翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Lightsail ロードバランサーに TLS セキュリティポリシーを設定します。
Amazon Lightsail ロードバランサーで HTTPS を有効にすると、暗号化された接続の TLS セキュリティポリシーを設定できます。このガイドでは、Lightsail ロードバランサーで設定できるセキュリティポリシーと、ロードバランサーのセキュリティポリシーを更新する手順について説明します。ロードバランサーの詳細については、「ロードバランサー」を参照してください。
セキュリティポリシーの概要
Lightsail 負荷分散は、セキュリティポリシーと呼ばれる Secure Socket Layer (SSL) ネゴシエーション設定を使用して、クライアントとロードバランサーの間の SSL 接続をネゴシエーションします。セキュリティポリシーはプロトコルと暗号の組み合わせです。プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。プロトコルは、複数の暗号を使用し、インターネットを介してデータを暗号化します。接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、サーバーのリストで最初にクライアントの暗号と一致した暗号が安全な接続用に選択されます。Lightsail ロードバランサーは、クライアント接続またはターゲット接続の SSL 再ネゴシエーションをサポートしていません。
Lightsail ロードバランサーで HTTPS を有効にすると、TLS-2016-08
セキュリティポリシーがデフォルトで設定されます。このガイドで後述するように、必要に応じて別のセキュリティポリシーを設定できます。フロントエンド接続のみに使用するセキュリティポリシーを選択できます。バックエンド接続には、常に TLS-2016-08
セキュリティポリシーが使用されます。Lightsail ロードバランサーはカスタムセキュリティポリシーをサポートしていません。
サポートされているセキュリティポリシーとプロトコル
Lightsail ロードバランサーは、以下のセキュリティポリシーとプロトコルで構成できます。
前提条件を満たす
以下の前提条件を完了します (まだの場合)。
-
ロードバランサーを作成してインスタンスをアタッチする。詳細については、「ロードバランサーを作成してインスタンスをアタッチする」を参照してください。
-
SSL/TLS 証明書を作成し、ロードバランサーにアタッチして HTTPS を有効にします。詳細については、「Create an SSL/TLS certificate for your Lightsail load balancer」(Lightsail ロードバランサーの SSL/TLS 証明書を作成する) を参照してください。証明書の詳細については、「SSL/TLS 証明書」を参照してください。
Lightsail コンソールを使用してセキュリティポリシーを設定する
Lightsail コンソールを使用してセキュリティポリシーを設定するには、以下の手順を実行します。
-
Lightsail
コンソールにサインインします。 -
lightsail のホームページで [Networking] (ネットワーク) タブを選択します。
-
TLS セキュリティポリシーを設定するロードバランサーの名前を選択します。
-
[インバウンドトラフィック] タブを選択します。
-
ページの [TLS security protocols] (TLS セキュリティプロトコル) セクションで [Change protocols] (プロトコルを変更) を選択します。
-
[Supported protocols] (サポートされているプロトコル) ドロップダウンメニューで、次のいずれかのオプションを選択します。
-
[TLS バージョン 1.2] — このオプションは最も安全ですが、古いブラウザは接続できない可能性があります。
-
[TLS バージョン 1.0、1.1、および 1.2] — このオプションは、ブラウザとの互換性が最も高くなります。
-
-
[Save] (保存) を選択して、選択したプロトコルをロードバランサーに適用します。
変更が有効になるまで、少し時間がかかります。
を使用してセキュリティポリシーを設定します。 AWS CLI
AWS Command Line Interface
(AWS CLI)を使用してセキュリティポリシーを設定するには、次の手順を実行します。これは、update-load-balancer-attribute
コマンドを使用して行います。詳細については、『AWS CLI コマンドリファレンス』update-load-balancer-attributeのを参照してください。
注記
この手順を続行する前に AWS CLI 、をインストールして Lightsail 用に設定する必要があります。詳細については、「Lightsail AWS CLI と連携するようにを設定する」を参照してください。
-
ターミナルまたはコマンドプロントウィンドウを開きます。
-
次のコマンドを入力して、ロードバランサーの TLS セキュリティポリシーを変更します。
aws lightsail update-load-balancer-attribute --load-balancer-name
LoadBalancerName
--attribute-name TlsPolicyName --attribute-valueAttributeValue
コマンドで、次のサンプルテキストを独自のテキストに置き換えます。
-
LoadBalancerName
TLS セキュリティポリシーを変更したいロードバランサーの名前を入力します。 -
AttributeValue
TLS-2016-08
TLS-FS-1-2-Res-2019-08
またはのセキュリティポリシーを使用します。注記
コマンドの
TlsPolicyName
属性は、ロードバランサーで設定されている TLS セキュリティポリシーを編集することを指定します。
例:
aws lightsail update-load-balancer-attribute --load-balancer-name
MyLoadBalancer
--attribute-name TlsPolicyName --attribute-valueTLS-2016-08
変更が有効になるまで、少し時間がかかります。
-