WKLD.13 Requiere HTTPS para todos los puntos de enlace web públicos

Requiera HTTPS para aportar mayor credibilidad a sus puntos de conexión web, permita que sus puntos de conexión utilicen certificados a fin de demostrar su identidad, y confirme que todo el tráfico entre su punto de conexión y los clientes conectados se encuentre cifrado. En el caso de los sitios web públicos, esto ofrece el beneficio adicional de tener una mejor clasificación en los motores de búsqueda.

Muchos AWS servicios proporcionan puntos de enlace web públicos para sus recursos, como Amazon AWS Elastic Beanstalk, Amazon API Gateway CloudFront, Elastic Load Balancing y AWS Amplify. A fin de obtener instrucciones sobre cómo se requiere HTTPS para cada uno de estos servicios, consulte lo siguiente:

Elastic Beanstalk (documentación de Elastic Beanstalk)
CloudFront(CloudFront documentación)
Application Load Balancer (Centro de AWS conocimiento)
Classic Load Balancer (Centro de AWS conocimiento)
Amplify (documentación de Amplify)

Los sitios web estáticos que se encuentran en Amazon S3 no admiten HTTPS. Para requerir HTTPS para estos sitios web, puedes usar CloudFront. No es necesario el acceso público a los depósitos de S3 a través de los cuales CloudFront se ofrece contenido.

Para usar CloudFront para servir a un sitio web estático alojado en Amazon S3

Se utiliza CloudFront para servir a un sitio web estático alojado en Amazon S3 (AWS Knowledge Center).
Si está configurando el acceso a un bucket público de S3, necesitará HTTPS entre los espectadores y CloudFront (CloudFrontdocumentación).

Si está configurando el acceso a un bucket de S3 privado, restrinja el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen (CloudFront documentación).

Además, configure los puntos de conexión de HTTPS para que requieran protocolos y cifrados modernos de la seguridad de la capa de transporte (TLS), a menos que sea necesaria la compatibilidad con protocolos anteriores. Por ejemplo, utilice la ELBSecurityPolicy-FS-1-2-Res-2020-10 o la política más reciente disponible para los oyentes HTTPS del equilibrador de carga de aplicación, en lugar de la ELBSecurityPolicy-2016-08 predeterminada. Las políticas más actuales requieren como mínimo el uso de TLS 1.2, confidencialidad directa y sistemas de cifrado seguros que sean compatibles con los navegadores web modernos.

A fin de obtener más información sobre las políticas de seguridad disponibles para los puntos de conexión públicos de HTTPS, consulte:

Políticas de seguridad SSL predefinidas para los equilibradores de carga clásicos (documentación de Elastic Load Balancing)
Políticas de seguridad para el equilibrador de carga de aplicación (documentación de Elastic Load Balancing)
Protocolos y cifrados compatibles entre los espectadores y CloudFront (CloudFront documentación)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

WKLD.12 Utilice puntos finales de VPC para acceder a los servicios

WKLD.14 Utilice servicios de protección perimetral para terminales públicos