Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Vérifiez que les équilibreurs de charge ELB nécessitent une terminaison TLS - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRessources connexesPièces jointes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérifiez que les équilibreurs de charge ELB nécessitent une terminaison TLS

PDF

Créée par Priyanka Chaudhary (AWS)

Récapitulatif

Sur le cloud Amazon Web Services (AWS), Elastic Load Balancing (ELB) distribue automatiquement le trafic applicatif entrant sur plusieurs cibles, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les conteneurs, les adresses IP et les fonctions AWS Lambda. Les équilibreurs de charge utilisent des écouteurs pour définir les ports et les protocoles qu'ils utilisent pour accepter le trafic provenant des utilisateurs. Les équilibreurs de charge d'application prennent les décisions de routage au niveau de la couche application et utilisent leHTTP/HTTPS protocols. Classic Load Balancers make routing decisions at either the transport layer, by using TCP or Secure Sockets Layer (SSL) protocols, or at the application layer, by using HTTP/HTTPS.

Ce modèle fournit un contrôle de sécurité qui examine plusieurs types d'événements pour les équilibreurs de charge d'application et les équilibreurs de charge classiques. Lorsque la fonction est invoquée, AWS Lambda inspecte l'événement et s'assure que l'équilibreur de charge est conforme.

La fonction lance un événement Amazon CloudWatch Events sur les appels d'API suivants : CreateLoadBalancerCreateLoadBalancerListeners, DeleteLoadBalancerListeners, CreateLoadBalancerPolicy, SetLoadBalancerPoliciesOfListener, CreateListenerDeleteListener, et ModifyListener. Lorsque l'événement détecte l'un d'entre eux APIs, il appelle AWS Lambda, qui exécute un script Python. Le script Python évalue si l'écouteur contient un certificat SSL et si la politique appliquée utilise le protocole TLS (Transport Layer Security). S'il est déterminé que la politique SSL est autre chose que TLS, la fonction envoie une notification Amazon Simple Notification Service (Amazon SNS) à l'utilisateur avec les informations pertinentes. 

Conditions préalables et limitations

Prérequis

  • Un compte AWS actif

Limites

  • Ce contrôle de sécurité ne vérifie pas les équilibreurs de charge existants, sauf si une mise à jour est apportée aux écouteurs des équilibreurs de charge.

  • Ce contrôle de sécurité est régional. Vous devez le déployer dans chaque région AWS que vous souhaitez surveiller.

Architecture

Architecture cible

S'assurer que les équilibreurs de charge nécessitent une terminaison TLS.

Automatisation et évolutivité

Outils

Services AWS

  • AWS CloudFormation — AWS vous CloudFormation aide à modéliser et à configurer vos ressources AWS, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie. Vous pouvez utiliser un modèle pour décrire vos ressources et leurs dépendances, puis les lancer et les configurer ensemble sous forme de pile, au lieu de gérer les ressources individuellement.

  • Amazon CloudWatch Events — Amazon CloudWatch Events fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux ressources AWS.

  • AWS Lambda — AWS Lambda est un service de calcul qui prend en charge l'exécution de code sans provisionner ni gérer de serveurs.

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.

  • Amazon SNS — Amazon Simple Notification Service (Amazon SNS) coordonne et gère la distribution ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.

Code

Ce modèle inclut les pièces jointes suivantes :

  • ELBRequirestlstermination.zip— Le code Lambda pour le contrôle de sécurité.

  • ELBRequirestlstermination.yml— Le CloudFormation modèle qui définit l'événement et la fonction Lambda.

Épopées

TâcheDescriptionCompétences requises

Définissez le compartiment S3.

Sur la console Amazon S3, choisissez ou créez un compartiment S3 pour héberger le fichier .zip de code Lambda. Ce compartiment S3 doit se trouver dans la même région AWS que l'équilibreur de charge que vous souhaitez évaluer. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les comptes AWS. Le nom du compartiment S3 ne peut pas inclure de barres obliques en tête.

Architecte du cloud

Téléchargez le code Lambda.

Téléchargez le code Lambda (ELBRequirestlstermination.zipfichier) fourni dans la section Pièces jointes dans le compartiment S3.

Architecte du cloud

Configuration du compartiment S3

TâcheDescriptionCompétences requises

Définissez le compartiment S3.

Sur la console Amazon S3, choisissez ou créez un compartiment S3 pour héberger le fichier .zip de code Lambda. Ce compartiment S3 doit se trouver dans la même région AWS que l'équilibreur de charge que vous souhaitez évaluer. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les comptes AWS. Le nom du compartiment S3 ne peut pas inclure de barres obliques en tête.

Architecte du cloud

Téléchargez le code Lambda.

Téléchargez le code Lambda (ELBRequirestlstermination.zipfichier) fourni dans la section Pièces jointes dans le compartiment S3.

Architecte du cloud
TâcheDescriptionCompétences requises

Lancez le CloudFormation modèle AWS.

Ouvrez la CloudFormation console AWS dans la même région AWS que votre compartiment S3 et déployez le modèle jointELBRequirestlstermination.yml. Pour plus d'informations sur le déploiement de CloudFormation modèles AWS, consultez la section Création d'une pile sur la CloudFormation console AWS dans la CloudFormation documentation.

Architecte du cloud

Complétez les paramètres du modèle.

Lorsque vous lancez le modèle, les informations suivantes vous sont demandées :

  • Compartiment S3 : Spécifiez le compartiment que vous avez créé ou sélectionné dans le premier épisode épique. C'est ici que vous avez chargé le code Lambda joint (ELBRequirestlstermination.zipfichier).

  • Clé S3 : Spécifiez l'emplacement du fichier Lambda .zip dans votre compartiment S3 (par exemple, ELBRequirestlstermination.zip ou). controls/ELBRequirestlstermination.zip N'incluez pas de barres obliques en tête.

  • E-mail de notification : indiquez une adresse e-mail active à laquelle vous souhaitez recevoir des notifications Amazon SNS.

  • Niveau de journalisation Lambda : Spécifiez le niveau et la fréquence de journalisation pour la fonction Lambda. Utilisez Info pour consigner des messages d'information détaillés sur la progression, Erreur pour les événements d'erreur susceptibles de permettre la poursuite du déploiement et Avertissement pour les situations potentiellement dangereuses.

Architecte du cloud

Déployer le CloudFormation modèle

TâcheDescriptionCompétences requises

Lancez le CloudFormation modèle AWS.

Ouvrez la CloudFormation console AWS dans la même région AWS que votre compartiment S3 et déployez le modèle jointELBRequirestlstermination.yml. Pour plus d'informations sur le déploiement de CloudFormation modèles AWS, consultez la section Création d'une pile sur la CloudFormation console AWS dans la CloudFormation documentation.

Architecte du cloud

Complétez les paramètres du modèle.

Lorsque vous lancez le modèle, les informations suivantes vous sont demandées :

  • Compartiment S3 : Spécifiez le compartiment que vous avez créé ou sélectionné dans le premier épisode épique. C'est ici que vous avez chargé le code Lambda joint (ELBRequirestlstermination.zipfichier).

  • Clé S3 : Spécifiez l'emplacement du fichier Lambda .zip dans votre compartiment S3 (par exemple, ELBRequirestlstermination.zip ou). controls/ELBRequirestlstermination.zip N'incluez pas de barres obliques en tête.

  • E-mail de notification : indiquez une adresse e-mail active à laquelle vous souhaitez recevoir des notifications Amazon SNS.

  • Niveau de journalisation Lambda : Spécifiez le niveau et la fréquence de journalisation pour la fonction Lambda. Utilisez Info pour consigner des messages d'information détaillés sur la progression, Erreur pour les événements d'erreur susceptibles de permettre la poursuite du déploiement et Avertissement pour les situations potentiellement dangereuses.

Architecte du cloud
TâcheDescriptionCompétences requises

Confirmez votre abonnement.

Lorsque le CloudFormation modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail que vous avez fournie. Vous devez confirmer cet abonnement par e-mail pour commencer à recevoir des notifications de violation.

Architecte du cloud

Confirmer l'abonnement.

TâcheDescriptionCompétences requises

Confirmez votre abonnement.

Lorsque le CloudFormation modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail que vous avez fournie. Vous devez confirmer cet abonnement par e-mail pour commencer à recevoir des notifications de violation.

Architecte du cloud

Ressources connexes

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.