本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
相互 TLS (mTLS) 檢視器
相互 TLS 身分驗證 (相互傳輸層安全身分驗證 — mTLS) 是一種安全通訊協定,透過要求雙向憑證型身分驗證來延伸標準 TLS 身分驗證,其中用戶端和伺服器都必須在建立安全連線之前證明其身分。使用交互 TLS,您可以確保只有提供信任 TLS 憑證的用戶端才能存取您的 CloudFront 分佈。
運作方式
在標準 TLS 交握中,只有伺服器會呈現憑證,向用戶端證明其身分。使用交互 TLS,身分驗證程序會變成雙向。當用戶端嘗試連線到 CloudFront 分佈時,CloudFront 會在 TLS 交握期間請求用戶端憑證。在建立安全連線之前,用戶端必須呈現 CloudFront 針對您設定的信任存放區驗證的有效 X.509 憑證。
CloudFront 會在 AWS 節點執行此憑證驗證,從原始伺服器卸載身分驗證複雜性,同時維護 CloudFront 的全域效能優勢。您可以將 mTLS 設定為兩種模式:驗證模式 (要求所有用戶端都提供有效的憑證) 或選用模式 (在顯示時驗證憑證,但也允許沒有憑證的連線)。
使用案例
使用 CloudFront 的相互 TLS 身分驗證可解決傳統身分驗證方法不足的幾個關鍵安全案例:
-
裝置身分驗證與內容快取 - 您可以在允許存取韌體更新、遊戲下載或內部資源之前,對遊戲主控台、IoT 裝置或公司硬體進行身分驗證。每個裝置都包含唯一憑證,可證明其真實性,同時受益於 CloudFront 的快取功能。
-
API-to-API 身分驗證 - 您可以保護信任的業務合作夥伴、付款系統或微型服務之間的machine-to-machine通訊。憑證型身分驗證不需要共用秘密或 API 金鑰,同時為自動化資料交換提供強大的身分驗證。
主題
