Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Authentification TLS mutuelle avec CloudFront (Viewer MTLS)
<a name="mtls-authentication"></a>

L'authentification TLS mutuelle (Mutual Transport Layer Security Authentication — MTLS) est un protocole de sécurité qui étend l'authentification TLS standard en exigeant une authentification bidirectionnelle basée sur des certificats, dans laquelle le client et le serveur doivent prouver leur identité avant d'établir une connexion sécurisée. Grâce au protocole TLS mutuel, vous pouvez vous assurer que seuls les clients présentant des certificats TLS fiables ont accès à vos CloudFront distributions.

## Comment ça marche
<a name="how-mtls-works"></a>

Dans un handshake TLS standard, seul le serveur présente un certificat prouvant son identité au client. Avec le protocole TLS mutuel, le processus d'authentification devient bidirectionnel. Lorsqu'un client tente de se connecter à votre CloudFront distribution, il CloudFront demande un certificat client lors de la prise de contact TLS. Le client doit présenter un X.509 certificat valide par rapport à votre magasin de confiance configuré avant d'établir la connexion sécurisée. CloudFront 

CloudFront effectue cette validation des certificats sur des sites AWS périphériques, déchargeant ainsi vos serveurs d'origine de la complexité de l'authentification tout en préservant les avantages en termes CloudFront de performances globales. Vous pouvez configurer les MTLs selon trois modes :
+ **Mode obligatoire** (par défaut) : CloudFront valide le certificat client par rapport à un magasin de confiance. Si la validation échoue ou si aucun certificat n'est présenté, CloudFront refuse la connexion. Utilisez le mode obligatoire lorsque chaque client doit s'authentifier avec un certificat valide.
+ **Mode facultatif** : CloudFront valide le certificat client s'il est présenté, mais autorise les connexions sans certificat. Les métadonnées du certificat sont disponibles dans les fonctions de connexion et les en-têtes HTTP pour que votre origine prenne des décisions d'autorisation. Utilisez le mode facultatif lorsque vous prenez en charge les clients authentifiés et non authentifiés.
+ **Mode passthrough** : CloudFront ne valide pas le certificat client par rapport à un trust store. CloudFront valide uniquement que le client possède la clé privée correspondante. Il transmet le certificat à votre origine sous forme d'en-têtes HTTP permettant à votre origine d'effectuer la validation. Aucun magasin de confiance n'est requis et aucune mise en cache n'a lieu. Utilisez le mode passthrough lorsque vous avez des implémentations MTLS existantes à votre origine.

## Cas d’utilisation
<a name="mtls-use-cases"></a>

L'authentification TLS mutuelle CloudFront répond à plusieurs scénarios de sécurité critiques dans lesquels les méthodes d'authentification traditionnelles sont insuffisantes :
+ **Authentification des appareils avec mise en cache du contenu** : vous pouvez authentifier les consoles de jeu, les appareils IoT ou le matériel de l'entreprise avant d'autoriser l'accès aux mises à jour du microprogramme, aux téléchargements de jeux ou aux ressources internes. Chaque appareil contient un certificat unique qui prouve son authenticité tout en bénéficiant des fonctionnalités CloudFront de mise en cache.
+ **API-to-API authentification** - Vous pouvez sécuriser les communications de machine à machine entre des partenaires commerciaux de confiance, des systèmes de paiement ou des microservices. Certificate-based l'authentification élimine le besoin de partager des secrets ou des clés d'API tout en fournissant une solide vérification d'identité pour les échanges de données automatisés.

**Topics**
+ [Comment ça marche](#how-mtls-works)
+ [Cas d’utilisation](#mtls-use-cases)
+ [Trust Stores et gestion des certificats](trust-stores-certificate-management.md)
+ [Activer le protocole TLS mutuel pour les distributions CloudFront](enable-mtls-distributions.md)
+ [Associer une fonction CloudFront de connexion](connection-functions.md)
+ [Configuration de paramètres supplémentaires](configuring-additional-settings.md)
+ [En-têtes MTLS Viewer pour les politiques de cache et transférés à l'origine](viewer-mtls-headers.md)
+ [Révocation du certificat](certificate-revocation.md)
+ [Méthodes auxiliaires pour le protocole TLS mutuel](mtls-helper-methods-link.md)
+ [Modes de validation supplémentaires](mtls-validation-modes.md)
+ [Observabilité à l'aide des journaux de connexion](connection-logs.md)