Cloud Service
Amazon CloudFront
世界中のエッジでキャッシュ配信するAWSのCDN。低遅延・高速・DDoS緩和。静的サイト配信の定番。
中級SAA-C03DVA-C02SCS-C02SAP-C02パフォーマンス効率セキュリティコスト最適化
最終更新: 2026-05-31公式ドキュメント ↗
TL;DR要点だけ先に
- 1.世界中のエッジにキャッシュしユーザー近くから高速配信するCDN。
- 2.オリジン負荷と遅延を下げ、HTTPS化やDDoS緩和も担う。
- 3.更新の即時反映はInvalidation、証明書はus-east-1のACM。
解決する課題
- 遠いユーザーにも速く届けたい
- オリジン(S3/サーバー)の負荷とコストを下げたい
- 世界配信でもHTTPSとセキュリティを担保したい
主要概念と用語
- ディストリビューション: CDN配信の設定単位
- オリジン: 配信元(S3 / ALB / 任意のHTTPサーバー)
- エッジロケーション: キャッシュを持つ世界中の拠点
- キャッシュビヘイビア / TTL: パスごとのキャッシュ方針と保持時間
- OAC: S3を非公開のままCloudFrontだけに読ませる仕組み
- 署名付きURL/Cookie: 限定配信
- CloudFront Functions / Lambda@Edge: エッジでの軽量/高度な処理
仕様・制限・クォータ
- HTTPS(ACM証明書、us-east-1のものを使用)
- HTTP/2・HTTP/3対応、Gzip/Brotli圧縮
- 無効化(Invalidation)は月1,000パスまで無料
内部の仕組み
ユーザーは最寄りのエッジへアクセス。エッジにキャッシュがあれば即返し(キャッシュヒット)、なければオリジンへ取りに行き(オリジンフェッチ)、以後キャッシュします。キャッシュの単位はキャッシュキー(URL/ヘッダ/クエリ等)で決まり、TTLの間は再利用されます。
更新が反映されない?
TTLが長いと古いまま。即時反映したいなら Invalidation、またはファイル名にハッシュを付けて別URLにする運用が定番。
設計パターン / ベストプラクティス
- S3 + OAC で静的サイト/メディアを安全配信
- 動的はキャッシュ最小、静的はTTL長めにパスごとに最適化
- WAF を前段に付けて防御
- 限定配信は署名付きURL/Cookie
運用・監視・トラブルシュート
- メトリクス: ヒット率・4xx/5xx・オリジンレイテンシ
- ヒット率が低い→キャッシュキーやTTLを見直し
- アクセスログ(標準ログ/リアルタイムログ)で分析
コスト
- データ転送(配信GB)+リクエスト数。無料枠が大きい(月1TB級)
- オリジンへの転送を減らせる=オリジン側コストも下がる
セキュリティ
- HTTPS強制(Viewer Protocol Policy)
- OACでS3バケットは非公開のまま
- WAF / Shield でDDoS・L7攻撃を緩和
Well-Architected の観点
- パフォーマンス効率: エッジキャッシュで低遅延
- セキュリティ: HTTPS・OAC・WAF
- コスト最適化: オリジン負荷/転送の削減
試験で問われるポイント
頻出
- 静的サイト=S3 + CloudFront、S3はOACで非公開のまま
- 限定配信=署名付きURL/Cookie
- 即時反映=Invalidation、証明書はus-east-1のACM
📝 CloudFront ミニ確認テスト第 1 問 / 全 3 問
S3バケットを非公開のまま、CloudFront経由でだけ配信したい。使う仕組みは?
関連サービス・比較
| エッジ処理 | 用途 | 特徴 |
|---|---|---|
| CloudFront Functions | 軽量(ヘッダ書換/リダイレクト) | 超低レイテンシ・安価 |
| Lambda@Edge | 高度(認証/動的生成) | 重い処理も可・やや高コスト |
ハンズオン / CLI例
# デプロイ後、最新を即反映(キャッシュ無効化)
aws cloudfront create-invalidation \
--distribution-id E123ABC456DEF7 \
--paths "/*"
# ディストリビューションの状態確認
aws cloudfront get-distribution --id E123ABC456DEF7 \
--query "Distribution.Status"
AWS Service
Amazon CloudFrontを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: AWS / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
オリジン負荷と遅延を下げ、HTTPS化やDDoS緩和も担う。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- AWS
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- SAA-C03 / DVA-C02 / SCS-C02 / SAP-C02
- 設計柱
- performance / security / cost
判断チェックリスト
- 自社の用途が「ネットワーキング / performance」に近いか確認する。
- 強みである「世界中のエッジにキャッシュしユーザー近くから高速配信するCDN。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
他クラウドの同等サービス
役割が近いサービスです。設計の置き換えや比較検討の参考に。