Abilita Origin Mutual TLS per le distribuzioni CloudFront - Amazon CloudFront
Prerequisiti e requisitiAbilita gli MTL di origineUtilizzo della AWS CLIFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita Origin Mutual TLS per le distribuzioni CloudFront

Dopo aver ottenuto un certificato client tramite AWS Certificate Manager e aver configurato il server di origine per richiedere il TLS reciproco, puoi abilitare gli MTL di origine sulla tua distribuzione. CloudFront

Prerequisiti e requisiti

Prima di abilitare gli MTL di origine su una CloudFront distribuzione, assicurati di avere:

  • Un certificato client archiviato in AWS Certificate Manager nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1)

  • Server di origine configurati per richiedere l'autenticazione TLS reciproca e convalidare i certificati client

  • Server di origine che presentano certificati emessi da autorità di certificazione pubblicamente attendibili

  • Autorizzazioni per modificare CloudFront le distribuzioni

  • Origin MTLs è disponibile solo con i piani tariffari Business, Premium o Pay as you go.

Nota

Gli MTL di origine possono essere configurati per origini personalizzate (incluse le origini ospitate all'esterno AWS) e AWS origini che supportano TLS reciproco come Application Load Balancer e API Gateway.

Importante

Le seguenti CloudFront funzionalità non sono supportate con gli MTL di origine:

  • Traffico gRPC: il protocollo gRPC non è supportato per le origini con MTL di origine abilitati

  • WebSocket connessioni: il WebSocket protocollo non è supportato per le origini con MTL di origine abilitati

  • Origini VPC: gli MTL di origine non possono essere utilizzati con le origini VPC

  • Trigger Origin Request e Origin Response con Lambda @Edge: le funzioni Lambda @Edge nelle posizioni Origin Request e Origin Response non sono supportate con Origin MTL

  • Incorporato POPs: gli MTL di origine non sono supportati per quelli incorporati POPs

Abilita gli MTL di origine

La configurazione per origine consente di specificare certificati client diversi per origini diverse all'interno della stessa distribuzione. Questo approccio offre la massima flessibilità quando le origini hanno requisiti di autenticazione diversi.

Per nuove distribuzioni (Console)

  1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Scegli Crea distribuzione

  3. Seleziona un piano tariffario: scegli Business o Premium o Pay As You Go (Origin MTLs non è disponibile nel piano gratuito)

  4. Nella sezione Impostazioni Origin, scegli Origin Type as Other

  5. Nella sezione Impostazioni di origine, scegli Personalizza le impostazioni di origine

  6. Configura la tua prima origine (nome di dominio, protocollo, ecc.)

  7. Nella configurazione di origine, trova MTL

  8. Attiva gli MTL

  9. Per il certificato client, seleziona il tuo certificato da AWS Certificate Manager

  10. (Facoltativo) Aggiungi origini aggiuntive con le proprie configurazioni MTL di origine

  11. Completa le impostazioni di distribuzione rimanenti e scegli Crea distribuzione

Per le distribuzioni esistenti (Console)

  1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront/v4/home.

  2. Dalla lista di distribuzione, seleziona la distribuzione che desideri modificare. (Nota: assicurati che la tua distribuzione includa un piano tariffario Pro, Premium o Pay As You Go. In caso contrario, è necessario aggiornare il piano tariffario prima di abilitare Origin (MTL)

  3. Scegli la scheda Origins

  4. Seleziona l'origine che desideri configurare e scegli Modifica

  5. Nelle impostazioni di origine, trova MTL

  6. Attiva gli MTL

  7. Per il certificato client, seleziona il tuo AWS certificato da Certificate Manager. (Nota: verranno elencati solo i certificati client con la proprietà EKU (Extended Key Usage) impostata su «TLS Client Authentication»)

  8. Scegliere Salva modifiche.

  9. Ripetere l'operazione per altre origini, se necessario

Utilizzo della AWS CLI

Per la configurazione per origine, specifica le impostazioni MTLS di origine all'interno della configurazione di ciascuna origine:

{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
Nota

CloudFront non fornirà il certificato client se il server non lo richiede, permettendo alla connessione di procedere normalmente.

Fasi successive

Dopo aver abilitato Origin MTL sulla vostra CloudFront distribuzione, potete monitorare gli eventi di autenticazione utilizzando i log di CloudFront accesso.