将 HTTPS 与 CloudFront - Amazon CloudFront

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 HTTPS 与 CloudFront

您可以配置 CloudFront 为要求查看者使用 HTTPS,以便在与查看者 CloudFront 通信时对连接进行加密。您还可以配置 CloudFront 为对源使用 HTTPS,以便在与您的 CloudFront 源通信时对连接进行加密。

如果您配置 CloudFront 为要求 HTTPS 来与查看者通信和与您的来源通信,则 CloudFront 收到请求时会发生以下情况:

  1. 观看者向提交 HTTPS 请求 CloudFront。这里有一些观众和观众之间的 SSL/TLS 协商。 CloudFront最后,查看器以加密格式提交请求。

  2. 如果边 CloudFront 缘站点包含缓存的响应,则 CloudFront 会加密响应并将其返回给查看者,然后查看者对其进行解密。

  3. 如果 CloudFront 边缘站点不包含缓存的响应,则会与您的源服务器 CloudFront 执行 SSL/TLS 协商,并在协商完成后,以加密格式将请求转发到您的源。

  4. 您的源服务器对请求进行解密、处理请求(生成响应)、加密响应并将响应返回到。 CloudFront

  5. CloudFront 解密响应,对其进行重新加密,然后将其转发给查看者。 CloudFront还会将响应缓存在边缘位置,以便下次被请求时可用。

  6. 查看器对响应进行解密。

无论您的源是 Amazon S3 存储桶,还是自定义来源(例如 HTTP/S 服务器) MediaStore,该过程的工作方式基本相同。

注意

为了帮助阻止 SSL 重新协商类型的攻击, CloudFront 不支持对查看者和源站请求进行重新协商。

有关如何要求在查看者与之间以及 CloudFront与您的来源之间 CloudFront 使用 HTTPS 的信息,请参阅以下主题。