Amazon CloudFront 文档

Amazon CloudFront 是一种内容分发网络服务，旨在以低延迟和高传输速度向客户传送数据、视频、应用程序和 API。
 
CloudFront 提供安全功能，包括领域级加密和 HTTPS 支持，与 Amazon Shield、Amazon Web Application Firewall 和 Amazon Route 53 集成，以防止多种类型的攻击，包括网络和应用层 DDoS 攻击。这些服务共同驻留在边缘网络位置，并通过亚马逊云科技网络主干网连接，为您的用户提供更安全、性能和可用的体验。
 
CloudFront 与亚马逊云科技源（如 Amazon S3、Amazon EC2 和 Elastic Load Balancing）以及自定义 HTTP 源代码一起工作。您可以使用 CloudFront Functions 和 Amazon Lambda@Edge 通过 CloudFront 函数定制您的内容交付。

CloudFront 边缘站点通过亚马逊云科技网络骨干连接到亚马逊云科技区域，该主干包括多个冗余的并行光纤链路，还与第三方网络建立连接，从而提升来源获取效率和动态内容的加载速度。

针对网络和应用层攻击的保护

Amazon CloudFront、Amazon Shield、Amazon Web Application Firewall（Amazon WAF）和 Amazon Route 53 协同工作，共同构建一个多层次的安全防护体系，抵御多种类型的攻击，包括网络和应用层 DDoS 攻击。所有这些服务都位于亚马逊云科技的边缘位置，为应用程序和内容提供可扩展、可靠且高性能的安全防护区域。通过将 CloudFront 作为应用程序和基础设施的“前门”，主要攻击面已远离关键内容、数据、代码和基础设施。

SSL/TLS 加密和 HTTPS

借助 Amazon CloudFront，内容、API 或应用程序可以使用传输层安全性协议通过 HTTPS 进行分发，从而加密和保护查看者客户端与 CloudFront 之间的通信。可以使用 Amazon Certificate Manager（ACM）来创建自定义 SSL 证书并将证书部署到 CloudFront 分发。此外，CloudFront 还提供多项 TLS 优化和高级功能，例如全桥/半桥 HTTPS 连接、OCSP 装订、会话票证、TLS 协议强制、字段级加密和完美前向保密功能。

访问控制

通过多种功能对内容的访问进行了限制。使用签名 URL 和签名 Cookie，支持令牌身份验证，仅允许经过身份验证的查看者访问。地理限制功能可以根据与请求客户端 IP 地址相关联的地理区域来阻止 CloudFront 分发内容。借助来源访问身份（OAI）功能，您可以限制对 Amazon S3 存储桶来源的访问，使其只能从 CloudFront 访问。

Origin Shield

Origin Shield 通过整合各个区域的对象请求来降低缓存命中请求的频率。

为来源启用冗余

CloudFront 支持多个来源以实现后端架构冗余。CloudFront 的原生来源失效转移功能可以在主来源不可用时自动提供来自备份来源的内容。CloudFront 的来源失效转移功能支持亚马逊云科技来源（例如 EC2 实例、Amazon S3 存储桶和媒体服务）或非亚马逊云科技来源（例如本地 HTTP 服务器）的组合。此外，您可以使用 Lambda@Edge 实现来源失效转移功能。

CloudFront Functions

Amazon CloudFront 通过 CloudFront Functions 和 Amazon Lambda@Edge 提供可编程和安全的边缘 CDN 计算功能。CloudFront Functions 可用于大规模、延迟敏感型操作，例如 HTTP 请求头修改、URL 重写/重定向和缓存键钥标准化。

Lambda@Edge

Amazon Lambda@Edge 是一项通用的无服务器计算功能，支持广泛的计算需求和自定义。Lambda@Edge 专为计算密集型操作而设计，包括耗时几毫秒到几秒钟才能完成的计算、依赖外部第三方库的计算、与亚马逊云科技的其他服务（例如 S3、DynamoDB）集成的计算，以及需要进行网络调用来处理数据的计算。

实时指标

Amazon CloudFront 与 Amazon CloudWatch 集成，可自动发布每次分发的运营指标，这些指标以图表形式显示在 CloudFront 控制台中。还可通过控制台或 CloudFront API 提供其他指标。

标准和实时日志记录

启用后，CloudFront 会自动以 W3C 扩展格式将 CloudFront 请求的日志发布到您指定的 Amazon S3 存储桶中。您还可以将 CloudFront 配置为根据您指定的采样速率向 Amazon Kinesis Data Streams 分发 CloudFront 请求的实时日志。

快速变更传播和失效

CloudFront 可以在几分钟内传播您的更改，并执行您的失效请求。

API 和 DevOps 工具

CloudFront 提供了一个 API，可用于创建、配置和维护 CloudFront 分发。开发人员还可以使用开发人员工具（例如 Amazon CloudFormation、CodeDeploy、CodeCommit 和 Amazon SDK）来配置和部署其 CloudFront 工作负载。

边缘行为

CloudFront 提供了用于配置请求处理方式的选项，包括自定义转发到您的来源的请求头和元数据、通过操纵缓存键来创建内容的不同版本，并支持各种压缩模式。通过内置的设备检测，CloudFront 可以检测客户端设备类型（台式机、平板电脑、智能电视或移动设备），并以新 HTTP 请求头的形式将该信息传递给您的应用程序，以实现内容的不同版本或其他自定义响应。Amazon CloudFront 还可以检测来自请求用户的 IP 地址的国家/地区级别位置，以便进一步自定义响应。

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。