Я работаю с шаблонами AWS Samples из введите здесь описание ссылки, где я немного уменьшил отображение, но все остальное оставил как есть. При просмотре кода и чтении примечаний в шаблоне кажется, что я смогу запустить код, просто введя имя Host Zone, которое я зарегистрировал в Route 53, в поле параметра при запуске стека. Я также создал сертификат через ACM.
Однако я получаю следующую ошибку:
Чтобы добавить альтернативное доменное имя (CNAME) в раздачу CloudFront, вы должны прикрепить доверенный сертификат, который подтверждает вашу авторизацию на использование доменного имени. Для получения дополнительных сведений см. https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#alternate-domain-names-requirements (Service: AmazonCloudFront; код состояния: 400; код ошибки: InvalidViewerCertificate; идентификатор запроса: — ———)
{
"AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "AWS CloudFormation Sample Template S3_Website_With_CloudFront_Distribution: Sample template showing how to create a website with a custom DNS name, hosted on Amazon S3 and served via Amazone CloudFront. It assumes you already have a Hosted Zone registered with Amazon Route 53. **WARNING** This template creates an Amazon Route 53 DNS record, an S3 bucket and a CloudFront distribution. You will be billed for the AWS resources used if you create a stack from this template.",
"Parameters" : {
"HostedZone" : {
"Type" : "String",
"Description" : "The DNS name of an existing Amazon Route 53 hosted zone",
"AllowedPattern" : "(?!-)[a-zA-Z0-9-.]{1,63}(?<!-)",
"ConstraintDescription" : "must be a valid DNS zone name."
}
},
"Mappings" : {
"Region2S3WebsiteSuffix": {
"us-east-1" : { "Suffix": ".s3-website-us-east-1.amazonaws.com" }
}
},
"Resources" : {
"S3BucketForWebsiteContent" : {
"Type" : "AWS::S3::Bucket",
"Properties" : {
"AccessControl" : "PublicRead",
"WebsiteConfiguration" : {
"IndexDocument" : "index.html",
"ErrorDocument" : "error.html"
}
}
},
"WebsiteCDN" : {
"Type" : "AWS::CloudFront::Distribution",
"Properties" : {
"DistributionConfig" : {
"Comment" : "CDN for S3-backed website",
"Aliases" : [{ "Fn::Join" : [ "", [{"Ref" : "AWS::StackName"}, {"Ref" : "AWS::AccountId"}, ".", {"Ref" : "AWS::Region"}, ".", { "Ref" : "HostedZone" }]]}],
"Enabled" : "true",
"DefaultCacheBehavior" : {
"ForwardedValues" : { "QueryString" : "true" },
"TargetOriginId" : "only-origin",
"ViewerProtocolPolicy" : "allow-all"
},
"DefaultRootObject" : "index.html",
"Origins" : [
{ "CustomOriginConfig" :
{
"HTTPPort" : "80",
"HTTPSPort" : "443",
"OriginProtocolPolicy" : "http-only"
},
"DomainName" : { "Fn::Join" : ["", [{"Ref" : "S3BucketForWebsiteContent"},
{"Fn::FindInMap" : [ "Region2S3WebsiteSuffix", {"Ref" : "AWS::Region"}, "Suffix" ]}]]},
"Id" : "only-origin"
}]
}
}
},
"WebsiteDNSName" : {
"Type" : "AWS::Route53::RecordSet",
"Properties" : {
"HostedZoneName" : { "Fn::Join" : [ "", [{ "Ref" : "HostedZone" }, "."]]},
"Comment" : "CNAME redirect custom name to CloudFront distribution",
"Name" : { "Fn::Join" : [ "", [{"Ref" : "AWS::StackName"}, {"Ref" : "AWS::AccountId"}, ".", {"Ref" : "AWS::Region"}, ".", { "Ref" : "HostedZone" }]]},
"Type" : "CNAME",
"TTL" : "900",
"ResourceRecords" : [{ "Fn::Join" : [ "", ["https://", {"Fn::GetAtt" : ["WebsiteCDN", "DomainName"]} ]]}]
}
}
},
"Outputs" : {
"WebsiteURL" : {
"Value" : {"Fn::Join" : [ "", ["https://", {"Ref" : "WebsiteDNSName"} ]] },
"Description" : "The URL of the newly created website"
},
"BucketName" : {
"Value" : { "Ref" : "S3BucketForWebsiteContent" },
"Description" : "Name of S3 bucket to hold website content"
}
}
}
Это потому, что у вас должен быть сертификат SSL для альтернативного домена, который вы пытаетесь добавить. Вы можете запросить
ACMпубличный сертификат вus-east-1регионе.Я предлагаю вам настроить сертификат ACM вне облачной информации, потому что для создания сертификата ACM требуется ручная проверка DNS / электронной почты.
Надеюсь это поможет.
Ссылка:
https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-invalid-viewer-certificate/
Да, я тоже считаю, что это правильно. Я создал общедоступный сертификат через ACM для рассматриваемой зоны хоста. Наконец сломался и отправил тикет в службу поддержки AWS, и они смогли продублировать проблему с моим сертификатом и информацией о зоне. Жду, чтобы выложить свои выводы. — person Louis Preston Thornton III; 30.01.2020