사용자 지정 CloudFront 오리진과 사용자 지정 오리진 간의 통신을 위한 HTTPS 필요 - 아마존 CloudFront
설정 변경 CloudFront사용자 지정 오리진에 SSL/TLS 인증서 설치

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 CloudFront 오리진과 사용자 지정 오리진 간의 통신을 위한 HTTPS 필요

CloudFront 오리진과 오리진 간의 통신을 위해 HTTPS를 요구할 수 있습니다.

참고

오리진이 웹 사이트 엔드포인트로 구성된 Amazon S3 버킷인 경우 Amazon S3는 웹 사이트 엔드포인트에 HTTPS를 지원하지 않으므로 오리진에 HTTPS를 사용하도록 구성할 CloudFront 수 없습니다.

CloudFront 오리진과 오리진 사이에 HTTPS를 요구하려면 이 주제의 절차에 따라 다음을 수행하십시오.

  1. 배포에서 오리진에 대한 오리진 프로토콜 정책 설정을 변경합니다.

  2. 오리진 서버에 SSL/TLS 인증서를 설치합니다(Amazon S3 오리진 또는 기타 특정 AWS 오리진을 사용하는 경우 필요 없음).

설정 변경 CloudFront

다음 절차는 HTTPS를 사용하여 Elastic Load Balancing 로드 밸런서, Amazon EC2 인스턴스 또는 다른 사용자 지정 오리진과 CloudFront 통신하도록 구성하는 방법을 설명합니다. CloudFront API를 사용하여 배포를 업데이트하는 방법에 대한 자세한 내용은 Amazon CloudFront API 참조를 참조하십시오 UpdateDistribution.

사용자 지정 CloudFront 오리진과 사용자 지정 오리진 사이에 HTTPS를 CloudFront 요구하도록 구성하려면

  1. 에서 AWS Management Console 로그인하고 CloudFront 콘솔을 엽니다. https://console.aws.amazon.com/cloudfront/v4/home

  2. CloudFront 콘솔 상단 창에서 업데이트하려는 배포의 ID를 선택합니다.

  3. 오리진 탭에서 업데이트할 오리진을 선택하고 편집을 선택합니다.

  4. 다음 설정을 업데이트합니다.

    오리진 프로토콜 정책

    배포의 해당 오리진에 대해 오리진 프로토콜 정책을 변경합니다.

    • HTTPS 전용 - HTTPS만 CloudFront 사용하여 사용자 지정 오리진과 통신합니다.

    • 매치 뷰어 — 시청자 요청의 프로토콜에 따라 HTTP 또는 HTTPS를 사용하여 사용자 지정 오리진과 CloudFront 통신합니다. 예를 들어 오리진 프로토콜 정책으로 매치 뷰어를 선택했는데 뷰어가 HTTPS를 사용하여 객체를 요청하는 경우 CloudFront, 요청을 오리진에 전달하는 CloudFront 데도 HTTPS를 사용합니다.

      Viewer Protocol Policy(최종 사용자 프로토콜 정책)에서 Redirect HTTP to HTTPS(HTTP를 HTTPS로 재지정) 또는 HTTPS Only(HTTPS만 해당)를 지정한 경우에만 Match Viewer를 선택합니다.

      CloudFront 최종 사용자가 HTTP 프로토콜과 HTTPS 프로토콜을 모두 사용하여 요청하는 경우에도 객체를 한 번만 캐시합니다.

    오리진 SSL 프로토콜

    배포의 해당 오리진에 대해 오리진 SSL 프로토콜을 선택합니다. SSLv3 프로토콜이 덜 안전하므로 사용자가 TLSv1 이상을 지원하지 않는 경우에만 SSLv3을 선택하는 것이 좋습니다. TLSv1 핸드쉐이크는 SSLv3의 이전 버전 및 이후 버전과 모두 호환되지만, TLSv1.1 및 TLSv1.2는 호환되지 않습니다. SSLv3을 선택하면 SSLv3 핸드셰이크 CloudFront 요청만 보냅니다.

  5. 예, 편집합니다를 선택합니다.

  6. 사용자 지정 오리진 간에 HTTPS를 요구하려는 각 추가 오리진에 대해 3~5단계를 반복합니다. CloudFront

  7. 업데이트한 구성을 프로덕션 환경에서 사용하기 전에 다음 사항을 확인합니다.

    • 각 캐시 동작의 경로 패턴이 최종 사용자에 HTTPS를 사용하도록 지정한 요청에만 적용되는가.

    • 캐시 동작은 CloudFront 평가하려는 순서대로 나열됩니다. 자세한 설명은 경로 패턴 섹션을 참조하세요.

    • 캐시 동작은 변경한 오리진 프로토콜 정책에 따라 요청을 오리진으로 라우팅합니다.

사용자 지정 오리진에 SSL/TLS 인증서 설치

사용자 지정 오리진에서 다음 소스의 SSL/TLS 인증서를 사용할 수 있습니다.

  • 오리진이 Elastic Load Balancing 로드 밸런서인 경우 AWS Certificate Manager(ACM)에서 제공하는 인증서를 사용할 수 있습니다. 또한 신뢰할 수 있는 다른 인증 기관에서 서명한 인증서 및 ACM으로 가져온 인증서를 사용할 수도 있습니다.

  • Elastic Load Balancing 로드 밸런서가 아닌 오리진의 경우 신뢰할 수 있는 타사 인증 기관 (CA) 에서 서명한 인증서를 사용해야 합니다 (예: Comodo, DigiCert Symantec).

오리진에서 반환되는 인증서는 다음 도메인 이름 중 하나를 포함하고 있어야 합니다.

  • 오리진의 오리진 도메인 필드에 있는 도메인 이름 (API의 필드). DomainName CloudFront

  • 캐시 동작이 Host 헤더를 오리진으로 전달하도록 구성된 경우, Host 헤더의 도메인 이름.

HTTPS를 CloudFront 사용하여 오리진과 통신하는 경우 신뢰할 수 있는 인증 기관에서 인증서를 CloudFront 발급했는지 확인합니다. CloudFront Mozilla와 동일한 인증 기관을 지원합니다. 최신 목록은 Mozilla에 포함된 CA 인증서 목록을 참조하십시오. CloudFront 오리진과 원본 간의 HTTPS 통신에는 자체 서명된 인증서를 사용할 수 없습니다.

중요

오리진 서버가 만료된 인증서, 잘못된 인증서 또는 자체 서명된 인증서를 반환하거나 오리진 서버가 잘못된 순서로 인증서 체인을 반환하는 경우 TCP 연결을 중단하고 뷰어에게 HTTP 상태 코드 502 (Bad Gateway) 를 반환한 다음 헤더를 로 설정합니다. CloudFront X-Cache Error from cloudfront 또한 중간 인증서를 포함한 전체 인증서 체인이 없는 경우 TCP 연결이 CloudFront 끊어집니다.