WKLD.13 — 所有公共 Web 端点都必须HTTPS使用

要求HTTPS为您的 Web 端点提供额外的可信度，允许您的终端节点使用证书来证明其身份，并确认您的终端节点和连接的客户端之间的所有流量均已加密。对于公共网站，这还能带来提高搜索引擎排名的额外好处。

许多 AWS 服务为您的资源提供公共网络终端节点，例如 AWS Elastic Beanstalk亚马逊、Amazon Gate API way CloudFront、Elastic Load Balancing 和 AWS Amplify。有关每项服务的HTTPS需求的说明，请参阅以下内容：

• Elastic Beanstalk（Elastic Beanstalk 文档）

• CloudFront（CloudFront 文档）

• Application Load Balanc er（AWS 知识中心）

• Classic Load Balanc er（AWS 知识中心）

• Amplify（Amplify 文档）

在 Amazon S3 上托管的静态网站不支持HTTPS。要HTTPS要求这些网站，可以使用 CloudFront。无需公开访问通过 CloudFront 其提供内容的 S3 存储桶。

用于 CloudFront 为托管在 Amazon S3 上的静态网站提供服务

1. 用于 CloudFront 提供托管在 Amazon S3（AWS 知识中心）上的静态网站。

2. 如果您要配置对公有 S3 存储桶的访问权限，则需要HTTPS在查看者和 CloudFront（CloudFront文档）之间进行配置。

   如果您正在配置对私有 S3 存储桶的访问权限，请使用原始访问身份（CloudFront 文档）限制对 Amazon S3 内容的访问。

此外，除非需要与旧协议兼容，否则请将HTTPS端点配置为需要现代传输层安全 (TLS) 协议和密码。例如，使用适用于 Application Load Balancer 侦HTTPS听器的ELBSecurityPolicy-FS-1-2-Res-2020-10或最新策略，而不是默认ELBSecurityPolicy-2016-08策略。最新的策略要求至少为 TLS 1.2、向前保密以及与现代 Web 浏览器兼容的强密码。

有关HTTPS公共终端节点可用安全策略的更多信息，请参阅：

• 经典负载均衡器的预定义SSL安全策略（Elastic Load Bal ancing 文档）

• 适用于应用程序负载均衡器的安全策略（Elastic Load Balancing 文档）

• 查看器和 CloudFront（CloudFront 文档）之间支持的协议和密码