TLS终止的云阵线？

Question

我正在寻找一种廉价的AWS服务，它将终止TLS，并负责为内部应用程序签名Amazon证书。我发现我可以将Cloudfront与指向EC2实例的公共IP的自定义源一起使用。

我已经构建了前面提到的设置，它运行得很好，但是我不得不在我的EC2实例上向世界打开应用程序端口，它讲的是http。这是安全的，还是我的成本优化没有意义？

(谢谢你的帮助！)

Answer 1

IIRC，如果Cloudfront终止SSL，则不能在后端使用HTTPS，而且必须是来自Cloudfront<->EC2的HTTP。

如果您通过HTTP直接打开了同一个web应用程序/服务器，那么这将绕过Cloudfront，您将失去Cloudfront提供的任何caching/protection/SSL-termination/cost-savings。

您还可以使用AWS经典负载均衡器反向代理HTTP (将HTTP转发到您的EC2)，并提供抽象层，并向EC2实例提供进一步的保护。

Answer 2

您可以指定希望CloudFront从源服务器获取对象时使用的原产地协议策略。您可以指定HTTPS。请注意：-

1. 必须是自定义来源(Amazon实例、弹性负载平衡负载均衡器、MediaPackage来源、MediaStore容器或您自己的web服务器)
2. 对于HTTPS查看器请求CloudFront转发到此源，源服务器上的SSL证书中的一个域名必须与您为原产地域名指定的域名匹配。否则，CloudFront将使用HTTP代码502 (坏网关)来响应查看器请求，而不是返回请求的对象

用粗体表示文本。

请参阅这里有AWS文档以获取更多信息