Je souhaite configurer CloudFront pour diffuser mon contenu à l'aide d'un autre nom de domaine via HTTPS.
Brève description
Par défaut, vous pouvez utiliser les noms de domaine CloudFront uniquement pour diffuser du contenu via HTTPS. Il est toutefois possible d’associer votre propre nom de domaine à CloudFront pour diffuser votre contenu via HTTPS.
Pour associer votre propre nom de domaine à CloudFront, vous devez ajouter un autre nom de domaine (CNAME).
Résolution
Demande d’un certificat SSL dans AWS Certificate Manager (ACM) ou importation de votre propre certificat
Pour utiliser un certificat émis par Amazon, veuillez consulter la section Demande de certificat public.
Lorsque vous utilisez un certificat public, vous devez tenir compte des points suivants :
- Vous devez demander le certificat dans la région USA Est (Virginie du Nord).
- Vous devez disposer des autorisations nécessaires pour demander et utiliser le certificat ACM.
Pour utiliser un certificat importé, veuillez consulter la section Importation de certificats dans AWS Certificate Manager.
Lorsque vous utilisez un certificat importé, vous devez tenir compte des points suivants :
Pour en savoir plus, consultez la section Exigences relatives à l'utilisation de certificats SSL/TLS avec CloudFront.
Remarque : il est recommandé d'importer votre certificat dans ACM. Vous pouvez cependant aussi importer votre certificat dans le magasin de certificats IAM.
Association d’un certificat SSL et d’autres noms de domaine à votre distribution
- Ouvrez la console CloudFront.
- Sélectionnez la distribution que vous souhaitez mettre à jour.
- Dans l'onglet Général, choisissez Modifier.
- Dans la section Autres noms de domaine (CNAME), ajoutez les autres noms de domaine applicables. Séparez les noms de domaine par une virgule ou saisissez chaque nom de domaine sur une nouvelle ligne.
Remarque : le domaine que vous désirez ajouter ne doit pas comporter d'enregistrement DNS pointant vers une autre distribution CloudFront.
- Dans la section Certificat SSL, choisissez Certificat SSL personnalisé. Sélectionnez ensuite un certificat dans la liste.
Remarque : la liste déroulante peut inclure jusqu'à 100 certificats. Si vous possédez plus de 100 certificats et que le certificat que vous souhaitez sélectionner ne figure pas dans la liste, saisissez son ARN (Amazon Resource Name). Si vous avez déjà chargé un certificat dans le magasin de certificats IAM mais qu’il n’apparaît pas dans la liste déroulante, vérifiez que le certificat a bien été chargé.
- Si vous souhaitez que CloudFront diffuse votre contenu HTTPS à l'aide d'adresses IP dédiées, activez la prise en charge du client hérité.
Remarque : lorsque vous utilisez la prise en charge du client hérité, des frais supplémentaires vous sont facturés si vous associez votre certificat SSL/TLS à une distribution sur laquelle ce paramètre est activé. Pour en savoir plus, consultez la page Tarification Amazon CloudFront.
- Choisissez Enregistrer les modifications.
Configuration de CloudFront pour imposer le protocole HTTPS entre les utilisateurs et CloudFront
- Ouvrez la console CloudFront.
- Dans l'onglet Comportements, choisissez le comportement de cache que vous souhaitez mettre à jour. Cliquez ensuite sur Modifier.
- Pour la Politique de protocole d'utilisateur, choisissez :
Rediriger HTTP vers HTTPS : les utilisateurs peuvent utiliser les deux protocoles, mais les requêtes HTTP seront automatiquement redirigées vers des requêtes HTTPS.
-ou-
HTTPS uniquement : les utilisateurs peuvent uniquement accéder à votre contenu s'ils utilisent le protocole HTTPS. Si un utilisateur envoie une requête HTTP au lieu d'une requête HTTPS, CloudFront renvoie le code d'état HTTP 403 (Interdit) et ne renvoie pas le fichier.
- Choisissez Enregistrer les modifications.
- Répétez les étapes 1 à 4 pour chaque comportement de cache pour lequel vous souhaitez imposer le protocole HTTPS entre les utilisateurs et CloudFront.
Création d’enregistrements DNS pour pointer votre domaine vers la distribution CloudFront
Créez un jeu d'enregistrements de ressources d'alias. Le jeu d'enregistrements de ressources d'alias n'implique aucun frais pour les requêtes Route 53. De plus, vous pouvez créer un jeu d'enregistrements de ressources d'alias pour le nom de domaine racine (example.com), ce que le DNS n'autorise pas pour les CNAME. Pour en savoir plus, consultez la section Configuration d'Amazon Route 53 pour acheminer le trafic vers une distribution CloudFront.
Utilisation d’un autre fournisseur de services DNS
Utilisez la méthode fournie par votre fournisseur de services DNS pour ajouter un enregistrement CNAME pour votre domaine. L'enregistrement CNAME redirigera les requêtes DNS de votre nom de domaine secondaire (par exemple : www.example.com) vers le nom de domaine CloudFront de votre distribution (par exemple : example.cloudfront.net).