本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 所有分佈設定參考
建立或更新分佈時,您可以選擇手動編輯 CloudFront 分佈設定。以下是您可以編輯的設定。
不過,CloudFront 會根據您的內容原始伺服器類型,為您設定大多數分佈設定。如需詳細資訊,請參閱[預先設定的分佈設定參考](template-preconfigured-origin-settings.md)。
如需使用 CloudFront 主控台建立或更新分發的相關資訊,請參閱[建立分發](distribution-web-creating-console.md)或[更新分佈](HowToUpdateDistribution.md)。
**Topics**
+ [原始設定](DownloadDistValuesOrigin.md)
+ [快取行為設定](DownloadDistValuesCacheBehavior.md)
+ [分佈設定](DownloadDistValuesGeneral.md)
+ [自訂錯誤頁面和錯誤快取](DownloadDistValuesErrorPages.md)
+ [地理限制](DownloadDistValuesEnableGeoRestriction.md)
# 原始設定
使用 CloudFront 主控台建立或更新分佈時,您可以提供有關一或多個位置 (稱為*原始伺服器*) 的資訊,您可以在其中存放 Web 內容的原始版本。CloudFront 從您的原始伺服器原始伺服器取得 Web 內容,並透過全球網路邊緣伺服器將其提供給檢視器。
如需您可為分佈建立之原始伺服器數量的目前上限,或是有關請求更高配額的詳細資訊,請參閱 [分佈的一般配額](cloudfront-limits.md#limits-web-distributions)。
如果您想要刪除原始來源,則必須先編輯或刪除與該原始來源相關聯的快取行為。
**重要**
如果您要刪除原始來源,請確認之前由該原始來源提供的檔案,可在另一個原始來源中使用,而且您的快取行為現在正將這些檔案的請求,路由傳送到新的原始來源。
當您建立或更新分佈時,請為每個原始來源指定以下值。
**Topics**
+ [原始網域](#DownloadDistValuesDomainName)
+ [通訊協定 (僅限自訂原始伺服器)](#DownloadDistValuesOriginProtocolPolicy)
+ [原始伺服器路徑](#DownloadDistValuesOriginPath)
+ [名稱](#DownloadDistValuesId)
+ [原始存取 (僅限 Amazon S3 原始伺服器)](#DownloadDistValuesOAIRestrictBucketAccess)
+ [新增自訂標頭](#DownloadDistValuesOriginCustomHeaders)
+ [啟用 Origin Shield](#create-update-fields-origin-shield)
+ [連線嘗試](#origin-connection-attempts)
+ [連線逾時。](#origin-connection-timeout)
+ [回應逾時](#DownloadDistValuesOriginResponseTimeout)
+ [回應完成逾時](#response-completion-timeout)
+ [保持連線逾時 (僅限自訂與 VPC 原始伺服器)](#DownloadDistValuesOriginKeepaliveTimeout)
+ [回應和保持連線逾時配額](#response-keep-alive-timeout-quota)
## 原始網域
原始伺服器網域是 CloudFront 取得原始伺服器物件資源之 DNS 網域名稱,例如 Amazon S3 儲存貯體或 HTTP 伺服器。例如:
+ **Amazon S3 儲存貯體** – `amzn-s3-demo-bucket.s3.us-west-2.amazonaws.com`
**注意**
如果您最近建立了 S3 儲存貯體,CloudFront 分佈可能會傳回 `HTTP 307 Temporary Redirect` 回應 (最多需要 24 小時)。最多可能需要 24 小時的時間,才能將 S3 儲存貯體名稱傳播到所有 AWS 區域。傳播完成後,分佈會自動停止傳送這些重新引導回應;您不需要執行任何動作。如需詳細資訊,請參閱[為何會收到來自 Amazon S3 的 HTTP 307 暫時重新引導回應?](https://repost.aws/knowledge-center/s3-http-307-response)和[暫時請求重新引導](https://docs.aws.amazon.com/AmazonS3/latest/dev/Redirects.html#TemporaryRedirection)。
+ **設定為網站的 Amazon S3 儲存貯體** – `amzn-s3-demo-bucket.s3-website.us-west-2.amazonaws.com`
+ **MediaStore 容器** – `examplemediastore.data.mediastore.us-west-1.amazonaws.com`
+ **MediaPackage 端點** – `examplemediapackage.mediapackage.us-west-1.amazonaws.com`
+ **Amazon EC2 執行個體** – `ec2-203-0-113-25.compute-1.amazonaws.com`
+ **Elastic Load Balancing 負載平衡器** – `example-load-balancer-1234567890.us-west-2.elb.amazonaws.com`
+ **您自己的 Web 伺服器** – `www.example.com`
在 **Origin domain (原始網域)** 欄位中選擇網域名稱,或是輸入名稱。來自選擇加入區域的資源必須手動輸入。網域名稱不區分大小寫。您的原始伺服器網域必須具有可公開解析的 DNS 名稱,透過網際網路將請求從用戶端路由到目標。
若您將 CloudFront 設定為透過 HTTPS 連線至原始伺服器,則憑證中的其中一個網域名稱必須與您在**原始伺服器網域名稱**中指定的網域名稱相符。如果沒有網域名稱相符,CloudFront 會將 HTTP 狀態碼 502 (無效的閘道) 傳回到檢視器。如需詳細資訊,請參閱[CloudFront 分佈和憑證中的網域名稱](cnames-and-https-requirements.md#https-requirements-domain-names-in-cert)及[CloudFront 與自訂原始伺服器間的 SSL/TLS 溝通失敗](http-502-bad-gateway.md#ssl-negotitation-failure)。
**注意**
若您使用的原始伺服器請求政策會將檢視器的主機標頭轉送至原始伺服器,則該原始伺服器必須回應一個與檢視器主機標頭相符的憑證。如需詳細資訊,請參閱[新增 CloudFront 請求標頭](adding-cloudfront-headers.md)。
如果您的原始伺服器是 Amazon S3 儲存貯體,請注意下列事項:
+ 若儲存貯體已設為網站,請輸入您儲存貯體的 Amazon S3 靜態網站託管端點;請不要從 **Origin domain (原始網域)** 欄位中的清單選取儲存貯體名稱。靜態網站託管端點顯示在 Amazon S3 主控台中,在 **Static website hosting (靜態網站託管)** 下的 **Properties (屬性)** 頁面上。如需詳細資訊,請參閱[使用設定為網站端點的 Amazon S3 儲存貯體](DownloadDistS3AndCustomOrigins.md#concept_S3Origin_website)。
+ 如果您為儲存貯體配置了 Amazon S3 Transfer Acceleration,請不要為 **Origin domain (原始網域)**指定 `s3-accelerate` 端點。
+ 如果您使用來自不同 AWS 帳戶的儲存貯體,而且儲存貯體未設定為網站,請使用下列格式輸入名稱:
`bucket-name.s3.region.amazonaws.com`
如果您的儲存貯體位於美國區域,而且您希望 Amazon S3 將請求路由到維吉尼亞北部的一個設施,請使用以下格式:
`bucket-name.s3.us-east-1.amazonaws.com`
+ 除非使用 CloudFront 原始存取控制來保護 Amazon S3 中的內容,否則這些檔案必須是可公開讀取。如需存取控制的詳細資訊,請參閱 [限制對 Amazon S3 原始伺服器的存取](private-content-restricting-access-to-s3.md)。
**重要**
如果該原始伺服器是 Amazon S3 儲存貯體時,則儲存貯體名稱必須符合 DNS 命名請求。如需詳細資訊,請參閱 [Amazon Simple Storage Service 使用者指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)中的*儲存貯體限制與局限*。
當您變更原始伺服器的 **Origin domain (原始網域)** 的值時,CloudFront 會立即開始將變更複寫到 CloudFront 節點。在特定節點更新分佈組態之前,CloudFront 會繼續將請求轉送至先前原始伺服器。只要在該節點更新分佈組態,CloudFront 就會開始將請求轉送到新的原始伺服器。
變更原始伺服器不需要使用 CloudFront 將來自新原始伺服器的物件來重新填入邊緣快取。只要您的應用程式中的檢視器請求尚未變更,則 CloudFront 會繼續為已存在於邊緣快取中的物件提供服務,直到每個物件上的 TTL 到期,或者直到很少未被請求的物件被逐出。
## 通訊協定 (僅限自訂原始伺服器)
**注意**
這僅適用於自訂原始伺服器。
在從原始伺服器擷取物件時,您想要 CloudFront 使用的通訊協定政策。
請選擇下列其中一個值:
+ **HTTP only (僅限 HTTP)**: CloudFront 只會使用 HTTP 來存取原始伺服器。
**重要**
當原始伺服器是 Amazon S3 靜態網站託管端點時,**HTTP only (僅限 HTTP)** 是預設設定,因為 Amazon S3 不支援 HTTPS 連線的靜態網站託管端點。CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。
+ **HTTPS only (僅限 HTTPS)**:CloudFront 僅使用 HTTPS 存取原始伺服器。
+ **Match viewer (比對檢視器)**:CloudFront 使用 HTTP 或 HTTPS 與您的原始伺服器通訊,這取決於檢視器請求的通訊協定。請注意 CloudFront 僅會在檢視器使用 HTTP 和 HTTPS 協定發出請求時,快取物件一次。
**重要**
對於 CloudFront 轉送至此原始伺服器的 HTTPS 檢視器請求,原始伺服器上的 SSL/TLS 憑證中的網域名稱之一,必須符合您為 **Origin domain (原始網域)** 指定的網域名稱。否則,CloudFront 將使用 HTTP 狀態碼 502 (無效閘道) 來回應檢視器請求,而非傳回請求的物件。如需詳細資訊,請參閱[與 CloudFront 搭配使用 SSL/TLS 憑證的要求](cnames-and-https-requirements.md)。
**Topics**
+ [HTTP 連接埠](#DownloadDistValuesHTTPPort)
+ [HTTPS 連接埠](#DownloadDistValuesHTTPSPort)
+ [最低來源 SSL 通訊協定](#DownloadDistValuesOriginSSLProtocols)
### HTTP 連接埠
**注意**
這僅適用於自訂原始伺服器。
(選擇性) 您可以指定自訂原始伺服器偵聽的 HTTP 連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 80。
**重要**
當原始伺服器是 Amazon S3 靜態網站託管端點時,連線埠 80 是預設設定,因為 Amazon S3 僅支援連線埠 80 的靜態網站託管端點。CloudFront 主控台不支援變更 Amazon S3 靜態網站託管端點的此設定。
### HTTPS 連接埠
**注意**
這僅適用於自訂原始伺服器。
(選擇性) 您可以指定自訂原始伺服器偵聽的 HTTPS 連接埠。有效值包括連接埠 80、443,以及 1024 到 65535 之間。預設值為連接埠 443。當 **Protocol (通訊協定)** 設定為 **HTTP only (僅限 HTTP)**,您無法指定 **HTTPS port (HTTPS 連接埠)** 值。
### 最低來源 SSL 通訊協定
**注意**
這僅適用於自訂原始伺服器。
選擇 CloudFront 在建立與您原始伺服器的 HTTPS 連線時可使用的最低 TLS/SSL 通訊協定。由於較低的 TLS 通訊協定安全性較低,因此我們建議您選擇您來源支援的最新 TLS 通訊協定。當 **Protocol (通訊協定)** 設定為 **HTTP only (僅限 HTTP)**,您無法指定 **Minimum origin SSL protocol (最低來源 SSL 通訊協定)** 值。
如果您使用 CloudFront API 來設定用於 CloudFront 的 TLS/SSL 通訊協定,則無法設定最低通訊協定。反之,您可指定所有 TLS/SSL 協定,以供 CloudFront 與您的原始伺服器搭配使用。如需詳細資訊,請參閱 *Amazon CloudFront API 參考*中的 [OriginSslProtocols](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_OriginSslProtocols.html)。
## 原始伺服器路徑
如果您希望 CloudFront 從原始伺服器的目錄中請求內容,請輸入以斜線 (/) 開頭的目錄路徑。CloudFront 會將目錄路徑附加到 **Origin domain (原始網域)** 的值中,例如:**cf-origin.example.com/production/images**。請勿在路徑的尾端加上斜線 (/)。
例如,假設您已為您的分佈指定以下值:
+ **Origin domain (原始網域)** – 名為 **amzn-s3-demo-bucket** 的 Amazon S3 儲存貯體
+ **Origin path (原始伺服器路徑)** - **/production**
+ **Alternate domain names (CNAME) (備用網域名稱 (CNAME))** – **example.com**
當使用者在瀏覽器中輸入 `example.com/index.html` 時,CloudFront 會針對 `amzn-s3-demo-bucket/production/index.html` 將請求傳送到 Amazon S3。
當使用者在瀏覽器中輸入 `example.com/acme/index.html` 時,CloudFront 會針對 `amzn-s3-demo-bucket/production/acme/index.html` 將請求傳送到 Amazon S3。
## 名稱
名稱是一個可唯一識別該分佈中此原始伺服器的字串。如果您除了預設快取行為外,還建立快取行為,則可以使用您在此處指定的名稱,以識別您所希望 CloudFront 將請求路由至其中的原始伺服器,前提是該請求需與該快取行為的路徑模式相符。
## 原始存取 (僅限 Amazon S3 原始伺服器)
**注意**
這僅適用於 Amazon S3 儲存貯體原始伺服器 (那些*不*使用 S3 靜態網站端點的原始伺服器)。
如果您想將對 Amazon S3 儲存貯體的存取限制為僅限特定 CloudFront 分佈,請選擇 **Origin access control settings (recommended)** (原始伺服器存取控制設定 (建議使用))。
如果 Amazon S3 儲存貯體可公開存取,請選擇 **public** (公有)。
如需詳細資訊,請參閱[限制對 Amazon S3 原始伺服器的存取](private-content-restricting-access-to-s3.md)。
如需如何請求使用者只使用 CloudFront URL 來存取自訂原始伺服器上的物件的詳細資訊,請參閱[在自訂原始伺服器上限制存取檔案](private-content-overview.md#forward-custom-headers-restrict-access)。
## 新增自訂標頭
如果您希望 CloudFront 在將請求傳送到您的原始伺服器時新增自訂標頭,請指定標頭名稱和值。如需詳細資訊,請參閱[將自訂標頭新增到原始伺服器請求](add-origin-custom-headers.md)。
如需可新增自訂標頭數量上限的目前上限、自訂標頭的名稱和值的最大長度,以及所有標頭名稱和值的總長度上限的詳細資訊,請參閱 [配額](cloudfront-limits.md)。
## 啟用 Origin Shield
選擇 **Yes (是)** 以啟用 CloudFront Origin Shield。如需 Origin Shield 的詳細資訊,請參閱 [使用 Amazon CloudFront Origin Shield](origin-shield.md)。
## 連線嘗試
您可以設定 CloudFront 嘗試連線至原始伺服器的次數。您可以指定 1、2 或 3 做為嘗試次數。預設數字 (如果您未另外指定) 是 3。
將此設定與 **Connection timeout (連線逾時)** 搭配使用,可指定在嘗試連線至次要原始伺服器或將錯誤回應傳回給檢視器之前 CloudFront 等待的時間長度。依預設,CloudFront 會等待 30 秒 (嘗試 3 次,每次 10 秒),然後再嘗試連線至次要原始伺服器或傳回錯誤回應。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。
如果指定的連線嘗試次數失敗,CloudFront 會執行下列其中一項操作:
+ 如果原始伺服器是原始伺服器群組的一部分,則 CloudFront 會嘗試連線至次要原始伺服器。如果對次要原始伺服器指定的連線嘗試次數失敗,則 CloudFront 會傳回錯誤回應給檢視器。
+ 如果原始伺服器不是原始伺服器群組的一部分,則 CloudFront 會傳回錯誤回應給檢視器。
對於自訂原始伺服器 (包括使用靜態網站託管所配置的 Amazon S3 儲存貯體),此配置也會指定 CloudFront 嘗試從原始伺服器取得回應的次數。如需詳細資訊,請參閱[回應逾時](#DownloadDistValuesOriginResponseTimeout)。
## 連線逾時。
連線逾時是嘗試建立與原始伺服器的連線時 CloudFront 所等待的秒數。您可以指定介於 1 到 10 之間的秒數 (含)。預設逾時 (如果您另外未指定) 是 10 秒。
將此設定與 **Connection attempts (連線嘗試次數)** 搭配使用,可指定在嘗試連線至次要原始伺服器之前或將錯誤回應傳回給檢視器之前 CloudFront 等待的時間長短。依預設,CloudFront 會等待 30 秒 (嘗試 3 次,每次 10 秒),然後再嘗試連線至次要原始伺服器或傳回錯誤回應。您可以指定較少的嘗試次數、較短的連線逾時或兩者,以縮短此時間。
如果 CloudFront 未在指定的秒數內建立與原始伺服器的連線,CloudFront 會執行下列其中一項操作:
+ 如果指定的 **Connection attempts (連線嘗試次數)**超過 1,CloudFront 會再次嘗試建立連線。CloudFront 最多可嘗試 3 次,由 **Connection attempts (連線嘗試次數)**的值決定。
+ 如果所有連線嘗試失敗,且原始伺服器是原始伺服器群組的一部分,則 CloudFront 會嘗試連線至次要原始伺服器。如果對次要原始伺服器指定的連線嘗試次數失敗,則 CloudFront 會傳回錯誤回應給檢視器。
+ 如果所有連線嘗試失敗,且原始伺服器不是原始伺服器群組的一部分,則 CloudFront 會傳回錯誤回應給檢視器。
## 回應逾時
原始伺服器回應逾時,也稱為*原始伺服器讀取逾時*或*原始伺服器請求逾時*,適用於以下兩個值:
+ 在將請求轉送到自訂原始伺服器之後,CloudFront 等待回應的時間 (以秒為單位)。
+ CloudFront 在收到來自原始伺服器的回應封包後,並在接收下一個封包前,等待的時間長短 (以秒為單位)
**提示**
如果因為檢視器遇到 HTTP 504 狀態碼錯誤,而您想要增加逾時值,請考慮在變更逾時值之前先探索其他方式來消除這些錯誤。請查看在 [HTTP 504 狀態碼 (閘道逾時)](http-504-gateway-timeout.md) 中的故障診斷建議。
CloudFront 行為取決於檢視器請求中的 HTTP 方法:
+ `GET` 與 `HEAD` 請求 – 如果原始伺服器在回應逾時期間未回應或是停止回應,CloudFront 會結束連線。CloudFront 會根據 [連線嘗試](#origin-connection-attempts) 的值再次嘗試連線。
+ `DELETE`、`OPTIONS`、`PATCH`、`PUT` 及 `POST` 請求 – 如果在讀取逾時期間原始伺服器未回應,CloudFront 將會結束連線,並且不再嘗試聯絡原始伺服器。用戶端可以視需要重新提交請求。
## 回應完成逾時
**注意**
回應完成逾時不支援[持續部署](continuous-deployment.md)功能。
從 CloudFront 到原始伺服器的請求可以保持開啟並等待回應的時間 (以秒為單位)。如果此時未從原始伺服器收到完整回應,CloudFront 會結束連線。
不同於**回應逾時**,這是*個別*回應封包的等待時間,**回應完成逾時**是 CloudFront 等待回應完成的允許時間*上限*。您可以使用此設定,以確保 CloudFront 不會無限期等待緩慢或沒有回應的原始伺服器,即使其他逾時設定允許更長的等待時間。
此最大逾時包括您為其他逾時設定指定的項目,以及每次重試的**連線嘗試**次數。您可以同時使用這些設定來指定 CloudFront 等待完整請求的時間,以及何時結束請求,無論是否完成。
例如,如果您設定下列設定:
+ **連線嘗試**為 3
+ **連線逾時**為 10 秒
+ **回應逾時**為 30 秒
+ **回應完成逾時**為 60 秒
這表示 CloudFront 會嘗試連線到原始伺服器 (最多總共 3 次嘗試),每次連線嘗試會在 10 秒逾時。連線後,CloudFront 最多會等待 30 秒,讓原始伺服器回應請求,直到收到回應的最後一個封包為止。
無論連線嘗試次數或回應逾時,如果來自原始伺服器的完整回應需要超過 60 秒才能完成,CloudFront 都會結束連線。然後,如果您指定了 [HTTP 504 狀態碼 (閘道逾時)](http-504-gateway-timeout.md) 錯誤回應或自訂錯誤回應,CloudFront 將傳回給檢視器。
**備註**
如果您設定回應完成逾時的值,則值必須等於或大於[回應逾時 (原始伺服器讀取逾時)](#DownloadDistValuesOriginResponseTimeout) 的值。
如果您未設定回應完成逾時的值,CloudFront 不會強制執行最大值。
## 保持連線逾時 (僅限自訂與 VPC 原始伺服器)
保持連線逾時是在取得上次封包回應之後,CloudFront 嘗試與您的自訂原始伺服器保持連線的時間 (以秒為單位)。維護持久性連線可節省重新建立 TCP 連線所需的時間,並為後續請求執行另一個 TLS 交握。增加「保持活動逾時」有助於改善分佈的「每個連線請求指標」。
**注意**
為了讓 **Keep-alive Timeout (保持連線逾時)** 值有效,必須將原始伺服器設定為允許持久連線。
## 回應和保持連線逾時配額
+ 對於[回應逾時](#DownloadDistValuesOriginResponseTimeout),預設為 30 秒。
+ 對於[保持連線逾時](#DownloadDistValuesOriginKeepaliveTimeout),預設值為 5 秒。
如果您請求增加 的逾時 AWS 帳戶,請更新您的分佈原始伺服器,以便它們具有您想要的回應逾時和持續作用逾時值。您帳戶的配額增加不會自動更新您的原始伺服器。例如,如果您使用 Lambda@Edge 函數來設定 90 秒的保持連線逾時,您的原始伺服器必須已有 90 秒以上的保持連線逾時。否則,您的 Lambda@Edge 函數可能無法執行。
如需有關分佈配額的詳細資訊,包括如何請求提高配額,請參閱 [分佈的一般配額](cloudfront-limits.md#limits-web-distributions)。
# 快取行為設定
快取行為可讓您為網站上的檔案的指定 URL 路徑模式配置各種 CloudFront 功能。例如,一個快取行為可能會套用到 Web 伺服器上的 `images` 目錄中的所有 `.jpg` 檔案,您正在使用它做為 CloudFront 的原始伺服器。您可以為每個快取行為設定的功能包括:
+ 路徑模式
+ 如果您為 CloudFront 分佈設定了多個原始伺服器,您希望 CloudFront 將您的請求轉送至哪個原始伺服器
+ 是否將查詢字串轉發到您的原始伺服器。
+ 存取指定的檔案是否需要已簽署的 URL
+ 是否要求使用者使用 HTTPS 來存取這些檔案
+ 這些檔案在 CloudFront 快取中停留的最短時間,此時間與原始伺服器新增至檔案中的任何 `Cache-Control` 標頭值無關
在建立新的分佈,您可以指定預設快取行為的設定,該設定會自動將所有請求轉發到您在建立分佈時指定的原始伺服器。在建立分發後,您可以建立額外的快取行為,以定義 CloudFront 在收到與路徑模式符合的物件的請求時如何回應,例如,`*.jpg`。如果您建立額外的快取行為,則預設的快取行為一律是最後要處理的。其他快取行為按其在 CloudFront 主控台中所列的順序進行處理,或者如果您使用的是 CloudFront API ,它們在分發的 `DistributionConfig` 元素中列出順序。如需詳細資訊,請參閱[路徑模式](#DownloadDistValuesPathPattern)。
當建立快取行為時,您可以指定一個您希望 CloudFront 從中取得物件的原始伺服器。因此,如果您希望 CloudFront 從您的所有原始伺服器分配物件,則必須至少擁有的快取行為儘可能與該您的原始伺服器一樣多 (包括預設的快取行為)。例如,如果您有兩部原始伺服器,且只有預設的快取行為,則預設快取行為會導致 CloudFront 從其中一部原始伺服器取得物件,但永遠不會使用其他原始伺服器。
如需您可為分發新增之快取行為數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱[分佈的一般配額](cloudfront-limits.md#limits-web-distributions)。
**Topics**
+ [路徑模式](#DownloadDistValuesPathPattern)
+ [來源或來源群組](#DownloadDistValuesTargetOriginId)
+ [檢視器通訊協定政策](#DownloadDistValuesViewerProtocolPolicy)
+ [Allowed HTTP methods (允許的 HTTP 方法)](#DownloadDistValuesAllowedHTTPMethods)
+ [欄位層級加密 Config](#DownloadDistValuesFieldLevelEncryption)
+ [快取的 HTTP 方法](#DownloadDistValuesCachedHTTPMethods)
+ [允許透過 HTTP/2 進行 gRPC 請求](#enable-grpc-distribution)
+ [根據選取請求標頭的快取](#DownloadDistValuesForwardHeaders)
+ [允許清單標頭](#DownloadDistValuesAllowlistHeaders)
+ [物件快取](#DownloadDistValuesObjectCaching)
+ [最短 TTL](#DownloadDistValuesMinTTL)
+ [最長 TTL](#DownloadDistValuesMaxTTL)
+ [預設 TTL](#DownloadDistValuesDefaultTTL)
+ [轉送 Cookie](#DownloadDistValuesForwardCookies)
+ [允許清單 Cookie](#DownloadDistValuesAllowlistCookies)
+ [查詢字串轉送和快取](#DownloadDistValuesQueryString)
+ [查詢字串允許清單](#DownloadDistValuesQueryStringAllowlist)
+ [Smooth Streaming](#DownloadDistValuesSmoothStreaming)
+ [限制檢視器存取 (使用已簽章的 URL 或已簽章的 Cookie)](#DownloadDistValuesRestrictViewerAccess)
+ [可信簽署者](#DownloadDistValuesTrustedSigners)
+ [AWS 帳戶 數字](#DownloadDistValuesAWSAccountNumbers)
+ [自動壓縮物件](#DownloadDistValuesCompressObjectsAutomatically)
+ [CloudFront 事件](#DownloadDistValuesEventType)
+ [Lambda 函數 ARN](#DownloadDistValuesLambdaFunctionARN)
+ [包含內文](#include-body)
## 路徑模式
路徑模式 (例如,`images/*.jpg`) 指定您希望將此快取行為套用到哪些請求。當 CloudFront 收到檢視器請求時,會依快取行為在分佈中的排列順序,比較請求的路徑與路徑模式。第一種符合決定哪個快取行為套用到該請求。例如,假設您在以下三種路徑模式下有三個快取行為模式,並按此順序排列:
+ `images/*.jpg`
+ `images/*`
+ `*.gif`
**注意**
您可以選擇在路徑模式的開頭包括斜線 (/),例如 `/images/*.jpg`。無論是否有前導斜線,CloudFront 的行為都一樣。如果您未在路徑開頭指定 /,則會自動隱含此字元;CloudFront 會以相同方式處理路徑,無論是否使用前置 /。例如,CloudFront 會將相同 `/*product.jpg` 視為 `*product.jpg`
對檔案 `images/sample.gif` 的請求無法滿足第一個路徑模式,所以關聯的快取行為不能套用到該請求。該檔案確實滿足第二個路徑模式,因此即使該請求也與第三個路徑模式相符合,也會套用與第二個路徑模式相關聯的快取行為。
**注意**
當您建立新的分佈時,預設快取行為的 **Path Pattern (路徑模式)** 值將設定為 **\$1** (所有檔案),而且無法變更。這個值會導致 CloudFront 將您的物件的所有請求轉送到在 [原始網域](DownloadDistValuesOrigin.md#DownloadDistValuesDomainName) 欄位中指定的原始伺服器。如果對物件的請求與任何其他快取行為的路徑模式不符合,CloudFront 將套用您在預設快取行為中指定的行為。
**重要**
請謹慎定義路徑模式及其序列,否則可能會讓使用者對您的內容作出無法預料的存取。例如,假設請求與兩個快取行為的路徑模式相符合。第一個快取行為不需要簽章的 URL 和第二個快取行為確實需要簽章的 URL。使用者能夠在不使用簽署的 URL 的情況下存取物件,因為 CloudFront 處理與第一個符合相關聯的快取行為。
如果您正在使用 MediaPackage 頻道,您必須針對您為原始伺服器的端點類型定義的快取行為納入特定的路徑模式。例如,如果是 DASH 端點,請在 **路徑模式** 中,輸入 `*.mpd`。如需詳細資訊和特定說明,請參閱[提供格式化為 的即時影片 AWS Elemental MediaPackage](live-streaming.md#live-streaming-with-mediapackage)。
您所指定的路徑套用到指定目錄中所有檔案和指定目錄下子目錄中所有檔案的請求。CloudFront 在評估路徑模式時不考慮查詢字串或 Cookie。例如,如果 `images` 目錄包含 `product1` 和 `product2` 子目錄,則路徑模式 `images/*.jpg` 適用於 `images`、`images/product1` 和 `images/product2` 目錄中任何 .jpg 檔案的請求。如果要對 `images/product1` 目錄中的檔案套用與 `images` 和 `images/product2` 目錄中的套用不同的快取行為,請為 `images/product1` 建立一個單獨的快取行為,並將該快取行為移至 `images` 目錄快取行為上方 (之前) 的位置。
您可以在路徑模式中使用以下萬用字元:
+ `*` 符合 0 或更多字元。
+ `?` 符合完全 1 個字元。
以下範例說明萬用字元的工作方式:
****
| 路徑模式 | 與路徑模式相符的檔案 |
| --- | --- |
| `*.jpg` | 所有 .jpg 檔案。 |
| `images/*.jpg` | 位於 `images` 目錄和 `images` 目錄下子目錄中的所有 .jpg 檔案。 |
| `a*.jpg` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudFront/latest/DeveloperGuide/DownloadDistValuesCacheBehavior.html) |
| `a??.jpg` | 檔案名稱以 `a` 開頭的所有 .jpg 檔案,後面緊接恰好兩個其他字元,例如 `ant.jpg` 和 `abe.jpg`。 |
| `*.doc*` | 檔案名稱副檔名以 `.doc` 開頭的所有檔案,例如 `.doc`、`.docx` 和 `.docm` 檔案。在這種情況下,您不能使用路徑模式`*.doc?`,因為該路徑模式不適用於 `.doc` 檔案的請求;`?` 萬用字元僅取代一個字元。 |
路徑模式 的長度上限為 255 個字元。這個值可以包含以下任何字元:
+ A-Z、a-z
途徑模式會區分大小寫,因此路徑模式 `*.jpg` 不適用於檔案 `LOGO.JPG`
+ 0-9
+ \$1 - . \$1 \$1 / \$1 " ' @ : \$1
+ & 通過並以 `&` 傳回
### 路徑標準化
CloudFront 會依照 [RFC 3986](https://datatracker.ietf.org/doc/html/rfc3986#section-6) 的規範來標準化 URI 路徑,然後將路徑與正確的快取行為比對。快取行為相符後,CloudFront 會將原始 URI 路徑傳送至原始伺服器。如果不相符,請求會改為符合您的預設快取行為。
有些字元會標準化並從路徑中移除,例如多個斜線 (`//`) 或句點 (`..`)。這可能會改變 CloudFront 用來比對預期快取行為的 URL。
**Example 範例**
您可以指定快取行為的 `/a/b*` 和 `/a*` 路徑。
+ 傳送 `/a/b?c=1` 路徑的檢視器將符合 `/a/b*` 快取行為。
+ 傳送 `/a/b/..?c=1` 路徑的檢視器將符合 `/a*` 快取行為。
若要解決正被標準化的路徑,您可以更新請求路徑或快取行為的路徑模式。
## 來源或來源群組
僅當您建立或更新現有分佈的快取行為時才適用此設定。
輸入現有來源或來源群組的值。這會識別當請求 (例如 https://example.com/logo.jpg) 與快取行為的路徑模式 (例如 \$1.jpg) 或預設快取行為的路徑模式 (\$1) 相符時,您要 CloudFront 將請求路由到的原始伺服器或原始伺服器群組。
## 檢視器通訊協定政策
選擇您想要檢視器在 CloudFront 節點存取您的內容時使用的通訊協定政策:
+ **HTTP and HTTPS (HTTP 和 HTTPS)**:檢視器可使用這兩種通訊協定。
+ **Redirect HTTP to HTTPS (將 HTTP 重新引導到 HTTPS)**:檢視器可使用這兩種通訊協定,但是 HTTP 請求會自動重新引導到 HTTPS 請求。
+ **HTTPS Only (僅限 HTTPS)**:檢視器只能在使用 HTTPS 的情況下存取您的內容。
如需詳細資訊,請參閱[檢視器和 CloudFront 之間的通訊需使用 HTTPS](using-https-viewers-to-cloudfront.md)。
## Allowed HTTP methods (允許的 HTTP 方法)
指定您希望 CloudFront 處理並轉送到您的原始伺服器的 HTTP 方法。
+ **GET、HEAD:**您只能使用 CloudFront 來從您的原始伺服器取得物件或物件標頭。
+ **GET、HEAD、OPTIONS:**您只能使用 CloudFront 來從您的原始伺服器取得物件,取得物件標頭或擷取原始伺服器支援的選項清單。
+ **GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE:**您可以使用 CloudFront 來取得、新增、更新和刪除物件,以及取得物件標頭。此外,您可以執行其他 POST 操作,例如從 Web 表單提交資料。
**注意**
如果您在工作負載中使用 gRPC,則必須選擇 **GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE**。gRPC 工作負載需要 `POST` 方法。如需詳細資訊,請參閱[使用 gRPC 搭配 CloudFront 分佈](distribution-using-grpc.md)。
CloudFront 快取對 `GET` 和 `HEAD` 請求的回應,以及 可選的 `OPTIONS` 請求的回應。`OPTIONS` 請求的回應與 `GET` 和 `HEAD` 請求的回應分開快取 (`OPTIONS` 方法包含在適用於 `OPTIONS` 請求的[快取金鑰](understanding-the-cache-key.md)中)。CloudFront 不會快取對使用其他方法之請求的回應。
**重要**
如果您選擇 **GET、HEAD、OPTIONS** 或 **GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE**,則可能需要限制對 Amazon S3 儲存貯體或自訂原始伺服器原始伺服器的存取,以防止使用者執行不希望它們執行的操作。下列範例說明如何限制存取:
**如果您正在使用 Amazon S3 做為分佈的原始伺服器:**建立 CloudFront 原始存取控制以限制對 Amazon S3 內容的存取,並為原始存取控制授予許可。例如,若您將 CloudFront 配置為接受並轉送這些方法,*僅*因為您要使用 `PUT`,則仍然必須配置 Amazon S3 儲存貯體原則以正確處理 `DELETE` 請求。如需詳細資訊,請參閱[限制對 Amazon S3 原始伺服器的存取](private-content-restricting-access-to-s3.md)。
**如果您使用自訂原始伺服器:**請設定您的原始伺服器以處理所有方法。例如,如果您將 CloudFront 配置為接受並轉送這些方法,*僅*因為您要使用 `POST`,則仍然必須配置您的原始伺服器以正確處理 `DELETE` 請求。
## 欄位層級加密 Config
如果想要針對特定資料欄位強制執行欄位層級加密,請在下拉式清單中選擇欄位層級加密組態。
如需詳細資訊,請參閱[使用欄位層級加密來協助保護敏感資料](field-level-encryption.md)。
## 快取的 HTTP 方法
指定當檢視器提交 `OPTIONS` 請求,您是否希望 CloudFront 快取原始伺服器原始伺服器的回應。CloudFront 一律快取 `GET` 和 `HEAD` 請求的回應。
## 允許透過 HTTP/2 進行 gRPC 請求
指定您是否希望分佈允許 gRPC 請求。若要啟用 gRPC,請選取下列設定:
+ 針對**[允許的 HTTP 方法](#DownloadDistValuesAllowedHTTPMethods)**,選取 **GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE** 方法。gRPC 需要 `POST` 方法。
+ 選取在您選取 `POST` 方法後出現的 gRPC 核取方塊。
+ 針對 **[支援的 HTTP 版本](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions)**,選取 **HTTP/2**。
如需詳細資訊,請參閱[使用 gRPC 搭配 CloudFront 分佈](distribution-using-grpc.md)。
## 根據選取請求標頭的快取
指定是否希望 CloudFront 根據特定標頭的值來快取物件:
+ **無 (提升快取)** – CloudFront 不會根據標頭值快取物件。
+ **允許清單** – CloudFront 僅依據指定標頭的值來快取物件。使用**允許清單標頭**選擇您希望 CloudFront 進行快取時所依據的標頭。
+ **所有** – CloudFront 不會快取與此快取行為相關聯的物件。相反地,CloudFront 會將每個請求傳送給原始伺服器。(不建議用於 Amazon S3 原始伺服器。)
無論您選擇的選項為何,CloudFront 皆會轉送特定標頭到原始伺服器,並根據您轉送的標頭來採取特定動作。如需 CloudFront 處理標頭轉送的詳細資訊,請參閱[HTTP 請求標頭和 CloudFront 行為 (自訂和 Amazon S3 原始伺服器)](RequestAndResponseBehaviorCustomOrigin.md#request-custom-headers-behavior)。
如需如何使用請求標頭以在 CloudFront 配置快取的詳細資訊,請參閱[根據請求標頭快取內容](header-caching.md)。
## 允許清單標頭
這些設定只有當您針對**根據選取的請求標頭的快取**選擇**允許清單**時才適用。
指定希望 CloudFront 在快取物件時考慮的標頭。從可用標頭清單中選擇標頭,然後選擇 **Add (新增)**。若要轉送自訂標頭,請在欄位中輸入標頭的名稱,然後選擇 **Add Custom (新增自訂)**。
如需您可為每個快取行為列入允許清單之標頭數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱[標頭的配額](cloudfront-limits.md#limits-custom-headers)。
## 物件快取
如果您的原始伺服器向您的物件新增 `Cache-Control` 標頭以控制物件在 CloudFront 快取中的停留時間,而且您不想變更 `Cache-Control` 值,請選擇**使用原始伺服器快取標頭**。
若要指定物件停留在 CloudFront 快取中的最短和最長時間,而不考慮 `Cache-Control` 標頭,以及當物件中的 `Cache-Control` 標頭時遺失時,物件停留在 CloudFront 快取中的預設時間,請選擇**自訂**。然後,在 **Minimum TTL (最短 TTL)**、**Default TTL (預設 TTL)** 及 **Maximum TTL (最長 TTL)** 欄位中指定值。
如需詳細資訊,請參閱[管理內容保持在快取中達多久時間 (過期)](Expiration.md)。
## 最短 TTL
指定時間的長度下限 (以秒為單位),此時間是您希望在 CloudFront 傳送另一個請求至原始伺服器前,物件要停留在 CloudFront 快取中以判定物件是否已更新的時間。
**警告**
如果您的最小 TTL 大於 0,則即使原始伺服器標頭中存在 `Cache-Control: no-cache`、`no-store` 或 `private` 指令,CloudFront 也會快取內容至少達到快取政策最短 TTL 中指定的持續時間。
如需詳細資訊,請參閱[管理內容保持在快取中達多久時間 (過期)](Expiration.md)。
## 最長 TTL
指定希望物件在 CloudFront 快取中停留的最長時間 (以秒為單位),然後在 CloudFront 查詢您的原始伺服器原始伺服器,以查看該物件是否已更新。您為 **Maximum TTL (最長 TTL)** 指定的值僅適用於您的原始伺服器將 HTTP 標題 (例如 `Cache-Control max-age`、`Cache-Control s-maxage` 或 `Expires`) 新增至物件時。如需詳細資訊,請參閱[管理內容保持在快取中達多久時間 (過期)](Expiration.md)。
若要指定 **Maximum TTL (最長 TTL)** 的值,您必須為 **Object Caching (物件快取)** 設定選擇 **Customize (自訂)** 選項。
**Maximum TTL (最長 TTL)** 的預設值為 31536000 秒 (一年)。如果將 **Minimum TTL (最短 TTL)** 或 **Default TTL (預設 TTL)** 的值變更為 31536000 秒以上,則 **Maximum TTL (最長 TTL)** 的預設值將變更為 **Default TTL (預設 TTL)** 的值。
## 預設 TTL
指定您希望物件在 CloudFront 快取中停留的預設時間,然後 CloudFront 會將另一個請求轉送到原始伺服器,以判斷物件是否已更新。您為**預設 TTL** 指定的值,僅在您的原始伺服器*不會*將 HTTP 標題 (例如 `Cache-Control max-age`、`Cache-Control s-maxage` 或 `Expires`) 新增至物件時適用。如需詳細資訊,請參閱[管理內容保持在快取中達多久時間 (過期)](Expiration.md)。
若要指定 **Default TTL (預設 TTL)** 的值,您必須為 **Object Caching (物件快取)** 設定選擇 **Customize (自訂)** 選項。
**Default TTL (預設 TTL)** 的預設值為 86400 秒 (一天)。如果將 **Minimum TTL (最短 TTL)** 的值變更為 86400 秒以上,則 **Default TTL (預設 TTL)** 的預設值將變更為 **Minimum TTL (最短 TTL)** 的值。
## 轉送 Cookie
**注意**
對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。
指定您是否希望 CloudFront 轉送 Cookie 到原始伺服器,若要轉送,則請指定是哪些 Cookie。如果您選擇僅轉送所選取的 Cookie (Cookie 的允許清單),請在**允許清單 Cookie** 欄位中輸入 Cookie 名稱。如果您選擇**所有**,無論您的應用程式使用多少,CloudFront 都會轉送所有Cookie。
Amazon S3 並不處理 Cookie,而且將 Cookie 轉送到原始伺服器的動作,會降低快取的能力。對於將請求轉送到 Amazon S3 原始伺服器的快取行為,請為**轉送 Cookie**選擇**無**。
如需有關將 Cookie 轉發到原始伺服器的詳細資訊,請前往[根據 Cookie 快取內容](Cookies.md)。
## 允許清單 Cookie
**注意**
對於 Amazon S3 原始伺服器,此選項僅適用於配置為網站端點的儲存貯體。
如果您在**轉送 Cookies** 清單中選擇了**允許清單**,請在**允許清單 Cookies** 欄位中輸入您希望 CloudFront 針對此快取行為要轉送至原始伺服器的 Cookie 名稱。在新的列上輸入每個 Cookie 名稱。
您可以指定以下萬用字元,以指定 Cookie 名稱:
+ **\$1** 符合 Cookie 名稱中的 0 個或多個字元
+ **?** 僅符合 Cookie 名稱中的一個字元
例如,假設檢視器為包含 Cookie 的物件作請求,其 Cookie 名為:
`userid_member-number`
其中每個使用者都有*會員編號*的唯一值。您希望 CloudFront 為每個成員快取單獨版本的物件。您可以透過將所有 Cookie 轉送到原始伺服器原始伺服器來達成此目標,但檢視器請求包含一些您不希望 CloudFront 快取的 Cookie。或者,您可以指定以下值做為 Cookie 名稱,這會導致 CloudFront 將所有以 `userid_` 開頭的 Cookie 轉送至原始伺服器:
`userid_*`
如需您可為每個快取行為列入允許清單之 Cookie 名稱的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱[Cookie 的配額 (舊版快取設定)](cloudfront-limits.md#limits-allowlisted-cookies)。
## 查詢字串轉送和快取
CloudFront 可以根據查詢字串參數的值快取不同版本的內容。請選擇下列其中一個選項:
**無 (提升快取)**
如果您的原始來源傳回物件的相同版本,而不考慮查詢字串參數的值,請選擇此選項。這會增加 CloudFront 的可能性,可以提供來自快取的請求,這可以提高效能,並降低您的原始伺服器原始伺服器的負載。
**全部轉送,依據允許清單進行快取**
如果您的原始伺服器根據一或多個查詢字串參數傳回物件的不同版本,請選擇此選項。接著,在 [查詢字串允許清單](#DownloadDistValuesQueryStringAllowlist) 欄位中,指定您希望 CloudFront 使用做為快取基礎的參數。
**轉發所有,根據所有快取**
如果您的原始伺服器針對所有查詢字串參數傳回物件的不同版本,請選擇此選項。
如需有關根據查詢字串參數進行快取的詳細資訊,包括如何提升效能,請參閱[根據查詢字串參數快取內容](QueryStringParameters.md)。
## 查詢字串允許清單
此設定僅在您為 [查詢字串轉送和快取](#DownloadDistValuesQueryString) 選擇**轉送全部,並根據允許清單進行快取**時才會套用。您可以指定做為您希望 CloudFront 用於快取基礎的查詢字串參數。
## Smooth Streaming
如果您想要以 Microsoft Smooth Streaming 格式分配媒體檔案,而且您沒有 IIS 伺服器,請選擇 **Yes** (是)。
如果您有 Microsoft IIS 伺服器,而且想要將它當做以 Microsoft Smooth Streaming 格式分配媒體檔案的原始伺服器使用,或者您並非分配 Smooth Streaming 媒體檔案,請選擇 **No** (否)。
**注意**
如果您指定 **Yes (是)**,而內容與 **Path Pattern** (路徑模式) 的值符合,您仍然可以使用此快取行為分配其他內容。
如需詳細資訊,請參閱[為 Microsoft Smooth Streaming 設定隨需視訊](on-demand-video.md#on-demand-streaming-smooth)。
## 限制檢視器存取 (使用已簽章的 URL 或已簽章的 Cookie)
如果您希望與此快取行為之 `PathPattern` 相符的物件請求使用公有 URL,請選擇 **No (否)**。
如果您希望與此快取行為之 `PathPattern` 相符的物件請求使用已簽章的 URL,請選擇 **Yes (是)**。然後指定您要用來建立簽章 URLs AWS 的帳戶;這些帳戶稱為信任簽署者。
如需有關可信任簽署者的詳細資訊,請參閱[指定可以建立已簽署 URL 和已簽署 Cookie 的簽署者](private-content-trusted-signers.md)。
## 可信簽署者
僅當您在**限制檢視器存取權限** (使用已簽署的 URL 或已簽署的 Cookie) 選擇**是**時才適用此設定。
選擇要使用此快取行為做為信任簽署者的 AWS 帳戶:
+ **自我:**使用您目前登入的 帳戶 AWS 管理主控台 做為信任的簽署者。如果您目前以 IAM 使用者身分登入,則相關聯的 AWS 帳戶會新增為信任的簽署者。
+ **Specify Accounts (指定帳戶):**在 **AWS Account Numbers ( 帳號)** 欄位中輸入可信任簽署者的帳號。
若要建立簽章URLs, AWS 帳戶必須至少有一個作用中的 CloudFront 金鑰對。
**重要**
如果您正在更新已用於分配內容的分佈,則只有在準備好開始為您的物件產生已簽章 URL 時,才會新增可信任簽署者。將可信任簽署者新增到分佈後,使用者必須使用已簽名的 URL 來存取與此 `PathPattern` 快取行為符合的物件。
## AWS 帳戶 數字
僅當您在**可信簽署者**選擇**指定帳戶**時才適用此設定。
如果您想要使用 AWS 帳戶 除了目前帳戶以外的 或 建立已簽章URLs,請在此欄位的每行輸入一個 AWS 帳戶 數字。注意下列事項:
+ 您指定的帳戶必須至少有一個作用中的 CloudFront 金鑰對。如需詳細資訊,請參閱[為您的簽署者建立金鑰對](private-content-trusted-signers.md#private-content-creating-cloudfront-key-pairs)。
+ 您無法為 IAM 使用者建立 CloudFront 金鑰對,因此您不能將 IAM 使用者用作可信任簽署者。
+ 如需有關如何取得帳戶 AWS 帳戶 號碼的資訊,請參閱《 *AWS 帳戶 管理參考指南*》中的[檢視 AWS 帳戶 識別符](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html)。
+ 如果您輸入目前帳戶的帳號,CloudFront 將自動勾選**自我**核取方塊並從 **AWS 帳號**清單中移除該帳號。
## 自動壓縮物件
如果您想要 CloudFront 在檢視器支援壓縮內容時自動壓縮特定類型的檔案,請選擇**是**。當 CloudFront 壓縮您的內容時,下載的速度會更快,因為檔案較小,而且您的網頁呈現給使用者的速度更快。如需詳細資訊,請參閱[提供壓縮檔案](ServingCompressedFiles.md)。
## CloudFront 事件
此設定適用於 **Lambda 函數關聯**。
當發生以下一或多個 CloudFront 事件時,您可以選擇執行 Lambda 函數:
+ 當 CloudFront 接收到來自檢視器的請求 (檢視器請求) 時
+ 在 CloudFront 轉寄請求至來源 (原始請求) 之前
+ 當 CloudFront 接收到來自來源的回應 (原始回應) 時
+ 在 CloudFront 傳回回應給檢視器 (檢視器回應) 之前
如需詳細資訊,請參閱[選擇要觸發函數的事件](lambda-how-to-choose-event.md)。
## Lambda 函數 ARN
此設定適用於 **Lambda 函數關聯**。
指定要為其新增觸發的 Lambda 函數的 Amazon 資源名稱 (ARN)。若要了解如何取得函數的 ARN,請參閱[使用 CloudFront 主控台新增觸發條件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-add-triggers.html#lambda-edge-add-triggers-cf-console)的步驟 1。
## 包含內文
此設定適用於 **Lambda 函數關聯**。
如需詳細資訊,請參閱[包含本文](lambda-generating-http-responses.md#lambda-include-body-access)。
# 分佈設定
以下值適用於整個分佈。
**Topics**
+ [價格分級](#DownloadDistValuesPriceClass)
+ [AWS WAF Web ACL](#DownloadDistValuesWAFWebACL)
+ [備用網域名稱 (CNAME)](#DownloadDistValuesCNAME)
+ [SSL 憑證](#DownloadDistValuesSSLCertificate)
+ [自訂 SSL 用戶端支援](#DownloadDistValuesClientsSupported)
+ [安全政策 (最低 SSL/TLS 版本)](#DownloadDistValues-security-policy)
+ [支援的 HTTP 版本](#DownloadDistValuesSupportedHTTPVersions)
+ [預設根物件](#DownloadDistValuesDefaultRootObject)
+ [標準記錄](#DownloadDistValuesLoggingOnOff)
+ [連線日誌](#DownloadDistValuesConnectionLogs)
+ [日誌字首](#DownloadDistValuesLogPrefix)
+ [Cookie 記錄](#DownloadDistValuesCookieLogging)
+ [啟用 IPv6 (檢視器請求)](#DownloadDistValuesEnableIPv6)
+ [交互身分驗證](#DownloadDistValuesMutualAuthentication)
+ [為自訂原始伺服器啟用 IPv6 (原始伺服器請求)](#DownloadDistValuesEnableIPv6-origin)
+ [Comment](#DownloadDistValuesComment)
+ [分佈狀態](#DownloadDistValuesEnabled)
## 價格分級
選擇對應您希望支付之 CloudFront 服務最高價的價格分級。根據預設,CloudFront 會從所有 CloudFront 區域的節點提供您的物件。
如需價格分級,以及您的價格分級選擇如何影響分佈的 CloudFront 效能詳細資訊,請參閱 [CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)。
## AWS WAF Web ACL
您可以使用 Web 應用程式防火牆 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf) 來保護 CloudFront 分發,該防火牆可讓您保護 Web 應用程式和 API,以便在請求到達伺服器之前封鎖請求。在建立或編輯 CloudFront 分發時,您可以 [為分佈啟用 AWS WAF](WAF-one-click.md)。
或者,您可以稍後在 AWS WAF 主控台 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 中為應用程式特有的其他威脅設定額外的安全保護。
如需 的詳細資訊 AWS WAF,請參閱 [AWS WAF 開發人員指南](https://docs.aws.amazon.com/waf/latest/developerguide/)。
## 備用網域名稱 (CNAME)
選用。指定一或多個您要用於物件 URL 的網域名稱,而非您建立分佈時 CloudFront 指派的網域名稱。您必須擁有網域名稱,或是擁有使用它的授權;您可以透過新增 SSL/TLS 憑證來進行驗證。
例如,若您希望物件的 URL:
`/images/image.jpg`
看起來像此 URL:
`https://www.example.com/images/image.jpg`
而不是此 URL:
`https://d111111abcdef8.cloudfront.net/images/image.jpg`
請新增 `www.example.com` 的 CNAME。
**重要**
若您將 `www.example.com` 的 CNAME 新增到您的分佈,您也必須執行以下作業:
使用您的 DNS 服務建立 (或更新) CNAME 記錄,以將 `www.example.com` 的查詢路由傳送到 `d111111abcdef8.cloudfront.net`。
將來自可信任憑證授權機構 (CA),涵蓋您新增至分佈網域名稱 (CNAME) 的憑證新增到 CloudFront,以驗證您使用該網域名稱的授權。
您必須擁有使用網域 DNS 服務提供者建立 CNAME 記錄的許可。通常,這表示您擁有網域,或者您正在為網域擁有者開發應用程式。
如需您可為分發新增之備用網域名稱數量的目前上限,或是有關請求更高配額 (先前稱為限制) 的詳細資訊,請參閱[分佈的一般配額](cloudfront-limits.md#limits-web-distributions)。
如需備用網域名稱的詳細資訊,請參閱[透過新增備用網域名稱 (CNAME) 使用自訂 URL](CNAMEs.md)。如需 CloudFront URL 的詳細資訊,請參閱[自訂 CloudFront 中檔案的 URL 格式](LinkFormat.md)。
## SSL 憑證
若您指定要搭配分佈使用的備用網域名稱,請選擇 **Custom SSL Certificate (自訂 SSL 憑證)**,然後,為了驗證您的憑證使用其他網域名稱,請選擇涵蓋該名稱的憑證。如果您希望檢視器使用 HTTPS 存取您的物件,請選擇支援該功能的設定。
+ **預設 CloudFront 憑證 (\$1.cloudfront.net)** – 若您要在物件的 URL 中使用 CloudFront 網域名稱 (例如 `https://d111111abcdef8.cloudfront.net/image1.jpg`),請選擇此選項。
+ **自訂 SSL 憑證** – 若您希望在物件的 URL 中使用您自己的網域名稱,做為備用網域名稱 (例如 `https://example.com/image1.jpg`),請選擇此選項。然後要使用的憑證,其中涵蓋了備用網域名稱。憑證的清單可包括以下任何項目:
+ 提供的憑證 AWS Certificate Manager
+ 您從第三方憑證授權機構購買並上傳到 ACM 的憑證
+ 您從第三方憑證授權機構購買,並上傳到 IAM 憑證存放區的憑證
若您選擇此設定,我們建議您僅使用您物件 URL 中的備用網域名稱 (https://example.com/logo.jpg)。若您使用 CloudFront 分佈網域名稱 (https://d111111abcdef8.cloudfront.net/logo.jpg),而用戶端因使用較舊的檢視器而不支援 SNI,檢視器回應的方式會取決於您為**支援用戶端**所選取的值:
+ **所有用戶端**:檢視器會因為 CloudFront 網域名稱與您 SSL/TLS 憑證中的網域名稱不同而顯示警告。
+ **僅限支援伺服器名稱指示 (SNI) 的用戶端**:CloudFront 失去與檢視器的連線而不傳回物件。
## 自訂 SSL 用戶端支援
僅當您在 **SSL 憑證**選擇**自訂 SSL 憑證 (example.com)** 時才適用。如果您為分佈指定了一或多個備用網域名稱和自訂 SSL 憑證,請選擇您要 CloudFront 提供 HTTPS 請求的方式:
+ **支援伺服器名稱指示 (SNI) 的用戶端 - (建議)** — 使用此設定,幾乎所有現代網頁瀏覽器和用戶端都可以連線到分佈,因為它們都支援 SNI。不過,有些檢視器可能會使用較舊的網頁瀏覽器或不支援 SNI 的用戶端,這表示他們無法連線至分佈。
若要使用 CloudFront API 套用此設定,請在 `SSLSupportMethod` 欄位中指定 `sni-only`。在 CloudFormation中,欄位會命名為 `SslSupportMethod` (請注意大小寫)。
+ **舊式用戶端支援** — 使用此設定,不支援 SNI 的舊式網頁瀏覽器和用戶端就可以連線到分佈。不過,此設定每月會產生額外費用。如需確切的價格,請移至 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)頁面,然後搜尋**專用 IP 自訂 SSL** 的頁面。
若要使用 CloudFront API 套用此設定,請在 `SSLSupportMethod` 欄位中指定 `vip`。在 中 CloudFormation, 欄位會命名為 `SslSupportMethod`(請注意不同的大寫)。
如需詳細資訊,請參閱[選擇 CloudFront 提供 HTTPS 請求的方式](cnames-https-dedicated-ip-or-sni.md)。
## 安全政策 (最低 SSL/TLS 版本)
指定您希望 CloudFront 用於與檢視器 (用戶端) 之 HTTPS 連線的安全政策。安全政策判斷兩個設定:
+ CloudFront 用來與檢視器通訊的最低 SSL/TLS 通訊協定。
+ 加密,供 CloudFront 用來加密傳回給檢視器的內容。
如需安全原則 (包括每個原則所包含的通訊協定和密碼) 的詳細資訊,請參閱[檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
可用的安全政策取決於您為 **SSL Certificate (SSL 憑證)** 和 **Custom SSL Client Support (自訂 SSL 用戶端支援)** (在 CloudFront API 中稱為 `CloudFrontDefaultCertificate` 和 `SSLSupportMethod`) 指定的值:
+ 當 **SSL 憑證**為**預設 CloudFront 憑證 (\$1. cloudfront.net)** 時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `true`),CloudFront 會自動將安全政策設定為 TLSv1。
+ 當 **SSL 憑證**為**自訂 SSL 憑證 (example.com)**,*且***自訂 SSL 用戶端支援**為**支援伺服器名稱指示 (SNI) 的用戶端 - (建議使用)** 時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `false` *且* `SSLSupportMethod` 為 `sni-only`),您可以從下列安全政策中進行選擇:
+ TLSv1.3\$12025
+ TLSv1.2\$12025
+ TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016
+ TLSv1\$12016
+ TLSv1
+ 當 **SSL 憑證**為**自訂 SSL 憑證 (example.com)**,*且***自訂 SSL 用戶端支援**為**舊式用戶端支援**時 (在 API 中則是 `CloudFrontDefaultCertificate` 為 `false` *且* `SSLSupportMethod` 為 `vip`),您可以從下列安全政策中進行選擇:
+ TLSv1
+ SSLv3
在此組態中,無法在 CloudFront 主控台或 API 中使用 TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016 和 TLSv1\$12016 安全政策。如果您想要使用這些安全政策之一,您可以選擇下列選項:
+ 評估您的分佈是否需要具有專用 IP 位址的舊式用戶端支援。如果您的檢視器支援[伺服器名稱指示 (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication),我們建議您將分佈的**自訂 SSL 用戶端支援**設定更新為**支援伺服器名稱指示 (SNI) 的用戶端** (在 API 中則是將 `SSLSupportMethod` 設為 `sni-only`)。這可讓您使用任何可用的 TLS 安全政策,也可以降低 CloudFront 費用。
+ 如果您必須保留具有專用 IP 位址的舊式用戶端支援,則可以在 [AWS 支援中心](https://console.aws.amazon.com/support/home)建立案例,請求其他 TLS 安全原則之一 (TLSv1.3\$12025、TLSv1.2\$12025、TLSv1.2\$12021、TLSv1.2\$12019、TLSv1.2\$12018、TLSv1.1\$12016 或 TLSv1\$12016)。
**注意**
在您聯絡 AWS Support 請求此變更之前,請考慮下列事項:
當您將其中一個安全政策 (TLSv1.3\$12025,TLSv1.2\$12025,TLSv1.2\$12021,TLSv1.2\$12019,TLSv1.2\$12018,TLSv1.1\$12016,或 TLSv1\$12016) 新增至舊版用戶端支援分發時,安全政策會套用至您 AWS 帳戶中*所有*舊版用戶端支援分發*的所有*非 SNI 檢視器請求。不過,當檢視器將 SNI 請求傳送至具有舊式用戶端支援的分佈時,會套用該分佈的安全政策。若要確保將所需的安全政策套用至傳送至 AWS 帳戶中*所有* Legacy Client Support 分佈*的所有*瀏覽者請求,請將所需的安全政策個別新增至每個分佈。
根據定義,新的安全政策不支援舊版的相同密碼和通訊協定。例如,如果您選擇將分佈的安全政策從 TLSv1 升級到 TLSv1.1\$12016,則該分佈將不再支援 DES-CBC3-SHA 加密。如需每個安全政策所支援之密碼和通訊協定的詳細資訊,請參閱[檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
## 支援的 HTTP 版本
選擇您要在檢視器與 CloudFront 通訊時,您的分佈支援的 HTTP 版本。
針對使用 HTTP/2 的檢視器和 CloudFront,檢視器必須支援 TLSv1.2 或更新版本,和伺服器名稱指示 (SNI)。
針對使用 HTTP/3 的檢視器和 CloudFront,檢視器必須支援 TLSv1.3 和伺服器名稱指示 (SNI)。CloudFront 支援 HTTP/3 連線遷移功能,可讓檢視器在不遺失連線的情況下切換網路。如需連線遷移的詳細資訊,請參閱在 RFC 9000 的[連線遷移](https://www.rfc-editor.org/rfc/rfc9000.html#name-connection-migration)。
**注意**
如需支援 TLSv1.3 密碼的詳細資訊,請參閱 [檢視器和 CloudFront 之間支援的通訊協定和密碼](secure-connections-supported-viewer-protocols-ciphers.md)。
**注意**
如果您使用 Amazon Route 53,則可以使用 HTTPS 記錄,在用戶端支援通訊協定時允許通訊協定交涉做為 DNS 查詢的一部分。如需詳細資訊,請參閱[Create alias resource record set](CreatingCNAME.md#alternate-domain-https)。
## 預設根物件
選用。當檢視器請求分佈的根 URL 時 (`index.html`),您希望 CloudFront 向原始伺服器請求的物件 (例如 `https://www.example.com/`),而不是分佈中的物件 (`https://www.example.com/product-description.html`)。指定預設根物件可避免暴露分佈的內容。
該名稱的長度上限為 255 個字元。該名稱可以包含以下任何字元:
+ A-Z、a-z
+ 0-9
+ \$1 - . \$1 \$1 / \$1 " '
+ & 通過並以 `&` 傳回
當您指定預設根物件時,只需輸入物件名稱,例如,`index.html`。不要在物件名稱前新增 `/`。
如需詳細資訊,請參閱[指定預設根物件](DefaultRootObject.md)。
## 標準記錄
指定是否希望 CloudFront 記錄有關物件的每個請求的資訊並儲存日誌檔案。您可以隨時啟用或停用記錄。如果您啟用記錄功能,將不會收取額外費用,但您可以累計費用來存放及存取檔案。您隨時都可刪除日誌。
CloudFront 支援下列標準記錄選項:
+ [標準記錄 (v2)](standard-logging.md) – 您可以將日誌傳送至交付目的地,包括 Amazon CloudWatch Logs、Amazon Data Firehose 和 Amazon Simple Storage Service (Amazon S3)。
+ [標準記錄 (舊版)](AccessLogs.md) – 您只能將日誌傳送至 Amazon S3 儲存貯體。
## 連線日誌
當您開啟分佈的[交互身分驗證](#DownloadDistValuesMutualAuthentication)時,CloudFront 會提供連線日誌,以擷取傳送至分佈之請求的屬性。連線日誌包含的資訊包括用戶端 IP 地址和連接埠、用戶端憑證資訊、連線結果和正在使用的 TLS 密碼。然後,這些連線日誌可用於檢閱請求模式和其他趨勢。
若要進一步了解連線日誌,請參閱 [使用連線日誌的可觀測性](connection-logs.md)。
## 日誌字首
(選擇性) 若啟用標準記錄 (舊版),請指定您希望 CloudFront 加在此分佈之存取日誌檔名稱之前的字串 (如果需要),例如:`exampleprefix/`。結尾的斜線) (/) 是可選的,但建議簡化瀏覽日誌檔案。如需詳細資訊,請參閱[設定標準記錄 (舊式)](standard-logging-legacy-s3.md)。
## Cookie 記錄
如果您希望 CloudFront 在存取日誌中包含 Cookie,請選擇**開啟**。如果您選擇將 Cookie 包含在日誌中,那麼不管您如何為此分佈配置快取行為,CloudFront 都會記錄所有 Cookie:轉送所有 Cookie,不轉送 Cookie 或將指定的 Cookie 清單轉送至原始伺服器原始伺服器。
Amazon S3 不處理 Cookie,因此除非您的分佈還包含 Amazon EC2 或其他自訂原始伺服器原始伺服器,我們建議您選擇**關閉**做為 **Cookie 記錄**的值。
如需 Cookie 的詳細資訊,請參閱[根據 Cookie 快取內容](Cookies.md)。
## 啟用 IPv6 (檢視器請求)
如果您希望 CloudFront 回應來自 IPv4 和 IPv6 IP 位址的檢視器請求,請選取**啟用 IPv6**。如需詳細資訊,請參閱[為 CloudFront 分佈啟用 IPv6](cloudfront-enable-ipv6.md)。
## 交互身分驗證
選用。您可以選擇為 CloudFront 分佈開啟交互身分驗證。如需詳細資訊,請參閱[使用 CloudFront 進行相互 TLS 身分驗證 (檢視器 mTLS)原始伺服器與 CloudFront 的交互 TLS](mtls-authentication.md)。
## 為自訂原始伺服器啟用 IPv6 (原始伺服器請求)
當您使用自訂原始伺服器 (不含 Amazon S3 和 VPC 原始伺服器) 時,您可以自訂分佈的原始伺服器設定,以選擇 CloudFront 如何使用 IPv4 或 IPv6 位址連接到原始伺服器。如需詳細資訊,請參閱[為 CloudFront 分佈啟用 IPv6](cloudfront-enable-ipv6.md)。
## Comment
選用。當您建立分佈,您可以包含高達 128 個字元的評論。您隨時都可以更新評論。
## 分佈狀態
表示是否要在部署後啟用或停用該分佈:
+ *啟用*表示一旦分佈完全部署後,您就可以部署使用分佈的網域名稱的連結,使用者可以擷取內容。當分佈被啟用時,CloudFront 接受並處理使用與該分佈關聯的網域名稱的內容的任何最終使用者請求。
當建立、修改或刪除 CloudFront 分佈時,仍需要時間將您的變更傳播到 CloudFront 資料庫。對分佈資訊的立即請求可能不會顯示其變更。傳輸通常可在幾分鐘內完成,但此時可能會增加高系統負載或網路分區。
+ *停用*表示即使分佈可能已部署並可供使用,但使用者無法使用它。每當分佈停用時,CloudFront 不接受使用與該分佈關聯的網域名稱的任何最終使用者請求。在將分佈從停用狀態切換到啟用狀態之前 (透過更新分佈的組態),沒有人可以使用它。
您可以根據需要隨時在停用和啟用之間切換分佈。依照更新分佈組態處理。如需詳細資訊,請參閱[更新分佈](HowToUpdateDistribution.md)。
# 自訂錯誤頁面和錯誤快取
當您的 Amazon S3 或自訂原始伺服器原始伺服器向 CloudFront 傳回 HTTP 4xx 和 5xx 狀態程式碼時,您可以讓 CloudFront 將物件傳回到檢視器 (例如 HTML 檔案)。關於來自原始伺服器原始伺服器或自訂錯誤頁面的錯誤回應,您還可以指定該錯誤回應在 CloudFront 邊緣快取中的時間。如需詳細資訊,請參閱[針對特定的 HTTP 狀態碼建立自訂錯誤頁面](creating-custom-error-pages.md)。
**注意**
在建立分佈精靈中不包含以下值,因此只在您更新分佈時才能設定自訂錯誤頁面。
**Topics**
+ [HTTP 錯誤代碼](#DownloadDistValuesErrorCode)
+ [回應頁面路徑](#DownloadDistValuesResponsePagePath)
+ [HTTP 回應代碼](#DownloadDistValuesResponseCode)
+ [錯誤快取最短 TTL (秒)](#DownloadDistValuesErrorCachingMinTTL)
## HTTP 錯誤代碼
您希望 CloudFront 傳回自訂錯誤頁面的 HTTP 狀態碼。您可以將 CloudFront 配置為針對 CloudFront 快取的 HTTP 狀態碼 (包括無、一些或全部) 傳回自訂錯誤頁面。
## 回應頁面路徑
當您的原始伺服器傳回您為**錯誤代碼**指定的 HTTP 狀態碼 (例如 403) 時,您希望 CloudFront 返回到檢視器的自訂錯誤頁面的路徑 (例如 `/4xx-errors/403-forbidden.html`)。如果您要在不同位置存放物件和自訂錯誤頁面,則您的分佈必須包含下列為屬實的快取行為:
+ **Path Pattern (路徑模式)** 的值與自訂錯誤訊息的路徑相符。例如,假設您已在 Amazon S3 儲存貯體名為 `/4xx-errors` 的目錄中儲存了 4xx 錯誤的自訂錯誤頁面。您的分佈必須包含快取行為,其路徑模式會將自訂錯誤頁面的請求路由至該位置,例如 **/4xx-errors/\$1 (/4xx-errors/\$1)**。
+ **Origin (原始伺服器)** 的數值將 **Origin ID (原始伺服器 ID)** 的數值指定給包含自訂錯誤頁面的原始伺服器。
## HTTP 回應代碼
您希望 CloudFront 傳回給檢視器的 HTTP 狀態碼以及自訂錯誤頁面。
## 錯誤快取最短 TTL (秒)
您希望 CloudFront 從原始伺服器快取錯誤回應的最短時間。
# 地理限制
若您要防止選取的國家/地區的使用者存取您的內容,則可以使用**允許清單**或**封鎖清單**配置您的 CloudFront 分佈。設定地理限制無需額外收費。如需詳細資訊,請參閱[限制您內容的地理分佈](georestrictions.md)。