# Autenticação TLS mútua com o CloudFront (mTLS de visualizador)
<a name="mtls-authentication"></a>

A autenticação TLS mútua (autenticação Transport Layer Security mútua ou mTLS) é um protocolo de segurança que estende a autenticação TLS padrão exigindo autenticação bidirecional baseada em certificado, em que tanto o cliente quanto o servidor devem provar sua identidade antes de estabelecer uma conexão segura. Usando a TLS mútua, você pode garantir que somente clientes que apresentem certificados TLS confiáveis tenham acesso às suas distribuições do CloudFront.

## Como funciona
<a name="how-mtls-works"></a>

Em um handshake do TLS padrão, somente o servidor apresenta um certificado para provar sua identidade ao cliente. Com a TLS mútua, o processo de autenticação se torna bidirecional. Quando um cliente tenta se conectar a uma distribuição do CloudFront, o CloudFront solicita um certificado de cliente durante o handshake do TLS. Antes de estabelecer uma conexão segura, o cliente deve apresentar um certificado X.509 válido que o CloudFront valida em relação ao armazenamento confiável que você configurou.

O CloudFront realiza essa validação de certificado em locais da borda da AWS, eliminando a complexidade da autenticação de seus servidores de origem e mantendo os benefícios de desempenho global do CloudFront. É possível configurar a mTLS em dois modos: modo de verificação (que exige que todos os clientes apresentem certificados válidos) ou modo opcional (que valida os certificados quando apresentados, mas também permite conexões sem certificados).

## Casos de uso
<a name="mtls-use-cases"></a>

A autenticação TLS mútua com o CloudFront atende a vários cenários críticos de segurança em que os métodos tradicionais de autenticação são insuficientes:
+ **Autenticação de dispositivos com armazenamento em cache de conteúdo**: é possível autenticar consoles de jogos, dispositivos de IoT ou hardware empresarial antes de permitir o acesso a atualizações de firmware, downloads de jogos ou recursos internos. Cada dispositivo contém um certificado exclusivo que comprova a respectiva autenticidade e, ao mesmo tempo, se beneficia dos recursos de armazenamento em cache do CloudFront.
+ **Autenticação de API para API**: é possível proteger a comunicação de máquina para máquina entre parceiros comerciais confiáveis, sistemas de pagamento ou microsserviços. A autenticação baseada em certificado elimina a necessidade de segredos compartilhados ou chaves de API, além de fornecer uma verificação de identidade forte para trocas automatizadas de dados.

**Topics**
+ [Como funciona](#how-mtls-works)
+ [Casos de uso](#mtls-use-cases)
+ [Gerenciamento de armazenamentos confiáveis e certificados](trust-stores-certificate-management.md)
+ [Habilitar a TLS mútua para distribuições do CloudFront](enable-mtls-distributions.md)
+ [Associar uma função de conexão do CloudFront](connection-functions.md)
+ [Definir configurações adicionais](configuring-additional-settings.md)
+ [Cabeçalhos mTLS de visualizador para políticas de cache e encaminhados à origem](viewer-mtls-headers.md)
+ [Revogação usando a função de conexão e o KVS do CloudFront](revocation-connection-function-kvs.md)
+ [Observabilidade por meio de logs de conexão](connection-logs.md)