Amazon CloudFront がオリジン向けの相互 TLS サポートを発表
Amazon CloudFront は、オリジン向け相互 TLS 認証 (mTLS) のサポートを発表しました。これは、お客様がオリジンサーバーへのリクエストが TLS 証明書を使用して承認された CloudFront ディストリビューションからのみ送信されたことを検証できるセキュリティプロトコルです。この証明書ベースの認証は、CloudFront のアイデンティティを暗号的に検証するため、お客様が独自のセキュリティ制御を管理する必要がなくなります。
これまでは、リクエストが CloudFront ディストリビューションから送信されたことを確認するには、特にパブリックまたは外部でホストされているオリジンの場合、共有シークレットヘッダーや IP 許可リストなどのカスタム認証ソリューションを構築および維持する必要がありました。これらのアプローチでは、シークレットのローテーション、許可リストの更新、カスタムコードの維持など、継続的な運用上のオーバーヘッドが発生していました。オリジン mTLS のサポートにより、お客様は標準化された証明書ベースの認証アプローチを実装でき、こうした運用上の負担を軽減できます。これにより、組織は独自のコンテンツに対して厳格な認証を適用し、検証済みの CloudFront ディストリビューションのみが AWS オリジンやオンプレミスサーバーからサードパーティーのクラウドプロバイダーや外部 CDN に至るまでのバックエンドインフラストラクチャへの接続を確立できるようになります。お客様は、AWS Private Certificate Authority またはサードパーティーのプライベート認証局が発行したクライアント証明書を活用できます。これらの証明書は、AWS Certificate Manager を通じてインポートできます。
お客様は、AWS マネジメントコンソール、CLI、SDK、CDK、または CloudFormation を使用してオリジン mTLS を設定できます。オリジン mTLS は、Application Load Balancer や API Gateway など、AWS で相互 TLS をサポートするすべてのオリジン、およびオンプレミスとカスタムオリジンでサポートされます。オリジン mTLS には追加料金はかかりません。オリジン mTLS は、ビジネスおよびプレミアムの定額料金プランでもご利用いただけます。詳細な実装ガイダンスとベストプラクティスについては、CloudFront オリジン相互 TLS のドキュメントをご覧ください。