대체 도메인 이름을 사용하여 HTTPS를 통해 내 콘텐츠를 제공하도록 CloudFront를 구성하려면 어떻게 해야 하나요?

간략한 설명

기본적으로 HTTPS를 통해 콘텐츠를 제공할 때에는 CloudFront 도메인 이름만 사용할 수 있습니다. 하지만 내 도메인 이름을 CloudFront에 연결하여 HTTPS를 통해 콘텐츠를 제공할 수 있습니다.

내 도메인 이름을 CloudFront에 연결하려면 대체 도메인 이름(CNAME)을 추가하세요.

해결 방법

AWS Certificate Manager(ACM)에서 SSL 인증서를 요청하거나 내 인증서를 가져옵니다.

Amazon에서 발행한 인증서를 사용하려면 공용 인증서 요청을 참고하세요.

공용 인증서를 사용할 때는 다음 사항에 유의하세요.

• 미국 동부(버지니아 북부) 지역에서 인증서를 요청해야 합니다.
• ACM 인증서를 사용하고 요청할 권한이 있어야 합니다.

가져온 인증서를 사용하려면 AWS Certificate Manager로 인증서 가져오기를 참고하세요.

가져온 인증서를 사용할 때는 다음 사항에 유의하세요.

• 키 길이가 1024비트 또는 2048비트여야 하며 2048비트를 초과할 수 없습니다.
• 미국 동부(버지니아 북부) 지역에서 인증서를 가져와야 합니다.
• SSL/TLS 인증서를 사용하고 가져올 권한이 있어야 합니다.
• 인증서가 Mozilla 포함 CA 인증서 목록에 포함되고 신뢰할 수 있는 CA에서 발급된 것이어야 합니다.
• 인증서가 X.509 PEM 형식이어야 합니다.

자세한 내용은 CloudFront에서 SSL/TLS 인증서를 사용할 때 필요 사항을 참고하세요.

참고: 인증서를 ACM으로 가져오는 것이 가장 좋습니다. 그러나 IAM 인증서 스토어에서도 인증서를 가져올 수 있습니다.

배포에 SSL 인증서 및 대체 도메인 이름 연결

1. CloudFront 콘솔을 엽니다.
2. 업데이트하려는 배포를 선택합니다.
3. 일반 탭에서 편집을 선택합니다.
4. **대체 도메인 이름(CNAME)**에 대체 도메인 이름을 추가합니다. 도메인 이름을 구분할 때는 쉼표를 사용하거나 새 줄에 각 도메인 이름을 입력합니다.
   참고: 추가하는 대체 도메인에 다른 CloudFront 배포를 가리키는 DNS 레코드가 없어야 합니다.
5. SSL 인증서에 사용자 지정 SSL 인증서를 선택합니다. 그 후 목록에서 인증서를 선택합니다.
   참고: 드롭다운 목록에 사용할 수 있는 인증서가 최대 100개 표시됩니다. 인증서가 100개 이상 있고 원하는 인증서를 목록에서 찾을 수 없는 경우 Amazon 리소스 이름(ARN)을 입력하세요. 이전에 IAM 인증서 스토어에 인증서를 업로드했는데 드롭다운 목록에 없는 경우 인증서를 올바르게 업로드했는지 확인하세요.
6. CloudFront에서 전용 IP 주소를 사용해 HTTPS 콘텐츠를 제공하도록 하려면 레거시 클라이언트 지원을 활성화하세요.
   참고: 레거시 클라이언트 지원을 사용할 때, 이 설정이 켜진 배포에 SSL/TLS 인증서를 연결하면 추가 요금이 발생합니다. 자세한 내용은 Amazon CloudFront 가격 책정을 참고하세요.
7. 변경 사항 저장을 선택합니다.

뷰어와 CloudFront 간에 HTTPS가 필요하도록 CloudFront를 구성합니다.

1. CloudFront 콘솔을 엽니다.
2. 동작 탭에서 업데이트하려는 캐시 동작을 선택합니다. 그리고 편집을 선택합니다.
3. 뷰어 프로토콜 정책에서 다음을 선택합니다.
   HTTP를 HTTPS로 리디렉션 뷰어는 두 프로토콜을 모두 사용할 수 있으나 HTTP 요청은 자동으로 HTTPS 요청으로 리디렉션됩니다.
   -또는-
   HTTPS 전용 HTTPS를 사용하는 뷰어만 콘텐츠에 액세스할 수 있습니다. 뷰어가 HTTPS 대신 HTTP 요청을 보내면 CloudFront에서 HTTP 상태 코드 403(금지됨)을 나타내며 파일을 반환하지 않습니다.
4. 변경 사항 저장을 선택합니다.
5. 뷰어와 CloudFront 간에 HTTPS에서 필요하도록 하려는 추가 캐시 동작마다 1~4단계를 반복합니다.

도메인이 CloudFront 배포를 가리키도록 DNS 레코드를 생성합니다.

별칭 리소스 레코드 세트를 생성합니다. 별칭 리소스 레코드 세트를 사용하면 Route 53 쿼리에 요금이 부과되지 않습니다. 루트 도메인 이름(example.com)에도 별칭 리소스 레코드 세트를 생성할 수 있는데, DNS에서는 CNAME을 허용하지 않습니다. 자세한 내용은 CloudFront 배포로 트래픽을 라우팅하도록 Amazon Route 53 구성을 참고하세요.

다른 DNS 서비스 공급자 사용

도메인에 CNAME 레코드를 추가하려면 해당 DNS 서비스 공급업체가 제공하는 방법에 따릅니다. CNAME 레코드는 배포할 때 대체 도메인 이름(예: www.example.com)에서 CloudFront 도메인 이름(예: example.cloudfront.net)으로 DNS 쿼리를 리디렉션합니다.