セキュリティポリシーの概要サポートされているセキュリティポリシーとプロトコル前提条件を満たす Lightsail コンソールを使用してセキュリティポリシーを設定するを使用してセキュリティポリシーを設定します。 AWS CLI

Amazon Lightsail ロードバランサーに TLS セキュリティポリシーを設定します。

Amazon Lightsail ロードバランサーで HTTPS を有効にすると、暗号化された接続の TLS セキュリティポリシーを設定できます。このガイドでは、Lightsail ロードバランサーで設定できるセキュリティポリシーと、ロードバランサーのセキュリティポリシーを更新する手順について説明します。ロードバランサーの詳細については、「ロードバランサー」を参照してください。　

セキュリティポリシーの概要

Lightsail 負荷分散は、セキュリティポリシーと呼ばれる Secure Socket Layer (SSL) ネゴシエーション設定を使用して、クライアントとロードバランサーの間の SSL 接続をネゴシエーションします。セキュリティポリシーはプロトコルと暗号の組み合わせです。プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。プロトコルは、複数の暗号を使用し、インターネットを介してデータを暗号化します。接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、サーバーのリストで最初にクライアントの暗号と一致した暗号が安全な接続用に選択されます。Lightsail ロードバランサーは、クライアント接続またはターゲット接続の SSL 再ネゴシエーションをサポートしていません。

Lightsail ロードバランサーで HTTPS を有効にすると、TLS-2016-08セキュリティポリシーがデフォルトで設定されます。このガイドで後述するように、必要に応じて別のセキュリティポリシーを設定できます。フロントエンド接続のみに使用するセキュリティポリシーを選択できます。バックエンド接続には、常に TLS-2016-08 セキュリティポリシーが使用されます。Lightsail ロードバランサーはカスタムセキュリティポリシーをサポートしていません。

サポートされているセキュリティポリシーとプロトコル

Lightsail ロードバランサーは、以下のセキュリティポリシーとプロトコルで構成できます。

前提条件を満たす

以下の前提条件を完了します (まだの場合)。

ロードバランサーを作成してインスタンスをアタッチする。詳細については、「ロードバランサーを作成してインスタンスをアタッチする」を参照してください。
SSL/TLS 証明書を作成し、ロードバランサーにアタッチして HTTPS を有効にします。詳細については、「Create an SSL/TLS certificate for your Lightsail load balancer」(Lightsail ロードバランサーの SSL/TLS 証明書を作成する) を参照してください。証明書の詳細については、「SSL/TLS 証明書」を参照してください。

Lightsail コンソールを使用してセキュリティポリシーを設定する

Lightsail コンソールを使用してセキュリティポリシーを設定するには、以下の手順を実行します。

Lightsail コンソールにサインインします。
lightsail のホームページで [Networking] (ネットワーク) タブを選択します。
TLS セキュリティポリシーを設定するロードバランサーの名前を選択します。
[インバウンドトラフィック] タブを選択します。
ページの [TLS security protocols] (TLS セキュリティプロトコル) セクションで [Change protocols] (プロトコルを変更) を選択します。
[Supported protocols] (サポートされているプロトコル) ドロップダウンメニューで、次のいずれかのオプションを選択します。
- [TLS バージョン 1.2] — このオプションは最も安全ですが、古いブラウザは接続できない可能性があります。
- [TLS バージョン 1.0、1.1、および 1.2] — このオプションは、ブラウザとの互換性が最も高くなります。
[Save] (保存) を選択して、選択したプロトコルをロードバランサーに適用します。

変更が有効になるまで、少し時間がかかります。

を使用してセキュリティポリシーを設定します。 AWS CLI

AWS Command Line Interface (AWS CLI)を使用してセキュリティポリシーを設定するには、次の手順を実行します。これは、update-load-balancer-attribute コマンドを使用して行います。詳細については、『AWS CLI コマンドリファレンス』update-load-balancer-attributeのを参照してください。

注記

この手順を続行する前に AWS CLI 、をインストールして Lightsail 用に設定する必要があります。詳細については、「Lightsail AWS CLI と連携するようにを設定する」を参照してください。

ターミナルまたはコマンドプロントウィンドウを開きます。
次のコマンドを入力して、ロードバランサーの TLS セキュリティポリシーを変更します。
```
aws lightsail update-load-balancer-attribute --load-balancer-name LoadBalancerName --attribute-name TlsPolicyName --attribute-value AttributeValue
```
コマンドで、次のサンプルテキストを独自のテキストに置き換えます。
- LoadBalancerNameTLS セキュリティポリシーを変更したいロードバランサーの名前を入力します。
- AttributeValueTLS-2016-08TLS-FS-1-2-Res-2019-08またはのセキュリティポリシーを使用します。
  
  注記
  コマンドの TlsPolicyName 属性は、ロードバランサーで設定されている TLS セキュリティポリシーを編集することを指定します。
例：
```
aws lightsail update-load-balancer-attribute --load-balancer-name MyLoadBalancer --attribute-name TlsPolicyName --attribute-value TLS-2016-08
```
変更が有効になるまで、少し時間がかかります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

インスタンスのロードバランシング

HTTP から HTTPS へのリダイレクト