本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您建立分佈時,CloudFront 會為其提供網域名稱,例如 d111111abcdef8.cloudfront.net。您可以使用替代網域名稱 (也稱為 CNAME),而不是使用此提供的網域名稱。
若要了解如何使用自己的網域名稱,例如 www.example.com,請參閱下列主題:
使用備用網域名稱的需求
當您將備用網域名稱 (例如 www.example.com) 新增至 CloudFront 分佈時,下列為必要項目:
- 備用網域名稱必須是小寫
-
所有替代網域名稱 (CNAME) 都必須是小寫。
- 備用網域名稱必須由有效的 SSL/TLS 憑證涵蓋
-
若要將替代網域名稱 (CNAME) 新增到 CloudFront 分佈,必須將信任、有效且涵蓋替代網域名稱的 SSL/TLS 憑證連接到您的分佈。這可確保只有具備存取您網域憑證權限的人員能將與您網域相關的 CNAME 與 CloudFront 建立關聯。
信任憑證是由 AWS Certificate Manager (ACM) 或其他有效憑證授權機構 (CA) 發行的憑證。您可以使用自我簽署憑證來驗證現有的 CNAME,但不能用於新的 CNAME。CloudFront 支援與 Mozilla 相同的憑證授權機構。如需目前的清單,請參閱 Mozilla 內建 CA 憑證清單
。如需使用第三方 CA 時中繼憑證的相關資訊,請參閱 中繼憑證。 為了使用您連線的憑證驗證備用網域名稱 (包括包含萬用字元的備用網域名稱),CloudFront 會檢查憑證上的主體別名 (SAN)。您新增的備用網域名稱必須由 SAN 涵蓋。
注意
一次只能有一個憑證能連線到 CloudFront 分佈。
您可以執行以下作業,證明您已獲得授權,將特定的備用網域名稱新增到您的分佈:
附加包含替代網域名稱的憑證,例如 product-name.example.com。
連接網域名稱開頭包含 * 萬用字元的憑證,以使用單一憑證涵蓋多個子網域。當您指定萬用字元時,您可以在 CloudFront 中新增多個子網域做為備用網域名稱。
以下範例會示範如何在憑證作業中,於網域名稱內使用萬用字元來授權您在 CloudFront 中新增特定備用網域名稱。
您想要新增 marketing.example.com 做為替代網域名稱。在您的憑證中列出以下網域名稱:*.example.com。將此憑證連接到 CloudFront 後,您可以為您的分佈新增任何替代網域名稱,取代該層級的萬用字元,包括 marketing.example.com。您也可以新增下列備用網域名稱 (範例):
product.example.com
api.example.com
但是,您無法新增比萬用字元層級高或低的備用網域名稱。例如,您無法新增替代網域名稱 example.com 或 marketing.product.example.com。
您想要新增 mexample.com 做為替代網域名稱。若要執行此作業,您必須在您連接到分佈的憑證上列出網域名稱 example.com 本身。
您想要新增 marketing.product.example.com 做為替代網域名稱。若要執行此作業,您可以在憑證上列出 *.example.com,或是在憑證上列出 marketing.product.example.com。
- 變更 DNS 組態的許可
-
新增備用網域名稱時,必須建立 CNAME 紀錄,將替代網域名稱的 DNS 查詢路由到您的 CloudFront 分佈。若要執行此作業,您必須擁有為您正在使用備用網域名稱,使用 DNS 服務提供者建立 CNAME 記錄的許可。一般而言,這表示您擁有此網域,但您也可能是在為網域擁有者開發應用程式。
- 備用網域名稱和 HTTPS
-
若您希望檢視器搭配備用網域名稱使用 HTTPS,您必須完成額外設定。如需詳細資訊,請參閱使用替代網域名稱和 HTTPS。
使用備用網域名稱的限制
請在使用備用網域名稱時,注意以下限制:
- 備用網域名稱的數量上限
-
如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額。
- 重複和重疊的備用網域名稱
-
如果在另一個 CloudFront 分佈已有相同的替代網域名稱,即使您的 AWS 帳戶擁有其他分佈,您都無法將替代網域名稱新增到 CloudFront 分佈。
不過,您可以新增萬用字元替代網域名稱,例如 *.example.com,其中包含 (重疊) 非萬用字元的替代網域名稱,例如 www.example.com。如果您在兩個分佈中有重疊的備用網域名稱,無論 DNS 記錄指向哪個分佈,CloudFront 都會將請求傳送至名稱相符程度更具體的分佈。例如,marketing.domain.com 比 *.domain.com 更為具體。
如果您有指向 CloudFront 分佈的現有萬用字元 DNS 項目,且在嘗試新增具有更具體名稱的新 CNAME 時收到設定不正確的 DNS 錯誤,請參閱 當我嘗試新增 CNAME 時,CloudFront 會傳回設定不正確的 DNS 記錄錯誤。
- 網域 Fronting
-
CloudFront 包含保護在不同 AWS 帳戶中發生的網域 Fronting。網域前沿是一種案例,其中非標準用戶端會建立與某個 AWS 帳戶中網域名稱的 TLS/SSL 連線,然後對另一個 AWS 帳戶中的不相關名稱提出 HTTPS 請求。例如,TLS 連線可能會連線到 www.example.com,接著傳送 www.example.org 的 HTTP 請求。
為了防止網域前端跨不同 AWS 帳戶的情況,CloudFront 會確保擁有其針對特定連線所提供服務之憑證 AWS 的帳戶,一律符合擁有其在相同連線上處理之請求 AWS 的帳戶。
如果兩個 AWS 帳戶號碼不相符,CloudFront 會使用 HTTP 421 錯誤導向請求回應來回應,讓用戶端有機會使用正確的網域進行連線。
- 在網域的頂端節點 (Zone Apex) 新增備用網域名稱
-
如果您將備用網域名稱新增到分佈,您通常會在 DNS 組態中建立 CNAME 記錄以將網域名稱的 DNS 查詢路由到 CloudFront 分佈。不過,您不能為 DNS 命名空間,也稱為 Zone Apex 的頂端節點建立 CNAME 記錄;DNS 通訊協定不允許此操作。例如,如果您註冊 DNS 名稱 example.com,Zone Apex 就是 example.com。您無法為 example.com 建立 CNAME 紀錄,但可以為 www.example.com、newproduct.example.com 等建立 CNAME 紀錄。
如果您使用 Route 53 做為您的 DNS 服務,則可以建立別名資源紀錄集,其與 CNAME 記錄相比,有兩項優勢。您可以在頂端節點 (example.com) 建立網域名稱的別名資源紀錄集。此外,使用別名資源紀錄集時,您不需要支付 Route 53 查詢。
注意
如需詳細資訊,請參閱 Amazon Route 53 開發人員指南中的使用網域名稱將流量路由傳送到 Amazon CloudFront Web 分佈。
