本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解多租用戶分佈的運作方式
您可以使用可在多個分佈租用戶間重複使用的設定來建立 CloudFront 多租用戶分佈。透過多租用戶分佈,您可讓 CloudFront 根據您的內容原始伺服器類型設定您的分佈設定。如需上述預先設定項目的詳細資訊,請參閱 [預先設定的分佈設定參考](template-preconfigured-origin-settings.md)。
使用多租用戶分佈而非標準分佈的優勢包括:
+ 減少營運負擔。
+ 適用於 Web 管理員和軟體供應商的可重複使用組態,會用於管理多個 Web 應用程式的 CloudFront 分佈,這些 Web 應用程式會將內容交付給最終使用者。
+ 增強與其他 的整合 AWS 服務 ,以大規模提供自動化憑證管理、統一的安全控制和輕鬆的組態控制。
+ 在整個實作中維持一致的資源模式。定義必須共用的設定,然後為要覆寫的設定指定自訂項目。
+ 可自訂的原始伺服器和安全性設定,以滿足分佈租用戶層級的特定需求。
+ 將您的分佈租用戶組織到不同的層。例如,如果某些分佈租用戶需要 Origin Shield 而有些不需要,您可以將分佈租用戶分組為不同的多租用戶分佈。
+ 在多個網域之間共用通用 DNS 組態。
與標準分佈不同,多租用戶分佈無法直接存取,因為它沒有 CloudFront 路由端點。因此,它必須與連線群組和一或多個分佈租用戶搭配使用。雖然標準分佈有自己的 CloudFront 端點,且可供最終使用者直接存取,但無法用作其他分佈的範本。
如需多租用戶分佈配額的相關資訊,請參閱 [多租用戶配額](cloudfront-limits.md#limits-template)。
**Topics**
+ [運作方式](#how-template-distribution-works)
+ [條款](#template-distributions-concepts)
+ [不支援的功能](#unsupported-saas)
+ [分佈租用戶自訂](tenant-customization.md)
+ [為您的 CloudFront 分佈租用戶請求憑證](managed-cloudfront-certificates.md)
+ [建立自訂連線群組 (選用)](custom-connection-group.md)
+ [移轉至多租用戶分佈](template-migrate-distribution.md)
## 運作方式
在*標準分佈*中,分佈包含您想要為網站或應用程式啟用的所有設定,例如原始伺服器組態、快取行為和安全設定。如果您想要建立單獨的網站並使用許多相同的設定,則每次都需要建立新的分佈。
CloudFront 的多租用戶分佈有所不同,因為您可以建立一個初始的多租用戶分佈。對於每個新網站,您建立的分佈租用戶會自動繼承其來源分佈的定義值。然後,您可以自訂分佈租用戶的特定設定。
**概觀**
1. 若要開始使用,請先建立多租用戶分佈。CloudFront 會根據內容原始伺服器類型,為您設定分佈設定。您可以自訂 VPC 原始伺服器以外所有原始伺服器的設定。VPC 原始伺服器設定會在 VPC 原始伺服器資源本身上自訂。如需您可自訂之多租用戶分佈設定的詳細資訊,請參閱 [預先設定的分佈設定參考](template-preconfigured-origin-settings.md)。
+ 您用於多租用戶分佈的 TLS 憑證可由您的分佈租用戶繼承。多租用戶分佈本身無法路由,因此不會有與其相關聯的網域名稱。
1. 根據預設,CloudFront 會為您建立連線群組。連線群組會控制檢視器對內容的請求如何連接到 CloudFront。您可以在連線群組中自訂一些路由設定。
您可以手動建立自己的連線群組來變更此設定。如需詳細資訊,請參閱[建立自訂連線群組 (選用)](custom-connection-group.md)。
1. 然後,您可以建立一或多個分佈租用戶。分佈租用戶是檢視器存取內容的「前門」。每個分佈租用戶都會參考多租用戶分佈,並自動與 CloudFront 為您建立的連線群組建立關聯。分佈租用戶支援個別網域或子網域。
1. 然後,您可以自訂一些分佈租用戶設定,例如虛設網域和原始伺服器路徑。如需詳細資訊,請參閱[分佈租用戶自訂](tenant-customization.md)。
1. 最後,您必須更新 DNS 主機中的 DNS 記錄,將流量路由到分佈租用戶。若要執行此操作,請從連線群組取得 CloudFront 端點值,並建立指向 CloudFront 端點的 CNAME 記錄。
**Example 範例**
下圖示範多租用戶分佈、分佈租用戶和連線群組如何協同運作,為多個網域的檢視器提供內容。
1. 多租用戶分佈會定義每個分佈租用戶的繼承設定。您可以使用多租用戶分佈做為範本。
1. 從多租用戶分佈建立的每個分佈租用戶都有自己的網域。
1. 在您建立多租用戶分佈時,會自動將分佈租用戶加入 CloudFront 為您建立的連線群組中。連線群組控制檢視器請求如何連線到 CloudFront 網路。
![\[多租用戶分佈如何與分佈租用戶搭配使用。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudFront/latest/DeveloperGuide/images/template_distribution.png)
如需多租用戶分佈建立說明的詳細資訊,請參閱 [在主控台中建立 CloudFront 分佈](distribution-web-creating-console.md#create-console-distribution)。
## 條款
下列概念說明多租用戶分佈的元件:
**多租用戶分佈**
藍圖、多租用戶分佈,指定任何分佈租用戶的所有共用組態設定,包括快取行為、安全保護和原始伺服器。多租用戶分佈無法直接提供流量。它們必須與連線群組和分佈租用戶搭配使用。
**標準分佈**
沒有多租用戶功能的分佈。這些分佈最適合支援單一網站或應用程式。
**分佈租用戶**
分佈租用戶會繼承多租用戶分佈組態。某些組態設定可以在分佈租用戶層級自訂。分佈租用戶必須擁有有效的 TLS 憑證,只要涵蓋分佈租用戶網域或子網域,就可以從多租用戶分佈進行繼承。
分佈租用戶都必須與一個連線群組建立關聯。CloudFront 會在您建立分佈租用戶時為您建立連接群組,並自動將任何分佈租用戶指派給該連接群組。
**多租用**
您可以使用多租用戶分佈跨多個網域提供內容,同時共用組態和基礎設施。這種方法允許不同的網域 (稱為租用戶) 從多租用戶分佈共用常見設定,同時維護自己的自訂。
**連線群組**
提供為檢視器提供內容的 CloudFront 路由端點。您必須將每個分佈租用戶與連線群組建立關聯,以取得您為分佈租用戶網域或子網域建立的 CNAME 記錄對應的 CloudFront 路由端點。連線群組可以在多個分佈租用戶之間共用。連線群組會管理分佈租用戶的路由設定,例如 IPv6 和 Anycast IP 清單設定。
**Parameters**
預留位置值的索引鍵/值對清單,例如原始伺服器路徑和網域名稱。您可以在多租用戶分佈中定義參數,並在分佈租用戶層級提供這些參數的值。您可以選擇是否需要為分佈租用戶輸入參數值。
如果您未在分佈租用戶中提供選用參數的值,則會使用多租用戶分佈的預設值作為值。
**CloudFront 路由端點**
連線群組的正式 DNS,例如 `d123.cloudfront.net`。用於分佈租用戶網域或子網域的 CNAME 記錄中。
**自訂**
您可以自訂分佈租用戶,使其使用與多租用戶分佈*不同的*設定。對於每個分佈租用戶,您可以指定不同的 AWS WAF Web 存取控制清單 (ACL)、TLS 憑證和地理限制。
## 不支援的功能
下列功能無法與多租用戶分佈搭配使用。如果您想使用與標準分佈相同的設定建立新的多租用戶分佈,請注意某些設定不可用。
**備註**
目前, AWS Firewall Manager 政策僅適用於您的標準分佈。Firewall Manager 將在未來版本中新增對多租用戶分佈的支援。
與標準分佈不同,您可以在*分佈租用戶*層級指定網域名稱 (別名)。如需詳細資訊,請參閱 [為您的 CloudFront 分佈租用戶請求憑證](managed-cloudfront-certificates.md) 和 [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html) API 操作。
+ [持續部署](continuous-deployment.md)
+ [原始存取身分 (OAI)](private-content-restricting-access-to-s3.md#private-content-restricting-access-to-s3-oai) – 請改用[原始存取控制 (OAC)](private-content-restricting-access-to-origin.md)。
+ [專用 IP 自訂 SSL 支援](DownloadDistValuesGeneral.md#DownloadDistValuesClientsSupported) – 僅支援 `sni-only` 方法。
+ [AWS WAF Classic (V1) Web ACL](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL) – 僅支援 AWS WAF V2 Web ACLs。
+ [標準記錄 (舊版)](standard-logging-legacy-s3.md)
+ [最小 TTL](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMinTTL)
+ [預設 TTL](DownloadDistValuesCacheBehavior.md#DownloadDistValuesDefaultTTL)
+ [最大 TTL](DownloadDistValuesCacheBehavior.md#DownloadDistValuesMaxTTL)
+ [ForwardedValues](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ForwardedValues.html)
+ [PriceClass](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_DistributionConfig.html)
+ [可信簽署者](DownloadDistValuesCacheBehavior.md#DownloadDistValuesTrustedSigners)
+ [Smooth Streaming](DownloadDistValuesCacheBehavior.md#DownloadDistValuesSmoothStreaming)
+ [AWS Identity and Access Management (IAM) 伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)
+ [專用 IP 位址](cnames-https-dedicated-ip-or-sni.md#cnames-https-dedicated-ip)
+ [最低通訊協定版本 SSLv3](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy)
下列設定無法在多租用戶分佈或分佈租用戶中進行設定。反之,請在連線群組中設定您想要的值。連線群組中關聯的所有分佈租用戶都會使用這些設定。如需詳細資訊,請參閱[建立自訂連線群組 (選用)](custom-connection-group.md)。
+ [啟用 IPv6 (檢視器請求)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6)
+ [Anycast 靜態 IP 清單](request-static-ips.md)
# 分佈租用戶自訂
使用多租用戶分佈時,您的分佈租用戶會繼承多租用戶分佈組態。不過,您可以在分佈租用戶層級自訂一些設定。
您可以自訂下列項目:
+ **參數** – 參數是可用於原始網域或原始路徑的鍵/值對。請參閱 [參數如何與分佈租用戶搭配使用](#tenant-customize-parameters)。
+ **AWS WAF Web ACL (V2)** – 您可以為分佈租用戶指定單獨的 Web ACL,這會*覆寫*用於多租用戶分佈的 Web ACL。您也可以針對特定分佈租用戶停用此設定,這表示分佈租用戶不會繼承多租用戶分佈的 Web ACL 保護。如需詳細資訊,請參閱[AWS WAF Web ACL](DownloadDistValuesGeneral.md#DownloadDistValuesWAFWebACL)。
+ **地理限制 **– 您為分佈租用戶指定的地理限制會*覆寫*多租用戶分佈的任何地理限制。例如,如果您在多租用戶分佈中封鎖德國 (DE),則所有關聯的分佈租用戶也會封鎖 DE。不過,如果您允許特定分佈租用戶的 DE,該分佈租用戶設定將覆寫多租用戶分佈的設定。如需詳細資訊,請參閱[限制您內容的地理分佈](georestrictions.md)。
+ **失效路徑** – 指定您要讓分佈租用戶失效之內容的檔案路徑。如需詳細資訊,請參閱[使檔案失效](Invalidation_Requests.md)。
+ **自訂 TLS 憑證** – 您為分佈租用戶指定的 AWS Certificate Manager (ACM) 憑證是多租用戶分佈中提供憑證的補充。不過,如果多租用戶分佈和分佈租用戶憑證都涵蓋相同的網域,則會使用租用戶憑證。如需詳細資訊,請參閱[為您的 CloudFront 分佈租用戶請求憑證](managed-cloudfront-certificates.md)。
+ **網域名稱** – 您必須為每個分佈租用戶指定至少一個網域名稱。
## 參數如何與分佈租用戶搭配使用
參數是可用於預留位置值的鍵/值對。定義您想要在多租用戶分佈中使用的參數,並指定是否需要這些參數。
在多租用戶分佈中定義參數時,您要選擇在分佈租用戶層級中是否需要輸入那些參數。
+ 如果您在多租用戶分佈中*根據需要*定義參數,則必須在分佈租用戶層級輸入這些參數。(它們不會被繼承)。
+ 如果*不需要*這些參數,您可以在分佈租用戶繼承的多租用戶分佈中提供預設值。
您可以使用以下屬性中的參數:
+ 原始網域名稱
+ 原始伺服器路徑
在多租用戶分佈中,您可以為每個上述屬性定義最多兩個參數。
## 範例參數
請參閱下列範例,以使用網域名稱和原始路徑的參數。
**網域名稱參數**
在多租用戶分佈組態中,您可以定義原始網域名稱的參數,如下列範例所示:
**Amazon S3**
+ `{{parameter1}}.amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
+ `{{parameter1}}–amzn-s3-demo-logging-bucket.s3.us-east-1.amazonaws.com`
**自訂原始伺服器**
+ `{{parameter1}}.lambda-url.us-east-1.on.aws`
+ `{{parameter1}}.mediapackagev2.ap-south-1.amazonaws.com`
當您建立分佈租用戶時,請指定要用於 `parameter1` 的值。
```
"Parameters": [
{
"Name": "parameter1",
"Value": "mycompany-website"
}
]
```
使用在多租用戶分佈中指定的先前範例,分佈租用戶的原始網域名稱解析如下:
+ `mycompany-website.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website–amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`
+ `mycompany-website.lambda-url.us-east-1.on.aws`
+ `mycompany-website.mediapackagev2.ap-south-1.amazonaws.com`
**原始伺服器路徑參數**
同樣地,您可以在多租用戶分佈中定義原始伺服器路徑的參數,如下列範例所示:
+ `/{{parameter2}}`
+ `/{{parameter2}}/test`
+ `/public/{{parameter2}}/test`
+ `/search?name={{parameter2}}`
當您建立分佈租用戶時,請指定要用於 `parameter2` 的值。
```
"Parameters": [
{
"Name": "parameter2",
"Value": "myBrand"
}
]
```
使用在多租用戶分佈中指定的先前範例,分佈租用戶的原始伺服器路徑解析如下:
+ `/myBrand`
+ `/myBrand/test`
+ `/public/myBrand/test`
+ `/search?name=myBrand`
**Example 範例**
您想要為您的客戶建立多個網站 (租用戶),而且您需要確保每個分佈租用戶資源都使用正確的值。
1. 您可以建立多租用戶分佈,並包含分佈租用戶組態的兩個參數。
1. 對於原始網域名稱,您可以建立名為 *customer-name* 的參數,並指定這是必要的。您會在 S3 儲存貯體之前輸入參數,使其顯示為:
`{{customer-name}}.amzn-s3-demo-bucket3.s3.us-east-1.amazonaws.com`.
1. 對於原始伺服器路徑,您可以建立名為 *my-theme* 的第二個參數,並指定它是選用的,預設值為*基本*。您的原始路徑顯示為:`/{{my-theme}}`
1. 當您建立分佈租用戶時:
+ 對於網域名稱,您必須指定 *customer-name* 的值,因為它在多租用戶分佈中標記為必要。
+ 對於原始路徑,您可以選擇指定 *my-theme* 的值或使用預設值。
# 為您的 CloudFront 分佈租用戶請求憑證
當您建立分佈租用戶時,租用戶會從多租用戶分佈繼承共用 AWS Certificate Manager (ACM) 憑證。此共用憑證會為與多租用戶分佈相關聯的所有租用戶提供 HTTPS。
當您建立或更新 CloudFront 分佈租用戶以新增網域時,您可以從 ACM 新增受管 CloudFront 憑證。然後 CloudFront 會代表您從 ACM 取得 HTTP 驗證的憑證。您可以將此租用戶層級 ACM 憑證用於自訂網域組態。CloudFront 可簡化續約工作流程,以協助讓憑證保持最新,並且確保內容交付不中斷。
**注意**
您雖擁有憑證,但它*只能*與 CloudFront 資源搭配使用,且*無法*匯出私有金鑰。
您可以在建立或更新分佈租用戶時請求憑證。
**Topics**
+ [新增網域和憑證 (分佈租用戶)](#vanity-domain-tls-tenant)
+ [完成網域設定](#complete-domain-ownership)
+ [將網域指向 CloudFront](#point-domains-to-cloudfront)
+ [網域考量 (分佈租用戶)](#tenant-domain-considerations)
+ [萬用字元網域 (分佈租用戶)](#tenant-wildcard-domains)
## 新增網域和憑證 (分佈租用戶)
下列程序說明如何新增網域並更新分佈租用戶的憑證。
**新增網域和憑證 (分佈租用戶)**
1. 登入 AWS 管理主控台 ,並在 開啟 CloudFront 主控台[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)。
1. 在 **SaaS** 下,選擇**分佈租用戶**。
1. 搜尋分佈租用戶。使用搜尋列中的下拉式功能表,並且依網域、名稱、分佈 ID、憑證 ID、連線群組 ID 或 Web ACL ID 進行篩選。
1. 選擇分佈租用戶的名稱。
1. 針對**網域**,選擇**管理網域**。
1. 針對**憑證**,選擇您是否要為分佈租用戶建立**自訂 TLS 憑證**。憑證會驗證您是否獲授權使用網域名稱。憑證必須存在於美國東部 (維吉尼亞北部) 區域。
1. 針對**網域**,選擇**新增網域**,然後輸入網域名稱。根據您的網域,以下訊息會顯示在您輸入的網域名稱下。
+ 此網域由憑證涵蓋。
+ 此網域由憑證涵蓋,待驗證。
+ 憑證未涵蓋此網域。(這表示您必須驗證網域擁有權。)
1. 選擇**更新分佈租用戶**。
在租用戶詳細資訊頁面的**網域**下,您可以看到下列欄位:
+ **網域擁有權** – 網域擁有權的狀態。您必須先使用 TLS 憑證驗證來驗證您的網域擁有權,CloudFront 才能提供內容。
+ **DNS 狀態** – 網域的 DNS 記錄必須指向 CloudFront 才能正確路由流量。
1. 如果您的網域擁有權未經過驗證,請在租用戶詳細資訊頁面的**網域**下,選擇**完成網域設定**,然後完成下列程序,以將 DNS 記錄指向您的 CloudFront 網域名稱。
## 完成網域設定
請依照這些程序來驗證您是否擁有分佈租用戶的網域。根據您的網域,選擇下列其中一個程序。
**注意**
如果您的網域已指向具有 Amazon Route 53 別名記錄的 CloudFront,則必須在網域名稱前面使用 `_cf-challenge.` 新增 DNS TXT 記錄。此 TXT 記錄會驗證您的網域名稱是否已連結至 CloudFront。針對每個網域重複此步驟。以下說明如何更新您的 TXT 記錄:
記錄名稱:`_cf-challenge.DomainName`
記錄類型:`TXT`
記錄值:`CloudFrontRoutingEndpoint`
例如,您的 TXT 記錄可能如下所示:`_cf-challenge.example.com TXT d111111abcdef8.cloudfront.net`
您可以在分佈租用戶詳細資訊頁面主控台中找到您的 CloudFront 路由端點,或使用《*Amazon CloudFront API 參考*》中的 [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) API 動作來尋找它。
**提示**
如果您是 SaaS 供應商,而且想要允許憑證發行,而不需要您的客戶 (租用戶) 將 TXT 記錄直接新增至其 DNS,請執行下列動作:
如果您擁有網域 `example-saas-provider.com`,請將子網域指派給租用戶,例如 `customer-123.example-saas-provider.com`
在您的 DNS 中,將 `_cf-challenge.customer-123.example-saas-provider.com TXT d111111abcdef8.cloudfront.net` TXT 記錄新增至您的 DNS 組態。
接下來,您的客戶 (租用戶) 可以更新自己的 DNS 記錄,將他們的網域名稱映射到您提供的子網域。
`www.customer-domain.com CNAME customer-123.example-saas-provider.com`
------
#### [ I have existing traffic ]
如果您的網域無法容忍停機時間,請選取此選項。您必須能夠存取您的原始伺服器/網路伺服器。使用下列程序來驗證網域擁有權。
**在擁有現有流量時完成網域設定**
1. 針對**指定您的 Web 流量**,選擇**我有現有流量**,然後選擇**下一步**。
1. 針對**驗證網域擁有權**,選擇下列其中一個選項:
+ **使用現有憑證** – 搜尋現有的 ACM 憑證或輸入涵蓋所列網域的憑證 ARN。
+ **手動檔案上傳** – 選擇您是否具有將檔案上傳到 Web 伺服器的直接存取權。
針對每個網域,建立包含來自**字符位置**之驗證字符的純文字檔案,並將其上傳至現有伺服器上指定**檔案路徑**的原始伺服器。此檔案的路徑可能如以下範例所示:`/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt`。完成該步驟後,ACM 會驗證字符,然後發出網域的 TLS 憑證。
+ **HTTP 重新導向** – 如果您沒有將檔案上傳至 Web 伺服器的直接存取權,或者您使用 CDN 或代理服務,請選擇此選項。
針對每個網域,在現有伺服器上建立 301 重新導向。複製**重新導向自**下的已知路徑,並指向**重新導向至**下的指定憑證端點。您的重新導向看起來可能與以下範例相似:
```
If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
```
**注意**
您可以選擇**檢查憑證狀態**,以驗證 ACM 何時發出網域的憑證。
1. 選擇**下一步**。
1. 完成 [將網域指向 CloudFront](#point-domains-to-cloudfront) 的步驟。
------
#### [ I don't have traffic ]
如果您要新增網域,請選取此選項。CloudFront 會為您管理憑證驗證。
**如果您沒有流量,請完成網域設定**
1. 針對**指定您的 Web 流量**,選擇**我還沒有流量**。
1. 針對每個網域名稱,完成 [將網域指向 CloudFront](#point-domains-to-cloudfront) 的步驟。
1. 更新每個網域名稱的 DNS 記錄後,請選擇**下一步**。
1. 等待憑證發出。
**注意**
您可以選擇**檢查憑證狀態**,以驗證 ACM 何時發出網域的憑證。
1. 選擇**提交**。
------
## 將網域指向 CloudFront
更新您的 DNS 記錄,將流量從每個網域路由到 CloudFront 路由端點。您可以有多個網域名稱,但必須全部解析為此端點。
**將網域指向至 CloudFront**
1. 複製 CloudFront 路由端點值,例如 d111111abcdef8.cloudfront.net。
1. 更新您的 DNS 記錄,將流量從每個網域路由到 CloudFront 路由端點。
1. 登入您的網域註冊商或 DNS 提供者管理主控台。
1. 導覽至網域的 DNS 管理區段。
+ **對於子網域** – 建立 CNAME 記錄。例如:
+ **名稱** – 您的子網域 (例如 `www` 或 `app`)
+ **值/目標** – CloudFront 路由端點
+ **記錄類型** – CNAME
+ **TTL** – 3600 (或任何適合您的使用案例)
+ **對於 apex/root 網域** – 這需要唯一的 DNS 組態,因為無法在根網域或 apex 網域層級使用標準 CNAME 記錄。由於大多數 DNS 供應商不支援 ALIAS 記錄,因此建議您在 Route 53 中建立 ALIAS 記錄。例如:
+ **名稱 **– 您的 Apex 網域 (例如 `example.com`)
+ **記錄類型** – A
+ **別名** – 是
+ **別名目標** – 您的 CloudFront 路由端點
+ **路由政策** – 簡單 (或任何適合您的使用案例)
1. 確認 DNS 變更已傳播。(這通常發生在 TTL 過期時,有時可能需要 24-48 小時。) 使用 `dig` 或 `nslookup` 等工具。
```
dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint
```
1. 返回 CloudFront 主控台,然後選擇**提交**。當您的網域處於作用中狀態時,CloudFront 會更新網域狀態,以指出您的網域已準備好為流量提供服務。
如需詳細資訊,請參閱您的 DNS 提供者的文件:
+ [Cloudflare](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/)
+ [ClouDNS](https://www.cloudns.net/wiki/article/9/)
+ [DNSimple](https://support.dnsimple.com/categories/dns/)
+ [Gandi.net](https://www.gandi.net/)
+ [GoDaddy](https://www.godaddy.com/help/manage-dns-records-680)
+ [Google 雲端 DNS](https://cloud.google.com/dns/docs/records)
+ [名稱表](https://www.namecheap.com/support/knowledgebase/article.aspx/767/10/how-to-change-dns-for-a-domain/)
## 網域考量 (分佈租用戶)
當網域處於作用中狀態時,網域控制便已建立,且 CloudFront 會回應此網域的所有檢視器請求。一旦啟用,網域就無法停用或變更為非作用中狀態。當網域已在使用時,便無法與另一個 CloudFront 資源建立關聯。若要將網域與另一個分佈建立關聯,請使用 [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) 請求將網域從一個 CloudFront 資源移至另一個資源。
當網域處於非作用中狀態時,CloudFront 不會回應檢視器對網域的請求。當網域處於非作用中狀態時,請注意下列事項:
+ 如果您有待定的憑證請求,CloudFront 會回應已知路徑的請求。當請求擱置時,網域便無法與任何其他 CloudFront 資源建立關聯。
+ 如果您沒有待定的憑證請求,CloudFront 便不會回應網域的請求。您可以將網域與其他 CloudFront 資源建立關聯。
+ 每個分佈租用戶只能有*一個待定憑證請求*。您必須先取消現有的待定請求,才能為其他網域請求另一個憑證。取消現有的憑證請求不會刪除相關聯的 ACM 憑證。您可使用 ACM API 來刪除該憑證。
+ 如果您將新憑證套用至分佈租用戶,這將取消與先前憑證的關聯。您可以重複使用憑證來涵蓋另一個分佈租用戶的網域。
如同 DNS 驗證憑證的續約,當憑證續約成功時,您將會收到通知。不過,您不需要執行任何其他動作。CloudFront 會自動管理網域的憑證續約。
**注意**
您不需要呼叫 ACM API 操作來建立或更新憑證資源。您可以使用 [CreateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_CreateDistributionTenant.html) 和 [UpdateDistributionTenant](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistributionTenant.html) API 操作來指定受管憑證請求的詳細資訊,以管理您的憑證。
## 萬用字元網域 (分佈租用戶)
在下列情況中,分佈租用戶支援萬用字元網域:
+ 當萬用字元包含在從上層多租用戶分佈繼承的共用憑證中時
+ 當您為分佈租用戶使用有效的現有自訂 TLS 憑證時
# 建立自訂連線群組 (選用)
根據預設,CloudFront 會在您建立多租用戶分佈時為您建立連線群組。連線群組會控制檢視器對內容的請求如何連接到 CloudFront。
我們建議您使用預設連線群組。不過,如果您需要隔離企業應用程式或分別管理分佈租用戶群組,您可以選擇建立自訂連線群組。例如,如果分佈租用戶遇到 DDoS 攻擊,您可能需要將分佈租用戶移至單獨的連線群組。如此一來,您就可以保護其他分佈租用戶免受影響。
## 建立自訂連線群組 (選用)
或者,您可以選擇為分佈租用戶建立自訂連線群組。
**建立自訂連線群組 (選用)**
1. 登入 AWS 管理主控台 ,並在 開啟 CloudFront 主控台[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)。
1. 在導覽窗格中,選擇**設定**。
1. 開啟**連線群組**設定。
1. 在導覽窗格中,選擇**連線群組**,然後選擇**建立連線群組**。
1. 針對**連線群組名稱**,輸入連線群組的名稱。建立連線群組後,您就無法更新此名稱。
1. 針對 **IPv6**,指定您是否要啟用此 IP 通訊協定。如需詳細資訊,請參閱[啟用 IPv6 (檢視器請求)](DownloadDistValuesGeneral.md#DownloadDistValuesEnableIPv6)。
1. 針對 **Anycast 靜態 IP 清單**,指定您是否要從一組 IP 位址將流量交付給您的分佈租用戶。如需詳細資訊,請參閱 [Anycast 靜態 IP 清單](request-static-ips.md)。
1. (選用) 將標籤新增至您的連線群組。
1. 選擇**建立連線群組**。
連線群組建立後,您可以找到指定的設定,以及 ARN 和端點。
+ ARN 看起來會如以下範例:`arn:aws:cloudfront::123456789012:connection-group/cg_2uVbA9KeWaADTbKzhj9lcKDoM25`
+ 端點看起來會像下列範例:d111111abcdef8.cloudfront.net
您可以在建立自訂連線群組之後對其進行編輯或刪除。您必須先刪除所有相關聯的分佈租用戶,才能刪除連線群組。您無法刪除 CloudFront 在您建立多租用戶分佈時為您建立的預設連線群組。
**重要**
如果您變更分佈租用戶的連線群組,CloudFront 將繼續承載分佈租用戶的流量,但延遲會增加。我們建議您更新分佈租用戶的 DNS 記錄,以使用來自新連線群組的 CloudFront 路由端點。
在您更新 DNS 紀錄之前,CloudFront 會根據目前網站在 DNS 中所指向的路由端點設定進行路由。例如,假設您的預設連線群組不使用 Anycast 靜態 IP,但您的新自訂連線群組會使用。您必須先更新 DNS 記錄,CloudFront 才會將 Anycast 靜態 IP 用於您自訂連線群組中的分佈租用戶。
# 移轉至多租用戶分佈
如果您有 CloudFront 標準分佈,並且想要移轉到多租用戶分佈,請遵循以下步驟。
**從標準分佈移轉到多租用戶分佈**
1. 請參閱[不支援的功能](distribution-config-options.md#unsupported-saas)。
1. 建立與標準分佈具有相同組態的多租用戶分佈,減去不支援的功能。如需詳細資訊,請參閱[在主控台中建立 CloudFront 分佈](distribution-web-creating-console.md#create-console-distribution)。
1. 建立分佈租用戶,並新增您擁有的替代網域名稱。
**警告**
*請勿*使用與標準分佈相關聯的目前網域名稱。請改為新增預留位置網域。稍後您將移動您的網域。如需有關建立分佈租用戶的詳細資訊,請參閱 [在主控台中建立 CloudFront 分佈](distribution-web-creating-console.md#create-console-distribution)。
1. 為分佈租用戶網域提供現有憑證。這是將涵蓋預留位置網域和您要移動之網域的憑證。
1. 從主控台的分佈租用戶詳細資訊頁面複製 CloudFront 路由端點。或者,您也可以使用《Amazon CloudFront API 參考》**中的 [ListConnectionGroups](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListConnectionGroups.html) API 動作來尋找它。
1. 若要驗證網域擁有權,請使用底線 ( \$1 ) 字首建立 DCV TXT 記錄,該字首指向分佈租用戶的 CloudFront 路由端點。如需詳細資訊,請參閱[將網域指向 CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront)。
1. 當您的變更傳播完成後,請更新您的分佈租用戶,以使用您先前用於標準分佈的網域。
+ **主控台** – 如需詳細說明,請參閱 [新增網域和憑證 (分佈租用戶)](managed-cloudfront-certificates.md#vanity-domain-tls-tenant)。
+ **API** – 使用《Amazon CloudFront API 參考》**中的 [UpdateDomainAssociation](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDomainAssociation.html) API 動作。
**重要**
這會重設內容的快取金鑰。之後,CloudFront 會開始使用新的快取金鑰快取您的內容。如需詳細資訊,請參閱[了解快取金鑰](understanding-the-cache-key.md)。
1. 更新您的 DNS 記錄,將網域指向分佈租用戶的 CloudFront 路由端點。完成此步驟後,您的網域將準備好將流量提供給分佈租用戶。如需詳細資訊,請參閱[將網域指向 CloudFront](managed-cloudfront-certificates.md#point-domains-to-cloudfront)。
1. (選用) 在成功將網域移轉至分佈租用戶後,您可以使用涵蓋分佈租用戶網域名稱的不同 CloudFront 受管憑證。若要請求受管憑證,請建立個別的 TXT 記錄來發行憑證,並遵循 [完成網域設定](managed-cloudfront-certificates.md#complete-domain-ownership) 中的步驟。