Aktifkan TLS timbal balik asal untuk distribusi CloudFront - Amazon CloudFront
Prasyarat dan persyaratanAktifkan mTL asalMenggunakan AWS CLILangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan TLS timbal balik asal untuk distribusi CloudFront

Setelah mendapatkan sertifikat klien melalui AWS Certificate Manager dan mengonfigurasi server asal Anda untuk meminta TLS bersama, Anda dapat mengaktifkan mTL asal pada distribusi Anda. CloudFront

Prasyarat dan persyaratan

Sebelum mengaktifkan mTL asal pada CloudFront distribusi, pastikan Anda memiliki:

  • Sertifikat klien yang disimpan di AWS Certificate Manager di Wilayah AS Timur (Virginia N.) (us-east-1)

  • Server asal dikonfigurasi untuk memerlukan otentikasi TLS bersama dan memvalidasi sertifikat klien

  • Server asal yang menyajikan sertifikat dari Otoritas Sertifikat yang dipercaya publik

  • Izin untuk memodifikasi distribusi CloudFront

  • Origin mTLS hanya tersedia pada paket Bisnis, Premium, atau Paket harga Pay as you go.

catatan

MTL Asal dapat dikonfigurasi untuk asal kustom (termasuk asal yang dihosting di luar AWS) dan AWS asal yang mendukung TLS timbal balik seperti Application Load Balancer dan API Gateway.

penting

CloudFront Fitur-fitur berikut tidak didukung dengan mTL asal:

  • lalu lintas gRPC: protokol gRPC tidak didukung untuk asal dengan mTL asal diaktifkan

  • WebSocket koneksi: WebSocket protokol tidak didukung untuk asal dengan mTL asal diaktifkan

  • Asal VPC: mTL asal tidak dapat digunakan dengan asal VPC

  • Permintaan asal dan pemicu respons asal dengan Lambda @Edge: Fungsi Lambda @Edge dalam permintaan asal dan posisi respons asal tidak didukung dengan mTL asal

  • Tertanam POPs: mTL asal tidak didukung untuk disematkan POPs

Aktifkan mTL asal

Konfigurasi per asal memungkinkan Anda menentukan sertifikat klien yang berbeda untuk asal yang berbeda dalam distribusi yang sama. Pendekatan ini memberikan fleksibilitas maksimum ketika asal Anda memiliki persyaratan otentikasi yang berbeda.

Untuk distribusi baru (Konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Pilih Buat distribusi

  3. Pilih paket harga: Pilih Bisnis atau Premium atau Bayar Saat Anda Pergi (MTL Asal tidak tersedia pada paket Gratis)

  4. Di bagian Pengaturan asal, pilih Jenis Asal sebagai Lainnya

  5. Di bagian Pengaturan asal, pilih Sesuaikan pengaturan asal

  6. Konfigurasikan asal pertama Anda (nama domain, protokol, dll.)

  7. Dalam konfigurasi asal, temukan mTL

  8. Alihkan mTLS ke On

  9. Untuk sertifikat Klien, pilih sertifikat Anda dari AWS Certificate Manager

  10. (Opsional) Tambahkan asal tambahan dengan konfigurasi mTL asal mereka sendiri

  11. Lengkapi pengaturan distribusi yang tersisa dan pilih Buat distribusi

Untuk distribusi yang ada (Konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol dihttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dari daftar distribusi, pilih distribusi yang ingin Anda ubah. (Catatan: Pastikan distribusi Anda menggunakan paket harga Pro atau Premium atau Pay As You Go. Jika tidak, Anda harus meningkatkan paket harga Anda sebelum mengaktifkan mTL asal)

  3. Pilih tab Origins

  4. Pilih asal yang ingin Anda konfigurasikan dan pilih Edit

  5. Di pengaturan asal, temukan mTL

  6. Alihkan mTLS ke On

  7. Untuk sertifikat Klien, pilih sertifikat Anda dari AWS Certificate Manager. (Catatan: Hanya sertifikat klien dengan properti EKU (Extended Key Usage) yang disetel ke “Otentikasi Klien TLS” yang akan dicantumkan)

  8. Pilih Save changes (Simpan perubahan)

  9. Ulangi untuk asal tambahan sesuai kebutuhan

Menggunakan AWS CLI

Untuk konfigurasi per asal, tentukan pengaturan mTLS asal dalam konfigurasi masing-masing asal:

{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
catatan

CloudFront tidak akan memberikan sertifikat klien jika server tidak memintanya, memungkinkan koneksi berjalan normal.

Langkah selanjutnya

Setelah mengaktifkan mTL asal pada CloudFront distribusi Anda, Anda dapat memantau peristiwa otentikasi menggunakan CloudFront log akses.