Habilitar a TLS mútua de origem para distribuições do CloudFront - Amazon CloudFront
Pré-requisitos e requisitosHabilitar a mTLS de origemUsar a AWS CLIPróximas etapas

Habilitar a TLS mútua de origem para distribuições do CloudFront

Depois de obter um certificado de cliente por meio do AWS Certificate Manager e configurar o servidor de origem para exigir TLS mútua, você pode habilitar a mTLS de origem na distribuição do CloudFront.

Pré-requisitos e requisitos

Antes de habilitar a mTLS de origem em uma distribuição do CloudFront, você deve:

  • Um certificado de cliente armazenado no AWS Certificate Manager na região Leste dos EUA (Norte da Virgínia) (us-east-1).

  • Servidores de origem configurados para exigir a autenticação TLS mútua e validar certificados de cliente.

  • Servidores de origem que apresentem certificados de autoridades de certificação confiáveis publicamente.

  • Permissões para modificar distribuições do CloudFront.

  • A mTLS de origem só está disponível nos planos de preços Business, Premium ou Pagamento conforme o uso.

nota

A mTLS de origem pode ser configurada para origens personalizadas (inclusive origens hospedadas fora da AWS) e origens da AWS que permitem TLS mútua, como o Application Load Balancer e o API Gateway.

Importante

Os seguintes recursos do CloudFront não permitem mTLS de origem:

  • Tráfego gRPC: não é possível usar o protocolo gRPC para origens com a mTLS de origem habilitada.

  • Conexões WebSocket: não é possível usar o protocolo WebSocket para origens com a mTLS de origem habilitada.

  • Origens de VPC: não é possível usar a mTLS de origem com origens de VPC.

  • Acionadores de solicitação de origem e resposta de origem com o Lambda@Edge: não é possível usar funções do Lambda@Edge nas posições de solicitação de origem e resposta de origem com a mTLS de origem.

  • POPs incorporados: não é possível usar a mTLS de origem para POPs incorporados.

Habilitar a mTLS de origem

A configuração por origem permite que especificar certificados de cliente diferentes para origens diferentes na mesma distribuição. Essa abordagem oferece flexibilidade máxima quando as origens têm requisitos de autenticação diferentes.

Para novas distribuições (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. Escolha Criar distribuição.

  3. Selecione um plano de preços: escolha Business, Premium ou Pagamento conforme o uso (a mTLS de origem não está disponível no plano gratuito).

  4. Na seção de configurações de origem, escolha “Outro” em “Tipo de origem”.

  5. Na seção Configurações de origem, selecione Personalizar configurações de origem.

  6. Configure a primeira origem (nome de domínio, protocolo etc.).

  7. Na configuração da origem, encontre mTLS.

  8. Ative a mTLS.

  9. Em Certificado de cliente, selecione seu certificado no AWS Certificate Manager.

  10. (Opcional) Adicione outras origens com as respectivas configurações de mTLS de origem.

  11. Conclua as configurações de distribuição restantes e escolha Criar distribuição.

Para distribuições existentes (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. Na lista de distribuição, selecione a distribuição a ser modificada. (Observação: sua distribuição deve estar em um plano de preços Pro ou Premium ou Pagamento conforme o uso. Do contrário, será necessário atualizar o plano de preços antes de habilitar a mTLS de origem).

  3. Escolha a guia Origens.

  4. Selecione a origem que você deseja configurar e escolha Editar.

  5. Nas configurações de origem, encontre mTLS.

  6. Ative a mTLS.

  7. Em Certificado de cliente, selecione seu certificado no AWS Certificate Manager. [Observação: somente certificados de cliente com a propriedade EKU (uso estendido de chave) definida como “Autenticação de cliente TLS” serão listados.]

  8. Selecione Save changes (Salvar alterações)

  9. Repita o procedimento para as demais origens conforme necessário.

Usar a AWS CLI

Para configuração por origem, especifique as configurações de mTLS de origem na configuração de cada origem:

{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
nota

O CloudFront não fornecerá o certificado de cliente se o servidor não o solicitar, permitindo que a conexão prossiga normalmente.

Próximas etapas

Após a habilitação da mTLS de origem na distribuição do CloudFront, é possível monitorar eventos de autenticação usando os logs de acesso do CloudFront.