View a markdown version of this page

Verwenden von CloudFront Funktionen mit Origin Mutual TLS - Amazon CloudFront
Unterstützte CloudFront FunktionsoperationenOperationen mit Funktionen werden nicht unterstützt CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von CloudFront Funktionen mit Origin Mutual TLS

CloudFront Functions bietet einfache, serverlose Rechenleistung an der Peripherie, um die Bereitstellung von Inhalten individuell anzupassen. Bei der Verwendung von Origin Mutual TLS mit CloudFront Functions sind bestimmte Verhaltensweisen und Einschränkungen bei der Auswahl und Manipulation des Ursprungs zu beachten.

Unterstützte CloudFront Funktionsoperationen

CloudFront Funktionen können auf folgende Weise mit MTLS-fähigen Ursprüngen interagieren:

updateRequestOrigin()

Die Funktion updateRequestOrigin () unterstützt begrenzte Änderungen bei der Arbeit mit MTLS-fähigen Ursprüngen:

  • Zwischen den ursprünglichen mTLS-Ursprüngen wechseln: Sie können die Anfrage so aktualisieren, dass sie zu einem anderen Ursprung weitergeleitet wird, der Ursprungs-MTLS verwendet, vorausgesetzt, beide Ursprünge verwenden dasselbe Client-Zertifikat. Auf diese Weise können Sie eine benutzerdefinierte Routing-Logik implementieren und gleichzeitig die gegenseitige TLS-Authentifizierung beibehalten.

  • Deaktivierung von Ursprungs-MTLS: Sie können von einem MTLS-fähigen Ursprung zu einem Nicht-MTLS-Ursprung wechseln, indem Sie die Funktion entsprechend einstellen. mTLSConfig: 'off' Dies bietet Flexibilität, um die gegenseitige TLS-Authentifizierung auf der Grundlage von Anforderungsmerkmalen bedingt zu deaktivieren.

Beispiel: Wechsel zwischen mTLS-Ursprüngen mit demselben Zertifikat

function handler(event) {
    var request = event.request;

    // Route to different origin based on request path
    if (request.uri.startsWith('/api/v2')) {
        request.origin = {
            domainName: 'api-v2.example.com',
            customHeaders: {},
            // Both origins must use the same certificate
        };
    }

    return request;
}

Beispiel: Bedingtes Deaktivieren von Ursprungs-MTLs

function handler(event) {
    var request = event.request;

    // Disable mTLS for specific paths
    if (request.uri.startsWith('/public')) {
        request.origin = {
            domainName: 'public-origin.example.com',
            customHeaders: {},
            mTLSConfig: 'off'
        };
    }

    return request;
}

Operationen mit Funktionen werden nicht unterstützt CloudFront

Die folgenden CloudFront Funktionsoperationen unterstützen MTLS-fähige Ursprünge, soweit sie allgemein verfügbar sind, nicht:

selectRequestOriginById()

Die selectRequestOriginById() Funktion kann keinen Ursprung auswählen, für den Quell-MTLS aktiviert ist. Der Versuch, mit dieser Funktion einen MTLS-fähigen Ursprung auszuwählen, führt zu einem Validierungsfehler.

Wenn Ihr Anwendungsfall eine dynamische Ursprungsauswahl mit Ursprungs-MTLs erfordert, verwenden Sie diese updateRequestOrigin() stattdessen und stellen Sie sicher, dass alle Zielursprungsorte dasselbe Client-Zertifikat verwenden.

createRequestOriginGruppe ()

Die createRequestOriginGroup() Funktion unterstützt nicht die Erstellung von Ursprungsgruppen, die MTLS-fähige Ursprünge enthalten. Ursprungsgruppen mit mTLS-Ursprüngen können nicht dynamisch über Functions erstellt werden. CloudFront

Wenn Sie Origin-Failover-Funktionen mit Original-MTLS benötigen, konfigurieren Sie Ursprungsgruppen direkt in Ihren CloudFront Verteilungseinstellungen, anstatt sie dynamisch in Funktionen zu erstellen.