Exigencia de HTTPS para la comunicación entre CloudFront y su origen de Amazon S3 - Amazon CloudFront
Exigencia de HTTPS para un origen de Amazon S3

Exigencia de HTTPS para la comunicación entre CloudFront y su origen de Amazon S3

Cuando el origen es un bucket de Amazon S3, las opciones para utilizar HTTPS en las comunicaciones con CloudFront dependerán de cómo se esté utilizando el bucket. Si su bucket de Amazon S3 se configura como un punto de enlace de sitio web, no puede configurar CloudFront para usar HTTPS para comunicarse con su origen porque Amazon S3 no admite conexiones HTTPS en dicha configuración.

Cuando el origen es un bucket de Amazon S3 que permite la comunicación HTTPS, CloudFront siempre reenvía las solicitudes a S3 con el protocolo que los lectores utilizaron para enviar las solicitudes. El valor predeterminado para la configuración Protocolo (solo orígenes personalizados) es Match Viewer (Coincidir con lector) y no puede modificarse.

Si desea solicitar HTTPS para la comunicación entre CloudFront y Amazon S3, deberá cambiar el valor de protocolo de Viewer Protocol Policy (Política de protocolo del lector) a Redirect HTTP to HTTPS (Redirigir HTTP a HTTPS) o HTTPS Only (Solo HTTPS). En el procedimiento que se indica más adelante en esta sección se explica cómo usar la consola de CloudFront para cambiar Viewer Protocol Policy (Política de protocolo del lector). Para obtener información sobre el uso de la API de CloudFront para actualizar el elemento ViewerProtocolPolicy de una distribución, consulte UpdateDistribution en la Referencia de la API de Amazon CloudFront.

Si utiliza HTTPS con un bucket de Amazon S3 que admite comunicaciones HTTPS, Amazon S3 proporciona el certificado SSL/TLS para que no tenga hacerlo usted.

Exigencia de HTTPS para un origen de Amazon S3

El siguiente procedimiento muestra cómo configurar CloudFront para que se exija HTTPS a su origen de Amazon S3.

Para configurar CloudFront para que requiera HTTPS a su origen de Amazon S3

  1. Inicie sesión en AWS Management Console y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

  3. En la pestaña Behaviors (Comportamientos), elija el comportamiento de la caché que desee actualizar y, a continuación, elija Edit (Editar).

  4. Especifique uno de los siguientes valores en Viewer Protocol Policy (Política de protocolo del espectador):

    Redireccionamiento de HTTP a HTTPS

    Los espectadores pueden usar tanto el protocolo HTTP como el HTTPS, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP 301 (Movido permanentemente) junto con la nueva URL HTTPS. A continuación, el lector vuelve a enviar la solicitud a CloudFront través de la URL HTTPS.

    importante

    CloudFront no redirige las solicitudes DELETE, OPTIONS, PATCH, POST ni PUT de HTTP a HTTPS. Si configura un comportamiento de la caché para que redirija a HTTPS, CloudFront responde a solicitudes HTTP DELETE, OPTIONS, PATCH, POST o PUT de ese comportamiento de la caché con el código de estado HTTP 403 (Prohibido).

    Cuando un lector realiza una solicitud HTTP que se redirige a una solicitud HTTPS, se aplican cargos de CloudFront a ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al lector. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el objeto devueltos por el origen.

    Solo HTTPS

    Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un lector envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve código de estado HTTP 403 (Prohibido) y no devuelve el objeto.

  5. Elija Yes, Edit (Sí, editar).

  6. Repita los pasos 3 a 5 para cada comportamiento de la caché adicional para el que desee solicitar HTTPS entre los lectores y CloudFront, y entre CloudFront y S3.

  7. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:

    • El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.

    • Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte Patrón de ruta.

    • Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos.