Fonctionnalités principales d'Amazon CloudFront

  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Skip Map
    List view
  • Amérique du Nord
  • Skip Map
    List view
  • Amérique du Sud
  • Skip Map
    List view
  • Europe
  • Skip Map
    List view
  • Moyen-Orient
  • Skip Map
    List view
  • Afrique
  • Skip Map
    List view
  • Asie-Pacifique
  • Skip Map
    List view
  • Australie et Nouvelle-Zélande
  • Skip Map
    List view

Réseau Global Edge

Fiable, latence faible et connectivité réseau à débit élevé

Connectivité réseau et dorsale

Amazon CloudFront s'associe avec des milliers d'opérateurs télécom 1/2/3 Tier dans le monde, est bien connecté à tous les réseaux d'accès majeurs pour des performances optimales, et dispose d'une capacité déployée de centaines de téraoctets. Les emplacements périphériques CloudFront sont connectés de manière fluide aux régions AWS via la dorsale du réseau AWS entièrement redondant. Cette dorsale est composée de plusieurs fibres parallèles 400 GbE réparties dans le monde entier et s'interface avec des dizaines de milliers de réseaux pour améliorer la récupération d'origine et accélérer le contenu dynamique.

Amazon CloudFront dispose de trois types d'infrastructure pour diffuser en toute sécurité du contenu hautement performant aux utilisateurs finaux :

  • Les caches périphériques régionaux (REC) CloudFront sont situés dans les régions AWS, entre le serveur Web de vos applications et les points de présence (POP) CloudFront et les points de présence intégrés. CloudFront compte 13 CER dans le monde.
  • Les points de présence CloudFront sont situés au sein du réseau AWS et sont homologues aux réseaux de fournisseur de services Internet (FSI). CloudFront dispose de plus de 600 POP dans plus de 100 villes à travers plus de 50 pays.
  • Les points de présence intégrés de CloudFront sont situés au sein des réseaux des fournisseurs de services Internet (FSI), au plus près des utilisateurs finaux. Outre les POP CloudFront, il existe plus de 600 POP intégrés dans plus de 200 villes en Amérique du Nord, en Europe et en Asie.

En savoir plus sur Amazon CloudFront en Chine

Sécurité

Protection contre les attaques des couches réseau et application
Amazon CloudFront, AWS Shield, AWS Web Application Firewall (WAF) et Amazon Route 53 fonctionnent de concert et en toute transparence afin de créer un périmètre de sécurité flexible et multicouche contre les différents types d’attaques, dont les attaques DDoS contre les couches réseau et application. Tous ces services co-résident avec la périphérie d'AWS et fournissent un périmètre de sécurité évolutif, fiable et aux performances élevées pour les applications et contenus. Avec CloudFront comme « porte d'entrée » de l'application et de l'infrastructure, la surface d'attaque principale est exclue des contenus, données, codes et infrastructures critiques. En savoir plus sur les bonnes pratiques AWS pour la résistance aux attaques DDoS.

Avec Amazon CloudFront, le contenu, les API ou les applications peuvent être fournies sur HTTPS en utilisant la dernière version de Transport Layer Security (TLSv1.3) pour chiffrer et sécuriser la communication entre les clients utilisateurs et CloudFront. AWS Certificate Manager (ACM) peut être utilisé pour créer facilement un certificat SSL personnalisé et déployer une distribution CloudFront gratuitement. ACM gère automatiquement le renouvellement des certificats, en éliminant les frais généraux et les coûts associés à un processus de renouvellement manuel. De plus, CloudFront fournit un certain nombre d’optimisations et de capacités avancées de TLS, comme les connexions HTTPS avec semi pont/pont complet, le stapling OCSP, les tickets de session, la confidentialité persistante parfaite, les impositions de protocole TLS et le chiffrement au niveau du champ.

Avec Amazon CloudFront, l'accès à vos contenus via un certain nombre de capacités est limité. Avec les URL et les cookies signés, l'authentification des jetons peut être prise en charge afin de limiter l'accès aux visionneuses authentifiées uniquement. La capacité de restriction géographique permet d'empêcher les utilisateurs situés dans des emplacements géographiques spécifiques d'accéder à des contenus diffusés via CloudFront. Avec la fonctionnalité Origin Access Identity (OAI), l'accès au compartiment Amazon S3 peut être limité, pour qu'il soit uniquement accessible depuis CloudFront. En savoir plus.

L’infrastructure (à l’exception des POP intégrés à CloudFront) et les processus CloudFront sont tous conformes aux normes PCI-DSS Niveau 1, HIPAA et ISO 9001, ISO/IEC 27001:2013, 27017:2015, 27018:2019, SOC (1, 2 et 3), FedRAMP Moderate et bien d’autres, , afin de garantir la diffusion sécurisée des données sensibles.

Disponibilité

Origin Shield

Les applications Web se heurtent souvent à des pics de trafic au cours des pics d'activité. Si vous utilisez Amazon CloudFront, le volume de requêtes d'origines d'application est automatiquement réduit. Le contenu est stocké dans les caches régionaux et périphériques de CloudFront, et il n'est extrait des origines que lorsque cela s'avère nécessaire. La charge sur les origines d'applications peut être réduite davantage grâce à l'utilisation d'Origin Shield, permettant l'application d'une couche de mise en cache centralisée. Origin Shield optimise les taux de succès de cache et réduit les demandes à travers les régions, permettant d'obtenir seulement une demande d'origine par objet. Ce trafic réduit sur vos origines vous permet d'augmenter la disponibilité de vos applications.

Activation de la redondance pour les origines

CloudFront prend en charge de multiples origines pour l'architecture back-end redondante. La capacité native de basculement d’origines de CloudFront sert automatiquement les contenus depuis une origine de sauvegarde lorsque l’origine principale n’est pas disponible. Les origines configurées avec le basculement d'origines peuvent être une combinaison d'origines AWS comme les instances EC2, les compartiments Amazon S3 ou les Media Services, ou les origines autres qu'AWS comme un serveur HTTP local. En outre, vous pouvez implémenter des capacités de basculement d’origines avancées avec CloudFront et Lambda@Edge.

Informatique de périphérie

Fonctions CloudFront

Amazon CloudFront offre des capacités de calcul CDN périphérique programmables et sécurisées via CloudFront Functions et AWS Lambda@Edge. CloudFront Functions convient parfaitement aux opérations à grande échelle et sensibles à la latence, telles que les manipulations d'en-tête HTTP, les réécritures et redirections d'URL et les normalisations de cache-clés. Ces opérations légères et de courte durée prennent en charge le trafic qui connait souvent des pics et qui est imprévisible. Par exemple, vous pouvez utiliser CloudFront Functions pour rediriger les demandes vers des versions spécifiques à une langue de votre site Web en fonction de l'en-tête Accept-Language de la demande entrante. Puisque ces fonctions s'exécutent sur tous les emplacements périphériques CloudFront, elles peuvent instantanément atteindre des millions de demandes par seconde avec une surcharge de latence minimale, généralement inférieure à une milliseconde. Vous pouvez également utiliser CloudFront KeyValueStore, un magasin de données de valeurs clés mondial à faible latence pour stocker et récupérer les données de recherche depuis les fonctions CloudFront. CloudFront KeyValueStore rend les fonctions CloudFront plus personnalisables en permettant des mises à jour indépendantes des données.

Lambda@Edge

AWS Lambda@Edge est une fonctionnalité de calcul sans serveur à usage général qui prend en charge une vaste gamme de besoins de calcul et de personnalisations. Lambda@Edge convient davantage pour les opérations intensives de calcul. Il peut s'agir de calculs qui ont besoin de plus de temps avant d'être complétés (de plusieurs millisecondes à quelques secondes), qui prennent des dépendances sur des bibliothèques tierces externes, qui nécessitent des intégrations à d'autres services AWS (S3, DynamoDB, etc.), ou qui nécessitent des appels réseaux pour le traitement des données. Certains des cas d'utilisation avancés les plus connus incluent la manipulation de manifeste HLS en streaming, les intégrations à l'autorisation tierce et aux services de détection de robots, le rendu côté serveur (SSR) des applications à page unique (SPA) à la périphérie, etc.

Métriques et journalisation des évènements en temps réel

Métriques en temps réel

Amazon CloudFront est intégré à Amazon CloudWatch, et publie automatiquement six métriques opérationnelles par distribution, qui sont présentées dans un ensemble de graphiques de la console CloudFront. Des métriques granulaires supplémentaires sont disponibles d’un simple clic sur la console ou via l’API.

Journalisation standard et en temps réel

CloudFront propose deux façons d'enregistrer les demandes qui sont distribuées depuis vos distributions : journaux standard et journaux en temps réel. Les journaux standard sont distribués vers le compartiment Amazon S3 de votre choix (les enregistrements des journaux sont distribués dans les minutes qui suivent la demande de l'utilisateur). Une fois activé, CloudFront publie automatiquement les informations de journaux détaillées au format W3C étendu dans un compartiment Amazon S3 que vous spécifiez. Les journaux en temps réel CloudFront sont distribués vers le flux de données de votre choix dans Amazon Kinesis Data Streams (les enregistrements des journaux sont distribués quelques secondes après la demande de l'utilisateur). Vous pouvez choisir le taux d'échantillonnage de vos journaux en temps réel, c'est-à-dire le pourcentage de demandes pour lesquelles vous souhaitez recevoir des journaux en temps réel.