Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Aktifkan TLS timbal balik asal untuk distribusi CloudFront
<a name="origin-enable-mtls-distributions"></a>

Setelah mendapatkan sertifikat klien melalui AWS Certificate Manager dan mengonfigurasi server asal Anda untuk meminta TLS bersama, Anda dapat mengaktifkan mTL asal pada distribusi Anda. CloudFront 

## Prasyarat dan persyaratan
<a name="origin-mtls-prerequisites-requirements"></a>

Sebelum mengaktifkan mTL asal pada CloudFront distribusi, pastikan Anda memiliki:
+ Sertifikat klien yang disimpan di AWS Certificate Manager di Wilayah AS Timur (Virginia N.) (us-east-1)
+ Server asal dikonfigurasi untuk memerlukan otentikasi TLS bersama dan memvalidasi sertifikat klien
+ Server asal yang menyajikan sertifikat dari Otoritas Sertifikat yang dipercaya publik
+ Izin untuk memodifikasi distribusi CloudFront 
+ Origin mTLS hanya tersedia pada paket Bisnis, Premium, atau Paket harga Pay as you go.

**catatan**  
MTL Asal dapat dikonfigurasi untuk asal kustom (termasuk asal yang dihosting di luar AWS) dan AWS asal yang mendukung TLS timbal balik seperti Application Load Balancer dan API Gateway.

**penting**  
 CloudFront Fitur-fitur berikut tidak didukung dengan mTL asal:  
**lalu lintas gRPC: protokol gRPC** tidak didukung untuk asal dengan mTL asal diaktifkan
**WebSocket koneksi:** WebSocket protokol tidak didukung untuk asal dengan mTL asal diaktifkan
**Asal VPC:** mTL asal tidak dapat digunakan dengan asal VPC
**Permintaan asal dan pemicu respons asal dengan Lambda @Edge:** Fungsi Lambda @Edge dalam permintaan asal dan posisi respons asal tidak didukung dengan mTL asal
**Tertanam POPs:** mTL asal tidak didukung untuk disematkan POPs

## Aktifkan mTL asal
<a name="origin-enable-mtls-per-origin"></a>

Konfigurasi per asal memungkinkan Anda menentukan sertifikat klien yang berbeda untuk asal yang berbeda dalam distribusi yang sama. Pendekatan ini memberikan fleksibilitas maksimum ketika asal Anda memiliki persyaratan otentikasi yang berbeda.

### Untuk distribusi baru (Konsol)
<a name="origin-enable-mtls-new-distributions"></a>

1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Pilih **Buat distribusi**

1. Pilih paket harga: Pilih **Bisnis** atau **Premium** atau **Bayar Saat Anda Pergi** (MTL Asal tidak tersedia pada paket Gratis)

1. Di bagian Pengaturan asal, pilih Jenis Asal sebagai Lainnya

1. Di bagian **Pengaturan asal**, pilih **Sesuaikan pengaturan asal**

1. Konfigurasikan asal pertama Anda (nama domain, protokol, dll.)

1. Dalam konfigurasi asal, temukan **mTL**

1. Alihkan mTLS ke **On**

1. Untuk **sertifikat Klien**, pilih sertifikat Anda dari AWS Certificate Manager

1. (Opsional) Tambahkan asal tambahan dengan konfigurasi mTL asal mereka sendiri

1. Lengkapi pengaturan distribusi yang tersisa dan pilih **Buat distribusi**

### Untuk distribusi yang ada (Konsol)
<a name="origin-enable-mtls-existing-distributions"></a>

1. Masuk ke Konsol Manajemen AWS dan buka CloudFront konsol di[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Dari daftar distribusi, pilih distribusi yang ingin Anda ubah. (Catatan: Pastikan distribusi Anda menggunakan paket harga **Pro atau Premium atau Pay As You Go**. Jika tidak, Anda harus meningkatkan paket harga Anda sebelum mengaktifkan mTL asal)

1. Pilih tab **Origins**

1. Pilih asal yang ingin Anda konfigurasikan dan pilih **Edit**

1. Di pengaturan asal, temukan **mTL**

1. Alihkan mTLS ke **On**

1. Untuk **sertifikat Klien**, pilih sertifikat Anda dari AWS Certificate Manager. (Catatan: Hanya sertifikat klien dengan properti EKU (Extended Key Usage) yang disetel ke “Otentikasi Klien TLS” yang akan dicantumkan)

1. Pilih **Save changes (Simpan perubahan)**

1. Ulangi untuk asal tambahan sesuai kebutuhan

## Menggunakan AWS CLI
<a name="origin-enable-mtls-cli"></a>

Untuk konfigurasi per asal, tentukan pengaturan mTLS asal dalam konfigurasi masing-masing asal:

```
{
  "Origins": {
    "Quantity": 2,
    "Items": [
      {
        "Id": "origin-1",
        "DomainName": "api.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "ClientCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-1"
        }
      },
      {
        "Id": "origin-2",
        "DomainName": "backend.example.com",
        "CustomOriginConfig": {
          "HTTPSPort": 443,
          "OriginProtocolPolicy": "https-only"
        },
        "OriginMtlsConfig": {
          "CertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/cert-2"
        }
      }
    ]
  }
}
```

**catatan**  
CloudFront tidak akan memberikan sertifikat klien jika server tidak memintanya, memungkinkan koneksi berjalan normal.

## Langkah selanjutnya
<a name="origin-enable-mtls-next-steps"></a>

Setelah mengaktifkan mTL asal pada CloudFront distribusi Anda, Anda dapat memantau peristiwa otentikasi menggunakan CloudFront log akses.