Oyentes HTTPS para servicios de VPC Lattice - Amazon VPC Lattice
Política de seguridadPolítica de ALPNAdición de un oyente HTTPS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Oyentes HTTPS para servicios de VPC Lattice

Un oyente es un proceso que verifica solicitudes de conexión. Al crear el servicio, se establece un oyente. Puede añadir oyentes a su servicio en VPC Lattice en todo momento.

Puede crear un oyente HTTPS que utilice la versión 1.2 de TLS para finalizar las conexiones HTTPS con VPC Lattice de inmediato. VPC Lattice aprovisionará y administrará un certificado TLS asociado con el nombre de dominio completo (FQDN) generado por VPC Lattice. VPC Lattice es compatible con TLS en HTTP/1.1 y HTTP/2. Cuando configura un servicio con un oyente HTTPS, VPC Lattice determinará automáticamente el protocolo HTTP a través de la negociación del protocolo de capa de aplicación (ALPN). Si no hay ALPN, VPC Lattice utiliza HTTP/1.1 de forma predeterminada.

VPC Lattice utiliza una arquitectura de varias tenencias, lo que significa que puede alojar varios servicios en el mismo punto de conexión. VPC Lattice utiliza TLS con indicación de nombre de servidor (SNI) para cada solicitud de cliente.

VPC Lattice puede ser oyente en HTTP, HTTPS, HTTP/1.1 y HTTP/2 y comunicarse con los destinatarios a través de cualquiera de estos protocolos y versiones. No es necesario que estas configuraciones de oyente y grupo de destinos coincidan. VPC Lattice administra todo el proceso de actualización y degradación entre protocolos y versiones. Para obtener más información, consulte Versión del protocolo.

Para asegurarse de que la aplicación descifra el tráfico, cree un agente de escucha de TLS en su lugar. Con la transferencia TLS, VPC Lattice no termina TLS. Para obtener más información, consulte Oyentes de TLS.

Política de seguridad

VPC Lattice utiliza una política de seguridad que es una combinación del protocolo TLSv1.2 y una lista de cifrados SSL/TLS. El protocolo establece una conexión segura entre un cliente y un servidor y ayuda a garantizar que todos los datos pasados entre el cliente y su servicio en VPC Lattice sean privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos. Durante el proceso de negociación de conexiones, el cliente y VPC Lattice presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el primer cifrado que se va a seleccionar para la conexión segura será el primero de la lista del servidor que coincida con uno de los cifrados del cliente.

VPC Lattice utiliza el protocolo TLSv1.2 y los siguientes cifrados SSL/TLS en este orden de preferencia:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

Política de ALPN

La negociación de protocolo de capa de aplicación (ALPN) es una extensión TLS que se envía en los mensajes de saludo iniciales de TLS. ALPN permite a la capa de aplicación negociar qué protocolos deben utilizarse a través de una conexión segura, como HTTP/1 y HTTP/2.

Cuando el cliente inicia una conexión de ALPN, el servicio VPC Lattice compara la lista de preferencias de ALPN del cliente con su política de ALPN. Si el cliente admite un protocolo de la política de ALPN, el servicio VPC Lattice establece la conexión según la lista de preferencias de la política de ALPN. De lo contrario, el servicio no utiliza ALPN.

VPC Lattice es compatible con la siguiente política de ALPN:

HTTP2Preferred

Se prefiere HTTP/2 sobre HTTP/1.1. La lista de preferencias de ALPN es h2, http/1.1.

Adición de un oyente HTTPS

Un oyente se configura con un protocolo y un puerto para las conexiones entre los clientes y el servicio, y también con un grupo de destino para la regla predeterminada del oyente. Para obtener más información, consulte Configuración del oyente.

Requisitos previos

  • Para añadir una acción de reenvío a la regla predeterminada del oyente, debe especificar un grupo de destino de VPC Lattice disponible. Para obtener más información, consulte Cree un grupo objetivo de VPC Lattice.

  • Puede especificar el mismo grupo de destino en varios oyentes, pero estos oyentes deben pertenecer al mismo servicio de VPC Lattice. Para utilizar un grupo de destino con un servicio de VPC Lattice, debe asegurarse de que ningún oyente lo utilice para otro servicio de VPC Lattice.

  • Puede utilizar el certificado proporcionado por VPC Lattice o importar su propio certificado a. AWS Certificate Manager Para obtener más información, consulte Traiga su propio certificado (BYOC) para VPC Lattice.

Cómo agregar un oyente HTTPS mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, en VPC Lattice, elija Servicios.

  3. Seleccione el nombre del servicio para abrir la página de detalles.

  4. En la pestaña Enrutamiento, elija Agregar oyente.

  5. Para Nombre del oyente, puede proporcionar un nombre personalizado o usar el protocolo y el puerto del oyente como el nombre del oyente. El nombre personalizado que especifique puede tener hasta 63 caracteres y debe ser único para cada servicio de su cuenta. Los caracteres válidos son a-z, 0-9 y guiones (-). No puede usar un guion como primer o último carácter, ni inmediatamente después de otro guion. No puede cambiar el nombre de un oyente después de crearlo.

  6. En Protocolo: puerto, elija HTTPS e ingrese un número de puerto.

  7. Como Acción predeterminada, elija el grupo de destino de VPC Lattice que recibirá el tráfico y la ponderación que quiera asignarle a este grupo. El peso que asigne a un grupo de destino establece su prioridad para recibir tráfico. Por ejemplo, si dos grupos de destino tienen la misma ponderación, cada grupo recibe la mitad del tráfico. Si indicó un solo grupo de destino, el 100 por ciento del tráfico se enviará a ese grupo.

    Si lo desea, puede agregar otro grupo de destino para la acción predeterminada. Seleccione Añadir acción y, a continuación, elija un grupo de destino e indique su ponderación.

  8. (Opcional) Para añadir otra regla, elija Añadir regla y, a continuación, introduzca un nombre, una prioridad, una condición y una acción para la regla.

    Puede asignar a cada regla un número de prioridad entre 1 y 100. Un oyente no puede tener varias reglas con la misma prioridad. Las reglas se evalúan por orden de prioridad, desde el valor más bajo hasta el valor más alto. La regla predeterminada se evalúa en último lugar. Para obtener más información, consulte Reglas del oyente.

  9. (Opcional) Para agregar etiquetas, diríjase a Etiquetas del oyente, elija Agregar nueva etiqueta e ingrese la clave y el valor de la etiqueta.

  10. Para la configuración del certificado del oyente HTTPS, si no indicó un nombre de dominio personalizado al crear el servicio, VPC Lattice genera un certificado TLS automático para proteger el tráfico que fluye a través del oyente.

    Si creó el servicio con un nombre de dominio personalizado, pero no especificó un certificado compatible, puede hacerlo ahora mediante la elección del Certificado SSL/TLS personalizado. De lo contrario, el certificado que indicó al crear el servicio ya está elegido.

  11. Verifique su configuración y luego elija Añadir.

Para añadir un agente de escucha HTTPS mediante el AWS CLI

Utilice el comando create-listener para crear un oyente con una regla predeterminada y el comando create-rule para crear reglas adicionales para el oyente.