Operaciones de CloudFront Functions admitidas Operaciones de CloudFront Functions no admitidas

Uso de CloudFront Functions con TLS mutua (origen)

CloudFront Functions proporciona computación periférica ligera y sin servidor para personalizar la entrega de contenido. Cuando se utiliza TLS mutua (origen) con CloudFront Functions, hay comportamientos y limitaciones específicos que hay que tener en cuenta en relación con la selección y la manipulación del origen.

Operaciones de CloudFront Functions admitidas

Las CloudFront Functions pueden interactuar con orígenes habilitados de TLS mutua (origen) de las siguientes maneras:

updateRequestOrigin()

La función updateRequestOrigin() admite modificaciones limitadas cuando se trabaja con orígenes habilitados de TLS mutua (origen):

Cambiar entre orígenes de TLS mutua (origen): puede actualizar la solicitud para que se dirija a un origen diferente que utilice TLS mutua (origen), siempre que ambos orígenes utilicen el mismo certificado de cliente. Esto permite implementar una lógica de enrutamiento personalizada y, al mismo tiempo, mantener la autenticación de TLS mutua.
Desactivación de TLS mutua (origen): puede cambiar de un origen habilitado de TLS mutua (origen) a un origen de TLS no mutua configurando mTLSConfig: 'off' en la función. Esto proporciona flexibilidad para desactivar condicionalmente la autenticación de TLS mutua en función de las características de la solicitud.

Ejemplo: Cambio entre orígenes de TLS mutua (origen) con el mismo certificado


function handler(event) {
    var request = event.request;

    // Route to different origin based on request path
    if (request.uri.startsWith('/api/v2')) {
        request.origin = {
            domainName: 'api-v2.example.com',
            customHeaders: {},
            // Both origins must use the same certificate
        };
    }

    return request;
}

Ejemplo: Desactivación condicional de TLS mutua (origen)


function handler(event) {
    var request = event.request;

    // Disable mTLS for specific paths
    if (request.uri.startsWith('/public')) {
        request.origin = {
            domainName: 'public-origin.example.com',
            customHeaders: {},
            mTLSConfig: 'off'
        };
    }

    return request;
}

Operaciones de CloudFront Functions no admitidas

Las siguientes operaciones de CloudFront Functions no admiten orígenes habilitados de TLS mutua (origen) en condiciones de disponibilidad general:

selectRequestOriginById()

La función selectRequestOriginById() no puede seleccionar un origen que tenga habilitado TLS mutua (origen). Si se intenta seleccionar un origen habilitado de TLS mutua (origen) mediante esta función, se producirá un error de validación.

Si su caso de uso requiere una selección de origen dinámica con TLS mutua (origen), utilice updateRequestOrigin() en su lugar, asegurándose de que todos los orígenes de destino utilicen el mismo certificado de cliente.

createRequestOriginGroup()

La función createRequestOriginGroup() no admite la creación de grupos de orígenes que incluyan orígenes habilitados de TLS mutua (origen). Los grupos de origen con orígenes de TLS mutua (origen) no se pueden crear dinámicamente mediante CloudFront Functions.

Si necesita capacidades de conmutación por error de origen con TLS mutua (origen), configure los grupos de origen directamente en la configuración de distribución de CloudFront, en lugar de crearlos de forma dinámica en funciones.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación de TLS mutua (origen) para las distribuciones de CloudFront

Restricción de contenido con URL firmadas y cookies firmadas