Uso de CloudFront Functions con TLS mutua de origen
CloudFront Functions proporciona computación periférica ligera y sin servidor para personalizar la entrega de contenido. Cuando se utiliza TLS mutua de origen con CloudFront Functions, hay comportamientos y limitaciones específicos que hay que tener en cuenta en relación con la selección y la manipulación del origen.
Operaciones de CloudFront Functions admitidas
CloudFront Functions pueden interactuar con orígenes habilitados de mTLS de las siguientes maneras:
updateRequestOrigin()
La función updateRequestOrigin() admite modificaciones limitadas cuando se trabaja con orígenes habilitados de mTLS:
-
Cambiar entre orígenes de mTLS de origen: puede actualizar la solicitud para que se dirija a un origen diferente que utilice mTLS de origen, siempre que ambos orígenes utilicen el mismo certificado de cliente. Esto permite implementar una lógica de enrutamiento personalizada y, al mismo tiempo, mantener la autenticación de TLS mutua.
-
Desactivación de mTLS de origen: puede cambiar de un origen habilitado de mTLS a un origen diferente de mTLS configurando
mTLSConfig: 'off'en la función. Esto proporciona flexibilidad para desactivar condicionalmente la autenticación de TLS mutua en función de las características de la solicitud.
Ejemplo: Cambio entre orígenes de mTLS de origen con el mismo certificado
function handler(event) { var request = event.request; // Route to different origin based on request path if (request.uri.startsWith('/api/v2')) { request.origin = { domainName: 'api-v2.example.com', customHeaders: {}, // Both origins must use the same certificate }; } return request; }
Ejemplo: Deshabilitar condicionalmente mTLS de origen
function handler(event) { var request = event.request; // Disable mTLS for specific paths if (request.uri.startsWith('/public')) { request.origin = { domainName: 'public-origin.example.com', customHeaders: {}, mTLSConfig: 'off' }; } return request; }
Operaciones de CloudFront Functions no admitidas
Las siguientes operaciones de CloudFront Functions no admiten orígenes habilitados de mTLS en condiciones de disponibilidad general:
selectRequestOriginById()
La función selectRequestOriginById() no puede seleccionar un origen que tenga mTLS de origen habilitada. Si se intenta seleccionar un origen habilitado de mTLS mediante esta función, se producirá un error de validación.
Si su caso de uso requiere una selección de origen dinámica con mTLS de origen, utilice updateRequestOrigin() en su lugar, asegurándose de que todos los orígenes de destino utilicen el mismo certificado de cliente.
createRequestOriginGroup()
La función createRequestOriginGroup() no admite la creación de grupos de origen que incluyan orígenes habilitados de mTLS. Los grupos de origen con orígenes de mTLS de origen no se pueden crear dinámicamente mediante CloudFront Functions.
Si necesita capacidades de conmutación por error de origen con mTLS de origen, configure los grupos de origen directamente en la configuración de distribución de CloudFront, en lugar de crearlos de forma dinámica en funciones.
