¿Cómo soluciono el error «CNAMEAlreadyExists» al configurar un alias de CNAME para mi distribución de CloudFront?

Breve descripción

No puede usar el mismo alias de CNAME para más de una distribución de CloudFront. Cuando el alias de CNAME que quiere añadir ya está asociado a otra distribución de CloudFront, aparece el siguiente error:

«One or more of the CNAMEs you provided are already associated with a different resource. (Service: AmazonCloudFront; Status Code: 409; Error Code: CNAMEAlreadyExists; Request ID: a123456b-c78d-90e1-23f4-gh5i67890jkl*»

Si tiene acceso a las distribuciones de origen y de destino, elimine manualmente la asociación del CNAME de la distribución de CloudFront existente. A continuación, asocie el CNAME a la nueva distribución de CloudFront.

Nota: Para asociar el CNAME de forma manual, es posible que tenga que esperar a que se implemente el estado de la distribución anterior antes de continuar.

Si no conoces el identificador de la distribución, usa la API de CloudFront ListConflictingAliases. Esto le permite encontrar información parcial sobre la distribución y el identificador de la cuenta de AWS del alias de CNAME conflictivo. A continuación, use la API AssociateAlias para mover su CNAME de la distribución existente (distribución de origen) a la nueva distribución (distribución de destino).

Utilice una de las siguientes resoluciones en función de su situación:

• Para las distribuciones de origen y destino que estén en la misma cuenta, consulte la sección Uso de la API AssociateAlias para mover el CNAME.
• Para ver las distribuciones de origen y destino entre cuentas, consulte la sección Desactivar la distribución de origen con el CNAME conflictivo.
• Si no puedes desactivar la distribución de origen debido al tiempo de inactividad del tráfico existente, consulta Utilice un comodín para mover un nombre de dominio alternativo.
  Nota: No puedes usar un comodín para mover un dominio de vértice (ejemplo.com). Para mover un dominio de vértice cuando las distribuciones de origen y destino se encuentran en diferentes cuentas, consulta Contacte a AWS Support para mover un nombre de dominio alternativo.

Resolución

Uso de la API AssociateAlias para mover el CNAME

Nota: Si se muestran errores al poner en marcha comandos de Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de AWS CLI.

Para mover su CNAME, siga estos pasos:

1. En la política de AWS Identity and Access Management (IAM) del usuario o rol que realiza la solicitud de API, añada los siguientes permisos de nivel de recurso:
   Nota: Sustituya SourceAcccount por el número de cuenta de la distribución de origen. Sustituya SourceDistroID por el identificador de la distribución de origen. Sustituye TargetAccountID por el número de cuenta de la distribución de destino. Sustituye por el identificador de distribución de destino.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudFrontCnameSwapSameAcc",
         "Effect": "Allow",
         "Action": [
           "cloudfront:GetDistribution",
           "cloudfront:ListConflictingAliases",
           "cloudfront:AssociateAlias",
           "cloudfront:UpdateDistribution"
         ],
         "Resource": [
           "arn:aws:cloudfront::SourceAcccount:distribution/SourceDistroID",
           "arn:aws:cloudfront::TargetAccount:distribution/TargetDistroID"
         ]
       }
     ]
   }

   Importante: El usuario o rol de IAM que realiza la solicitud debe tener los permisos de nivel de recurso tanto en la distribución de origen como en la distribución de destino.

2. Identifique la distribución con el CNAME conflictivo. Si no sabe qué distribución tiene el CNAME conflictivo, use la API ListConflictingAliases para encontrar la distribución:
   Nota: Sustituye YourDistributionID por el identificador de tu distribución y YourCNAME por el alias del CNAME conflictivo.

   $ aws cloudfront list-conflicting-aliases --distribution-id YourDistributionID --alias YourCNAME

3. Para verificar la propiedad del dominio, debes tener acceso de lectura a YourDistributionID. También debes tener un certificado SSL/TLS que esté asociado a la distribución de CloudFront que proteja el CNAME conflictivo. Cuando tengas todo listo para verificar la propiedad, crea un registro DNS TXT para el CNAME que se resuelva con el nombre canónico de la distribución de destino. El registro TXT debe incluir un carácter de subrayado antes del CNAME, el dominio de vértice o el comodín:

   _.example.com.         900   IN   TXT     "dexample123456.cloudfront.net"_cname.example.com.    900   IN   TXT     "dexample123456.cloudfront.net"
   _*.example.com.        900   IN   TXT     "dexample123456.cloudfront.net"

4. Compruebe que la distribución de destino tenga un certificado SSL/TLS válido.
   Nota: El nombre del sujeto o el nombre alternativo del sujeto deben coincidir o superponerse con el alias de CNAME. Se recomienda tener un certificado válido emitido por AWS Certificate Manager o una CA de confianza que figure en la lista de certificados de CA de Mozilla. Para obtener más información, consulta Mozilla's CA Certificate Program (Programa de certificación CA de Mozilla) en el sitio web de Mozilla.

5. USA la solicitud de la API AssociateAlias desde la cuenta propietaria de la distribución de destino:

   $ aws cloudfront associate-alias --target-distribution-id YourTargeDistributiontID --alias your_cname.example.com

Desactive la distribución de origen con el CNAME conflictivo

Para las distribuciones de origen y de destino que están en cuentas diferentes, desactivA la distribución de origen que está asociada al dominio conflictivo. A continuación, usA la API AssociateAlias para mover el CNAME.

Usa el comando associate-alias para mover dominios de vértice entre diferentes cuentas:

1. Abre la consola de CloudFront.
2. En el panel de navegación, elige Distribuciones.
3. Selecciona la distribución de origen y, a continuación, elige Desactivar.
   **Nota:**Si no sabe qué distribución tiene el CNAME conflictivo, use la API ListConflictingAliases para encontrar la distribución. Sustituya YourDistributionID por el identificador de su distribución y YourCNAME por el nombre del CNAME conflictivo:

   $ aws cloudfront list-conflicting-aliases --distribution-id YourDistributionID --alias YourCNAME

Nota: La API ListConflictingAliases requiere los permisos GetDistribution y ListConflictingAliases.

Tras desactivar la distribución de origen, sigue los pasos de la sección Uso de la API AssociateAlias para mover el CNAME.

Si no tienes acceso a la cuenta que contiene la distribución de origen o si no puedes desactivarla, ponte en contacto con AWS Support.

Uso de un comodín para mover el nombre de dominio alternativo

Si sus distribuciones de origen y de destino están en cuentas diferentes, pero no puede desactivar la distribución de origen, utilice un comodín para mover el CNAME. Para mover el CNAME, debe tener acceso tanto a la distribución de origen como a la distribución de destino.

Este proceso implica varias actualizaciones de las distribuciones de origen y destino. Espere a que cada distribución implemente por completo el cambio más reciente antes de continuar con el siguiente paso.

Para mover el nombre de dominio alternativo, complete los siguientes pasos:

1. Actualiza la distribución de destino para añadir un CNAME comodín que incluya el nombre de dominio alternativo que deseas mover. Si su dominio es www.example.com, añada el nombre de dominio alternativo comodín *.example.com a la distribución de destino.
   Nota: Debe tener un certificado SSL/TLS en la distribución de destino que proteja el nombre de dominio comodín.

2. Actualice la configuración de DNS del CNAME para que apunte al nombre canónico de la distribución de destino. Por ejemplo, si su dominio es www.example.com, actualice el registro DNS de www.example.com para dirigir el tráfico al nombre canónico de la distribución de destino:

   www.example.com.         86400   IN   CNAME     "dexample123456.cloudfront.net"

   Nota: Como el nombre de dominio alternativo sigue asociado a la distribución de origen, la distribución de origen sigue recibiendo las solicitudes que usan el nombre de dominio alternativo. La distribución de destino no recibirá las solicitudes (transición) hasta que elimines el nombre de dominio alternativo de la distribución de origen en el paso 3.

3. Actualiza la distribución de origen para eliminar el nombre de dominio alternativo.
   Nota: En este paso, no se interrumpe el tráfico activo. Dado que el nombre de dominio solicitado coincide con el dominio comodín que se agrega a la distribución de destino, el tráfico activo utiliza la configuración de la distribución de destino.

4. Para añadir el nombre de dominio alternativo que desea mover, actualice la distribución de destino.

5. Para validar el registro DNS del CNAME, use dig o una herramienta de consulta de DNS similar:

   dig CNAME www.example.com +shortnslookup example.com

6. (Opcional) Para eliminar el nombre de dominio alternativo comodín, actualice la distribución de destino.