クラシックロードバランサー での事前定義された SSL のセキュリティポリシー
HTTPS/SSL リスナー用の事前定義されたセキュリティポリシーのいずれかを選択できます。一般的な用途には、デフォルトの事前定義されたセキュリティポリシー ELBSecurityPolicy-2016-08 をお勧めします。ELBSecurityPolicy-TLS ポリシーの 1 つを使用して、特定の TLS プロトコルバージョンを無効にする必要があるコンプライアンスとセキュリティの標準を満たすことができます。SSL ネゴシエーションの更新の詳細については、「Classic Load Balancer の SSL ネゴシエーション設定の更新」を参照してください。
RSA および DSA 方式の暗号は、SSL 証明書の作成に使用される署名アルゴリズムに固有です。SSL 証明書は、セキュリティポリシーで有効にされた暗号に基づいた署名アルゴリズムを使用して作成してください。
次の表は、使用可能な SSL プロトコルや SSL 暗号など、最新の事前定義されたセキュリティポリシーの詳細を示しています。[Server Order Preference] が有効なポリシーを選択した場合、ロードバランサーは、この一覧で指定された順序で暗号を使用して、クライアントとロードバランサー間の接続をネゴシエートします。それ以外の場合は、ロードバランサーはクライアントが提示した順番で暗号化を使用します。
| セキュリティポリシー | 2016-08 | TLS-1-1-2017-01 | TLS-1-2-2017-01 | 2015-05 | 2015-03 | 2015-02 |
|---|---|---|---|---|---|---|
| SSL Protocols | ||||||
|
Protocol-TLSv1 |
♦ | ♦ | ♦ | ♦ | ||
|
Protocol-TLSv1.1 |
♦ | ♦ | ♦ | ♦ | ♦ | |
|
Protocol-TLSv1.2 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| SSL Options | ||||||
|
サーバーの優先順位 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| SSL Ciphers | ||||||
|
ECDHE-ECDSA-AES128- GCM-SHA256 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
|
ECDHE-RSA-AES128- GCM-SHA256 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
|
ECDHE-ECDSA-AES128-SHA256 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
|
ECDHE-RSA-AES128-SHA256 |
♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
|
ECDHE-ECDSA-AES128-SHA |
♦ | ♦ | ♦ | ♦ | ♦ | |
| ECDHE-RSA-AES128-SHA | ♦ | ♦ | ♦ | ♦ | ♦ | |
| DHE-RSA-AES128-SHA | ♦ | ♦ | ||||
| ECDHE-ECDSA-AES256- GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES256- GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | ♦ | ♦ | ♦ | ♦ | |
| ECDHE-ECDSA-AES256-SHA | ♦ | ♦ | ♦ | ♦ | ♦ | |
| AES128-GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES128-SHA | ♦ | ♦ | ♦ | ♦ | ♦ | |
| AES256-GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES256-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES256-SHA | ♦ | ♦ | ♦ | ♦ | ♦ | |
| DHE-DSS-AES128-SHA | ♦ | ♦ | ||||
| DES-CBC3-SHA | ♦ | ♦ | ||||
事前に定義されたセキュリティポリシー
クラシックロードバランサー に対して事前に定義されたセキュリティポリシーは次のとおりです。事前に定義されたポリシーを記述するには、describe-load-balancer-policies コマンドを使用します。
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2015-05
-
ELBSecurityPolicy-2015-03
-
ELBSecurityPolicy-2015-02
-
ELBSecurityPolicy-2014-10
-
ELBSecurityPolicy-2014-01
-
ELBSecurityPolicy-2011-08
-
ELBSample-ELBDefaultNegotiationPolicy または ELBSample-ELBDefaultCipherPolicy
-
ELBSample-OpenSSLDefaultNegotiationPolicy または ELBSample-OpenSSLDefaultCipherPolicy
