CloudFront CDN †

• Amazon CloudFront（コンテンツ・ストリーミング配信サービス） | アマゾン ウェブ サービス (AWS 日本語)
  • CloudFront専用ドメインにCNAMEを付けて使う。例：xxxxxxxxxxxxx.cloudfront.net CNAME www.example.com
  • コンテンツキャッシュのTTLは0秒以上で設定できるようになった
  • Restrict Bucket Access:YesにするとS3への直接アクセスは禁止、CloudFrontからのみアクセスできるようになる
  • /hoge/ ではコンテンツは表示されず、/hoge/index.html と記載する必要がある
  • SSLでのアクセスの場合、Hostヘッダーを許可すると「502 Bad Gateway」になるため。許可しない。
    • Cloudfront-Origin間のHTTPS通信エラー原因と対策（502:Bad Gateway） - Qiita

• 無効リクエスト(Invalidating)
  • Invalidating Objects (Download Distributions Only) APIドキュメント
  • 毎月1,000ファイルまで無償で無効化できる。それ以上は有償
  • Q: Amazon CloudFront の価格はいくらですか？
  • Q: 無効リクエスト数には制限がありますか？
  • (PDF)エッジロケーションからファイルを削除する方法に関する一般的な注意
  • How to invalidate items in AWS CloudFront PHP製ツール
  • AWS SDK fot .NET で CloudFrontのInvalidationを使う - hayashihがOSをインストールする日記

• 記事
  • [アップデート] CloudFront で動的に Brotli 形式の圧縮をできるようになりました！ | Developers.IO
  • Amazon CloudFront を活用したウェブサイトの可用性向上 | Amazon Web Services ブログ
  • [小ネタ] CloudFrontでクエリ文字列を転送しているときのInvalidationにはクエリ文字列を忘れないように注意しよう | Developers.IO
  • オリジンを S3 とした CloudFront に対して、存在しないオブジェクトへアクセスした際の HTTP ステータスコードが 403 Forbidden になったときの対処方法 | Developers.IO
  • Amazon CloudFrontはボディを含むGETリクエストに403(Forbidden)を返します | Developers.IO
  • CloudFrontの作成や更新時間が約5倍高速になりました | Developers.IO
  • [アップデート] Amazon CloudFrontでリソースレベルとタグベースでのアクセス許可が設定できるようになりました！ ｜ DevelopersIO
  • AWS再入門ブログリレー Amazon CloudFront 編 ｜ DevelopersIO

• Amazon CloudFront の代替ドメイン名(CNAMEs)設定に SSL 証明書が必須になりました ｜ DevelopersIO
• WP管理者必見！AWSで構築する新スケーラブルなWordPress構成〜CloudFront as Reverse Proxy ｜ Developers.IO
• [新機能] Amazon CloudFrontでHostヘッダを転送する ｜ Developers.IO
• [新機能] Amazon CloudFrontがジオターゲティングに対応しました ｜ Developers.IO
• CloudFrontのオリジンサーバによる機能の違い ｜ Developers.IO
• Amazon CloudFrontの強化されたアクセス分析機能を整理してみた ｜ Developers.IO
• Amazon S3 + CloudFrontによるYumリポジトリにリダイレクトルールを適用する ｜ Developers.IO
• Amazon CloudFrontのキャッシュ期間をコントロールする(2015年6月版) ｜ Developers.IO
• [CloudFront + S3]特定バケットに特定ディストリビューションのみからアクセスできるよう設定する ｜ Developers.IO
• memorycraft: S3ってなんじゃ？（CloudFrontでアクセス制御：Origin Access Identity × 署名付きURL）
• memorycraft: S3ってなんじゃ？（CloudFrontでストリーミングログを取得）

署名(有効期限)付きURL、署名付きCookie †

• 署名付き URL と署名付き Cookie を使用したプライベートコンテンツの提供 - Amazon CloudFront

• 記事
  • 【SAP対策】CloudFrontで署名付きURLを発行する【やってみた】 | Developers.IO

不明なAWSアカウントIDのCloudFront †

問題:

• us-east-1のACMに、見覚えのないCloudFrontとAWS account id(969236854626)がある

  arn:aws:cloudfront::969236854626:distribution/0123456789ABCD

• us-east-1のCloudFrontを見ても、該当のdistribution IDは無い。
• どこから使われてるのか分からない。ACMは参照元がある限り消せない。

対処:

• API Gatewayでカスタムドメインを使い、httpsを設定すると、自動でCloudFrontが作られる。リージョン毎に固定のAWSアカウントIDが使われる。
  • エッジ最適化のカスタムドメイン名を作成する方法 - Amazon API Gateway

    リージョン固有の API Gateway アカウント ID の 1 つにより識別されます

    ap-northeast-1 969236854626

    • 使用していないカスタムドメインなら消す。そうすると、ACM側も消せるようになる。

• 記事
  • [AWS] 知らないアカウントIDのCloudFrontが自分のACM証明書を使っていると思ったけど違った

アクセスログと検索 †

• アクセスログの設定および使用 - Amazon CloudFront
  • S3上に保存できる

• Amazon CloudFront ログのクエリ - Amazon Athena
  • Athenaから検索できる

• 記事
  • Amazon CloudFrontに2019年12月から追加されていたアクセスログの7つの新フィールドについて確認してみた | Developers.IO
  • CloudFrontログを別のAWSアカウントのS3バケットに出力する ｜ DevelopersIO

Basic認証 †

• 記事
  • Basic認証のあるサイトをCloudFrontでキャッシュする ｜ Developers.IO
  • 周回遅れエンジニアノート: CloudFront で Basic 認証使う

トラブルシューティング †

• 記事
  • [こんな時どうする]CloudFrontのログが出力されない時の確認と対応事例 ｜ DevelopersIO

証明書のpublic keyサイズは2048bitまで †

4096bitの証明書はACMへインポートはできるが、CloudFrontでは使えない。

• CloudFront で SSL/TLS の証明書を使用するための要件 - Amazon CloudFront

  パブリックキーのサイズ

  証明書のパブリックキーの長さは、その保存場所によって異なります。

  AWS Certificate Manager (ACM) への証明書のインポート: パブリックキーの長さは 1,024 ビットまたは 2,048 ビットであることが必要です。ACM ではより大規模なキーがサポートされていますが、CloudFront で使用する証明書の制限は 2048 ビットです。

  AWS Identity and Access Management (IAM) 証明書ストアへの証明書のアップロード: パブリックキーの最大サイズは 2,048 ビットです。

  2,048 ビットを使用することをお勧めします。

• 記事
  • CloudFront用に証明書をインポートするときは鍵長に注意しよう 〜ZeroSSLでデフォルトで作成される鍵を例にして〜 ｜ DevelopersIO

https対応 †

httpsコンテンツ中にhttpが混ざると警告を発する。

• CloudFront で HTTPS を使用する - Amazon CloudFront

• https://xxxxx.cloudfront.net/
  • cloudfront自体のSSL証明書を使う

• https://www.example.com/
  • 独自ドメイン + 独自SSL証明書を使う

• 記事
  • Amazon CloudFrontで専用IPによる独自SSLを試してみた | Developers.IO SNI非対応のクライアントの場合

キャッシュの削除 †

• オブジェクトの無効化 (ウェブディストリビューションのみ) - Amazon CloudFront

• 有効期限前にキャッシュを無効化できる

• 記事

• 【朗報】Amazon CloudFrontのキャッシュ削除(Invalidation)が速くなりました【5秒で90%】 ｜ Developers.IO

• awscliの場合:

# curlでキャッシュの状態を確認
curl -I https://example1234.cloudfront.net/path/to/image.jpg
...
X-Cache: Hit from cloudfront

# distribution-id一覧
AWS_PROFILE=default
aws cloudfront list-distributions --profile $AWS_PROFILE --query 'DistributionList.Items[].[Id,DomainName,Origins.Items[].DomainName]'

# distribution-idとpathを指定してキャッシュを削除
aws cloudfront create-invalidation \
 --distribution-id ABCD1234 \
 --paths /path/to/image.jpg \
 --profile $AWS_PROFILE

# invalidationsの一覧と進行状況表示。Status: Completedなら完了
aws cloudfront list-invalidations \
 --distribution-id invalidation \
 --profile $AWS_PROFILE

# curlでキャッシュの有効期限が切れた事を確認
curl -I https://example1234.cloudfront.net/path/to/image.jpg
...
X-Cache: Miss from cloudfront

S3 + CloudFront時にDirectoryIndexを使えるようにする †

• S3 Origin + CloudFrontの場合、DirectoryIndexの設定をすると http://example.cloudfront.net/ へのリクエストでindex.htmlは読み込んでくれる。しかし、/subpage/ では index.htmlは読んでくれない。Lambda@edgeを使えばindex.htmlを返せそう
  • できた！S3 オリジンへの直接アクセス制限と、インデックスドキュメント機能を共存させる方法 | DevelopersIO

• Custom OriginでS3バケットを指定 + CloudFrontの場合はサブページ以下のindex.htmlも読んでくれるようだ。(未確認)
  • CloudFront に S3 bucket のサブディレクトリパスのコンテンツを参照させる - Qiita