分佈設定參考 - Amazon CloudFront
原始設定快取行為設定分佈設定自訂錯誤頁面和錯誤快取地理限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

分佈設定參考

當您使用CloudFront主控台建立新的分佈或更新現有分佈時,您可以指定下列值。

如需使用 CloudFront主控台建立或更新分佈的詳細資訊,請參閱 建立分發更新分佈

原始設定

當您使用 CloudFront 主控台建立或更新分佈時,您會提供一或多個位置的相關資訊,稱為原始伺服器 ,您可以在其中存放原始版本的 Web 內容。 會從原始伺服器 CloudFront 取得 Web 內容,並透過全球邊緣伺服器網路提供給觀眾。

如需您可為分佈建立之原始伺服器數量的目前上限,或是有關請求更高配額的詳細資訊,請參閱 分佈的一般配額

如果您想要刪除原始來源,則必須先編輯或刪除與該原始來源相關聯的快取行為。

重要

如果您要刪除原始來源,請確認之前由該原始來源提供的檔案,可在另一個原始來源中使用,而且您的快取行為現在正將這些檔案的請求,路由傳送到新的原始來源。

當您建立或更新分佈時,請為每個原始來源指定以下值。

原始網域

原始網域是 資源的DNS網域名稱,其中 CloudFront 會取得原始伺服器的物件,例如 Amazon S3 儲存貯體或HTTP伺服器。例如:

  • Amazon S3 儲存貯體amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com

    注意

    如果您最近建立了 S3 儲存貯體, CloudFront 則分發可能會傳回HTTP 307 Temporary Redirect回應長達 24 小時。S3 儲存貯體名稱最多可能需要 24 小時才能傳播至所有 AWS 區域。傳播完成後,分佈會自動停止傳送這些重新引導回應;您不需要執行任何動作。如需詳細資訊,請參閱為什麼我從 HTTP Amazon S3 取得 307 臨時重新導向回應?臨時請求重新導向

  • 設定為網站的 Amazon S3 儲存貯體amzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com

  • MediaStore 容器examplemediastore.data.mediastore.us-west-1.amazonaws.com

  • MediaPackage 端點examplemediapackage.mediapackage.us-west-1.amazonaws.com

  • Amazon EC2執行個體ec2-203-0-113-25.compute-1.amazonaws.com

  • Elastic Load Balancing 負載平衡器example-load-balancer-1234567890.us-west-2.elb.amazonaws.com

  • 您自己的 Web 伺服器www.example.com

Origin domain (原始網域) 欄位中選擇網域名稱,或是輸入名稱。來自選擇加入區域的資源必須手動輸入。網域名稱不區分大小寫。您的原始網域必須具有可公開解析DNS的名稱,透過網際網路將請求從用戶端路由至目標。

如果您 CloudFront 將 設定為透過 連線到原始伺服器HTTPS,憑證中的其中一個網域名稱必須與您為原始伺服器網域名稱 指定的網域名稱相符。如果沒有網域名稱相符, 會將HTTP狀態碼 502 (錯誤的閘道) CloudFront 傳回給檢視器。如需詳細資訊,請參閱 CloudFront 分佈和憑證中的網域名稱SSL/TLS CloudFront 與自訂原始伺服器之間的協商失敗

注意

如果您使用的原始伺服器請求政策將檢視器主機標頭轉送至原始伺服器,原始伺服器必須使用符合檢視器主機標頭的憑證來回應。如需詳細資訊,請參閱新增 CloudFront 請求標頭

如果您的原始伺服器是 Amazon S3 儲存貯體,請注意下列事項:

  • 若儲存貯體已設為網站,請輸入您儲存貯體的 Amazon S3 靜態網站託管端點;請不要從 Origin domain (原始網域) 欄位中的清單選取儲存貯體名稱。靜態網站託管端點顯示在 Amazon S3 主控台中,在 Static website hosting (靜態網站託管) 下的 Properties (屬性) 頁面上。如需詳細資訊,請參閱使用設定為網站端點的 Amazon S3 儲存貯體

  • 如果您為儲存貯體配置了 Amazon S3 Transfer Acceleration,請不要為 Origin domain (原始網域)指定 s3-accelerate 端點。

  • 如果您使用來自不同 AWS 帳戶的儲存貯體,而且儲存貯體未設定為網站,請使用下列格式輸入名稱:

    bucket-name.s3.region.amazonaws.com

    如果您的儲存貯體位於美國區域,而且您希望 Amazon S3 將請求路由到維吉尼亞北部的一個設施,請使用以下格式:

    bucket-name.s3.us-east-1.amazonaws.com

  • 除非您使用 CloudFront 原始伺服器存取控制來保護 Amazon S3 中的內容,否則這些檔案必須可公開讀取。如需存取控制的詳細資訊,請參閱 限制對 Amazon 簡單存儲服務來源的訪問

重要

如果原始伺服器是 Amazon S3 儲存貯體,儲存貯體名稱必須符合DNS命名要求。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的儲存貯體限制與局限

當您變更原始伺服器原始網域的值時, 會 CloudFront 立即開始將變更複寫至 CloudFront 邊緣位置。在指定邊緣位置更新分佈組態之前, CloudFront 會繼續將請求轉送至先前的原始伺服器。一旦在該邊緣位置更新分佈組態, CloudFront便會開始將請求轉送至新的原始伺服器。

變更原始伺服器不需要 CloudFront 將邊緣快取重新填入來自新原始伺服器的物件。只要應用程式中的檢視器請求沒有變更, CloudFront 就會繼續提供已在邊緣快取中的物件,直到每個物件TTL上的 過期或很少請求的物件被移出為止。

通訊協定 (僅限自訂原始伺服器)

注意

這僅適用於自訂原始伺服器。

從原始伺服器擷取物件時 CloudFront 要使用的通訊協定政策。

請選擇下列其中一個值:

  • HTTP only: CloudFront 僅用於HTTP存取原始伺服器。

    重要

    HTTP 只有在原始伺服器是 Amazon S3 靜態網站託管端點時,才是預設設定,因為 Amazon S3 不支援靜態網站託管端點的HTTPS連線。 CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。

  • HTTPS only: CloudFront 僅用於HTTPS存取原始伺服器。

  • 比對檢視器: CloudFront 使用 HTTP或 與您的原始伺服器通訊HTTPS,視檢視器請求的通訊協定而定。即使檢視器同時使用 HTTP和 HTTPS通訊協定提出請求, 物件也只會 CloudFront 快取一次。

    重要

    對於 CloudFront 轉送到此原始伺服器的HTTPS檢視器請求,原始伺服器 SSL/TLS 憑證中的其中一個網域名稱必須符合您為原始網域 指定的網域名稱。否則, 會使用HTTP狀態碼 502 (錯誤的閘道) CloudFront 回應檢視器請求,而不是傳回請求的物件。如需詳細資訊,請參閱搭配 使用 SSL/TLS 憑證的要求 CloudFront

HTTP 連接埠

注意

這僅適用於自訂原始伺服器。

(選用) 您可以指定自訂原始伺服器接聽所在的HTTP連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 80。

重要

當原始伺服器是 Amazon S3 靜態網站託管端點時,連線埠 80 是預設設定,因為 Amazon S3 僅支援連線埠 80 的靜態網站託管端點。 CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。

HTTPS 連接埠

注意

這僅適用於自訂原始伺服器。

(選用) 您可以指定自訂原始伺服器接聽所在的HTTPS連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 443。當通訊協定設定為HTTP僅 時,您無法指定HTTPS連接埠 的值。

最低原始伺服器SSL通訊協定

注意

這僅適用於自訂原始伺服器。

選擇建立原始伺服器HTTPS連線時 CloudFront 可以使用的最小 TLS/SSL 通訊協定。較低的TLS通訊協定較不安全,因此建議您選擇原始伺服器支援的最新TLS通訊協定。當通訊協定設為HTTP僅 時,您無法指定最低原始SSL通訊協定 的值。

如果您使用 CloudFront API設定 CloudFront 可與原始伺服器搭配使用的TLS/SSL protocol for CloudFront to use, you cannot set a minimum protocol. Instead, you specify all of the TLS/SSL通訊協定。如需詳細資訊,請參閱 Amazon 參考 OriginSslProtocols 中的 。 CloudFront API

原始伺服器路徑

如果您想要從原始伺服器中的目錄 CloudFront 請求內容,請輸入目錄路徑,以斜線 (/) 開頭。將目錄路徑 CloudFront 附加至原始網域 的值,例如 cf-origin.example.com/production/images。請勿在路徑的尾端加上斜線 (/)。

例如,假設您已為您的分佈指定以下值:

  • Origin domain (原始網域) – 名為 amzn-s3-demo-bucket 的 Amazon S3 儲存貯體

  • Origin path (原始伺服器路徑) - /production

  • 替代網域名稱 (CNAME)example.com

當使用者在瀏覽器example.com/index.html中輸入 時, CloudFront 會將請求傳送至 Amazon S3amzn-s3-demo-bucket/production/index.html

當使用者在瀏覽器example.com/acme/index.html中輸入 時, 會將請求CloudFront 傳送至 Amazon S3amzn-s3-demo-bucket/production/acme/index.html

名稱

名稱是一個可唯一識別該分佈中此原始伺服器的字串。如果您在預設快取行為之外建立快取行為,您可以使用您在此處指定的名稱,在請求與該快取行為的路徑模式相符時,識別 CloudFront 您要路由請求的原始伺服器。

原始存取 (僅限 Amazon S3 原始伺服器)

注意

這僅適用於 Amazon S3 儲存貯體原始伺服器 (那些使用 S3 靜態網站端點的原始伺服器)。

如果您想要將對 Amazon S3 儲存貯體原始伺服器的存取限制為僅限特定 CloudFront 分發,請選擇原始伺服器存取控制設定 (建議)

如果 Amazon S3 儲存貯體可公開存取,請選擇 public (公有)。

如需詳細資訊,請參閱限制對 Amazon 簡單存儲服務來源的訪問

如需如何要求使用者僅使用 存取自訂原始伺服器上的物件的詳細資訊 CloudFront URLs,請參閱 限制存取自訂原始伺服器上的檔案

新增自訂標頭

如果您要在傳送請求到原始伺服器時 CloudFront 新增自訂標頭,請指定標頭名稱及其值。如需詳細資訊,請參閱將自訂標頭新增至原始請求

如需可新增自訂標頭數量上限的目前上限、自訂標頭的名稱和值的最大長度,以及所有標頭名稱和值的總長度上限的詳細資訊,請參閱 配額

啟用 Origin Shield

選擇以啟用 CloudFront Origin Shield。如需 Origin Shield 的詳細資訊,請參閱 使用 Amazon CloudFront 起源 Shield

連線嘗試

您可以設定 CloudFront 嘗試連線到原始伺服器的時間。您可以指定 1、2 或 3 做為嘗試次數。預設數字 (如果您未另外指定) 是 3。

將此設定與連線逾時搭配使用,以指定在嘗試連線至次要原始伺服器或將錯誤回應傳回給檢視器之前 CloudFront 等待的時間。根據預設,在嘗試連線至次要原始伺服器或傳回錯誤回應之前, CloudFront 會等待長達 30 秒 (每次 3 次嘗試 10 秒)。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。

如果指定的連線嘗試次數失敗, 會 CloudFront 執行下列其中一項操作:

  • 如果原始伺服器是原始伺服器群組的一部分, CloudFront 會嘗試連線至次要原始伺服器。如果對次要原始伺服器的指定連線嘗試次數失敗,則 會將錯誤回應 CloudFront 傳回給檢視器。

  • 如果原始伺服器不是原始伺服器群組的一部分, 會將錯誤回應 CloudFront 傳回給檢視器。

對於自訂原始伺服器 (包括使用靜態網站託管設定的 Amazon S3 儲存貯體),此設定也會指定 CloudFront 嘗試從原始伺服器取得回應的次數。如需詳細資訊,請參閱回應逾時 (僅限自訂原始伺服器)

連線逾時。

連線逾時是嘗試建立原始伺服器連線時 CloudFront 等待的秒數。您可以指定介於 1 到 10 之間的秒數 (含)。預設逾時 (如果您另外未指定) 是 10 秒。

將此設定與 Connection 搭配使用,以嘗試指定嘗試連線至次要原始伺服器或將錯誤回應傳回給檢視器之前的 CloudFront 等待時間。根據預設, CloudFront 會等待長達 30 秒 (每次 3 次嘗試 10 秒),然後再嘗試連線至次要原始伺服器或傳回錯誤回應。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。

如果 CloudFront 未在指定的秒數內建立原始伺服器連線,則 會 CloudFront 執行下列其中一項操作:

  • 如果指定的連線嘗試次數超過 1 次,則 會再次 CloudFront 嘗試建立 connection。 CloudFront 會嘗試最多 3 次,依 Connection 嘗試 的值而定。

  • 如果所有連線嘗試都失敗,且原始伺服器是原始伺服器群組的一部分, 會 CloudFront 嘗試連線至次要原始伺服器。如果對次要原始伺服器的指定連線嘗試次數失敗,則 會將錯誤回應 CloudFront 傳回給檢視器。

  • 如果所有連線嘗試都失敗,且原始伺服器不屬於原始伺服器群組, 會將錯誤回應 CloudFront 傳回給檢視器。

回應逾時 (僅限自訂原始伺服器)

原始伺服器回應逾時,也稱為原始伺服器讀取逾時原始伺服器請求逾時,適用於以下兩個值:

  • 將請求轉送至原始伺服器後,回應的 CloudFront 等待時間 (以秒為單位)。

  • 從原始伺服器收到回應封包後,以及收到下一個封包之前 CloudFront 等待多久 (以秒為單位)。

提示

如果因為檢視器發生 HTTP 504 個狀態碼錯誤而想要增加逾時值,請考慮探索其他方法來消除這些錯誤,然後再變更逾時值。請查看在 HTTP 504 狀態碼 (閘道逾時) 中的故障診斷建議。

CloudFront 行為取決於檢視器請求中HTTP的方法:

  • GETHEAD請求 – 如果原始伺服器在回應逾時期間沒有回應或停止回應, 會 CloudFront 捨棄 connection. CloudFront trys 以根據 的值進行連線連線嘗試

  • DELETEOPTIONSPUTPATCHPOST請求 – 如果原始伺服器在讀取逾時期間沒有回應, CloudFront 會中斷連線,而且不會再次嘗試聯絡原始伺服器。用戶端可以視需要重新提交請求。

保持連線逾時 (僅限自訂原始伺服器)

保持連線逾時是取得回應的最後一個封包後, CloudFront 嘗試維持與自訂原始伺服器的連線的時間 (以秒為單位)。維護持久性連線可節省重新建立TCP連線並針對後續請求執行另一個TLS交握所需的時間。增加保持連線逾時有助於改善 request-per-connection分佈的指標。

注意

為了讓 Keep-alive Timeout (保持連線逾時) 值有效,必須將原始伺服器設定為允許持久連線。

回應和保持連線逾時配額

注意

這僅適用於自訂原始伺服器。

在您請求增加 逾時後 AWS 帳戶,請更新您的分佈原始伺服器,以便它們具有您想要的回應逾時和保持連線逾時值。您帳戶的配額增加不會自動更新您的原始伺服器。例如,如果您使用 Lambda@Edge 函數來設定 90 秒的保持連線逾時,則您的原始伺服器必須已經有 90 秒以上的保持連線逾時。否則,您的 Lambda@Edge 函數可能無法執行。

如需分佈配額的詳細資訊,請參閱 分佈的一般配額

快取行為設定

透過設定快取行為,您可以為網站上的檔案設定指定URL路徑模式的各種 CloudFront 功能。例如,一個快取行為可能適用於您用作 原始伺服器之 Web 伺服器上的 images目錄中的所有.jpg檔案 CloudFront。您可以為每個快取行為設定的功能包括:

  • 路徑模式

  • 如果您已為 CloudFront 分佈設定多個原始伺服器,則 CloudFront 您要轉送請求的原始伺服器

  • 是否將查詢字串轉發到您的原始伺服器。

  • 存取指定的檔案是否需要簽署 URLs

  • 是否要求使用者使用 HTTPS 來存取這些檔案

  • 無論您的原始伺服器新增至檔案的任何Cache-Control標頭值為何,這些檔案保留在 CloudFront 快取中的最短時間

在建立新的分佈,您可以指定預設快取行為的設定,該設定會自動將所有請求轉發到您在建立分佈時指定的原始伺服器。建立分佈之後,您可以建立其他快取行為,定義收到符合路徑模式之物件的請求時 CloudFront 回應的方式,例如 *.jpg。如果您建立額外的快取行為,則預設的快取行為一律是最後要處理的。其他快取行為會依主控台中列出的順序處理, CloudFront 或者如果您使用 CloudFront API,則會依在分佈的 DistributionConfig元素中列出的順序處理。如需詳細資訊,請參閱路徑模式

建立快取行為時,您可以指定 CloudFront 要從中取得物件的原始伺服器。因此,如果您 CloudFront 想要從所有原始伺服器分發物件,則必須至少有與原始伺服器相同的快取行為 (包括預設快取行為)。例如,如果您有兩個原始伺服器且只有預設快取行為,則預設快取行為會導致從其中一個原始伺服器 CloudFront 取得物件,但另一個原始伺服器永遠不會使用。

如需您可為分發新增之快取行為數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額

路徑模式

路徑模式 (例如,images/*.jpg) 指定您希望將此快取行為套用到哪些請求。當 CloudFront 收到最終使用者請求時,所請求的路徑會與路徑模式進行比較,其順序是分佈中列出快取行為。第一種符合決定哪個快取行為套用到該請求。例如,假設您在以下三種路徑模式下有三個快取行為模式,並按此順序排列:

  • images/*.jpg

  • images/*

  • *.gif

注意

您可以選擇性地在路徑模式的開頭包含斜線 (/),例如 /images/*.jpg. CloudFront behavior 與前導 / 相同。如果您未在路徑開頭指定 /,則會自動隱含此字元; CloudFront 會在有或沒有前置 / 的情況下處理相同路徑。例如, CloudFront 處理相同/*product.jpg*product.jpg

對檔案 images/sample.gif 的請求無法滿足第一個路徑模式,所以關聯的快取行為不能套用到該請求。該檔案確實滿足第二個路徑模式,因此即使該請求也與第三個路徑模式相符合,也會套用與第二個路徑模式相關聯的快取行為。

注意

當您建立新的分佈時,預設快取行為的 Path Pattern (路徑模式) 值將設定為 * (所有檔案),而且無法變更。此值會導致將物件的所有請求 CloudFront 轉送到您在原始網域欄位中指定的原始伺服器。如果物件的請求不符合任何其他快取行為的路徑模式, 會 CloudFront 套用您在預設快取行為中指定的行為。

重要

請謹慎定義路徑模式及其序列,否則可能會讓使用者對您的內容作出無法預料的存取。例如,假設請求與兩個快取行為的路徑模式相符合。第一個快取行為不需要簽署URLs,第二個快取行為不需要簽署 URLs。使用者無需使用已簽署的 即可存取物件,URL因為 會 CloudFront 處理與第一個相符項目相關聯的快取行為。

如果您使用的是 MediaPackage 頻道,則必須包含您為原始伺服器端點類型定義的快取行為的特定路徑模式。例如,對於DASH端點,您可以*.mpd輸入路徑模式 。如需詳細資訊和特定說明,請參閱提供格式化的實時視頻 AWS Elemental MediaPackage

您指定的路徑會套用至指定目錄中和指定目錄下方子目錄中所有檔案的請求。評估路徑模式時 CloudFront , 不會考慮查詢字串或 Cookie。例如,如果 images 目錄包含 product1product2 子目錄,則路徑模式 images/*.jpg 適用於 imagesimages/product1images/product2 目錄中任何 .jpg 檔案的請求。如果要對 images/product1 目錄中的檔案套用與 imagesimages/product2 目錄中的套用不同的快取行為,請為 images/product1 建立一個單獨的快取行為,並將該快取行為移至 images 目錄快取行為上方 (之前) 的位置。

您可以在路徑模式中使用以下萬用字元:

  • * 符合 0 或更多字元。

  • ? 符合完全 1 個字元。

以下範例說明萬用字元的工作方式:

路徑模式 與路徑模式相符的檔案

*.jpg

所有 .jpg 檔案。

images/*.jpg

位於 images 目錄和 images 目錄下子目錄中的所有 .jpg 檔案。

a*.jpg

  • 檔案名稱以 a 開頭的所有 .jpg 檔案,例如 apple.jpgappalachian_trail_2012_05_21.jpg

  • 檔案路徑以 a 開頭的所有 .jpg 檔案,例如 abra/cadabra/magic.jpg

a??.jpg

檔案名稱以 a 開頭的所有 .jpg 檔案,後面緊接恰好兩個其他字元,例如 ant.jpgabe.jpg

*.doc*

檔案名稱副檔名以 .doc 開頭的所有檔案,例如 .doc.docx.docm 檔案。在這種情況下,您不能使用路徑模式*.doc?,因為該路徑模式不適用於 .doc 檔案的請求;? 萬用字元僅取代一個字元。

路徑模式 的長度上限為 255 個字元。這個值可以包含以下任何字元:

  • A-Z、a-z

    途徑模式會區分大小寫,因此路徑模式 *.jpg 不適用於檔案 LOGO.JPG

  • 0-9

  • _ - . * $ / ~ " ' @ : +

  • & 通過並以 & 傳回

路徑標準化

CloudFront 標準化與 RFC 3986 一致的URI路徑,然後將路徑與正確的快取行為配對。快取行為相符後, 會將原始URI路徑 CloudFront 傳送至原始伺服器。如果不相符,請求會改為與您的預設快取行為相符。

有些字元會標準化並從路徑中移除,例如多個斜線 (//) 或句點 ()..。這可以變更URL CloudFront 用於符合預期快取行為的 。

範例

您可以指定快取行為的 /a/b*/a* 路徑。

  • 傳送/a/b?c=1路徑的檢視器將符合/a/b*快取行為。

  • 傳送/a/b/..?c=1路徑的檢視器將符合/a*快取行為。

若要處理正標準化的路徑,您可以更新請求路徑或快取行為的路徑模式。

來源或來源群組

此設定僅適用於為現有分佈建立或更新快取行為時。

輸入現有來源或來源群組的值。當請求 (例如 https://example.com/logo.jpg) 符合快取行為 (例如 *.jpg) 或預設快取行為 (*) 的路徑模式時,這會識別您要 CloudFront 路由請求的原始伺服器或原始伺服器群組。

檢視器通訊協定政策

選擇您希望檢視器用來存取 CloudFront 邊緣位置內容的通訊協定政策:

  • HTTP 和 HTTPS:檢視器可以使用兩種通訊協定。

  • 重新導向HTTP至 HTTPS:檢視器可以使用兩種通訊協定,但HTTP請求會自動重新導向至HTTPS請求。

  • HTTPS 只有 :檢視器只有在使用 時才能存取您的內容HTTPS。

如需詳細資訊,請參閱檢視者與之間的通訊需要 HTTPS CloudFront

允許HTTP的方法

指定您要 CloudFront 處理並轉送至原始伺服器HTTP的方法:

  • GET、HEAD:您只能使用 從您的原始伺服器 CloudFront 取得物件,或取得物件標頭。

  • GET、HEAD、OPTIONS:您只能使用 從您的原始伺服器CloudFront 取得物件、取得物件標頭,或擷取原始伺服器支援的選項清單。

  • GET、HEAD、OPTIONS、PUTPOST、、PATCHDELETE:您可以使用 CloudFront 來取得、新增、更新和刪除物件,以及取得物件標頭。此外,您可以執行其他POST操作,例如從 Web 表單提交資料。

    注意

    CloudFront 快取對 GETHEAD 請求的回應,以及選擇性的OPTIONS請求。對OPTIONS請求的回應會與對 GETHEAD 請求的回應分開快取 (OPTIONS方法包含在OPTIONS請求的快取金鑰中)。 CloudFront 不會快取對使用其他方法的請求的回應。

重要

如果您選擇 GET、 HEADOPTIONSGET、HEAD、、OPTIONSPUT、POSTPATCH、DELETE,您可能需要限制對 Amazon S3 儲存貯體或自訂原始伺服器的存取,以防止使用者執行您不希望他們執行的操作。下列範例說明如何限制存取:

  • 如果您使用 Amazon S3 作為分發的原始伺服器:建立 CloudFront 原始伺服器存取控制以限制對 Amazon S3 內容的存取,並授予原始伺服器存取控制的許可。例如,如果您設定 CloudFront 因為想要使用 而接受和轉送這些方法PUT,您仍然必須設定 Amazon S3 儲存貯體政策以適當處理DELETE請求。如需詳細資訊,請參閱限制對 Amazon 簡單存儲服務來源的訪問

  • 如果您使用自訂原始伺服器:請設定您的原始伺服器以處理所有方法。例如,如果您設定 CloudFront 因為您想要使用 而接受和轉送這些方法POST,您仍然必須設定原始伺服器以適當處理DELETE請求。

欄位層級加密 Config

如果想要針對特定資料欄位強制執行欄位層級加密,請在下拉式清單中選擇欄位層級加密組態。

如需詳細資訊,請參閱使用欄位層級加密來協助保護敏感資料

快取HTTP方法

指定當檢視器提交 OPTIONS request. CloudFront ways 時 CloudFront ,是否要快取原始伺服器回應。 一律快取對 GETHEAD請求的回應。

根據選取請求標頭的快取

指定是否要根據指定標頭的值 CloudFront 快取物件:

  • 無 (改善快取) – CloudFront 不會根據標頭值快取物件。

  • 允許清單 – 僅根據指定標頭的值 CloudFront 快取物件。使用允許清單標頭來選擇要作為快取 CloudFront 基礎的標頭。

  • 全部 – CloudFront 不會快取與此快取行為相關聯的物件。相反地, 會將每個請求 CloudFront 傳送至原始伺服器。(不建議用於 Amazon S3 原始伺服器。)

無論您選擇哪個選項,都會將特定標頭 CloudFront 轉送至原始伺服器,並根據您轉送的標頭採取特定動作。如需 CloudFront 如何處理標頭轉送的詳細資訊,請參閱 HTTP請求標頭和 CloudFront行為 (自訂和 Amazon S3 來源)

如需如何使用請求標頭 CloudFront 在 中設定快取的詳細資訊,請參閱 根據要求標頭快取內容

允許清單標頭

這些設定僅適用於您根據選取的請求標頭選擇快取的允許清單時。

指定快取物件時 CloudFront 要考慮的標頭。從可用標頭清單中選擇標頭,然後選擇 Add (新增)。若要轉送自訂標頭,請在欄位中輸入標頭的名稱,然後選擇 Add Custom (新增自訂)

如需您可為每個快取行為列入允許清單之標頭數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱標頭的配額

物件快取

如果您的原始伺服器正在將Cache-Control標頭新增至物件,以控制物件停留在 CloudFront 快取中的時間長度,且如果您不想變更該Cache-Control值,請選擇使用原始伺服器快取標頭

若要指定物件保留在快取中 CloudFront的時間下限和上限,無論Cache-Control標頭為何,以及物件遺失Cache-Control標頭時物件保留在 CloudFront 快取的預設時間,請選擇自訂 。然後在最小值 TTL預設值 TTL最大值TTL欄位中指定值。

如需詳細資訊,請參閱管理內容在快取中停留的時間長度 (到期)

最小 TTL

指定您希望物件在 CloudFront 傳送另一個請求至原始伺服器之前保留在 CloudFront 快取中的最短時間,以秒為單位,以確定物件是否已更新。

如需詳細資訊,請參閱管理內容在快取中停留的時間長度 (到期)

最大值 TTL

在 CloudFront 查詢原始伺服器以查看物件是否已更新之前,請指定您希望物件保留在 CloudFront 快取中的時間上限,以秒為單位。您為最大值TTL指定的值僅適用於原始伺服器新增HTTP標頭時Cache-Control max-age,例如 Cache-Control s-maxage、 或 Expires 物件。如需詳細資訊,請參閱管理內容在快取中停留的時間長度 (到期)

若要指定最大值 TTL的值,您必須選擇物件快取設定的自訂選項。

最大值TTL的預設值為 31536000 秒 (一年)。如果您將最小值TTL預設值TTL變更為超過 31536000 秒,則最大值TTL的預設值會變更為預設值 TTL的值。

預設 TTL

在將另一個請求 CloudFront 轉送至原始伺服器,以判斷物件是否已更新之前,指定您希望物件保留在 CloudFront 快取中的預設時間長度,以秒為單位。您為預設值TTL指定的值僅適用於原始伺服器Cache-Control max-ageCache-Control s-maxage或 等HTTP標頭Expires新增至物件時。如需詳細資訊,請參閱管理內容在快取中停留的時間長度 (到期)

若要指定預設值 TTL的值,您必須選擇物件快取設定的自訂選項。

預設值TTL為 86400 秒 (一天)。如果您將最小值TTL變更為超過 86400 秒,則預設值TTL會變更為最小值 TTL的值。

轉送 Cookie

注意

對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。

指定是否要 CloudFront 將 Cookie 轉送至原始伺服器,如果是,則指定要轉送哪些 Cookie。如果您選擇僅轉送所選取的 Cookie (Cookie 的允許清單),請在允許清單 Cookie 欄位中輸入 Cookie 名稱。如果您選擇所有 , CloudFront 會轉送所有 Cookie,無論您的應用程式使用多少 Cookie。

Amazon S3 並不處理 Cookie,而且將 Cookie 轉送到原始伺服器的動作,會降低快取的能力。對於將請求轉送到 Amazon S3 原始伺服器的快取行為,請為轉送 Cookie選擇

如需有關將 Cookie 轉發到原始伺服器的詳細資訊,請前往根據餅乾緩存內容

允許清單 Cookie

注意

對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。

如果您在轉送 Cookie 清單中選擇允許清單,請在允許清單 Cookie 欄位中輸入您要 CloudFront轉送至原始伺服器之 Cookie 的名稱,以進行此快取行為。在新的列上輸入每個 Cookie 名稱。

您可以指定以下萬用字元,以指定 Cookie 名稱:

  • * 符合 Cookie 名稱中的 0 個或多個字元

  • ? 僅符合 Cookie 名稱中的一個字元

例如,假設檢視器為包含 Cookie 的物件作請求,其 Cookie 名為:

userid_member-number

您的每個使用者都有 的唯一值 member-number。 CloudFront 您想要為每個成員快取物件的個別版本。您可以將所有 Cookie 轉送至原始伺服器來完成此操作,但檢視器請求包含一些您 CloudFront 不想快取的 Cookie。或者,您可以將下列值指定為 Cookie 名稱,這會導致 CloudFront 將開頭為 的所有 Cookie 轉送至原始伺服器userid_

userid_*

如需您可為每個快取行為列入允許清單之 Cookie 名稱的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱Cookie 的配額 (舊版快取設定)

查詢字串轉送和快取

CloudFront 可以根據查詢字串參數的值快取不同版本的內容。請選擇下列其中一個選項:

無 (提升快取)

如果您的原始來源傳回物件的相同版本,而不考慮查詢字串參數的值,請選擇此選項。這會增加從快取 CloudFront 提供請求的可能性,進而改善效能並減少原始伺服器負載。

全部轉送,依據允許清單進行快取

如果您的原始伺服器根據一或多個查詢字串參數傳回物件的不同版本,請選擇此選項。然後指定 CloudFront 您要在 查詢字串允許清單 欄位中用作快取基礎的參數。

轉發所有,根據所有快取

如果您的原始伺服器針對所有查詢字串參數傳回物件的不同版本,請選擇此選項。

如需有關根據查詢字串參數進行快取的詳細資訊,包括如何提升效能,請參閱根據查詢字串參數快取內容

查詢字串允許清單

此設定僅適用於您選擇全部轉送時,根據 的允許清單快取查詢字串轉送和快取。您可以指定 CloudFront 要用作快取基礎的查詢字串參數。

Smooth Streaming

如果您想要以 Microsoft Smooth Streaming 格式分發媒體檔案,而且您沒有IIS伺服器,請選擇

如果您有要用作原始伺服器的 Microsoft IIS 伺服器以 Microsoft Smooth Streaming 格式分發媒體檔案,或者您未分發 Smooth Streaming 媒體檔案,請選擇

注意

如果您指定 Yes (是),而內容與 Path Pattern (路徑模式) 的值符合,您仍然可以使用此快取行為分配其他內容。

如需詳細資訊,請參閱配置視頻點播 Microsoft 流暢流

限制檢視器存取 (使用已簽署URLs或已簽署 Cookie)

如果您想要針對與此快取行為相符PathPattern的物件請求使用公有 URLs,請選擇

如果您想要針對與此快取行為相符PathPattern的物件請求使用已簽署的 URLs,請選擇。然後指定您要用來建立已簽署 AWS 的帳戶URLs;這些帳戶稱為信任的簽署者。

如需有關可信任簽署者的詳細資訊,請參閱指定可以建立已簽署URLs和已簽署 Cookie 的簽署者

可信簽署者

此設定僅適用於選擇來限制檢視器存取 (使用已簽署URLs或已簽署 Cookie

選擇您要用來作為此快取行為之受信任簽署者的 AWS 帳戶:

  • 自我:使用您目前用來登入 的帳戶 AWS Management Console 作為信任的簽署者。如果您目前以IAM使用者身分登入,則相關聯的 AWS 帳戶會新增為信任的簽署者。

  • Specify Accounts (指定帳戶):AWS Account Numbers ( 帳號) 欄位中輸入可信任簽署者的帳號。

若要建立已簽署的 URLs, AWS 帳戶必須至少有一個作用中 CloudFront金鑰對。

重要

如果您正在更新已用於分發內容的分發,則只有在準備好開始URLs為物件產生簽署時,才新增信任的簽署者。將受信任簽署者新增至分佈後,使用者必須使用 簽章URLs來存取與此快取行為相符PathPattern的物件。

AWS 帳戶 數字

此設定僅適用於選擇為受信任簽章人指定帳戶時。

如果您想要URLs使用 AWS 帳戶 除了目前帳戶之外或 建立簽署,請在此欄位中輸入每行一個 AWS 帳戶 數字。注意下列事項:

  • 您指定的帳戶必須至少有一個作用中 CloudFront金鑰對。如需詳細資訊,請參閱為您的簽署者建立金鑰對

  • 您無法為IAM使用者建立 CloudFront 金鑰對,因此您無法將IAM使用者用作信任的簽署者。

  • 如需有關如何取得帳戶 AWS 帳戶 號碼的資訊,請參閱 AWS 帳戶 管理參考指南 中的檢視 AWS 帳戶 識別碼

  • 如果您輸入目前帳戶的帳號, CloudFront 會自動勾選自我核取方塊,並從帳號清單中移除AWS 帳號

自動壓縮物件

如果您想要 CloudFront 在檢視器支援壓縮內容時自動壓縮特定類型的檔案,請選擇是。CloudFront 壓縮內容時,下載速度會更快,因為檔案較小,且您的網頁會更快地呈現給使用者。如需詳細資訊,請參閱提供壓縮檔案

CloudFront 事件

此設定適用於 Lambda Function Associations

發生下列一或多個CloudFront 事件時,您可以選擇執行 Lambda 函數:

  • 當 收到來自檢視器的 CloudFront 請求 (檢視器請求)

  • 將請求 CloudFront 轉送至原始伺服器 (原始請求) 之前

  • 當 從原始伺服器 CloudFront 收到回應 (原始回應)

  • 將回應 CloudFront 傳回給檢視器之前 (檢視器回應)

如需詳細資訊,請參閱選擇要觸發函數的事件

Lambda 函數 ARN

此設定適用於 Lambda Function Associations

指定您要為其新增觸發條件之 Lambda 函數的 Amazon Resource Name (ARN)。若要了解如何取得函數ARN的 ,請參閱使用 CloudFront 主控台 新增觸發程序的程序步驟 1。

包含內文

此設定適用於 Lambda Function Associations

如需詳細資訊,請參閱包含內文

分佈設定

以下值適用於整個分佈。

價格分級

選擇與您要為 CloudFront 服務支付的最高價格對應的價格類別。根據預設, 會從所有 CloudFront 區域的邊緣位置 CloudFront 服務物件。

如需有關價格類別以及選擇價格類別如何影響分佈 CloudFront 效能的詳細資訊,請參閱CloudFront 定價

AWS WAF Web ACL

您可以使用 Web 應用程式防火牆 來保護您的 CloudFront 分發AWS WAF,該防火牆可讓您保護 Web 應用程式APIs,並在請求到達伺服器之前封鎖請求。您可以在建立或編輯 CloudFront 分佈AWS WAF 為分佈啟用時。

或者,您可以稍後在 AWS WAF 主控台中為應用程式特有的其他威脅設定額外的安全保護https://console.aws.amazon.com/wafv2/

如需 的詳細資訊 AWS WAF,請參閱 AWS WAF 開發人員指南

替代網域名稱 (CNAMEs)

選用。指定您要用於物件URLs的一或多個網域名稱,而不是建立分佈時 CloudFront 指派的網域名稱。您必須擁有網域名稱,或擁有使用它的授權,您可以新增 SSL/TLS 憑證來驗證。

例如,如果您想要URL物件的 :

/images/image.jpg

看起來像此 URL:

https://www.example.com/images/image.jpg

而不是此 URL:

https://d111111abcdef8.cloudfront.net/images/image.jpg

CNAME 為 新增 www.example.com

重要

如果您將 CNAME 的 www.example.com 新增至分發,也必須執行下列動作:

  • 使用 DNS服務建立 (或更新) CNAME記錄,將 的查詢路由www.example.comd111111abcdef8.cloudfront.net

  • 從涵蓋您新增至分發的網域名稱 () 的 CloudFront 信任憑證授權機構 (CACNAME) 將憑證新增至 ,以驗證您使用網域名稱的授權。

您必須具有使用網域DNS的服務供應商建立CNAME記錄的許可。通常,這表示您擁有網域,或者您正在為網域擁有者開發應用程式。

如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱分佈的一般配額

如需備用網域名稱的詳細資訊,請參閱新增替代網域名稱 (CNAMEs) URLs 以使用自訂。如需 的詳細資訊CloudFront URLs,請參閱 自訂 中檔案的URL格式 CloudFront

SSL 憑證

如果您指定要與分佈搭配使用的替代網域名稱,請選擇自訂SSL憑證 ,然後,若要驗證您使用替代網域名稱的授權,請選擇涵蓋該網域名稱的憑證。如果您想要檢視者使用 HTTPS 來存取物件,請選擇支援該物件的設定。

注意

您必須先指定有效的替代網域名稱,才能指定自訂SSL憑證。如需詳細資訊,請參閱 使用備用網域名稱的需求使用替代網域名稱和 HTTPS

  • 預設 CloudFront 憑證 (*.cloudfront.net) – 如果您想要在 中將 CloudFront 網域名稱URLs用於物件,例如 ,請選擇此選項https://d111111abcdef8.cloudfront.net/image1.jpg

  • 自訂SSL憑證 – 如果您想要在 中URLs將自己的網域名稱用於物件作為替代網域名稱,例如 ,請選擇此選項https://example.com/image1.jpg。然後要使用的憑證,其中涵蓋了備用網域名稱。憑證的清單可包括以下任何項目:

    • 提供的憑證 AWS Certificate Manager

    • 您從第三方憑證授權機構購買並上傳至 的憑證 ACM

    • 您從第三方憑證授權機構購買並上傳至IAM憑證存放區的憑證

    如果您選擇此設定,建議您在物件 URLs(https://example.com/logo.jpg). If you use your CloudFront distribution domain name (https://d111111abcdef8.cloudfront.net/logo.jpg) 中僅使用替代網域名稱,而用戶端使用不支援 的較舊檢視器SNI,則檢視器如何回應取決於您為受支援用戶端選擇的值:

    • 所有用戶端 :檢視器會顯示警告,因為 CloudFront 網域名稱與您 SSL/TLS 憑證中的網域名稱不相符。

    • 只有支援伺服器名稱指示 (SNI):捨 CloudFront 棄與檢視器的連線,而不傳回物件。

自訂SSL用戶端支援

僅適用於選擇憑證 的自訂SSL憑證 (example.com) 時。 SSL 如果您為分發指定了一或多個備用網域名稱和自訂SSL憑證,請選擇 CloudFront 您要如何提供HTTPS請求:

  • 支援伺服器名稱指示 (SNI) - (建議) 的用戶端 – 使用此設定,幾乎所有現代 Web 瀏覽器和用戶端都可以連線至分佈,因為它們支援 SNI。不過,有些檢視器可能會使用舊版 Web 瀏覽器或不支援 的用戶端SNI,這表示他們無法連線至分佈。

    若要使用 套用此設定 CloudFront API,sni-only請在 SSLSupportMethod 欄位中指定 。在 中 AWS CloudFormation, 欄位命名為 SslSupportMethod(請注意不同的大寫)。

  • 舊版用戶端支援 – 透過此設定,舊版 Web 瀏覽器和不支援的用戶端SNI可以連線至分佈。不過,此設定每月會產生額外費用。如需確切價格,請前往 Amazon CloudFront 定價頁面,並搜尋頁面以取得專用 IP 自訂 SSL

    若要使用 套用此設定 CloudFront API,vip請在 SSLSupportMethod 欄位中指定 。在 中 AWS CloudFormation, 欄位命名為 SslSupportMethod(請注意不同的大寫)。

如需詳細資訊,請參閱選擇 CloudFront 服務HTTPS請求的方式

安全政策 (最低SSL/TLS版本)

指定 CloudFront 您要用於與檢視器 (用戶端) HTTPS連線的安全政策。安全政策判斷兩個設定:

  • CloudFront 用於與檢視器通訊的最小 SSL/TLS 通訊協定。

  • CloudFront 可用來加密傳回給檢視器之內容的加密。

如需安全原則 (包括每個原則所包含的通訊協定和密碼) 的詳細資訊,請參閱檢視器與之間支援的通訊協定和密碼 CloudFront

可用的安全政策取決於您為SSL憑證自訂SSL用戶端支援指定的值 (在 SSLSupportMethod中稱為 CloudFrontDefaultCertificate和 CloudFront API):

  • SSL憑證預設CloudFront 憑證 (*.cloudfront.net) 時 (當 CloudFrontDefaultCertificate 位於 true中時API), CloudFront 會自動將安全政策設定為 TLSv1。

  • SSL憑證自訂SSL憑證 (example.com) 自訂SSL用戶端支援支援伺服器名稱指示 (SNI) - (建議) (當 CloudFrontDefaultCertificatefalseSSLSupportMethod位於 sni-only中) 的用戶端時API,您可以從下列安全政策中選擇:

    • TLSv1.2_2021

    • TLSv1.2_2019

    • TLSv1.2_2018

    • TLSv1.1_2016

    • TLSv1_2016 年

    • TLSv1

  • SSL憑證自訂SSL憑證 (example.com) 自訂SSL用戶端支援舊版用戶端支援 (當 CloudFrontDefaultCertificatefalseSSLSupportMethod位於 vip中時API),您可以從下列安全政策中選擇:

    • TLSv1

    • SSLv3

    在此組態中, CloudFront 主控台或 中無法使用 TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 和 TLSv1_2016 安全政策API。如果您想要使用這些安全政策之一,您可以選擇下列選項:

    • 評估您的分佈是否需要具有專用 IP 位址的舊式用戶端支援。如果您的檢視器支援伺服器名稱指示 (SNI),建議您將分佈的自訂SSL用戶端支援設定更新為支援伺服器名稱指示 (SNI) 的用戶端 (在 sni-onlySSLSupportMethod設定為 API)。這可讓您使用任何可用的TLS安全政策,也可以降低您的 CloudFront費用。

    • 如果您必須使用專用 IP 地址保留 Legacy Client Support,您可以透過在 Support Center 中建立案例,來請求其他TLS安全政策 (TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 或 TLSv1_2016)。 AWS

      注意

      在您聯絡 AWS Support 請求此變更之前,請考慮下列事項:

      • 當您將這些安全政策 (TLSv1.2_2021、TLSv1.2_2019、TLSv1.2_2018、TLSv1.1_2016 或 TLSv1_2016) 新增至 Legacy Client Support 分佈時,安全政策會套用至您 AWS 帳戶中所有 Legacy Client Support 分佈的所有非SNI檢視器請求。不過,當檢視者透過 Legacy Client Support 將SNI請求傳送至分佈時,該分佈的安全政策適用。若要確保將所需的安全政策套用至傳送至 AWS 帳戶中所有 Legacy Client Support 分佈的所有檢視器請求,請個別將所需的安全政策新增至每個分佈。

      • 根據定義,新的安全政策不支援舊版的相同密碼和通訊協定。例如,如果您選擇將分佈的安全政策從 TLSv1 升級至 TLSv1.1_2016,該分佈將不再支援 DES-CBC3-SHA 密碼。如需每個安全政策所支援之密碼和通訊協定的詳細資訊,請參閱檢視器與之間支援的通訊協定和密碼 CloudFront

支援的HTTP版本

選擇當檢視器與 通訊時,您希望分佈支援的HTTP版本 CloudFront。

若要 CloudFront 讓檢視器和 使用 HTTP/2,檢視器必須支援 TLSv1.2 或更新版本,且伺服器名稱指示 (SNI)。 CloudFront 不會透過 HTTP/2 為 gRPC 提供原生支援。

對於檢視器和 CloudFront 使用 HTTP/3,檢視器必須支援 TLSv1.3 和伺服器名稱指示 (SNI)。 CloudFront 支援 HTTP/3 連線遷移,以允許檢視器切換網路,而不會失去連線。如需連線遷移的詳細資訊,請參閱 9000 RFC 的連線遷移

注意

如需支援的 TLSv1.3 密碼的詳細資訊,請參閱 檢視器與之間支援的通訊協定和密碼 CloudFront

預設根物件

選用。當檢視器請求分佈URL的根 (index.html),而不是分佈 () 中的物件時, CloudFront 您要從原始伺服器請求的物件 (例如 https://www.example.com/https://www.example.com/product-description.html。指定預設根物件可避免暴露分佈的內容。

該名稱的長度上限為 255 個字元。該名稱可以包含以下任何字元:

  • A-Z、a-z

  • 0-9

  • _ - . * $ / ~ " '

  • & 通過並以 & 傳回

當您指定預設根物件時,只需輸入物件名稱,例如,index.html。不要在物件名稱前新增 /

如需詳細資訊,請參閱 指定預設根物件

日誌

您是否 CloudFront 想要記錄物件每個請求的資訊,並將日誌檔案存放在 Amazon S3 儲存貯體中。您可以隨時啟用或停用記錄。如果您啟用記錄功能,則不會收取額外費用,但您可以累計在一般 Amazon S3 費用來儲存和存取 Amazon S3 儲存貯體中的檔案。您隨時都可刪除日誌。如需存取日誌的詳細資訊 CloudFront,請參閱 配置和使用標準日誌(訪問日誌)

日誌儲存貯體

如果您選擇 On for Logging ,則 CloudFront 您要將存取日誌儲存在其中的 Amazon S3 儲存貯體,例如 myLogs-amzn-s3-demo-bucket.s3.amazonaws.com

重要

請勿在下列 中選擇 Amazon S3 儲存貯體 AWS 區域。 CloudFront 不會將標準日誌交付給這些區域中的儲存貯體:

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (雅加達)

  • 亞太區域 (墨爾本)

  • 加拿大西部 (卡加利)

  • 歐洲 (米蘭)

  • 歐洲 (西班牙)

  • 歐洲 (蘇黎世)

  • 以色列 (特拉維夫)

  • Middle East (Bahrain)

  • 中東 (UAE)

如果您啟用記錄, 會 CloudFront 記錄物件的每個最終使用者請求的相關資訊,並將檔案存放在指定的 Amazon S3 儲存貯體中。您可以隨時啟用或停用記錄。如需存取日誌的詳細資訊 CloudFront,請參閱 配置和使用標準日誌(訪問日誌)

注意

您必須具有取得和更新 Amazon S3 儲存貯體 所需的許可ACLs,且儲存貯體ACL的 S3 必須授予您 FULL_CONTROL。這 CloudFront 允許 帳戶awslogsdelivery許可將日誌檔案儲存在儲存貯體中。如需詳細資訊,請參閱設定標準記錄和存取記錄檔所需的權限

日誌字首

選用。如果您選擇 On for Logging ,請指定CloudFront 您要在此分佈的存取日誌檔案名稱前面加上任何字串,例如 exampleprefix/。結尾的斜線) (/) 是可選的,但建議簡化瀏覽日誌檔案。如需 CloudFront 存取日誌的詳細資訊,請參閱 配置和使用標準日誌(訪問日誌)

Cookie 記錄

如果您想要在存取日誌中 CloudFront 包含 Cookie,請選擇開啟 。如果您選擇在日誌中包含 Cookie, CloudFront無論如何設定此分佈的快取行為, 都會記錄所有 Cookie:轉送所有 Cookie、轉送沒有 Cookie,或將指定的 Cookie 清單轉送至原始伺服器。

Amazon S3 不會處理 Cookie,因此除非您的分佈也包含 Amazon EC2或其他自訂原始伺服器,否則建議您針對 Cookie Logging 的值選擇關閉

如需 Cookie 的詳細資訊,請前往根據餅乾緩存內容

啟用 IPv6

IPv6 是 IP 通訊協定的新版本。這是最終取代 IPv4並使用更大的地址空間。 CloudFront 一律回應IPv4請求。如果您想要 CloudFront 回應 IPv4 IP 地址 (例如 192.0.2.44) 和IPv6地址 (例如 2001:0db8:85a3::8a2e:0370:7334) 的請求,請選取啟用 IPv6

一般而言,IPv6如果您IPv6的網路上有想要存取內容的使用者,您應該啟用 。不過,如果您使用已簽署URLs或已簽署 Cookie 來限制對內容的存取,而且如果您使用包含 IpAddress 參數的自訂政策來限制可存取內容的 IP 地址,請勿啟用 IPv6。如果您想要透過 IP 位址限制存取一些內容,並且不限制對其他內容的存取 (或限制存取但不透過 IP 地址),則可以建立兩個分佈。如需URLs使用自訂政策建立簽署的相關資訊,請參閱 URL 使用自訂政策建立已簽署的。如需有關使用自訂政策建立簽章的 Cookie 的詳細資訊,請參閱使用自訂政策設定已簽署 Cookie

如果您使用 Route 53 別名資源記錄集,將流量路由到CloudFront 分佈,則需要在下列兩項都為 true 時建立第二個別名資源記錄集:

  • 您可以IPv6為分發啟用

  • 您在 中使用物件URLs的替代網域名稱

如需詳細資訊,請參閱 Amazon Route 53 開發人員指南 中的使用網域名稱將流量路由至 Amazon CloudFront 分佈

如果您使用 Route 53 或其他 DNS 服務建立CNAME資源記錄集,則不需要進行任何變更。無論檢視器請求的 IP 地址格式為何,CNAME記錄都會將流量路由到您的分佈。

如果您啟用 IPv6 和 CloudFront 存取日誌,資料c-ip欄會以 IPv4和 IPv6 格式包含值。如需詳細資訊,請參閱配置和使用標準日誌(訪問日誌)

注意

為了維持高客戶可用性,IPv4如果我們的資料建議IPv4可提供更好的使用者體驗, 會使用 CloudFront 回應檢視器請求。若要了解透過 CloudFront 提供服務的請求百分比IPv6,請啟用分發 CloudFront 記錄並剖析資料c-ip欄,其中包含提出請求之檢視器的 IP 地址。此百分比應該會隨時間增加,但它仍會維持少數流量,因為全球所有檢視器網路IPv6尚未支援此百分比。有些檢視器網路具有優異的IPv6支援,但有些IPv6完全不支援。(檢視器網路類似於家用網路或無線電信業者)。

如需有關我們對 支援的詳細資訊IPv6,請參閱 CloudFront FAQ。如需有關啟用存取日誌的詳細資訊,請參閱日誌日誌儲存貯體日誌字首欄位。

註解

選用。當您建立分佈,您可以包含高達 128 個字元的評論。您隨時都可以更新評論。

分佈狀態

表示是否要在部署後啟用或停用該分佈:

  • 啟用表示一旦分佈完全部署後,您就可以部署使用分佈的網域名稱的連結,使用者可以擷取內容。每當啟用分佈時, 會 CloudFront 接受並處理任何使用與該分佈相關聯網域名稱之內容的最終使用者請求。

    當您建立、修改或刪除 CloudFront 分佈時,您的變更需要一些時間才能傳播到 CloudFront 資料庫。對分佈資訊的立即請求可能不會顯示其變更。傳輸通常可在幾分鐘內完成,但此時可能會增加高系統負載或網路分區。

  • 停用表示即使分佈可能已部署並可供使用,但使用者無法使用它。每當停用分佈時, CloudFront 不接受任何使用與該分佈相關聯的網域名稱的終端使用者請求。在將分佈從停用狀態切換到啟用狀態之前 (透過更新分佈的組態),沒有人可以使用它。

您可以根據需要隨時在停用和啟用之間切換分佈。依照更新分佈組態處理。如需詳細資訊,請參閱更新分佈

自訂錯誤頁面和錯誤快取

當您的 Amazon S3 或自訂原始伺服器將 HTTP 4xx 或 5xx 狀態碼 CloudFront 傳回 時,您可以將物件傳回至檢視器 (例如HTML檔案) CloudFront。您也可以指定來自原始伺服器或自訂錯誤頁面的錯誤回應在 CloudFront 邊緣快取中快取的時間長度。如需詳細資訊,請參閱為特定HTTP狀態碼創建自定義錯誤頁面

注意

在建立分佈精靈中不包含以下值,因此只在您更新分佈時才能設定自訂錯誤頁面。

HTTP 錯誤碼

您要 CloudFront 傳回自訂錯誤頁面HTTP的狀態碼。您可以設定 CloudFront 來傳回快取的無、部分或全部HTTP狀態碼的自訂錯誤頁面 CloudFront 。

回應頁面路徑

當您的原始伺服器傳回您為錯誤碼指定的HTTP狀態碼 (例如 403/4xx-errors/403-forbidden.html) 時,您要 CloudFront傳回給檢視器的自訂錯誤頁面路徑 (例如 )。如果您要在不同位置存放物件和自訂錯誤頁面,則您的分佈必須包含下列為屬實的快取行為:

  • Path Pattern (路徑模式) 的值與自訂錯誤訊息的路徑相符。例如,假設您已在 Amazon S3 儲存貯體名為 /4xx-errors 的目錄中儲存了 4xx 錯誤的自訂錯誤頁面。您的分佈必須包含快取行為,其路徑模式會將自訂錯誤頁面的請求路由至該位置,例如 /4xx-errors/* (/4xx-errors/*)

  • Origin (原始伺服器) 的數值將 Origin ID (原始伺服器 ID) 的數值指定給包含自訂錯誤頁面的原始伺服器。

HTTP 回應碼

CloudFront 您要傳回檢視器HTTP的狀態碼,以及自訂錯誤頁面。

錯誤快取最小值 TTL(秒)

CloudFront 您要從原始伺服器快取錯誤回應的最短時間。

地理限制

如果您需要防止所選國家/地區的使用者存取您的內容,您可以使用允許清單封鎖清單 來設定 CloudFront 分發。設定地理限制無需額外收費。如需詳細資訊,請參閱限制內容的地理分佈