# Noções básicas sobre as distribuições multilocatário
É possível criar distribuições multilocatário do CloudFront com configurações que podem ser reutilizadas em vários locatários de distribuição. Com uma distribuição multilocatário, o CloudFront pode configurar as definições de distribuição para você com base no tipo de origem do conteúdo. Para ter mais informações sobre as configurações predefinidas, consulte [Referência de configurações de distribuição predefinidas](template-preconfigured-origin-settings.md).
Os benefícios de usar uma distribuição multilocatária em vez de uma distribuição padrão incluem:
+ Redução da carga operacional.
+ Configurações reutilizáveis para administradores da web e fornecedores de software gerenciarem a distribuição do CloudFront para várias aplicações web que entregam conteúdo aos usuários finais.
+ Integrações aprimoradas com outros Serviços da AWS para oferecer, em grande escala, gerenciamento automatizado de certificados, controles de segurança unificados e um controle de configuração descomplicado.
+ Manutenção de padrões de recursos consistentes em suas implementações. Defina as configurações que devem ser compartilhadas e especifique as personalizações das configurações a serem substituídas.
+ Configurações de origem e segurança personalizáveis para atender a necessidades específicas no nível do locatário da distribuição.
+ Organização dos locatários da distribuição em diferentes níveis. Por exemplo, se alguns locatários da distribuição precisarem do Origin Shield e outros não, você poderá agrupá-los em diferentes distribuições multilocatário.
+ Utilização de uma configuração de DNS comum em vários domínios.
Diferentemente de uma distribuição padrão, uma distribuição multilocatário não pode ser acessada de forma direta porque não tem um endpoint de roteamento do CloudFront. Portanto, ela deve ser usada em conjunto com um grupo de conexões e um ou mais locatários da distribuição. Embora as distribuições padrão tenham seu próprio endpoint do CloudFront e possam ser acessadas diretamente pelos usuários finais, elas não podem ser usadas como modelo para outras distribuições.
Consulte mais informações sobre cotas para distribuições multilocatário em [Cotas em distribuições multilocatário](cloudfront-limits.md#limits-template).
**Topics**
+ [Como funciona](#how-template-distribution-works)
+ [Termos](#template-distributions-concepts)
+ [Atributos não compatíveis](#unsupported-saas)
+ [Personalizações de locatários da distribuição](tenant-customization.md)
+ [Solicitar certificados para locatários de distribuição do CloudFront](managed-cloudfront-certificates.md)
+ [Criar grupo de conexões personalizado (opcional)](custom-connection-group.md)
+ [Migrar uma distribuição multilocatário](template-migrate-distribution.md)
## Como funciona
Em uma *distribuição padrão*, a distribuição contém todas as configurações que você deseja habilitar para seu site ou aplicação, como configurações de origem, comportamentos de cache e configurações de segurança. Se você quisesse criar um site separado e usar várias das mesmas configurações, seria preciso criar outra distribuição a cada vez.
As distribuições multilocatário do CloudFront são diferentes, pois é possível criar uma distribuição multilocatário inicial. Para cada novo site, você cria um locatário de distribuição que herda automaticamente os valores definidos da distribuição de origem. Em seguida, você personaliza configurações específicas para o respectivo locatário.
**Visão geral**
1. Para começar, primeiro crie uma distribuição multilocatário. O CloudFront define as configurações de distribuição para você com base no tipo de origem do conteúdo. Você pode personalizar as configurações para todas as origens, exceto para origens de VPC. As configurações de origem de VPC são personalizadas no próprio recurso de origem de VPC. Para obter mais informações sobre as configurações de distribuição multilocatário personalizáveis, consulte [Referência de configurações de distribuição predefinidas](template-preconfigured-origin-settings.md).
+ O certificado TLS usado para a distribuição multilocatário pode ser herdado pelos locatários da distribuição. Como a distribuição multilocatário em si não é roteável, ela não terá um nome de domínio associado a ela.
1. Por padrão, o CloudFront cria um grupo de conexões para você. O grupo de conexões controla como as solicitações de conteúdo do visualizador se conectam ao CloudFront. É possível personalizar algumas configurações de roteamento no grupo de conexões.
Você pode alterar isso criando manualmente seu próprio grupo de conexões. Para obter mais informações, consulte [Criar grupo de conexões personalizado (opcional)](custom-connection-group.md).
1. Em seguida, crie um ou mais locatários de distribuição. O locatário da distribuição é a “porta de entrada” para que os visualizadores acessem seu conteúdo. Cada locatário da distribuição faz referência à distribuição multilocatário e é automaticamente associado ao grupo de conexões que o CloudFront criou para você. O locatário da distribuição pode ter um domínio ou subdomínio específico.
1. Depois, você poderá personalizar algumas configurações do locatário da distribuição, como domínios personalizados e caminhos de origem. Para obter mais informações, consulte [Personalizações de locatários da distribuição](tenant-customization.md).
1. Por fim, você deve atualizar o registro de DNS em seu host DNS para rotear o tráfego para o locatário da distribuição. Para fazer isso, obtenha o valor do endpoint do CloudFront do grupo de conexões e crie um registro CNAME que aponte para o endpoint do CloudFront.
**Example Exemplo**
O gráfico a seguir demonstra como uma distribuição multilocatário, os locatários da distribuição e os grupos de conexões funcionam juntos para fornecer conteúdo aos visualizadores em vários domínios.
1. A distribuição multilocatário define as configurações herdadas para cada locatário da distribuição. Você usa a distribuição multilocatário como modelo.
1. Cada locatário da distribuição criado com base na distribuição multilocatário tem seu próprio domínio.
1. Os locatários da distribuição são adicionados automaticamente ao grupo de conexões criado pelo CloudFront quando você criou a distribuição multilocatário. O grupo de conexões controla como as solicitações de conteúdo do visualizador se conectam ao CloudFront.
![\[Como as distribuições multilocatário funcionam com os locatários da distribuição.\]](http://docs.aws.amazon.com/pt_br/AmazonCloudFront/latest/DeveloperGuide/images/template_distribution.png)
Para obter instruções detalhadas sobre como criar uma distribuição multilocatário, consulte [Criar uma distribuição do CloudFront no console](distribution-web-creating-console.md#create-console-distribution).
## Termos
Os seguintes conceitos descrevem os componentes das distribuições multilocatário:
**Distribuição multilocatário**
Um esquema de distribuição multilocatário que especifica todas as configurações em comum para quaisquer locatários da distribuição, como comportamento do cache, proteções de segurança e origens. As distribuições multilocatário não podem atender ao tráfego diretamente. Elas devem ser usadas com grupos de conexões e locatários da distribuição.
**Distribuição padrão**
Uma distribuição que não oferece a funcionalidade multilocatário. Essas distribuições são mais adequadas para sites ou aplicações isoladas.
**Locatário da distribuição**
O locatário da distribuição herda a configuração da distribuição multilocatário. Algumas definições de configuração podem ser personalizadas para cada locatário da distribuição. O locatário da distribuição deve ter um certificado TLS válido, que pode ser herdado da distribuição multilocatário, desde que abranja o domínio ou subdomínio do respectivo locatário.
Ele deve estar associado a um grupo de conexões. O CloudFront cria um grupo de conexões para você quando você cria um locatário de distribuição e atribui automaticamente qualquer locatário a esse grupo de conexões.
**Multilocação**
Você pode usar a distribuição multilocatário para oferecer conteúdo em vários domínios e, ao mesmo tempo, compartilhar a configuração e a infraestrutura. Essa abordagem permite que diferentes domínios (chamados de locatários) usem configurações comuns da distribuição multilocatário, mantendo suas próprias personalizações.
**Grupo de conexões**
Oferece o endpoint de roteamento do CloudFront que disponibiliza conteúdo aos visualizadores. Associe cada locatário da distribuição a um grupo de conexões para obter o endpoint de roteamento do CloudFront correspondente ao registro CNAME criado para o domínio ou subdomínio do locatário da distribuição. Os grupos de conexões podem ser compartilhados entre vários locatários da distribuição. Eles gerenciam as configurações de roteamento para locatários da distribuição, como as configurações da lista de IPv6 e IPs anycast.
**Parâmetros**
Uma lista de pares de chave-valor para valores de espaço reservado, como caminhos de origem e nomes de domínio. É possível definir parâmetros em sua distribuição multilocatário e atribuir valores a esses parâmetros para cada locatário da distribuição. Você escolhe se os valores dos parâmetros devem ser inseridos para o locatário da distribuição.
Se você não atribuir um valor a um parâmetro opcional em um locatário da distribuição, será usado o valor padrão da distribuição multilocatário.
**Endpoint de roteamento do CloudFront**
DNS canônico referente ao grupo de conexões, como `d123.cloudfront.net`. Usado no registro CNAME para o domínio ou subdomínio do locatário da distribuição.
**Personalizações**
Você pode personalizar os locatários da distribuição para que usem configurações *diferentes* da distribuição multilocatário. Você pode especificar uma lista de controle de acesso (ACL) da web do AWS WAF diferente, certificados TLS e restrições geográficas para cada locatário da distribuição.
## Atributos não compatíveis
Os recursos a seguir não podem ser usados com uma distribuição multilocatário. Se você quiser criar outra distribuição multilocatário usando as mesmas configurações da distribuição padrão, observe que algumas configurações não estão disponíveis.
**Observações**
No momento, as políticas do AWS Firewall Manager se aplicam somente às distribuições padrão. O Firewall Manager será compatível com distribuições multilocatário em uma versão futura.
Diferentemente das distribuições padrão, você especifica o nome de domínio (alias) para cada *locatário da distribuição*. Para ter mais informações, consulte [Solicitar certificados para locatários de distribuição do CloudFront](managed-cloudfront-certificates.md) e a operação de API [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html).
+ [Implantação contínua](continuous-deployment.md)
+ [Identidade do acesso de origem (OAI)](private-content-restricting-access-to-s3.md#private-content-restricting-access-to-s3-oai): em vez disso, use o [controle de acesso à origem (OAC)](private-content-restricting-access-to-origin.md).
+ [Suporte a SSL personalizado com IP dedicado](DownloadDistValuesGeneral.md#DownloadDistValuesClientsSupported): somente o método `sni-only` é permitido.
+ [ACL da web do AWS WAF Classic (V1)](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL): somente ACLs da web doAWS WAF V2 são permitidas.
+ [Registro em log padrão (legado)](standard-logging-legacy-s3.md)
+ [TTL mínima](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMinTTL)
+ [TTL padrão](DownloadDistValuesCacheBehavior.md#DownloadDistValuesDefaultTTL)
+ [TTL máxima](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMaxTTL)
+ [ForwardedValues](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ForwardedValues.html)
+ [PriceClass](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_DistributionConfig.html)
+ [Signatários confiáveis ](DownloadDistValuesCacheBehavior.md#DownloadDistValuesTrustedSigners)
+ [Smooth Streaming](DownloadDistValuesCacheBehavior.md#DownloadDistValuesSmoothStreaming)
+ [AWS Identity and Access Management (Certificados do servidor do (IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)
+ [Endereços IP dedicados](cnames-https-dedicated-ip-or-sni.md#cnames-https-dedicated-ip)
+ [Versão mínima do protocolo SSL (SSLv3](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy)
As configurações a seguir não podem ser definidas em uma distribuição multilocatário ou em um locatário da distribuição. Em vez disso, defina os valores que você deseja em um grupo de conexões. Todos os locatários da distribuição associados ao grupo de conexões usarão essas configurações. Para obter mais informações, consulte [Criar grupo de conexões personalizado (opcional)](custom-connection-group.md).
+ [Habilitar IPv6 (solicitações do visualizador)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6)
+ [Lista de IPs estáticos anycast](request-static-ips.md)
# Personalizações de locatários da distribuição
Ao usar uma distribuição multilocatário, os locatários da distribuição herdam a configuração da distribuição multilocatário. No entanto, não é possível personalizar algumas configurações no nível de locatário da distribuição.
Você pode personalizar as seguintes opções:
+ **Parâmetros**: os parâmetros são pares de chave-valor que podem ser usados para o domínio de origem ou os caminhos de origem. Consulte [Como os parâmetros funcionam com locatários da distribuição](#tenant-customize-parameters).
+ **ACL da web do AWS WAF (V2)**: você pode especificar uma ACL da web separada para o locatário da distribuição, que *substituirá* a ACL da web usada para a distribuição multilocatário. Você também pode desabilitar essa configuração para um locatário específico da distribuição, o que significa que esse locatário não herdará as proteções da ACL da web da distribuição multilocatário. Para obter mais informações, consulte [AWS WAFACL da WEb do](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL).
+ **Restrições geográficas**: as restrições geográficas especificadas para um locatário da distribuição *substituirão* quaisquer restrições geográficas da distribuição multilocatário. Por exemplo, se você bloquear a Alemanha (DE) em sua distribuição multilocatário, todos os locatários da distribuição associados também a bloquearão. No entanto, se você permiti-la para um locatário específico da distribuição, as configurações desse locatário substituirão as configurações da distribuição multilocatário. Para obter mais informações, consulte [Restringir a distribuição geográfica do conteúdo](georestrictions.md).
+ **Caminhos de invalidação**: especifique os caminhos de arquivo referentes ao conteúdo que você deseja invalidar para o locatário da distribuição. Para obter mais informações, consulte [Invalidar arquivos](Invalidation_Requests.md).
+ **Certificados TLS personalizados**: os certificados do AWS Certificate Manager (ACM) que você especifica para locatários da distribuição são complementares ao certificado fornecido na distribuição multilocatário. Contudo, se o mesmo domínio for coberto pelos certificados da distribuição multilocatário e da distribuição do locatário, o certificado do locatário será usado. Para obter mais informações, consulte [Solicitar certificados para locatários de distribuição do CloudFront](managed-cloudfront-certificates.md).
+ **Nomes de domínio**: é necessário especificar pelo menos um nome de domínio por locatário da distribuição.
## Como os parâmetros funcionam com locatários da distribuição
Um parâmetro é um par de chave-valor que você pode usar para valores de espaço reservado. Defina os parâmetros que você deseja usar na distribuição multilocatário e especifique se eles são obrigatórios.
Ao definir parâmetros em uma distribuição multilocatário, você escolhe se esses parâmetros devem ser inseridos no nível de locatário da distribuição.
+ Se você definir os parâmetros como *obrigatórios* na distribuição multilocatário, eles deverão ser inseridos no nível de locatário da distribuição. (Eles não são herdados.)
+ Se os parâmetros *não forem obrigatórios*, você poderá fornecer um valor padrão na distribuição multilocatário, que será herdado pelo locatário da distribuição.
Você também pode usar parâmetros nas seguintes propriedades:
+ Nome do domínio de origem
+ Caminho de origem
Na distribuição multilocatário, você pode definir até dois parâmetros para cada uma das propriedades anteriores.
## Parâmetros de exemplo
Veja os exemplos a seguir para usar parâmetros para o nome do domínio e o caminho de origem.
**Parâmetros do nome de domínio**
Na configuração de distribuição multilocatária, você pode definir um parâmetro para o nome de domínio de origem, como nos exemplos a seguir:
**Amazon S3**
+ `{{parameter1}}.amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
+ `{{parameter1}}–amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
**Origens personalizadas**
+ `{{parameter1}}.lambda-url.us-east-1.on.aws`
+ `{{parameter1}}.mediapackagev2.ap-south-1.amazonaws.com`
Ao criar um locatário de distribuição, especifique o valor a ser usado para `parameter1`.
```
"Parameters": [
{
"Name": "parameter1",
"Value": "mycompany-website"
}
]
```
Usando os exemplos anteriores especificados na distribuição multilocatária, o nome de domínio de origem do locatário da distribuição é resolvido para o seguinte:
+ `mycompany-website.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website–amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website.lambda-url.us-east-1.on.aws`
+ `mycompany-website.mediapackagev2.ap-south-1.amazonaws.com`
**Parâmetros do caminho de origem**
Da mesma forma, você pode definir parâmetros para o caminho de origem na distribuição multilocatária, como nos exemplos a seguir:
+ `/{{parameter2}}`
+ `/{{parameter2}}/test`
+ `/public/{{parameter2}}/test`
+ `/search?name={{parameter2}}`
Ao criar um locatário de distribuição, especifique o valor a ser usado para `parameter2`.
```
"Parameters": [
{
"Name": "parameter2",
"Value": "myBrand"
}
]
```
Usando os exemplos anteriores especificados na distribuição multilocatária, o caminho de origem do locatário da distribuição é resolvido para o seguinte:
+ `/myBrand`
+ `/myBrand/test`
+ `/public/myBrand/test`
+ `/search?name=myBrand`
**Example Exemplo**
É necessário criar vários sites (locatários) para seus clientes e garantir que cada recurso de locatário da distribuição use os valores corretos.
1. Você cria uma distribuição multilocatário e inclui dois parâmetros para a configuração de locatário da distribuição.
1. Com relação ao nome de domínio de origem, você cria um parâmetro chamado *customer-name* e especifica que ele é obrigatório. Você insere o parâmetro antes do bucket do S3, para que ele apareça como:
`{{customer-name}}.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`.
1. Para o caminho de origem, você cria um segundo parâmetro chamado *my-theme* e especifica que ele é opcional, com um valor padrão *basic*. Seu caminho de origem aparece como: `/{{my-theme}}`
1. Quando você criar um locatário de distribuição:
+ Para o nome de domínio, você deve especificar um valor para *customer-name*, porque ele está marcado como obrigatório na distribuição multilocatária.
+ Para o caminho de origem, você pode, opcionalmente, especificar um valor para *my-theme* ou usar o valor padrão.
# Solicitar certificados para locatários de distribuição do CloudFront
Quando você cria um locatário de distribuição, ele herda o certificado do AWS Certificate Manager (ACM) compartilhado da distribuição multilocatário. Esse certificado compartilhado oferece HTTPS a todos os locatários associados à distribuição multilocatário.
Ao criar ou atualizar um locatário de distribuição do CloudFront para adicionar domínios, é possível adicionar um certificado gerenciado do CloudFront emitido pelo ACM. Em seguida, o CloudFront obtém um certificado validado por HTTP do ACM em seu nome. Você pode usar esse certificado do ACM de nível de locatário para configurações de domínio personalizadas. O CloudFront simplifica o fluxo de trabalho de renovação para ajudar a manter os certificados atualizados e garantir a entrega de conteúdo ininterrupta.
**nota**
O certificado pertence a você, mas ele pode ser usado*somente* com os recursos do CloudFront e a chave privada *não* pode ser exportada.
É possível solicitar o certificado ao criar ou atualizar o locatário da distribuição.
**Topics**
+ [Adicionar um domínio e um certificado (locatário da distribuição)](#vanity-domain-tls-tenant)
+ [Concluir configuração do domínio](#complete-domain-ownership)
+ [Apontar domínios para o CloudFront](#point-domains-to-cloudfront)
+ [Considerações sobre domínio (locatário da distribuição)](#tenant-domain-considerations)
+ [Domínios curinga (locatário de distribuição)](#tenant-wildcard-domains)
## Adicionar um domínio e um certificado (locatário da distribuição)
O procedimento a seguir mostra como adicionar um domínio e atualizar o certificado para um locatário da distribuição.
**Como adicionar um domínio e um certificado (locatário da distribuição)**
1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. Em **SaaS** escolha **Locatários da distribuição**.
1. Pesquise o locatário da distribuição. Use o menu suspenso na barra de pesquisa para filtrar por domínio, nome, ID da distribuição, ID do certificado, ID do grupo de conexões ou ID da ACL da web.
1. Escolha o nome da distribuição.
1. Em **Domínios**, escolha **Gerenciar domínio**.
1. Em **Certificado**, escolha se você deseja um **certificado TLS personalizado** para o locatário da distribuição. O certificado confirma se você tem autorização para usar o nome de domínio. Você deve importar o certificado na região Leste dos EUA (Norte da Virgínia).
1. Em **Domínios**, escolha **Adicionar domínio** e insira o nome do domínio. Dependendo do domínio, as mensagens a seguir aparecerão embaixo do nome de domínio que você inserir.
+ Esse domínio é coberto pelo certificado.
+ Esse domínio é coberto pelo certificado, com validação pendente.
+ Esse domínio não é coberto por um certificado. (Isso significa que é preciso verificar a propriedade do domínio.)
1. Escolha **Atualizar locatário da distribuição**.
Na página de detalhes do locatário, em **Domínios**, é possível ver os seguintes campos:
+ **Propriedade do domínio**: o status da propriedade do domínio. A propriedade do domínio deverá ser verificada usando a validação do certificado TLS antes que o CloudFront possa fornecer o conteúdo.
+ **Status do DNS**: os registros de DNS do domínio devem apontar para o CloudFront para que o tráfego seja roteado corretamente.
1. Se a propriedade do domínio não for verificada, na página de detalhes do locatário, em **Domínios**, escolha **Concluir configuração do domínio** e, em seguida, conclua o procedimento a seguir para apontar o registro de DNS para o nome de domínio do CloudFront.
## Concluir configuração do domínio
Siga estes procedimentos para verificar se o domínio dos locatários da distribuição pertence a você. Dependendo do domínio, escolha um dos procedimentos a seguir.
**nota**
Se o domínio já estiver apontado para o CloudFront com um registro de alias do Amazon Route 53, adicione seu registro de DNS TXT com `_cf-challenge.` na frente do nome de domínio. Esse registro TXT verifica se o nome de domínio está vinculado ao CloudFront. Repita esta etapa para cada domínio. Veja abaixo como atualizar seu registro TXT:
Nome do registro: .: `_cf-challenge.DomainName`
Tipo de registro: `TXT`.
Valor do registro: .: `CloudFrontRoutingEndpoint`
Por exemplo, o registro TXT pode ser semelhante ao seguinte: .: `_cf-challenge.example.com TXT d111111abcdef8.cloudfront.net`
Você pode encontrar seu endpoint de roteamento do CloudFront na página de detalhes de locatários de distribuição do console ou usar a ação de API [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) na *Referência de API do Amazon CloudFront* para encontrá-lo.
**dica**
Se você é um provedor de SaaS e deseja permitir a emissão de certificados sem exigir que seus clientes (locatários) adicionem um registro TXT diretamente ao DNS deles, faça o seguinte:
Se você é proprietário do domínio `example-saas-provider.com`, atribua subdomínios aos seus locatários, como `customer-123.example-saas-provider.com`
No seu DNS, adicione o registro TXT `_cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net` à sua configuração de DNS.
Em seguida, seus clientes (os locatários) podem atualizar seu próprio registro DNS para mapear o nome de domínio deles para o subdomínio que você forneceu.
`www.customer-domain.com CNAME customer-123.example-saas-provider.com`
------
#### [ I have existing traffic ]
Selecione essa opção se seu domínio não puder passar por tempo de inatividade. Você deve ter acesso ao seu servidor de origem/web. Use o procedimento a seguir para validar a propriedade do domínio.
**Como concluir a configuração do domínio quando você já tem tráfego**
1. Em **Especificar tráfego da web**, escolha **Já tenho tráfego** e selecione **Próximo**.
1. Em **Verificar a propriedade do domínio**, escolha uma das seguintes opções:
+ **Usar certificado existente**: pesquise um certificado do ACM já em vigor ou insira o ARN do certificado que abranja os domínios listados.
+ **Upload de arquivo manual**: escolha essa opção se você tiver acesso direto para fazer upload de arquivos no seu servidor web.
Para cada domínio, crie um arquivo de texto simples que contenha o token de validação em **Local do token** e faça upload em sua origem no **caminho de arquivo** especificado no servidor existente. O caminho para esse arquivo deve ser semelhante ao seguinte exemplo: `/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt`. Após a conclusão dessa etapa, o ACM verifica o token e emite o certificado TLS para o domínio.
+ **Redirecionamento HTTP**: escolha essa opção se você não tiver acesso direto para fazer upload de arquivos no seu servidor web ou se estiver usando um serviço de CDN ou proxy.
Para cada domínio, crie um redirecionamento 301 no servidor existente. Copie o caminho conhecido em **Redirecionar de** e aponte para o endpoint do certificado especificado em **Redirecionar para**. O redirecionamento deve ser semelhante ao seguinte exemplo:
```
If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
```
**nota**
Você pode escolher **Verificar status do certificado** para verificar quando o ACM emite o certificado para o domínio.
1. Escolha **Próximo**.
1. Conclua as etapas referentes a [Apontar domínios para o CloudFront](#point-domains-to-cloudfront).
------
#### [ I don't have traffic ]
Selecione essa opção se você estiver adicionando novos domínios. O CloudFront gerenciará a validação do certificado para você.
**Como concluir a configuração do domínio quando você ainda não tem tráfego**
1. Em **Especificar tráfego da web**, escolha **Ainda não tenho tráfego**.
1. Para cada nome de domínio, conclua as etapas referentes a [Apontar domínios para o CloudFront](#point-domains-to-cloudfront).
1. Depois de atualizar o registro de DNS de cada nome de domínio, escolha **Próximo**.
1. Aguarde a emissão do certificado.
**nota**
Você pode escolher **Verificar status do certificado** para verificar quando o ACM emite o certificado para o domínio.
1. Selecione **Enviar**.
------
## Apontar domínios para o CloudFront
Atualize os registros de DNS para rotear o tráfego de cada domínio para o endpoint de roteamento do CloudFront. Você pode ter vários nomes de domínio, mas eles devem ser todos resolvidos nesse endpoint.
**Como apontar domínios para o CloudFront**
1. Copie o valor do endpoint de roteamento do CloudFront; por exemplo, d111111abcdef8.cloudfront.net.
1. Atualize os registros de DNS para rotear o tráfego de cada domínio para o endpoint de roteamento do CloudFront.
1. Faça login no registrador de domínio ou no console de gerenciamento do provedor de DNS.
1. Acesse a seção de gerenciamento de DNS do seu domínio.
+ **Para subdomínios**: crie um registro CNAME. Por exemplo:
+ **Nome**: seu subdomínio (como `www` ou `app`).
+ **Valor/destino**: o endpoint de roteamento do CloudFront.
+ **Tipo de registro**: CNAME.
+ **TTL**: 3.600 (ou o que for apropriado para seu caso de uso).
+ **Para domínios apex/raiz**: isso requer uma configuração de DNS exclusiva, porque os registros CNAME padrão não podem ser usados no nível do domínio raiz ou apex. Como a maioria dos provedores de DNS não oferece suporte a registros ALIAS, recomendamos criar um registro ALIAS no Route 53. Por exemplo:
+ **Nome**: o domínio ápex (como `example.com`).
+ **Tipo de registro**: A.
+ **Alias**: sim.
+ **Destino do alias**: o endpoint de roteamento do CloudFront.
+ **Política de roteamento**: simples (ou o que for apropriado para seu caso de uso).
1. Verifique se a alteração de DNS foi propagada. (Isso geralmente acontece quando o TTL expira. Às vezes, pode levar de 24 a 48 horas.) Use uma ferramenta, como `dig` ou `nslookup`.
```
dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint
```
1. Retorne ao console do CloudFront e escolha **Enviar**. Quando o domínio estiver ativo, o CloudFront atualizará o respectivo status para indicar que o domínio está pronto para atender ao tráfego.
Para obter mais informações, consulte a documentação do seu provedor de DNS:
+ [Cloudflare](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)
+ [ClouDNS](https://www.cloudns.net/wiki/article/9/)
+ [DNSimple](https://support.dnsimple.com/categories/dns/)
+ [Gandi.net](https://www.gandi.net/)
+ [GoDaddy](https://www.godaddy.com/help/manage-dns-records-680)
+ [Google Cloud DNS](https://cloud.google.com/dns/docs/records)
+ [Namecheap](https://www.namecheap.com/support/knowledgebase/article.aspx/767/10/how-to-change-dns-for-a-domain/)
## Considerações sobre domínio (locatário da distribuição)
Quando um domínio está ativo, o controle do domínio foi estabelecido e o CloudFront responderá a todas as solicitações do visualizador a esse domínio. Depois de ativado, um domínio não pode ser desativado ou alterado para o status inativo. O domínio não poderá ser associado a outro recurso do CloudFront enquanto estiver em uso. Para associar o domínio a outra distribuição, use a solicitação [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) para mover o domínio de um recurso do CloudFront para outro.
Quando um domínio estiver inativo, o CloudFront não responderá às solicitações do visualizador ao domínio. Enquanto o domínio estiver inativo, observe o seguinte:
+ Se houver uma solicitação de certificado pendente, o CloudFront responderá às solicitações do caminho conhecido. Enquanto a solicitação estiver pendente, o domínio não poderá ser associado a nenhum outro recurso do CloudFront.
+ Se você não tiver uma solicitação de certificado pendente, o CloudFront responderá às solicitações para o domínio. Você pode associar o domínio a outros recursos do CloudFront.
+ Você pode ter somente *uma solicitação de certificado pendente* por locatário de distribuição. Cancele a solicitação pendente antes de solicitar outro certificado para domínios adicionais. Cancelar uma solicitação de certificado não exclui o certificado do ACM correspondente. Você pode excluí-lo usando a API do ACM.
+ Se você aplicar um novo certificado ao locatário da distribuição, o certificado anterior será desassociado. Você pode reutilizar o certificado para abranger o domínio de outro locatário de distribuição.
Assim como ocorre com as renovações de certificados validados por DNS, você receberá uma notificação quando a renovação do certificado for bem-sucedida. Você não precisa fazer nada. O CloudFront gerenciará automaticamente a renovação do certificado do seu domínio.
**nota**
Não é necessário chamar as operações de API do ACM para criar ou atualizar seus recursos de certificado. Você pode gerenciar os certificados usando as operações de API [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html) e [UpdateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionTenant.html) para especificar os detalhes da sua solicitação de certificado gerenciado.
## Domínios curinga (locatário de distribuição)
Os domínios curinga são compatíveis com locatários de distribuição nas seguintes situações:
+ Quando o caractere curinga é incluído no certificado compartilhado herdado da distribuição principal de vários inquilinos
+ Quando você usa um certificado TLS personalizado existente válido para seu inquilino de distribuição
# Criar grupo de conexões personalizado (opcional)
Por padrão, o CloudFront cria um grupo de conexões quando você cria uma distribuição multilocatário. O grupo de conexões controla como as solicitações de conteúdo do visualizador se conectam ao CloudFront.
Recomendamos que você use o grupo de conexões padrão. No entanto, se precisar isolar aplicações empresariais ou gerenciar grupos de locatários de distribuição separadamente, você poderá optar por criar um grupo de conexões personalizado. Por exemplo, talvez seja necessário mover um locatário da distribuição para um grupo de conexões separado se ele sofrer um ataque de DDoS. Dessa forma, você pode proteger outros locatários da distribuição contra impactos.
## Criar grupo de conexões personalizado (opcional)
Opcionalmente, você pode escolher criar um grupo de conexões personalizado para os locatários da distribuição.
**Como criar um grupo de conexões personalizado (opcional)**
1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).
1. No painel de navegação, selecione **Configurações**.
1. Ative as configurações de **Grupo de conexões**.
1. No painel de navegação, escolha **Grupos de conexões** e **Criar grupo de conexões**.
1. Em **Nome do grupo de conexões**, insira um nome para o grupo. Não é possível atualizar esse nome depois que o grupo de conexões é criado.
1. Em **IPv6**, especifique se você deseja habilitar esse IP. Para obter mais informações, consulte [Habilitar IPv6 (solicitações do visualizador)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6).
1. Em **Lista de IPs estáticos anycast**, especifique se deseja fornecer tráfego aos locatários da distribuição com base em um conjunto de endereços IP. Para ter mais informações, consulte [Lista de IPs estáticos anycast](request-static-ips.md).
1. (Opcional) Adicione tags ao grupo de conexões.
1. Escolha **Criar grupo de conexões**.
Você pode encontrar as configurações especificadas e também o ARN e o endpoint ao criar o grupo de conexões.
+ O ARN é semelhante ao seguinte exemplo: `arn:aws:cloudfront::123456789012:connection-group/cg_2uVbA9KeWaADTbKzhj9lcKDoM25`.
+ O endpoint é semelhante ao seguinte exemplo: d111111abcdef8.cloudfront.net.
Você pode editar ou excluir o grupo de conexões personalizado depois de criá-lo. Antes de excluir um grupo de conexões, exclua todos os locatários da distribuição associados a ele. Não é possível excluir o grupo de conexões padrão que o CloudFront criou quando você criou sua distribuição multilocatário.
**Importante**
Se você alterar o grupo de conexões de um locatário da distribuição, o CloudFront continuará a transportar tráfego para esse locatário, mas com maior latência. Recomendamos atualizar o registro de DNS desse locatário para usar o endpoint de roteamento do CloudFront do novo grupo de conexões.
Enquanto você não atualizar o registro de DNS, o CloudFront fará o roteamento com base nas configurações definidas do endpoint de roteamento para o qual o site está apontando no momento com o DNS. Por exemplo, suponha que o grupo de conexões padrão não use IPs estáticos anycast, mas o novo grupo de conexões personalizado use. Será necessário atualizar o registro de DNS para que o CloudFront use IPs estáticos anycast para os locatários da distribuição no grupo de conexões personalizado.
# Migrar uma distribuição multilocatário
Se você tiver uma distribuição padrão do CloudFront e quiser migrar para uma distribuição multilocatário, siga as etapas abaixo.
**Como migrar de uma distribuição padrão para uma distribuição multilocatário**
1. Revise as [Atributos não compatíveis](distribution-config-options.md#unsupported-saas).
1. Crie uma distribuição multilocatário com a mesma configuração da sua distribuição padrão, menos os recursos não compatíveis. Para obter mais informações, consulte [Criar uma distribuição do CloudFront no console](distribution-web-creating-console.md#create-console-distribution).
1. Crie um locatário de distribuição e adicione um nome de domínio alternativo pertencente a você.
**Atenção**
*Não* use o nome de domínio atual associado à sua distribuição padrão. Em vez disso, adicione um domínio de espaço reservado. Você transferirá seu domínio posteriormente. Para ter informações sobre como criar um locatário de distribuição, consulte [Criar uma distribuição do CloudFront no console](distribution-web-creating-console.md#create-console-distribution).
1. Forneça um certificado existente para o domínio do locatário de distribuição. Este é o certificado que cobrirá o domínio de espaço reservado e o domínio que você deseja mover.
1. Copie o endpoint de roteamento do CloudFront da página de detalhes de locatários de distribuição no console. Também é possível encontrá-lo usando a ação de API [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) na *Referência de API do Amazon CloudFront*.
1. Para verificar a propriedade do domínio, crie um registro DCV TXT com um prefixo de sublinhado ( \$1 ) que aponte para o endpoint de roteamento do CloudFront para seu locatário de distribuição. Para obter mais informações, consulte [Apontar domínios para o CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. Quando suas alterações forem propagadas, atualize o locatário da distribuição para usar o domínio que você usou anteriormente para a distribuição padrão.
+ **Console**: para obter instruções, consulte [Adicionar um domínio e um certificado (locatário da distribuição)](managed-cloudfront-certificates.md#vanity-domain-tls-tenant).
+ **API**: use a ação de API [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) na *Referência de API do Amazon CloudFront*.
**Importante**
Isso redefine a chave de cache do seu conteúdo. Depois disso, o CloudFront começa a armazenar seu conteúdo em cache usando a nova chave de cache. Para obter mais informações, consulte [Noções básicas sobre a chave de cache](understanding-the-cache-key.md).
1. Atualize seu registro DNS para apontar para seu domínio para o endpoint de roteamento do CloudFront do locatário da distribuição. Depois de concluir essa etapa, seu domínio estará pronto para servir tráfego para o seu locatário de distribuição. Para obter mais informações, consulte [Apontar domínios para o CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront).
1. (Opcional) Depois de migrar com sucesso seu domínio para um locatário de distribuição, você pode usar um certificado gerenciado diferente do CloudFront que cubra o nome de domínio do seu locatário de distribuição. Para solicitar um certificado gerenciado, crie um registro TXT separado para emitir o certificado e siga as etapas aqui em [Concluir configuração do domínio](managed-cloudfront-certificates.md#complete-domain-ownership).