HTTPS für die Kommunikation zwischen CloudFront und Ihrem Amazon S3 Origin erfordern - Amazon CloudFront

HTTPS für die Kommunikation zwischen CloudFront und Ihrem Amazon S3 Origin erfordern

Wenn Ihr Ursprung ein Amazon S3-Bucket ist, hängen Ihre Optionen für die Verwendung von HTTPS für die Kommunikation mit CloudFront davon ab, wie Sie den Bucket verwenden. Falls Ihr Amazon S3-Bucket als Website-Endpunkt konfiguriert ist, können Sie CloudFront nicht für die Verwendung von HTTPS für die Kommunikation mit dem Ursprung konfigurieren, da Amazon S3 keine HTTPS-Verbindungen in dieser Konfiguration unterstützt.

Wenn Ihr Ursprung ein Amazon S3-Bucket ist, der die HTTPS-Kommunikation unterstützt, werden Anforderungen von CloudFront immer mit dem Protokoll an S3 weitergeleitet, das Betrachter zur Übermittlung der Anforderungen verwendet haben. Die Standardeinstellung von Protokoll (nur benutzerdefinierte Ursprünge) ist Match Viewer (An Betrachter anpassen) und kann nicht geändert werden.

Wenn Sie die Verwendung von HTTPS für die Kommunikation zwischen CloudFront und Amazon S3 erzwingen möchten, müssen Sie die den Wert von Viewer Protocol Policy (Betrachterprotokoll-Richtlinie) in Redirect HTTP to HTTPS (HTTP zu HTTPS umleiten) oder HTTPS only (Nur HTTPS) ändern. Die Anleitung zur Vorgehensweise beim Ändern des Werts von Viewer Protocol Policy (Betrachterprotokoll-Richtlinie) mithilfe der CloudFront-Konsole finden Sie weiter unten in diesem Abschnitt. Informationen zur Verwendung der CloudFront-API zum Aktualisieren des ViewerProtocolPolicy-Elements für eine Verteilung finden Sie unter UpdateDistribution in der Amazon CloudFront-API-Referenz.

Wenn Sie HTTPS mit einem Amazon S3-Bucket verwenden, der die HTTPS-Kommunikation unterstützt, stellt Amazon S3 das SSL/TLS-Zertifikat für Sie bereit.

So konfigurieren Sie CloudFront so, dass HTTPS für Ihren Amazon S3-Ursprung erforderlich ist:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die CloudFront-Konsole unter https://console.aws.amazon.com/cloudfront/v3/home.

  2. Wählen Sie im oberen Bereich der CloudFront-Konsole die ID der Verteilung aus, die Sie aktualisieren möchten.

  3. Wählen Sie auf der Registerkarte Behaviors das zu aktualisierende Cache-Verhalten und anschließend Edit aus.

  4. Geben Sie einen der folgenden Werte für Viewer Protocol Policy an:

    Redirect HTTP to HTTPS

    Viewer können zwar beide Protokolle verwenden, doch HTTP-Anforderungen werden automatisch umgeleitet und als HTTPS-Anforderungen gesendet. CloudFront gibt den HTTP-Statuscode 301 (Moved Permanently) zusammen mit der neuen HTTPS-URL zurück. Der Viewer übermittelt dann erneut die Anforderung an CloudFront über die HTTPS-URL.

    Wichtig

    Per HTTP gesendete DELETE-, OPTIONS-, PATCH-, POST- und PUT-Anforderungen werden von CloudFront nicht an HTTPS umgeleitet. Wenn Sie ein Zwischenspeicher-Verhalten für die Umleitung an HTTPS konfigurieren, antwortet CloudFront auf per HTTP gesendete DELETE-, OPTIONS-, PATCH-, POST- und PUT-Anforderungen mit dem HTTP-Statuscode 403 (Forbidden).

    Wenn ein Viewer eine HTTP-Anforderung ausgibt, die an eine HTTPS-Adresse umgeleitet wird, berechnet CloudFront Gebühren für beide Anforderungen. Die Gebühren für die HTTP-Anforderung beziehen sich nur auf die Anforderung und die Header, die von CloudFront an den Viewer zurückgegeben werden. Bezüglich der HTTPS-Anforderung fallen Gebühren für die Anforderung sowie für die vom Ursprung zurückgegebenen Header und das Objekt an, das vom Ursprung zurückgegeben wird.

    HTTPS Only

    Viewer können auf Ihre Inhalte nur zugreifen, wenn sie HTTPS verwenden. Wenn ein Betrachter eine HTTP-Anforderung statt einer HTTPS-Anforderung sendet, gibt CloudFront nur den HTTP-Statuscode 403 (Forbidden) zurück, ohne das Objekt zurückzugeben.

  5. Wählen Sie Yes, Edit aus.

  6. Wiederholen Sie Schritt 3 bis 5 für jedes weitere Zwischenspeicher-Verhalten, das die Verwendung von HTTPS für die Kommunikation zwischen Betrachtern und CloudFront und zwischen CloudFront und S3 erzwingen soll.

  7. Vergewissern Sie sich, dass folgende Punkte erfüllt sind, bevor Sie die aktualisierte Konfiguration in einer Produktionsumgebung verwenden:

    • Das Pfadmuster eines jeden Cache-Verhaltens wird nur auf die Anforderungen angewendet, für die die Viewer HTTPS verwenden sollen.

    • Die Zwischenspeicher-Verhaltensweisen sind in der Reihenfolge aufgeführt, in der sie von CloudFront ausgewertet werden sollen. Weitere Informationen finden Sie unter Pfadmuster.

    • Die Cache-Verhaltensweisen leiten Anforderungen an die richtigen Ursprünge weiter.