Amazon CloudFront kündigt den Durchleitungsmodus für gegenseitiges TLS an (Viewer)
Amazon CloudFront unterstützt jetzt den Passthrough-Modus für die gegenseitige TLS (mTLS)-Viewer-Authentifizierung, sodass CloudFront Client-Zertifikate an den Ursprung weiterleiten kann, ohne die Zertifikate auf CloudFront zu überprüfen. Kunden, die Client-Zertifikate bereits an deren Ursprung validieren, können CloudFront jetzt zu ihrer bestehenden mTLS-Infrastruktur hinzufügen, ohne zu ändern, wie oder wo die Validierung erfolgt.
Im Passthrough-Modus konfigurieren Kunden gegenseitiges TLS auf ihrer CloudFront-Distribution, ohne einen Trust Store einzurichten. CloudFront leitet jede Anfrage zusammen mit der vollständigen Zertifikatskette des Clients zur Authentifizierung direkt an den Ursprung weiter. Verbindungsfunktionen, die es Kunden ermöglichen, Daten auf Verbindungsebene am Edge zu überprüfen oder zu transformieren, werden weiterhin bei jeder Anfrage ausgeführt, sodass Kunden Zertifikatsheader verarbeiten oder neu formatieren können, bevor Anfragen den Ursprung erreichen. Kunden profitieren vom globalen Edge-Netzwerk von CloudFront und behalten gleichzeitig ihre aktuelle Architektur für die gegenseitige TLS-Authentifizierung bei.
Der Passthrough-Modus ist jetzt zusammen mit anderen gegenseitigen TLS-Modi in CloudFront verfügbar. Im Modus "Erforderlich" werden alle Client-Zertifikate anhand von Trust Stores am Edge überprüft. Im Modus "Optional" können Kunden die Trust Store-Validierung am Edge konfigurieren und gleichzeitig sowohl Clients bedienen, die Zertifikate vorlegen, als auch Clients, die keine Zertifikate aus derselben Anwendung vorlegen. Gegenseitiges TLS von CloudFront im Passthrough-Modus ist ohne zusätzliche Kosten verfügbar. Weitere Informationen finden Sie in der Dokumentation zu CloudFront Mutual TLS (Viewer).