Exiger le protocole HTTPS pour la communication entre les spectateurs et CloudFront - Amazon CloudFront

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exiger le protocole HTTPS pour la communication entre les spectateurs et CloudFront

Vous pouvez configurer un ou plusieurs comportements de cache dans votre CloudFront distribution afin d'exiger le protocole HTTPS pour la communication entre les utilisateurs et CloudFront. Vous pouvez également configurer un ou plusieurs comportements de cache pour autoriser à la fois le HTTP et le HTTPS, ce qui CloudFront nécessite le protocole HTTPS pour certains objets mais pas pour d'autres. Les étapes de configuration dépendent du nom de domaine que vous utilisez dans les URL d'objet :

  • Si vous utilisez le nom de domaine CloudFront attribué à votre distribution, tel que d111111abcdef8.cloudfront.net, vous modifiez le paramètre Viewer Protocol Policy pour un ou plusieurs comportements de cache afin d'exiger une communication HTTPS. Dans cette configuration, CloudFront fournit le certificat SSL/TLS.

    Pour modifier la valeur de Viewer Protocol Policy à l'aide de la CloudFront console, reportez-vous à la procédure décrite plus loin dans cette section.

    Pour plus d'informations sur l'utilisation de l' CloudFront API pour modifier la valeur de l'ViewerProtocolPolicyélément, consultez UpdateDistributionle Amazon CloudFront API Reference.

  • Si vous utilisez votre propre nom de domaine, tel que exemple.com, vous devez modifier plusieurs CloudFront paramètres. Vous devez également utiliser un certificat SSL/TLS fourni par AWS Certificate Manager (ACM), ou importer un certificat d'une autorité de certification tierce dans ACM ou du magasin de certificats IAM. Pour plus d’informations, consultez Utilisez des noms de domaine alternatifs et HTTPS.

Note

Si vous voulez vous assurer que les objets que les spectateurs obtiennent CloudFront étaient chiffrés lorsqu'ils CloudFront sont arrivés de chez vous, utilisez toujours le protocole HTTPS entre CloudFront et votre origine. Si vous êtes récemment passé du protocole HTTP au protocole HTTPS entre CloudFront et votre origine, nous vous recommandons d'invalider les objets situés dans des emplacements CloudFront périphériques. CloudFront renverra un objet à un visualiseur, que le protocole utilisé par le visualiseur (HTTP ou HTTPS) corresponde ou non au protocole CloudFront utilisé pour obtenir l'objet. Pour plus d'informations sur la suppression ou le remplacement des objets dans une distribution, consultez Ajouter, supprimer ou remplacer du contenu CloudFront diffusé.

Exiger le protocole HTTPS pour les utilisateurs

Pour exiger le protocole HTTPS entre les utilisateurs et CloudFront pour un ou plusieurs comportements de cache, effectuez la procédure suivante.

Pour configurer CloudFront afin d'exiger le protocole HTTPS entre les spectateurs et CloudFront
  1. Connectez-vous à la CloudFront console AWS Management Console et ouvrez-la à l'adressehttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet supérieur de la CloudFront console, choisissez l'ID de la distribution que vous souhaitez mettre à jour.

  3. Dans l'onglet Comportements, sélectionnez le comportement du cache que vous souhaitez mettre à jour, puis choisissez Modifier.

  4. Spécifiez l'une des valeurs suivantes pour la politique du protocole Viewer :

    Redirect HTTP to HTTPS

    Les visionneuses peuvent utiliser les deux protocoles. Le HTTP GET et les HEAD requêtes sont automatiquement redirigés vers les requêtes HTTPS. CloudFront renvoie le code d'état HTTP 301 (déplacé définitivement) ainsi que la nouvelle URL HTTPS. Le téléspectateur soumet ensuite à nouveau la demande à CloudFront l'aide de l'URL HTTPS.

    Important

    Si vous envoyezPOST,PUT, DELETEOPTIONS, ou PATCH via HTTP avec un comportement de cache HTTP vers HTTPS et une version du protocole de requête HTTP 1.1 ou supérieure, CloudFront redirige la demande vers un emplacement HTTPS avec un code d'état HTTP 307 (redirection temporaire). Cette approche garantit le nouvel envoi de la demande vers le nouvel emplacement à l'aide de la même méthode et de la même charge utile du corps.

    Si vous envoyezPOST, PUT DELETEOPTIONS, ou des PATCH requêtes via HTTP vers HTTPS, le comportement du cache avec une version du protocole de requête inférieure à HTTP 1.1 CloudFront renvoie un code d'état HTTP 403 (interdit).

    Lorsqu'un utilisateur fait une requête HTTP qui est redirigée vers une requête HTTPS, les deux requêtes sont CloudFront facturées. Pour la requête HTTP, les frais concernent uniquement la demande et les en-têtes CloudFront renvoyés au lecteur. Pour la requête HTTPS, le montant correspond à la requête ainsi qu'aux en-têtes et à l'objet renvoyés par votre origine.

    HTTPS uniquement

    Les visionneuses ne peuvent accéder au contenu que si elles utilisent le protocole HTTPS. Si un utilisateur envoie une requête HTTP au lieu d'une requête HTTPS, il CloudFront renvoie le code d'état HTTP 403 (Interdit) et ne renvoie pas l'objet.

  5. Sélectionnez Enregistrer les modifications.

  6. Répétez les étapes 3 à 5 pour chaque comportement de cache supplémentaire pour lequel vous souhaitez exiger le protocole HTTPS entre les utilisateurs et CloudFront.

  7. Vérifiez les éléments suivants avant d’utiliser la configuration mise à jour dans un environnement de production :

    • Le modèle de chemin de chaque comportement de cache s’applique uniquement aux requêtes pour lesquelles vous souhaitez que les visionneuses utilisent HTTPS.

    • Les comportements du cache sont répertoriés dans l'ordre dans lequel vous CloudFront souhaitez les évaluer. Pour plus d’informations, consultez Modèle de chemin d’accès.

    • Les comportements de cache acheminent les requêtes vers les origines correctes.