本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 分佈設定
以下值適用於整個分佈。
**Topics**
+ [價格分級](#DownloadDistValuesPriceClass)
+ [AWS WAF Web ACL](#DownloadDistValuesWAFWebACL)
+ [備用網域名稱 (CNAME)](#DownloadDistValuesCNAME)
+ [SSL 憑證](#DownloadDistValuesSSLCertificate)
+ [自訂 SSL 用戶端支援](#DownloadDistValuesClientsSupported)
+ [安全政策 (最低 SSL/TLS 版本)](#DownloadDistValues-security-policy)
+ [支援的 HTTP 版本](#DownloadDistValuesSupportedHTTPVersions)
+ [預設根物件](#DownloadDistValuesDefaultRootObject)
+ [標準記錄](#DownloadDistValuesLoggingOnOff)
+ [連線日誌](#DownloadDistValuesConnectionLogs)
+ [日誌字首](#DownloadDistValuesLogPrefix)
+ [Cookie 記錄](#DownloadDistValuesCookieLogging)
+ [啟用 IPv6 (檢視器請求)](#DownloadDistValuesEnableIPv6)
+ [交互身分驗證](#DownloadDistValuesMutualAuthentication)
+ [為自訂原始伺服器啟用 IPv6 (原始伺服器請求)](#DownloadDistValuesEnableIPv6-origin)
+ [Comment](#DownloadDistValuesComment)
+ [分佈狀態](#DownloadDistValuesEnabled)
## 價格分級
選擇對應您希望支付之 CloudFront 服務最高價的價格分級。根據預設,CloudFront 會從所有 CloudFront 區域的節點提供您的物件。
如需價格分級,以及您的價格分級選擇如何影響分佈的 CloudFront 效能詳細資訊,請參閱 [CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)。
## AWS WAF Web ACL
您可以使用 Web 應用程式防火牆 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf) 來保護 CloudFront 分發,該防火牆可讓您保護 Web 應用程式和 API,以便在請求到達伺服器之前封鎖請求。在建立或編輯 CloudFront 分發時,您可以 [為分佈啟用 AWS WAF](WAF-one-click.md)。
或者,您可以稍後在 AWS WAF 主控台 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 中為應用程式特有的其他威脅設定額外的安全保護。
如需 的詳細資訊 AWS WAF,請參閱 [AWS WAF 開發人員指南](https://docs.aws.amazon.com/waf/latest/developerguide/)。
## 備用網域名稱 (CNAME)
選用。指定一或多個您要用於物件 URL 的網域名稱,而非您建立分佈時 CloudFront 指派的網域名稱。您必須擁有網域名稱,或是擁有使用它的授權;您可以透過新增 SSL/TLS 憑證來進行驗證。
例如,若您希望物件的 URL:
`/images/image.jpg`
看起來像此 URL:
`https://www.example.com/images/image.jpg`
而不是此 URL:
`https://d111111abcdef8.cloudfront.net/images/image.jpg`
請新增 `www.example.com` 的 CNAME。
**重要**
若您將 `www.example.com` 的 CNAME 新增到您的分佈,您也必須執行以下作業:
使用您的 DNS 服務建立 (或更新) CNAME 記錄,以將 `www.example.com` 的查詢路由傳送到 `d111111abcdef8.cloudfront.net`。
將來自可信任憑證授權機構 (CA),涵蓋您新增至分佈網域名稱 (CNAME) 的憑證新增到 CloudFront,以驗證您使用該網域名稱的授權。
您必須擁有使用網域 DNS 服務提供者建立 CNAME 記錄的許可。通常,這表示您擁有網域,或者您正在為網域擁有者開發應用程式。
如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱[分佈的一般配額](cloudfront-limits.md#limits-web-distributions)。
如需備用網域名稱的詳細資訊,請參閱[透過新增備用網域名稱 (CNAME) 使用自訂 URL](CNAMEs.md)。如需 CloudFront URL 的詳細資訊,請參閱[自訂 CloudFront 中檔案的 URL 格式](LinkFormat.md)。
## SSL 憑證
若您指定要搭配分佈使用的備用網域名稱,請選擇 **Custom SSL Certificate (自訂 SSL 憑證)**,然後,為了驗證您的憑證使用其他網域名稱,請選擇涵蓋該名稱的憑證。如果您希望檢視器使用 HTTPS 存取您的物件,請選擇支援該功能的設定。
+ **預設 CloudFront 憑證 (\$1.cloudfront.net)** – 若您要在物件的 URL 中使用 CloudFront 網域名稱 (例如 `https://d111111abcdef8.cloudfront.net/image1.jpg`),請選擇此選項。
+ **自訂 SSL 憑證** – 若您希望在物件的 URL 中使用您自己的網域名稱,做為備用網域名稱 (例如 `https://example.com/image1.jpg`),請選擇此選項。然後要使用的憑證,其中涵蓋了備用網域名稱。憑證的清單可包括以下任何項目:
+ 提供的憑證 AWS Certificate Manager
+ 您從第三方憑證授權機構購買並上傳到 ACM 的憑證
+ 您從第三方憑證授權機構購買,並上傳到 IAM 憑證存放區的憑證
若您選擇此設定,我們建議您僅使用您物件 URL 中的備用網域名稱 (https://example.com/logo.jpg)。若您使用 CloudFront 分佈網域名稱 (https://d111111abcdef8.cloudfront.net/logo.jpg),而用戶端因使用較舊的檢視器而不支援 SNI,檢視器回應的方式會取決於您為**支援用戶端**所選取的值:
+ **所有用戶端**:檢視器會因為 CloudFront 網域名稱與您 SSL/TLS 憑證中的網域名稱不同而顯示警告。
+ **僅限支援伺服器名稱指示 (SNI) 的用戶端**:CloudFront 失去與檢視器的連線而不傳回物件。
## 自訂 SSL 用戶端支援
僅當您在 **SSL 憑證**選擇**自訂 SSL 憑證 (example.com)** 時才適用。如果您為分佈指定了一或多個備用網域名稱和自訂 SSL 憑證,請選擇您要 CloudFront 提供 HTTPS 請求的方式:
+ **支援伺服器名稱指示 (SNI) 的用戶端 - (建議)** — 使用此設定,幾乎所有現代網頁瀏覽器和用戶端都可以連線到分佈,因為它們都支援 SNI。不過,有些檢視器可能會使用較舊的網頁瀏覽器或不支援 SNI 的用戶端,這表示他們無法連線至分佈。
若要使用 CloudFront API 套用此設定,請在 `SSLSupportMethod` 欄位中指定 `sni-only`。在 CloudFormation中,欄位會命名為 `SslSupportMethod` (請注意大小寫)。
+ **舊式用戶端支援** — 使用此設定,不支援 SNI 的舊式網頁瀏覽器和用戶端就可以連線到分佈。不過,此設定每月會產生額外費用。如需確切的價格,請移至 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)頁面,然後搜尋**專用 IP 自訂 SSL** 的頁面。
若要使用 CloudFront API 套用此設定,請在 `SSLSupportMethod` 欄位中指定 `vip`。在 中 CloudFormation, 欄位會命名為 `SslSupportMethod`(請注意不同的大寫)。
如需詳細資訊,請參閱[選擇 CloudFront 提供 HTTPS 請求的方式](cnames-https-dedicated-ip-or-sni.md)。
## 安全政策 (最低 SSL/TLS 版本)
指定您希望 CloudFront 用於與檢視器 (用戶端) 之 HTTPS 連線的安全政策。安全政策判斷兩個設定:
+ CloudFront 用來與檢視器通訊的最低 SSL/TLS 通訊協定。
+ 加密,供 CloudFront 用來加密傳回給檢視器的內容。
如需安全原則 (包括每個原則所包含的通訊協定和密碼) 的詳細資訊,請參閱[檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
可用的安全政策取決於您為 **SSL Certificate (SSL 憑證)** 和 **Custom SSL Client Support (自訂 SSL 用戶端支援)** (在 CloudFront API 中稱為 `CloudFrontDefaultCertificate` 和 `SSLSupportMethod`) 指定的值:
+ 當 **SSL 憑證**為**預設 CloudFront 憑證 (\$1. cloudfront.net)** 時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `true`),CloudFront 會自動將安全政策設定為 TLSv1。
+ 當 **SSL 憑證**為**自訂 SSL 憑證 (example.com)**,*且***自訂 SSL 用戶端支援**為**支援伺服器名稱指示 (SNI) 的用戶端 - (建議使用)** 時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `false` *且* `SSLSupportMethod` 為 `sni-only`),您可以從下列安全政策中進行選擇:
+ TLSv1.3\$12025
+ TLSv1.2\$12025
+ TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016
+ TLSv1\$12016
+ TLSv1
+ 當 **SSL 憑證**為**自訂 SSL 憑證 (example.com)**,*且***自訂 SSL 用戶端支援**為**舊式用戶端支援**時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `false` *且* `SSLSupportMethod` 為 `vip`),您可以從下列安全政策中進行選擇:
+ TLSv1
+ SSLv3
在此組態中,無法在 CloudFront 主控台或 API 中使用 TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016 和 TLSv1\$12016 安全政策。如果您想要使用這些安全政策之一,您可以選擇下列選項:
+ 評估您的分佈是否需要具有專用 IP 位址的舊式用戶端支援。如果您的檢視器支援[伺服器名稱指示 (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication),我們建議您將分佈的**自訂 SSL 用戶端支援**設定更新為**支援伺服器名稱指示 (SNI) 的用戶端** (在 API 中則是將 `SSLSupportMethod` 設為 `sni-only`)。這可讓您使用任何可用的 TLS 安全政策,也可以降低 CloudFront 費用。
+ 如果您必須保留具有專用 IP 位址的舊式用戶端支援,則可以在 [AWS 支援中心](https://console.aws.amazon.com/support/home)建立案例,請求其他 TLS 安全原則之一 (TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016 或 TLSv1\$12016)。
**注意**
在您聯絡 AWS Support 請求此變更之前,請考慮下列事項:
當您將其中一個安全政策 (TLSv1.3\$12025,TLSv1.2\$12025,TLSv1.2\$12021,TLSv1.2\$12019,TLSv1.2\$12018,TLSv1.1\$12016,或 TLSv1\$12016) 新增至舊版用戶端支援分發時,安全政策會套用至您 AWS 帳戶中*所有*舊版用戶端支援分發*的所有*非 SNI 檢視器請求。不過,當檢視器將 SNI 請求傳送至具有舊式用戶端支援的分佈時,會套用該分佈的安全政策。若要確保將所需的安全政策套用至傳送至 AWS 帳戶中*所有* Legacy Client Support 分佈*的所有*瀏覽者請求,請將所需的安全政策個別新增至每個分佈。
根據定義,新的安全政策不支援舊版的相同密碼和通訊協定。例如,如果您選擇將分佈的安全政策從 TLSv1 升級到 TLSv1.1\$12016,則該分佈將不再支援 DES-CBC3-SHA 加密。如需每個安全政策所支援之密碼和通訊協定的詳細資訊,請參閱[檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
## 支援的 HTTP 版本
選擇您要在檢視器與 CloudFront 通訊時,您的分佈支援的 HTTP 版本。
針對使用 HTTP/2 的檢視器和 CloudFront,檢視器必須支援 TLSv1.2 或更新版本,和伺服器名稱指示 (SNI)。
針對使用 HTTP/3 的檢視器和 CloudFront,檢視器必須支援 TLSv1.3 和伺服器名稱指示 (SNI)。CloudFront 支援 HTTP/3 連線遷移功能,可讓檢視器在不遺失連線的情況下切換網路。如需連線遷移的詳細資訊,請參閱在 RFC 9000 的[連線遷移](https://www.rfc-editor.org/rfc/rfc9000.html#name-connection-migration)。
**注意**
如需支援 TLSv1.3 密碼的詳細資訊,請參閱 [檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
**注意**
如果您使用 Amazon Route 53,則可以使用 HTTPS 記錄,在用戶端支援通訊協定時允許通訊協定交涉做為 DNS 查詢的一部分。如需詳細資訊,請參閱[Create alias resource record set](CreatingCNAME.md#alternate-domain-https)。
## 預設根物件
選用。當檢視器請求分佈的根 URL 時 (`index.html`),您希望 CloudFront 向原始伺服器請求的物件 (例如 `https://www.example.com/`),而不是分佈中的物件 (`https://www.example.com/product-description.html`)。指定預設根物件可避免暴露分佈的內容。
該名稱的長度上限為 255 個字元。該名稱可以包含以下任何字元:
+ A-Z、a-z
+ 0-9
+ \$1 - . \$1 \$1 / \$1 " '
+ & 通過並以 `&` 傳回
當您指定預設根物件時,只需輸入物件名稱,例如,`index.html`。不要在物件名稱前新增 `/`。
如需詳細資訊,請參閱[指定預設根物件](DefaultRootObject.md)。
## 標準記錄
指定是否希望 CloudFront 記錄有關物件的每個請求的資訊並儲存日誌檔案。您可以隨時啟用或停用記錄。如果您啟用記錄功能,將不會收取額外費用,但您可以累計費用來存放及存取檔案。您隨時都可刪除日誌。
CloudFront 支援下列標準記錄選項:
+ [標準記錄 (v2)](standard-logging.md) – 您可以將日誌傳送至交付目的地,包括 Amazon CloudWatch Logs、Amazon Data Firehose 和 Amazon Simple Storage Service (Amazon S3)。
+ [標準記錄 (舊版)](AccessLogs.md) – 您只能將日誌傳送至 Amazon S3 儲存貯體。
## 連線日誌
當您開啟分佈的[交互身分驗證](#DownloadDistValuesMutualAuthentication)時,CloudFront 會提供連線日誌,以擷取傳送至分佈之請求的屬性。連線日誌包含的資訊包括用戶端 IP 地址和連接埠、用戶端憑證資訊、連線結果和正在使用的 TLS 密碼。然後,這些連線日誌可用於檢閱請求模式和其他趨勢。
若要進一步了解連線日誌,請參閱 [使用連線日誌的可觀測性](connection-logs.md)。
## 日誌字首
(選擇性) 若啟用標準記錄 (舊版),請指定您希望 CloudFront 加在此分佈之存取日誌檔名稱之前的字串 (如果需要),例如:`exampleprefix/`。結尾的斜線) (/) 是可選的,但建議簡化瀏覽日誌檔案。如需詳細資訊,請參閱[設定標準記錄 (舊式)](standard-logging-legacy-s3.md)。
## Cookie 記錄
如果您希望 CloudFront 在存取日誌中包含 Cookie,請選擇**開啟**。如果您選擇將 Cookie 包含在日誌中,那麼不管您如何為此分佈配置快取行為,CloudFront 都會記錄所有 Cookie:轉送所有 Cookie,不轉送 Cookie 或將指定的 Cookie 清單轉送至原始伺服器原始伺服器。
Amazon S3 不處理 Cookie,因此除非您的分佈還包含 Amazon EC2 或其他自訂原始伺服器原始伺服器,我們建議您選擇**關閉**做為 **Cookie 記錄**的值。
如需 Cookie 的詳細資訊,請參閱[根據 Cookie 快取內容](Cookies.md)。
## 啟用 IPv6 (檢視器請求)
如果您希望 CloudFront 回應來自 IPv4 和 IPv6 IP 位址的檢視器請求,請選取**啟用 IPv6**。如需詳細資訊,請參閱[為 CloudFront 分佈啟用 IPv6](cloudfront-enable-ipv6.md)。
## 交互身分驗證
選用。您可以選擇為 CloudFront 分佈開啟交互身分驗證。如需詳細資訊,請參閱[使用 CloudFront 進行相互 TLS 身分驗證 (檢視器 mTLS)原始伺服器與 CloudFront 的交互 TLS](mtls-authentication.md)。
## 為自訂原始伺服器啟用 IPv6 (原始伺服器請求)
當您使用自訂原始伺服器 (不含 Amazon S3 和 VPC 原始伺服器) 時,您可以自訂分佈的原始伺服器設定,以選擇 CloudFront 如何使用 IPv4 或 IPv6 位址連接到原始伺服器。如需詳細資訊,請參閱[為 CloudFront 分佈啟用 IPv6](cloudfront-enable-ipv6.md)。
## Comment
選用。當您建立分佈,您可以包含高達 128 個字元的評論。您隨時都可以更新評論。
## 分佈狀態
表示是否要在部署後啟用或停用該分佈:
+ *啟用*表示一旦分佈完全部署後,您就可以部署使用分佈的網域名稱的連結,使用者可以擷取內容。當分佈被啟用時,CloudFront 接受並處理使用與該分佈關聯的網域名稱的內容的任何最終使用者請求。
當建立、修改或刪除 CloudFront 分佈時,仍需要時間將您的變更傳播到 CloudFront 資料庫。對分佈資訊的立即請求可能不會顯示其變更。傳輸通常可在幾分鐘內完成,但此時可能會增加高系統負載或網路分區。
+ *停用*表示即使分佈可能已部署並可供使用,但使用者無法使用它。每當分佈停用時,CloudFront 不接受使用與該分佈關聯的網域名稱的任何最終使用者請求。在將分佈從停用狀態切換到啟用狀態之前 (透過更新分佈的組態),沒有人可以使用它。
您可以根據需要隨時在停用和啟用之間切換分佈。依照更新分佈組態處理。如需詳細資訊,請參閱[更新分佈](HowToUpdateDistribution.md)。