Amazon CloudFront の主な特徴

高い信頼性、低レイテンシー、高スループットのネットワーク接続

ネットワーク接続とバックボーン

Amazon CloudFront は、世界中の何千もの Tier 1/2/3 のテレコムキャリアとピアリングし、すべての主要なアクセスネットワークと良好に接続されて最適なパフォーマンスを実現するほか、数百テラビットの容量がデプロイされています。CloudFront エッジロケーションは、完全冗長な AWS ネットワークバックボーンを介して AWS リージョンにシームレスに接続されます。このバックボーンは、世界中に張り巡らされた複数の 400 GbE パラレルファイバーで構成され、何万ものネットワークとインターフェイスすることで、オリジンフェッチの向上と動的コンテンツの高速化を実現します。

Amazon CloudFront には、エンドユーザーに高いパフォーマンスのコンテンツをセキュアに配信するための 3 種類のインフラストラクチャがあります。

• CloudFront のリージョン別エッジキャッシュ (REC) は、AWS リージョン内、アプリケーションのウェブサーバーと CloudFront Points of Presence (POP) および埋め込み Points of Presence の間に配置されます。CloudFront には世界中で 13 の REC があります。
• CloudFront Points of Presence は AWS ネットワーク内に配置され、インターネットサービスプロバイダー (ISP) ネットワークとピアリングしています。CloudFront は、50 か国以上、100 以上の都市に 600 以上の POP を所有しています。
• CloudFront 埋め込み Points of Presence は、エンドビューアーに最も近い場所の、インターネットサービスプロバイダー (ISP) ネットワーク内に配置されます。CloudFront POP に加えて、北米、欧州、アジアの 200 以上の都市に 600 以上の埋め込み POP があります。

中国の Amazon CloudFront の詳細はこちら >>

ネットワークおよびアプリケーションレイヤーの攻撃に対する保護
Amazon CloudFront、AWS Shield、AWS Web Application Firewall (WAF)、および Amazon Route 53 ではシームレスに連携して、ネットワークやアプリケーションレイヤーの DDoS 攻撃などの複数の種類の攻撃に対して、柔軟で階層化されたセキュリティ境界を作成します。これらのサービスはすべて AWS エッジに共存しており、アプリケーションとコンテンツに対してスケーラブルで信頼性が高く、高性能なセキュリティ境界を実現します。CloudFront をアプリケーションとインフラストラクチャへの「フロントドア」として使用することで、主要な攻撃対象領域を重要なコンテンツやデータ、コード、インフラストラクチャから遠ざけることができます。DDoS 耐性に対する AWS のベストプラクティスの詳細について学びます。

SSL/TLS 暗号化と HTTPS
Amazon CloudFront では、最新バージョンのトランスポート層セキュリティ (TLSv1.3) を使用して、コンテンツ、API、またはアプリケーションを HTTPS 経由で配信し、ビューアクライアントと CloudFront 間の通信を暗号化し保護できます。AWS Certificate Manager (ACM) で独自 SSL 証明書を簡単に作成し、CloudFront ディストリビューションに無料でデプロイできます。証明書の更新は ACM によって自動的に処理されるため、手動更新プロセスの諸費用を節約できます。さらに CloudFront には、フル/ハーフブリッジ HTTPS 接続、OCSP 機能追加、セッションチケット、Perfect Forward Secrecy、TLS プロトコルの強制適用、フィールドレベルの暗号化など、多数の TLS 最適化および高度な機能があります。

アクセスコントロール
Amazon CloudFront では、さまざまな機能を使用してコンテンツへのアクセスを制限できます。署名付き URL と署名付き Cookie で、認証されたビューワーにのみアクセスを制限するように、トークン認証をサポートしています。地域制限機能を使用すると、CloudFront を通じて配信しているコンテンツについて、特定地域のユーザーによるアクセスを回避できます。オリジンアクセスアイデンティティ (OAI) では、CloudFront からのみアクセスできるように、Amazon S3 バケットへのアクセスを制限できます。詳細はこちら。

コンプライアンス
CloudFront のインフラストラクチャ (CloudFront 埋め込み POP を除く) とプロセスはいずれも PCI-DSS Level 1、HIPAA、ISO 9001、ISO/IEC 27001:2013、27017:2015、27018:2019、SOC (1、2 および 3)、FedRAMP Moderate などに準拠しており、機密性の高いデータでも安全に配信できます。

Origin Shield 
多くの場合で、ウェブアプリケーションは、アクティビティのピーク時のトラフィックの急増に対応する必要があります。Amazon CloudFront は、アプリケーションオリジンリクエストの量を自動的に削減します。コンテンツは CloudFront のエッジキャッシュとリージョナルキャッシュに保存され、必要な場合にのみオリジンから取得します。Origin Shield を使用して一元化されたキャッシュレイヤーを有効にすることで、アプリケーションオリジンの負荷をさらに減らすことができます。Origin Shield はキャッシュヒット率を最適化し、リージョン間でリクエストを閉じて、オブジェクトごとに 1 つのオリジンリクエストを作成します。オリジンへのトラフィックが減少することで、アプリケーションの可用性を高めるのに役立ちます。

オリジンの冗長性を有効化する
CloudFront は、バックエンドアーキテクチャの冗長性のために複数のオリジンをサポートしています。プライマリオリジンが使用できない場合は、CloudFront のネイティブオリジンフェイルオーバー機能を使用して、バックアップオリジンからコンテンツを自動的に配信することができます。オリジンフェイルオーバーで設定したオリジンは、EC2 インスタンス、Amazon S3 バケット、メディアサービスなどの AWS オリジンや、オンプレミス HTTP サーバーなどの非 AWS オリジンの任意の組み合わせです。さらに、こちらのように CloudFront と Lambda@Edge を使用して、高度なオリジンフェイルオーバー機能を実装できます。

CloudFront Functions

Amazon CloudFront は、CloudFront Functions および AWS Lambda@Edge を介してプログラム可能で安全なエッジ CDN コンピューティング機能を提供します。CloudFront Functions は、HTTP ヘッダー操作、URL の書き換え/リダイレクト、キャッシュキーの正規化などの大規模でレイテンシーに敏感な操作に最適です。このようなタイプの短期間の軽量操作は、多くの場合、予測不可能でスパイクの多いトラフィックをサポートします。例えば、CloudFront Functions を使用して、受信リクエストの Accept-Language ヘッダーに基づいて、サイトの言語固有のバージョンにリクエストをリダイレクトすることができます。これらの関数は CloudFront のすべてのエッジロケーションで実行されるため、レイテンシーのオーバーヘッド (通常は 1 ミリ秒未満) を最小限に抑えながら、1 秒あたり数百万のリクエストに即座に拡張できます。 また、グローバルで低レイテンシーのキーバリューデータストアである CloudFront KeyValueStore を利用して、CloudFront Functions 内からルックアップデータを保存および取得することもできます。CloudFront KeyValueStore は、独立したデータ更新を可能にすることで、CloudFront Functions をよりカスタマイズできるようにします。 

Lambda@Edge

AWS Lambda@Edge は、幅広いコンピューティングニーズとカスタマイズをサポートする汎用サーバーレスコンピューティング機能です。Lambda@Edge は、コンピューティングが多い操作に最適です。これは、完了に時間がかかる (数ミリ秒～数秒)、外部のサードパーティライブラリと依存関係にある、他の AWS のサービス (S3、DynamoDB など) との統合が必要、またはデータ処理のためのネットワーク呼び出しが必要といったコンピューティングである可能性があります。よく見られる高度なユースケースには、HLS ストリーミングマニフェストの操作、サードパーティ承認やボット検出サービスとの統合、エッジでのシングルページアプリ (SPA) のサーバー側レンダリング (SSR) などがあります。詳細はこちら >>

リアルタイムでのメトリクス
Amazon CloudFront は Amazon CloudWatch と統合しており、ディストリビューションごとに 6 つの運用メトリスを自動的に公開します。これらは、CloudFront コンソールの一連のグラフに表示されます。コンソールをクリックするか、API を介して、詳細なメトリクスを追加して利用できます。

標準およびリアルタイムのログ記録
CloudFront には、ディストリビューションから配信されるリクエストを、標準ログとリアルタイムログに記録するための 2 つの方法があります。標準ログは、選択した Amazon S3 バケットに配信されます (ログ記録は、ビューワーリクエストから数分以内に配信されます)。CloudFront が有効になっているときは、詳細なログ情報が W3C 拡張形式で、指定の Amazon S3 バケットに自動的に公開されます。CloudFront リアルタイムログは、Amazon Kinesis Data Streams で選択したデータストリームに配信されます (ログ記録は、ビューワーリクエストから数秒以内に配信されます)。リアルタイムログのサンプリング率、つまり、リアルタイムのログ記録を受信するリクエストの割合を選択できます。CloudFront のログ記録機能の詳細についてはこちらをご覧ください。

高速変更の伝播と無効化
CloudFront は数分で、迅速な変更の伝播と無効化を行います。通常、変更は数分のうちにエッジに伝播し、無効化時間は 2 分未満です。

フル機能 API および DevOps ツール
Amazon CloudFront は、CloudFront ディストリビューションを作成、設定、および管理するためのフル機能の API をデベロッパーに提供します。さらに、デベロッパーは、Amazon CloudFront を使用してワークロードを設定およびデプロイするための AWS CloudFormation、CodeDeploy、CodeCommit、および AWS SDK などのさまざまなツールにアクセスできます。

エッジの動作
CloudFront ディストリビューションは、CloudFront がリクエストを処理する方法や、適用する機能を管理する複数の動作を使用して設定できます。CloudFront のキャッシュ方法、CloudFront がオリジンと通信する方法、オリジンに転送されるヘッダーやメタデータ、柔軟なキャッシュキー操作によるコンテンツバリアントの作成、圧縮モードの選択、HTTP レスポンスに追加するヘッダーなど、CloudFront の動作をカスタマイズできます。組み込みのデバイス検出機能を使用して、CloudFront はデバイスタイプ (デスクトップ、タブレット、スマート TV、またはモバイルデバイス) を検出し、その情報を新しい HTTP ヘッダーの形式でアプリケーションに渡して、コンテンツの種類やその他のレスポンスを簡単に調整できます。また、Amazon CloudFront では、レスポンスをさらにカスタマイズするために、リクエストしているユーザーの国レベルの場所を検出することもできます。

CloudFront を使用した継続的デプロイにより、デプロイの安全性を高いレベルで実現します。ブルー、グリーンという 2 つの独立した同一環境をデプロイできるようになりました。また、ドメインネームシステム (DNS) を変更せずにリリースを段階的に展開する機能を使用して、継続的インテグレーションおよびデリバリー (CI/CD) パイプラインに簡単に統合できます。ビューワーセッションを同じ環境にバインドすることで、セッション維持機能によりビューワーが一貫した体験を得られるようにします。さらに、標準ログとリアルタイムログをモニタリングすることで、変更のパフォーマンスを比較できます。その変更がサービスに悪影響を与える場合は、以前の設定にすばやく戻すことが可能です。この機能の一般的なユースケースとしては、下位互換性のチェック、デプロイ後の検証、より小さなグループのビューワーでの新機能の検証などがあります。詳細はこちら >>

使用レベルごとの料金オプション
CloudFront は、従量制料金、CloudFront Security Savings Bundle、カスタム料金設定など、パーソナライズされた料金オプションを提供します。従量制料金はシンプルで、前払い料金はかかりません。割引をお求めの場合は、CloudFront Security Savings Bundle を使用すると、1 年間にわたって月間最低使用量を確約いただくことと引き換えに CloudFront の請求額を最大 30% 節約できます。Savings Bundle には、毎月の確約支出のうち最大 10% まで無料で利用できる AWS WAF 使用量も含まれています。一定の最小トラフィックコミットメント (通常は 10 TB 超え/月) を行う予定のお客様のために、プライベートコミット料金で追加の割引も用意しています。
Amazon CloudFront の料金の詳細はこちら。

オリジンフェッチ向けの AWS クラウドサービスと Amazon CloudFront の間のデータ転送が無料
Amazon S3、Amazon EC2、Elastic Load Balancing などの AWS オリジンをご使用の場合、オリジンから CloudFront エッジロケーションに転送されるデータに対する料金はかかりません (このタイプのデータ転送は、オリジンフェッチとも言います)。Amazon CloudFront のすべての機能の詳細とそれらの設定方法については、Amazon CloudFront デベロッパーガイドをご参照ください。

オリジンの運用コストの削減
すべてのオリジンが同じ作業を伴うとは限りません。ジャストインタイムパッケージングなど、ストレージからコンテンツをフェッチするよりも 1GB あたりのコンピューティングコストが高い処理が含まれる場合もあります。CloudFront は、オリジンの運用上の負担とコストを軽減するために、追加コストなしでリージョン別エッジキャッシュを提供しています。オリジンフェッチの数を最小限に抑えるため、Origin Shield を使用してオリジン関連のコストをさらに削減できます。Origin Shield はキャッシュヒット率を最適化し、リージョン全体でリクエストを閉じるための集中型キャッシュを提供し、オブジェクトごとに 1 つのオリジンリクエストを作成します。

詳細はこちら >>

Amazon CloudFront のお知らせをすべて見る >>