Configurações de distribuição - Amazon CloudFront
Classe de preçoAWS WAFACL da WEb do Nomes de domínio alternativos (CNAMEs)Certificado SSLSuporte ao cliente SSL personalizadoPolítica de segurança (versão mínima de SSL/TLS)Versões de HTTP compatíveisObjeto raiz padrãoRegistro em log padrãoPrefixo de logRegistro em log de cookiesHabilitar IPv6 (solicitações do visualizador)Habilitar IPv6 para origens personalizadas (solicitações de origem)ComentárioEstado de distribuição

Configurações de distribuição

Os valores a seguir se aplicam a toda a distribuição.

Classe de preço

Escolha o preço que corresponde ao preço máximo que você está disposto a pagar pelo serviço do CloudFront. Por padrão, o CloudFront fornece seus objetos de pontos de presença em todas as regiões do CloudFront.

Para ter mais informações sobre as classes de preço e como sua escolha de classe de preço afeta a performance do CloudFront para sua distribuição, consulte Definição de preços do CloudFront.

AWS WAFACL da WEb do

Você pode proteger sua distribuição do CloudFront com o AWS WAF, um firewall de aplicações da Web que permite proteger suas aplicações e APIs da web para bloquear solicitações antes que elas cheguem aos servidores. Você pode usar o Habilitar o AWS WAF para distribuições ao criar ou editar uma distribuição do CloudFront.

Você também pode configurar posteriormente proteções de segurança adicionais para outras ameaças específicas de sua aplicação no console do AWS WAF em https://console.aws.amazon.com/wafv2/.

Para obter mais informações sobre o AWS WAF, consulte o Guia do desenvolvedor do AWS WAF.

Nomes de domínio alternativos (CNAMEs)

Opcional. Especifique um ou mais nomes de domínio que você deseja usar nas URLs de seus objetos em vez do nome de domínio atribuído pelo CloudFront ao criar sua distribuição. Você deve possuir o nome de domínio, ou ter autorização para usá-lo, o que você verifica adicionando um certificado SSL/TLS.

Por exemplo, se você quiser que o URL do objeto:

/images/image.jpg

Seja parecido com:

https://www.example.com/images/image.jpg

Em vez de:

https://d111111abcdef8.cloudfront.net/images/image.jpg

Adicione um CNAME para www.example.com.

Importante

Se você adicionar um CNAME para www.example.com à distribuição, também deverá fazer o seguinte:

  • Crie (ou atualize) um registro CNAME no serviço de DNS para rotear consultas de www.example.com para d111111abcdef8.cloudfront.net.

  • Adicione um certificado ao CloudFront de uma autoridade de certificação (CA) confiável que abranja o nome de domínio (CNAME) que você adicionar à distribuição, para validar a autorização para usar o nome de domínio.

Você deve ter permissão para criar um registro CNAME com o provedor de serviço de DNS para o domínio. Normalmente, isso significa que você possui o domínio ou que está desenvolvendo um aplicativo para o proprietário do domínio.

Para saber o número máximo atual de nomes de domínio alternativos que podem ser adicionados a uma distribuição ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Para obter mais informações sobre nomes de domínio alternativo, consulte Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs). Para mais informações sobre URLs do CloudFront, consulte Personalizar o formato do URL para arquivos no CloudFront.

Certificado SSL

Se você especificou um nome de domínio alternativo para usar com a distribuição, selecione Custom SSL Certificate (Certificado SSL personalizado) e, para validar a autorização para usar o nome de domínio alternativo, escolha um certificado que o abranja. Se você quiser que os visualizadores usem HTTPS para acessar seus objetos, escolha as configurações que oferecem suporte para isso.

  • Default CloudFront Certificate (Certificado padrão do CloudFront) (*.cloudfront.net): escolha essa opção se quiser usar o nome de domínio do CloudFront nos URLs para seus objetos, como https://d111111abcdef8.cloudfront.net/image1.jpg.

  • Custom SSL Certificate (Certificado SSL personalizado): escolha essa opção se quiser usar seu próprio nome de domínio nos URLs dos seus objetos como um nome de domínio alternativo, por exemplo https://example.com/image1.jpg. Em seguida, escolha um certificado para usar que abranja o nome de domínio alternativo. A lista de certificados pode incluir qualquer um dos seguintes:

    • Certificados fornecidos pelo AWS Certificate Manager

    • Os certificados adquiridos de uma autoridade de certificação de terceiros e carregados no ACM

    • Os certificados adquiridos de autoridades de certificação de terceiros e carregados no armazenamento de certificados do IAM

    Se você escolher essa configuração, recomendamos que use apenas um nome de domínio alternativo nos URLs dos seus objetos (https://example.com/logo.jpg). Se você usar o nome de domínio da distribuição do CloudFront (https://d111111abcdef8.cloudfront.net/logo.jpg) e um cliente usar um visualizador mais antigo que não seja compatível com SNI, como o visualizador responderá vai depender do valor escolhido para Clients Supported (Clientes compatíveis):

    • All Clients (Todos os clientes): o visualizador exibe um aviso porque o nome de domínio do CloudFront não corresponde ao nome de domínio do certificado SSL/TLS.

    • Only Clients that Support Server Name Indication (SNI) (Somente os clientes que oferecem suporte à indicação de nome de servidor (SNI)): o CloudFront interrompe a conexão com o visualizador sem retornar o objeto.

Suporte ao cliente SSL personalizado

Aplica-se somente quando você escolhe Certificado SSL personalizado (exemplo.com) para Certificado SSL. Se você especificou um ou mais nomes de domínio alternativos e um certificado SSL personalizado para a distribuição, defina como você deseja que o CloudFront atenda às solicitações HTTPS:

  • Clientes que oferecem suporte a SNI (Indicação de nome de servidor) – (Recomendado): com essa configuração, praticamente todos os navegadores e clientes da Web modernos podem se conectar à distribuição, porque eles oferecem suporte a SNI. No entanto, alguns visualizadores podem usar navegadores da Web mais antigos ou clientes incompatíveis com SNI, o que significa que não conseguem se conectar à distribuição.

    Para aplicar essa configuração usando a API do CloudFront, especifique sni-only no campo SSLSupportMethod. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

  • Suporte de clientes herdados: com essa configuração, navegadores da Web e clientes mais antigos incompatíveis com SNI podem se conectar à distribuição. No entanto, essa configuração gera cobranças mensais adicionais. Para saber o preço exato, acesse a página Definição de preços do Amazon CloudFront e pesquise SSL personalizado de IP dedicado na página.

    Para aplicar essa configuração usando a API do CloudFront, especifique vip no campo SSLSupportMethod. No AWS CloudFormation, o campo recebe o nome SslSupportMethod (observe o tamanho diferente das letras).

Para obter mais informações, consulte Escolher como o CloudFront atende a solicitações HTTPS.

Política de segurança (versão mínima de SSL/TLS)

Especifique a política de segurança que você deseja que o CloudFront use para conexões HTTPS com os visualizadores (clientes). Uma política de segurança determina duas configurações:

  • O protocolo SSL/TLS mínimo que o CloudFront usa para se comunicar com os visualizadores

  • A criptografia que o CloudFront pode usar para criptografar o conteúdo que retorna aos visualizadores.

Para mais informações sobre as políticas de segurança, incluindo os protocolos e as cifras que cada uma inclui, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

As políticas de segurança que estão disponíveis dependem dos valores que você especifica para o SSL Certificate (Certificado SSL) e o Custom SSL Client Support (Suporte ao cliente SSL personalizado) (conhecidos como CloudFrontDefaultCertificate e SSLSupportMethod na API do CloudFront):

  • Quando o SSL Certificate (Certificado SSL) for Default CloudFront Certificate (*.cloudfront.net) (Certificado padrão do CloudFront (*.cloudfront.net)) (quando CloudFrontDefaultCertificate for true na API), o CloudFront definirá automaticamente a política de segurança como TLSv1.

  • Quando Certificado SSL for Certificado SSL personalizado (example.com) e Suporte ao cliente SSL personalizado for Clientes que comportam a indicação de nome do servidor (SNI) – (Recomendado) (quando CloudFrontDefaultCertificate for false e SSLSupportMethod for sni-only na API), você poderá escolher entre as seguintes políticas de segurança:

    • TLSv1.3_2025

    • TLSv1.2_2025

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016

    • TLSv1

  • Quando Certificado SSL for Certificado SSL personalizado (example.com) e Suporte ao cliente SSL personalizado for Suporte a clientes legados (quando CloudFrontDefaultCertificate for false e SSLSupportMethod for vip na API), você poderá escolher entre as seguintes políticas de segurança:

    • TLSv1

    • SSLv3

    Nesta configuração, as políticas de segurança TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 e TLSv1_2016 não estão disponíveis no console do CloudFront nem na API. Se quiser utilizar uma dessas políticas de segurança, você terá as seguintes opções:

    • Avalie se a distribuição precisa de suporte a clientes legados com endereços IP dedicados. Se seus visualizadores comportarem a indicação de nome de servidor (SNI), recomendamos atualizar a definição Suporte ao cliente SSL personalizado de sua distribuição para Clientes que comportam a indicação de nome de servidor (SNI) (defina SSLSupportMethod como sni-only na API). Isso permite usar qualquer uma das políticas de segurança TLS disponíveis, e também pode reduzir as cobranças do CloudFront.

    • Se for necessário manter o suporte a clientes legados com endereços IP dedicados, será possível solicitar uma das outras políticas de segurança para o TLS (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) criando um caso no AWS Support Center.

      nota

      Antes de entrar em contato com o AWS Support para solicitar essa alteração, considere o seguinte:

      • Quando você adiciona uma dessas políticas de segurança (TLSv1.3_2025, TLSv1.2_2025, TLSv1.2_2021, TLSv1.2_2019, TLSv1.2_2018, TLSv1.1_2016 ou TLSv1_2016) a uma distribuição de suporte a clientes legados, a política de segurança é aplicada a todas as solicitações de visualizador que não são de SNI para todas as distribuições de suporte a clientes legados em sua conta da AWS. No entanto, quando os visualizadores enviam solicitações SNI para uma distribuição com o Suporte a clientes legados, a política de segurança dessa distribuição se aplica. Para garantir que a política de segurança desejada seja aplicada a todas as solicitações do visualizador enviadas a todas as distribuições de suporte de clientes herdadas em sua conta da AWS, adicione a política de segurança desejada a cada distribuição individualmente.

      • Por definição, a nova política de segurança não é compatível com as mesmas criptografias e protocolos que a antiga. Por exemplo, se optar por atualizar a política de segurança de uma distribuição de TLSv1 para TLSv1.1_2016, essa distribuição não será mais compatível com a criptografia DES-CBC3-SHA. Para mais informações sobre as cifras e os protocolos com os quais cada política de segurança é compatível, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

Versões de HTTP compatíveis

Escolha as versões HTTP às quais deseja que a distribuição ofereça suporte quando os visualizadores se comunicarem com o CloudFront.

Para os visualizadores e o CloudFront usarem HTTP/3, os visualizadores devem ser compatíveis com TLSv1.2 ou posterior e com Server Name Indication (SNI).

Para os visualizadores e o CloudFront usarem HTTP/3, os visualizadores devem ser compatíveis com TLSv1.3 e com Server Name Indication (SNI). O CloudFront é compatível com a migração de conexão HTTP/3 para permitir que o visualizador alterne de rede sem perder a conexão. Para obter mais informações sobre migração de conexões, consulte Connection Migration (Migração de conexões) no RFC 9000.

nota

Para obter mais informações sobre as criptografias TLSv1.3 compatíveis, consulte Protocolos e cifras compatíveis entre visualizadores e o CloudFront.

nota

Se você usa o Amazon Route 53, pode usar registros HTTPS para permitir a negociação de protocolos como parte da consulta de DNS, caso o cliente ofereça suporte. Para obter mais informações, consulte Create alias resource record set.

Objeto raiz padrão

Opcional. O objeto que você deseja que o CloudFront solicite da sua origem (por exemplo, index.html) quando o visualizador solicitar o URL raiz da sua distribuição (https://www.example.com/), em vez de um objeto nela (https://www.example.com/product-description.html). A especificação de um objeto raiz padrão evita a exposição do conteúdo da distribuição.

O tamanho máximo do nome é 255 caracteres. O nome pode conter espaços ou um destes caracteres:

  • A-Z, a-z

  • 0-9

  • _ - . * $ / ~ " '

  • &, passado e retornado como &

Ao especificar o objeto raiz padrão, insira apenas o nome do objeto, por exemplo, index.html. Não adicione / antes do nome do objeto.

Para obter mais informações, consulte Especificar um objeto raiz padrão.

Registro em log padrão

Especifique se você deseja que o CloudFront registre em log as informações sobre cada solicitação de um objeto e armazene os arquivos de log. É possível habilitar ou desabilitar o registro a qualquer momento. Não há custo adicional ao habilitar o registro em log, mas você pode incorrer em cobranças de armazenamento e acesso a arquivos. Você pode excluir os logs a qualquer momento.

O CloudFront permite as seguintes opções de registro em log padrão:

Prefixo de log

(Opcional) Se você habilitar o registro em log padrão (legado), especifique a string, se houver, a ser prefixada pelo CloudFront nos nomes de arquivo de log de acesso dessa distribuição; por exemplo, exampleprefix/. A barra no final (/) é opcional, mas recomendada para simplificar a navegação em seus arquivos de log. Para obter mais informações, consulte Configurar o registro em log padrão (legado).

Registro em log de cookies

Se você quiser que o CloudFront inclua cookies nos logs de acesso, escolha On (Ativado). Se você optar por incluir cookies nos logs, o CloudFront registrará em log todos os cookies, independentemente da configuração dos comportamentos de cache dessa distribuição: encaminhar todos os cookies, nenhum cookie ou uma lista específica de cookies para a origem.

O Amazon S3 não processa cookies, portanto, a menos que sua distribuição também inclua um Amazon EC2 ou outra origem personalizada, recomendamos que você escolha Off (Desativado) para o valor de Cookie Logging (Registro em log de cookies).

Para obter mais informações sobre cookies, consulte Conteúdo em cache com base em cookies.

Habilitar IPv6 (solicitações do visualizador)

Se você quiser que o CloudFront responda às solicitações dos visualizadores de endereços IP IPv4 e IPv6, selecione Habilitar IPv6. Para obter mais informações, consulte Habilitar IPv6 para distribuições do CloudFront.

Habilitar IPv6 para origens personalizadas (solicitações de origem)

Ao usar uma origem personalizada (excluindo as origens do Amazon S3 e da VPC), você pode personalizar as configurações de origem da sua distribuição para escolher como o CloudFront se conecta à sua origem usando endereços IPv4 ou IPv6. Para obter mais informações, consulte Habilitar IPv6 para distribuições do CloudFront.

Comentário

Opcional. Ao criar uma distribuição, você pode incluir um comentário com até 128 caracteres. Você pode atualizá-lo qualquer momento.

Estado de distribuição

Indica se você deseja que a distribuição seja ativada ou desativada após a implantação:

  • Enabled: assim que a distribuição for totalmente implantada, você poderá implantar links que usam o nome de domínio da distribuição, e os usuários poderão recuperar o conteúdo. Sempre que uma distribuição estiver ativada, o CloudFront aceitará e lidará com qualquer solicitação do usuário final de conteúdo que use o nome de domínio associado a essa distribuição.

    Ao criar, modificar ou excluir uma distribuição do CloudFront, leva um tempo para que as alterações sejam propagadas para o banco de dados do CloudFront. Uma solicitação imediata de informações sobre uma distribuição pode não refletir a alteração. A propagação é normalmente concluída em minutos, mas uma alta carga do sistema ou partição de rede pode aumentar esse tempo.

  • Disabled: mesmo que a distribuição possa ser implantada e esteja pronta para ser usada, os usuários não poderão usá-la. Sempre que uma distribuição estiver desativada, o CloudFront não aceitará nenhuma solicitação do usuário final que use o nome de domínio associado a essa distribuição. Enquanto você não alternar a distribuição de desativada para habilitada (atualizando a configuração dela), ninguém poderá usá-la.

Você pode alternar uma distribuição entre desativada e ativada sempre que desejar. Siga o processo de atualização da configuração de uma distribuição. Para obter mais informações, consulte Atualizar uma distribuição.