Configuration de la HTTPS terminaison au niveau de l'équilibreur de charge - AWS Elastic Beanstalk
Configuration d'un écouteur sécurisé à l'aide de la console Elastic BeanstalkConfiguration d'un écouteur sécurisé avec un fichier de configurationConfiguration d'un groupe de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la HTTPS terminaison au niveau de l'équilibreur de charge

Pour mettre à jour votre AWS Elastic Beanstalk environnement à utiliserHTTPS, vous devez configurer un HTTPS écouteur pour l'équilibreur de charge de votre environnement. Deux types d'équilibreurs de charge prennent en charge un HTTPS écouteur : Classic Load Balancer et Application Load Balancer.

Vous pouvez utiliser la console Elastic Beanstalk ou un fichier de configuration pour configurer un écouteur sécurisé et attribuer le certificat.

Note

Les environnements à instance unique ne disposent pas d'un équilibreur de charge et ne prennent pas en charge la HTTPS terminaison au niveau de l'équilibreur de charge.

Configuration d'un écouteur sécurisé à l'aide de la console Elastic Beanstalk

Pour attribuer un certificat à l'équilibreur de charge de votre environnement

  1. Ouvrez la console Elastic Beanstalk, puis dans la liste des régions, sélectionnez votre. Région AWS

  2. Dans le panneau de navigation, choisissez Environments (Environnements), puis choisissez le nom de votre environnement dans la liste.

    Note

    Si vous avez plusieurs environnements, utilisez la barre de recherche pour filtrer la liste des environnements.

  3. Dans le panneau de navigation, choisissez Configuration.

  4. Dans la catégorie de configuration Load balancer (Équilibreur de charge), choisissez Edit (Modifier).

    Note

    Si la catégorie de configuration Load balancer (Équilibreur de charge) ne dispose pas du bouton Edit (Modifier), cela signifie que votre environnement ne dispose pas d'un équilibreur de charge.

  5. Sur la page Modifier l'équilibreur de charge, la procédure varie selon le type d'équilibreur de charge associé à votre environnement.

    • Equilibreur de charge classique

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogue Classic Load Balancer listener (Écouteur Classic Load Balancer), configurez les paramètres suivants :

        • Pour Port d'écoute, tapez le port du trafic entrant, généralement 443.

        • Pour le protocole Listener, choisissez HTTPS.

        • Pour Port de l'instance, tapez 80.

        • Dans le champ Protocole d'instance, sélectionnez HTTP.

        • Pour SSLcertificat, choisissez votre certificat.

      3. Choisissez Ajouter.

    • Application Load Balancer

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogue Application Load Balancer listener (Écouteur de l'équilibreur Application Load Balancer), configurez les paramètres suivants :

        • Pour Port, tapez le port du trafic entrant, généralement 443.

        • Pour Protocol (Protocole), choisissez HTTPS.

        • Pour SSLcertificat, choisissez votre certificat.

      3. Choisissez Ajouter.

      Note

      Pour Classic Load Balancer et Application Load Balancer, si le menu déroulant n'affiche aucun certificat, vous devez créer ou télécharger un certificat pour votre nom de domaine personnaliséAWS Certificate Manager dans ACM () (préféré). Vous pouvez également télécharger un certificat à l'IAMaide du AWS CLI.

    • Network Load Balancer

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogueNetwork Load Balancer listener (Écouteur de l'équilibreur Network Load Balancer) pour Port, tapez le port de trafic entrant, généralement 443.

      3. Choisissez Ajouter.

  6. Pour enregistrer les modifications, cliquez sur Appliquer en bas de la page.

Configuration d'un écouteur sécurisé avec un fichier de configuration

Vous pouvez configurer un écouteur sécurisé sur votre équilibreur de charge avec un des fichiers de configuration suivants.

Exemple .ebextensions/securelistener-clb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Classic Load Balancer. L'exemple utilise des options de l'aws:elb:listenerespace de noms pour configurer un HTTPS écouteur sur le port 443 avec le certificat spécifié et pour transférer le trafic déchiffré aux instances de votre environnement sur le port 80.

option_settings:
  aws:elb:listener:443:
    SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
    ListenerProtocol: HTTPS
    InstancePort: 80

Remplacez le texte surligné par le texte ARN de votre certificat. Le certificat peut être un certificat que vous avez créé ou chargé dans AWS Certificate Manager (ACM) (préféré), ou un certificat que vous avez téléchargé IAM avec le AWS CLI.

Pour de plus amples informations concernant les options de configuration d'un équilibreur Classic Load Balancer, veuillez consulter Espaces de noms pour la configuration d'un Classic Load Balancer.

Exemple .ebextensions/securelistener-alb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Application Load Balancer. L'exemple utilise des options de l'espace de aws:elbv2:listener noms pour configurer un HTTPS écouteur sur le port 443 avec le certificat spécifié. L'écouteur achemine le trafic vers le processus par défaut.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'
    Protocol: HTTPS
    SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
Exemple .ebextensions/securelistener-nlb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Network Load Balancer. L'exemple utilise les options dans l'espace de noms aws:elbv2:listener pour configurer un écouteur sur le port 443. L'écouteur achemine le trafic vers le processus par défaut.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'

Configuration d'un groupe de sécurité

Si vous configurez votre équilibreur de charge pour transférer le trafic vers un port de l'instance autre que le port 80, vous devez ajouter une règle à votre groupe de sécurité autorisant le trafic entrant via le port de l'instance à partir de votre équilibreur de charge. Si vous créez votre environnement dans un environnement personnaliséVPC, Elastic Beanstalk ajoute cette règle pour vous.

Pour ajouter cette règle, ajoutez une clé Resources à un fichier de configuration dans le répertoire .ebextensions correspondant à votre application.

L'exemple de fichier de configuration suivante ajoute une règle de trafic entrant au groupe de sécurité AWSEBSecurityGroup. Cela permet le trafic sur le port 1000 à partir du groupe de sécurité de l'équilibreur de charge.

Exemple .ebextensions/sg-ingressfromlb.config
Resources:
  sslSecurityGroupIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 1000
      FromPort: 1000
      SourceSecurityGroupId: {"Fn::GetAtt" : ["AWSEBLoadBalancerSecurityGroup", "GroupId"]}