如何將 CloudFront 設定為透過 HTTPS 使用替代網域名稱提供內容？

簡短描述

依預設，您只能使用 CloudFront 網域名稱來透過 HTTPS 提供內容。不過，您可以將自己的網域名稱與 CloudFront 建立關聯，以便透過 HTTPS 提供自己的內容。

若要將自己的網域名稱與 CloudFront 建立關聯，請新增 替代網域名稱 (CNAME)。

解決方案

在 AWS Certificate Manager (ACM) 中申請 SSL 憑證或匯入自己的憑證

若要使用 Amazon 簽發的憑證，請參閱申請公開憑證。

使用公開憑證時，請牢記：

• 必須在美國東部 (維吉尼亞北部) 區域申請憑證。
• 必須具有使用和申請 ACM 憑證的許可。

若要使用匯入的憑證，請參閱將憑證匯入 AWS Certificate Manager。

使用匯入的憑證時，請路澳際：

• 您的金鑰長度必須為 1024 或 2048 位元，且不得超過 2048 位元。
• 必須在美國東部 (維吉尼亞北部) 區域匯入憑證。
• 必須具有使用和匯入 SSL/TLS 憑證的許可。
• 此憑證必須由列於 Mozilla 內含 CA 憑證清單中的受信任 CA核發。
• 憑證必須採用 X.509 PEM 格式。

如需詳細資訊，請參閱搭配使用 SSL/TLS 憑證與 CloudFront 的要求。 

備註：最佳作法是將憑證匯入 ACM。然而，也可以在 IAM 憑證存放區匯入憑證。

將 SSL 憑證和替代網域名稱連接至您的分發中

1. 存取 CloudFront 主控台。
2. 選取您要更新的分發。
3. 在一般索引標籤上，選擇編輯。
4. 對於替代網域名稱 (CNAME)，請新增適用的替代網域名稱。請以逗號分隔網域名稱，或在新行中輸入每個網域名稱。
   備註：嘗試新增的替代網域不得有指向不同 CloudFront 分發的 DNS 記錄。
5. 對於 SSL 憑證，選擇自訂 SSL 憑證。然後，從清單中選擇憑證。
   備註：下拉式清單中最多可有 100 個憑證。如果您擁有 100 個以上的憑證，且想要的憑證未列出，請輸入憑證的 Amazon Resource Name (ARN)。如果您先前已將憑證上傳至 IAM 憑證存放區，但在下拉式清單中無法使用，請確認您已正確上傳憑證。
6. 如果您希望 CloudFront 使用專用 IP 位址為您的 HTTPS 內容提供服務，請開啟舊版用戶端支援。
   備註：使用舊版用戶端支援時，如果您將 SSL/TLS 憑證與已開啟設定的發佈相關聯，則會產生額外費用。如需詳細資訊，請參閱 Amazon CloudFront 定價。
7. 選擇儲存變更。

將 CloudFront 設定為在檢視器和 CloudFront 之間需要 HTTPS

1. 存取 CloudFront 主控台。
2. 在行為索引標籤上，選擇您要更新的快取行為。然後，選擇編輯。
3. 在檢視器通訊協定政策中，選擇：
   將 HTTP 重新導向至 HTTPS。檢視器可以使用這兩種通訊協定，但 HTTP 請求會自動重新導向至 HTTPS 請求。 
   -或-
   **僅限使用 HTTPS。**檢視器只有在使用 HTTPS 時才能存取您的內容。如果檢視器傳送 HTTP 請求而非 HTTPS 請求，則 CloudFront 會傳回 HTTP 狀態碼 403 (已禁止) 且不會傳回檔案。
4. 選擇儲存變更。
5. 針對您希望在檢視器和 CloudFront 之間需要使用 HTTPS 的每個額外快取行為，重複步驟 1-4。

建立 DNS 記錄以將您的網域指向 CloudFront 分發

使用 Amazon Route 53 建立別名資源記錄集。如果設定了別名資源記錄，則 Route 53 查詢不會收取任何費用。此外，您可以為根網域名稱 (example.com) 建立別名資源記錄集，而 DNS 不允許使用 CNAME。如需詳細資訊，請參閱設定 Amazon Route 53 以將流量路由到 CloudFront 分發。

使用其他 DNS 服務供應商 使用 DNS 服務供應商提供的方法，為您的網域新增 CNAME 記錄。CNAME 記錄會將 DNS 查詢從您的備用網域名稱 (例如：www.example.com) 重新導向至您分發的 CloudFront 網域名稱 (例如：example.cloudfront.net)。

---