WKLD.13 要求所有公共 Web 端点都必须使用 HTTPS - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

WKLD.13 要求所有公共 Web 端点都必须使用 HTTPS

需要使用 HTTPS 为您的 Web 端点提供额外的可信度,允许您的端点使用证书来证明其身份,并确认您的端点和连接的客户端之间的所有流量均已加密。对于公共网站,这还能带来提高搜索引擎排名的额外好处。

许多 AWS 服务为您的资源提供公共网络终端节点,例如 AWS Elastic Beanstalk亚马逊、Amazon API Gateway CloudFront、Elastic Load Balancing 和 AWS Amplify。有关这些服务如何要求使用 HTTPS 的说明,请参阅以下内容:

Amazon S3 上托管的静态网站不支持 HTTPS。要要求这些网站使用 HTTPS,可以使用 CloudFront。无需公开访问通过 CloudFront 其提供内容的 S3 存储桶。

用于 CloudFront 提供托管在 Amazon S3 上的静态网站

  1. 用于 CloudFront 提供托管在 Amazon S3(AWS 知识中心)上的静态网站

  2. 如果您要配置对公有 S3 存储桶的访问权限,则需要在查看者和 CloudFront(CloudFront文档)之间使用 HTTPS

    如果您正在配置对私有 S3 存储桶的访问权限,请使用原始访问身份(CloudFront 文档)限制对 Amazon S3 内容的访问

此外,将 HTTPS 端点配置为需要现代传输层安全性(TLS)协议和密码,除非需要与旧协议兼容。例如,使用 ELBSecurityPolicy-FS-1-2-Res-2020-10 或适用于应用程序负载均衡器 HTTPS 侦听器的最新策略,而不是默认的 ELBSecurityPolicy-2016-08。最新的策略至少需要 TLS 1.2、向前保密以及与现代 Web 浏览器兼容的强密码。

有关 HTTPS 公有端点的可用安全策略的更多信息,请参阅: