Exigencia de HTTPS para la comunicación entre lectores y CloudFront - Amazon CloudFront
Exigencia de HTTPS para lectores

Exigencia de HTTPS para la comunicación entre lectores y CloudFront

Puede configurar uno o varios comportamientos de la caché en la distribución de CloudFront para que requieran HTTPS en la comunicación entre los lectores y CloudFront. También puede configurar uno o varios comportamientos de la caché para permitir HTTP y HTTPS, de forma que CloudFront requiera HTTPS para algunos objetos, pero no para otros. Los pasos de configuración dependerán del nombre de dominio objeto que use en URL de objetos:

  • Si utiliza el nombre de dominio que CloudFront ha asignado a su distribución, como, por ejemplo, d111111abcdef8.cloudfront.net, cambie la configuración de Viewer Protocol Policy )Política de protocolo del lector) de uno o varios comportamientos de la caché para que exijan que la comunicación se realice mediante HTTPS. En dicha configuración, CloudFront ofrece el certificado SSL/TLS.

    Para cambiar el valor de Viewer Protocol Policy (Política de protocolo del lector) desde la consola de CloudFront, consulte el procedimiento más adelante en esta sección.

    Para obtener información acerca de cómo utilizar la API de CloudFront para cambiar el valor del elemento ViewerProtocolPolicy, consulte UpdateDistribution en la Referencia de la API de Amazon CloudFront.

  • Si utiliza su propio nombre de dominio, como example.com, necesita cambiar varias configuraciones de CloudFront. También tiene que utilizar un certificado SSL/TLS proporcionado por AWS Certificate Manager (ACM) o importar a ACM o el almacén de certificados de IAM un certificado de una entidad de certificación externa. Para obtener más información, consulte Uso de nombres de dominio alternativos y HTTPS.

nota

Si desea asegurarse de que los objetos que los lectores obtienen de CloudFront se hayan cifrado cuando CloudFront los obtenga del origen, utilice siempre HTTPS entre CloudFront y el origen. Si ha cambiado recientemente de HTTP a HTTPS entre CloudFront y el origen, le recomendamos que invalide objetos en ubicaciones de borde de CloudFront. CloudFront devolverá un objeto a un lector independientemente de si el protocolo utilizado por dicho lector (HTTP o HTTPS) coincide con el protocolo que CloudFront utilizó para obtener el objeto. Para obtener más información acerca de la eliminación o la sustitución de objetos en una distribución, consulte Agregación, eliminación o sustitución de contenido que distribuye CloudFront.

Exigencia de HTTPS para lectores

Para solicitar HTTPS entre los lectores y CloudFront para uno o varios comportamientos de la caché, siga el siguiente procedimiento.

Para configurar CloudFront para que requiera HTTPS entre lectores y CloudFront

  1. Inicie sesión en AWS Management Console y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

  3. En la pestaña Comportamientos, elija el comportamiento de caché que desee actualizar y, a continuación, elija Editar.

  4. Especifique uno de los siguientes valores en Política de protocolo de lector:

    Redireccionamiento de HTTP a HTTPS

    Los espectadores pueden utilizar ambos protocolos. Las solicitudes HTTP GET y HEAD se redirigen automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP 301 (Movido permanentemente) junto con la nueva URL HTTPS. A continuación, el lector vuelve a enviar la solicitud a CloudFront través de la URL HTTPS.

    importante

    Si envía POST, PUT, DELETE, OPTIONS o PATCH a través de HTTP a un comportamiento de la caché de HTTP a HTTPS y una versión de protocolo de solicitud HTTP 1.1 o superior, CloudFront redirige la solicitud a una ubicación HTTPS con un código de estado HTTP 307 (Redirección temporal). Esto garantiza que la solicitud se envía de nuevo a la nueva ubicación con el mismo método y carga de cuerpo.

    Si envía solicitudes POST, PUT, DELETE, OPTIONS o PATCH a través de HTTP a un comportamiento de la caché HTTPS con una protocolo de solicitud de versión inferior a HTTP 1.1, CloudFront devuelve un código de estado HTTP 403 (Prohibido).

    Cuando un lector realiza una solicitud HTTP que se redirige a una solicitud HTTPS, se aplican cargos de CloudFront a ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al lector. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el objeto que devuelve el origen.

    Solo HTTPS

    Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un lector envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve código de estado HTTP 403 (Prohibido) y no devuelve el objeto.

  5. Elija Guardar cambios.

  6. Repita los pasos 3 a 5 para cada comportamiento de la caché adicional para el que desee solicitar HTTPS entre los lectores y CloudFront.

  7. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:

    • El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.

    • Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte Patrón de ruta.

    • Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos.