Amazon CloudFront 宣布支持双向 TLS 身份验证
Amazon CloudFront 宣布支持双向 TLS 身份验证(mTLS),这是一种安全协议,要求服务器和客户端均使用 X.509 证书相互验证身份,从而让客户能够在 CloudFront 的边缘站点验证客户端身份。现在,客户可以确保只有出示可信证书的客户端才能访问其分发内容,这有助于防范未经授权的访问和安全威胁。
以前,客户需要持续投入精力来实施和维护自己的客户端访问管理解决方案,导致了繁重的重复性工作。现在,借助对双向 TLS 的支持,客户可以在与应用程序服务器或 API 建立连接之前,轻松地在 AWS 边缘验证客户端身份。典型使用案例包括企业的 B2B 安全 API 集成和 IoT 客户端身份验证。在 B2B API 安全集成使用案例中,企业可以使用双向 TLS 来验证来自可信第三方和合作伙伴的 API 请求。在 IoT 使用案例中,企业可以验证设备是否有权接收固件更新等专有内容。客户可以利用现有的第三方证书颁发机构或 AWS 私有证书颁发机构来签发 X.509 证书。借助双向 TLS,对于需要客户端身份验证的工作负载,客户能够获得 CloudFront 在性能与可扩展性方面的优势。
所有 CloudFront 客户均可使用双向 TLS 身份验证,且无需额外付费。客户可以通过 AWS 管理控制台、CLI、SDK、CDK 和 CloudFormation 来配置 CloudFront 的双向 TLS。有关详细的实施指南和最佳实践,请访问 CloudFront 双向 TLS(Viewer 端)文档。