Questions d'ordre général

Q : Qu'est-ce qu'Amazon CloudFront ?

Amazon CloudFront est un service Web qui permet aux entreprises et aux développeurs d'applications Web de distribuer facilement et d’une manière économique du contenu avec une faible latence et des vitesses de transfert de données élevées. Comme tous les autres services AWS, Amazon CloudFront est une offre en libre-service, à la carte, ne nécessitant pas d'engagement à long terme ou de frais minimum. Avec CloudFront, vos fichiers sont diffusés aux utilisateurs finaux par le biais d'un réseau mondial d'emplacements périphériques.

Q : Que puis-je faire grâce à Amazon CloudFront ?

Amazon CloudFront fournit une API simple qui vous permet d'effectuer les tâches suivantes :

  • Distribuer le contenu avec une faible latence et des vitesses élevées de transfert de données en servant les demandes grâce à un réseau d'emplacements périphériques dans le monde entier.
  • Démarrer sans négocier de contrats et sans engagements minimum.

Q : Comment démarrer avec Amazon CloudFront ?

Cliquez sur le bouton « Créer un compte gratuit » sur la page de présentation détaillée d'Amazon CloudFront. Si vous choisissez d'utiliser un autre service AWS comme origine pour les fichiers diffusés par le biais d'Amazon CloudFront, vous devez vous y inscrire pour pouvoir créer des distributions Amazon CloudFront.

Q : Comment utiliser Amazon CloudFront ?

Pour utiliser Amazon CloudFront, vous devez :

  • Pour les fichiers statiques, conservez les versions définitives de vos fichiers sur un ou plusieurs serveurs d'origine, par exemple, dans des compartiments Amazon S3. Pour votre contenu généré dynamiquement qui est personnalisé ou customisé, vous pouvez utiliser Amazon EC2, ou tout autre serveur Web, en tant que serveur d'origine. Ces serveurs d'origine conservent ou génèrent votre contenu qui est ensuite diffusé via Amazon CloudFront.
  • Enregistrer vos serveurs d'origine avec Amazon CloudFront par le biais d'un simple appel d'API. Cet appel renvoie un nom de domaine CloudFront.net que vous pouvez utiliser pour distribuer le contenu depuis vos serveurs d'origine via le service Amazon CloudFront. Ainsi, vous pouvez enregistrer un compartiment Amazon S3 (nomcompartiment.s3.amazonaws.com) comme origine pour l'ensemble de votre contenu statique et une instance Amazon EC2 (dynamique.monserveurdorigine.com) pour la totalité de votre contenu dynamique. À l'aide de l'API ou d'AWS Management Console, vous pouvez ensuite créer une distribution Amazon CloudFront qui renvoie, par exemple, abc123.cloudfront.net comme nom de domaine de la distribution.
  • Incluez le nom de domaine cloudfront.net, ou un alias CNAME que vous créez, dans votre application Web, votre lecteur multimédia ou votre site Web. Chaque requête réalisée à l'aide du nom de domaine cloudfront.net (ou l'alias CNAME que vous avez configuré) est acheminée vers l'emplacement périphérique le plus approprié pour diffuser le contenu avec le plus haut niveau de performances. L'emplacement périphérique tente alors de répondre à la requête avec une copie locale du fichier. Si aucune copie locale n'est disponible, Amazon CloudFront obtient une copie auprès de l'origine. Cette copie sera ensuite disponible sur les emplacements périphériques pour les demandes futures.

Q : Comment Amazon CloudFront fournit-il une performance plus élevée ?

Amazon CloudFront emploie un réseau mondial d'emplacements périphériques et de caches périphériques régionaux qui mettent en cache des copies de votre contenu à proximité de vos utilisateurs. Amazon CloudFront veille à ce que les requêtes des utilisateurs finaux soient servies par l'emplacement périphérique le plus proche. Les requêtes des utilisateurs ont ainsi moins de distance à parcourir, et les performances s'en trouvent améliorées côté utilisateur. Pour les fichiers non mis en cache sur les emplacements périphériques et les caches périphériques régionaux, Amazon CloudFront maintient une connexion persistante à vos serveurs d'origine afin que ces fichiers puissent en être extraits au plus vite. Enfin, Amazon CloudFront réalise certaines optimisations supplémentaires, notamment une fenêtre de congestion initiale TCP plus large, afin de fournir un plus haut niveau de performances lors de la diffusion de votre contenu.

Q : Comment Amazon CloudFront réduit-il mes coûts pour distribuer du contenu sur Internet?

Comme les autres services AWS, Amazon CloudFront ne requiert aucun engagement minimum et ne vous facture que les ressources utilisées. Comparé à un hébergement en interne, Amazon CloudFront vous évite les dépenses et les tâches complexes liées à l'exploitation d'un réseau de serveurs de cache sur des sites multiples via Internet et vous permet de ne pas avoir à surdimensionner vos capacités afin de faire face à d'éventuels pics de trafic. Amazon CloudFront utilise également des techniques telles que le regroupement des demandes simultanées concernant un même fichier à un emplacement périphérique donné en une seule requête vers votre serveur d'origine. Cela permet de réduire la charge sur vos serveurs d'origine, ce qui vous évite d'avoir à mettre à l'échelle votre infrastructure d'origine et vous permet de réduire davantage les coûts.

En outre, depuis le 1er décembre 2014, si vous utilisez une origine AWS (par exemple, Amazon S3, Amazon EC2, etc.), le transfert de données AWS vers Amazon CloudFront ne vous est plus facturé. Cela concerne le transferts de données à partir de l'ensemble des régions AWS vers tous les emplacements périphériques CloudFront dans le monde.

Q : Comment Amazon CloudFront permet-il d'accélérer l'exécution de la totalité de mon site Web ?

Amazon CloudFront utilise les en-têtes de contrôle du cache standard que vous configurez dans vos fichiers pour déterminer s'il s'agit d'un contenu statique ou dynamique. En diffusant la totalité de votre contenu via une distribution Amazon CloudFront unique, vous pouvez plus facilement garantir l'optimisation des performances pour l'ensemble de votre site Web ou de votre application Internet. De plus, avec des origines AWS, vous tirez profit des performances accrues, de la fiabilité et de la simplicité d'utilisation résultant de la capacité d'AWS à assurer le suivi et le réacheminement des demandes en transit vers les origines, à surveiller l'état de santé du système et à répondre rapidement en cas de problème. Vous bénéficiez ainsi des avantages de l'intégration d'Amazon CloudFront avec les autres services AWS. Vous pouvez également utiliser différentes origines pour vos différents types de contenu sur un même site. Par exemple, vous utilisez Amazon S3 pour vos objets statiques, Amazon EC2 pour le contenu dynamique et des origines personnalisées pour le contenu tiers, le tout en payant uniquement en fonction de votre utilisation.

Q : En quoi Amazon CloudFront diffère-t-il d'Amazon S3 ?

Amazon CloudFront est un bon choix pour la distribution de tout contenu statique consulté fréquemment via une diffusion périphérique, notamment pour des images de sites Web, des vidéos, des fichiers multimédia ou des téléchargements de logiciels populaires.

Q : En quoi Amazon CloudFront diffère-t-il des solutions de diffusion de contenu traditionnelles ?

Amazon CloudFront vous permet de profiter rapidement des avantages d'une diffusion de contenu haute performance sans contrats négociés ni prix élevés. Amazon CloudFront permet à tous les développeurs d'avoir accès à des tarifs peu élevés, payables à l'utilisation, avec un modèle en libre-service. Les développeurs profitent également d'une étroite intégration avec les autres Amazon Web Services. La solution est simple à utiliser avec Amazon S3, Amazon EC2 et Elastic Load Balancing en tant que serveurs d'origine, offrant ainsi aux développeurs une combinaison puissante de stockage durable et de diffusion haute performance. Amazon CloudFront s'intègre également à Amazon Route 53 et AWS CloudFormation pour accroître encore les performances et faciliter la configuration.

Q : Quels types de contenu Amazon CloudFront prend-il en charge ?

Amazon CloudFront prend en charge le contenu qui peut être envoyé en utilisant les protocoles HTTP ou WebSocket. Cela inclut les pages Web et les applications dynamiques, telles que les pages HTML ou PHP ou les applications WebSocket, et tous les fichiers statiques courants qui font partie de votre application Web, tels que les images de sites Web, les fichiers audio, vidéo, média ou les téléchargements de logiciels. Amazon CloudFront prend également en charge le déploiement de la diffusion de contenu multimédia en direct ou à la demande sur HTTP.

Q : Amazon CloudFront fonctionne-t-il avec les serveurs qui ne sont pas d'origine AWS ?

Oui. Amazon CloudFront fonctionne avec tous les serveurs d'origine qui renferment les versions définitives d'origine de votre contenu, qu'il soit statique ou dynamique. Aucuns frais supplémentaires ne sont appliqués si vous utilisez une origine personnalisée.

Q : Comment Amazon CloudFront permet-il la redondance de l'origine ?

Pour chaque origine que vous ajoutez à une distribution CloudFront, vous pouvez affecter une origine de secours qui peut être utilisée pour diffuser automatiquement votre trafic si l'origine principale n'est pas disponible. Vous pouvez choisir une combinaison de codes d'état HTTP 4xx/5xx qui, lorsqu'ils sont renvoyés de l'origine principale, déclenchent le basculement vers l'origine de secours. Les deux origines peuvent être n'importe quelle combinaison d'origines AWS et non-AWS.

Q : Amazon CloudFront propose-t-il un contrat de niveau de service (SLA) ?

Oui. Le SLA d'Amazon CloudFront fournit un crédit de service si le pourcentage de disponibilité mensuelle d'un client est inférieur à notre engagement de service au cours de n'importe quel cycle de facturation. Vous trouvez des informations supplémentaires ici.

Q : Puis-je utiliser AWS Management Console avec Amazon CloudFront ?

Oui. Vous pouvez utiliser AWS Management Console pour configurer et gérer Amazon CloudFront par le biais d'une interface Web pointer-et-cliquer simple. AWS Management Console prend en charge la plupart des fonctions d'Amazon CloudFront et vous permet de bénéficier de la faible latence d'Amazon CloudFront sans écrire de code ou installer de logiciel. L'accès à AWS Management Console est gratuit sur https://console.thinkwithwp.com.

Q : Quels outils et bibliothèques fonctionnent avec Amazon CloudFront ?

Vous trouverez différents outils pour gérer votre distribution et vos bibliothèques Amazon CloudFront pour divers langages de programmation dans notre centre de ressources.

Q : Est-il possible que mon summit de zone ou « apex » (exemple.com au lieu de www.exemple.com) pointe vers ma distribution Amazon CloudFront ?

Oui. À l'aide d'Amazon Route 53, le service DNS d'autorisation d'AWS, vous pouvez configurer un enregistrement « Alias » qui vous permet de mapper l'apex ou la racine (exemple.com) de votre nom DNS à votre distribution Amazon CloudFront. Amazon Route 53 répondra ensuite à chaque demande d'enregistrement Alias avec les adresses IP appropriées pour votre distribution CloudFront. Route 53 ne facture pas les demandes d'enregistrement « Alias » mappées avec une distribution CloudFront. Ces requêtes sont répertoriées sous « Intra-AWS-DNS-Queries » (Requêtes intra-DNS-AWS) dans le rapport d'utilisation d'Amazon Route 53.

Emplacements périphériques

Q : Qu'est-ce qu'un cache périphérique régional CloudFront ?

CloudFront diffuse votre contenu au travers d'un réseau mondial de centres de données appelés emplacements périphériques. Les caches périphériques régionaux se trouvent entre votre serveur Web d'origine et les emplacements périphériques mondiaux diffusant le contenu directement auprès de vos utilisateurs. Les performances s'en trouvent améliorées côté utilisateur, et votre charge opérationnelle ainsi que le coût de dimensionnement de vos ressources d'origine sont réduits.

Q : Comment fonctionne la mise en cache périphérique régionale ?

Amazon CloudFront dispose de plusieurs caches régionaux périphériques (ou REC) dispersés dans le monde entier, fournissant une couche de mise en cache supplémentaire. Ils sont situés entre le serveur Web de votre application et les points de présence (POP) qui diffusent du contenu directement à vos utilisateurs. À mesure que certains objets mis en cache perdent en popularité, les emplacements périphériques individuels peuvent les supprimer pour faire de la place à des objets plus fréquemment sollicités. Les caches périphériques régionaux ont une largeur de cache plus importante que tout emplacement périphérique individuel afin que les objets restent en cache plus longtemps. Ceci permet de conserver davantage de votre contenu plus près de vos utilisateurs, ce qui réduit le besoin de CloudFront de retourner à votre serveur Web d'origine et d'améliorer les performances globales pour les utilisateurs. Par exemple, les emplacements périphériques CloudFront situés en Europe accèdent désormais au cache périphérique régional de Francfort pour récupérer un objet avant de tenter de revenir à votre serveur d'origine. Les périphéries régionales peuvent être utilisées avec n'importe quelle origine, comme S3, EC2 ou des origines personnalisées. Les REC sont ignorés dans les Régions qui hébergent actuellement les origines de la candidature.

Q : La fonction de cache périphérique régional est-elle activée par défaut ?

Oui. Vous n'avez aucune modification à apporter à vos distributions CloudFront. Cette fonction est activée par défaut pour toutes les distributions CloudFront, nouvelles ou existantes. Elle est disponible sans frais additionnels.

Q : Où sont situés les emplacements réseau périphériques utilisés par Amazon CloudFront ?

Amazon CloudFront utilise un réseau mondial d'emplacements périphériques et de caches périphériques régionaux pour la diffusion de contenu. La liste complète des emplacements Amazon CloudFront peut être consultée ici.

Q : Puis-je choisir de diffuser le contenu (d'interdire la diffusion) dans certains pays ?

Oui, la fonctionnalité Restriction géographique vous permet de spécifier une liste de pays dans lesquels les utilisateurs peuvent accéder à votre contenu. Vous pouvez également indiquer les pays dans lesquels les utilisateurs ne peuvent pas accéder à votre contenu. Dans les deux cas, CloudFront répond à la requête d'un utilisateur d'un pays soumis à cette restriction avec le code de statut HTTP 403 (Forbidden).

Q : Quel est le degré d'exactitude de votre base de données GeoIP ?

La précision de la base de données de recherche du pays au moyen de l'adresse IP varie d'une région à l'autre. Selon des tests récents, le degré d'exactitude de notre conversion d'adresse IP en pays est de 99,8 %.

Q : Puis-je diffuser un message d'erreur personnalisé à mes utilisateurs finaux ?

Oui, vous pouvez créer des messages d'erreur personnalisés (un fichier HTML ou un fichier graphique .jpg) avec vos propres logo/nom et contenu pour une multitude de réponses aux erreurs HTTP 4xx et 5xx. Puis, vous pouvez configurer Amazon CloudFront de sorte qu'il transmette ces messages d'erreur personnalisés aux utilisateurs lorsque votre contenu d'origine renvoie l'une des erreurs spécifiées à CloudFront.

Q : Combien de temps Amazon CloudFront conservera-t-il mes fichiers sur les emplacements périphériques ?

Par défaut, si aucun en-tête de contrôle de cache n'est défini, chaque emplacement périphérique vérifie s'il y a une version mise à jour de votre fichier à chaque fois qu'il reçoit une demande plus de 24 heures après la vérification précédente de l'origine, afin de détecter tout changement de ce fichier. C'est ce que l'on appelle la « période d'expiration ». Vous pouvez définir cette période d'expiration sur 0 seconde, ou sur une période aussi longue que vous le souhaitez, en paramétrant les en-têtes de contrôle de la mémoire cache de vos fichiers à votre emplacement d'origine. Amazon CloudFront utilise ces en-têtes pour déterminer la fréquence à laquelle il doit vérifier l'origine pour détecter une version mise à jour du fichier. Dans le cas d'une période d'expiration de 0 seconde, Amazon CloudFront revalide chaque demande auprès du serveur d'origine. Si vos fichiers ne changent pas très souvent, il est recommandé de définir une longue période d'expiration et d'implémenter un système de contrôle de version pour gérer les mises à jour de vos fichiers.

Q : Comment supprimer un élément des emplacements Amazon CloudFront périphériques ?

Il existe plusieurs options pour supprimer un fichier au sein des emplacements périphériques. Vous pouvez simplement supprimer le fichier de votre origine et lorsque le contenu sur les emplacements périphériques atteint la période d'expiration définie dans l'en-tête HTTP de chaque objet, il est supprimé. Dans le cas où des documents offensants ou potentiellement néfastes doivent être supprimés avant le moment d'expiration spécifié, vous pouvez utiliser l'API d'invalidation pour supprimer l'objet de tous les emplacements périphériques Amazon CloudFront. Vous pouvez consulter les frais facturés pour les demandes d'invalidation ici.

Q : Le nombre de demandes d'invalidation que je peux effectuer est-il limité ?

Si vous invalidez des objets individuellement, il est possible que des demandes d'invalidation concernant jusqu'à 3 000 objets par distribution soient en cours en même temps. Il peut s'agir d'une demande d'invalidation concernant jusqu'à 3 000 objets, de 3 000 demandes concernant chacune un objet, ou d'une autre combinaison ne dépassant pas 3 000 objets.

Si vous utilisez le caractère générique *, vous pouvez lancer en même temps des demandes concernant jusqu'à 15 chemins d'invalidation. Vous pouvez également lancer en même temps des demandes d'invalidation concernant jusqu'à 3 000 objets individuels par distribution, la limite concernant les demandes d'invalidation avec caractères génériques étant indépendante de la limite applicable à l'invalidation d'objets individuels. Si vous dépassez cette limite, les autres demandes d'invalidation recevront une réponse d'erreur jusqu'à ce que l'une des demandes précédentes soit terminée.

Vous devez utiliser l'invalidation uniquement dans des circonstances imprévues ; si vous savez à l'avance que vos fichiers devront être fréquemment supprimés du cache, il est recommandé de mettre en place un système de contrôle de version pour vos fichiers et/ou de définir une période d'expiration courte.

Points de présence intégrés

Q. Que sont les points de présence (POP) intégrés à CloudFront ?

Les points de présence (POP) intégrés de CloudFront constituent un type d'infrastructure CloudFront déployée au plus près des utilisateurs finaux, sur les réseaux des fournisseurs de services Internet (FSI) et des opérateurs de réseaux mobiles (MNO). Les POP intégrés sont conçus sur mesure pour diffuser des événements en direct à grande échelle, des vidéos à la demande (VOD) et des téléchargements de jeux. Ces POP intégrés sont détenus et gérés par Amazon et déployés sur le dernier kilomètre des réseaux FSI/MNO afin d'éviter les problèmes de capacité sur les réseaux encombrés qui connectent les utilisateurs finaux aux sources de contenu, améliorant ainsi les performances.

Q. En quoi les POP intégrés à CloudFront sont-ils différents des POP CloudFront ?

Les POP intégrés à CloudFront diffèrent des POP CloudFront en fonction de l'endroit où ils sont déployés et du contenu qu'ils diffusent. Les POP intégrés à CloudFront sont déployés directement sur les réseaux des FSI et des MNO, contrairement aux POP CloudFront déployés au sein du réseau AWS. Les POP intégrés sont spécialement conçus pour fournir un trafic pouvant être mis en cache à grande échelle, tel que des flux vidéo et des téléchargements de jeux, tandis que les POP CloudFront sont conçus pour fournir une variété de charges de travail, y compris du contenu mis en cache et du contenu dynamique.

Q. Quelles charges de travail sont les mieux adaptées aux POP intégrés à CloudFront ?

Les POP intégrés à CloudFront sont conçus pour fournir du contenu pouvant être mis en cache et accessible simultanément à de nombreux utilisateurs finaux, comme le streaming vidéo en direct à grande échelle, la vidéo à la demande et le téléchargement de jeux.

Q. L'utilisation de POP intégrés fait-elle l'objet de frais distincts ?

Non, aucuns frais supplémentaires ne s'appliquent à l'utilisation des POP intégrés à CloudFront.

Q. Comment puis-je accéder aux POP intégrés ?

Les POP intégrés sont une fonctionnalité à base d'inscription destinée à la fourniture d'un trafic pouvant être mis en cache à grande échelle. Contactez votre représentant commercial AWS pour déterminer si les POP intégrés sont adaptés à vos charges de travail.

Q. Dois-je créer une nouvelle distribution CloudFront spécifiquement pour les POP intégrés à CloudFront ?

Non, il n'est pas nécessaire de créer une nouvelle distribution spécifiquement pour les POP intégrés. Si votre charge de travail est éligible, CloudFront activera les POP intégrés pour votre distribution existante sur demande.

Q. Dois-je choisir entre les POP intégrés à CloudFront et les POP CloudFront ?

Vous n'avez pas à choisir entre les POP intégrés à CloudFront ou les POP CloudFront pour la diffusion de contenu. Une fois que votre distribution CloudFront est activée pour les POP intégrés, le système de routage de CloudFront utilise dynamiquement à la fois les POP CloudFront et les POP intégrés pour diffuser du contenu, garantissant ainsi des performances optimales aux utilisateurs finaux.

Q. Je suis un fournisseur d'accès Internet, comment puis-je commencer à ajouter des POP intégrés à mon réseau ?

Contactez-nous pour commencer à déployer des POPs intégrés au sein de votre réseau.

Q. Je suis un fournisseur d'accès Internet, comment puis-je gérer les POP intégrés à mon réseau ?

Vous pouvez utiliser le portail POP intégré pour gérer les POP intégrés déployés au sein de votre réseau. Le portail POP intégré fait partie du portail AWS Interconnect et fournit une interface unifiée permettant de gérer facilement en libre-service diverses tâches associées à l'ensemble du cycle de vie de ces POP. Cela inclut la demande de nouveaux appareils, le suivi de la progression des demandes, la surveillance des statistiques de performance et la demande d'assistance. Vous pouvez accéder au portail en vous authentifiant à l'aide de l'authentification unique (SSO) en utilisant votre compte PeeringDB.

Conformité

Q : Amazon CloudFront est-il conforme à la norme PCI ?

Amazon CloudFront [sauf la diffusion de contenu via les POP intégrés CloudFront] est intégré à l'ensemble de services conformes à la norme PCI DSS (Payment Card Industry Data Security Standard) Commerçant de niveau 1, le niveau de conformité le plus élevé pour les prestataires de services. Pour en savoir plus, consultez notre Guide du développeur.

Q : Amazon CloudFront est-il éligible à la loi HIPAA ?

AWS a étendu son programme de conformité à la loi HIPAA pour inclure Amazon CloudFront [à l'exception de la diffusion de contenu via les POP intégrés CloudFront] en tant que service éligible à la loi HIPAA. Si vous avez signé un accord de partenariat commercial (BAA) avec AWS, vous pouvez utiliser Amazon CloudFront [à l'exception de la diffusion de contenu via les POP intégrés CloudFront] pour accélérer la diffusion d'informations protégées sur la santé (PHI). Pour en savoir plus, consultez le document Conformité HIPAA et notre Guide du développeur.

Q : Amazon CloudFront est-il conforme SOC ?

Amazon CloudFront [à l'exception de la diffusion de contenu via les POP intégrés CloudFront] est conforme aux mesures SOC (System & Organization Control). Les rapports SOC sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Pour en savoir plus, consultez la page sur la conformité AWS SOC et notre Guide du développeur.

Q : Comment obtenir un rapport AWS SOC 1, SOC 2 ou SOC 3 ?

Les rapports AWS SOC 1 et SOC 2 sont disponibles pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console, ou apprenez-en davantage dans Démarrer avec AWS Artifact. Le dernier rapport AWS SOC 3 est publiquement disponible sur le site web AWS.

HTTP, HTTP/2 et HTTP/3

Q : Quels types de requêtes HTTP Amazon CloudFront prend-il en compte ?

Amazon CloudFront prend actuellement en charge les requêtes GET, HEAD, POST, PUT, PATCH, DELETE et OPTIONS.

Q : Est-ce-qu'Amazon CloudFront met en cache les réponses POST?

Amazon CloudFront ne met pas en cache les réponses aux requêtes POST, PUT, DELETE et PATCH. Celles-ci sont renvoyées au serveur d'origine. Vous pouvez activer la mise en cache des réponses aux requêtes OPTIONS.

Q : Comment utiliser le protocole HTTP/2 ?

Si vous possédez déjà une distribution Amazon CloudFront, vous pouvez activer le protocole HTTP/2 à l'aide de l'API ou de la console de gestion. Dans la console, accédez à la page « Distribution Configuration », puis à la section « Supported HTTP Versions ». Sélectionnez alors l'option « HTTP/2 », « HTTP/1.1 » ou « HTTP/1.0 ». Le protocole HTTP/2 est automatiquement activé pour toutes les nouvelles distributions CloudFront.

Q : Que faire si mes serveurs d'origine ne prennent pas en charge le protocole HTTP/2 ?

Amazon CloudFront prend actuellement en charge le protocole HTTP/2 pour diffuser du contenu vers les clients et navigateurs de vos utilisateurs. Pour assurer la communication entre l'emplacement périphérique et vos serveurs d'origine, Amazon CloudFront continuera d'utiliser le protocole HTTP/1.1.

Q : Le service Amazon CloudFront prend-il en charge le protocole HTTP/2 sans TLS ?

Pas à l'heure actuelle. Cependant, la plupart des navigateurs modernes prennent en chargent le protocole HTTP/2 uniquement via une connexion chiffrée. Cliquez ici pour en savoir plus sur l'utilisation de SSL avec Amazon CloudFront.

Q : Qu'est-ce que HTTP/3 ?

Le protocole HTTP/3 est la troisième version principale du protocole de transfert d'hypertexte. Le protocole HTTP/3 utilise QUIC, un protocole de transport sécurisé basé sur le protocole de datagramme utilisateur (UDP), et à flux multiplexé, qui combine et améliore les capacités du protocole de contrôle de transmission (TCP) existant, du protocole TLS et du protocole HTTP/2. Le protocole HTTP/3 offre plusieurs avantages par rapport aux versions précédentes du protocole HTTP, notamment des temps de réponse plus rapides et une sécurité renforcée.

Q : Qu'est-ce que QUIC ?

Le protocole HTTP/3 est alimenté par QUIC, un nouveau protocole de transport sécurisé, de haute performance et résistant. La prise en charge du protocole HTTP/3 par CloudFront repose sur s2n-quic, une nouvelle implémentation open source du protocole QUIC dans Rust. Pour en savoir plus sur QUIC, consultez le blog d'« introduction à s2n-quic ». 

Q : Quels sont les principaux avantages de l'utilisation du protocole HTTP/3 avec Amazon CloudFront ?

Les clients cherchent constamment à fournir des applications plus rapides et plus sûres à leurs utilisateurs finaux. Alors que le taux de pénétration de l'internet augmente dans le monde entier et que de plus en plus d'utilisateurs se connectent via leur appareil mobile et à partir de réseaux distants, la nécessité d'améliorer les performances et la fiabilité est plus grande que jamais. Le protocole HTTP/3 permet cela étant donné qu'il offre plusieurs améliorations des performances des précédentes versions HTTP :

  1. Des connexions plus rapides et plus fiables - CloudFront utilise 1-RTT pour la négociation TLS pour HTTP/3 réduisant le temps de connexion et ainsi le taux d'échec de négociation par rapport aux précédentes versions HTTP.
  2. De meilleures performances web - L'implémentation HTTP/3 de CloudFront prend en charge les migrations de connexion côté client, permettant aux applications du client de se rétablir d'une mauvaise connexion et ce avec un minimum d'interruptions. Contrairement à TCP, QUIC n'est pas sans perte, ce qui le rend plus adapté pour les réseaux encombrés avec des pertes de paquets importants. De plus, QUIC permet des reconnexions plus rapides après des transferts de Wifi ou de réseaux mobiles.
  3. Sécurité - HTTP/3 offre une sécurité plus complète par rapport aux précédentes versions HTTP grâce au chiffrement des paquets échangés durant les négociations TLS. Cela rend l'inspection par les boîtiers de médiation plus difficiles renforçant ainsi la vie privée et réduisant les attaques de l'homme du milieu. La prise en charge du protocole HTTP/3 par CloudFront repose sur s2n-quic et Rust qui mettent l'accent sur l'efficacité et les performances.

Q : Comment puis-je autoriser le protocole HTTP/3 sur mes distributions CloudFront ?

Vous pouvez activer HTTP/3 pour les distributions existantes Amazon CloudFront et celles nouvellement créées à l'aide de la console CloudFront , l'action API UpdateDistribution ou un modèle Cloudformation. Dans la console, accédez à la page « Distribution Configuration », puis à la section « Supported HTTP Versions ». Sélectionnez alors l'option « HTTP/3, HTTP/2, HTTP/1.1 ou HTTP/1.0 ».

Q. Dois-je apporter des modifications à mes applications avant d'activer HTTP/3 ?

Lorsque vous autorisez le protocole HTTP/3 sur vos distributions CloudFront, CloudFront ajoute automatiquement l'en-tête Alt-Svc utilisée pour prévenir que la prise en charge HTTP/3 est disponible. Vous n'avez pas besoin d'ajouter manuellement l'en-tête Alt-Svc. Vous devez autoriser la prise en charge de différents protocoles au sein de vos applications pour qu'en cas d'échec de connexion HTTP/3, l'application puise se rabattre sur les protocoles HTTP/1.1 et HTTP/2. En d'autres termes, les clients qui ne prennent pas en charge le protocole HTTP/3 seront toujours à même de communiquer avec le CloudFront HTTP/3 en utilisant les protocoles HTTP/1.1 ou HTTP/2. La prise en charge de secours est indispensable pour la spécification HTTP/3. Elle est implémentée par tous les navigateurs principaux qui prennent en charge le protocole HTTP/3.

Q : Que faire si mes serveurs d'origine ne prennent pas en charge le protocole HTTP/3 ?

CloudFront prend actuellement en charge le protocole HTTP/3 pour la communication entre les clients/navigateurs de vos lecteurs et les emplacements périphériques CloudFront. Pour assurer la communication entre l'emplacement périphérique et vos serveurs d'origine, CloudFront continuera d'utiliser le protocole HTTP/1.1.

Q : Comment les politiques de sécurité d'Amazon CloudFront TLS interagissent-elles avec le protocole HTTP/3 ?

Le protocole HTTP/3 utilise QUIC qui nécessite TLSv1.3. Par conséquent, indépendamment de la politique de sécurité que vous avez choisie, seuls TLSv1.3 et les suites de chiffrements TLSv1.3 prises en charge peuvent être utilisés pour établir des connections HTTP/3. Pour plus de détails, reportez-vous à la section Protocoles et chiffrements pris en charge entre les spectateurs et CloudFront du guide des développeurs de CloudFront.

Q. Existe-t-il des frais supplémentaires pour l'autorisation du protocole HTTP/3 ?

Non, il n'existe aucun frais supplémentaire pour l'autorisation du protocole HTTP/3 sur les distributions d'Amazon CloudFront. Les requêtes HTTP/3 seront facturées au prix des requêtes selon votre grille de tarification.

WebSocket

Q : Que sont les WebSockets ?

WebSocket est un protocole de communication en temps réel qui permet une communication bidirectionnelle entre un client et un serveur via une connexion TCP longue durée. L'utilisation d'une connexion ouverte persistante permet au client et au serveur de s'envoyer mutuellement des données en temps réel sans qu'il soit nécessaire pour le client de relancer fréquemment les connexions afin de vérifier s'il existe de nouvelles données à échanger. Les connexions WebSocket sont généralement utilisées dans les applications de discussion instantanée, les plateformes de collaboration, les jeux multijoueurs et les plateformes d’opérations financières. Consultez notre documentation pour en savoir plus sur l’utilisation du protocole WebSocket avec Amazon CloudFront. 

Q : Comment puis-je activer ma distribution Amazon CloudFront pour qu'elle prenne en charge le protocole WebSocket ?

Vous pouvez utiliser WebSocket à l'échelle mondiale. Aucune configuration supplémentaire n'est nécessaire pour activer le protocole WebSocket dans votre ressource CloudFront, étant donné qu'il est désormais pris en charge par défaut.

Q : Quand une connexion WebSocket est-elle établie via Amazon CloudFront ?

Amazon CloudFront établit des connexions WebSocket uniquement lorsque le client inclut l'en-tête "Upgrade: websocket" et que le serveur répond avec le code d'état HTTP 101 confirmant qu'il peut passer au protocole WebSocket.

Q : Amazon CloudFront prend-il en charge les WebSockets sécurisés sur TLS ?

Oui. Amazon CloudFront prend en charge les connexions chiffrées WebSocket (WSS) en utilisant le protocole SSL/TLS.

Sécurité

Q : Puis-je configurer ma distribution CloudFront pour diffuser du contenu sur HTTPS en utilisant mon propre nom de domaine ?

Par défaut, il est possible de diffuser votre contenu aux lecteurs via HTTPS en intégrant le nom de votre domaine de distribution CloudFront dans vos URL, par exemple : https://dxxxxx.cloudfront.net/image.jpg. Si vous souhaitez diffuser votre contenu via HTTPS en utilisant votre propre nom de domaine et votre propre certificat SSL, vous pouvez utiliser l’une de nos fonctionnalités de prise en charge des certificats SSL personnalisés. En savoir plus.

Q : Qu'est-ce que le chiffrement au niveau du champ ?

Le chiffrement au niveau du champ est une fonctionnalité de CloudFront qui vous permet de télécharger en toute sécurité des données soumises par l'utilisateur, telles que des numéros de carte de crédit, sur vos serveurs d'origine. À l'aide de cette fonctionnalité, vous pouvez apporter un niveau supplémentaire de chiffrement des données sensibles dans un formulaire HTTPS à l'aide de clés de chiffrement définies par vous et spécifiques au champ, avant qu'une requête PUT/POST soit transmise à votre origine. Ainsi, les données sensibles ne peuvent être déchiffrées et consultées que par certains composants ou services de votre pile d'applications. Pour en savoir plus sur le chiffrement au niveau du champ, consultez la page consacrée au chiffrement au niveau du champ dans notre documentation.

Q : J'utilise déjà le chiffrement SSL/TLS avec CloudFront, ai-je quand même besoin de chiffrement au niveau du champ ?

De nombreuses applications web collectent des données sensibles comme les renseignements de cartes de crédit auprès des utilisateurs. Ces données sont ensuite traitées par les services applicatifs exécutés sur l'infrastructure d'origine. L'ensemble de ces applications web utilisent le chiffrement SSL/TLS entre l'utilisateur final et CloudFront, et entre CloudFront et votre origine. Votre origine peut disposer de différents micro-services qui exécutent des opérations critiques d'après les saisies utilisateur. Cependant, des informations typiquement sensibles ne doivent être utilisées que par un petit sous-ensemble de ces micro-services, ce qui signifie que la plupart des composants ont un accès direct à ces données sans raison. Une simple erreur de programmation, telle que l'enregistrement de la mauvaise variable, peut entraîner l'écriture du numéro de carte de crédit d'un client dans un fichier.

Avec le chiffrement au niveau du champ, les emplacements périphériques de CloudFront peuvent chiffrer les données des cartes de crédit. À partir de là, seules les applications qui détiennent les clés privées peuvent déchiffrer les champs sensibles. Le service de traitement des commandes a donc uniquement accès aux numéros de carte de crédit chiffrés. Les services de paiement, quant à eux, peuvent déchiffrer les données des cartes de crédit. Vous bénéficiez ainsi d'un niveau supérieur de sécurité : même en cas de fuite de texte chiffré par un des services applicatifs, les données restent protégées par chiffrement.

Q : Quelle est la différence entre les fonctions certificats SSL personnalisés SNI et certificats SSL personnalisés à IP dédiée d'Amazon CloudFront ?

L'option certificats SSL personnalisés à IP dédiée attribue des adresses IP dédiées pour la diffusion de votre contenu SSL à chaque emplacement périphérique CloudFront. Dans la mesure où il n'y a qu'un seul mappage entre les adresses IP et les certificats SSL, cette option fonctionne avec les navigateurs et autres clients qui ne prennent pas en charge l'extension SNI. En raison des coûts actuels liés aux adresses IP, la fonction certificats SSL personnalisés à IP dédiée est facturée 600 USD/mois, avec ajustement au prorata du nombre d'heures.

L'option certificats SSL personnalisés SNI repose sur l'extension SNI du protocole TLS, qui permet d'utiliser plusieurs domaines pour servir le trafic SSL via une adresse IP unique en incluant le nom de l'hôte auquel les utilisateurs essaient de se connecter. CloudFront diffuse le contenu depuis chaque emplacement périphérique Amazon CloudFront et avec un niveau de sécurité identique à celui des certificats SSL personnalisés à IP dédiée. L'option SSL personnalisé SNI est prise en charge par la plupart des navigateurs modernes, dont Chrome version 6 et ultérieures (avec Windows XP et versions ultérieures ou Mac OS X 10.5.7 et versions ultérieures), Safari version 3 et ultérieures (avec Windows Vista et versions ultérieures ou Mac OS X 10.5.6. et versions ultérieures), Firefox 2.0 et versions ultérieures ainsi qu'Internet Explorer 7 et versions ultérieures (avec Windows Vista et versions ultérieures). Les navigateurs plus anciens qui ne prennent pas en charge l'extension SNI ne peuvent pas établir de connexion à CloudFront pour charger la version HTTPS de votre contenu. Les certificats SSL personnalisés SNI sont disponibles sans frais supplémentaires ; seuls les frais standard associés aux requêtes et transferts de données CloudFront vous seront facturés.

Q : Qu'est-ce que l'extension SNI (Server Name Indication) ?

SNI (Server Name Indication) est une extension du protocole TLS (Transport Layer Security). Ce mécanisme identifie le domaine (nom de serveur) de la requête SSL associée pour permettre l'utilisation du bon certificat lors d'une négociation SSL. Il est alors possible d'utiliser une seule adresse IP pour plusieurs serveurs. Le SNI nécessite la prise en charge du navigateur pour ajouter le nom du serveur. Si la plupart des navigateurs actuels le prennent en charge, d’anciens navigateurs ne le prennent pas en charge. Pour plus d'informations, consultez la section SNI du Guide du développeur d'Amazon CloudFront ou l'article Wikipédia consacré à SNI.

Q : Est-il possible d'intégrer CloudFront à AWS Certificate Manager ?

Oui, vous pouvez désormais allouer des certificats SSL/TLS et les associer à des distributions CloudFront en quelques minutes seulement. Pour cela, il vous suffit d'allouer un certificat avec le nouveau service AWS Certificate Manager (ACM) et de le déployer sur votre distribution CloudFront en quelques clics. ACM s'occupe alors de la gestion des renouvellements de certificat à votre place. ACM vous permet d'allouer, de déployer et de gérer vos certificats sans frais supplémentaires.

Notez que CloudFront prend toujours en charge les certificats obtenus auprès d'une autorité de certification tierce et envoyés au magasin de certificats IAM.

Q : Amazon CloudFront prend-il en charge les contrôles d'accès pour le contenu payant ou privé ?

Oui, Amazon CloudFront possède une fonction facultative de contenu privé. Lorsque cette option est activée, Amazon CloudFront ne diffuse les fichiers que lorsque vous donnez votre approbation en signant vos demandes de manière sécurisée. Pour en savoir plus sur cette fonction, consultez le Guide du développeur d'Amazon CloudFront.

Q : Comment protéger mes applications Web diffusées via CloudFront des attaques par déni de service distribué (DDoS) ?

En tant que client AWS, vous bénéficiez du service AWS Shield Standard sans frais supplémentaires. AWS Shield est un service géré qui protège les applications Web s'exécutant sur AWS contre les attaques par déni de service distribué (DDoS). AWS Shield Standard protège tous les clients AWS contre les attaques courantes et les plus fréquentes ciblant l'infrastructure (couches 3 et 4), telles que les flux SYN/UDP, les attaques par réflexion ou autres, afin de prendre en charge la haute disponibilité de vos applications sur AWS.

AWS Shield Advanced est une option de service payante disponibles pour les clients AWS Business Support et AWS Enterprise Support. AWS Shield Advanced offre des protections supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées pour vos applications s'exécutant sur Elastic Load Balancing (ELB), Amazon CloudFront et Route 53.

Q : Comment puis-je protéger mes applications Web envoyées via CloudFront ?

Vous pouvez intégrer votre distribution CloudFront à AWS WAF, un pare-feu d'applications Web qui protège vos applications Web contre les attaques en vous permettant de définir des règles selon les adresses IP, les en-têtes HTTP et les URI personnalisés. En utilisant ces règles, AWS WAF peut bloquer, autoriser ou suivre (compter) les requêtes Web envoyées à votre application Web. Consultez le Manuel du développeur AWS WAF pour en savoir plus.

Mise en cache

Q : Puis-je ajouter ou modifier des en-têtes de requêtes transmis au serveur d'origine ?

Oui, vous pouvez configurer Amazon CloudFront pour ajouter des en-têtes personnalisés ou remplacer la valeur d'en-têtes existants, pour des requêtes transmises à votre serveur d'origine. Vous pouvez utiliser ces en-têtes pour vérifier que les requêtes transmises à votre serveur d'origine ont été envoyées depuis CloudFront ; vous pouvez même configurer votre serveur d'origine pour autoriser uniquement les requêtes contenant les valeurs d'en-tête personnalisé que vous spécifiez. De plus, si vous utilisez plusieurs distributions CloudFront avec la même origine, vous pouvez vous servir des en-têtes pour identifier la requête d'origine envoyée par chaque distribution. Enfin, les en-têtes personnalisés peuvent être utilisés pour déterminer les en-têtes CORS appropriés renvoyés pour vos requêtes. Vous pouvez configurer des en-têtes personnalisés via l'API CloudFront et AWS Management Console. Cette fonctionnalité est disponible sans frais supplémentaires. Pour plus d’informations sur la configuration des en-têtes personnalisés, cliquez ici.

Q : Comment Amazon CloudFront gère-t-il les cookies HTTP ?

Amazon CloudFront prend en charge la diffusion de contenu dynamique personnalisé ou adapté à l'aide de cookies HTTP. Pour bénéficier de cette fonctionnalité, vous devez spécifier si vous souhaitez qu'Amazon CloudFront transmette tout ou partie de vos cookies vers votre serveur d'origine personnalisé. Amazon CloudFront prend ensuite en compte les valeurs des cookies transmis pour identifier un objet unique dans son cache. De cette manière, les utilisateurs finaux bénéficient à la fois d'un contenu hautement personnalisé à l'aide de cookies et des performances d'Amazon CloudFront. Vous pouvez également choisir de consigner les valeurs de cookie dans les journaux d'accès d'Amazon CloudFront.

Q : Comment Amazon CloudFront traite-t-il les paramètres de chaîne d'interrogation au sein de l'URL ?

Il est possible de configurer une chaîne d'interrogation afin qu'elle soit incluse dans la clé du cache pour identifier les objets dans le cache Amazon CloudFront. Vous pouvez ainsi développer des pages Web dynamiques (incluant des résultats de recherche, par exemple) qui peuvent être mises en cache sur l'emplacement périphérique durant un certain temps.

Q : Puis-je spécifier les paramètres de requête à utiliser dans la clé de cache ?

Oui, la fonctionnalité de liste de blanche de chaînes de requête vous permet de configurer facilement Amazon CloudFront de façon à n'utiliser que certains paramètres dans la clé de cache, tout en continuant de transmettre tous les paramètres au point d'origine.

Q : Le nombre de paramètres de requête pouvant être mis sur liste blanche est-il limité ?

Oui, vous pouvez configurer Amazon CloudFront de façon à placer jusqu'à 10 paramètres de requête sur liste blanche.

Q : Quels sont les types de paramètres pris en charge ?

Amazon CloudFront prend en charge les paramètres de requête URI définis dans la section 3.4 de la norme RFC3986. Plus précisément, le service prend en charge les paramètres de requête intégrés à une chaîne HTTP GET placés entre les caractères « ? » et « & ».

Q : CloudFront prend-il en charge la compression gzip ?

Oui, CloudFront peut compresser automatiquement votre texte ou vos données binaires. Pour utiliser cette fonctionnalité, spécifiez dans les paramètres de comportement du cache que vous souhaitez utiliser CloudFront pour la compression automatique des objets. Assurez-vous aussi que votre client ajoute Accept-Encoding: gzip dans l'en-tête de demande (la plupart des navigateurs Internet actuels le font par défaut). Pour plus d'informations sur cette fonction, consultez notre Guide du développeur.

Streaming

Q : Qu'est-ce que le streaming? Pour quelle raison pourrais-je vouloir diffuser mon contenu en streaming ?

En général, le streaming fait référence à la diffusion de contenu audio et vidéo aux utilisateurs finaux sur Internet sans qu'il soit nécessaire de télécharger le fichier multimédia pour le lire. Les protocoles utilisés pour le streaming comprennent ceux utilisant HTTP pour le déploiement comme HTTP Live Streaming (HLS) 'Apple, MPEG Dynamic Adaptive Streaming over HTTP (MPEG-DASH), HTTP Dynamic Streaming (HDS) d'Adobe et Smooth Streaming de Microsoft. Contrairement au protocole utilisé pour diffuser des pages Web et d'autres contenus en ligne, ces protocoles distribuent du contenu multimédia en temps réel ; les utilisateurs voient les octets au fur et à mesure qu'ils sont distribués. Le streaming présente plusieurs avantages potentiels pour vous et vos utilisateurs finaux :

  • Il peut donner aux utilisateurs plus de contrôle sur leur expérience de lecture de contenu. Par exemple, il est plus facile pour un utilisateur de faire une recherche en avant ou en arrière dans une vidéo en utilisant le streaming plutôt qu'avec la distribution traditionnelle par téléchargement.
  • Le streaming peut vous donner plus de contrôle sur votre contenu, car il ne reste aucune trace du fichier sur l'ordinateur de l'utilisateur ou le disque local lorsque celui-ci a fini de regarder une vidéo.
  • Il peut contribuer à réduire les coûts en vous permettant de ne diffuser que les portions d'un fichier multimédia que les utilisateurs regardent réellement. Avec les téléchargements traditionnels, le fichier multimédia entier est téléchargé par les utilisateurs, même s'ils ne regardent qu'une portion du fichier.

Q : Amazon CloudFront prend-il en charge les protocoles de streaming de vidéo à la demande (VOD) ?

Oui, Amazon CloudFront fournit différentes options de diffusion de vidéo à la demande. Si vous disposez de fichiers multimédias qui ont été convertis au format HLS, MPEG-DASH ou Microsoft Smooth Streaming, par exemple à l'aide d'AWS Elemental MediaConvert, avant d'être stockés dans Amazon S3 (ou une origine personnalisé), vous pouvez utiliser une distribution web Amazon CloudFront pour diffuser votre contenu dans ce format, sans avoir à exécuter d'autres serveurs multimédias.

Autrement, vous pouvez également exécuter un serveur de streaming tiers (tel que Wowza Media Server, disponible sur AWS Marketplace) sur Amazon EC2, capable de convertir des fichiers multimédias au format de diffusion en continu HTTP requis. Ce serveur peut ensuite être désigné comme origine d'une distribution Web Amazon CloudFront.

Consultez la page Vidéo à la demande sur AWS pour en savoir plus.

Q : Amazon CloudFront prend-il en charge le streaming en direct vers plusieurs plates-formes ?

Oui. Vous pouvez utiliser le streaming en direct d'Amazon CloudFront avec n'importe quel service de sourçage vidéo en direct produisant des flux HTTP, comme AWS Elemental MediaPackage ou AWS Elemental MediaStore. MediaPackage est un service de création vidéo et de conditionnement juste-à-temps permettant aux distributeurs de vidéos de déployer de manière fiable et sécurisée du contenu à l'échelle grâce à plusieurs normes protection de contenu et de déploiement. MediaStore est un service de création et de stockage HTTP offrant les hautes performances, la cohérence immédiate et la latence faible et prévisible nécessaires pour le contenu multimédia direct combinées à la sécurité et la durabilité du stockage d'Amazon.

Consultez la page Streaming de vidéo en direct AWS pour plus d’informations.

Origin Shield

Q. Qu’est-ce que Origin Shield ?

Origin Shield est une couche de mise en cache centralisée qui permet d'augmenter le taux de réussite de votre cache pour réduire la charge sur votre origine. Origin Shield réduit également vos coûts d'exploitation d'origine en regroupant les demandes entre les régions afin qu'une seule demande soit envoyée à votre origine par objet. Une fois activé, CloudFront acheminera toutes les récupérations d'origine via Origin Shield, et ne fera une demande à votre origine que si le contenu n'est pas déjà stocké dans le cache d'Origin Shield.

Q. Quand devrais-je utiliser Origin Shield ?

Origin Shield est idéal pour les charges de travail avec des utilisateurs répartis dans différentes régions géographiques ou les charges de travail qui impliquent un empaquetage juste à temps pour le streaming vidéo, la gestion d'images à la volée ou des processus similaires. L'utilisation d'Origin Shield devant votre origine réduira le nombre de demandes d’accès depuis l’origine redondantes en vérifiant d'abord le cache central et en effectuant uniquement un accès depuis l’origine consolidé pour le contenu qui ne se trouve pas déjà dans le cache d'Origin Shield. De même, Origin Shield peut être utilisé dans une architecture multi-CDN pour réduire le nombre d’accès depuis l’origine en double sur les CDN en positionnant Amazon CloudFront comme origine des autres CDN. Consultez le guide du développeur Amazon CloudFront pour en savoir plus sur les exemples ci-dessus ou sur d’autres cas d’utilisation Origin Shield.

Q. Quelle région Origin Shield devrais-je utiliser ?

Amazon CloudFront offre Origin Shield dans les régions AWS où CloudFront offre un cache régional en périphérie. Lorsque vous activez Origin Shield, vous devez choisir la région AWS pour Origin Shield qui a la latence la plus faible par rapport à votre origine. Vous pouvez utiliser Origin Shield avec des origines qui se trouvent dans une région AWS et avec des origines qui ne se trouvent pas dans AWS. Pour en savoir plus, consultez Choix de la région AWS pour Origin Shield dans le guide du développeur Amazon CloudFront.

Q. Origin Shield est-il résilient et hautement disponible ?

Oui. Toutes les régions Origin Shield sont créées à l'aide d'une architecture hautement disponible qui s'étend sur plusieurs zones de disponibilité avec des flottes d’instances Amazon EC2 à scalabilité automatique. Les connexions entre les emplacements CloudFront et Origin Shield utilisent également le suivi des erreurs actif pour chaque demande afin d’acheminer automatiquement la demande vers un emplacement secondaire Origin Shield si l'emplacement principal Origin Shield n'est pas disponible.

Limites

Q : Puis-je utiliser Amazon CloudFront si je m'attends à des pics d'utilisation supérieurs à 150 Gb/s ou à 250 000 requêtes par seconde ?

Oui. Vous pouvez demander à augmenter les limites ici, et nous ajouterons plus de capacités à votre compte sous deux jours ouvré.

Q : Le nombre de distributions que mon compte Amazon CloudFront peut diffuser est-il limité ?

Pour connaître le nombre maximal de distributions que vous pouvez actuellement créer pour chaque compte AWS, consultez les limites d'Amazon CloudFront dans la référence générale d'Amazon Web Services. Pour demander une limite supérieure, accédez au formulaire d'augmentation de limite CloudFront.

Q : Quelle est la taille maximum d'un fichier pouvant être distribué par le biais d'Amazon CloudFront ?

La taille maximum d'un fichier unique pouvant être distribué par le biais d'Amazon CloudFront est 30 Go. Cette limite s'applique à toutes les distributions d'Amazon CloudFront.

Journalisation et génération de rapports

Q : Quelles sont les fonctionnalités de journalisation disponibles avec Amazon CloudFront ?

Lorsque vous créez ou modifiez une distribution CloudFront, vous pouvez activer la journalisation des accès. CloudFront propose deux façons d'enregistrer les demandes qui sont distribuées depuis vos distributions : journaux standard et journaux en temps réel.

Les journaux standard CloudFront sont distribués vers le compartiment Amazon S3 de votre choix (les enregistrements des journaux sont distribués dans les minutes qui suivent la demande de l'utilisateur). Une fois activé, CloudFront publie automatiquement les informations de journaux détaillées au format W3C étendu dans un compartiment Amazon S3 que vous spécifiez. Les journaux d'accès contiennent des informations détaillées sur chaque demande pour votre contenu, y compris l'objet demandé, la date et l'heure de la demande, l'emplacement périphérique qui traite la demande, l'adresse IP du client, le référent, l'agent utilisateur, l'en-tête du cookie et le type de résultat (par exemple, correspondance dans le cache, échec dans le cache, erreur). CloudFront ne facture pas les journaux standard, mais des frais Amazon S3 sont facturés pour le stockage et l'accès aux fichiers journaux.

Les journaux en temps réel CloudFront sont distribués vers le flux de données de votre choix dans Amazon Kinesis Data Streams (les enregistrements des journaux sont distribués quelques secondes après la demande de l'utilisateur). Vous pouvez choisir le taux d'échantillonnage de vos journaux en temps réel, c'est-à-dire le pourcentage de demandes pour lesquelles vous souhaitez recevoir des journaux en temps réel. Vous pouvez également choisir les champs que vous souhaitez recevoir dans les enregistrements de journaux. Les journaux en temps réel de CloudFront contiennent tous les mêmes points de données que les journaux standard, ainsi que certaines informations supplémentaires sur chaque demande, telles que les en-têtes de demande de l'utilisateur et le code du pays, dans un format étendu W3C. CloudFront facture les journaux en temps réel, ainsi que l’utilisation de Kinesis Data Streams.

Q : Comment puis-je déterminer les journaux CloudFront adaptés à mon cas d'utilisation ?

Vous pouvez choisir une destination en fonction de votre cas d'utilisation. Si disposez de cas d'utilisation avec des contraintes de temps et que vous devez accéder rapidement aux données du journal en quelques secondes, choisissez les journaux en temps réel. Si vous devez réduire le coût de votre pipeline de journaux en temps réel, vous pouvez choisir de filtrer les données de journal en activant les journaux uniquement pour des comportements de cache spécifiques ou en choisissant un taux d'échantillonnage inférieur. Le pipeline de journaux en temps réel est conçu pour diffuser rapidement les données. Par conséquent, les enregistrements du journal peuvent être perdus s'il existe des retards de données. D'autre part, si vous avez besoin d'une solution de traitement de journaux économique sans nécessiter de données en temps réel, l'option de journal standard actuelle est idéale pour vous. Les journaux standard dans S3 sont des journaux complets, et sont généralement disponibles en quelques minutes. Ces journaux peuvent être activés pour l'ensemble de la distribution et non pour des comportements de cache spécifiques. Par conséquent, si vous avez besoin de journaux pour des investigations, des audits et des analyses ad hoc, vous pouvez choisir de n'activer que les journaux standard dans S3. Vous pouvez choisir d’utiliser une combinaison des deux journaux. Utilisez une liste filtrée de journaux en temps réel pour la visibilité opérationnelle, puis les journaux standard pour l'audit.

Q : Quelles sont les différentes options de destination des journaux disponibles ?
Les journaux standard CloudFront sont envoyés à votre compartiment S3. Vous pouvez également utiliser l’intégration de solutions tierces telles que DataDog et Sumologic pour créer des tableaux de bord à partir de ces journaux.

Les journaux en temps réel sont envoyés à Kinesis Data Stream. Depuis les Kinesis Data Streams, les journaux peuvent être publiés dans Amazon Kinesis Data Firehose. Amazon Kinesis Data Firehose permet d’envoyer aisément des données à Amazon S3, Amazon Redshift, Amazon Elasticsearch Service et à des fournisseurs de services comme Datadog, New Relic et Splunk. Kinesis Firehose prend en charge également la distribution des données vers un point de terminaison HTTP générique.

Q : Combien de partitions Kinesis ai-je besoin dans le Kinesis Data Stream ?
Pour estimer le nombre de partitions dont vous avez besoin, procédez comme suit :

  1. Calculez (ou estimez) le nombre de demandes par seconde que votre distribution CloudFront reçoit. Vous pouvez utiliser les rapports d'utilisation CloudFront ou les métriques CloudFront pour calculer vos demandes par seconde.
  2. Déterminez la taille type d'un seul enregistrement en temps réel. Un enregistrement type qui contient tous les champs disponibles est d'environ 1 Ko. Si vous ne connaissez pas la taille de vos enregistrements, vous pouvez activer les journaux en temps réel avec un faible taux d'échantillonnage (par exemple, 1 %), puis calculer la taille moyenne des enregistrements en utilisant les données de surveillance dans Kinesis Data Streams (nombre total d'enregistrements divisé par le nombre total d'octets entrants).
  3. Multipliez le nombre de demandes par seconde (à partir de l'étape 1) par la taille d'un enregistrement de journal en temps réel type (à partir de l'étape 2) pour déterminer la quantité de données par seconde que votre configuration de journal en temps réel est susceptible d'envoyer au Kinesis Data Stream.
  4. En utilisant les données par seconde, calculez le nombre de partitions dont vous avez besoin. Une seule partition ne peut pas traiter plus de 1 Mo par seconde et 1 000 demandes (enregistrements de journal) par seconde. Pour calculer le nombre de tessons dont vous avez besoin, nous vous recommandons d'ajouter jusqu'à 25 % comme marge.

Supposons que votre distribution reçoive 10 000 demandes par seconde et que la taille de vos enregistrements de journal en temps réel est généralement de 1 Ko. Cela signifie que votre configuration de journal en temps réel pourrait générer 10 000 000 d'octets (10 000 multiplié par 1 000), soit 9,53 Mo, par seconde. Dans ce scénario, vous n'avez besoin que de 10 partitions Kinesis. Vous devez envisager de créer au moins 12 partitions pour avoir une marge.

Q : Amazon CloudFront propose-t-il des rapports prêts à l'emploi permettant d'obtenir plus d'informations sur mon utilisation, les utilisateurs et le contenu diffusé ?

Oui. Amazon CloudFront offre diverses solutions pour répondre à vos besoins en matière de rapport, telles que la réception de rapports statistiques de mise en cache détaillés, la surveillance de votre utilisation de CloudFront, l'affichage de l'emplacement à partir duquel vos clients consultent votre contenu ou encore la définition d'alarmes en temps réel ou presque sur des mesures opérationnelles. Vous pouvez accéder à toutes nos options de génération de rapports en consultant le tableau de bord de génération de rapports et d'analyses Amazon CloudFront dans AWS Management Console. Vous pouvez également en savoir plus sur nos différentes options de génération de rapports en consultant la page Rapports et analyses d'Amazon CloudFront.

Q : Puis-je ajouter des balises à mes distributions ?

Oui. Amazon CloudFront prend en charge le balisage dans la répartition des coûts. Les balises vous permettent de répartir facilement les coûts et d'optimiser vos dépenses en classant par catégories et en regroupant les ressources AWS. Par exemple, vous pouvez utiliser des balises pour regrouper les ressources par administrateur, nom d'application, centre de coûts ou projet. Pour en savoir plus sur le balisage de répartition des coûts, consultez la page Utilisation des balises de répartition des coûts. Si vous êtes prêt à ajouter des balises dans vos distributions CloudFront, consultez la page Ajout de balises dans Amazon CloudFront .

Q : Puis-je obtenir un historique de tous les appels API Amazon CloudFront effectués sur mon compte pour un audit de sécurité, opérationnel ou de conformité ?

Oui. Pour obtenir l’historique des appels d'API Amazon CloudFront réalisés sur votre compte, il suffit d'activer AWS CloudTrail dans AWS Management Console. Pour en savoir plus, consultez lapage d'accueil d'AWS CloudTrail.

Q : Existe-t-il des options permettant d'obtenir des mesures de surveillance et de recevoir des avertissements en temps réel ?

Vous pouvez surveiller, configurer des alarmes et recevoir des notifications concernant les performances opérationnelles de vos distributions Amazon CloudFront dans les minutes qui suivent chaque requête utilisateur via le service Amazon CloudWatch. CloudFront publie automatiquement six métriques opérationnelles, chacune avec un niveau de précision d'une minute, dans Amazon CloudWatch. Vous pouvez utiliser CloudWatch pour configurer des alarmes qui se déclenchent en cas de schémas de trafic anormaux dans votre distribution CloudFront. Pour savoir comment surveiller l'activité CloudFront et définir des alarmes via CloudWatch, consultez notre démonstration détaillée dans le Guide du développeur d'Amazon CloudFront ou accédez simplement à la console de gestion d'Amazon CloudFront, puis sélectionnez les options de surveillance et d'avertissement dans le volet de navigation.

CloudFront Functions

Q : Qu’est-ce que CloudFront Functions ?

CloudFront Functions est une fonctionnalité de calcul en périphérique sans serveur vous permettant d'exécuter du code JavaScript sur des emplacements périphériques CloudFront pour des transformations et des manipulations HTTP(s) légères. Functions est spécialement conçue pour offrir aux clients la flexibilité d'un environnement de programmation complet avec les performances et la sécurité requises par les applications Web modernes. Pour une fraction du prix de AWS Lambda@Edge, les clients peuvent évoluer instantanément et à moindre coût afin de prendre en charge des millions de demandes par seconde.

Q : Comment puis-je personnaliser du contenu avec CloudFront Functions ?

CloudFront Functions est intégrée de manière native à CloudFront, permettant aux clients de facilement créer, tester et déployer des fonctions au sein du même service. Vous pouvez également utiliser CloudFront KeyValueStore avec CloudFront Functions pour stocker et récupérer des données de recherche afin de compléter la logique de votre fonction. Notre référentiel GitHub permet aux développeurs de démarrer facilement en proposant une grande collection d'exemples de code pouvant être utilisés comme point de départ pour la création de fonctions. Vous pouvez créer des fonctions sur la console CloudFront à l'aide de l'IDE ou des API/de l'interface de ligne de commande CloudFront. Une fois votre code créé, vous pouvez tester votre fonction par rapport à une distribution CloudFront de production, en vous assurant que votre fonction s'exécutera correctement une fois déployée. La fonctionnalité de test de la console propose un éditeur visuel pour créer rapidement des événements de test et valider des fonctions. Une fois associé à une distribution CloudFront, le code est déployé sur le réseau distribué au niveau mondial d'emplacements périphériques d'AWS, pour être exécuté en réponse aux demandes CloudFront.

Q : Quels sont les cas d'utilisation de CloudFront Functions ?

CloudFront Functions est idéale pour les fonctions légères et de courte durée, notamment :

  • Normalisation de la clé de cache : vous pouvez transformer les attributs de requête HTTP (en-têtes, chaînes de requête, cookies, même le chemin relatif de l'URL de la requête) pour créer une clé de cache optimale, ce qui peut améliorer le taux de réussite de votre cache.
  • Manipulation des en-têtes : vous pouvez insérer, modifier ou supprimer des en-têtes HTTP dans la requête ou la réponse. Par exemple, vous pouvez ajouter des en-têtes de sécurité de transport stricte HTTP (HTTP strict transport security/HSTS) ou de partage des ressources entre origines (Cross-origin Resource Sharing/CORS) à chaque réponse.
  • Redirections ou réécriture d'URL : vous pouvez rediriger les utilisateurs vers d'autres pages en fonction des informations de la requête, ou rediriger toutes les requêtes d'un chemin vers un autre.
  • Autorisation de requêtes : vous pouvez valider les jetons d'autorisation, tels que les jetons Web JSON (JWT), en inspectant les en-têtes d'autorisation ou d'autres métadonnées de requête.

Q : Qu'est-ce que CloudFront KeyValueStore ?

CloudFront KeyValueStore est un magasin de données clé-valeur mondial, à faible latence et entièrement géré. KeyValueStore permet la récupération de données clé-valeur à partir des fonctions CloudFront, ce qui rend ces dernières plus personnalisables grâce à des mises à jour indépendantes des données. Les données clé-valeur sont accessibles sur tous les emplacements périphériques de CloudFront et fournissent un stockage clé-valeur très efficace en mémoire ainsi qu'une grande vitesse de lecture des fonctions CloudFront.

Q : Quels sont les cas d'utilisation de CloudFront KeyValueStore ?

CloudFront KeyValueStore est idéal pour les lectures fréquentes sur les emplacements périphériques et les mises à jour peu fréquentes comme :

  • Maintien des réécritures et redirections d'URL : redirigez les utilisateurs vers le site d'un pays spécifique en fonction de leur géolocalisation. Le stockage et la mise à jour de ces URL géolocalisées dans KeyValueStore simplifient la gestion des URL.
  • les tests A/B et indicateurs de fonctionnalités : effectuez des tests en attribuant un pourcentage de trafic à une version de votre site Web. Vous pouvez mettre à jour les poids des expériences sans mettre à jour le code de fonction ou votre distribution CloudFront.
  • l'autorisation d'accès : mettez en œuvre le contrôle d'accès et l'autorisation pour le contenu diffusé via CloudFront en créant et en validant des jetons générés par les utilisateurs, tels que des jetons HMAC ou des jetons Web JSON (JWT), pour autoriser ou refuser les requêtes. 

Q : Est-ce que CloudFront Functions remplace Lambda@Edge ?

Non - CloudFront Functions est destinée à compléter Lambda@Edge, pas à la remplacer. Combiner les fonctions Lambda@Edge et CloudFront Functions vous permet de choisir l'outil adapté à la tâche. Vous pouvez choisir d'utiliser à la fois CloudFront Functions et Lambda@Edge sur différents déclencheurs d'événements au sein du même comportement de cache dans vos distributions CloudFront. Par exemple, vous pouvez utiliser Lambda@Edge en vue de manipuler à la volée la diffusion en continu des fichiers manifestes pour injecter des jetons personnalisés ; ce processus permet donc de sécuriser les flux en direct. Vous pouvez utiliser CloudFront Functions pour valider ces jetons lorsqu'un utilisateur demande un segment à partir du manifeste.

Q : Que dois-je utiliser, CloudFront Functions ou Lambda@Edge ?

Combiner CloudFront Functions et Lambda@Edge vous offre deux options puissantes et flexibles pour exécuter du code en réponse aux événements CloudFront. Les deux options offrent des moyens sécurisés pour exécuter du code en réponse aux événements CloudFront sans gérer l'infrastructure. CloudFront Functions a été spécialement conçue pour les transformations et manipulations de requête/réponse légères, à grande échelle et sensibles à la latence. Lambda@Edge utilise des environnements d'exécution à usage général qui prennent en charge une vaste gamme de besoins informatiques et de personnalisations. Vous devez utiliser Lambda@Edge pour les opérations intensives de calcul. Il peut s'agir de calculs qui ont besoin de plus de temps avant d'être complétés (de plusieurs millisecondes à quelques secondes), qui prennent des dépendances sur des bibliothèques tierces externes, qui nécessitent des intégrations à d'autres services AWS (S3, DynamoDB, etc.), ou qui nécessitent des appels réseaux pour le traitement des données. Certains des cas d'utilisation avancés de Lambda@Edge les plus connus incluent la manipulation de manifeste HLS en streaming, les intégrations à l'autorisation tierce et aux services de détection de robots, le rendu côté serveur (SSR) des applications à page unique (SPA) à la périphérie, etc. Consultez la page des cas d'utilisation de Lambda@Edge pour plus de détails.

Q : Comment AWS assure-t-il la sécurité de CloudFront Functions ?

CloudFront Functions fournit les performances, l'évolutivité et la rentabilité que vous attendez, mais avec un modèle de sécurité unique qui offre des limites d'isolation strictes entre le code de fonctions. Lorsque vous exécutez du code personnalisé dans un environnement de calcul partagé et à locataires multiples, il est essentiel de maintenir un environnement d'exécution hautement sécurisé. Une personne mal intentionnée peut tenter d'exploiter les bogues présents dans l'environnement d'exécution, les bibliothèques ou le processeur, afin de divulguer des données sensibles à partir du serveur ou des fonctions d'un autre client. Sans une barrière d'isolation rigoureuse entre le code de fonction, ces codes malveillants sont possibles. AWS Lambda et Lambda@Edge réalisent déjà cet isolement de sécurité via l'isolation de machine virtuelle basée sur Firecracker. Avec CloudFront Functions, nous avons développé un modèle d'isolation basé sur les processus qui fournit le même niveau de sécurité contre les attaques par canal auxiliaire comme Spectre et Meltdown, les attaques basées la temporisation ou d'autres vulnérabilités de code. CloudFront Functions ne peut pas accéder aux données appartenant à d'autres clients, ni les modifier. Nous faisons cela en exécutant des fonctions dans un processus dédié sur un processeur dédié. CloudFront Functions s'exécute sur les travailleurs de processus qui ne servent qu'un seul client à la fois, et toutes les données spécifiques au client sont effacées (purgées) entre les exécutions.

CloudFront Functions n'utilise pas V8 comme moteur JavaScript. Le modèle de sécurité de Functions est différent et considéré comme plus sécurisé que le modèle basé sur les isolats v8 proposé par certains autres fournisseurs.

Q : Comment puis-je savoir que ma CloudFront Function s'exécutera sans entrave ?

Vous pouvez tester n'importe quelle fonction à l'aide de la fonctionnalité de test intégrée. Le test d'une fonction exécutera votre code sur une distribution CloudFront, afin de valider que la fonction produit le résultat attendu. Outre la validation de l'exécution du code, vous disposez également d'une métrique d'utilisation du calcul. La métrique d'utilisation du calcul vous indique en pourcentage à quel point votre fonction est proche de la limite de temps d'exécution. Par exemple, une utilisation de calcul de 30 signifie que votre fonction utilise 30 % du temps d'exécution total autorisé. Les objets de test peuvent être créés à l'aide d'un éditeur visuel, ce qui vous permet d'ajouter facilement des chaînes de requête, des en-têtes, des URL et des méthodes HTTP pour chaque objet ; vous pouvez aussi créer des objets de test à l'aide d'une représentation JSON de la requête ou de la réponse. Une fois le test exécuté, les résultats et la métrique d'utilisation du calcul peuvent être visualisés dans le même type d'éditeur visuel, ou en affichant la réponse JSON. Si la fonction s'exécute sans entrave et que la métrique d'utilisation du calcul n'est pas proche de 100, vous savez que la fonction opérera lorsqu'elle sera associée à une distribution CloudFront.

Q : Comment puis-je surveiller une CloudFront Function ?

CloudFront Functions produit à la fois des métriques et des journaux d'exécution pour surveiller l'utilisation et les performances d'une fonction. Des métriques sont générées pour chaque invocation d'une fonction et vous pouvez voir les métriques de chaque fonction individuellement sur la console CloudFront ou CloudWatch. Les métriques incluent le nombre d'invocations, l'utilisation du calcul, les erreurs de validation et les erreurs d'exécution. Si votre fonction entraîne une erreur de validation ou une erreur d'exécution, le message d'erreur apparaîtra également dans vos journaux d'accès CloudFront, vous donnant une meilleure visibilité sur l'impact de la fonction sur votre trafic CloudFront. En plus des métriques, vous pouvez également générer des journaux d'exécution en incluant une instruction console.log() dans votre code de fonction. Toute instruction de journal générera une entrée de journal CloudWatch qui sera envoyée à CloudWatch. Les journaux et les métriques sont inclus dans le prix de CloudFront Functions

Lambda@Edge

Q : Qu'est-ce que Lambda@Edge ?

Lambda@Edge est une extension de AWS Lambda qui vous permet d'exécuter du code à des emplacements périphériques globaux sans mise en service ni gestion de serveurs. Lambda@Edge offre un calcul sans serveur puissant et flexible pour des fonctions complexes et une logique d'application complète plus proche de vos utilisateurs. Les fonctions Lambda@Edge s'exécutent dans un environnement Node.js ou Python. Vous publiez des fonctions dans une seule région AWS, et lorsque vous associez la fonction à une distribution CloudFront, Lambda@Edge réplique automatiquement votre code dans le monde entier. Lambda@Edge évolue automatiquement, de quelques requêtes par jour à des milliers par seconde.

Q : Comment puis-je personnaliser du contenu avec Lambda@Edge ?

Lambda@Edge est exécutée en associant des fonctions à des comportements de cache spécifiques dans CloudFront. Vous pouvez également spécifier à quel moment pendant le traitement de la requête ou de la réponse CloudFront la fonction doit s'exécuter (c'est-à-dire lorsque la requête d'un utilisateur parvient, lorsqu'une requête est transférée ou reçue de l'origine, ou juste avant de répondre à l'utilisateur final). Vous pouvez écrire du code à l'aide de Node.js ou de Python à partir de la console Lambda, de l'API ou à l'aide de frameworks tels que le Modèle d'application sans serveur (SAM). Lorsque vous avez testé votre fonction, vous l'associez au comportement de cache CloudFront et au déclencheur d'événement sélectionnés. Une fois enregistrée, dès que la prochaine demande est envoyée à votre distribution CloudFront, la fonction est propagée jusqu'à l'emplacement périphérique CloudFront, s'ajuste et s'exécute en conséquence. Pour en savoir plus, reportez-vous à notre documentation.

Q : Quels événements Lambda@Edge peuvent être déclenchés avec Amazon CloudFront ?

Vos fonctions Lambda@Edge se déclenchent automatiquement suite aux événements Amazon CloudFront suivants :

  • Requête utilisateur : cet événement se produit lorsqu'un utilisateur final ou un appareil sur Internet adresse une requête HTTP(S) à CloudFront et que la requête arrive à l'emplacement périphérique le plus proche de cet utilisateur.
  • Réponse utilisateur : cet événement se produit lorsque le serveur CloudFront en périphérie est prêt à répondre à l'utilisateur final ou à l'appareil ayant formulé la requête.
  • Requête d'origine : cet événement se produit lorsque le serveur CloudFront en périphérie n'a pas l'objet demandé en cache et que la requête utilisateur est prête à être envoyée à votre serveur Web d'origine en backend (par exemple Amazon EC2, Application Load Balancer ou Amazon S3).
  • Réponse d'origine : cet événement se produit lorsque le serveur CloudFront en périphérie reçoit une réponse de votre serveur d'origine en backend.

Déploiement continu

Q : Qu'est-ce que le déploiement continu dans CloudFront ?

Le déploiement continu sur CloudFront permet de tester et de valider les changements de configuration avec une partie du trafic en direct avant de déployer les changements à tous les utilisateurs.

Le déploiement continu avec CloudFront vous offre un niveau élevé de sécurité de déploiement. Vous pouvez désormais déployer deux environnements distincts mais identiques, le bleu et le vert, et permettre une intégration simple dans vos pipelines d'intégration et de livraison continues (CI/CD) avec la possibilité de déployer des versions graduellement sans aucun changement de système de nom de domaine (DNS). Il garantit que votre spectateur bénéficie d'une expérience cohérente grâce à l'adhérence de la session en liant la session du spectateur au même environnement. En outre, vous pouvez comparer les performances de vos modifications en surveillant les journaux standard et en temps réel et revenir rapidement à la configuration précédente lorsqu’une modification a un impact négatif sur un service. 

Q : Comment configurer le déploiement continu dans CloudFront ?

Vous pouvez configurer le déploiement continu en associant une distribution de transition à une distribution primaire via la console CloudFront, le SDK, l’interface de ligne de commande (CLI) ou le modèle CloudFormation. Vous pouvez ensuite définir des règles pour diviser le trafic en configurant l’en-tête du client ou en composant un pourcentage du trafic à tester avec la distribution de transition. Une fois la configuration établie, vous pouvez la mettre à jour en y apportant les modifications souhaitées. CloudFront gérera la répartition du trafic vers les utilisateurs et fournira les analyses associées pour vous aider à décider si vous devez poursuivre le déploiement ou faire marche arrière. Une fois que les tests avec les distributions de transition ont été validés, vous pouvez fusionner les changements avec la distribution principale.

Pour en savoir plus sur cette fonction, consultez la page de documentation.

Q : Comment vais-je mesurer les résultats du déploiement continu ?

Le déploiement continu permet un suivi réel des utilisateurs grâce à un trafic web réel. Vous pouvez utiliser l’une des méthodes de surveillance existantes - console CloudFront, API CloudFront, CLI ou CloudWatch - pour mesurer individuellement les paramètres opérationnels de la distribution primaire et de la distribution de transition. Vous pouvez mesurer les critères de réussite de votre application spécifique en mesurant et en comparant les paramètres de débit, de latence et de disponibilité entre les deux distributions.

Q : Puis-je utiliser les distributions existantes ?

Oui, vous pouvez utiliser n’importe quelle distribution existante comme base de référence pour créer une distribution de transition et introduire et tester les changements.

Q : Comment le déploiement continu fonctionne-t-il avec les fonctions CloudFront et Lambda@Edge ?

Avec le déploiement continu, vous pouvez associer différentes fonctions aux distributions primaire et de transition. Vous pouvez également utiliser la même fonction avec les deux distributions. Si vous mettez à jour une fonction qui est utilisée par les deux distributions, elles reçoivent toutes deux la mise à jour.

Q : Comment utiliser les distributions de déploiement continu avec AWS CloudFormation ?

Chaque ressource de votre pile CloudFormation correspond à une ressource AWS spécifique. Une distribution de transition aura son propre ID de ressource et fonctionnera comme toute autre ressource AWS. Vous pouvez utiliser CloudFormation pour créer/mettre à jour cette ressource.

Q : Comment le déploiement continu sur CloudFront favorise-t-il l’adhésion aux sessions ?

Lorsque vous utilisez une configuration basée sur le poids pour acheminer le trafic vers une distribution de transit, vous pouvez également activer l’adhérence de session, qui permet de s’assurer que CloudFront traite les demandes provenant du même utilisateur comme une seule session. Lorsque vous activez l’adhérence de session, CloudFront définit un cookie afin que toutes les demandes provenant du même utilisateur dans une même session soient servies par une seule distribution, soit la distribution primaire, soit la distribution de secours.

Q : Quel est le coût de cette fonction ?

La fonction de déploiement continu est disponible sur tous les emplacements périphériques de CloudFront sans coût supplémentaire.

IPv6

Q : Que signifie IPv6 ?

Chaque serveur et appareil connecté à Internet doit disposer d'une adresse IP (Internet Protocol) numérique. Internet et le nombre de personnes l'utilisant s'étendent de façon exponentielle, et il en va de même pour la demande en adresses IP. IPv6 est une nouvelle version d'Internet Protocol, qui repose sur un espace d'adressage plus vaste que son prédécesseur, IPv4. Avec le protocole IPv4, chaque adresse IP se compose de 32 bits, soit 4,3 milliards d'adresses uniques possibles. Voici un exemple d'adresse IPv4 : 192.0.2.1. À titre de comparaison, les adresses IPv6 sont composées de 128 bits, ce qui permet d'obtenir environ 340 billions de billions d'adresses IP uniques. Voici un exemple d'adresse IPv6 : 2001:0db8:85a3:0:0:8a2e:0370:7334.

Q : Que puis-je faire avec IPv6 ?

Grâce à la prise en charge d'IPv6 pour Amazon CloudFront, les applications peuvent se connecter aux emplacements périphériques Amazon CloudFront sans passer par un logiciel ou système de traduction d'IPv6 vers IPv4. Vous pouvez respecter les conditions d'adoption d'IPv6 fixées par les gouvernements, y compris les américaines. gouvernement fédéral américain –, et bénéficier de l'extensibilité d'IPv6, de la simplicité de sa gestion réseau et de son support additionnel intégré pour la sécurité.

Q : Les performances d'Amazon CloudFront seront-elles différentes avec IPv6 ?

Non. Vous obtiendrez les mêmes performances avec Amazon CloudFront, que vous utilisiez IPv4 ou IPv6.

Q : Existe-t-il des fonctionnalités d'Amazon CloudFront non compatibles avec IPv6 ?

Toutes les fonctionnalités existantes d'Amazon CloudFront continueront à fonctionner sur IPv6, mais deux modifications seront peut-être nécessaires pour le traitement des adresses IPv6 internes avant que vous activiez IPv6 pour vos distributions.

  1. Si vous avez activé les journaux d'accès Amazon CloudFront, vous voyez l'adresse IPv6 de l'utilisateur dans le champ « c-ip», et il peut être nécessaire de vérifier que vos systèmes de traitement des journaux continuent de fonctionner pour IPv6.
  2. Lorsque vous activez IPv6 pour votre distribution Amazon CloudFront, vous voyez les adresses IPv6 dans l'en-tête « X-Forwarded-For » qui est envoyé à vos origines. Si vos systèmes d'origine peuvent uniquement traiter les adresses IPv4, il peut être nécessaire de vérifier que vos systèmes d'origine continuent de fonctionner pour IPv6.

De plus, si vous utilisez des listes blanches d'IP pour les utilisateurs de confiance, vous pouvez uniquement avoir recours à une distribution IPv4 pour les URL des utilisateurs de confiance avec des listes blanches d'IP et une distribution IPv4/IPv6 pour tous les autres contenus. Ce modèle vous permet de contourner un problème qui se présenterait si la demande de signature arrivait via une adresse IPv4 et était signée comme telle, suivie d'une demande de contenu arrivant via une adresse IPv6 différente ne se trouvant pas sur la liste blanche.

Pour en savoir plus sur la prise en charge d'IPv6 dans Amazon CloudFront, consultez « « pris en charge d’IPv6 sur Amazon CloudFront » dans le Guide du développeur d'Amazon CloudFront.

Q : Est-ce que cela signifie que si je souhaite utiliser IPv6, je ne peux pas utiliser d'URL signées de confiance avec une liste blanche IP ?

Si vous désirez utiliser IPv6 et des URL d'utilisateurs de confiance avec une liste blanche d'IP, vous devrez utiliser deux distributions indépendantes. L'une d'entre elles sera exclusivement dédiée à vos URL d'utilisateurs de confiance avec liste blanche d'IP, avec IPv6 désactivé. L'autre distribution sera utilisée pour tous les autres contenus et sera compatible avec IPv4 et IPv6.

Q : Si j'active IPv6, l'adresse IPv6 s'affiche-t-elle dans le journal des accès ?

Oui, les adresses IPv6 de l'utilisateur seront affichées dans le champ « c-ip » des journaux d'accès si les journaux d'accès Amazon CloudFront sont activés. Vous devrez peut-être vérifier que vos systèmes de traitement de journaux continuent de fonctionner pour les adresses IPv6 avant d'activer IPv6 pour vos distributions. En cas de difficulté liée à l'impact du trafic IPv6 sur votre outil ou logiciel de traitement des adresses IPv6 consignées dans les journaux d'accès, contactez le Support développeurs. Pour plus d'informations, consultez la documentation sur les journaux d'accès Amazon CloudFront.

Q : Puis-je désactiver IPv6 pour toutes mes nouvelles distributions ?

Oui, la console ou l'API Amazon CloudFront peut être utilisée pour activer ou désactiver IPv6 pour chaque distribution nouvelle ou existante.

Q : Pourquoi voudrais-je désactiver IPv6 ?

Lors des discussions avec les clients, le seul cas courant qui a été avancé était le traitement interne des adresses IP. Quand vous activez IPv6 pour votre distribution Amazon CloudFront, en plus d'une adresse IPv6 dans vos journaux d'accès détaillés, vous voyez les adresses IPv6 dans l'en-tête « X-Forwarded-For» qui est envoyé à vos origines. Si vos systèmes d'origine ne peuvent traiter que les adresses IPv4, il peut être nécessaire de vérifier qu'ils continuent de fonctionner avec des adresses IPv6 avant d'activer IPv6 dans vos distributions.

Q : J'ai activé IPv6 pour mes distributions, mais une requête DNS ne renvoie aucune adresse IPv6. Que se passe-t-il ?

Amazon CloudFront dispose d'une connectivité très diverse autour du monde, mais certains réseaux ne proposent pas encore de connectivité IPv6 universelle. Le protocole IPv6 est indispensable à l'avenir d'Internet sur le long terme, mais dans un futur proche, chaque point de terminaison sur Internet sera doté d'une connectivité IPv4. Si certains secteurs d'Internet possèdent une connectivité IPv4 supérieure à leur connectivité IPv6, nous privilégierons la connectivité IPv6.

Q : Si j'utilise Route 53 pour répondre à mes besoins en matière de DNS et que je crée un jeu d'enregistrements alias donnant sur une distribution Amazon CloudFront, faut-il que je mette à jour mes jeux d'enregistrements alias pour activer IPv6 ?

Oui, vous pouvez créer des jeux d'enregistrement alias Route 53 donnant sur votre distribution Amazon CloudFront pour prendre en charge à la fois le protocole IPv4 et le protocole IPv6, en utilisant les types de jeux « A » et « AAAA », respectivement. Si vous ne souhaitez activer que l'IPv4, vous n'avez besoin que d'un jeu d'enregistrements alias de type « A ». Pour plus d'informations sur les ensembles d'enregistrements de ressources alias, consultez le Guide du développeur Amazon Route 53.

Facturation

Q : Quels types d'utilisation sont compris dans l'offre gratuite d'AWS pour Amazon CloudFront ?

À compter du 1er décembre 2021, tous les clients AWS bénéficieront gratuitement de 1 To de transfert de données sortantes, de 10 000 000 de requêtes HTTP/HTTPS et de 2 000 000 d'appels CloudFront Function par mois. Toutes les autres types d'utilisation (invalidations, requêtes proxy, Lambda@Edge, Origin Shield, transfert de données vers le serveur d'origine, etc.) sont exclus de l'offre gratuite.  

Q : En optant pour la facturation consolidée, est-il possible de bénéficier de l'offre gratuite d'AWS pour chaque compte ?

Non, les clients qui utilisent la facturation consolidée pour regrouper le paiement de plusieurs comptes n'ont accès qu'à une seule offre gratuite par organisation.

Q : Que se passe-t-il si mon utilisation englobe plusieurs régions et si je dépasse les limites de l'offre gratuite ?

L'offre gratuite se limite à 1 To de transfert de données et à 10 millions de requêtes Get par mois pour tous les emplacements périphériques. Si votre utilisation dépasse les limites mensuelles de l'offre gratuite, vous êtes soumis aux tarifs standard du service AWS à la demande pour chaque région. Pour obtenir des détails complets sur la tarification, consultez la page Tarification d'AWS CloudFront.

Q : Comment savoir ce que j'ai utilisé et si j'ai dépassé les niveaux de l'offre gratuite ?

Pour déterminer le niveau actuel et passé de votre utilisation par région, connectez-vous à votre compte et accédez à Billing & Cost Management Dashboard (Tableau de bord de gestion de la facturation et des coûts). Dans ce tableau de bord, vous pouvez gérer vos coûts et votre utilisation à l'aide d'AWS Budgets, visualiser vos générateurs de coûts et vos tendances d'utilisation via Cost Explorer et approfondir l'analyse de vos coûts à l'aide des rapports de coût et d'utilisation. Pour en savoir plus sur la façon de contrôler vos coûts AWS, regardez le tutoriel sur le contrôle des coûts AWS (durée : 10 minutes).

Q : L'offre gratuite s'applique-t-elle aux clients inscrits à la solution groupée CloudFront Security Savings ?

Les clients inscrits à la solution groupée CloudFront Security Savings ont également accès à l'offre gratuite. Si vous jugez préférable de réduire votre engagement envers la solution groupée CloudFront Security Savings au profit de l'offre gratuite, contactez notre service clients afin que nous évaluions votre demande de modification. Nous vous fournirons des détails supplémentaires à ce sujet dans les prochains jours. Restez à l'écoute. 

Vous trouverez des questions supplémentaires sur la page https://thinkwithwp.com/free/free-tier-faqs/.

Q : Comment mon utilisation d'Amazon CloudFront est-elle facturée ?

Les frais Amazon CloudFront sont basés sur l'utilisation réelle du service dans cinq domaines : transfert de données sortantes, requêtes HTTP/HTTPS, demandes d'invalidation, demandes de journaux en temps réel et certificats SSL personnalisés à IP dédiée associés à une distribution CloudFront.

Avec le niveau d'offre gratuite d'AWS, vous pouvez démarrer avec Amazon CloudFront gratuitement et maîtriser vos coûts à mesure que votre utilisation évolue. Tous les clients CloudFront bénéficient gratuitement de 1 To de transfert de données sortantes et de 10 000 000 de requêtes HTTP et HTTPS pour Amazon CloudFront, même lorsque ces limites sont dépassées.

  • Transfert de données sortantes vers Internet
    Le volume de données transféré, mesuré en Go, depuis les emplacements périphériques Amazon CloudFront, vous es facturé. Vous pouvez consulter les tarifs du transfert de données Amazon CloudFront vers Internet ici. Notez que votre utilisation du transfert de données est totalisée séparément pour des régions géographiques spécifiques. Le coût est ensuite calculé en fonction des niveaux de tarification de chaque zone. Si vous utilisez d’autres services AWS comme origines de vos fichiers, votre utilisation de ces services est facturée séparément, notamment le stockage et les heures de calcul. Si vous utilisez un serveur d’origine AWS (comme Amazon S3, Amazon EC2, etc.), nous ne facturons plus le transfert de données AWS en dehors d’Amazon CloudFront depuis le 1er décembre 2014. Cela concerne le transferts de données à partir de l'ensemble des régions AWS vers tous les emplacements périphériques CloudFront dans le monde.
  • Transfert sortant de données vers le serveur d'origine
    Vous serez facturé pour le volume de données transférées sortant, mesuré en Go, des emplacements périphériques d'Amazon CloudFront vers votre serveur d'origine (serveurs d'origine AWS et autres serveurs d'origine). Vous pouvez consulter les tarifs du transfert de données Amazon CloudFront vers le serveur d'origine ici.
  • Requêtes HTTP/HTTPS
    Vous serez facturé en fonction du nombre de requêtes HTTP/HTTPS faites à Amazon CloudFront pour votre contenu. Vous pouvez consulter les tarifs des demandes HTTP/HTTPS ici.
  • Demandes d'invalidation
    Vous êtes facturé pour chaque chemin dans votre demande d'invalidation. Un chemin figurant dans votre demande d'invalidation désigne l'URL (ou plusieurs URL si le chemin contient un caractère générique) de l'objet que vous souhaitez invalider du cache CloudFront. Chaque mois, vous pouvez demander gratuitement jusqu'à 1 000 chemins à partir d'Amazon CloudFront. Au-delà des 1 000 premiers chemins, chaque chemin figurant dans vos demandes d'invalidation est facturé. Vous pouvez consulter les tarifs des demandes d'invalidation ici.
  • Demandes de journaux en temps réel
    Les journaux en temps réel sont facturés en fonction du nombre de lignes de journal générées. Vous payez 0,01 USD pour chaque million de lignes de journal que CloudFront publie vers votre destination de journal.
  • Certificats SSL personnalisés dédiés
    Chaque certificat SSL personnalisé associé à une ou plusieurs distributions CloudFront utilisant la variante IP dédiée de l'option de prise en charge des certificats SSL personnalisés coûte 600 USD. Ces frais mensuels sont calculés au prorata du nombre d'heures. Par exemple, si votre certificat SSL personnalisé a été associé avec au moins une distribution CloudFront pendant seulement 24 heures (c.-à-d. 1 jour) au cours du mois de juin, vos frais totaux pour l'utilisation de la fonctionnalité de certificat SSL personnalisé en juin s'élèveront à (1 jour / 30 jours) * 600 USD = 20 USD. Pour utiliser la fonctionnalité de prise en charge des certificats SSL personnalisés à IP dédiée, chargez un certificat SSL et associez-le à vos distributions CloudFront à l'aide d'AWS Management Console. Si vous devez associer plus de deux certificats SSL personnalisés à vos distributions CloudFront, incluez les informations relatives à votre cas d'utilisation et le nombre de certificats SSL personnalisés que vous comptez utiliser dans le formulaire d'augmentation de limite CloudFront.

Les niveaux d'utilisation pour le transfert de données sont mesurés séparément pour chaque région géographique. Les prix ci-dessus excluent les taxes, honoraires ou autres frais gouvernementaux applicables, le cas échéant, sauf mention contraire.

Q : Vos prix sont-ils toutes taxes comprises ?

Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. En savoir plus.

Q : Combien me coûteront les journaux en temps réel?
Si votre distribution traite 1 000 demandes par seconde avec une taille de log de 1 Ko et que vous créez un Kinesis Data Stream dans la région USA Est (Ohio) avec 2 partitions :

Coût mensuel du Kinesis Data Stream : 47,74 USD/mois, calculé à l'aide du calculateur Kinesis ici.

Coût mensuel des journaux en temps réel CloudFront : demandes par mois X coût des journaux en temps réel = 1 000 x (60 sec x 60 min x 24 heures x 30 jours) X (0,01 USD/1 000 000) = 25,92 USD/mois

Q : Comment les réponses 304 me sont-elles facturées ?

Une réponse 304 est une réponse à une demande GET conditionnelle, pour laquelle seuls la requête HTTP/HTTPS et le transfert sortant de données vers Internet vous seront facturés. Une réponse 304 ne contient pas de corps de message. Toutefois, les en-têtes HTTP consommeront de la bande passante, pour laquelle vous serez facturé au taux de transfert de données CloudFront standard. Le volume de transfert de données dépend des en-têtes associés à votre objet.

Q : Est-il possible de choisir de distribuer mon contenu uniquement dans les régions Amazon CloudFront les moins chères ?

Oui, les « catégories de tarifs » vous donnent la possibilité de payer moins pour diffuser du contenu à partir d'Amazon CloudFront. Par défaut, Amazon CloudFront minimise la latence côté utilisateur en diffusant le contenu à partir de l'ensemble de son réseau mondial d'emplacements périphériques. Cependant, comme nous facturons un prix supérieur dans les régions où nos coûts sont plus élevés, il y a certains cas où vous payez plus cher pour diffuser votre contenu avec une faible latence pour les utilisateurs finaux. Les catégories de tarifs vous permettent de réduire vos frais de diffusion en excluant les emplacements périphériques Amazon CloudFront les plus chers de votre distribution Amazon CloudFront. Dans ce cas, Amazon CloudFront diffuse votre contenu à partir d'emplacements périphériques au sein des régions de la catégorie de tarif choisie ; les transferts et demandes de données vous sont facturés en fonction des tarifs de la région au sein de laquelle le contenu a effectivement été diffusé.

Si vous souhaitez avant tout privilégier les performances, aucune action n'est requise de votre part : votre contenu sera diffusé à partir de l'ensemble de nos emplacements. Toutefois, si vous souhaitez utiliser une autre catégorie de tarif, vous pouvez configurer votre distribution via AWS Management Console ou via l'API Amazon CloudFront. Si vous optez pour une catégorie de tarif qui n'inclut pas tous les emplacements, certains de vos utilisateurs, en particulier au niveau des emplacements géographiques non compris dans la catégorie choisie, peuvent rencontrer une latence supérieure à celle qu'ils auraient eue si votre contenu était diffusé à partir de tous les emplacements Amazon CloudFront.

Remarque : Amazon CloudFront peut, occasionnellement, traiter les demandes liées à votre contenu à partir d'un emplacement périphérique n'appartenant pas à votre catégorie de tarif. Dans ce cas, seuls les frais de l'emplacement le moins onéreux de votre catégorie de tarif vous seront facturés.

Pour consulter la liste des emplacements inclus dans chaque catégorie de tarif, cliquez ici.

CloudFront Security Savings Bundle

Q : Qu'est-ce que la solution CloudFront Security Savings Bundle ?

CloudFront Security Savings Bundle est un plan de tarification en libre-service flexible pouvant réduire jusqu'à 30 % votre facture CloudFront, en contrepartie d'un engagement quant à un volume constant d'utilisation mensuelle (par exemple, 100 USD/mois) pour une période d'un an.  Qui plus est, une utilisation d'AWS WAF (Pare-feu de l'application Web), pour jusqu'à 10 % du montant de votre forfait engagé pour la protection des ressources CloudFront, est incluse sans frais supplémentaires.  Par exemple, un engagement de 100 USD d'utilisation de CloudFront par mois couvrirait 142,86 USD d'utilisation de CloudFront, soit une économie de 30 % par rapport aux tarifs standard. De plus, jusqu'à 10 USD d'utilisation d'AWS WAF sont inclus pour protéger vos ressources CloudFront sans frais supplémentaires chaque mois (jusqu'à 10 % de votre engagement CloudFront).  Des frais standard CloudFront et AWS WAF s'appliquent à toute utilisation supérieure à la couverture prévue par votre engagement de dépense mensuelle.  À mesure que votre utilisation augmente, vous pouvez acheter des solutions groupées supplémentaires pour obtenir des réductions par rapport à une utilisation supplémentaire. 

Q : Quels sont les types d'utilisation couverts par une solution CloudFront Security Savings Bundle ?

En achetant une solution CloudFront Security Savings Bundle, vous bénéficiez d'une économie de 30 % qui apparaîtra dans la rubrique du service CloudFront de votre facture mensuelle et qui compensera tous les types d'utilisation facturés par CloudFront, notamment le transfert de données sortantes, le transfert de données vers le serveur d'origine, les frais de requête HTTP/S, les demandes de chiffrement au niveau du champ, Origin Shield, les invalidations, les certificats SSL personnalisés à IP dédiée et les frais Lambda@Edge.  Vous recevrez également des avantages supplémentaires qui vous aideront à couvrir l'utilisation d'AWS WAF associée à vos distributions CloudFront. 

Q : Comment démarrer avec la solution groupée CloudFront Security Savings Bundle ?
Vous pouvez commencer à utiliser la solution CloudFront Security Savings Bundle en vous rendant sur la console CloudFront pour obtenir des recommandations sur le montant de l'engagement en fonction de votre utilisation historique de CloudFront et d'AWS WAF ou en renseignant votre propre estimation d'utilisation mensuelle. Vous obtenez une comparaison entre les coûts mensuels de la solution CloudFront Security Savings Bundle et les coûts à la demande vous permettant d'avoir une estimation des économies pour vous aider à décider du forfait le mieux adapté à vos besoins.  Une fois que vous aurez souscrit à une solution Savings Bundle, votre engagement mensuel vous sera facturé et vous verrez apparaître des crédits qui compenseront vos frais d'utilisation de CloudFront et de WAF.  Des frais de service standard s'appliquent à toute utilisation supérieure à la couverture prévue par votre engagement de dépense mensuelle. 

Q : Que se passe-t-il lorsque ma solution CloudFront Security Savings Bundle expire après la période d'un an ?

À l'expiration de la période de votre solution CloudFront Security Savings Bundle, des frais de service standard seront appliqués pour votre utilisation de CloudFront et d'AWS WAF.   L'engagement d'utilisation mensuelle de la solution Savings Bundle ne sera plus facturé et les avantages ne s'appliqueront plus.  À tout moment avant l'expiration de la durée de votre solution, vous pouvez choisir de renouveler automatiquement la solution CloudFront Security Savings Bundle pour une nouvelle période d'un an.

Q : Comment fonctionne la solution CloudFront Security Savings Bundle avec AWS Organizations/la facturation consolidée ?

Il est possible d'acheter la solution CloudFront Security Savings Bundle dans n'importe quel compte d'une famille AWS Organization/de facturation consolidée.   Les avantages de la solution CloudFront Security Savings Bundle sont appliqués sous la forme de crédits sur votre facture. Les avantages offerts par la solution Savings Bundle sont applicables à l'utilisation de tous les comptes au sein d'une famille AWS Organization/de facturation consolidée par défaut (le partage de crédits est activé) et dépendent du moment où le compte abonné rejoint ou quitte une organisation.  Consultez Crédits AWS pour en savoir plus sur l'application des crédits AWS à des comptes uniques et multiples.

Q : Puis-je avoir plusieurs solutions CloudFront Security Savings Bundles actives en même temps ?

Oui, vous pouvez acheter des solutions CloudFront Security Savings Bundles supplémentaires à mesure que votre utilisation augmente pour ainsi obtenir des réductions sur toute utilisation supplémentaire.   Toutes les solutions CloudFront Security Savings Bundles actives seront prises en compte dans le calcul de votre facture AWS.

Q : Comment la solution CloudFront Security Savings Bundle apparaîtra-t-elle sur ma facture ?

Vos frais d'engagement mensuel apparaîtront sur votre facture dans une section CloudFront Security Bundle distincte.  L'utilisation couverte par votre solution CloudFront Security Savings Bundle apparaîtra dans les rubriques CloudFront et WAF de votre facture sous forme de crédits pour compenser vos frais d'utilisation standard.  

Q : Puis-je être averti si mon utilisation dépasse mon engagement mensuel d'utilisation de la solution CloudFront Security Savings Bundle ?

Oui, Budgets AWS vous permet de fixer des seuils de coût et d'utilisation, mais aussi de recevoir des notifications par e-mail ou par rubrique Amazon SNS lorsque vos frais réels ou prévus dépassent le seuil.  Vous pouvez créer un budget AWS personnalisé filtré pour le service CloudFront et fixer le montant du seuil de budget par rapport à l'utilisation à la demande de CloudFront couverte par votre solution CloudFront Security Savings Bundle, et ainsi être averti lorsque ce seuil a été dépassé.   Pour de plus amples informations sur les budgets, consultez les sections Managing your costs with AWS Budgets et Creating a budget du manuel AWS Billing and Cost Management User Guide. 

Q : Quelle partie de ma facture WAF est couverte par la solution CloudFront Security Savings Bundle ?

La solution CloudFront Security Savings Bundle offre un avantage supplémentaire, à savoir l'inclusion sans frais supplémentaires d'une utilisation d'AWS WAF, allant jusqu'à 10 % du montant de votre forfait engagé pour la protection des ressources CloudFront. Les frais standard de CloudFront et AWS WAF s'appliquent à toute utilisation allant au-delà de la couverture prévue par la solution Amazon CloudFront Security Savings Bundle.  Les règles WAF gérées et souscrites par le biais d'AWS Marketplace ne sont pas couvertes par la solution CloudFront Security Savings Bundle. 

Q : Si je dispose déjà d'un accord de tarification personnalisée pour CloudFront, puis-je également souscrire à la solution CloudFront Security Savings Bundle ?

Vous ne pouvez être abonné qu'à l'une ou l'autre offre.  Veuillez contacter votre gestionnaire de compte AWS si vous avez des questions concernant votre accord de tarification personnalisée.

Q : Puis-je souscrire à une solution CloudFront Security Savings Bundle via une API ?

Vous ne pouvez souscrire à la solution CloudFront Security Savings Bundle que via la console CloudFront.  Nous évaluerons sa mise à disposition via une API comme amélioration à venir. 

Découvrir comment démarrer gratuitement avec Amazon CloudFront

Visitez la page de démarrage