Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Écouteurs TLS pour les services VPC Lattice
Un écouteur est un processus qui vérifie les demandes de connexion. Vous pouvez définir un écouteur lorsque vous créez votre service VPC Lattice. Vous pouvez ajouter des auditeurs à votre service à tout moment.
Vous pouvez créer un écouteur TLS afin que VPC Lattice transmette le trafic chiffré à vos applications sans le déchiffrer.
Si vous préférez que VPC Lattice déchiffre le trafic chiffré et envoie le trafic non chiffré à vos applications, créez plutôt un écouteur HTTPS. Pour plus d’informations, consultez Écouteurs HTTPS.
Considérations
Les considérations suivantes s'appliquent aux écouteurs TLS :
-
Le service VPC Lattice doit avoir un nom de domaine personnalisé. Le nom de domaine personnalisé du service est utilisé comme correspondance avec l'indication du nom de service (SNI). Si vous avez spécifié un certificat lors de la création du service, celui-ci n'est pas utilisé.
-
La seule règle autorisée pour un écouteur TLS est la règle par défaut.
-
L'action par défaut d'un écouteur TLS doit être une action de transfert vers un groupe cible TCP.
-
Par défaut, les contrôles de santé sont désactivés pour les groupes cibles TCP. Si vous activez les contrôles de santé pour un groupe cible TCP, vous devez spécifier un protocole et une version du protocole.
-
Les écouteurs TLS acheminent les demandes à l'aide du champ SNI du message client-hello. Vous pouvez utiliser des certificats génériques et SAN sur vos cibles si la condition correspondante correspond exactement au client-hello.
-
Comme tout le trafic reste chiffré du client vers la cible, VPC Lattice ne peut pas lire les en-têtes HTTP et ne peut ni insérer ni supprimer d'en-têtes HTTP. Par conséquent, avec un écouteur TLS, les limites suivantes existent :
La durée de connexion est limitée à 10 minutes
Les politiques d'authentification sont limitées aux principaux anonymes
Les cibles Lambda ne sont pas prises en charge
Ajouter un écouteur TLS
Vous configurez un écouteur avec un protocole et un port pour les connexions des clients au service, et un groupe cible pour la règle d'écouteur par défaut. Pour plus d’informations, consultez Configuration des écouteurs.
Pour ajouter un écouteur TLS à l'aide de la console
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. -
Dans le volet de navigation, sous VPC Lattice, sélectionnez Services.
-
Sélectionnez le nom du service pour ouvrir sa page de détails.
-
Dans l'onglet Routage, choisissez Ajouter un écouteur.
-
Pour le nom de l'écouteur, vous pouvez soit fournir un nom d'écouteur personnalisé, soit utiliser le protocole et le port de votre écouteur comme nom d'écouteur. Le nom personnalisé que vous spécifiez peut comporter jusqu'à 63 caractères et doit être unique pour chaque service de votre compte. Les caractères valides sont a-z, 0-9 et les tirets (-). Vous ne pouvez pas utiliser de tiret comme premier ou dernier caractère, ni immédiatement après un autre tiret. Vous ne pouvez pas modifier le nom d'un écouteur après l'avoir créé.
-
Pour Protocole, choisissez TLS. Pour Port, entrez un numéro de port.
-
Pour Transférer vers le groupe cible, choisissez un groupe cible VPC Lattice qui utilise le protocole TCP pour recevoir le trafic, puis choisissez le poids à attribuer à ce groupe cible. Vous pouvez éventuellement ajouter un autre groupe cible. Choisissez Ajouter un groupe cible, puis choisissez un groupe cible et entrez son poids.
-
(Facultatif) Pour ajouter des balises, développez les balises Listener, choisissez Ajouter une nouvelle balise, puis entrez une clé de balise et une valeur de balise.
-
Vérifiez votre configuration, puis choisissez Ajouter.
Pour ajouter un écouteur TLS à l'aide du AWS CLI
Utilisez la commande create-listener pour créer un écouteur avec une règle par défaut. Spécifiez le protocole TLS_PASSTHROUGH.
