Application Load Balancer 用の HTTPS リスナーを更新する - エラスティックロードバランシング
デフォルトの証明書の置き換え証明書リストに証明書を追加する証明書リストから証明書を削除するセキュリティポリシーの更新HTTP ヘッダーの変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Load Balancer 用の HTTPS リスナーを更新する

HTTPS リスナーを作成すると、デフォルトの証明書の置き換え、証明書リストの更新、またはセキュリティポリシーの置き換えが可能になります。

デフォルトの証明書の置き換え

次の手順でリスナーのデフォルトの証明書を置き換えできます。詳細については、「デフォルトの証明書」を参照してください。

Console
デフォルトの証明書を置き換えるには

  1. Amazon EC2 コンソールの https://console.aws.amazon.com/ec2/ を開いてください。

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [リスナーとルール] タブで、[プロトコル:ポート] 列のテキストを選択して、リスナーの詳細ページを開きます。

  5. [証明書] タブで、[デフォルトを変更] を選択します。

  6. [ACM および IAM 証明書] 表内の新しいデフォルト証明書を選択します。

  7. (オプション) デフォルトでは、リスナー証明書リストに以前のデフォルト証明書を追加するを選択します。現在 SNI 用のリスナー証明書がなく、TLS セッションの再開に依存していない限り、このオプションを選択しておくことをお勧めします。

  8. [デフォルトとして保存] を選択します。

AWS CLI
デフォルトの証明書を置き換えるには

modify-listener コマンドを使用します。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
デフォルトの証明書を置き換えるには

AWS::ElasticLoadBalancingV2::Listener を更新します。

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: new-default-certificate-arn

証明書リストに証明書を追加する

次の手順でリスナーの証明書リストに証明書を追加できます。を使用してリスナーを作成した場合 AWS Management Console、デフォルトの証明書が証明書リストに追加されました。それ以外の場合、証明書リストは空です。証明書リストにデフォルトの証明書を追加すると、この証明書がデフォルトの証明書として置き換えられた場合でも、SNI プロトコルで使用されます。詳細については、「Application Load Balancer の SSL 証明書」を参照してください。

Console
証明書リストに証明書を追加するには

  1. Amazon EC2 コンソールの https://console.aws.amazon.com/ec2/ を開いてください。

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [リスナーとルール] タブで、[プロトコル:ポート] 列のテキストを選択して、リスナーの詳細ページを開きます。

  5. [証明書] タブを選択します。

  6. デフォルトの証明書をリストに追加するには、デフォルトをリストに追加を選択します

  7. デフォルト以外の証明書をリストに追加するには、次の手順を実行します。

    1. 証明書の追加 を選択します。

    2. ACM または IAM によって既に管理されている証明書を追加するには、その証明書のチェックボックスを選択して [保留中として以下を含める] を選択します。

    3. ACM または IAM によって管理されていない証明書を追加するには、証明書のインポートを選択し、フォームに入力してインポートを選択します。

    4. [保留中の証明書を追加] を選択します。

AWS CLI
証明書リストに証明書を追加するには

add-listener-certificates コマンドを使用します。

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
証明書リストに証明書を追加するには

AWS::ElasticLoadBalancingV2::ListenerCertificate タイプのリソースを定義します。

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

証明書リストから証明書を削除する

次の手順で HTTPS リスナーの証明書リストから証明書を削除できます。証明書を削除すると、リスナーはその証明書を使用して接続を作成できなくなります。クライアントが影響を受けないようにするには、新しい証明書をリストに追加し、リストから証明書を削除する前に接続が機能していることを確認します。

TLS リスナーのデフォルトの証明書を削除するには、デフォルトの証明書の置き換え を参照してください。

Console
証明書リストから証明書を削除するには

  1. Amazon EC2 コンソールの https://console.aws.amazon.com/ec2/ を開いてください。

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [リスナーとルール] タブで、[プロトコル:ポート] 列のテキストを選択して、リスナーの詳細ページを開きます。

  5. [証明書] タブで、証明書のチェックボックスを選択し、[削除] を選択します。

  6. 確認を求められたら、confirm と入力し、[削除] を選択します。

AWS CLI
証明書リストから証明書を削除するには

remove-listener-certificates コマンドを使用します。

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

セキュリティポリシーの更新

HTTPS リスナーを作成するときに、ニーズを満たすセキュリティポリシーを選択できます。新しいセキュリティのポリシーを追加したら、HTTPS リスナーを更新して新しいセキュリティポリシーを使用できます。Application Load Balancer は、カスタムセキュリティポリシーをサポートしていません。詳細については、「Application Load Balancer のセキュリティポリシー」を参照してください。

セキュリティポリシーを更新すると、ロードバランサーが大量のトラフィックを処理している場合に中断が発生する可能性があります。ロードバランサーが大量のトラフィックを処理しているときに中断の可能性を減らすには、トラフィックの処理に役立つ追加のロードバランサーを作成するか、LCU 予約をリクエストします。

Application Load Balancer での FIPS ポリシーの使用

Application Load Balancer にアタッチされたすべてのセキュアリスナーは、FIPS セキュリティポリシーか非 FIPS セキュリティポリシーを使用する必要があります。2 つを同時に使用することはできません。既存の Application Load Balancer に非 FIPS ポリシーを使用しているリスナーが 2 つ以上あり、それらの代わりに FIPS セキュリティポリシーを使用したいときは、1 つのリスナーを残してそれ以外はすべて削除します。リスナーのセキュリティポリシーを FIPS に変更し、FIPS セキュリティポリシーを使用して追加のリスナーを作成します。または、FIPS セキュリティポリシーのみを使用して、新しいリスナーで新しい Application Load Balancer を作成できます。

Console
セキュリティポリシーを更新するには

  1. Amazon EC2 コンソールの https://console.aws.amazon.com/ec2/ を開いてください。

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [リスナーとルール] タブで、[プロトコル:ポート] 列のテキストを選択して、リスナーの詳細ページを開きます。

  5. [セキュリティ] タブで [セキュアリスナーの設定を編集] を選択します。

  6. [セキュアリスナーの設定] セクションの [セキュリティポリシー] で、新しいセキュリティポリシーを選択します。

  7. [Save changes] (変更の保存) をクリックします。

AWS CLI
セキュリティポリシーを更新するには

modify-listener コマンドを使用します。

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
セキュリティポリシーを更新するには

AWS::ElasticLoadBalancingV2::Listener リソースを新しいセキュリティポリシーで更新します。

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn

HTTP ヘッダーの変更

HTTP ヘッダーの変更により、特定のロードバランサーが生成したヘッダーの名前変更、特定のレスポンスヘッダーの挿入、サーバーレスポンスヘッダーの無効化を行うことができます。Application Load Balancer は、リクエストヘッダーとレスポンスヘッダーの両方でヘッダーの変更をサポートします。

詳細については、「Application Load Balancer の HTTP ヘッダー変更を有効にする」を参照してください。