CloudFront 函數的限制 - Amazon CloudFront
日誌請求內文搭配 使用臨時憑證 CloudFront KeyValueStore API執行期運算利用率

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudFront 函數的限制

下列限制僅適用於 CloudFront 函數。

如需配額 (先前稱為限制) 的相關資訊,請參閱 CloudFront 函數配額

日誌

函數中的 CloudFront 函數日誌被截斷為 10 KB。

請求內文

CloudFront 函數無法存取HTTP請求的內文。

搭配 使用臨時憑證 CloudFront KeyValueStore API

您可以使用 AWS Security Token Service (AWS STS) 來產生臨時安全憑證 (也稱為工作階段權杖 )。工作階段權杖可讓您暫時擔任 AWS Identity and Access Management (IAM) 角色,以便存取 AWS 服務。

若要呼叫 CloudFront KeyValueStore API,請使用 中的區域端點 AWS STS 來傳回第 2 版工作階段權杖。如果您使用 (sts.amazonaws.com) 的 AWS STS 全域端點, AWS STS 將產生 Signature 4A 版 (SigV4A不支援的第 1 版工作階段權杖。因此,您會收到身分驗證錯誤。

若要呼叫 CloudFront KeyValueStore API,您可以使用下列選項:

AWS CLI 和 AWS SDKs

您可以設定 AWS CLI 或 AWS SDK以使用區域 AWS STS 端點。如需詳細資訊,請參閱 AWS SDK和 工具參考指南 中的AWS STS 區域化端點

如需可用 AWS STS 端點的詳細資訊,請參閱 IAM 使用者指南 中的區域和端點

SAML

您可以設定 SAML以使用區域 AWS STS 端點。如需詳細資訊,請參閱如何使用區域SAML端點進行容錯移轉部落格文章。

SetSecurityTokenServicePreferences API

您可以設定 的全域端點 AWS STS 來傳回第 2 版工作階段權杖,而不是使用區域 AWS STS 端點。若要這麼做,請使用 SetSecurityTokenServicePreferencesAPI操作來設定您的 AWS 帳戶。

範例:IAMCLI命令
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
提示

建議您使用 AWS STS 區域端點,而非此選項。區域端點提供更高的可用性和容錯移轉案例。

自訂身分提供者

如果您使用的是執行聯合並擔任 角色的自訂身分提供者,請針對負責產生工作階段權杖的父身分提供者系統使用先前其中一個選項。

執行期

CloudFront Functions 執行期環境不支援動態程式碼評估,並限制對網路、檔案系統、環境變數和計時器的存取。如需詳細資訊,請參閱限制功能

注意

若要使用 CloudFront KeyValueStore,您的 CloudFront 函數必須使用JavaScript 執行期 2.0。

運算利用率

CloudFront 函數有執行所需時間的限制,測量方式為運算使用率 。運算利用率是介於 0 到 100 之間的數字,表示函數執行所花費的時間,以所允許時間上限的百分比表示。例如,35 的運算利用率表示函數以所允許時間上限的 35% 完成。

當您測試函數時,您可以在測試事件的輸出中看到運算利用率值。對於生產函數,您可以在 CloudFront 主控台 或 的監控頁面上檢視運算使用率指標 CloudWatch。