翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC Lattice サービスの HTTPS リスナー
リスナーとは接続リクエストをチェックするプロセスです。サービスを作成するときにリスナーを定義します。リスナーはいつでも VPC Lattice のサービスに追加できます。
HTTPS リスナーを作成できます。このリスナーは TLS バージョン 1.2 を使用して VPC Lattice との HTTPS 接続を直接終了できます。VPC Lattice は VPC Lattice が生成した完全修飾ドメイン名 (FQDN) に関連付けられた TLS 証明書をプロビジョニングして管理します。VPC Lattice は HTTP/1.1 と HTTP/2 の TLS をサポートしています。HTTPS リスナーを使用してサービスを設定すると、VPC Lattice では Application-Layer Protocol Negotiation (ALPN) 経由で HTTP プロトコルを自動的に決定します。ALPN が存在しない場合、VPC Lattice はデフォルトで HTTP/1.1 に設定します。
VPC Lattice はマルチテナンシーアーキテクチャを使用するため、同じエンドポイントで複数のサービスをホストできます。VPC Lattice はすべてのクライアントリクエストに TLS と Server Name Indication (SNI) を使用します。
VPC Lattice は HTTP、HTTPS、HTTP/1.1、HTTP/2 をリッスンして、これらのプロトコルおよびバージョンのいずれかでターゲットと通信します。このリスナーとターゲットグループの設定が一致している必要はありません。VPC Lattice はプロトコルとバージョン間のアップグレードおよびダウングレードのプロセス全体を管理します。詳細については、「プロトコルバージョン」を参照してください。
アプリケーションがトラフィックを復号化できるようにするには、代わりに TLS リスナーを作成します。TLS パススルーでは、VPC Lattice は TLS を終了しません。詳細については、「TLS リスナー」を参照してください。
セキュリティポリシー
VPC Lattice は TLSv1.2 プロトコルと SSL/TLS 暗号のリストを組み合わせたセキュリティポリシーを採用しています。プロトコルによってクライアントとサーバーの間で安全な接続が確立され、クライアントと VPC Lattice のサービスの間で受け渡しされるすべてのデータがプライベートになります。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。プロトコルは複数の暗号を使用して、データを暗号化します。接続ネゴシエーションのプロセス時に、クライアントと VPC Lattice でそれぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、サーバーのリストで最初にクライアントの暗号と一致した暗号が安全な接続用に選択されます。
VPC Lattice はこの優先順位に基づき、TLSv1.2 プロトコルと次の SSL/TLS 暗号を使用します。
-
ECDHE-RSA-AES128-GCM-SHA256 -
ECDHE-RSA-AES128-SHA -
ECDHE-RSA-AES256-GCM-SHA384 -
ECDHE-RSA-AES256-SHA -
AES128-GCM-SHA256 -
AES128-SHA -
AES256-GCM-SHA384 -
AES256-SHA
ALPN ポリシー
Application-Layer Protocol Negotiation (ALPN) は、初期 TLS ハンドシェイク hello メッセージで送信される TLS 拡張機能です。ALPN を使用すると、アプリケーションレイヤーは HTTP/1 や HTTP/2 などのセキュアな接続上で使用するプロトコルをネゴシエートできます。
クライアントが ALPN 接続を開始すると、VPC Lattice はクライアントの ALPN 設定リストを ALPN ポリシーと比較します。クライアントが ALPN ポリシーからのプロトコルをサポートしている場合、VPC Lattice は ALPN ポリシーの設定リストに基づいて接続を確立します。サポートしていない場合、サービスで ALPN は使用されません。
VPC Lattice は次の ALPN ポリシーをサポートしています。
HTTP2Preferred-
HTTP/1.1 よりも HTTP/2 を優先します。ALPN 設定リストは h2、http/1.1 です。
HTTPS リスナーの追加
クライアントからサービスへの接続用のプロトコルとポート、デフォルトのリスナールールのターゲットグループでリスナーを設定します。詳細については、「リスナーの設定」を参照してください。
前提条件
-
転送アクションをデフォルトのリスナールールに追加するには、利用可能な VPC Lattice ターゲットグループを指定する必要があります。詳細については、「VPC Lattice ターゲットグループを作成する」を参照してください。
-
複数のリスナーに同じターゲットグループを指定できますが、そのリスナーは同じ VPC Lattice サービスに属している必要があります。VPC Lattice サービスでターゲットグループを使用するには、他の VPC Lattice サービスのリスナーによって使用されていないことを確認する必要があります。
-
VPC Lattice が提供する証明書を使用するか、独自の証明書を にインポートできます AWS Certificate Manager。詳細については、「VPC Lattice の独自の証明書を使用する (BYOC)」を参照してください。
コンソールを使用した HTTPS リスナーを追加するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [VPC Lattice] で、[サービス] を選択します。
-
サービスの名前を選択して、その詳細ページを開きます。
-
[ルーティング] タブで [リスナーを追加] を選択します。
-
[リスナー名] には、カスタムのリスナー名を指定するか、リスナーのプロトコルとポートをリスナー名として使用できます。指定するカスタム名は最大 63 文字で、アカウント内のサービスごとに一意である必要があります。使用できる文字は a~z、0~9、- (ハイフン) です。最初または最後の文字をハイフンにしたり、別のハイフンの直後にハイフンを入れたりすることはできません。作成後にリスナー名を変更することはできません。
-
[プロトコル : ポート] では [HTTPS] を選択し、ポート番号を入力します。
-
[デフォルトアクション] ではトラフィックを受信する VPC Lattice ターゲットグループを選択し、このターゲットグループの重み付けを選択します。ターゲットグループの重み付けによって、トラフィックを受信する優先順位が決まります。例えば、2 つのターゲットグループの重み付けが同じ場合、それぞれのターゲットグループはトラフィックの半分を受信します。ターゲットグループを 1 つのみ指定した場合、トラフィックのすべてがその 1 つのターゲットグループに送信されます。
オプションで、デフォルトアクションに別のターゲットグループを追加できます。[アクションを追加] をクリックし、ターゲットグループを選択して重み付けを指定します。
-
(オプション) 別のルールを追加するには、[ルールを追加] を選択し、ルールの名前、優先度、条件、アクションを入力します。
各ルールに 1~100 の範囲で優先度を指定できます。リスナーは同じ優先度の複数のルールを持つことはできません。ルールは優先順位の低~高順によって評価されます。デフォルトのルールが最後に評価されます。詳細については、「リスナールール」を参照してください。
-
(オプション) タグを追加するには、[リスナータグ] を展開し、[新しいタグを追加] を選択して、タグキーとタグ値を入力します。
-
[HTTPS リスナー証明書の設定] では、サービス作成時にカスタムドメイン名を指定しなかった場合、VPC Lattice が TLS 証明書を自動的に生成して、リスナーを通過するトラフィックを保護します。
カスタムドメイン名でサービスを作成したものの、一致証明書を指定しなかった場合は、この時点で [カスタム SSL/TLS 証明書] から証明書を選択して指定できます。それ以外の場合は、サービス作成時に指定した証明書が既に選択されています。
-
設定を確認し、[追加] をクリックします。
を使用して HTTPS リスナーを追加するには AWS CLI
create-listener コマンドを使用してデフォルトのルールを含むリスナーを作成し、create-rule コマンドを使用して追加のリスナールールを作成します。
