Amazon CloudFront が相互 TLS (ビューワー) のパススルーモードを発表
Amazon CloudFront は、相互 TLS (mTLS) ビューワー認証のパススルーモードをサポートするようになりました。これにより、CloudFront は証明書を検証せずに、クライアント証明書をオリジンに転送できるようになりました。オリジンで既にクライアント証明書を検証しているお客様は、検証の方法や場所を変更することなく、既存の mTLS インフラストラクチャに CloudFront を追加できるようになりました。
パススルーモードでは、お客様はトラストストアをセットアップせずに CloudFront ディストリビューションで相互 TLS を設定します。CloudFront は、すべてのリクエストをクライアントの完全な証明書チェーンとともにオリジンに直接転送して認証を行います。接続レベルのデータをエッジで検査または変換できる接続機能は、引き続きすべてのリクエストで実行されるため、リクエストがオリジンに届く前に証明書ヘッダーを処理または再フォーマットできます。お客様は、現在の相互 TLS 認証アーキテクチャを維持しながら、CloudFront のグローバルエッジネットワークの恩恵を利用することができます。
パススルーモードが CloudFront の他の相互 TLS モードと一緒に利用できるようになりました。必須モードでは、すべてのクライアント証明書がエッジのトラストストアと照合して検証されます。オプションモードでは、お客様はエッジでトラストストアの検証を設定しながら、同じアプリケーションで証明書を提示するクライアントと提示しないクライアントの両方にサービスを提供できます。パススルーモードの CloudFront 相互 TLS は追加料金なしで利用できます。 詳細については、 CloudFront 相互 TLS (ビューワー) のドキュメントを参照してください。