추가 설정 구성 - Amazon CloudFront
클라이언트 인증서 검증 선택적 모드인증 기관 광고인증서 만료 처리다음 단계

추가 설정 구성

기본 상호 TLS 인증을 활성화한 후 특정 사용 사례 및 요구 사항에 맞게 인증 동작을 사용자 지정하도록 추가 설정을 구성할 수 있습니다.

클라이언트 인증서 검증 선택적 모드

CloudFront는 제공된 클라이언트 인증서를 검증하지만 인증서를 제시하지 않는 클라이언트에 대한 액세스를 허용하는 선택적 클라이언트 인증서 검증 모드를 제공합니다.

선택적 모드 동작

  • 유효한 인증서가 있는 클라이언트에 대한 연결을 부여합니다(잘못된 인증서는 거부됨).

  • 인증서 없이 클라이언트에 연결 허용

  • 단일 배포를 통해 혼합 클라이언트 인증 시나리오를 허용합니다.

선택적 모드는 mTLS 인증으로 점진적으로 마이그레이션하거나, 인증서가 있는 클라이언트 및 인증서가 없는 클라이언트를 지원하거나, 레거시 클라이언트와의 이전 버전 호환성을 유지하는 데 적합합니다.

참고

선택적 모드에서는 클라이언트가 인증서를 제시하지 않더라도 연결 함수가 계속 간접 호출됩니다. 이를 통해 클라이언트 IP 주소 로깅 또는 인증서 제시 여부에 따라 다른 정책 적용과 같은 사용자 지정 로직을 구현할 수 있습니다.

선택적 모드를 구성하려면(콘솔)

  1. 배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.

  2. 연결성 컨테이너 내의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.

  3. 클라이언트 인증서 검증 모드에서 선택 사항을 선택합니다.

  4. 변경 내용을 저장합니다.

선택적 모드를 구성하려면(AWS CLI)

다음 예제에서는 선택적 모드를 구성하는 방법을 보여줍니다.


"ViewerMtlsConfig": {
   "Mode": "optional",
   ...other settings
}

인증 기관 광고

AdvertiseTrustStoreCaNames 필드는 TLS 핸드셰이크 중에 CloudFront가 신뢰할 수 있는 CA 이름 목록을 클라이언트에 전송할지 여부를 제어하여 클라이언트가 적절한 인증서를 선택할 수 있도록 지원합니다.

CA 광고를 구성하려면(콘솔)

  1. 배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.

  2. 연결성 컨테이너 내의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.

  3. 트러스트 스토어 CA 이름 광고 확인란을 선택하거나 선택 취소합니다.

  4. 변경 사항 저장을 선택합니다.

CA 광고를 구성하려면(AWS CLI)

다음 예제에서는 CA 광고를 활성화하는 방법을 보여줍니다.

"ViewerMtlsConfig": {
   "Mode": "required", // or "optional"
   "TrustStoreConfig": {
      "AdvertiseTrustStoreCaNames": true,
      ...other settings
   } 
}

인증서 만료 처리

IgnoreCertificateExpiry 속성은 CloudFront가 만료된 클라이언트 인증서에 응답하는 방법을 결정합니다. 기본적으로 CloudFront는 만료된 클라이언트 인증서를 거부하지만 필요할 때 수락하도록 구성할 수 있습니다. 이는 일반적으로 즉시 업데이트할 수 없는 인증서가 만료된 디바이스를 대상으로 활성화됩니다.

인증서 만료 처리를 구성하려면(콘솔)

  1. 배포 설정에서 일반 탭으로 이동하여 편집을 선택합니다.

  2. 연결성 컨테이너의 뷰어 상호 인증(mTLS) 섹션으로 스크롤합니다.

  3. 인증서 만료 날짜 무시 확인란을 선택하거나 선택 취소합니다.

  4. 변경 사항 저장을 선택합니다.

인증서 만료 처리를 구성하려면(AWS CLI)

다음 예제에서는 인증서 만료를 무시하는 방법을 보여줍니다.

"ViewerMtlsConfig": {
  "Mode": "required", // or "optional"
  "TrustStoreConfig": {
     "IgnoreCertificateExpiry": false,
     ...other settings
  }
}
참고

IgnoreCertificateExpiry는 인증서 검증 날짜에만 적용됩니다. 다른 모든 인증서 검증 검사(신뢰 체인, 서명 검증)는 계속 적용됩니다.

다음 단계

추가 설정을 구성한 후 헤더 전달을 설정하여 인증서 정보를 오리진에 전달하고, 연결 함수 및 KeyValueStore를 사용하여 인증서 해지를 구현하고, 모니터링을 위해 연결 로그를 활성화할 수 있습니다. 오리진에 인증서 정보를 전달하는 방법에 대한 자세한 내용은 오리진에 헤더 전달을 참조하세요.