本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 CloudFront 進行相互 TLS 身分驗證 （檢視器 mTLS)
<a name="mtls-authentication"></a>

相互 TLS 身分驗證 （相互傳輸層安全身分驗證 — mTLS) 是一種安全通訊協定，透過要求雙向憑證型身分驗證來延伸標準 TLS 身分驗證，其中用戶端和伺服器都必須證明其身分，才能建立安全連線。使用交互 TLS，您可以確保只有提供信任 TLS 憑證的用戶端才能存取您的 CloudFront 分佈。

## 運作方式
<a name="how-mtls-works"></a>

在標準 TLS 交握中，只有伺服器會呈現憑證，向用戶端證明其身分。使用交互 TLS，身分驗證程序會變成雙向。當用戶端嘗試連線至 CloudFront 分佈時，CloudFront 會在 TLS 交握期間請求用戶端憑證。在建立安全連線之前，用戶端必須呈現 CloudFront 針對您設定的信任存放區驗證的有效 X.509 憑證。

CloudFront 會在 AWS 節點執行此憑證驗證，從原始伺服器卸載身分驗證複雜性，同時維護 CloudFront 的全域效能優勢。您可以將 mTLS 設定為兩種模式：驗證模式 （需要所有用戶端呈現有效的憑證） 或選用模式 （在呈現時驗證憑證，但也允許沒有憑證的連線）。

## 使用案例
<a name="mtls-use-cases"></a>

使用 CloudFront 的相互 TLS 身分驗證可解決傳統身分驗證方法不足的幾個關鍵安全案例：
+ **裝置身分驗證與內容快取** - 您可以在允許存取韌體更新、遊戲下載或內部資源之前，對遊戲主控台、IoT 裝置或公司硬體進行身分驗證。每個裝置都包含唯一憑證，可證明其真實性，同時受益於 CloudFront 的快取功能。
+ **API-to-API 身分驗證** - 您可以保護信任的業務合作夥伴、付款系統或微型服務之間的machine-to-machine通訊。憑證型身分驗證不需要共用秘密或 API 金鑰，同時為自動化資料交換提供強大的身分驗證。

**Topics**
+ [運作方式](#how-mtls-works)
+ [使用案例](#mtls-use-cases)
+ [信任存放區和憑證管理](trust-stores-certificate-management.md)
+ [為 CloudFront 分佈啟用交互 TLS](enable-mtls-distributions.md)
+ [關聯 CloudFront 連線函數](connection-functions.md)
+ [設定其他設定](configuring-additional-settings.md)
+ [快取政策並轉送至原始伺服器的檢視器 mTLS 標頭](viewer-mtls-headers.md)
+ [使用 CloudFront Connection Function 和 KVS 撤銷](revocation-connection-function-kvs.md)
+ [使用連線日誌的可觀測性](connection-logs.md)