Network Load Balancer를 위한 TLS 리스너

TLS 리스너를 사용하려면 로드 밸런서에 한 개 이상의 서버 인증서를 반드시 배포해야 합니다. 로드 밸런서는 서버 인증서를 사용해 프런트 엔드 연결을 종료한 다음, 대상으로 전송하기 전에 클라이언트의 요청을 해독합니다. 암호화된 트래픽을 로드 밸런서의 해독 없이 대상으로 전달해야 하는 경우, TLS 리스너를 생성하는 대신 포트 443에서 수신하는 TCP 리스너를 생성합니다. 로드 밸런서는 요청을 해독하지 않고 있는 그대로 대상으로 전달합니다.

Elastic Load Balancing은 보안 정책(security policy)이라고 하는 TLS 협상 구성을 사용해 클라이언트와 로드 밸런서 간에 TLS 연결을 협상합니다. 보안 정책은 프로토콜과 암호의 조합입니다. 프로토콜은 클라이언트와 서버 간에 보안 연결을 설정하여 클라이언트와 로드 밸런서 간에 전달되는 모든 데이터를 안전하게 보호합니다. 암호는 코딩된 메시지를 생성하기 위해 암호화 키를 사용하는 암호화 알고리즘입니다. 프로토콜은 여러 개의 암호를 사용해 인터넷 상의 데이터를 암호화합니다. 연결 협상이 이루어지는 동안 클라이언트와 로드 밸런서는 각각이 지원하는 암호 및 프로토콜 목록을 선호도 순으로 표시합니다. 서버의 목록에서 클라이언트의 암호 중 하나와 일치하는 첫 번째 암호가 보안 연결을 위해 선택됩니다.

Network Load Balancer는 TLS 재협상 또는 mTLS(상호 TLS 인증)를 지원하지 않습니다. mTLS를 지원하려면 TLS 리스너 대신 TCP 리스너를 생성합니다. 로드 밸런서는 요청을 있는 그대로 전달하므로 대상에서 mTLS를 구현할 수 있습니다.

TLS 리스너를 생성하려면 리스너 추가 섹션을 참조하세요. 관련 데모는 Network Load Balancer에 대한 TLS 지원 및 Network Load Balancer에 대한 SNI 지원을 참조하세요.

서버 인증서

로드 밸런서에는 X.509 인증서(서버 인증서)가 필요합니다. 인증서는 인증 기관(CA)에서 발행한 디지털 형태의 ID 증명서입니다. 인증서에는 식별 정보, 유효 기간, 퍼블릭 키, 일련번호, 발행자의 디지털 서명이 들어 있습니다.

로드 밸런서와 함께 사용할 인증서를 생성할 때 도메인 이름을 지정해야 합니다. 인증서의 도메인 이름은 사용자 지정 도메인 이름 레코드와 일치해야 TLS 연결을 확인할 수 있습니다. 두 값이 일치하지 않는 경우 트래픽이 암호화되지 않습니다.

인증서에 www.example.com과 같은 정규화된 도메인 이름(FQDN) 또는 example.com과 같은 apex 도메인 이름을 지정해야 합니다. 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.com은 corp.example.com 및 images.example.com은 보호하지만 test.login.example.com을 보호할 수는 없습니다. 또한 *.example.com은 example.com의 하위 도메인만 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 와일드카드 이름은 주체 필드와 인증서의 주체 대체 이름 확장에 표시됩니다. 퍼블릭 인증서 요청에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서의 퍼블릭 인증서 요청을 참조하세요.

AWS Certificate Manager (ACM)를 사용해 로드 밸런서를 위한 인증서를 생성하는 것이 좋습니다. ACM은 Elastic Load Balancing과 통합하여 로드 밸런서에 인증서를 배포합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하세요.

또는 TLS 도구를 사용하여 인증서 서명 요청 (CSR) 을 생성한 다음 CA의 CSR 서명을 받아 인증서를 생성한 다음 인증서를 ACM으로 가져오거나 (IAM) 에 인증서를 업로드할 수 있습니다. AWS Identity and Access Management 자세한 내용은 AWS Certificate Manager 사용 설명서의 인증서 가져오기 또는 IAM 사용 설명서의 서버 인증서 작업 단원을 참조하세요.

지원되는 키 알고리즘

RSA 1024비트
RSA 2048비트
RSA 3072비트
ECDSA 256비트
ECDA 384비트
ECDSA 521비트

기본 인증서

TLS 리스너를 생성할 때 인증서 하나를 꼭 지정해야 합니다. 이 인증서를 기본 인증서라고 합니다. TLS 리스너를 생성한 후 기본 인증서를 교체할 수 있습니다. 자세한 내용은 기본 인증서 교체 단원을 참조하십시오.

인증서 목록에서 추가 인증서를 지정하면 클라이언트가 SNI(서버 이름 표시) 프로토콜을 사용하지 않고 호스트 이름을 지정하여 연결하거나 인증서 목록에 일치하는 인증서가 없는 경우에만 기본 인증서가 사용됩니다.

추가 인증서를 지정하지 않지만 단일 로드 밸런서를 통해 보안 애플리케이션을 여러 개 호스팅해야 하는 경우, 와일드카드 인증서를 사용하거나 인증서에 각 추가 도메인의 주체 대체 이름(SAN)을 추가할 수 있습니다.

인증서 목록

TLS 리스너를 생성한 후 리스너에는 기본 인증서와 빈 인증서 목록이 있습니다. 필요에 따라 리스너의 인증서 목록에 인증서를 추가할 수 있습니다. 인증서 목록을 사용하면 로드 밸런서가 동일한 포트의 여러 도메인을 지원하고 각 도메인에 대해 다른 인증서를 제공할 수 있습니다. 자세한 내용은 인증서 목록에 인증서 추가 단원을 참조하세요.

로드 밸런서는 SNI를 지원하는 스마트 인증서 선택 알고리즘을 사용합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 단일 인증서와 일치하면 로드 밸런서는 이 인증서를 선택합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 여러 인증서와 일치하면 로드 밸런서는 클라이언트가 지원할 수 있는 최선의 인증서를 선택합니다. 인증서 선택은 다음 조건에 따라 다음 순서대로 이루어집니다.

해싱 알고리즘(MD5보다 SHA 선호)
키 길이(가장 큰 길이 선호)
유효 기간

로드 밸런서 액세스 로그 항목은 클라이언트가 지정한 호스트 이름과 클라이언트에 제공된 인증서를 나타냅니다. 자세한 내용은 액세스 로그 항목 단원을 참조하세요.

인증서 갱신

각 인증서에는 유효 기간이 있습니다. 유효 기간이 끝나기 전에 로드 밸런서의 각 인증서를 갱신 또는 교체해야 합니다. 여기에는 기본 인증서와 인증서 목록의 인증서가 포함됩니다. 인증서를 갱신 또는 교체해도 로드 밸런서 노드에 수신되어 상태가 양호한 대상으로 라우팅이 보류 중인 진행 중 요청에는 영향을 주지 않습니다. 인증서를 갱신하면 새 요청에서 갱신된 인증서를 사용합니다. 인증서를 교체하면 새 요청에서 새 인증서를 사용합니다.

인증서 갱신 및 교체를 다음과 같이 관리할 수 있습니다.

로드 밸런서에서 AWS Certificate Manager 제공하고 배포한 인증서는 자동으로 갱신할 수 있습니다. ACM은 인증서가 만료되기 전에 갱신을 시도합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.
ACM에 인증서를 가져온 경우에는 인증서의 만료일을 반드시 모니터링해서 만료되기 전에 인증서를 갱신해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 인증서 가져오기를 참조하세요.
IAM으로 인증서를 가져온 경우, 새 인증서를 만들어 ACM이나 IAM으로 가져온 후 로드 밸런서에 새 인증서를 추가하고, 만료된 인증서를 로드 밸런서에서 제거해야 합니다.

보안 정책

TLS 리스너를 생성할 때 보안 정책을 선택해야 합니다. 필요에 따라 보안 정책을 업데이트할 수 있습니다. 자세한 정보는 보안 정책 업데이트을 참조하세요.

고려 사항:

정책은 를 사용하여 만든 TLS 수신기의 기본 보안 ELBSecurityPolicy-TLS13-1-2-2021-06 정책입니다. AWS Management Console
- TLS 1.3을 포함하고 TLS 1.2와 이전 버전과 호환되는 ELBSecurityPolicy-TLS13-1-2-2021-06 보안 정책을 사용하는 것이 좋습니다.
정책은 를 사용하여 만든 TLS 수신기의 기본 보안 ELBSecurityPolicy-2016-08 정책입니다. AWS CLI
프런트엔드 연결에는 사용할 보안 정책을 선택할 수 있지만 백엔드 연결에는 사용할 수 없습니다.
- 백엔드 연결의 경우 TLS 리스너가 TLS 1.3 보안 정책을 사용하는 경우, ELBSecurityPolicy-TLS13-1-0-2021-06 보안 정책이 사용됩니다. 그렇지 않으면, ELBSecurityPolicy-2016-08 보안 정책은 백엔드 연결에 사용됩니다.
특정 TLS 프로토콜 버전을 사용하지 않도록 설정해야 하는 규정 준수 및 보안 표준을 충족하거나 더 이상 사용되지 않는 암호가 필요한 레거시 클라이언트를 지원하려면 보안 정책 중 하나를 사용할 수 있습니다. ELBSecurityPolicy-TLS- Network Load Balancer로 전송된 TLS 요청에 대한 정보에 대한 액세스 로그를 활성화하고, TLS 트래픽 패턴을 분석하고, 보안 정책 업그레이드를 관리하고, 문제를 해결할 수 있습니다. 로드 밸런서에 대한 액세스 로깅을 활성화하고 해당 액세스 로그 항목을 검사하십시오. 자세한 내용은 액세스 로그 및 Network Load Balancer 예시 쿼리를 참조하세요.
IAM AWS 계정 및 AWS Organizations 서비스 제어 정책 (SCP) 에서 각각 Elastic Load Balancing 조건 키를 사용하여 전 세계 사용자가 사용할 수 있는 보안 정책을 제한할 수 있습니다. 자세한 내용은 사용 설명서의 서비스 제어 정책 (SCP) 을 참조하십시오.AWS Organizations

TLS 1.3 보안 정책

Elastic Load Balancing은 네트워크 로드 밸런서에 대해 다음과 같은 TLS 1.3 보안 정책을 제공합니다.

ELBSecurityPolicy-TLS13-1-2-2021-06(권장)
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
ELBSecurityPolicy-TLS13-1-1-2021-06
ELBSecurityPolicy-TLS13-1-0-2021-06
ELBSecurityPolicy-TLS13-1-3-2021-06

FIPS 보안 정책

연방 정보 처리 표준 (FIPS) 은 민감한 정보를 보호하는 암호화 모듈의 보안 요구 사항을 지정하는 미국 및 캐나다 정부 표준입니다. 자세한 내용은 AWS 클라우드 보안 규정 준수 페이지에서 연방 정보 처리 표준 (FIPS) 140을 참조하십시오.

모든 FIPS 정책은 AWS-LC FIPS 검증을 거친 암호화 모듈을 활용합니다. 자세한 내용은 NIST 암호화 모듈 검증 프로그램 사이트의 AWS-LC 암호화 모듈 페이지를 참조하십시오.

Elastic Load Balancing은 네트워크 로드 밸런서에 대해 다음과 같은 FIPS 보안 정책을 제공합니다.

ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(권장)
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

FS 지원 정책

Elastic Load Balancing은 네트워크 로드 밸런서에 대해 다음과 같은 FS (순방향 보안) 지원 보안 정책을 제공합니다.

ELBSecurityPolicy-FS-1-2-Res-2020-10
ELBSecurityPolicy-FS-1-2-Res-2019-08
ELBSecurityPolicy-FS-1-2-2019-08
ELBSecurityPolicy-FS-1-1-2019-08
ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2 보안 정책

Elastic Load Balancing은 네트워크 로드 밸런서에 대해 다음과 같은 TLS 1.0 - 1.2 보안 정책을 제공합니다.

ELBSecurityPolicy-TLS-1-2-Ext-2018-06
ELBSecurityPolicy-TLS-1-2-2017-01
ELBSecurityPolicy-TLS-1-1-2017-01
ELBSecurityPolicy-2016-08
ELBSecurityPolicy-TLS-1-0-2015-04
ELBSecurityPolicy-2015-05(와 동일) ELBSecurityPolicy-2016-08

TLS 프로토콜 및 암호

TLS 1.3

다음 표에는 사용 가능한 TLS 1.3 보안 정책에 지원되는 TLS 프로토콜 및 암호가 설명되어 있습니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS13-1-2-2021-06 표시됩니다. TLS13-1-2-2021-06

보안 정책
TLS 프로토콜
Protocol-TLSv1							✓
Protocol-TLSv1.1						✓	✓
Protocol-TLSv1.2	✓		✓	✓	✓	✓	✓
프로토콜-TLSv1.3	✓	✓	✓	✓	✓	✓	✓
TLS 암호
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓
TLS_CHACHA20_POLY1305_SHA256	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓			✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓		✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓			✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓
AES128-GCM-SHA256				✓	✓	✓	✓
AES128-SHA256				✓	✓	✓	✓
AES128-SHA				✓		✓	✓
AES256-GCM-SHA384				✓	✓	✓	✓
AES256-SHA256				✓	✓	✓	✓
AES256-SHA				✓		✓	✓

CLI를 사용하여 TLS 1.3 정책을 사용하는 TLS 리스너를 만들려면

리스너 생성 명령을 모든 TLS 1.3 보안 정책과 함께 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-2021-06


aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

CLI를 사용하여 TLS 1.3 정책을 사용하도록 TLS 리스너를 수정하려면

모든 TLS 1.3 보안 정책과 함께 modify-listener 명령을 사용하십시오.

이 예제에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-2021-06


aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06

CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn


aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

CLI를 사용하여 TLS 1.3 보안 정책의 컨피그레이션을 보려면

모든 TLS 1.3 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-TLS13-1-2-2021-06 보안 정책을 사용합니다.


aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-2021-06

FIPS

중요

정책은 ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 레거시 호환성을 위해서만 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 제공됩니다. FIPS140 모듈을 사용하여 FIPS 암호화를 사용하지만 TLS 구성에 대한 최신 NIST 지침을 준수하지 않을 수 있습니다.

다음 표에는 사용 가능한 FIPS 보안 정책에 지원되는 TLS 프로토콜 및 암호가 설명되어 있습니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 표시됩니다. TLS13-1-2-FIPS-2023-04

보안 정책
TLS 프로토콜
Protocol-TLSv1								✓
Protocol-TLSv1.1							✓	✓
Protocol-TLSv1.2		✓	✓	✓	✓	✓	✓	✓
프로토콜-TLSv1.3	✓	✓	✓	✓	✓	✓	✓	✓
TLS 암호
TLS_AES_128_GCM_SHA256	✓	✓	✓	✓	✓	✓	✓	✓
TLS_AES_256_GCM_SHA384	✓	✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256			✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA				✓		✓	✓	✓
ECDHE-RSA-AES128-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384		✓	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384			✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA				✓		✓	✓	✓
ECDHE-ECDSA-AES256-SHA				✓		✓	✓	✓
AES128-GCM-SHA256					✓	✓	✓	✓
AES128-SHA256					✓	✓	✓	✓
AES128-SHA						✓	✓	✓
AES256-GCM-SHA384					✓	✓	✓	✓
AES256-SHA256					✓	✓	✓	✓
AES256-SHA						✓	✓	✓

CLI를 사용하여 FIPS 정책을 사용하는 TLS 리스너를 만들려면

모든 FIPS 보안 정책과 함께 create-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04


aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

CLI를 사용하여 FIPS 정책을 사용하도록 TLS 리스너를 수정하려면

모든 FIPS 보안 정책과 함께 modify-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04


aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn


aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

CLI를 사용하여 FIPS 보안 정책의 컨피그레이션을 보려면

모든 FIPS describe-ssl-policies보안 정책과 함께 명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 보안 정책을 사용합니다.


aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04

FS

다음 표에서는 사용 가능한 FS 지원 보안 정책에 지원되는 TLS 프로토콜 및 암호를 설명합니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-FS-2018-06 표시됩니다. FS-2018-06

보안 정책
TLS 프로토콜
Protocol-TLSv1	✓					✓
Protocol-TLSv1.1	✓				✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓	✓
TLS 암호
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓		✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓			✓	✓	✓
ECDHE-RSA-AES128-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓		✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓			✓	✓	✓
ECDHE-ECDSA-AES256-SHA	✓			✓	✓	✓
AES128-GCM-SHA256	✓
AES128-SHA256	✓
AES128-SHA	✓
AES256-GCM-SHA384	✓
AES256-SHA256	✓
AES256-SHA	✓

CLI를 사용하여 FS 지원 정책을 사용하는 TLS 리스너를 만들려면

모든 FS 지원 보안 정책과 함께 create-listener 명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-FS-2018-06


aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-FS-2018-06

CLI를 사용하여 FS 지원 정책을 사용하도록 TLS 리스너를 수정하려면

modify-listener 명령을 모든 FS 지원 보안 정책과 함께 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-FS-2018-06


aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-FS-2018-06

CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn


aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

CLI를 사용하여 FS 지원 보안 정책의 구성을 보려면

모든 FS 지원 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 ELBSecurityPolicy-FS-2018-06 보안 정책을 사용합니다.


aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-FS-2018-06

TLS 1.0 - 1.2

다음 표에서는 사용 가능한 TLS 1.0-1.2 보안 정책에 지원되는 TLS 프로토콜 및 암호를 설명합니다.

참고: 보안 정책 행의 정책 이름에서 ELBSecurityPolicy- 접두사가 제거되었습니다.

예: 보안 정책은 로 ELBSecurityPolicy-TLS-1-2-Ext-2018-06 표시됩니다. TLS-1-2-Ext-2018-06

보안 정책
TLS 프로토콜
Protocol-TLSv1	✓				✓
Protocol-TLSv1.1	✓			✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓
TLS 암호
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓	✓		✓	✓
ECDHE-RSA-AES128-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓	✓		✓	✓
ECDHE-ECDSA-AES256-SHA	✓	✓		✓	✓
AES128-GCM-SHA256	✓	✓	✓	✓	✓
AES128-SHA256	✓	✓	✓	✓	✓
AES128-SHA	✓	✓		✓	✓
AES256-GCM-SHA384	✓	✓	✓	✓	✓
AES256-SHA256	✓	✓	✓	✓	✓
AES256-SHA	✓	✓		✓	✓
DES-CBC3-SHA					✓

* 보안이 약한 DES-CBC3-SHA 암호를 필요로 하는 기존 클라이언트를 지원해야 하는 경우 외에는 한 이 정책을 사용하지 마세요.

CLI를 사용하여 TLS 1.0-1.2 정책을 사용하는 TLS 리스너를 만들려면

리스너 생성 명령을 모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08


aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-2016-08

CLI를 사용하여 TLS 1.0-1.2 정책을 사용하도록 TLS 리스너를 수정하려면

modify-listener 명령을 모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08


aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-2016-08

CLI를 사용하여 리스너가 사용하는 보안 정책을 보려면

리스너의 설명-리스너 명령을 함께 사용하십시오. arn


aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0

CLI를 사용하여 TLS 1.0-1.2 보안 정책의 컨피그레이션을 보려면

모든 TLS 1.0-1.2가 지원되는 보안 정책과 함께 describe-ssl-policies명령을 사용하십시오.

이 예에서는 보안 정책을 사용합니다. ELBSecurityPolicy-2016-08


aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-2016-08

ALPN 정책

ALPN(Application-Layer Protocol Negotiation)은 최초 TLS 핸드셰이크 hello 메시지를 통해 전송되는 TLS 확장입니다. ALPN을 사용하면 애플리케이션 계층이 HTTP/1 및 HTTP/2 같은 보안 연결을 통해 사용해야 하는 프로토콜을 협상할 수 있습니다.

클라이언트가 ALPN 연결을 시작하면 로드 밸런서는 클라이언트 ALPN 기본 설정 목록을 해당 ALPN 정책과 비교합니다. 클라이언트가 ALPN 정책의 프로토콜을 지원하는 경우 로드 밸런서는 ALPN 정책의 기본 설정 목록을 기반으로 연결을 설정합니다. 그렇지 않을 경우 로드 밸런서는 ALPN을 사용하지 않습니다.

지원되는 ALPN 정책

지원되는 ALPN 정책은 다음과 같습니다.

HTTP1Only: HTTP/1.*만 협상합니다. ALPN 기본 설정 목록은 http/1.1, http/1.0입니다.
HTTP2Only: HTTP/2만 협상합니다. ALPN 기본 설정 목록은 h2입니다.
HTTP2Optional: HTTP/2보다 HTTP/1.*를 선호합니다(HTTP/2 테스트에 유용할 수 있음). ALPN 기본 설정 목록은 http/1.1, http/1.0, h2입니다.
HTTP2Preferred: HTTP/1.*보다 HTTP/2를 선호합니다. ALPN 기본 설정 목록은 h2, http/1.1, http/1.0입니다.
None: ALPN을 협상하지 않습니다. 이 값이 기본값입니다.

ALPN 연결 활성화

TLS 리스너를 생성하거나 수정할 때 ALPN 연결을 활성화할 수 있습니다. 자세한 내용은 리스너 추가 및 ALPN 정책 업데이트 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

리스너 생성

리스너 업데이트