やプロトコルをサポートしません。たとえば、ディストリビューションのセキュリティポリシーを TLSv1 から TLSv1.1\$12016 にアップグレードすることを選択した場合、そのディストリビューションは DES-CBC3-SHA 暗号をサポートしなくなります。各セキュリティポリシーがサポートする暗号とプロトコルの詳細については、「[ビューワーと CloudFront との間でサポートされているプロトコルと暗号](secure-connections-supported-viewer-protocols-ciphers.md)」を参照してください。
## サポートされる HTTP バージョン
ビューワーが CloudFront と通信するときにディストリビューションでサポートする HTTP バージョンを選択します。
ビューワーと CloudFront が HTTP/2 を使用するには、ビューワーが TLSv1.2 以降と Server Name Indication (SNI) をサポートしている必要があります。
ビューワーと CloudFront が HTTP/3 を使用するには、ビューワーが TLSv1.2 以降と Server Name Indication (SNI) をサポートしている必要があります。CloudFront は、ビューワーが接続を失わずにネットワークを切り替えることができるように、HTTP/3 接続の移行をサポートしています。接続の移行の詳細については、RFC 9000 で「[Connection Migration](https://www.rfc-editor.org/rfc/rfc9000.html#name-connection-migration)」を参照してください。
**注記**
サポートされる TLSv1.3 暗号の詳細については、「[ビューワーと CloudFront との間でサポートされているプロトコルと暗号](secure-connections-supported-viewer-protocols-ciphers.md)」を参照してください。
**注記**
Amazon Route 53 を使用する場合は、クライアントがサポートしている場合、HTTPS レコードを使用して DNS ルックアップの一部としてプロトコルネゴシエーションを許可できます。詳細については、「[Create alias resource record set](CreatingCNAME.md#alternate-domain-https)」を参照してください。
## デフォルトのルートオブジェクト
オプション。ビューワーがディストリビューション内のオブジェクト (`index.html`) ではなくディストリビューションのルート URL (`https://www.example.com/`) をリクエストするときに、CloudFront がリクエストする、オリジンからのオブジェクト (`https://www.example.com/product-description.html` など)。デフォルトのルートオブジェクトを指定すると、ディストリビューションのコンテンツが公開されなくなります。
名前の最大長は 255 文字です。名前には以下の文字を含めることができます。
+ A ~ Z、a ~ z
+ 0-9
+ \$1 - . \$1 \$1 / \$1 " '
+ & (`&` として受け渡しされます)
デフォルトのルートオブジェクトを指定する場合、オブジェクト名のみを指定します (例: `index.html`)。オブジェクト名の前に `/` を追加しないでください。
詳細については、「[デフォルトのルートオブジェクトを指定する](DefaultRootObject.md)」を参照してください。
## 標準ログ記録
CloudFront でオブジェクトへの各リクエストに関する情報をログに記録し、ログファイルを保存するかどうかを指定します。ログ作成はいつでも有効または無効にできます。ログ記録を有効にしても追加料金はかかりませんが、ファイルの保存とアクセスについては料金が発生する場合があります。ログの削除はいつでも行うことができます。
CloudFront は、以下の標準ログ記録オプションをサポートしています。
+ [標準ログ記録 (v2)](standard-logging.md) – Amazon CloudWatch Logs、Amazon Data Firehose、Amazon Simple Storage Service (Amazon S3) などの配信先にログを送信できます。
+ [標準ログ記録 (レガシー)](AccessLogs.md) – Amazon S3 バケットにのみログを送信できます。
## 接続ログ
ディストリビューションの[相互認証](#DownloadDistValuesMutualAuthentication)を有効にすると、CloudFront はディストリビューションに送信されたリクエストに関する属性をキャプチャする接続ログを提供します。接続ログには、クライアントの IP アドレスとポート、クライアント証明書情報、接続結果、使用されている TLS 暗号などの情報が含まれています。これらの接続ログは、リクエストパターンやその他の傾向の確認に使用できます。
接続ログの詳細については、「[接続ログを使用したオブザーバビリティ](connection-logs.md)」を参照してください。
## ログのプレフィックス
(オプション) 標準ログ記録 (レガシー) を有効にする場合は、このディストリビューションのアクセスログファイル名の先頭に CloudFront で追加する文字列 (ある場合) を指定します (例: `exampleprefix/`)。末尾のスラッシュ (/) はオプションですが、ログファイルの参照を容易にするためにこれを使用することをお勧めします。詳細については、「[標準ログ記録 (レガシー) を設定する](standard-logging-legacy-s3.md)」を参照してください。
## cookie のログ作成
CloudFront で Cookie をアクセスログに含めるようにするには、[**On (オン)**] を選択します。Cookie をログに含めるように選択した場合、CloudFront はすべての Cookie をログに記録します。このディストリビューションのキャッシュ動作がどのように構成されているか (オリジンにすべての Cookie を転送するか、Cookie を転送しないか、指定された一連の Coolie を転送するか) は関係ありません。
Amazon S3 は Cookie を処理しません。したがって、ディストリビューションに Amazon EC2 または他のカスタムオリジンも含まれていない限り、[**Cookie Logging (Cookie ログ記録)**] の値に [**Off (オフ)**] を選択することをお勧めします。
Cookie の詳細については、「[Cookie に基づいてコンテンツをキャッシュする](Cookies.md)」を参照してください。
## IPv6 を有効にする (ビューワーリクエスト)
CloudFront が IPv4 および IPv6 IP アドレスからのビューワーリクエストに応答するには、**[IPv6 を有効にする]** を選択します。詳細については、「[CloudFront ディストリビューションの IPv6 を有効にする](cloudfront-enable-ipv6.md)」を参照してください。
## 相互認証
オプション。CloudFront ディストリビューションの相互認証を有効にできます。詳細については、「[CloudFront による相互 TLS 認証 (Viewer mTLS)オリジンの相互 TLS と CloudFront](mtls-authentication.md)」を参照してください。
## カスタムオリジン (オリジンリクエスト) の IPv6 を有効にする
カスタムオリジン (Amazon S3 および VPC オリジンを除く) を使用する場合、ディストリビューションのオリジン設定をカスタマイズして、IPv4 または IPv6 アドレスを使用して CloudFront がオリジンに接続する方法を選択できます。詳細については、「[CloudFront ディストリビューションの IPv6 を有効にする](cloudfront-enable-ipv6.md)」を参照してください。
## Comment
(オプション)。ディストリビューションを作成するときに、最大で 128 文字のコメントを含めることができます。コメントの更新はいつでも行うことができます。
## ディストリビューションの状態
ディストリビューションがデプロイされた後にディストリビューションを有効または無効のどちらにするかを示します。
+ *Enabled (有効)*: ディストリビューションが完全にデプロイされると、ディストリビューションのドメイン名を使用するリンクをデプロイでき、ユーザーはコンテンツを取得できます。ディストリビューションを有効にすると、CloudFront はそのディストリビューションに関連付けられたドメイン名を使用するコンテンツへのエンドユーザーリクエストを受け付けて処理します。
CloudFront ディストリビューションの作成、変更、削除を行った場合、その変更が CloudFront データベースに伝達されるまで時間がかかります。変更直後に出したディストリビューションに関する情報のリクエストには、変更が反映されていない可能性があります。通常、伝達は数分以内で完了しますが、システムの高負荷またはネットワークパーティションによっては、それより時間がかかる可能性があります。
+ *Disabled (無効)*: ディストリビューションがデプロイされていて、使用準備ができていても、ユーザーはディストリビューションを使用できません。ディストリビューションを無効にするときはいつでも、そのディストリビューションに関連付けられたドメイン名を使用するコンテンツへのエンドユーザーリクエストを CloudFront は受け付けません。(ディストリビューションの構成を更新することで) ディストリビューションを無効から有効に切り替えるまで、誰もディストリビューションを使用できません。
ディストリビューションの無効と有効は何度でも切り替えることができます。ディストリビューションの構成を更新するプロセスに従います。詳細については、「[ディストリビューションを更新する](HowToUpdateDistribution.md)」を参照してください。
# カスタムエラーページとエラーキャッシュ
Amazon S3 またはカスタムオリジンが HTTP 4xx または 5xx ステータスコードを CloudFront に返す場合、CloudFront にオブジェクトをビューワーに返させることができます (例: HTML ファイル)。オリジンまたはカスタムエラーページからのエラーレスポンスを CloudFront エッジキャッシュにキャッシングする時間を指定することもできます。詳細については、「[HTTP ステータスコード別のカスタムエラーページを作成する](creating-custom-error-pages.md)」を参照してください。
**注記**
以下の値は [Create Distribution] ウィザードに含まれていないため、ディストリビューションを更新するときにのみ、カスタムエラーページを構成することができます。
**Topics**
+ [HTTP エラーコード](#DownloadDistValuesErrorCode)
+ [Response page path (レスポンスページのパス)](#DownloadDistValuesResponsePagePath)
+ [HTTP レスポンスコード](#DownloadDistValuesResponseCode)
+ [Error caching minimum TTL (seconds) (エラーキャッシュ最小 TTL (秒))](#DownloadDistValuesErrorCachingMinTTL)
## HTTP エラーコード
CloudFront がカスタムエラーページを返す HTTP ステータスコード。CloudFront がキャッシュする HTTP ステータスコードの全部または一部に対応するカスタムエラーページを返すように、または全く返さないように、CloudFront を構成できます。
## Response page path (レスポンスページのパス)
[**Error Code (エラーコード)**] で指定した HTTP ステータスコード (403 など) がオリジンから返されたときに、CloudFront がビューワーに返すカスタムエラーページのパス (例: `/4xx-errors/403-forbidden.html`)。オブジェクトとカスタムエラーページを別の場所に保存する場合は、次の状況に該当するときに適用されるキャッシュ動作をディストリビューションに組み込む必要があります。
+ [**Path Pattern (パスパターン)**] の値が、カスタムエラーメッセージのパスと一致している。たとえば、4xx エラーのカスタムエラーページを `/4xx-errors` というディレクトリの Amazon S3 バケットに保存したとします。このとき、パスパターンによってカスタムエラーページのリクエストのルーティング先である場所に対するキャッシュ動作を、ディストリビューションに組み込む必要があります (例: **/4xx-errors/\$1**)。
+ [**Origin (オリジン)**] の値は、カスタムエラーページが含まれているオリジンの [**Origin ID (オリジン ID)**] の値を指定しています。
## HTTP レスポンスコード
CloudFront からカスタムエラーページとともにビューワーに返す HTTP ステータスコード。
## Error caching minimum TTL (seconds) (エラーキャッシュ最小 TTL (秒))
CloudFront がオリジンサーバーからのエラーレスポンスをキャッシュする最小時間。
# 地理的制限
特定の国のユーザーにコンテンツへのアクセスを禁止する必要がある場合は、CloudFront ディストリビューションで **[許可リスト]** または **[ブロックリスト]** を設定できます。地理的制限の設定には追加料金が発生しません。詳細については、「[コンテンツの地理的配分を制限する](georestrictions.md)」を参照してください。