Usar o CloudFront Functions com a TLS mútua de origem - Amazon CloudFront
Operações compatíveis do CloudFront FunctionsOperações não compatíveis do CloudFront Functions

Usar o CloudFront Functions com a TLS mútua de origem

O CloudFront Functions oferece computação leve e sem servidor na borda para personalizar a entrega de conteúdo. Ao usar a TLS mútua de origem com o CloudFront Functions, é necessário conhecer limitações e comportamentos específicos em relação à seleção e manipulação da origem.

Operações compatíveis do CloudFront Functions

O CloudFront Functions pode interagir com origens com a mTLS de origem habilitada das seguintes formas:

updateRequestOrigin()

A função updateRequestOrigin() permite poucas modificações ao trabalhar com origens com a mTLS de origem habilitada:

  • Alternar entre origens de mTLS de origem: é possível atualizar a solicitação para rotear para uma origem diferente que use a mTLS de origem, desde que ambas as origens usem o mesmo certificado de cliente. Isso permite implementar uma lógica de roteamento personalizada e, ao mesmo tempo, manter a autenticação TLS mútua.

  • Desabilitar a mTLS de origem: é possível alternar de uma origem habilitada para mTLS para uma origem não mTLS definindo mTLSConfig: 'off' na função. Isso oferece flexibilidade para desabilitar condicionalmente a autenticação TLS mútua com base nas características da solicitação.

Exemplo: alternar entre origens de mTLS de origem com o mesmo certificado

function handler(event) {
    var request = event.request;

    // Route to different origin based on request path
    if (request.uri.startsWith('/api/v2')) {
        request.origin = {
            domainName: 'api-v2.example.com',
            customHeaders: {},
            // Both origins must use the same certificate
        };
    }

    return request;
}

Exemplo: desativação condicional da mTLS de origem

function handler(event) {
    var request = event.request;

    // Disable mTLS for specific paths
    if (request.uri.startsWith('/public')) {
        request.origin = {
            domainName: 'public-origin.example.com',
            customHeaders: {},
            mTLSConfig: 'off'
        };
    }

    return request;
}

Operações não compatíveis do CloudFront Functions

Não é possível usar as seguintes operações do CloudFront Functions com origens com a mTLS de origem habilitada na disponibilidade ao público:

selectRequestOriginById()

A função selectRequestOriginById() não pode selecionar uma origem que tenha a mTLS de origem habilitada. A tentativa de selecionar uma origem com a mTLS de origem habilitada por meio dessa função gera um erro de validação.

Se seu caso de uso exigir seleção dinâmica de origem com mTLS de origem, use updateRequestOrigin() em vez disso, para garantir que todas as origens de destino usem o mesmo certificado de cliente.

createRequestOriginGroup()

A função createRequestOriginGroup() não permite a criação de grupos de origens que incluam origens com a mTLS de origem habilitada. Grupos de origens que incluem origens com mTLS de origem não podem ser criados dinamicamente por meio do CloudFront Functions.

Se você precisar de recursos de failover de origem com mTLS de origem, configure grupos de origens diretamente nas configurações de distribuição do CloudFront em vez de criá-los dinamicamente em funções.