Prérequis et exigences Activer le protocole TLS mutuel (origine)Utilisation de la AWS CLI Étapes suivantes

Activer le protocole TLS mutuel (origine) pour les distributions CloudFront

Après avoir obtenu un certificat client via AWS Certificate Manager et configuré votre serveur d'origine pour qu'il exige le protocole TLS mutuel, vous pouvez activer le protocole TLS mutuel (origine) sur votre CloudFront distribution.

Prérequis et exigences

Avant d'activer le protocole TLS mutuel (origine) sur une CloudFront distribution, assurez-vous d'avoir :

Un certificat client stocké dans AWS Certificate Manager dans la région USA Est (Virginie du Nord) (us-east-1)
Serveurs d'origine configurés pour exiger une authentification TLS mutuelle et valider les certificats clients
Serveurs d'origine présentant des certificats provenant d'autorités de certification approuvées par le public
Autorisations pour modifier les CloudFront distributions
Le protocole TLS mutuel (origin) n'est disponible que pour les forfaits Business, Premium ou Pay as you go.

Note

Le protocole TLS mutuel (origine) peut être configuré pour des origines personnalisées (y compris des origines hébergées à l'extérieur AWS) et des AWS origines compatibles avec le protocole TLS mutuel, telles que Application Load Balancer et API Gateway.

Important

Les CloudFront fonctionnalités suivantes ne sont pas prises en charge par le protocole TLS mutuel (origine) :

Trafic gRPC : le protocole gRPC n'est pas pris en charge pour les origines avec le protocole TLS mutuel (origine) activé
WebSocket connexions : WebSocket le protocole n'est pas pris en charge pour les origines avec le protocole TLS mutuel (origine) activé
Origines VPC : le protocole TLS mutuel (origine) ne peut pas être utilisé avec les origines VPC
Déclencheurs de demande d'origine et de réponse d'origine avec Lambda @Edge : les fonctions Lambda @Edge dans les positions de demande d'origine et de réponse d'origine ne sont pas prises en charge par le protocole TLS mutuel (origine)
Intégré POPs : le protocole TLS mutuel (origine) n'est pas pris en charge pour le protocole intégré POPs

Activer le protocole TLS mutuel (origine)

La configuration par origine vous permet de spécifier différents certificats clients pour différentes origines au sein d'une même distribution. Cette approche offre une flexibilité maximale lorsque vos origines ont des exigences d'authentification différentes.

Pour les nouvelles distributions (console)

Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.
Choisissez Créer une distribution
Sélectionnez un plan tarifaire : choisissez Business ou Premium ou Payez au fur et à mesure (le protocole TLS mutuel (origine) n'est pas disponible dans le plan gratuit)
Dans la section Paramètres d'origine, choisissez Type d'origine comme Autre
Dans la section Paramètres d'origine, choisissez Personnaliser les paramètres d'origine
Configurez votre première origine (nom de domaine, protocole, etc.)
Dans la configuration d'origine, recherchez Mutual TLS (origin)
Activez Activer le protocole TLS mutuel (origine)
Pour le certificat client, sélectionnez votre certificat dans AWS Certificate Manager
(Facultatif) Ajoutez des origines supplémentaires avec leurs propres configurations TLS (origine) mutuelles
Complétez les paramètres de distribution restants et choisissez Créer une distribution

Pour les distributions existantes (console)

Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.
Dans la liste de distribution, sélectionnez la distribution que vous souhaitez modifier. (Remarque : assurez-vous que votre distribution est basée sur un plan tarifaire Pro, Premium ou Pay As You Go. Dans le cas contraire, vous devez mettre à jour votre plan tarifaire avant d'activer le protocole TLS mutuel (origine)
Choisissez l'onglet Origins
Sélectionnez l'origine que vous souhaitez configurer et choisissez Modifier
Dans les paramètres d'origine, recherchez le protocole TLS mutuel (origine)
Activez Activer le protocole TLS mutuel (origine)
Pour le certificat client, sélectionnez votre certificat dans AWS Certificate Manager. (Remarque : seuls les certificats clients dont la propriété EKU (Extended Key Usage) est définie sur « Authentification client TLS » seront répertoriés)
Choisissez Enregistrer les modifications
Répétez l'opération pour d'autres origines si nécessaire

Utilisation de la AWS CLI

Pour la configuration par origine, spécifiez les paramètres TLS mutuels (origine) dans la configuration de chaque origine :


{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}

Note

CloudFront ne fournira pas le certificat client si le serveur ne le demande pas, ce qui permet à la connexion de se poursuivre normalement.

Étapes suivantes

Après avoir activé le protocole TLS mutuel (origine) sur votre CloudFront distribution, vous pouvez surveiller les événements d'authentification à l'aide des journaux d' CloudFront accès.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des certificats avec AWS Certificate Manager

Utilisation de CloudFront fonctions avec TLS mutuel (origine)