Application Load Balancer용 HTTPS 리스너 생성 - Elastic Load Balancing

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer용 HTTPS 리스너 생성

리스너는 연결 요청을 확인합니다. 로드 밸런서를 생성할 때 리스너를 정의하면 언제라도 로드 밸런서에 리스너를 추가할 수 있습니다.

HTTPS 리스너를 생성하려면 로드 밸런서에 한 개 이상의 SSL 서버 인증서를 반드시 배포해야 합니다. 로드 밸런서는 서버 인증서를 사용해 프런트 엔드 연결을 종료한 다음, 대상으로 전송하기 전에 클라이언트의 요청을 해독합니다. 클라이언트와 로드 밸런서 간의 보안 연결을 협상하는 데 사용되는 보안 정책도 지정해야 합니다.

암호화된 트래픽을 로드 밸런서의 해독 없이 대상으로 전달해야 하는 경우, 포트 443을 수신하는 TCP 리스너가 있는 Network Load Balancer 또는 Classic Load Balancer를 생성할 수 있습니다. TCP 리스너를 사용하여 로드 밸런서는 암호화된 트래픽을 해독하지 않고 대상으로 전달합니다.

Application Load Balanca는 ED25519 키를 지원하지 않습니다.

이 페이지의 정보는 로드 밸런서용 HTTPS 리스너를 생성하는 데 도움이 됩니다. 로드 밸런서에 HTTP 리스너를 추가하려면 Application Load Balancer용 HTTP 리스너 생성 섹션을 참조하세요.

SSL 인증서

로드 밸런서에는 X.509 인증서(SSL/TLS 서버 인증서)가 필요합니다. 인증서는 인증 기관(CA)에서 발행한 디지털 형태의 ID 증명서입니다. 인증서에는 식별 정보, 유효 기간, 퍼블릭 키, 일련번호, 발행자의 디지털 서명이 들어 있습니다.

로드 밸런서와 함께 사용할 인증서를 생성할 때 도메인 이름을 지정해야 합니다. 인증서의 도메인 이름은 사용자 지정 도메인 이름 레코드와 일치해야 TLS 연결을 확인할 수 있습니다. 두 값이 일치하지 않는 경우 트래픽이 암호화되지 않습니다.

인증서에 www.example.com과 같은 정규화된 도메인 이름(FQDN) 또는 example.com과 같은 apex 도메인 이름을 지정해야 합니다. 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com은 보호하지만 test.login.example.com을 보호할 수는 없습니다. 또한 *.example.comexample.com의 하위 도메인만 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 와일드카드 이름은 주체 필드와 인증서의 주체 대체 이름 확장에 표시됩니다. 퍼블릭 인증서 요청에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서퍼블릭 인증서 요청을 참조하세요.

AWS Certificate Manager(ACM)을 사용해 로드 밸런서를 위한 인증서를 생성하는 것이 좋습니다. ACM은 2048, 3072, 4096비트 길이의 RSA 인증서와 모든 ECDSA 인증서를 지원합니다. ACM은 Elastic Load Balancing과 통합하여 로드 밸런서에 인증서를 배포합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하세요.

또는 SSL/TLS 도구를 사용해 인증서 서명 요청(CSR)을 생성하고 CA가 서명한 CSR을 가져와서 인증서를 만든 다음, ACM으로 인증서를 가져오거나 AWS Identity and Access Management(IAM)으로 인증서를 업로드할 수 있습니다. 인증서를 ACM으로 가져오는 방법에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서인증서 가져오기 단원을 참조하세요. IAM으로 인증서를 업로드하는 방법에 대한 자세한 내용은 IAM 사용 설명서서버 인증서 작업을 참조하세요.

기본 인증서

HTTPS 리스너를 생성할 때 인증서 하나를 꼭 지정해야 합니다. 이 인증서를 기본 인증서라고 합니다. HTTPS 리스너를 생성한 후 기본 인증서를 교체할 수 있습니다. 자세한 내용은 기본 인증서 교체 단원을 참조하세요.

인증서 목록에서 추가 인증서를 지정하면 클라이언트가 SNI(서버 이름 표시) 프로토콜을 사용하지 않고 호스트 이름을 지정하여 연결하거나 인증서 목록에 일치하는 인증서가 없는 경우에만 기본 인증서가 사용됩니다.

추가 인증서를 지정하지 않지만 단일 로드 밸런서를 통해 보안 애플리케이션을 여러 개 호스팅해야 하는 경우, 와일드카드 인증서를 사용하거나 인증서에 각 추가 도메인의 주체 대체 이름(SAN)을 추가할 수 있습니다.

인증서 목록

HTTPS 리스너를 생성한 후 리스너에는 기본 인증서와 빈 인증서 목록이 있습니다. 필요에 따라 리스너의 인증서 목록에 인증서를 추가할 수 있습니다. 인증서 목록을 사용하면 로드 밸런서가 동일한 포트의 여러 도메인을 지원하고 각 도메인에 대해 다른 인증서를 제공할 수 있습니다. 자세한 내용은 인증서 목록에 인증서 추가 단원을 참조하세요.

로드 밸런서는 SNI를 지원하는 스마트 인증서 선택 알고리즘을 사용합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 단일 인증서와 일치하면 로드 밸런서는 이 인증서를 선택합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 여러 인증서와 일치하면 로드 밸런서는 클라이언트가 지원할 수 있는 최선의 인증서를 선택합니다. 인증서 선택은 다음 조건에 따라 다음 순서대로 이루어집니다.

  • 퍼블릭 키 알고리즘(RSA보다 ECDSA 선호)

  • 해싱 알고리즘(MD5보다 SHA 선호)

  • 키 길이(가장 큰 길이 선호)

  • 유효 기간

로드 밸런서 액세스 로그 항목은 클라이언트가 지정한 호스트 이름과 클라이언트에 제공된 인증서를 나타냅니다. 자세한 내용은 액세스 로그 항목 단원을 참조하세요.

인증서 갱신

각 인증서에는 유효 기간이 있습니다. 유효 기간이 끝나기 전에 로드 밸런서의 각 인증서를 갱신 또는 교체해야 합니다. 여기에는 기본 인증서와 인증서 목록의 인증서가 포함됩니다. 인증서를 갱신 또는 교체해도 로드 밸런서 노드에 수신되어 상태가 양호한 대상으로 라우팅이 보류 중인 진행 중 요청에는 영향을 주지 않습니다. 인증서를 갱신하면 새 요청에서 갱신된 인증서를 사용합니다. 인증서를 교체하면 새 요청에서 새 인증서를 사용합니다.

인증서 갱신 및 교체를 다음과 같이 관리할 수 있습니다.

  • AWS Certificate Manager가 제공하고 로드 밸런서에 배포된 인증서는 자동으로 갱신이 가능합니다. ACM은 인증서가 만료되기 전에 갱신을 시도합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.

  • ACM에 인증서를 가져온 경우에는 인증서의 만료일을 반드시 모니터링해서 만료되기 전에 인증서를 갱신해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 인증서 가져오기를 참조하세요.

  • IAM으로 인증서를 가져온 경우, 새 인증서를 만들어 ACM이나 IAM으로 가져온 후 로드 밸런서에 새 인증서를 추가하고, 만료된 인증서를 로드 밸런서에서 제거해야 합니다.

보안 정책

Elastic Load Balancing은 보안 정책이라고 하는 Secure Socket Layer(SSL) 협상 구성을 사용해 클라이언트와 로드 밸런서 간의 연결을 협상합니다. 보안 정책은 프로토콜과 암호의 조합입니다. 프로토콜은 클라이언트와 서버 간에 보안 연결을 설정하여 클라이언트와 로드 밸런서 간에 전달되는 모든 데이터를 안전하게 보호합니다. 암호는 코딩된 메시지를 생성하기 위해 암호화 키를 사용하는 암호화 알고리즘입니다. 프로토콜은 여러 개의 암호를 사용해 인터넷 상의 데이터를 암호화합니다. 연결 협상이 이루어지는 동안 클라이언트와 로드 밸런서는 각각이 지원하는 암호 및 프로토콜 목록을 선호도 순으로 표시합니다. 기본적으로 서버의 목록에서 클라이언트의 암호 중 하나와 일치하는 첫 번째 암호가 보안 연결을 위해 선택됩니다.

고려 사항:
  • Application Load Balancer는 대상 연결에 대해서만 SSL 재협상을 지원합니다.

  • Application Load Balancer는 사용자 지정 보안 정책을 지원하지 않습니다.

  • ELBSecurityPolicy-TLS13-1-2-2021-06정책은 를 사용하여 만든 HTTPS 리스너의 기본 보안 정책입니다. AWS Management Console

  • ELBSecurityPolicy-2016-08정책은 를 사용하여 만든 HTTPS 리스너의 기본 보안 정책입니다. AWS CLI

  • HTTPS 리스너를 생성할 때는 보안 정책을 선택해야 합니다.

    • TLS 1.3을 포함하고 TLS 1.2와 이전 버전과 호환되는 ELBSecurityPolicy-TLS13-1-2-2021-06 보안 정책을 사용하는 것이 좋습니다.

  • 프런트엔드 연결에는 사용할 보안 정책을 선택할 수 있지만 백엔드 연결에는 사용할 수 없습니다.

    • 백엔드 연결의 경우 HTTPS 리스너가 TLS 1.3 보안 정책을 사용하면 ELBSecurityPolicy-TLS13-1-0-2021-06 보안 정책이 사용됩니다. 그렇지 않으면, ELBSecurityPolicy-2016-08 보안 정책은 백엔드 연결에 사용됩니다.

  • 특정 TLS 프로토콜 버전을 사용하지 않도록 설정해야 하는 규정 준수 및 보안 표준을 충족하거나 더 이상 사용되지 않는 암호가 필요한 레거시 클라이언트를 지원하려면 보안 정책 중 하나를 사용할 수 있습니다. ELBSecurityPolicy-TLS- Application Load Balancer에 대한 요청에 대한 TLS 프로토콜 버전을 보려면 로드 밸런서에 대한 액세스 로깅을 활성화하고 해당하는 액세스 로그 항목을 검사하십시오. 자세한 내용은 Application Load Balancer의 액세스 로그를 참조하십시오.

  • IAM AWS 계정 및 AWS Organizations 서비스 제어 정책 (SCP) 에서 각각 Elastic Load Balancing 조건 키를 사용하여 전 세계 사용자가 사용할 수 있는 보안 정책을 제한할 수 있습니다. 자세한 내용은 사용 설명서의 서비스 제어 정책 (SCP) 을 참조하십시오. AWS Organizations

TLS 1.3 보안 정책

참고

애플리케이션 로드 밸런서에 대한 TLS 1.3 보안 정책은 새로운 EC2 환경에서만 지원됩니다. 이전 EC2 환경을 사용하는 경우 TLS 1.3 보안 정책을 선택할 수 없습니다.

Elastic Load Balancing은 애플리케이션 로드 밸런서에 대해 다음과 같은 TLS 1.3 보안 정책을 제공합니다.

  • ELBSecurityPolicy-TLS13-1-2-2021-06(권장)

  • ELBSecurityPolicy-TLS13-1-2-Res-2021-06

  • ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06

  • ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06

  • ELBSecurityPolicy-TLS13-1-1-2021-06

  • ELBSecurityPolicy-TLS13-1-0-2021-06

  • ELBSecurityPolicy-TLS13-1-3-2021-06

FIPS 보안 정책

중요

Application Load Balancer에 연결된 모든 보안 리스너는 FIPS 보안 정책 또는 비 FIPS 보안 정책을 사용해야 하며 혼용할 수 없습니다. 기존 Application Load Balancer에 비 FIPS 정책을 사용하는 리스너가 두 개 이상 있는데 리스너가 FIPS 보안 정책을 대신 사용하도록 하려면 리스너가 하나만 있을 때까지 모든 리스너를 제거합니다. 리스너의 보안 정책을 FIPS로 변경한 다음 FIPS 보안 정책을 사용하여 추가 리스너를 생성하십시오. 또는 FIPS 보안 정책만 사용하여 새 리스너가 포함된 새 Application Load Balancer를 생성할 수도 있습니다.

연방 정보 처리 표준 (FIPS) 은 민감한 정보를 보호하는 암호화 모듈의 보안 요구 사항을 지정하는 미국 및 캐나다 정부 표준입니다. 자세한 내용은 AWS클라우드 보안 규정 준수 페이지에서 연방 정보 처리 표준 (FIPS) 140을 참조하십시오.

모든 FIPS 정책은 AWS-LC FIPS 검증을 거친 암호화 모듈을 활용합니다. 자세한 내용은 NIST 암호화 모듈 검증 프로그램 사이트의 AWS-LC 암호화 모듈 페이지를 참조하십시오.

Elastic Load Balancing은 애플리케이션 로드 밸런서에 대해 다음과 같은 FIPS 보안 정책을 제공합니다.

  • ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(권장)

  • ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

FS 지원 정책

Elastic Load Balancing은 애플리케이션 로드 밸런서에 대해 다음과 같은 FS (순방향 보안) 지원 보안 정책을 제공합니다.

  • ELBSecurityPolicy-FS-1-2-Res-2020-10

  • ELBSecurityPolicy-FS-1-2-Res-2019-08

  • ELBSecurityPolicy-FS-1-2-2019-08

  • ELBSecurityPolicy-FS-1-1-2019-08

  • ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2 보안 정책

Elastic Load Balancing은 애플리케이션 로드 밸런서에 대해 다음과 같은 TLS 1.0 - 1.2 보안 정책을 제공합니다.

  • ELBSecurityPolicy-TLS-1-2-Ext-2018-06

  • ELBSecurityPolicy-TLS-1-2-2017-01

  • ELBSecurityPolicy-TLS-1-1-2017-01

  • ELBSecurityPolicy-2016-08

  • ELBSecurityPolicy-TLS-1-0-2015-04

  • ELBSecurityPolicy-2015-05(와 동일) ELBSecurityPolicy-2016-08

TLS 프로토콜 및 암호

TLS 1.3

다음 표에는 사용 가능한 TLS 1.3 보안 정책에 지원되는 TLS 프로토콜 및 암호가 설명되어 있습니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS13-1-2-2021-06 표시됩니다. TLS13-1-2-2021-06

보안 정책 
                                            TLS13-1-2-2021-06*
                                        
                                            TLS13-1-3-2021-06
                                        
                                            TLS13-1-2-Res-2021-06
                                        
                                            TLS13-1-2-Ext2-2021-06
                                        
                                            TLS13-1-2-Ext1-2021-06
                                        
                                            TLS13-1-1-2021-06
                                        
                                            TLS13-1-0-2021-06
TLS 프로토콜
Protocol-TLSv1
Protocol-TLSv1.1
Protocol-TLSv1.2
Protocol-TLSv1.3
TLS 암호
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CLI를 사용하여 TLS 1.3 정책을 사용하는 HTTPS 리스너를 만들려면

모든 TLS 1.3 보안 정책과 함께 리스너 생성-리스너 명령을 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-2021-06

aws elbv2 create-listener --name my-listener \ --protocol HTTPS --port 443 \ --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06
CLI를 사용하여 TLS 1.3 정책을 사용하도록 HTTPS 리스너를 수정하려면

모든 TLS 1.3 보안 정책과 함께 modify-listener 명령을 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-2021-06

aws elbv2 modify-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \ --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06
CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn

aws elbv2 describe-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
CLI를 사용하여 TLS 1.3 보안 정책의 컨피그레이션을 보려면

모든 TLS 1.3 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-TLS13-1-2-2021-06 보안 정책을 사용합니다.

aws elbv2 describe-ssl-policies \ --names ELBSecurityPolicy-TLS13-1-2-2021-06
FIPS
중요

정책은 ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 레거시 호환성을 위해서만 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 제공됩니다. FIPS140 모듈을 사용하여 FIPS 암호화를 사용하지만 TLS 구성에 대한 최신 NIST 지침을 준수하지 않을 수 있습니다.

다음 표에는 사용 가능한 FIPS 보안 정책에 지원되는 TLS 프로토콜 및 암호가 설명되어 있습니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 표시됩니다. TLS13-1-2-FIPS-2023-04

보안 정책 
                                            TLS13-1-3-FIPS-2023-04
                                        
                                            TLS13-1-2-Res-FIPS-2023-04
                                        
                                            TLS13-1-2-FIPS-2023-04
                                        
                                            TLS13-1-2-Ext0-FIPS-2023-04
                                        
                                            TLS13-1-2-Ext1-FIPS-2023-04
                                        
                                            TLS13-1-2-Ext2-FIPS-2023-04
                                        
                                            TLS13-1-1-FIPS-2023-04
                                        
                                        TLS13-1-0-FIPS-2023-04
TLS 프로토콜
Protocol-TLSv1
Protocol-TLSv1.1
Protocol-TLSv1.2
Protocol-TLSv1.3
TLS 암호
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CLI를 사용하여 FIPS 정책을 사용하는 HTTPS 리스너를 만들려면

모든 FIPS 보안 정책과 함께 create-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

aws elbv2 create-listener --name my-listener \ --protocol HTTPS --port 443 \ --ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
CLI를 사용하여 FIPS 정책을 사용하도록 HTTPS 리스너를 수정하려면

모든 FIPS 보안 정책과 함께 modify-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

aws elbv2 modify-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \ --ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn

aws elbv2 describe-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
CLI를 사용하여 FIPS 보안 정책의 컨피그레이션을 보려면

모든 FIPS describe-ssl-policies보안 정책과 함께 명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 보안 정책을 사용합니다.

aws elbv2 describe-ssl-policies \ --names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
FS

다음 표에서는 사용 가능한 FS 지원 보안 정책에 지원되는 TLS 프로토콜 및 암호를 설명합니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-FS-2018-06 표시됩니다. FS-2018-06

보안 정책 
                                            ELBSecurityPolicy-2016-08
                                        
                                            ELBSecurityPolicy-FS-1-2-Res-2020-10
                                        
                                            ELBSecurityPolicy-FS-1-2-Res-2019-08
                                        
                                            ELBSecurityPolicy-FS-1-2-2019-08
                                        
                                            ELBSecurityPolicy-FS-1-1-2019-08
                                        
                                            ELBSecurityPolicy-FS-2018-06
TLS 프로토콜
Protocol-TLSv1
Protocol-TLSv1.1
Protocol-TLSv1.2
TLS 암호
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CLI를 사용하여 FS 지원 정책을 사용하는 HTTPS 리스너를 만들려면

모든 FS 지원 보안 정책과 함께 create-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-FS-2018-06

aws elbv2 create-listener --name my-listener \ --protocol HTTPS --port 443 \ --ssl-policy ELBSecurityPolicy-FS-2018-06
CLI를 사용하여 FS 지원 정책을 사용하도록 HTTPS 리스너를 수정하려면

modify-listener 명령을 모든 FS 지원 보안 정책과 함께 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-FS-2018-06

aws elbv2 modify-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \ --ssl-policy ELBSecurityPolicy-FS-2018-06
CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn

aws elbv2 describe-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
CLI를 사용하여 FS 지원 보안 정책의 구성을 보려면

모든 FS 지원 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-FS-2018-06 보안 정책을 사용합니다.

aws elbv2 describe-ssl-policies \ --names ELBSecurityPolicy-FS-2018-06
TLS 1.0 - 1.2

다음 표에서는 사용 가능한 TLS 1.0-1.2 보안 정책에 지원되는 TLS 프로토콜 및 암호를 설명합니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS-1-2-Ext-2018-06 표시됩니다. TLS-1-2-Ext-2018-06

보안 정책 
                                            ELBSecurityPolicy-2016-08
                                        
                                            ELBSecurityPolicy-TLS-1-2-Ext-2018-06
                                        
                                            ELBSecurityPolicy-TLS-1-2-2017-01
                                        
                                            ELBSecurityPolicy-TSL-1-1-2017-01
                                        
                                            ELBSecurityPolicy-TLS-1-0-2015-04
TLS 프로토콜
Protocol-TLSv1
Protocol-TLSv1.1
Protocol-TLSv1.2
TLS 암호
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DES-CBC3-SHA

* 보안이 약한 DES-CBC3-SHA 암호를 필요로 하는 기존 클라이언트를 지원해야 하는 경우 외에는 한 이 정책을 사용하지 마세요.

CLI를 사용하여 TLS 1.0-1.2 정책을 사용하는 HTTPS 리스너를 만들려면

모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 create-listener 명령을 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08

aws elbv2 create-listener --name my-listener \ --protocol HTTPS --port 443 \ --ssl-policy ELBSecurityPolicy-2016-08
CLI를 사용하여 TLS 1.0-1.2 정책을 사용하도록 HTTPS 리스너를 수정하려면

modify-listener 명령을 모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08

aws elbv2 modify-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \ --ssl-policy ELBSecurityPolicy-2016-08
CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn

aws elbv2 describe-listener \ --listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
CLI를 사용하여 TLS 1.0-1.2 보안 정책의 컨피그레이션을 보려면

모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08

aws elbv2 describe-ssl-policies \ --names ELBSecurityPolicy-2016-08

HTTPS 리스너 추가

리스너에서 클라이언트에서 로드 밸런서로의 연결을 위한 프로토콜 및 포트 번호와 기본 리스너 규칙에 대한 대상 그룹을 구성합니다. 자세한 내용은 리스너 구성 단원을 참조하세요.

사전 조건
  • HTTPS 리스너를 생성하려면 인증서와 보안 정책을 지정해야 합니다. 로드 밸런서는 이 인증서를 사용해 연결을 종료하고 대상으로 전송하기 전에 클라이언트의 요청을 해독합니다. 로드 밸런서는 클라이언트와 SSL 연결을 협상할 때 보안 정책을 사용합니다.

  • 기본 리스너 규칙에 전달 작업을 추가하려면 사용 가능한 대상 그룹을 지정해야 합니다. 자세한 내용은 대상 그룹 생성 단원을 참조하세요.

  • 여러 리스너에서 동일한 대상 그룹을 지정할 수 있지만, 이러한 리스너는 동일한 로드 밸런서에 속해야 합니다. 대상 그룹을 로드 밸런서와 함께 사용하려면 대상 그룹이 다른 로드 밸런서용으로 리스너에서 사용되고 있지 않은지 확인해야 합니다.

New EC2 experience
콘솔을 사용하여 HTTPS 리스너를 추가하려면
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 리스너 및 규칙 탭에서 리스너 추가를 선택합니다.

  5. 프로토콜 : 포트에서 HTTPS를 선택하고 기본 포트를 유지하거나 다른 포트를 입력합니다.

  6. (선택 사항) 인증을 활성화하려면 인증에서 오픈ID 또는 Amazon Cognito를 선택하고 요청된 정보를 제공하십시오. 자세한 내용은 Application Load Balancer를 사용하여 사용자 인증 단원을 참조하세요.

  7. 기본 작업에서 다음 중 하나를 수행합니다.

    • 대상 그룹에 전달 – 트래픽을 전달할 대상 그룹을 하나 이상 선택합니다. 대상 그룹을 추가하려면 대상 그룹 추가를 선택합니다. 대상 그룹을 하나 이상 사용하는 경우, 각 대상 그룹의 가중치를 선택하고 관련 비율을 검토합니다. 하나 이상의 대상 그룹에서 고정성을 활성화한 경우 규칙에 그룹 수준 고정성을 활성화해야 합니다.

    • URL로 리디렉션 – 클라이언트 요청이 리디렉션될 URL을 지정합니다. URI 파트 탭에서 각 파트를 개별적으로 입력하거나 전체 URL 탭에서 전체 주소를 입력하여 이 작업을 수행합니다. 상태 코드의 경우 요구 사항에 따라 리디렉션을 임시(HTTP 302) 또는 영구(HTTP 301)로 구성할 수 있습니다.

    • 고정 응답 반환 – 삭제된 클라이언트 요청으로 반환되는 응답 코드를 지정하십시오. 또한, 콘텐츠 유형 및 응답 본문을 지정할 수 있지만 필수는 아닙니다.

  8. 보안 정책의 경우 항상 최신 사전 정의 보안 정책을 사용하는 것이 좋습니다.

  9. 기본 SSL/TLS 인증서에서 다음 옵션을 사용할 수 있습니다.

    • AWS Certificate Manager를 사용하여 인증서를 생성하거나 가져온 경우 ACM에서를 선택하고 인증서 선택에서 인증서를 선택합니다.

    • IAM을 사용하여 인증서를 가져온 경우 IAM에서를 선택하고 인증서 선택에서 인증서를 선택합니다.

    • 가져올 인증서가 있지만 리전에서 ACM을 이용할 수 없는 경우 가져오기를 선택하고 IAM으로를 선택합니다. 인증서 이름 필드에 인증서의 이름을 입력합니다. 인증서 프라이빗 키에서 프라이빗 키 파일(PEM 인코딩)의 콘텐츠를 복사해 붙여넣습니다. 인증서 본문에서 퍼블릭 키 인증서 파일(PEM 인코딩)의 콘텐츠를 복사해 붙여넣습니다. 자체 서명 인증서를 사용하고 있지 않고 브라우저가 인증서를 묵시적으로 수락하는 것이 중요하지 않다면 인증서 체인(Certificate Chain)에 인증서 체인 파일(PEM 인코딩)의 콘텐츠를 복사해 붙여넣습니다.

  10. (선택 사항) 상호 인증을 활성화하려면 클라이언트 인증서 처리에서 상호 인증 (MTL) 을 활성화합니다.

    활성화된 경우 기본 상호 TLS 모드는 패스스루입니다.

    신뢰 저장소를 통한 확인을 선택하는 경우:

    • 기본적으로 만료된 클라이언트 인증서를 사용한 연결은 거부됩니다. 이 동작을 변경하려면 고급 mTLS 설정을 확장한 다음 클라이언트 인증서 만료에서 만료된 클라이언트 인증서 허용을 선택합니다.

    • 신뢰 저장소에서 기존 신뢰 저장소를 선택하거나 신뢰 저장소를 선택합니다.

      • 새 신뢰 저장소를 선택한 경우 신뢰 저장소 이름, S3 URI 인증 기관 위치 및 선택적으로 S3 URI 인증서 취소 목록 위치를 제공하십시오.

  11. 저장을 선택합니다.

Old EC2 experience
콘솔을 사용하여 HTTPS 리스너를 추가하려면
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. Listeners(리스너) 탭에서 Add listener(리스너 추가)를 선택합니다.

  5. 프로토콜 : 포트에서 HTTPS를 선택하고 기본 포트를 유지하거나 다른 포트를 입력합니다.

  6. (선택 사항) 사용자를 인증하려면 Default actions(기본 작업)에서 Add action(작업 추가), Authenticate(인증)를 선택하고 요청된 정보를 제공합니다. 자세한 내용은 Application Load Balancer를 사용하여 사용자 인증 단원을 참조하세요.

  7. 기본 작업에서 다음 중 하나를 수행합니다.

    • 전달을 선택하고 대상 그룹을 선택합니다.

    • 리디렉션을 선택하고 URL과 상태 코드를 입력합니다. 자세한 설명은 리디렉션 작업 섹션을 참조하세요.

    • 고정 응답 반환을 선택하고 응답 코드, ID 제공업체(선택 사항) 및 응답 본문(선택 사항)을 입력합니다. 자세한 설명은 고정 응답 작업 섹션을 참조하세요.

  8. 보안 정책에서 기본 보안 정책을 유지하는 것이 좋습니다.

  9. 기본 SSL/TLS 인증서에 대해 다음 중 하나를 수행합니다.

    • AWS Certificate Manager을 사용하여 인증서를 생성하거나 가져온 경우 ACM에서 시작을 선택하고 인증서를 선택하세요.

    • IAM을 사용하여 인증서를 업로드한 경우 [IAM에서(From IAM)]을 선택하고 인증서를 선택합니다.

  10. 추가를 선택합니다.

  11. (선택 사항) 경로 패턴이나 호스트 이름을 기반으로 요청을 전달하는 추가 리스너 규칙을 정의하려면 규칙 추가 단원을 참조하세요.

  12. (선택 사항) SNI 프로토콜에 사용할 인증서 목록을 추가하려면 인증서 목록에 인증서 추가 섹션을 참조하세요.

AWS CLI를 사용하여 HTTPS 리스너를 추가하려면

리스너 및 기본 규칙을 생성하려면 create-listener 명령을, 추가 리스너 규칙을 정의하려면 create-rule 명령을 사용하세요.