Utilizzo di CloudFront funzioni con TLS reciproco (origine) - Amazon CloudFront
Operazioni relative alle funzioni supportate CloudFront Operazioni relative alle funzioni non supportate CloudFront

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di CloudFront funzioni con TLS reciproco (origine)

CloudFront Functions fornisce un'elaborazione leggera e senza server all'edge per personalizzare la distribuzione dei contenuti. Quando si utilizza il TLS (origine) reciproco con CloudFront Functions, esistono comportamenti e limitazioni specifici di cui tenere conto per quanto riguarda la selezione e la manipolazione dell'origine.

Operazioni relative alle funzioni supportate CloudFront

CloudFront Le funzioni possono interagire con le origini mutue abilitate per TLS (origin) nei seguenti modi:

updateRequestOrigin()

La funzione updateRequestOrigin () supporta modifiche limitate quando si lavora con origini abilitate per TLS reciproco (origin):

  • Passaggio da un'origine TLS (origine) reciproca: è possibile aggiornare la richiesta per instradarla verso un'origine diversa che utilizza il TLS (origine) reciproco, a condizione che entrambe le origini utilizzino lo stesso certificato client. Ciò consente di implementare una logica di routing personalizzata mantenendo l'autenticazione TLS reciproca.

  • Disabilitazione del TLS reciproco (origine): è possibile passare da un'origine mutua abilitata per TLS (origine) a un'origine TLS non reciproca impostando la funzione. mTLSConfig: 'off' Ciò offre la flessibilità necessaria per disabilitare in modo condizionale l'autenticazione TLS reciproca in base alle caratteristiche della richiesta.

Esempio: passaggio tra origini TLS (origine) reciproche con lo stesso certificato

function handler(event) {
    var request = event.request;

    // Route to different origin based on request path
    if (request.uri.startsWith('/api/v2')) {
        request.origin = {
            domainName: 'api-v2.example.com',
            customHeaders: {},
            // Both origins must use the same certificate
        };
    }

    return request;
}

Esempio: disabilitazione condizionale del TLS reciproco (origine)

function handler(event) {
    var request = event.request;

    // Disable mTLS for specific paths
    if (request.uri.startsWith('/public')) {
        request.origin = {
            domainName: 'public-origin.example.com',
            customHeaders: {},
            mTLSConfig: 'off'
        };
    }

    return request;
}

Operazioni relative alle funzioni non supportate CloudFront

Le seguenti operazioni CloudFront Functions non supportano origini mutue abilitate per TLS (origin) in condizioni di disponibilità generale:

selectRequestOriginById()

La selectRequestOriginById() funzione non può selezionare un'origine con TLS reciproco (origine) abilitato. Il tentativo di selezionare un'origine mutua abilitata per TLS (origine) utilizzando questa funzione genererà un errore di convalida.

Se il tuo caso d'uso richiede una selezione dinamica dell'origine con TLS reciproco (origine), utilizza updateRequestOrigin() invece, assicurandoti che tutte le origini di destinazione utilizzino lo stesso certificato client.

createRequestOriginGruppo ()

La createRequestOriginGroup() funzione non supporta la creazione di gruppi di origine che includono origini mutue abilitate per TLS (origin). I gruppi di origine con origini TLS (origin) reciproche non possono essere creati dinamicamente tramite Functions. CloudFront

Se hai bisogno di funzionalità di failover di origine con Mutual TLS (origin), configura i gruppi di origine direttamente nelle impostazioni di CloudFront distribuzione anziché crearli dinamicamente nelle funzioni.