Überblick und Arbeitsablauf - Amazon CloudFront
FunktionsphasenEntwicklungs-WorkflowUnterschiede zu anderen Funktionstypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick und Arbeitsablauf

CloudFront Verbindungsfunktionen sind spezielle CloudFront Funktionen, die während des TLS-Handshakes ausgeführt werden, wenn ein Client versucht, eine mTLS-Verbindung herzustellen. Ihre Verbindungsfunktion kann auf Client-Zertifikatsinformationen, mTLS-Konfigurationsparameter, Ergebnisse der Zertifikatssperrprüfung und die Client-IP-Adresse zugreifen.

Verbindungsfunktionen werden nach CloudFront der Standardvalidierung des Zertifikats (Vertrauenskette, Ablauf, Signaturüberprüfung) aufgerufen, können aber auch dann ausgeführt werden, wenn die Zertifikatssperrprüfungen fehlschlagen. Auf diese Weise können Sie eine benutzerdefinierte Logik für den Umgang mit gesperrten Zertifikaten oder das Hinzufügen zusätzlicher Validierungskriterien implementieren.

Nachdem Sie eine Verbindungsfunktion erstellt und veröffentlicht haben, stellen Sie sicher, dass Sie eine Zuordnung für den Ereignistyp der Verbindungsanforderung zu einer MTLS-fähigen Verteilung hinzufügen. Dadurch wird die Funktion jedes Mal ausgeführt, wenn ein Client versucht, eine mTLS-Verbindung mit herzustellen. CloudFront

CloudFront Verbindungsfunktionen folgen einem zweistufigen Lebenszyklus, der es Ihnen ermöglicht, Funktionen zu entwickeln und zu testen, bevor Sie sie in der Produktion einsetzen. Dieser Workflow stellt sicher, dass Ihre Verbindungsfunktionen ordnungsgemäß funktionieren, bevor sie sich auf den Live-Verkehr auswirken.

Funktionsphasen

Verbindungsfunktionen existieren in einer von zwei Stufen:

  • ENTWICKLUNG — Funktionen in dieser Phase können geändert, getestet und aktualisiert werden. Verwenden Sie diese Phase zum Schreiben und Debuggen Ihres Funktionscodes.

  • LIVE — Die Funktionen in dieser Phase sind schreibgeschützt und verarbeiten den Produktionsdatenverkehr. Sie können Funktionen in der LIVE-Phase nicht direkt ändern.

Wenn Sie eine neue Verbindungsfunktion erstellen, beginnt sie in der ENTWICKLUNGSPHASE. Nach dem Testen und Validieren veröffentlichen Sie die Funktion, um sie in die LIVE-Phase zu bringen.

Entwicklungs-Workflow

Folgen Sie diesem Arbeitsablauf, um Verbindungsfunktionen zu entwickeln und bereitzustellen:

  1. Erstellen — Erstellen Sie in der ENTWICKLUNGSPHASE eine neue Verbindungsfunktion mit Ihrem ursprünglichen Code und Ihrer Konfiguration.

  2. Test — Verwenden Sie die Testfunktion, um Ihre Funktion vor der Bereitstellung anhand von Beispielverbindungsereignissen zu validieren.

  3. Update — Ändern Sie den Funktionscode und die Konfiguration nach Bedarf auf der Grundlage der Testergebnisse.

  4. Veröffentlichen — Wenn die Funktion bereit für die Produktion ist, veröffentlichen Sie sie, um sie von der ENTWICKLUNGS- in die LIVE-Phase zu überführen.

  5. Zuordnen — Ordnen Sie die veröffentlichte Funktion Ihrer MTLS-fähigen Distribution zu, um Direktverbindungen zu verwalten.

Um Änderungen an einer LIVE-Funktion vorzunehmen, müssen Sie die DEVELOPMENT-Version aktualisieren und erneut veröffentlichen. Dadurch wird eine neue Version in der LIVE-Phase erstellt.

Unterschiede zu anderen Funktionstypen

Verbindungsfunktionen unterscheiden sich in mehreren wichtigen Punkten von den Funktionen für Zuschaueranfragen und Zuschauerantworten:

  • Verbindungsfunktionen werden nach dem mTLS-Handshake ausgeführt, bevor eine HTTP-Verarbeitung stattfindet

  • Verbindungsfunktionen haben Zugriff auf TLS-Zertifikatsinformationen statt auf HTTP-Daten request/response

  • Verbindungsfunktionen können die Verbindung nur zulassen oder verweigern, sie können HTTP-Daten nicht ändern

  • Verbindungsfunktionen werden nur für neue TLS-Verbindungen aufgerufen, nicht für die Wiederverwendung von Verbindungen

  • Die Wiederaufnahme der TLS-Sitzung wird mit mTLS nicht unterstützt, um sicherzustellen, dass die Zertifikatsvalidierung bei jeder Verbindung erfolgt

  • Verbindungsfunktionen werden zusätzlich zu den Standardfunktionen für Viewer-Anfragen und Viewer-Antworten ausgeführt

  • Verbindungsfunktionen ordnen Sie auf der Verteilungsebene und nicht auf der Cache-Verhaltensebene zu.

  • Verbindungsfunktionen unterstützen nur JavaScript Runtime 2.0.