Geral

P: O que é o Amazon CloudFront?

O Amazon CloudFront é um serviço Web que oferece às empresas e aos desenvolvedores de aplicações Web uma maneira fácil e de baixo custo de distribuir conteúdo com baixa latência e altas velocidades de transferência de dados. Como outros serviços da AWS, o Amazon CloudFront é uma oferta de autosserviço, cobrada pelo uso, sem a exigência de compromissos a longo prazo ou taxas mínimas. Com o CloudFront, seus arquivos são entregues aos usuários finais usando uma rede global de pontos de presença.

P: O que posso fazer com o Amazon CloudFront?

O Amazon CloudFront fornece uma API simples, permitindo que você:

  • Distribua conteúdo com alta velocidade de transferência de dados e baixa latência, ao atender às solicitações usando uma rede de pontos de presença ao redor do mundo.
  • Comece a utilizar o serviço sem negociar contratos e gastos mínimos.

P: Como começo a utilizar o Amazon CloudFront?

Clique no botão “Criar conta gratuita” na página de detalhes do Amazon CloudFront. Se você optar por usar outro serviço da AWS como origem dos arquivos atendidos por meio do Amazon CloudFront, deverá se cadastrar para esse serviço antes de criar distribuições do CloudFront.

P: Como utilizo o Amazon CloudFront?

É fácil utilizar o Amazon CloudFront:

  • Para arquivos estáticos, armazene as versões definitivas de seus arquivos em um ou mais servidores de origem. Esses podem ser buckets do Amazon S3. Para seu conteúdo gerado dinamicamente, que seja personalizado, você poderá usar o Amazon EC2 – ou qualquer outro servidor web – como o servidor de origem. Esses servidores de origem armazenarão ou gerarão seu conteúdo, que será distribuído através do Amazon CloudFront.
  • Registre seus servidores de origem com o Amazon CloudFront com uma simples chamada API. Essa chamada retornará um nome de domínio CloudFront.net que você pode usar para distribuir o conteúdo de seus servidores de origem pelo serviço Amazon CloudFront. Por exemplo, você pode registrar o bucket do Amazon S3 “bucketname.s3.amazonaws.com” como a origem de todo seu conteúdo estático e uma instância do Amazon EC2 “dynamic.myoriginserver.com” para todo seu conteúdo dinâmico. Em seguida, usando a API ou Console de Gerenciamento da AWS, você poderá criar uma distribuição do Amazon CloudFront, que poderá retornar “abc123.cloudfront.net” como o nome de domínio de distribuição.
  • Inclua o nome de domínio cloudfront.net ou um alias CNAME que você criar, em seu aplicativo web, media player ou site. Cada solicitação feita usando o nome de domínio cloudfront.net (ou o CNAME que você configurar) é roteada para o ponto de presença mais adequado para distribuir o conteúdo com a mais alta performance. O ponto de presença tentará atender à solicitação com uma cópia local do arquivo. Se uma cópia local não estiver disponível, o Amazon CloudFront obterá uma cópia a partir da origem. Esta cópia estará disponível nesse ponto de presença para futuras solicitações.

P: Como o Amazon CloudFront fornece maior performance?

O Amazon CloudFront usa uma rede global de pontos de presença e pontos de presença de caches regionais que armazenam cópias de conteúdo perto dos visualizadores. O Amazon CloudFront garante que as solicitações de usuários finais serão atendidas pelo ponto de presença mais próximo. Como resultado, as solicitações dos visualizadores percorrem uma pequena distância, o que aumenta a performance para eles. Para arquivos não armazenados em cache nos pontos de presença e nos pontos de presença de caches regionais, o Amazon CloudFront mantém conexões persistentes com os servidores de origem para que esses arquivos possam ser recuperados dos servidores de origem o mais rapidamente possível. Por fim, o Amazon CloudFront usa otimizações adicionais como, por exemplo, uma janela mais ampla de congestionamento inicial de TCP, para fornecer performance superior na entrega de conteúdo aos visualizadores.

P: Como o Amazon CloudFront consegue reduzir meus custos para distribuir conteúdo pela Internet?

Como outros serviços AWS, o Amazon CloudFront não exige taxas mínimas e cobra apenas pelo que você utilizar. Em relação à auto-hospedagem, o Amazon CloudFront o poupa da despesa e da complexidade de operar uma rede de servidores de cache em vários sites na Internet e elimina a necessidade de aumentar o provisionamento da capacidade para atender a potenciais repiques no tráfego. O Amazon CloudFront também usa técnicas como recolher solicitações simultâneas de visualizador em um ponto de presença, para o mesmo arquivo, em uma única solicitação para seu servidor de origem. Isso reduz a carga nos servidores de origem e a necessidade de escalar a infraestrutura de origem, o que pode gerar ainda mais economias.

Além disso, se você estiver usando uma origem da AWS (por exemplo, Amazon S3, Amazon EC2 etc.), a partir de 1 de dezembro de 2014 deixamos de cobrar pela transferência de dados da AWS para o Amazon CloudFront. Isso se aplica à transferência de dados de todas as regiões da AWS para todos os pontos de presença globais do CloudFront.

P: Como o Amazon CloudFront torna todo o meu site rápido?

O Amazon CloudFront usa cabeçalhos de controle de cache padrão que você define em seus arquivos para identificar conteúdo estático e dinâmico. O fornecimento de todo o seu conteúdo usando uma única distribuição do Amazon CloudFront ajuda você a garantir que otimizações de performance sejam aplicadas a todo o seu site ou aplicativo web. Ao usar as origens da AWS, você se beneficia de melhor performance, confiabilidade e facilidade de uso como resultado da capacidade da AWS de controlar e ajustar rotas de origem, monitorar a integridade do sistema, responder rapidamente quando quaisquer problemas ocorrerem e a integração do Amazon CloudFront com outros serviços da AWS. Você também pode se beneficiar do uso de diferentes origens para diferentes tipos de conteúdo em um único site – p. ex., Amazon S3 para objetos estáticos, Amazon EC2 para conteúdo dinâmico e origens personalizadas para conteúdo de terceiros – pagando somente pelo que você usar.

P: Qual a diferença entre o Amazon CloudFront e o Amazon S3?

O Amazon CloudFront é uma boa escolha para distribuição de conteúdo estático frequentemente acessado que se beneficia da entrega em pontos de presença – como imagens, vídeos, arquivos de mídia ou downloads de software de sites populares.

P: Em que o Amazon CloudFront difere das soluções de entrega de conteúdo tradicional?

O Amazon CloudFront permite que você tire proveito rapidamente da entrega de conteúdo de alta performance sem contratos negociados ou preços elevados. O Amazon CloudFront disponibiliza a todos os desenvolvedores preços acessíveis e definição de preço de pagamento conforme o uso, com um modelo de autosserviço. Os desenvolvedores também se beneficiam de uma total integração com outros serviços da Amazon Web Services. A solução é simples de usar com o Amazon S3, Amazon EC2 e Elastic Load Balancing como servidores de origem, oferecendo aos desenvolvedores uma poderosa combinação de armazenamento resiliente e entrega de alta performance. O Amazon CloudFront também se integra ao Amazon Route 53 e ao AWS CloudFormation para oferecer ainda mais benefícios de performance e facilidade de configuração.

P: Com quais tipos de conteúdo o Amazon CloudFront é compatível?

O Amazon CloudFront é compatível com conteúdo que possa ser enviado usando os protocolos HTTP ou WebSocket. Isso inclui páginas dinâmicas da web e aplicações, como páginas HTML ou PHP, ou aplicações baseadas em WebSocket, além de quaisquer arquivos estáticos populares que façam parte de sua aplicação Web, como imagens de site, arquivos de áudio, vídeo, mídia ou downloads de software. O Amazon CloudFront também aceita a entrega de streaming de mídia ao vivo ou sob demanda por HTTP.

P: O Amazon CloudFront funciona com servidores de origem que não seja da AWS?

Sim. O Amazon CloudFront funciona com qualquer servidor de origem que tenha as versões originais e definitivas de seu conteúdo, seja estático ou dinâmico. Não há despesas adicionais para o uso de uma origem personalizada.

P: Como o Amazon CloudFront habilita a redundância da origem?

Para cada origem que você adiciona a uma distribuição do CloudFront, é possível atribuir uma origem de backup que poderá ser usada para atender automaticamente ao seu tráfego se a origem principal não estiver disponível. Você pode escolher uma combinação de códigos de status HTTP 4xx/5xx que, quando retornados da origem principal, acionam o failover para a origem do backup. As duas origens podem ser qualquer combinação de origens AWS e não AWS.

P: O Amazon CloudFront oferece um Acordo de Nível de Serviço (SLA)?

Sim. O SLA do Amazon CloudFront disponibiliza um serviço de crédito se a porcentagem mensal de atividade do cliente ficar abaixo de nosso compromisso de serviço em qualquer ciclo de faturamento. Mais informações podem ser encontradas aqui.

P: Posso utilizar o Console de Gerenciamento da AWS com o Amazon CloudFront?

Sim. Você pode utilizar o Console de Gerenciamento da AWS para configurar e gerenciar o Amazon CloudFront através de uma interface baseada na web do tipo apontar-e-clicar. O Console de Gerenciamento da AWS oferece suporte a maioria dos recursos do Amazon CloudFront, permitindo que você obtenha a distribuição de baixa latência do Amazon CloudFront sem gravar nenhum código ou instalar nenhum software. O acesso ao Console de Gerenciamento da AWS é disponibilizado gratuitamente em https://console.aws.amazon.com.

P: Que ferramentas e bibliotecas funcionam com o Amazon CloudFront?

Há uma variedade de ferramentas para gerenciar sua distribuição e suas bibliotecas do Amazon CloudFront para várias linguagens de programação disponíveis em nosso centro de recursos.

P: Posso apontar o apex da minha zona (exemplo.com versus www.exemplo.com) na minha distribuição do Amazon CloudFront?

Sim. Usando o Amazon Route 53, o serviço de DNS oficial da AWS, você pode configurar um registro de ‘Alias’ que permite mapear o apex ou raiz (exemplo.com) do seu nome DNS para sua distribuição do Amazon CloudFront. Então, o Amazon Route 53 responderá a cada solicitação de um registro de Alias com os endereços IP corretos para sua distribuição do CloudFront. O Route 53 não cobra consultas aos registros Alias mapeados para uma distribuição do CloudFront. Essas consultas são listadas como “Intra-AWS-DNS-Queries” no relatório de uso do Amazon Route 53.

Pontos de presença

P: O que é o ponto de presença de cache regional do CloudFront?

O CloudFront distribui o conteúdo por meio de uma rede global de datacenters denominados pontos de presença. Os pontos de presença de caches regionais estão localizados entre o servidor web de origem e os pontos de presença globais que enviam conteúdo diretamente aos visualizadores. Isso ajuda a aumentar a performance para os visualizadores e, ao mesmo tempo, reduzir a sobrecarga operacional e o custo da escalabilidade dos recursos da origem.

P: Como o cache de borda regional funciona?

O Amazon CloudFront possui vários caches de borda regionais (ou RECs) globalmente dispersos, proporcionando uma camada adicional de cache. Eles estão localizados entre seu aplicativo da web e os Pontos de Presença (PoPs) que veiculam conteúdo diretamente aos seus usuários. À medida que os objetos em cache se tornam menos populares, locais da borda individuais podem remover esses objetos para liberar espaço para conteúdo mais solicitado. Os caches de borda regionais têm um cache com uma maior largura do que qualquer local da borda individual. Portanto, os objetos permanecem no cache por mais tempo. Isso ajuda a manter mais conteúdo perto dos visualizadores, reduzindo a necessidade de acesso ao servidor Web original pelo CloudFront e aumentando a performance geral para os visualizadores. Por exemplo, os locais da borda do CloudFront na Europa atualmente acessam o cache de borda regional em Frankfurt para recuperar um objeto antes de acessar o servidor Web de origem. Os locais do cache de borda regional podem ser usados com qualquer origem, como S3, EC2 ou origens personalizadas. Os RECs são ignorados em regiões que, atualmente, hospedam as origens das suas aplicações.

P: O recurso de ponto de presença de cache regional é habilitado por padrão?

Sim. Não é preciso fazer nenhuma mudança nas distribuições do CloudFront. Esse recurso é habilitado por padrão em todas as distribuições novas e já existentes do CloudFront. Não há cobranças adicionais por esse recurso.

P: Onde os pontos de presença de rede utilizados pelo Amazon CloudFront estão localizados?

O Amazon CloudFront utiliza uma rede global de pontos de presença e pontos de presença de caches regionais para entregar conteúdo. Veja uma lista completa dos locais do Amazon CloudFront aqui.

P: Posso escolher servir conteúdo (ou não servir conteúdo) para países especificados?

Sim, o recurso de Restrição de Geo permite que você especifique uma lista de países em que os usuários podem acessar seu conteúdo. Como alternativa, você pode especificar os países em que os usuários não podem acessar seu conteúdo. Em ambos os casos, o CloudFront responde a uma solicitação de um visualizador em um país restrito com um código de status HTTP 403 (Proibido).

P: Qual é a precisão do banco de dados GeoIP?

A precisão do endereço IP para o banco de dados de pesquisa do país varia por região. Com base em testes recentes, nossa precisão geral do endereço IP para mapeamento de país é de 99,8%.

P: Posso servir uma mensagem de erro personalizada para os meus usuários finais?

Sim, você pode criar mensagens de erro personalizadas (por exemplo, um arquivo HTML ou uma imagem .jpg) com sua própria marca e conteúdo para uma variedade de respostas a erro HTTP 4xx e 5xx. Em seguida, você pode configurar o Amazon CloudFront para retornar suas mensagens de erro personalizadas para o visualizador quando sua origem retornar um dos erros especificados para o CloudFront.

P: Por quanto tempo o Amazon CloudFront mantém meus arquivos em pontos de presença?

Por padrão, se nenhum cabeçalho de controle de cache está definido, cada ponto de presença verifica se há uma versão atualizada do seu arquivo sempre que recebe uma solicitação de mais de 24 horas após a última ocasião que a origem foi verificada por alterações nesse arquivo. Isso é chamado do “período de expiração”. Você pode definir este período de expiração tão curto quanto 0 segundos, ou pelo tempo que você desejar, definindo os cabeçalhos de controle de cache em seus arquivos na sua origem. O Amazon CloudFront usa esses cabeçalhos de controle de cache para determinar a frequência com que ele precisa verificar a origem de uma versão atualizada desse arquivo. Para o período de expiração definido como 0 segundo, o Amazon CloudFront revalidará a solicitação com o servidor de origem. Se seus arquivos não mudam muito frequentemente, é uma melhor prática definir um período de expiração longo e implementar um sistema de versionamento para gerenciar atualizações para seus arquivos.

P: Como removo um item de pontos de presença do Amazon CloudFront?

Existem várias opções para remover um arquivo de pontos de presença. Você pode simplesmente excluir o arquivo de sua origem e assim que o conteúdo em pontos de presença atingir seu período de expiração definido no cabeçalho HTTP de cada objeto, ele será removido. Caso algum material ofensivo ou potencialmente prejudicial necessite ser removido antes do período de expiração especificado, você pode usar a API de invalidação para remover o objeto de todos os pontos de presença do Amazon CloudFront. Você pode verificar as taxas para fazer solicitações de invalidação aqui.

P: Existe um limite para o número de solicitações de anulação que posso fazer?

Se você anular objetos individualmente, poderá ter solicitações de anulação para até 3.000 objetos por distribuição em andamento por vez. Isso significa uma solicitação de anulação para até 3.000 objetos, até 3.000 solicitações com um objeto por solicitação ou qualquer outra combinação que não exceda o total de 3.000 objetos.

Se você usar o curinga *, pode ter solicitações de até 15 caminhos de anulação em andamento por vez. Você também pode ter solicitações de anulação para até 3.000 objetos individuais por distribuição em progresso por vez. O limite de solicitações de anulação com curinga independe do limite de anulação individual de objetos. Se você exceder esse limite, as soluções de anulação subsequentes receberão uma resposta de erro até que uma das solicitações anteriores seja concluída.

Você deve usar a invalidação apenas em circunstâncias inesperadas. Se você souber antecipadamente que seus arquivos precisarão ser removidos do cache com frequência, recomendamos que implemente um sistema de controle de versão para seus arquivos e/ou defina um período de expiração curto.

Pontos de presença incorporados

P: O que são pontos de presença (PoPs) incorporados do CloudFront?

Os pontos de presença (PoPs) incorporados do CloudFront são um tipo de infraestrutura do CloudFront implantada mais perto dos visualizadores finais, em redes de provedores de serviços de Internet (ISP) e operadoras de rede móvel (MNO). Os POPs incorporados são personalizados para oferecer eventos streaming ao vivo, vídeo sob demanda (VOD) e downloads de jogos em grande escala. Esses POPs incorporados são de propriedade e operados pela Amazon e implantados na última milha das redes ISP/MNO para evitar gargalos de capacidade em redes congestionadas que conectam os visualizadores finais às fontes de conteúdo, melhorando o desempenho.

P: Como os POPs incorporados do CloudFront são diferentes dos POPs do CloudFront?

Os POPs incorporados do CloudFront diferem dos POPs do CloudFront com base no local em que são implantados e no conteúdo que fornecem. Os POPs incorporados do CloudFront são implantados diretamente nas redes ISP e MNO, diferentemente dos POPs do CloudFront que são implantados na rede da AWS. Os POPs incorporados são criados especificamente para fornecer tráfego armazenável em cache em grande escala, como streams de vídeo e downloads de jogos, enquanto os POPs do CloudFront são projetados para fornecer uma variedade de workloads, incluindo conteúdo dinâmico e armazenável em cache.

P: Quais workloads são mais adequadas para os POPs incorporados do CloudFront?

Os POPs incorporados do CloudFront são projetados para fornecer conteúdo armazenável em cache que é acessado por muitos espectadores finais simultaneamente, como streaming de vídeo ao vivo em grande escala, vídeo sob demanda e downloads de jogos.

P: Há uma cobrança separada pelo uso de POPs incorporados?

Não, não há cobrança adicional pelo uso dos POPs incorporados do CloudFront.

P: Como posso obter acesso aos POPs incorporados?

Os POPs incorporados são um recurso opcional destinado à entrega de tráfego armazenável em cache em grande escala. Entre em contato com seu representante de vendas da AWS para avaliar se os POPs incorporados são adequados para suas workloads.

P: Preciso criar uma nova distribuição do CloudFront especificamente para os POPs incorporados do CloudFront?

Não, você não precisa criar uma nova distribuição especificamente para POPs incorporados. Se sua workload for elegível, o CloudFront habilitará POPs incorporados para sua distribuição existente mediante solicitação.

P: Preciso escolher entre os POPs incorporados do CloudFront e os POPs do CloudFront?

Você não precisa escolher entre POPs incorporados do CloudFront ou POPs do CloudFront para entrega de conteúdo. Depois que sua distribuição do CloudFront está habilitada para POPs incorporados, o sistema de roteamento do CloudFront utiliza dinamicamente os POPs do CloudFront e os POPs incorporados para fornecer conteúdo, garantindo o desempenho ideal para os usuários finais.

P: Sou um ISP, como faço para começar a adicionar POPs incorporados à minha rede?

Entre em contato conosco para começar a implantar POPs incorporados em sua rede.

P: Sou um ISP, como faço para gerenciar POPs incorporados na minha rede?

Você pode usar o portal POP incorporado para gerenciar POPs incorporados implantados em sua rede. O portal POP incorporado é integrado ao AWS Interconnect Portal e fornece uma interface unificada para autoatendimento fácil de uma variedade de tarefas associadas a todo o ciclo de vida desses POPs. Isso inclui solicitar novos dispositivos, acompanhar o andamento da solicitação, monitorar estatísticas de desempenho e solicitar suporte. Você pode acessar o portal autenticando-se com login único (SSO) usando sua conta PeeringDB.

Conformidade

P: O Amazon CloudFront está em conformidade como o PCI?

O Amazon CloudFront [com exceção da entrega de conteúdo via POPs incorporados do CloudFront] está incluído no conjunto de serviços em conformidade com o Payment Card Industry Data Security Standard (PCI DSS) no nível Merchant Level 1, o mais alto grau de conformidade para provedores de serviços. Consulte o nosso guia do desenvolvedor para obter mais informações.

P: O Amazon CloudFront é elegível para a HIPAA?

A AWS expandiu seu programa de conformidade com a HIPAA para incluir o Amazon CloudFront [com exceção da entrega de conteúdo via POPs incorporados do CloudFront] como um serviço elegível para a HIPAA. Se você assinou um Acordo de associado comercial (BAA) com a AWS, poderá usar o Amazon CloudFront [com exceção da entrega de conteúdo via POPs incorporados do CloudFront] para acelerar a entrega de informações de saúde protegidas (PHI). Para obter mais informações, consulte Conformidade com a HIPAA e nosso guia do desenvolvedor.

P: O Amazon CloudFront está em conformidade com o SOC?

O Amazon CloudFront [com exceção da entrega de conteúdo via POPs incorporados do CloudFront] está em conformidade com as medidas de SOC (System & Organization Control). Os relatórios de SOC são relatórios de exames terceirizados e independentes que demonstram como a AWS satisfaz os principais controles e objetivos de conformidade. Para obter mais informações, consulte Conformidade da AWS com o SOC e o guia do desenvolvedor.

P: Como faço para solicitar um relatório SOC 1, SOC 2 ou SOC 3 da AWS?

Os relatórios SOC 1 e SOC 2 da AWS estão disponíveis para os clientes por meio do AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact. O relatório SOC 3 da AWS mais recente está disponível para o público no site da AWS.

HTTP, HTTP/2 e HTTP/3

P: Que tipos de solicitações HTTP são compatíveis com o Amazon CloudFront?

O Amazon CloudFront atualmente tem suporte para solicitações GET, HEAD, POST, PUT, PATCH, DELETE e OPTIONS.

P: O Amazon CloudFront armazena respostas POST em cache?

O Amazon CloudFront não armazena em cache respostas para solicitações POST, PUT, DELETE e PATCH. Essas solicitações são representadas de volta pelo proxy para o servidor de origem. É possível habilitar o armazenamento em cache para as respostas às solicitações OPTIONS.

P: Como faço para usar o HTTP/2?

Se você tiver uma distribuição atual do Amazon CloudFront, poderá ativar o HTTP/2 usando a API ou o Console de Gerenciamento. No Console, acesse a página “Distribution Configuration” e navegue até a seção “Supported HTTP Versions”. Lá, você pode selecionar a opção “HTTP/2, HTTP/1.1, or HTTP/1.0”. O HTTP/2 é habilitado automaticamente para todas as novas distribuições do CloudFront.

P: E se a minha origem não for compatível com o HTTP/2?

No momento, o Amazon CloudFront é compatível com o HTTP/2 para a entrega de conteúdo aos clientes e navegadores dos seus visualizadores. Para realizar a comunicação entre o ponto de presença e seus servidores de origem, o Amazon CloudFront continuará usando o HTTP/1.1.

P: O Amazon CloudFront é compatível com o HTTP/2 sem TLS?

Não no momento. No entanto, a maioria dos navegadores atuais só é compatível com o HTTP/2 por meio de uma conexão criptografada. Você pode saber mais sobre o uso do SSL com o Amazon CloudFront aqui.

P: O que é HTTP/3?

HTTP/3 é a terceira principal versão do Hypertext Transfer Protocol (Protocolo de transferência de hipertexto). O HTTP/3 usa o QUIC, um protocolo de transporte seguro baseado no User Datagram Protocol (UDP – Protocolo de datagrama do usuário) e multiplexado em streams, que combina e aprimora os recursos do Transmission Control Protocol (TCP – Protocolo de controle de transmissão), TLS e HTTP/2. O HTTP/3 oferece diversos benefícios em relação às versões anteriores de HTTP, como tempos de resposta mais rápidos e melhor segurança.

P: O que é o QUIC?

O HTTP/3 conta com a tecnologia QUIC, um novo protocolo de transporte de Internet seguro, resiliente e com alta performance. O suporte do CloudFront ao HTTP/3 é baseado no s2n-quic, uma nova implementação do protocolo QUIC de código aberto no Rust. Para saber mais sobre o QUIC, consulte o blog “Introducing s2n-quic”. 

P: Quais são os principais benefícios do uso do HTTP/3 com o Amazon CloudFront?

Os clientes estão sempre procurando maneiras de fornecer aplicações mais rápidas e seguras aos usuários. Com a crescente disseminação global da Internet e o maior número de usuários online em dispositivos móveis e redes remotas, a necessidade de maior performance e confiabilidade é maior do que nunca. O HTTP/3 proporciona isso, com vários aprimoramentos de performance em relação às versões anteriores do HTTP:

  1. Conexões mais rápidas e confiáveis - O CloudFront usa o 1-RTT para o handshake TLS no HTTP/3, reduzindo o tempo para o estabelecimento da conexão e uma redução correspondente nas falhas do handshake em comparação às versões anteriores do HTTP.
  2. Melhor performance na Web - A implementação do HTTP/3 do CloudFront oferece suporte às migrações da conexão do lado do cliente, permitindo que as aplicações do cliente se recuperem de conexões fracas com o mínimo de interrupção. Ao contrário do TCP, o QUIC não é uma estrutura sem perdas, tornando-o mais adequado às redes congestionadas com alta perda de pacotes. Além, disso, o QUIC permite conexões mais rápidas durante as transferências de tarefas via celular ou Wi-Fi.
  3. Segurança - O HTTP/3 oferece segurança mais abrangente comparada às versões anteriores do HTTP, com a criptografia de pacotes transferidos durante os handshakes do TLS. Isso dificulta a inspeção por middleboxes, proporcionando mais privacidade e reduzindo ataques do tipo man-in-the-middle. O suporte do CloudFront ao HTTP/3 é baseado no s2n-quic e no Rust, ambos com forte ênfase na eficiência e performance.

P: Como habilitar o HTTP/3 nas minhas distribuições do CloudFront?

Ative o HTTP/3 para distribuições novas e existentes do Amazon CloudFront usando o console do CloudFront, a ação da API UpdateDistribution ou o modelo Cloudformation. No Console, acesse a página “Distribution Configuration” (Configurações de distribuição) e navegue até a seção “Supported HTTP Versions” (Versões com suporte a HTTP). Lá, você poderá selecionar a opção "HTTP/3, HTTP/2, HTTP/1.1 ou HTTP/1.0".

P: Preciso fazer alterações em minhas aplicações antes de habilitar o HTTP/3?

Ao habilitar o HTTP/3 na sua distribuição do CloudFront, ele adicionará automaticamente o cabeçalho Alt-Svc, que é usado para anunciar que o suporte ao HTTP/3 está disponível. Não será necessário adicionar o cabeçalho Alt-Svc manualmente. Esperamos que você habilite o suporte para vários protocolos em suas aplicações, de modo que se a aplicação não conseguir estabelecer uma conexão HTTP/3, ela tentará a HTTP /1.1 ou HTTP/2. Por exemplo, os clientes sem suporte ao HTTP/3 poderão se comunicar com as distribuições do CloudFront ativadas pelo HTTP/3, usando o HTTP/1.1 ou HTTP/2. O suporte alternativo é uma parte obrigatória da especificação do HTTP/3 e é implementado por todos os principais navegadores com suporte ao HTTP/3.

P: E se a minha origem não for compatível com o HTTP/3?

O CloudFront atualmente tem suporte ao HTTP/3 para a comunicação entre os clientes/navegadores dos seus visualizadores e os locais da borda do CloudFront. Para realizar a comunicação entre o local da borda e seus servidores de origem, o CloudFront continuará usando o HTTP/1.1.

P: Como as políticas de segurança TLS do Amazon CloudFront interage com o HTTP/3?

O HTTP/3 usa o QUIC, que exige o TLSv1.3. Portanto, independentemente das política de segurança que você tenha selecionado, somente o TLSv1.3 e os pacotes de criptografia TLSv1.3 com suporte podem ser usados para estabelecer conexões HTTP/3. Para obter mais detalhes, consulte os protocolos compatíveis e as criptografias entre visualizadores e a seção do CloudFront no guia do desenvolvedor.

P: A habilitação do HTTP/3 incorre alguma cobrança separada?

Não. Nenhuma cobrança separada para habilitar o HTTP/3 nas distribuições do Amazon CloudFront será feita. As solicitações do HTTP/3 serão cobradas de acordo com as tarifas de preços, seguindo seu plano de preços.

WebSocket

P: O que são WebSockets?

O WebSocket é um protocolo de comunicação em tempo real que disponibiliza comunicação bidirecional entre um cliente e um servidor por meio de uma conexão TCP de longa execução. Utilizando uma conexão aberta persistente, o cliente e o servidor podem trocar dados em tempo real sem que o cliente precise reiniciar as conexões frequentemente para verificar se há novos dados a serem trocados. As conexões WebSocket são frequentemente usadas em aplicativos de chat, plataformas de colaboração, jogos multijogador e plataformas de transações financeiras. Consulte a nossa documentação para saber mais sobre o uso do protocolo WebSocket com o Amazon CloudFront. 

P: Como habilito minha distribuição do Amazon CloudFront para ser compatível com o protocolo WebSocket?

Você pode usar WebSockets globalmente. Nenhuma outra configuração é necessária para habilitar o protocolo WebSocket no seu recurso do CloudFront, pois agora a compatibilidade é padrão.

P: Quando uma conexão WebSocket é estabelecida por meio do Amazon CloudFront?

O Amazon CloudFront estabelece conexões WebSocket somente quando o cliente inclui o cabeçalho 'Upgrade: websocket' e o servidor responde com o código de status HTTP 101 confirmando que ele pode alternar para o protocolo WebSocket.

P: O Amazon CloudFront é compatível com WebSockets por meio de TLS protegido?

Sim. O Amazon CloudFront é compatível com conexões WebSocket criptografadas (WSS) usando o protocolo SSL/TLS.

Segurança

P: Posso configurar uma distribuição do CloudFront para entregar conteúdo via HTTPS usando o meu próprio nome de domínio?

Por padrão, o conteúdo pode ser fornecido aos visualizadores via HTTPS com o uso do nome de domínio da sua distribuição do CloudFront nos URLs. Por exemplo: https://dxxxxx.cloudfront.net/image.jpg. Se você deseja fornecer seu conteúdo via HTTPS usando o seu próprio nome de domínio e certificado SSL, pode usar um dos nossos recursos de suporte a certificados SSL customizados. Saiba mais.

P: O que é a criptografia de campos?

A criptografia de campos é um recurso do CloudFront que permite fazer upload seguro de dados enviados pelo usuário, como números de cartão de crédito, para os servidores de origem. Usando essa funcionalidade, você pode criptografa ainda mais os dados confidenciais em um formulário HTTPS usando chaves de criptografia específicas de campos (que você fornece) antes de encaminhar uma solicitação de PUT/POST para a origem. Isso garante que os dados confidenciais possam ser descriptografados e exibidos somente por certos componentes e serviços em sua pilha de aplicativos. Para saber mais sobre a criptografia de campos, consulte criptografia de campos em nossa documentação.

P: Eu já uso criptografia com SSL/TLS no CloudFront. Preciso da criptografia de campos?

Muitos aplicativos web coletam dados confidenciais de usuários, como números de cartão de crédito. Esses dados são então processados pelos serviços de aplicativos em execução na infraestrutura de origem. Todos esses aplicativos web usam a criptografia SSL/TLS entre o usuário final e o CloudFront, e entre o CloudFront e sua origem. Agora, a sua origem pode ter vários microsserviços que executam operações essenciais baseadas na entrada do usuário. No entanto, as informações confidenciais geralmente são usadas por um pequeno subconjunto desses microsserviços, o que significa que a maioria dos componentes tem acesso direto a esses dados sem motivo. Um simples engano de programação, como registrar a variável errada, pode causar a gravação do número do cartão de crédito do cliente em um arquivo.

Com a criptografia de campos, os pontos de presença do CloudFront podem criptografar os dados do cartão de crédito. A partir desse ponto, somente os aplicativos que têm chaves privadas podem descriptografar os campos confidenciais. Portanto, o serviço de atendimento de pedidos pode visualizar somente números do cartão de crédito criptografados, mas os serviços de pagamento podem descriptografar os dados do cartão de crédito. Isso garante um nível mais alto de segurança, pois mesmo que um dos serviços de aplicativos vaze texto codificado, os dados permanecerão protegidos criptograficamente.

P: Qual é a diferença entre o SNI SSL personalizado e o IP dedicado SSL personalizado do Amazon CloudFront?

O IP dedicado SSL personalizado aloca endereços IP dedicados para atender ao seu conteúdo SSL em cada ponto de presença do CloudFront. Como existe um mapeamento individual entre os endereços IP e certificados SSL, o IP dedicado SSL personalizado funciona com navegadores e outros clientes que não suportam o SNI. Devido aos custos atuais de endereço IP, o SSL personalizado com IP dedicado custa 600 USD/mês pro rata por hora.

O SSL personalizado com SNI usa a extensão SNI do protocolo Transport Layer Security, que permite que vários domínios enviem tráfego SSL usando o mesmo endereço IP por meio da inclusão do hostname ao qual os visualizadores estão tentando se conectar. Da mesma forma que o SSL personalizado com IP dedicado, o CloudFront oferece o conteúdo de cada ponto de presença Amazon CloudFront e com a mesma segurança que o recurso SSL personalizado com IP dedicado. O SNI SSL personalizado funciona com a maioria dos navegadores modernos, incluindo Chrome versão 6 e posterior (sendo executado no Windows XP e posterior ou OS X 10.5.7 e posterior), Safari versão 3 e posterior (sendo executado no Windows Vista e posterior ou Mac OS X 10.5.6. e posterior), Firefox 2.0 e posterior e Internet Explorer 7 e posterior (sendo executado no Windows Vista e posterior). Navegadores mais antigos que não suportam SNI não conseguem estabelecer uma conexão com o CloudFront para carregar a versão em HTTPS do seu conteúdo. O SNI SSL personalizado está disponível sem nenhum custo adicional além das taxas de transferência de dados e solicitação do CloudFront.

P: O que é Server Name Indication?

Server Name Indication (SNI) é uma extensão do protocolo Transport Layer Security (TLS). Este mecanismo identifica o domínio (nome do servidor) da solicitação SSL associada para que o certificado adequado possa ser usado na apresentação SSL. Isso faz com que seja possível usar um único endereço IP em vários servidores. O SNI precisa ser compatível com o navegador para adicionar o nome do servidor e, enquanto a maioria dos navegadores modernos oferece essa compatibilidade, existem alguns navegadores legados que não oferecem. Para obter mais detalhes, consulte a seção sobre SNI do guia do desenvolvedor do CloudFront ou o artigo da Wikipedia sobre SNI.

P: É possível integrar o CloudFront ao AWS Certificate Manager?

Sim, agora você pode provisionar certificados SSL/TLS e associá-los a distribuições do CloudFront em minutos. Basta provisionar um certificado usando o novo AWS Certificate Manager (ACM) e implantá-lo na distribuição do CloudFront com alguns cliques. O ACM gerenciará as renovações de certificados por você. O ACM permite provisionar, implantar e gerenciar o certificado sem encargos adicionais.

Observe que o CloudFront continua a oferecer suporte a certificados obtidos de autoridades certificadoras de terceiros e carregados para o repositório de certificados do IAM.

P: O Amazon CloudFront é compatível com controles de acesso para conteúdo pago ou privado?

Sim, o Amazon CloudFront tem um recurso opcional de conteúdo privado. Quando essa opção estiver habilitada, o Amazon CloudFront apenas distribuirá arquivos quando você confirmar que não há problema em fazê-lo, ao assinar de forma segura as suas solicitações. Saiba mais sobre este recurso lendo o Guia do desenvolvedor do CloudFront.

P: Como posso proteger aplicações Web entregues pelo CloudFront contra ataques DDoS?

Como cliente da AWS, você recebe o AWS Shield Standard sem custo adicional. O AWS Shield é um serviço gerenciado que oferece proteção contra ataques de DDoS para as aplicações Web executadas na AWS. O AWS Shield Standard oferece a todos os clientes da AWS proteção contra ataques comuns e mais frequentes à infraestrutura (camadas 3 e 4), como floods de SYN/UDP, ataques de reflexão e outros tipos de ataque, proporcionando alta disponibilidade às aplicações na AWS.

O AWS Shield Advanced é um serviço pago opcional, disponível para clientes do AWS Business Support e do AWS Enterprise Support. O AWS Shield Advanced oferece proteções adicionais contra ataques maiores e mais sofisticados para aplicações executadas nos serviços Elastic Load Balancing (ELB), Amazon CloudFront e Route 53.

P: Como eu posso proteger meus aplicativos web distribuídos via CloudFront?

Você pode integrar sua distribuição do CloudFront ao AWS WAF, um firewall de aplicações Web que ajuda a protegê-las contra ataques, permitindo que você configure regras baseadas em endereços IP, cabeçalhos HTTP e strings de URI personalizadas. Usando essas regras, o AWS WAF pode bloquear, permitir ou monitorar (fazer a contagem) de solicitações da web para o seu aplicativo. Consulte o Guia do desenvolvedor do AWS WAF para obter mais informações.

Armazenamento em cache

P: Posso adicionar ou modificar cabeçalhos de solicitação encaminhados para a origem?

Sim, você pode configurar o Amazon CloudFront para adicionar cabeçalhos personalizados, ou substituir o valor de cabeçalhos atuais, para solicitações encaminhadas para a sua origem. Use esses cabeçalhos para validar que as solicitações feitas para a sua origem sejam enviadas do CloudFront. Inclusive, também é possível configurar a sua origem para permitir apenas solicitações que contenham os valores do cabeçalho personalizado que você especificou. Além disso, se você usar várias distribuições do CloudFront com a mesma origem, será possível usar cabeçalhos personalizados para distinguir solicitações de origem feitas por distribuições individuais diferentes. Finalmente, os cabeçalhos personalizados podem ser usados para ajudar a determinar os cabeçalhos de CORS corretos retornados para as suas solicitações. Você pode configurar cabeçalhos personalizados por meio da API do CloudFront e do Console de Gerenciamento da AWS. Não há cobranças adicionais por este recurso. Para obter mais detalhes sobre como definir cabeçalhos personalizados, leia mais aqui.

P: Como o Amazon CloudFront processa cookies HTTP?

O Amazon CloudFront oferece suporte à entrega de conteúdo dinâmico personalizado usando cookies HTTP. Para usar esse recurso, especifique se você deseja que o Amazon CloudFront encaminhe alguns ou todos os seus cookies para seu servidor de origem personalizado. O Amazon CloudFront então considera os valores de cookie encaminhados ao identificar um objeto exclusivo em seu cache. Dessa forma, seus usuários finais obtêm o benefício do conteúdo personalizado apenas para eles com um cookie e os benefícios de performance do Amazon CloudFront. Também é possível optar por registrar os valores dos cookies nos logs de acesso do Amazon CloudFront.

P: Como o Amazon CloudFront processa parâmetros de string de consulta na URL?

Opcionalmente, uma string de consulta pode ser configurada para fazer parte da chave de cache para identificação de objetos no cache do Amazon CloudFront. Isso ajuda você a criar páginas dinâmicas da web (p. ex., resultados de pesquisa) que podem ser armazenadas em cache no ponto por algum período de tempo.

P: Posso especificar quais parâmetros de consulta devo usar na chave de cache?

Sim. O recurso de lista de permissão de query string permite que você configure facilmente o Amazon CloudFront para usar apenas determinados parâmetros na chave de cache e continua a encaminhar todos os parâmetros para a origem.

P: Existe um limite para o número de parâmetros de consulta que podem ser incluídos na lista de permissão?

Sim. Você pode configurar o Amazon CloudFront para que ele inclua na lista de permissão até 10 parâmetros de consulta.

P: Que tipos de parâmetros são compatíveis?

O Amazon CloudFront é compatível com parâmetros de consulta de URI, conforme está definido na seção 3.4 do RFC3986. Mais especificamente, ele é compatível com parâmetros de consulta incorporados em uma string HTTP GET após o caractere “?” e delimitados pelo caractere “&”.

P: O CloudFront oferece suporte para compactação com gzip?

Sim, o CloudFront pode compactar automaticamente textos ou dados binários. Para usar o recurso, basta especificar nas configurações de comportamento do cache que você deseja que o CloudFront compacte automaticamente os objetos. O cliente deve adicionar Accept-Encoding: gzip no cabeçalho da solicitação (a maioria dos navegadores da Web modernos já faz isso por padrão). Para obter mais informações sobre esse recurso, consulte o nosso guia do desenvolvedor.

Streaming

P: O que é streaming? Por que o streaming é interessante para mim? 

Em geral, streaming é a entrega de áudio e vídeo a usuários finais pela internet sem precisar fazer download do arquivo de mídia antes da reprodução. Os protocolos usados para streaming incluem os que usam o HTTP para entrega, como o HTTP Live Streaming (HLS) da Apple, o MPEG Dynamic Adaptive Streaming over HTTP (MPEG-DASH), o HTTP Dynamic Streaming (HDS) da Adobe e o Smooth Streaming da Microsoft. Esses protocolos são diferentes da entrega de páginas da web e outros tipos de conteúdo online porque os protocolos de streaming entregam mídia em tempo real – os visualizadores assistem aos bytes à medida que são entregues. Realizar streaming de conteúdo oferece vários benefícios potenciais para você e para seus usuários finais:

  • Streaming pode oferecer aos visualizadores mais controle sobre sua experiência de visualização. Por exemplo, é mais fácil para um visualizador avançar e retroceder um vídeo usando streaming do que utilizando meios tradicionais de download.
  • O streaming também pode proporcionar a você maior controle sobre seu conteúdo, já que nenhum arquivo permanece na unidade local ou do cliente do visualizador quando ele termina de assistir a um vídeo.
  • O streaming pode ajudar a reduzir custos, pois ele oferece apenas partes de um arquivo de mídia a que os visualizadores realmente assistem. Em contraste, com os downloads tradicionais, é comum que o arquivo de mídia completo seja entregue aos visualizadores, mesmo se eles só assistirem a uma parte dele.

P: O Amazon CloudFront aceita protocolos de streaming de VOD?

Sim, o Amazon CloudFront disponibiliza várias opções para entregar conteúdo de vídeo sob demanda. Caso tenha arquivos de mídia que foram convertidos para o formato HLS, MPEG-DASH ou Microsoft Smooth Streaming, por exemplo, usando o AWS Elemental MediaConvert, antes do armazenamento no Simple Storage Service (Amazon S3) (ou uma origem personalizada), você pode usar uma distribuição da Web do Amazon CloudFront para fazer transmissão nesse formato sem precisar executar qualquer servidor de mídia.

Como opção, você também pode executar um servidor de streaming de terceiros (ex.: o Wowza Media Server, disponível no AWS Marketplace) no Amazon EC2, que pode converter um arquivo de mídia para o formato de streaming HTTP necessário. Esse servidor pode então ser designado como a origem de uma distribuição do Amazon CloudFront na web.

Acesse a seção sobre Video on Demand (VOD – Vídeo sob demanda) na página da AWS para saber mais.

P: O Amazon CloudFront oferece suporte a streaming ao vivo a várias plataformas?

Sim. Você pode usar o streaming ao vivo do Amazon CloudFront com qualquer serviço de origem de vídeo ao vivo que produza streams com base em HTTP, como o AWS Elemental MediaPackage ou o AWS Elemental MediaStore. O MediaPackage é uma origem de vídeo e um serviço de empacotamento just-in-time que permite que distribuidores de vídeo entreguem de modo seguro e confiável conteúdo de streaming em grande escala usando vários padrões de entrega e proteção de conteúdo. O MediaStore é um serviço de origem e armazenamento HTTP que oferece a alta performance, a consistência imediata e a baixa latência previsível exigidas para mídia ao vivo combinadas à segurança e à resiliência do armazenamento da Amazon.

Acesse a página de streaming de vídeo ao vivo da AWS para saber mais.

Origin Shield

P: O que é o Origin Shield?

O Origin Shield é uma camada de cache centralizada que ajuda a aumentar a taxa de acertos do cache para reduzir a carga em sua origem. O Origin Shield também diminui seus custos operacionais de origem recolhendo solicitações entre regiões, de forma que apenas uma solicitação vá para sua origem por objeto. Quando habilitado, o CloudFront roteará todas as buscas de origem por meio do Origin Shield e só fará uma solicitação para sua origem se o conteúdo ainda não estiver armazenado no cache do Origin Shield.

P: Quando devo usar o Origin Shield?

O Origin Shield é ideal para cargas de trabalho com visualizadores espalhados por diferentes regiões geográficas ou cargas de trabalho que envolvem empacotamento just-in-time para streaming de vídeo, manuseio de imagens em tempo real ou processos semelhantes. Usar o Origin Shield na frente de sua origem reduzirá o número de buscas de origem redundantes, verificando primeiro seu cache central e apenas fazendo uma busca de origem consolidada para conteúdo que ainda não está no cache do Origin Shield. Da mesma forma, o Origin Shield pode ser usado em uma arquitetura multiCDN para reduzir o número de buscas de origem duplicadas entre CDNs, posicionando o Amazon CloudFront como a origem para outros CDNs. Consulte o Guia do desenvolvedor do Amazon CloudFront para obter mais detalhes sobre estes e outros casos de uso do Origin Shield.

P: Qual região do Origin Shield devo usar?

O Amazon CloudFront oferece o Origin Shield nas regiões da AWS onde o CloudFront tem um cache de borda regional. Ao habilitar o Origin Shield, você deve escolher a região da AWS para o Origin Shield que tem a menor latência para sua origem. Você pode usar o Origin Shield com origens que estão em uma região da AWS e com origens que não estão na AWS. Para obter mais informações, consulte Escolher a região da AWS do Origin Shield no Guia do desenvolvedor do Amazon CloudFront.

P: O Origin Shield é resiliente e altamente disponível?

Sim. Todas as regiões do Origin Shield são construídas usando uma arquitetura altamente disponível que abrange várias zonas de disponibilidade com frotas de instâncias do Amazon EC2 com Auto Scaling. As conexões de locais do CloudFront com o Origin Shield também usam rastreamento de erro ativo para cada solicitação para encaminhar automaticamente a solicitação para um local secundário do Origin Shield se o local primário do Origin Shield não estiver disponível.

Limites

P: Posso utilizar o Amazon CloudFront se esperar picos de uso superiores a 150 Gbps ou 250.000 RPS?

Sim. Preencha nossa solicitação de limites mais altos aqui, e adicionaremos mais capacidade a sua conta no prazo de dois dias úteis.

P: Existe um limite para o número de distribuições que minha conta do Amazon CloudFront pode realizar?

Para saber mais sobre o limite do número de distribuições que podem ser criadas por conta da AWS, consulte Limites do Amazon CloudFront na Referência Geral da Amazon Web Services. Para solicitar um limite maior, visite o formulário de aumento de limite do CloudFront.

P: Qual o tamanho máximo de um arquivo que pode ser entregue pelo Amazon CloudFront?

O tamanho máximo de um único arquivo que pode ser entregue pelo Amazon CloudFront é 30 GB. Esse limite se aplica a todas as distribuições do Amazon CloudFront.

Geração de logs e relatórios

P: Quais recursos de geração de logs estão disponíveis no Amazon CloudFront?

Quando você criar ou modificar uma distribuição do CloudFront, poderá habilitar o log de acesso. O CloudFront fornece duas maneiras de registrar as solicitações que são entregues de suas distribuições: Logs padrão e Logs em tempo real.

Os logs padrão do CloudFront são entregues ao bucket do Amazon S3 de sua escolha (os registros de log são entregues em minutos após uma solicitação do visualizador). Quando esse recurso estiver habilitado, o CloudFront publicará automaticamente informações detalhadas de log em um formato estendido W3C em um bucket do Amazon S3 que você especificar. Logs de acesso contêm informações detalhadas sobre cada solicitação do seu conteúdo, incluindo o objeto solicitado, a data e hora da solicitação, o ponto de presença que atende à solicitação, o endereço IP do cliente, o referenciador, o agente do usuário, o cabeçalho do cookie e o tipo de resultado (por exemplo, acerto, falha ou erro de cache). O CloudFront não cobra pelos logs padrão, embora você incorra encargos do Amazon S3 para armazenar e acessar os arquivos de log.

Os logs em tempo real do CloudFront são entregues ao fluxo de dados de sua escolha no Amazon Kinesis Data Streams (os registros de log são entregues em segundos após uma solicitação do visualizador). Você pode escolher a taxa de amostragem para seus logs em tempo real, ou seja, a porcentagem de solicitações para as quais deseja receber registros de log em tempo real. Você também pode escolher os campos específicos que deseja receber nos registros de log. Os logs em tempo real do CloudFront contêm todos os mesmos pontos de dados que os logs padrão e também contêm certas informações adicionais sobre cada solicitação, como cabeçalhos de solicitação do visualizador e código de país, em um formato estendido W3C. O CloudFront cobra por logs em tempo real, além das cobranças que você incorre pelo uso do Kinesis Data Streams.

P: Como determino os logs do CloudFront apropriados ao meu caso de uso?

Você pode escolher um destino, dependendo do seu caso de uso. Se os seus casos de uso forem urgentes e exigirem acesso rápido aos dados do log em apenas alguns segundos, escolha os logs em tempo real. Caso seja necessário que o seu pipeline de log em tempo real seja mais barato, você pode filtrar os dados do log, habilitando logs apenas para comportamentos do cache específicos, ou então escolher uma taxa de amostragem mais baixa. O pipeline de log em tempo real é adequado à entrega de dados rápida. Portanto, os registros do log poderão ser eliminados se houver atrasos nos dados. Por outro lado, se você precisar de uma solução de processamento de logs de baixo custo sem o requisito de dados em tempo real, a opção de log padrão atual será ideal para você. Os logs padrão no S3 são criados para serem completos e os logs em geral ficam disponíveis em apenas alguns minutos. Esses logs podem ser habilitados para toda a distribuição e não para comportamentos do cache específicos. Portanto, se você precisar de logs para investigação, auditoria e análise ad hoc, poderá habilitar apenas os logs padrão no S3. Você pode usar uma combinação dos dois logs. Use uma lista filtrada de logs em tempo real para fins de visibilidade operacional e depois use os logs padrão para auditoria.

P: Quais são as diferentes opções de destino de log disponíveis?
Os logs padrão do CloudFront são entregues ao seu bucket do S3. Você também pode usar a integração criada por soluções de terceiros, como DataDog e Sumologic, para criar painéis com base nesses logs.

Os logs em tempo real são entregues ao seu Kinesis Data Streams. Do Kinesis Data Streams, os logs podem ser publicados no Amazon Kinesis Data Firehose. O Amazon Kinesis Data Firehose pode entregar dados de modo fácil ao Amazon S3, Amazon Redshift, Amazon Elasticsearch Service e a provedores de serviços como Datadog, New Relic e Splunk. O Kinesis Firehose também aceita a entrega de dados a um endpoint HTTP genérico.

P: Quantos fragmentos do Kinesis são necessários no Kinesis Data Streams?
Use as etapas a seguir para estimar o número de fragmentos necessários:

  1. Calcule (ou estime) o número de solicitações por segundo recebidas pela sua distribuição do CloudFront. você pode usar os relatórios de uso ou as métricas do CloudFront para ajudá-lo a calcular suas solicitações por segundo.
  2. Determine o tamanho típico de um único registro de log em tempo real. Um registro típico que inclua todos os campos disponíveis tem cerca de 1 KB. Caso não tenha certeza do tamanho do seu registro de log, você poderá habilitar logs em tempo real com uma taxa de amostragem baixa (por exemplo, 1%) e depois calcular o tamanho médio do registro usando dados de monitoramento no Kinesis Data Streams (número total de registros dividido pelo total de bytes de entrada).
  3. Multiplique o número de solicitações por segundo (da etapa 1) pelo tamanho de um típico registro de log em tempo real (da etapa 2) para determinar o volume de dados por segundo que provavelmente sua configuração de log em tempo real vai enviar ao Kinesis Data Streams.
  4. Usando os dados por segundo, calcule o número de fragmentos necessários. Um único fragmento tem capacidade de até 1 MB por segundo e 1.000 solicitações (registros de log) por segundo. Quando você calcular o número de fragmentos necessários, recomendados adicionar até 25% como um buffer.

Por exemplo, vamos supor que sua distribuição recebe 10.000 solicitações por segundo e que o tamanho típico dos seus registros de log em tempo real é de 1 KB. Isso significa que a sua configuração de log em tempo real pode gerar 10.000.000 de bytes (10.000 multiplicados por 1.000), ou 9,53 MB, por segundo. Nesse cenário, você precisaria de apenas 10 fragmentos do Kinesis. Você deve considerar a criação de pelo menos 12 fragmentos para ter um buffer.

P: O Amazon CloudFront oferece relatórios prontos para uso que permitem saber mais sobre uso, visualizadores e o conteúdo servido?

Sim. Seja recebendo relatórios de estatísticas detalhadas de cache, monitorando o uso do CloudFront, identificando de onde seus clientes visualizam conteúdo ou definindo alarmes praticamente em tempo real sobre métricas operacionais, o Amazon CloudFront oferece diversas soluções para suas necessidades de relatórios. Você poderá obter todas as opções de relatórios acessando o painel Amazon CloudFront Reporting & Analytics no Console de Gerenciamento da AWS. Além disso, você pode saber mais sobre as diversas opções de relatórios acessando a página de relatórios e análises do Amazon CloudFront.

P: Posso aplicar tags às minhas distribuições?

Sim. O Amazon CloudFront é compatível com a aplicação de tags de alocação de custos. A aplicação de tags facilita alocar custos e otimizar gastos ao categorizar e agrupar recursos da AWS. Por exemplo, você pode usar tags para agrupar recursos por administrador, nome do aplicativo, centro de custo ou um projeto específico. Para saber mais sobre a aplicação de tags de alocação de custos, consulte Como usar as tags de alocação de custos. Se você estiver pronto para adicionar tags às suas distribuições do CloudFront, consulte a página Adição de tags do Amazon CloudFront.

P: É possível obter um histórico de todas as chamadas de API do Amazon CloudFront realizadas na minha conta para fins de auditoria de segurança, operacional ou de conformidade?

Sim. Para receber um histórico de todas as chamadas de API do Amazon CloudFront efetuadas na sua conta, basta ativar o AWS CloudTrail no Console de Gerenciamento da AWS do CloudTrail. Para obter mais informações, visite a página inicial do AWS CloudTrail.

P: Há opções de monitoramento e geração de métricas de alarme em tempo real?

Você pode monitorar, emitir alarmes e receber notificações sobre a performance operacional da distribuição do Amazon CloudFront alguns minutos após a solicitação do visualizador usando o Amazon CloudWatch. O CloudFront publica automaticamente seis métricas operacionais com intervalos de um minuto no Amazon CloudWatch. Você pode usar o CloudWatch para definir alarmes sobre qualquer padrão anormal no tráfego do CloudFront. Para saber como começar a monitorar as atividades do CloudFront e a definir alarmes com o CloudWatch, consulte a demonstração passo a passo no Guia do desenvolvedor do Amazon CloudFront ou simplesmente navegue até o Console de gerenciamento do Amazon CloudFront e selecione Monitoring & Alarming (Monitoramento e alarme) no painel de navegação.

CloudFront Functions

P: O que é o CloudFront Functions?

O CloudFront Functions é um recurso de computação de borda com tecnologia sem servidor para executar código JavaScript em locais da borda do CloudFront para transformações e manipulações HTTP(s) leves. O Functions foi especialmente criado para proporcionar aos clientes a flexibilidade de um ambiente de programação completo com a performance e segurança que as aplicações Web modernas exigem. A uma fração do preço do AWS Lambda@Edge, os clientes podem dimensionar de maneira instantânea e acessível para ajudar em milhões de solicitações por segundo.

P: Como personalizo conteúdo com o CloudFront Functions?

O CloudFront Functions foi criado de maneira nativa no CloudFront, permitindo que o cliente crie, teste e implante com facilidade funções dentro do mesmo serviço. O CloudFront KeyValueStore também pode ser usado com o CloudFront Functions para armazenar e recuperar dados de pesquisa para complementar a lógica da sua função. Nosso repositório do GitHub ajuda os desenvolvedores a começar oferecendo uma ampla coleção de códigos de exemplo que podem ser usados como ponto de partida para criar funções. Você pode criar funções no console do CloudFront utilizando a IDE ou as APIs/CLI do CloudFront. Após a criação do código, você poderá testar a função em relação à distribuição do CloudFront, certificando-se de que ele executa adequadamente após a implantação. A funcionalidade de teste no console oferece um editor visual para criar eventos de teste rapidamente e validar funções. Após a associação com uma distribuição do CloudFront, o código é implantado na rede de distribuição global de locais da borda da AWS para execução em resposta a solicitações do CloudFront.

P: Quais são os casos de uso do CloudFront Functions?

O CloudFront Functions é ideal para funções leves e curtas, como os exemplos a seguir:

  • Normalização de chave de cache: você pode transformar atributos de solicitação HTTP (cabeçalhos, sequências de caracteres de consulta, cookies, até mesmo o caminho relativo da URL de solicitação) para criar uma chave de cache ideal, que pode melhorar a taxa de acertos.
  • Manipulação de cabeçalho: você pode inserir, modificar ou excluir cabeçalhos HTTP na solicitação ou resposta. Por exemplo, você pode adicionar cabeçalhos HTTP Strict Transport Security (HSTS) ou Cross-origin resource sharing (CORS) a cada resposta.
  • Redirecionamento ou regravações de URL: você pode redirecionar os visualizadores para outras páginas com base nas informações da solicitação ou redirecionar todas as solicitações de um caminho para outro.
  • Solicitar autorização:é possível validar tokens de autorização, como tokens Web JSON (JWT), por meio da inspeção dos cabeçalhos de autorização ou outros metadados de solicitação.

P: O que é o CloudFront KeyValueStore?

O CloudFront KeyValueStore é um armazenamento de dados de chave-valor global, com baixa latência e totalmente gerenciado. O KeyValueStore possibilita a recuperação de dados de chave-valor do CloudFront Functions, tornando as funções mais personalizáveis ao permitir atualizações de dados independentes. Os dados de chave-valor estão disponíveis em todos os locais da borda do CloudFront e fornecem um armazenamento de chave-valor na memória altamente eficiente com leituras rápidas do CloudFront Functions.

P: Quais são os casos de uso do CloudFront KeyValueStore?

O CloudFront KeyValueStore é ideal para leituras frequentes em locais da borda e atualizações pouco frequentes, como:

  • Mantenha regravações e redirecionamentos de URL: redirecione os usuários para um site de um país específico com base na localização geográfica. Armazenar e atualizar esses URLs com base geográfica no KeyValueStore simplifica o gerenciamento de URLs.
  • Teste A/B e sinalizadores de recursos: faça experimentos atribuindo um percentual do tráfego a uma versão do seu site. Você pode atualizar os pesos dos experimentos sem atualizar o código da função ou sua distribuição do CloudFront.
  • Autorização de acesso: implemente o controle de acesso e a autorização do conteúdo entregue pelo CloudFront criando e validando tokens gerados pelo usuário, como tokens HMAC ou tokens web JSON (JWT), para permitir ou negar solicitações. 

P: O CloudFront Functions está substituindo o Lambda@Edge?

Não, o CloudFront Functions foi criado para complementar, e não substituir, o Lambda@Edge. A combinação do Lambda@Edge e do CloudFront Functions permite que você escolha a ferramenta certa para a tarefa. Você pode escolher usar o CloudFront Functions e o Lambda@Edge em diferentes gatilhos de evento dentro do mesmo comportamento de cache nas distribuições do CloudFront. Por exemplo, você pode usar o Lambda@Edge para manipular arquivos de manifesto de streaming em tempo real para inserir tokens personalizados para proteger transmissões ao vivo. Você pode usar o CloudFront Functions para validar esses tokens quando um usuário fizer uma solicitação para um segmento do manifesto.

P: Devo usar o CloudFront Functions ou o Lambda@Edge?

A combinação do CloudFront Functions e do Lambda@Edge proporciona duas opções poderosas e flexíveis para a execução de códigos em resposta a eventos do CloudFront. Ambos oferecem maneiras seguras de executar códigos em resposta aos eventos do CloudFront, sem gerenciar a infraestrutura. O CloudFront foi criado especialmente para transformações e manipulações de solicitações/respostas leves, de grande escala e rigorosos de latência. O Lambda@Edge usa tempos de execução de uso geral que são compatíveis com uma grande variedade de necessidades e personalizações de computação. O Lambda@Edge é ideal para operações com uso intensivo de computação. Por exemplo, computações que demoram mais para terminar (vários milésimos de segundo a segundos), têm dependências em bibliotecas externas de terceiros, precisam de integrações com outros produtos da AWS (p. ex., S3, DynamoDB) ou precisam fazer chamadas de rede para processamento de dados. Alguns dos casos de uso avançados mais populares do Lambda@Edge incluem manipulação de manifesto de streaming HLS, integrações com serviços de detecção de bots e autorização de terceiros, Server-Side Rendering (SSR – Renderização no servidor) para Single-Page Apps (SPA – Aplicativos de página única) na borda e mais. Consulte a página de casos de uso do Lambda@Edge para obter mais detalhes.

P: Como a AWS mantém o CloudFront Functions seguro?

O CloudFront Functions proporciona a performance, o dimensionamento e a economia que você espera, mas com um modelo de segurança exclusivo que oferece limites de isolamento estritos entre os códigos do Functions. Ao rodar um código personalizado em um ambiente de computação compartilhado e multilocatário, é essencial manter um ambiente de execução extremamente seguro. Um agente mal-intencionado pode tentar explorar os bugs presentes no tempo de execução, nas bibliotecas ou nas CPU para vazar dados confidenciais do servidor ou de outras funções do cliente. Sem uma barreira de isolamento rigorosa entre o código da função, esses exploits são possíveis. O AWS Lambda e o Lambda@Edge já alcançam esse isolamento de segurança pelo isolamento de VM baseado no Firecracker. Com o CloudFront Functions, desenvolvemos um modelo de isolamento baseado em processos que fornece a mesma barreira de segurança contra ataques de canal lateral, como Spectre and Meltdown, ataques de temporização ou outras vulnerabilidades no código. O CloudFront Functions não consegue acessar ou modificar dados que pertençam a outros clientes. Isso é possível executando as funções em um processo dedicado em uma CPU dedicada. O CloudFront Functions executa trabalhos de processo que atendem apenas um cliente por vez e todos os dados específicos do cliente são descartados (removidos) entre as execuções.

O CloudFront Functions não usa o V8 como um mecanismo de JavaScript. O modelo de segurança do Functions é diferente e considerado mais seguro do que o modelo baseado em isolados v8 oferecido por alguns outros fornecedores.

P: Como posso saber se a função do CloudFront será executada com êxito?

Você pode testar qualquer função usando a funcionalidade de teste incorporada. Testar uma função vai executar o código contra a distribuição do CloudFront para validar se a função retorna o resultado previsto. Além de validar a execução do código, você também tem uma métrica de utilização de computação. A métrica de utilização de computação gera uma porcentagem do quão perto a função está do limite de tempo de execução. Por exemplo, uma utilização de computação de 30 significa que a função está usando 30% do tempo de execução total permitido. É possível criar objetos de teste com o editor visual, permitindo que você adicione facilmente sequências de caracteres de consulta, cabeçalhos, URLs e métodos HTTP para cada objeto, ou você pode criar objetos de teste usando uma representação JSON da solicitação ou da resposta. Quando o teste for concluído, os resultados e a métrica de utilização de computação poderão ser visualizados no mesmo estilo do editor visual ou pela visualização da resposta JSON. Se a função for executada com êxito e a métrica de utilização de computação não chegar perto de 100, você sabe que a função funcionará ao associá-la a uma distribuição do CloudFront.

P: Como posso monitorar uma função do CloudFront?

O CloudFront Functions gera logs de métrica e execução para monitorar o uso e a performance de uma função. As métricas são geradas para cada invocação de uma função e você pode visualizá-las para cada função individualmente no console do CloudFront ou do CloudWatch. As métricas incluem o número de invocações, a utilização de computação, os erros de validação e execução. Se a função resultar em um erro de validação ou execução, a mensagem de erro aparecerá nos logs de acesso do CloudFront, proporcionando uma melhor visibilidade sobre como as funções impactam o tráfego do CloudFront. Além das métricas, você também pode gerar logs de execução incluindo uma instrução “console.log()” dentro do código de função. Qualquer instrução de log vai gerar uma entrada de log do CloudWatch que será enviada para o CloudWatch. Os logs e as métricas estão inclusos no preço do CloudFront Functions

Lambda@Edge

P: O que é o Lambda@Edge?

O Lambda@Edge  é uma extensão do AWS Lambda que permite a execução de códigos em locais da borda globais sem o provisionamento ou gerenciamento de servidores. O Lambda@Edge oferece computação sem servidor avançada e flexível para funções complexas e lógica de aplicação completa próxima aos visualizadores. As funções do Lambda@Edge são executadas em um ambiente Node.js ou Python. Você publica funções em uma única região da AWS, e quando você associa a função a uma distribuição do CloudFront, o Lambda@Edge replica automaticamente o código em todo o mundo. O Lambda@Edge escala automaticamente, de algumas solicitações por dia a milhares por segundo.

P: Como personalizo conteúdo com o Lambda@Edge?

O Lambda@Edge é executado ao associar funções contra comportamentos específicos de cache no CloudFront. Você também pode especificar em qual ponto durante o processamento da solicitação ou resposta do CloudFront a função deve ser executada (ou seja, quando uma solicitação do visualizador for recebida, uma solicitação for encaminhada para a origem, ou recebida de volta dela, e logo antes de a resposta ser enviada de volta para o usuário final). Você pode escrever códigos usando o Node.js ou Python do console ou da API do Lambda ou usando estruturas de trabalho como o Serverless Application Model (SAM). Após testar a função, você a associa com o comportamento de cache ou gatilho de evento do CloudFront selecionado. Depois de salva, na próxima solicitação recebida para a distribuição do CloudFront, a função será propagada para o local da borda do CloudFront, ficando disponível para execução e redimensionamento de escala conforme a necessidade. Saiba mais na nossa documentação.

P: Quais eventos do Lambda@Edge podem ser acionados com o Amazon CloudFront?

As funções do Lambda@Edge serão acionadas automaticamente em resposta aos seguintes eventos do Amazon CloudFront:

  • Solicitação do visualizador: este evento ocorre quando um usuário final ou um dispositivo na Internet faz uma solicitação de HTTP(S) ao CloudFront e a solicitação chega ao local da borda mais próximo do usuário.
  • Resposta do visualizador: este evento ocorre quando o servidor CloudFront na borda está pronto para responder ao usuário final ou dispositivo que enviou a solicitação.
  • Solicitação para origem: este evento ocorre quando o servidor CloudFront na borda não tem o objeto solicitado no cache e a solicitação do visualizador está pronta para ser enviada ao servidor Web de origem no back-end (por exemplo, Amazon EC2, Application Load Balancer ou Amazon S3).
  • Resposta da origem: este evento ocorre quando o servidor CloudFront na borda recebe uma resposta do servidor Web de origem no back-end.

Implantação contínua

P: O que é implantação contínua no CloudFront?

A implantação contínua no CloudFront fornece a capacidade de teste e validação de alterações na configuração de parte do tráfego em execução antes da implantação das alterações para todos os visualizadores.

A implantação contínua com o CloudFront proporciona a você um alto nível de segurança nesse processo. Agora, você pode implantar dois ambientes separados, mas idênticos (azul e verde), integrados de forma simples com pipelines de Continuous Integration and Delivery (CI/CD – Integração e entrega contínuas) para disponibilizar versões gradualmente, sem necessidade de alterar o Sistema de Nomes de Domínio (DNS). Dessa forma, você garante uma experiência consistente aos visualizadores, vinculando suas sessões ao mesmo ambiente por meio da persistência de sessões. Além disso, você pode comparar o desempenho de suas alterações ao monitorar logs padrão e de tempo real, revertendo rapidamente para a configuração anterior quando uma alteração tiver impacto negativo em um serviço. 

P: Como faço a configuração da implantação contínua no CloudFront?

Você pode configurar a implantação contínua associando uma cópia de distribuição a uma distribuição primária através do console do CloudFront, do SDK, da Interface da Linha de Comando (CLI) ou modelo do CloudFormation. Em seguida, você pode definir as regras para dividir tráfegos através da configuração do cabeçalho do cliente ou através do ajuste da porcentagem de tráfego para testes com a cópia da distribuição. Uma vez definida, você pode atualizar a cópia da configuração com as alterações desejadas. O CloudFront gerenciará a divisão do tráfego para os usuários e fornecerá os dados analíticos associados para ajudar você na decisão de continuar a implantação ou realizar a restauração. Quando os testes com cópias de distribuições forem validados, você pode incluir as alterações para a distribuição principal.

Acesse a documentação para saber mais sobre o recurso.

P: Como poderei medir os resultados da implantação contínua?

Implantações contínuas possibilitam o monitoramento de usuário real através do tráfego real na web. Você pode usar quaisquer métodos de monitoramento disponíveis (console do CloudFront, API do CloudFront, CLI, ou CloudWatch) para medir individualmente as métricas operacionais da cópia da distribuição e da distribuição primária. É possível medir o critério de sucesso de sua aplicação específica ao mensurar e comparar o throughput, latência e métricas de disponibilidade entre as duas distribuições.

P: Posso usar distribuições já existentes?

Sim, você pode usar quaisquer distribuições existentes como base para criar uma cópia de distribuição e conduzir as alterações de teste.

P: Como funciona a implantação contínua com o CloudFront Functions e a Lambda@Edge?

Com a implantação contínua, você pode associar funções diferentes às cópias de distribuições e distribuições primárias. Você também pode usar a mesma função em ambas as distribuições. Se você atualizar uma função que é usada em ambas as distribuições, todas elas receberão a atualização.

P: Como uso as distribuições de implantação contínua com a AWS CloudFormation?

Cada recurso em seu CloudFormation é mapeado para um recurso específico da AWS. Uma cópia de distribuição terá seu próprio ID do recurso e funcionará como qualquer outro recurso da AWS. Você pode usar o CloudFormation para criar/atualizar esse recurso.

P: Como a implantação contínua no CloudFront suporta a aderência da sessão?

Quando você usa uma configuração baseada em peso percentual para direcionar o tráfego para uma cópia de distribuição, também é possível ativar a aderência da sessão, o que ajuda a garantir que o CloudFront tratará as requisições do mesmo visualizador como uma única sessão. Quando você habilita a aderência da sessão, o CloudFront define um cookie para que todas as requisições de um mesmo visualizador em uma única sessão sejam correspondidas a uma distribuição, seja ela primária ou uma cópia.

P: Quanto custa?

O recurso de implantação contínua está disponível em todos os locais da borda do CloudFront sem custo adicional.

IPv6

P: O que é o IPv6?

Cada servidor e dispositivo conectado à Internet deve ter um endereço IP (Internet Protocol) numérico. O crescimento exponencial da Internet e do número de pessoas que a usam aumenta a necessidade por endereços IP. O IPv6 é uma nova versão do Internet Protocol que usa um tamanho de endereço maior do que o seu predecessor, o IPv4. No IPv4, cada endereço IP tem 32 bits, o que permite a criação de 4,3 bilhões de endereços exclusivos. Um exemplo de endereço IPv4 é 192.0.2.1. Em comparação, os endereços IPv6 têm 128 bits, o que permite a criação de aproximadamente 340 trilhões de endereços IP exclusivos. Um exemplo de endereço IPv6 é: 2001:0db8:85a3:0:0:8a2e:0370:7334

P: O que posso fazer com o IPv6?

Ao usar a compatibilidade com o IPv6 do Amazon CloudFront, seus aplicativos podem conectar-se a pontos de presença do Amazon CloudFront sem precisar de nenhum software ou sistema de conversão de IPv6 para IPv4. Você pode atender aos requisitos de adoção do IPv6 definidos pelos governos, inclusive o dos EUA. federal dos EUA, e beneficiar-se da extensibilidade, da simplicidade de gerenciamento de redes e da compatibilidade integrada adicional para segurança do IPv6.

P: Devo esperar alguma alteração na performance do Amazon CloudFront quando usar o IPv6?

Não. Você obterá a mesma performance ao usar o IPv4 ou o IPv6 com o Amazon CloudFront.

P: Existe algum recurso do Amazon CloudFront que não funciona com o IPv6?

Todos os recursos atuais do Amazon CloudFront continuarão a funcionar no IPv6, embora existam duas alterações necessárias a fazer para o processamento interno do endereço IPv6 antes de ativá-lo para as suas distribuições.

  1. Se você tiver ativado o recurso Amazon CloudFront Access Logs, começará a ver o endereço IPv6 do seu visualizador no campo “c-ip” e talvez tenha que verificar se os seus sistemas de processamento de logs continuam a funcionar para o IPv6.
  2. Ao habilitar o IPv6 para a sua distribuição do Amazon CloudFront, você obterá endereços IPv6 no cabeçalho 'X-Forwarded-For' enviado às suas origens. Se os seus sistemas de origem só puderem processar endereços IPv4, talvez seja necessário verificar se os seus sistemas de origem continuam a funcionar para o IPv6.

Além disso, se você usar listas brancas de IP para assinantes confiáveis, deverá usar uma distribuição somente de IPv4 para os URLs do seu assinante confiável com listas brancas de IP, além de uma distribuição de IPv4/IPv6 de todo o restante do conteúdo. Este modelo evita um problema que surgiria se a solicitação de assinatura fosse recebida via endereço IPv4 e fosse assinada como tal, o que faria com que a solicitação de conteúdo fosse recebida por meio de um endereço IPv6 diferente que não consta na lista de permissões.

Para saber mais sobre a compatibilidade com o IPv6 no Amazon CloudFront, consulte IPv6 support on Amazon CloudFront no Guia do desenvolvedor do Amazon CloudFront.

P: Isso significa que, se eu desejar usar o IPv6, não poderei usar URLs de assinante confiável com a lista de permissões de IP?

Não. Se você desejar usar o IPv6 e os URLs de assinante confiável com a lista branca de IP, será necessário usar duas distribuições separadas. Você deve dedicar uma distribuição exclusivamente aos seus URLs de assinante confiável com lista branca de IP e desabilitar o IPv6 para essa distribuição. Depois, use outra distribuição para todo o restante do conteúdo, o que funcionará com o IPv4 e o IPv6.

P: Se eu habilitar o IPv6, o endereço IPv6 será exibido no log de acesso?

Sim. Os endereços IPv6 do seu visualizador agora serão exibidos no campo “c-ip” dos logs de acesso, se o recurso Amazon CloudFront Access Logs estiver habilitado. Verifique se os seus sistemas de processamento de logs continuam a funcionar para os endereços IPv6 antes de ativar o IPv6 para as suas distribuições. Entre em contato com o suporte ao desenvolvedor, se tiver problemas com o impacto do tráfego do IPv6 na capacidade da sua ferramenta ou do seu software de administrar endereços IPv6 nos logs de acesso. Para obter mais detalhes, consulte a documentação do Amazon CloudFront Access Logs.

P: Posso desabilitar o IPv6 para todas as minhas novas distribuições?

Sim. Para distribuições novas e atuais, é possível usar o console do Amazon CloudFront ou a API para habilitar/desabilitar o IPv6 por distribuição.

P: Existem motivos para que eu desabilite o IPv6?

Durante conversas com os clientes, o único caso comum do qual tivemos conhecimento foi o processamento interno de endereços IP. Ao habilitar o IPv6 para a sua distribuição do Amazon CloudFront, além de obter um endereço IPv6 nos seus logs de acesso detalhados, você obterá endereços IPv6 no cabeçalho 'X-Forwarded-For' enviado para as suas origens. Se os seus sistemas de origem só puderem processar endereços IPv4, talvez seja necessário verificar se os seus sistemas de origem continuam a funcionar para endereços IPv6 antes de ativá-lo para as suas distribuições.

P: Eu habilitei o IPv6 para a minha distribuição, mas a pesquisa DNS não está retornando nenhum endereço IPv6. O que está acontecendo?

O Amazon CloudFront tem uma conectividade bastante diversa no mundo inteiro, mas ainda existem algumas redes em a que conectividade IPv6 não está 100% presente. Embora o futuro em longo prazo da Internet seja obviamente o IPv6, no futuro próximo, cada endpoint na Internet terá conectividade IPv4. Quando encontrarmos partes da Internet que tenham uma conectividade IPv4 melhor do que a IPv6, nossa preferência será a IPv4.

P: Se eu usar o Route 53 para administrar minhas necessidades de DNS e tiver criado um registro de alias indicando uma distribuição do Amazon CloudFront, precisarei atualizar meus registros de alias para habilitar o IPv6?

Sim. Você pode criar registros de alias do Route 53 indicando a sua distribuição do Amazon CloudFront para apoiar o IPv4 e o IPv6 usando os tipos de registro “A” e “AAAA” respectivamente. Se você desejar habilitar apenas o IPv4, será necessário apenas um registro de alias do tipo “A”. Para obter detalhes sobre os conjuntos de registros de recursos de alias, consulte o Guia do desenvolvedor do Amazon Route 53.

Faturamento

P: Quais os tipos de uso cobertos no nível gratuito da AWS para o Amazon CloudFront?

A partir de 1.º de dezembro de 2021, todos os clientes da AWS terão 1 TB de transferência de dados de saída, 10.000.000 de solicitações HTTP/HTTPS e 2.000.000 de invocações do CloudFront Functions a cada mês gratuitamente. Todos os outros tipos de uso (por exemplo, invalidações, solicitações de proxy, Lambda@edge, Origin Shield, transferências de dados para a origem etc.) estão excluídos do nível gratuito.  

P: Se nos cadastrarmos para o faturamento consolidado, poderemos obter o nível gratuito da AWS para cada conta?

Não, os clientes que usam o faturamento consolidado para consolidar o pagamento de várias contas terão acesso a apenas um nível gratuito por organização.

P: O que acontecerá se meu uso ocorrer em várias regiões e eu exceder os níveis gratuitos?

Os limites mensais do nível gratuito são 1 TB de transferência de dados e 10 milhões de solicitações em todos os locais da borda. Se seu uso exceder os limites mensais do nível gratuito, você pagará simplesmente as taxas de serviço da AWS sob demanda padrão em cada região. Consulte a página de preços do AWS CloudFront para obter todos os detalhes de preços.

P: Como posso saber quanto utilizei e se excedi os níveis de uso gratuito?

Para ver a atividade de uso atual e anterior por região, entre na sua conta e vá para o painel do Gerenciamento de Faturamento e Custos. No painel, você pode gerenciar custos e uso com o AWS Budgets, visualizar os geradores de custos e as tendências de uso no Cost Explorer e detalhar os custos usando os relatórios de custos e uso. Para saber mais sobre como controlar seus custos na AWS, confira o tutorial Controle seus custos da AWS, que dura dez minutos.

P: o nível gratuito se aplica a clientes que assinam o pacote CloudFront Security Savings?

Clientes que assinam o pacote CloudFront Security Savings também terão o benefício do nível gratuito. Se você precisar reduzir seu compromisso com o pacote CloudFront Security Savings em função do nível gratuito, entre em contato com nosso serviço de atendimento ao cliente e avaliaremos seu pedido. Divulgaremos mais detalhes sobre esse tópico em alguns dias. Fique de olho. 

Se tiver alguma pergunta, acesse https://aws.amazon.com/free/free-tier-faqs/.

P: Como meu uso do Amazon CloudFront será cobrado?

As cobranças do Amazon CloudFront consideram o uso efetivo do serviço em cinco áreas: transferência de dados de saída, solicitações HTTP/HTTPS, solicitações de invalidação, solicitações de log em tempo real e certificados SSL personalizados com IP dedicado associados a uma distribuição do CloudFront.

Com o nível de uso gratuito da AWS, você pode começar a utilizar o Amazon CloudFront gratuitamente e manter os custos baixos à medida que seu uso cresce. Todos os clientes do CloudFront recebem gratuitamente 1 TB de transferência de dados de saída e 10.000.000 de solicitações HTTP e HTTPS para o Amazon CloudFront, mesmo quando esses limites são excedidos.

  • Transferência de dados para a Internet
    Você é cobrado pelo volume de dados transferidos para fora dos pontos de presença do Amazon CloudFront, medidos em GB. Você pode ver aqui as taxas de transferência de dados do Amazon CloudFront para a Internet. Observe que o seu uso de transferência de dados é totalizado separadamente por regiões geográficas específicas. O custo é calculado de acordo com os níveis de definição de preço em cada área. Se você usar outros serviços da AWS como origem de arquivos, será cobrado separadamente pelo uso desses serviços, inclusive armazenamento e horas de computação. Se você usa uma origem da AWS (como Amazon S3, Amazon EC2 e assim por diante), a partir de 1 de dezembro de 2014, não cobramos pela transferência de dados da AWS para o Amazon CloudFront. Isso se aplica à transferência de dados de todas as regiões da AWS para todos os pontos de presença globais do CloudFront.
  • Transferência de dados para fora (origem)
    Você será cobrado pelo volume de dados transferidos, medido em GB, dos pontos de presença do Amazon CloudFront para sua origem (tanto origens AWS quanto de outros servidores). As taxas de transferência de dados do Amazon CloudFront para a origem estão aqui.
  • Solicitações HTTP/HTTPS
    Você será cobrado pelo número de solicitações HTTP/HTTPS feitas ao Amazon CloudFront para o seu conteúdo. Você pode verificar aqui as taxas para solicitações HTTP/HTTPS.
  • Solicitações de anulação
    Você será cobrado por caminho na solicitação de anulação. Um caminho listado na solicitação de anulação representa o URL (ou vários URLs, se o caminho contém um caractere curinga) do objeto que você deseja anular no cache do CloudFront. Você pode solicitar até 1.000 caminhos por mês do Amazon CloudFront sem nenhum custo adicional. Após os primeiros 1.000 caminhos, você será cobrado por caminho listado nas solicitações de invalidação. Você pode verificar as taxas das solicitações de invalidação aqui.
  • Solicitações de logs em tempo real
    Os logs em tempo real são cobrados de acordo com o número de linhas que forem geradas. Você paga USD 0,01 por cada 1.000.000 de linhas de log que o CloudFront publicar no destino do log.
  • IP dedicado SSL personalizado
    Você paga USD 600 por mês para cada certificado SSL personalizado associado com uma ou mais distribuições do CloudFront usando a versão com IP dedicado do suporte de certificado SSL personalizado. Essa tarifa mensal é rateada por hora. Por exemplo, se você tiver um certificado SSL personalizado associado a pelo menos uma distribuição do CloudFront por apenas 24 horas (ou seja, um dia) no mês de junho, seu custo total pelo uso do recurso de certificado SSL personalizado em junho será (1 dia/30 dias) * 600 USD = 20 USD. Para usar o suporte ao certificado SSL customizado com IP dedicado, faça o upload de um certificado SSL e use o Console de Gerenciamento da AWS para associá-lo às suas distribuições do CloudFront. Se você precisa associar mais de dois certificados SSL personalizados à sua distribuição do CloudFront, informe os detalhes do seu caso de uso e o número de certificados SSL personalizados que pretende usar no formulário de aumento de limite do CloudFront.

Os níveis de uso da transferência de dados são medidos separadamente para cada região geográfica. Os preços listados acima não incluem impostos, taxas ou cobranças governamentais similares aplicáveis, caso exista alguma, exceto as que já foram comentadas.

P: Os preços incluem impostos?

Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês. Saiba mais.

P: Qual será o custo dos logs em tempo real?
Caso a sua distribuição sirva 1.000 solicitações por segundo com um tamanho de log de 1KB e crie um Kinesis Data Streams no Leste dos EUA (Ohio) com 2 fragmentos:

Custo mensal do Kinesis Data Streams: 47,74 USD/mês conforme calculado usando a calculadora do Kinesis aqui.

Custo mensal dos logs em tempo real do CloudFront: Solicitações por mês X custo dos logs em tempo real = 1.000 * (60 s * 60 min *24 h * 30 dias) X (0,01 USD /1.000.000) = 25,92 USD/mês

P: Como serei cobrado por respostas 304?

304 é uma resposta a uma solicitação GET condicional e resultará em uma cobrança pela solicitação HTTP/HTTPS e a transferência de dados para a Internet. Uma resposta 304 não contém um corpo de mensagem; no entanto, os cabeçalhos HTTP consomem largura de banda, razão pela qual serão cobradas taxas padrão de transferência de dados do CloudFront. O volume de transferência de dados depende dos cabeçalhos associados ao seu objeto.

P: Posso optar por fornecer conteúdo apenas das regiões menos caras do Amazon CloudFront?

Sim, as classes de preços fornecem a você uma opção para reduzir os preços que você paga para entregar conteúdo fora do Amazon CloudFront. Por padrão, o Amazon CloudFront minimiza a latência de usuário final ao entregar conteúdo de toda a sua rede global de pontos de presença. No entanto, como cobramos mais onde nossos custos são maiores, isso significa que você pagará mais para entregar seu conteúdo com baixa latência para usuários finais em alguns locais. As classes de preço permitem reduzir os preços da entrega excluindo os pontos de presença do Amazon CloudFront mais caros da sua distribuição do Amazon CloudFront. Nesses casos, o Amazon CloudFront fornecerá seu conteúdo a partir de pontos de presença nos locais na classe de preço que você selecionou e cobrará a definição de preços da transferência e solicitação de dados da região real onde o conteúdo foi entregue.

Se a performance for o mais importante, você não precisará fazer nada; seu conteúdo será entregue por toda a nossa rede de locais. No entanto, se você desejar usar outra classe de preço, poderá configurar sua distribuição por meio da API do Amazon CloudFront ou do Console de Gerenciamento da AWS. Se você selecionar uma classe de preço que não inclua todos os locais, alguns de seus visualizadores, especialmente aqueles em locais geográficos que não estiverem em sua classe de preço, poderão experimentar maior latência do que se seu conteúdo estivesse sendo fornecido de todas as regiões do Amazon CloudFront.

Note que o Amazon CloudFront pode ainda ocasionalmente atender solicitações para seu conteúdo de um ponto de presença em um local não incluído na sua classe de preço. Quando isso ocorrer, serão cobradas apenas as taxas para o local menos caro na sua classe de preço.

Você pode consultar a lista de localizações que compõem cada classe de preço aqui.

Pacote CloudFront Security Savings

P: O que é o Pacote CloudFront Security Savings?

O Pacote CloudFront Security Savings é um plano flexível de preços de autoatendimento que ajuda você a economizar até 30% na sua fatura do CloudFront em troca de um compromisso com uma quantidade consistente de uso mensal (por exemplo, 100 USD/mês) por um período de 1 ano.  Como benefício adicional, está incluído sem custo adicional o AWS WAF (Web Application Firewall), o que representa até 10% do valor investido no plano, para proteger os seus recursos do CloudFront.  Por exemplo, assumir um compromisso de 100 USD de uso do CloudFront por mês cobriria um valor de 142,86 USD de uso do CloudFront, o que representa uma economia de 30% em comparação com as taxas padrão. Além disso, até 10 USD de uso do AWS WAF está incluído para proteger seus recursos do CloudFront sem custo adicional a cada mês (até 10% do seu compromisso com o CloudFront).  As cobranças padrão do CloudFront e do AWS WAF aplicam-se a qualquer uso acima do valor coberto pelo seu compromisso de gastos mensais.  À medida que seu uso crescer, você poderá comprar pacotes de economia adicionais para obter descontos sobre o uso incremental. 

P: Quais tipos de uso são cobertos por um Pacote CloudFront Security Savings?

Ao adquirir um Pacote CloudFront Security Savings, você ganha uma economia de 30% que aparecerá na parte do serviço CloudFront da sua fatura mensal e que compensará qualquer tipo de uso faturado do CloudFront, incluindo transferência de dados, transferência de dados para origem, taxas de solicitação HTTP/S, solicitações de criptografia em nível de campo, Origin Shield, invalidações, SSL personalizado para IP dedicado e cobranças do Lambda@Edge.  Você também receberá benefícios adicionais que ajudam a cobrir o uso do AWS WAF associado às suas distribuições do CloudFront. 

P: Como faço para começar a usar um pacote de poupança de segurança do CloudFront?
Você pode começar a usar o Pacote CloudFront Security Savings acessando o console do CloudFront para obter recomendações sobre o valor do compromisso com base no histórico do uso do CloudFront e do AWS WAF ou inserindo seu próprio uso mensal estimado. Você obtém uma comparação entre os custos mensais do Pacote CloudFront Security Savings com os custos sob demanda e vê as economias estimadas para ajudar a escolher o plano certo para suas necessidades.  Depois de se inscrever em um Pacote CloudFront Security Savings, você será cobrado seu compromisso mensal e verá créditos aparecerem compensando suas cobranças de uso do CloudFront e do WAF.  As cobranças de serviços padrão aplicam-se a qualquer uso acima do valor coberto pelo seu compromisso de gastos mensais. 

P: O que acontecerá quando meu Pacote CloudFront Security Savings expirar após o período de 1 ano?

Quando o período do Pacote CloudFront Security Savings expirar, as cobranças de serviço padrão serão aplicadas ao uso do CloudFront e do AWS WAF.   O compromisso mensal do Pacote CloudFront Security Savings não será mais faturado, e seus benefícios não serão mais aplicáveis.  A qualquer momento antes da expiração do período do pacote, você pode optar por renovar automaticamente o Pacote CloudFront Security Savings por outro período de 1 ano.

P: Como o Pacote CloudFront Security Savings funciona com o AWS Organizations/faturamento consolidado?

O Pacote CloudFront Security Savings pode ser adquirido em qualquer conta dentro de uma família AWS Organization/faturamento consolidado.   Os benefícios do Pacote CloudFront Security Savings são aplicados como créditos à sua fatura. Os benefícios fornecidos pelo Pacote CloudFront Security Savings são aplicáveis para uso em todas as contas dentro de uma família AWS Organization/faturamento consolidado por padrão (o compartilhamento de crédito está ativado) e depende de quando a conta de assinatura ingressa em uma organização ou sai dela.  Consulte Créditos da AWS para saber mais como os créditos da AWS se aplicam a contas únicas e múltiplas.

P: Posso ter vários Pacotes CloudFront Security Savings ativos ao mesmo tempo?

Sim, você poderá comprar Pacotes CloudFront Security Savings adicionais à medida que seu uso aumentar para obter descontos no uso incremental.   Todos os Pacotes CloudFront Security Savings ativos serão levados em consideração ao calcular sua fatura da AWS.

P: Como o Pacote CloudFront Security Savings aparecerá na minha fatura?

Suas cobranças mensais de compromisso aparecerão em uma seção separada do Pacote CloudFront Security Savings na sua fatura.  O uso coberto pelo Pacote CloudFront Security Savings aparecerá nas partes do CloudFront e do WAF como créditos da sua fatura para compensar suas cobranças de uso padrão.

P: Posso receber uma notificação se meu uso exceder meu compromisso mensal do Pacote CloudFront Security Savings?

Sim. O AWS Budgets permite que você defina limites de custo e uso e receba notificações por e-mail ou tópico do Amazon SNS quando suas cobranças reais ou previstas excederem o limite.  Você pode criar um orçamento personalizado da AWS filtrado para o Serviço CloudFront e definir o limite de orçamento para o uso sob demanda do CloudFront coberto pelo seu Pacote CloudFront Security Savings para ser notificado assim que esse limite for excedido.   Para obter mais informações sobre orçamentos, consulte Gerenciar seus custos com o AWS Budgets e Criar um orçamento, no Guia do usuário do AWS Billing and Cost Management.

P: Qual parte da minha fatura do WAF está coberta pelo Pacote CloudFront Security Savings?

Como benefício adicional do Pacote CloudFront Security Savings, o uso do AWS WAF, até 10% do valor do plano comprometido, para proteger os recursos do CloudFront, está incluído sem custo adicional. As cobranças padrão do CloudFront e do AWS WAF aplicam-se a qualquer uso além do coberto pelo Pacote CloudFront Security Savings.  Regras gerenciadas do WAF inscritas no AWS Marketplace não são cobertas pelo Pacote CloudFront Security Savings.

P: E se eu já tiver um contrato de preço personalizado para o CloudFront? Também poderei assinar o Pacote CloudFront Security Savings?

Você só pode estar inscrito em um deles.  Entre em contato com seu Gerente de contas da AWS se tiver dúvidas sobre seu contrato de definição de preço personalizado.

P: Posso assinar um Pacote CloudFront Security Savings via API?

Você pode assinar o Pacote CloudFront Security Savings somente por meio do console do CloudFront.  Vamos avaliar a possibilidade de disponibilizá-lo via API como um aprimoramento futuro. 

Saiba como começar a usar o Amazon CloudFront gratuitamente

Visite a página de conceitos básicos