Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita il TLS reciproco per le distribuzioni CloudFront
Prerequisiti e requisiti
CloudFrontla modalità di verifica TLS reciproca richiede che tutti i client presentino certificati validi durante l'handshake TLS e rifiuta le connessioni senza certificati validi. Prima di abilitare il TLS reciproco su una CloudFront distribuzione, assicurati di avere:
Hai creato un trust store con i tuoi certificati di Certificate Authority
Hai associato il trust store alla tua CloudFront distribuzione
È stato garantito che tutti i comportamenti della cache di distribuzione utilizzino una politica del protocollo di visualizzazione solo HTTPS
Assicurati che la tua distribuzione utilizzi HTTP/2 (l'impostazione predefinita, Viewer MTLs non è supportata su HTTP/3)
Nota
L'autenticazione TLS reciproca richiede connessioni HTTPS tra i visualizzatori e. CloudFront Non è possibile abilitare MTL su una distribuzione con comportamenti di cache che supportano le connessioni HTTP.
Abilita il TLS reciproco (Console)
Per nuove distribuzioni
I Viewer MTL non possono essere configurati durante il processo di creazione di una nuova distribuzione nella CloudFront console. Innanzitutto crea la distribuzione con qualsiasi mezzo (console, CLI, API), quindi modifica le impostazioni di distribuzione per abilitare Viewer MTL secondo le istruzioni di distribuzione esistenti riportate di seguito.
Per le distribuzioni esistenti
Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home
. -
Dalla lista di distribuzione, seleziona la distribuzione che desideri modificare.
-
Assicurati che la politica del protocollo Viewer sia impostata su Reindirizza HTTP su HTTPS o Solo HTTPS per tutti i comportamenti della cache. (Puoi scegliere la scheda Comportamenti della cache per visualizzare e aggiornare qualsiasi comportamento della cache con le politiche del protocollo HTTP).
-
Scegli la scheda Generale.
-
Nella sezione Settings (Impostazioni), scegli Edit (Modifica).
-
Nella sezione Connettività, trova Viewer Mutual Authentication (MTLs).
-
Attiva Abilita l'autenticazione reciproca.
-
Per la modalità di convalida del certificato client, seleziona Obbligatorio (tutti i client devono presentare certificati) o Facoltativo (i client possono facoltativamente presentare certificati).
-
Per Trust store, seleziona il trust store creato in precedenza.
-
(Facoltativo) Seleziona Pubblicizza i nomi CA del trust store se desideri CloudFront inviare i nomi CA ai client durante l'handshake TLS.
-
(Facoltativo) Attiva Ignora la data di scadenza del certificato se desideri consentire le connessioni con certificati scaduti.
-
Scegli Save changes (Salva modifiche).
Abilita TLS reciproco (AWS CLI)
Per nuove distribuzioni
L'esempio seguente mostra come creare un file di configurazione della distribuzione (distribution-config.json) che includa le impostazioni MTLS:
{ "CallerReference": "cli-example-1", "Origins": { "Quantity": 1, "Items": [ { "Id": "my-origin", "DomainName": "example.com", "CustomOriginConfig": { "HTTPPort": 80, "HTTPSPort": 443, "OriginProtocolPolicy": "https-only" } } ] }, "DefaultCacheBehavior": { "TargetOriginId": "my-origin", "ViewerProtocolPolicy": "https-only", "MinTTL": 0, "ForwardedValues": { "QueryString": false, "Cookies": { "Forward": "none" } } }, "ViewerCertificate": { "CloudFrontDefaultCertificate": true }, "ViewerMtlsConfig": { "Mode": "required", "TrustStoreConfig": { "TrustStoreId": {TRUST_STORE_ID}, "AdvertiseTrustStoreCaNames": true, "IgnoreCertificateExpiry": true } }, "Enabled": true }
Crea la distribuzione con MTL abilitati utilizzando il seguente comando di esempio:
aws cloudfront create-distribution --distribution-config file://distribution-config.json
Per le distribuzioni esistenti
Ottieni la configurazione corrente della distribuzione utilizzando il seguente comando di esempio:
aws cloudfront get-distribution-config --id E1A2B3C4D5E6F7 --output json > dist-config.json
Modifica il file per aggiungere le impostazioni mTLS. Aggiungete la seguente sezione di esempio alla configurazione della distribuzione:
"ViewerMtlsConfig": { "Mode": "required", "TrustStoreConfig": { "TrustStoreId": {TRUST_STORE_ID}, "AdvertiseTrustStoreCaNames": true, "IgnoreCertificateExpiry": true } }
Rimuovi il ETag campo dal file ma salva il suo valore separatamente.
Aggiorna la distribuzione con la nuova configurazione usando il seguente comando di esempio:
aws cloudfront update-distribution \ --id E1A2B3C4D5E6F7 \ --if-match YOUR-ETAG-VALUE \ --distribution-config file://dist-config.json
Politiche del protocollo Viewer
Quando si utilizza il protocollo TLS reciproco, tutti i comportamenti della cache di distribuzione devono essere configurati con una politica del protocollo di visualizzazione basata esclusivamente su HTTPS:
-
Reindirizza da HTTP a HTTPS: reindirizza le richieste HTTP a HTTPS prima di eseguire la convalida del certificato.
-
Solo HTTPS: accetta solo richieste HTTPS ed esegue la convalida dei certificati.
Nota
La politica del protocollo di visualizzazione HTTP e HTTPS non è supportata con TLS reciproco poiché le connessioni HTTP non possono eseguire la convalida dei certificati.
Fasi successive
Dopo aver abilitato Viewer TLS sulla tua CloudFront distribuzione, puoi associare le funzioni di connessione per implementare una logica di convalida dei certificati personalizzata. Le funzioni di connessione consentono di estendere le funzionalità di autenticazione MTLS integrate con regole di convalida personalizzate, controllo della revoca dei certificati e registrazione. Per i dettagli sulla creazione e l'associazione delle funzioni di connessione, vedere. Associare una funzione di CloudFront connessione
