# マネージドレスポンスヘッダーポリシーを使用する
<a name="using-managed-response-headers-policies"></a>

レスポンスヘッダーポリシーを使用して、Amazon CloudFront からビューワーに送信するレスポンスで削除または追加する HTTP ヘッダーを指定できます。レスポンスヘッダーポリシーおよびそれらを使用する理由の詳細については、「[ポリシーを使用して CloudFront レスポンスの HTTP ヘッダーを追加または削除する](modifying-response-headers.md)」を参照してください。

CloudFront で、CloudFront ディストリビューションのキャッシュ動作にアタッチできるマネージドレスポンスヘッダーポリシーを提供します。マネージドレスポンスヘッダーポリシーを使用すると、独自のポリシーを記述したり、維持したりする必要がありません。このマネージドポリシーには、一般的ユースケース用の HTTP レスポンスヘッダーのセットが含まれています。

マネージドレスポンスヘッダーポリシーを使用するには、ディストリビューションのキャッシュ動作にそのポリシーをアタッチします。このプロセスは、カスタムレスポンスヘッダーポリシーを作成するときと同じです。ただし、新しいポリシーを作成する代わりに、マネージドポリシーの 1 つをアタッチします。ポリシーをアタッチするには、名前 (コンソールの場合) または ID (CloudFormation、AWS CLI、または AWS CLI SDK の場合) を使用します。名前と ID は、次のセクションに記載されています。

詳細については、「[レスポンスヘッダーポリシーの作成](creating-response-headers-policies.md)」を参照してください。

次のトピックでは、使用可能なマネージドレスポンスヘッダーポリシーについて説明します。

**Topics**
+ [CORS-and-SecurityHeadersPolicy](#managed-response-headers-policies-cors-security)
+ [CORS-With-Preflight](#managed-response-headers-policies-cors-preflight)
+ [CORS-with-preflight-and-SecurityHeadersPolicy](#managed-response-headers-policies-cors-preflight-security)
+ [SecurityHeadersPolicy](#managed-response-headers-policies-security)
+ [SimpleCORS](#managed-response-headers-policies-cors)

## CORS-and-SecurityHeadersPolicy
<a name="managed-response-headers-policies-cors-security"></a>

[このポリシーを CloudFront コンソールで見る](https://console.aws.amazon.com/cloudfront/v4/home#/policies/responseHeaders/e61eb60c-9c35-4d20-a928-2b84e02af89c)

このマネージドポリシーを使用して、オリジンからの単一の CORS リクエストが許可されます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、[SimpleCORS](#managed-response-headers-policies-cors) ポリシーおよび [SecurityHeadersPolicy](#managed-response-headers-policies-security) ポリシーを 1 つにまとめます。

CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

`e61eb60c-9c35-4d20-a928-2b84e02af89c`


**ポリシー設定**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/using-managed-response-headers-policies.html)

## CORS-With-Preflight
<a name="managed-response-headers-policies-cors-preflight"></a>

[このポリシーを CloudFront コンソールで見る](https://console.aws.amazon.com/cloudfront/v4/home#/policies/responseHeaders/5cc3b908-e619-4b99-88e5-2cf7f45965bd)

このマネージドポリシーを使用して、プリフライトリクエストを含むオリジンからの CORS リクエストが許可されます。プリフライトリクエスト (HTTP の `OPTIONS` メソッドを使用) の場合、CloudFront は次の 3 つのヘッダーすべてをレスポンスに追加します。単一の CORS リクエストの場合、CloudFront は `Access-Control-Allow-Origin` ヘッダーのみ追加します。

CloudFront がオリジンから受信するレスポンスにこれらのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

`5cc3b908-e619-4b99-88e5-2cf7f45965bd`


**ポリシー設定**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/using-managed-response-headers-policies.html)

## CORS-with-preflight-and-SecurityHeadersPolicy
<a name="managed-response-headers-policies-cors-preflight-security"></a>

[このポリシーを CloudFront コンソールで見る](https://console.aws.amazon.com/cloudfront/v4/home#/policies/responseHeaders/eaab4381-ed33-4a86-88ca-d9558dc6cd63)

このマネージドポリシーを使用して、オリジンからの CORS リクエストが許可されます。これには、プリフライトリクエストが含まれます。このポリシーはまた、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。このポリシーによって、[CORS-With-Preflight](#managed-response-headers-policies-cors-preflight) ポリシーおよび [SecurityHeadersPolicy](#managed-response-headers-policies-security) ポリシーを 1 つにまとめます。

CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

`eaab4381-ed33-4a86-88ca-d9558dc6cd63`


**ポリシー設定**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/using-managed-response-headers-policies.html)

## SecurityHeadersPolicy
<a name="managed-response-headers-policies-security"></a>

[このポリシーを CloudFront コンソールで見る](https://console.aws.amazon.com/cloudfront/v4/home#/policies/responseHeaders/67f7725c-6f97-4210-82d7-5512b31e9d03)

このマネージドポリシーを使用して、CloudFront がビューワーに送信するすべてのレスポンスに、セキュリティヘッダーのセットを追加します。これらのセキュリティヘッダーの詳細については、[Mozilla のウェブセキュリティに関するガイドライン](https://infosec.mozilla.org/guidelines/web_security)を参照してください。

このレスポンスヘッダーポリシーでは、CloudFront はすべてのレスポンスに `X-Content-Type-Options: nosniff` を追加します。これは、CloudFront がオリジンから受け取ったレスポンスにこのヘッダーが含まれていなかった場合です。このポリシーのその他すべてのヘッダーについては、CloudFront がオリジンから受信するレスポンスにこのヘッダーが含まれる場合、CloudFront はビューワーへのレスポンスに、受信したヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

`67f7725c-6f97-4210-82d7-5512b31e9d03`


**ポリシー設定**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/using-managed-response-headers-policies.html)

## SimpleCORS
<a name="managed-response-headers-policies-cors"></a>

[このポリシーを CloudFront コンソールで見る](https://console.aws.amazon.com/cloudfront/v4/home#/policies/responseHeaders/60669652-455b-4ae9-85a4-c4c02393f86c)

このマネージドポリシーを使用して、オリジンからの[単一の CORS リクエスト](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple_requests)が許可されます。このポリシーを使用して、CloudFront は、`Access-Control-Allow-Origin: *`単一の CORS リクエストのすべてのレスポンスにヘッダーを追加します。

CloudFront がオリジンから受信するレスポンスに `Access-Control-Allow-Origin` ヘッダーが含まれる場合、CloudFront は、ビューワーへのレスポンスにそのヘッダー (およびその値) を使用します。CloudFront はこのポリシーのヘッダーを使用しません。

CloudFormation、AWS CLI、または CloudFront API を使用する場合、このポリシーの ID は次のとおりです。

`60669652-455b-4ae9-85a4-c4c02393f86c`


**ポリシー設定**  

|  | ヘッダー名 | ヘッダー値 | オーバーライドオリジンですか。 | 
| --- | --- | --- | --- | 
| CORS ヘッダー: | Access-Control-Allow-Origin | \$1 | いいえ |