View a markdown version of this page

Aktivieren Sie Mutual Origin TLS für Distributionen CloudFront - Amazon CloudFront
Voraussetzungen und AnforderungenOriginal-MTLS aktivierenAWS CLI verwendenNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie Mutual Origin TLS für Distributionen CloudFront

Nachdem Sie über Certificate Manager ein AWS Client-Zertifikat erhalten und Ihren Ursprungsserver so konfiguriert haben, dass er gegenseitiges TLS erfordert, können Sie Original-MTLS auf Ihrer CloudFront Distribution aktivieren.

Voraussetzungen und Anforderungen

Bevor Sie Origin-mTLS für eine CloudFront Distribution aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein im Certificate Manager in der Region USA Ost (Nord-Virginia) (us-east-1) gespeichertes AWS Client-Zertifikat

  • Original-Server, die so konfiguriert sind, dass sie eine gegenseitige TLS-Authentifizierung erfordern und Client-Zertifikate validieren

  • Ursprungsserver, die Zertifikate von öffentlich vertrauenswürdigen Zertifizierungsstellen präsentieren

  • Berechtigungen zum Ändern von CloudFront Distributionen

  • Origin mTLS ist nur für Business-, Premium- oder Pay-as-you-go-Preispläne verfügbar.

Anmerkung

Origin mTLS können für benutzerdefinierte Origins (einschließlich Origins, die extern gehostet werden AWS) und AWS Origins, die gegenseitiges TLS unterstützen, wie Application Load Balancer und API Gateway, konfiguriert werden.

Wichtig

Die folgenden CloudFront Funktionen werden mit Original-MTLs nicht unterstützt:

  • gRPC-Verkehr: Das gRPC-Protokoll wird für Ursprünge mit aktiviertem Ursprungs-MTLS nicht unterstützt

  • WebSocket Verbindungen: Das WebSocket Protokoll wird für Ursprünge mit aktiviertem Ursprungs-MTLS nicht unterstützt

  • VPC-Ursprünge: Ursprungs-MTLs können nicht mit VPC-Ursprüngen verwendet werden

  • Origin-Anfrage- und Origin-Antwort-Trigger mit Lambda @Edge: Lambda @Edge -Funktionen in Origin-Request- und Origin-Response-Positionen werden mit Ursprungs-MTLs nicht unterstützt

  • Eingebettet POPs: Ursprungs-MTLS wird für eingebettete Versionen nicht unterstützt POPs

Original-MTLS aktivieren

Die Konfiguration pro Ursprung ermöglicht es Ihnen, verschiedene Client-Zertifikate für verschiedene Ursprünge innerhalb derselben Distribution anzugeben. Dieser Ansatz bietet maximale Flexibilität, wenn Ihre Ursprünge unterschiedliche Authentifizierungsanforderungen haben.

Für neue Distributionen (Konsole)

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie Distribution erstellen

  3. Wähle einen Preisplan aus: Wähle entweder Business oder Premium oder Pay As You Go (Origin mTLS ist im kostenlosen Tarif nicht verfügbar)

  4. Wähle im Bereich Origin-Einstellungen die Option Origin Type als Andere

  5. Wähle im Abschnitt Origin-Einstellungen die Option Origin-Einstellungen anpassen

  6. Konfiguriere deinen ersten Ursprung (Domainname, Protokoll usw.)

  7. Suchen Sie in der Origin-Konfiguration nach mTLS

  8. Schalten Sie mTLS auf Ein

  9. Wählen Sie für Client-Zertifikat Ihr Zertifikat aus AWS Certificate Manager aus

  10. (Optional) Fügen Sie weitere Ursprünge mit ihren eigenen mTLS-Konfigurationen für den Ursprung hinzu

  11. Vervollständigen Sie die verbleibenden Verteilungseinstellungen und wählen Sie Verteilung erstellen

Für bestehende Distributionen (Konsole)

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Wählen Sie in der Verteilerliste die Distribution aus, die Sie ändern möchten. (Hinweis: Vergewissern Sie sich, dass für Ihren Vertrieb ein Pro-, Premium- oder Pay-As-You-Go-Preismodell gilt. Wenn nicht, müssen Sie Ihren Preisplan aktualisieren, bevor Sie Origin mTLS aktivieren können.

  3. Wählen Sie den Tab Origins

  4. Wählen Sie den Ursprung aus, den Sie konfigurieren möchten, und wählen Sie Bearbeiten

  5. Suchen Sie in den Origin-Einstellungen nach mTLS

  6. Schalten Sie mTLS auf Ein

  7. Wählen Sie für Client-Zertifikat Ihr Zertifikat aus AWS Certificate Manager aus. (Hinweis: Nur Client-Zertifikate, bei denen die EKU-Eigenschaft (Extended Key Usage) auf „TLS-Client-Authentifizierung“ gesetzt ist, werden aufgelistet)

  8. Wählen Sie Save Changes (Änderungen speichern)

  9. Wiederholen Sie den Vorgang bei Bedarf für weitere Ursprünge

AWS CLI verwenden

Geben Sie für die Konfiguration pro Ursprung die ursprünglichen mTLS-Einstellungen in der Konfiguration jedes Ursprungs an:

{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
Anmerkung

CloudFront stellt das Client-Zertifikat nicht zur Verfügung, wenn der Server es nicht anfordert, sodass die Verbindung normal weitergeführt werden kann.

Nächste Schritte

Nachdem Sie die Original-MTLS auf Ihrer CloudFront Distribution aktiviert haben, können Sie Authentifizierungsereignisse mithilfe von CloudFront Zugriffsprotokollen überwachen.