Amazon CloudFront 宣佈支援來源的雙向 TLS
Amazon CloudFront 宣佈支援用於原始來源的雙向 TLS 驗證 (mTLS),這是一種安全性通訊協定,可讓客戶使用 TLS 憑證驗證對其原始伺服器的請求僅來自其已授權的 CloudFront 分佈。這種以憑證為基礎的驗證機制,能以密碼學方式驗證 CloudFront 的身分,免除客戶管理自訂安全控制的需求。
先前,要驗證請求是否來自 CloudFront 分佈,客戶必須建置並維護自訂驗證解決方案,例如共用密鑰標頭或 IP 允許清單,特別是針對公用或外部託管的原始來源。這些方法需要持續的營運開銷來輪替密鑰、更新允許清單,並維護自訂程式碼。現在透過來源 mTLS 支援,客戶可以採用標準化、以憑證為基礎的身分驗證方法,消除這項作業負擔。這讓組織能針對其專有內容強制執行嚴格的身分驗證,確保只有經過驗證的 CloudFront 分佈能與後端基礎設施建立連線,涵蓋 AWS 來源與內部部署伺服器、第三方雲端供應商,以及外部 CDN。客戶可運用由 AWS 私有憑證授權中心或第三方私有憑證授權單位所簽發的用戶端憑證,並透過 AWS 憑證管理員匯入。
客戶可使用 AWS 管理主控台、CLI、SDK、CDK 或 CloudFormation 來設定來源 mTLS。來源 mTLS 支援所有在 AWS 上支援雙向 TLS 的來源,例如 Application Load Balancer 和 API Gateway,以及內部部署與自訂來源。來源 mTLS 無須額外收費。來源 mTLS 也適用於 Business 與 Premium 的統一定價方案。如需詳細的實作指引與最佳實務,請造訪 CloudFront 來源相互 TLS 文件。