Amazon CloudFront 宣布对源提供双向 TLS 支持
Amazon CloudFront 宣布支持源的双向 TLS 身份验证(mTLS),该安全协议使客户能够使用 TLS 证书验证向其原始服务器发出的请求是否仅来自其授权的 CloudFront 分配。这种基于证书的身份验证可对 CloudFront 的身份进行加密验证,从而无需客户管理自定义安全控制。
以前,验证请求是否来自 CloudFront 分配需要客户构建和维护自定义身份验证解决方案,例如共享密钥标头或 IP 许可名单,尤其是针对公共或外部托管的源。这些方法需要持续的运营开销来轮换密钥、更新白名单并维护自定义代码。现在,有了源 mTLS 支持,客户可以实施基于证书的标准化身份验证方法,从而消除这种运营负担。这使组织能够对其专有内容强制执行严格的身份验证,从而确保只有经过验证的 CloudFront 分配才能建立与后端基础设施的连接。这些基础设施涵盖 AWS 源、本地服务器、第三方云服务提供商以及外部 CDN。客户可以利用 AWS Private Certificate Authority 或第三方私有证书颁发机构颁发的客户证书,他们通过 AWS Certificate Manager 导入这些证书。
客户可以使用 AWS 管理控制台、CLI、SDK、CDK 或 CloudFormation 配置源 mTLS。所有支持双向 TLS 的源均支持源 mTLS,包括 AWS 上的应用程序负载均衡器和 API 网关,以及本地和自定义源。源 mTLS 无需额外付费。源 mTLS 同样适用商务版和高级版固定费率定价方案。有关详细的实施指南和最佳实践,请访问 CloudFront 源双向 TLS 文档。