Por que há falha na conexão HTTPS entre minha distribuição do CloudFront e o balanceador de carga?

3 minuto de leitura

Eu configurei receptores HTTPS e HTTP no meu Classic Load Balancer ou Application Load Balancer como a origem da minha distribuição do Amazon CloudFront. No entanto, a comunicação HTTPS entre o CloudFront e meu balanceador de carga falha.

Resolução

A falha na comunicação HTTPS pode ser causada por problemas com o certificado SSL/TLS associado, com os grupos de segurança ou com a lista de controle de acesso à rede (ACL da rede). Certifique-se de que a sua distribuição e o balanceador de carga atendem a estes requisitos de segurança:

É necessário ter um certificado SSL/TLS válido instalado no balanceador de carga. Se você ainda receber erros de HTTPS depois de instalar o certificado SSL/TLS, solucione o problema da conexão SSL/TLS entre o CloudFront e o servidor de origem personalizado.
Para conectar a distribuição ao seu balanceador de carga na porta 443, os grupos de segurança do balanceador de carga devem permitir o tráfego da porta 443 a partir dos endereços IP do CloudFront. Para saber mais, consulte Configurar grupos de segurança para seu Classic Load Balancer ou Grupos de segurança para seu Application Load Balancer.
Para permitir somente endereços CloudFront IP no grupo de segurança anexado à sua distribuição, use a lista de prefixos gerenciados pela AWS. Essa lista contém todos os endereços IP do CloudFront e é atualizada automaticamente com qualquer alteração. Obtenha mais informações consultando Limit access to your origins using the AWS-managed prefix list for Amazon CloudFront [Limitar acesso às suas origens usando a lista de prefixos gerenciados pela AWS para Amazon CloudFront].
As ACL de rede associadas à Amazon Virtual Private Cloud (Amazon VPC) do seu balanceador de carga devem permitir tráfego do CloudFront em portas HTTPS. Normalmente, essa é a porta 443.
Se você criou um Application Load Balancer interno, o CloudFront não poderá encaminhar solicitações para ele, a menos que você o adicione como uma origem de VPC.

Observação: É possível usar a Indicação de nome de servidor (Server Name Indication, SNI) para adicionar vários certificados SSL/TLS com seleção inteligente ao seu Application Load Balancer. Se sua distribuição armazena em cache com base no cabeçalho do host, configure um certificado SSL/TLS com o mesmo nome no Application Load Balancer. Caso contrário, o Application Load Balancer usa o certificado padrão, que pode não corresponder ao SNI associado à mensagem ClientHello do CloudFront.

Informações relacionadas

Exigir HTTPS para comunicação entre o CloudFront e sua origem personalizada

Tópicos: Networking & Content Delivery
Tags: Amazon CloudFront
Idioma: Português

AWS OFICIALAtualizada há 9 meses

Sem comentários

Conteúdo relevante

Não consigo criar distribuição CloudFront: AccessDenied – Conta precisa ser verificada
Silvani
feita há 7 meses
Free Fire Canibais Mobile (Game Android) - Problema com acesso a assets no S3 via CloudFront
chanegefrrt
feita há 3 meses
Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há um ano
BitLife BR Android (Mobile Game) Desafios na distribuição de assets e dados do jogo na América do Sul
vertinunj
feita há 3 meses
Minecraft 1.26.0.23 beta Mobile Android - Dúvida sobre distribuição e lentidão no S3
tankaracu
feita há 3 meses
Como posso servir vários domínios de uma distribuição do CloudFront por HTTPS?
AWS OFICIALAtualizada há um ano
Por que não consigo encontrar meu certificado importado para meu balanceador de carga ou distribuição do CloudFront?
AWS OFICIALAtualizada há 4 anos
Por que minha distribuição do CloudFront retorna uma resposta “X-Cache:Miss from CloudFront”?
AWS OFICIALAtualizada há 4 anos
Como faço para otimizar as distribuições do CloudFront para eventos de streaming em tempo real de alto tráfego e gerenciar picos de tráfego inesperados?
AWS OFICIALAtualizada há 7 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 7 meses