クラシックロードバランサー での事前定義された SSL のセキュリティポリシー - Elastic Load Balancing

クラシックロードバランサー での事前定義された SSL のセキュリティポリシー

HTTPS/SSL リスナー用の事前定義されたセキュリティポリシーのいずれかを選択できます。互換性保持の用途には、デフォルトの事前定義されたセキュリティポリシー ELBSecurityPolicy-2016-08 をお勧めします。ELBSecurityPolicy-TLS ポリシーの 1 つを使用して、特定の TLS プロトコルバージョンを無効にする必要があるコンプライアンスとセキュリティの標準を満たすことができます。SSL ネゴシエーションの更新の詳細については、「Classic Load Balancer の SSL ネゴシエーション設定の更新」を参照してください。

RSA および DSA 方式の暗号は、SSL 証明書の作成に使用される署名アルゴリズムに固有です。SSL 証明書は、セキュリティポリシーで有効にされた暗号に基づいた署名アルゴリズムを使用して作成してください。

次の表は、使用可能な SSL プロトコルや SSL 暗号など、最新の事前定義されたセキュリティポリシーの詳細を示しています。[Server Order Preference] が有効なポリシーを選択した場合、ロードバランサーは、この一覧で指定された順序で暗号を使用して、クライアントとロードバランサー間の接続をネゴシエートします。それ以外の場合は、ロードバランサーはクライアントが提示した順番で暗号化を使用します。

セキュリティポリシー 2016-08 TLS-1-1-2017-01 TLS-1-2-2017-01 2015-05 2015-03 2015-02
SSL Protocols

Protocol-TLSv1

Protocol-TLSv1.1

Protocol-TLSv1.2
SSL Options

サーバーの優先順位
SSL Ciphers

ECDHE-ECDSA-AES128- GCM-SHA256

ECDHE-RSA-AES128- GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256- GCM-SHA384
ECDHE-RSA-AES256- GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-DSS-AES128-SHA
DES-CBC3-SHA

事前に定義されたセキュリティポリシー

クラシックロードバランサー に対して事前に定義されたセキュリティポリシーは次のとおりです。事前に定義されたポリシーを記述するには、describe-load-balancer-policies コマンドを使用します。

  • ELBSecurityPolicy-2016-08

  • ELBSecurityPolicy-TLS-1-2-2017-01

  • ELBSecurityPolicy-TLS-1-1-2017-01

  • ELBSecurityPolicy-2015-05

  • ELBSecurityPolicy-2015-03

  • ELBSecurityPolicy-2015-02

  • ELBSecurityPolicy-2014-10

  • ELBSecurityPolicy-2014-01

  • ELBSecurityPolicy-2011-08

  • ELBSample-ELBDefaultNegotiationPolicy または ELBSample-ELBDefaultCipherPolicy

  • ELBSample-OpenSSLDefaultNegotiationPolicy または ELBSample-OpenSSLDefaultCipherPolicy