Créez un HTTPS écouteur pour votre Application Load Balancer - Elastic Load Balancing
PrérequisAjouter un HTTPS écouteur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un HTTPS écouteur pour votre Application Load Balancer

Un écouteur vérifie les demandes de connexion. Vous définissez un écouteur lorsque vous créez votre équilibreur de charge et vous pouvez ajouter des écouteurs à votre équilibreur de charge à tout moment.

Pour créer un HTTPS écouteur, vous devez déployer au moins un certificat de SSL serveur sur votre équilibreur de charge. L'équilibreur de charge utilise un certificat de serveur pour mettre fin à la connexion front-end, puis déchiffrer les demandes des clients avant de les envoyer aux cibles. Vous devez également spécifier une politique de sécurité, qui est utilisée pour négocier des connexions sécurisées entre les clients et l'équilibreur de charge.

Si vous devez transmettre du trafic chiffré à des cibles sans que l'équilibreur de charge ne le déchiffre, vous pouvez créer un Network Load Balancer ou un Classic Load Balancer avec un écouteur sur le port 443. TCP Avec un TCP écouteur, l'équilibreur de charge transmet le trafic chiffré aux cibles sans le déchiffrer.

Les informations de cette page vous aident à créer un HTTPS écouteur pour votre équilibreur de charge. Pour ajouter un HTTP écouteur à votre équilibreur de charge, consultez. Créez un HTTP écouteur pour votre Application Load Balancer

Prérequis

  • Pour créer un HTTPS écouteur, vous devez spécifier un certificat et une politique de sécurité. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion et déchiffrer les demandes des clients avant de les acheminer vers les cibles. L'équilibreur de charge utilise la politique de sécurité lors de la négociation SSL des connexions avec les clients.

    Les équilibreurs de charge d'application ne prennent pas en charge ED25519 les clés.

  • Pour ajouter une action de transmission à la règle d'écouteur par défaut, vous devez spécifier un groupe cible disponible. Pour de plus amples informations, veuillez consulter Créez un groupe cible pour votre Application Load Balancer.

  • Vous pouvez spécifier le même groupe cible dans plusieurs écouteurs, mais ces écouteurs doivent appartenir au même équilibreur de charge. Pour utiliser un groupe cible avec un équilibreur de charge, vous devez vérifier qu'il n'est pas utilisé par un écouteur pour un autre équilibreur de charge.

Ajouter un HTTPS écouteur

Vous configurez un écouteur avec un protocole et un port pour les connexions des clients vers l'équilibreur de charge, et un groupe cible pour la règle d'écouteur par défaut. Pour de plus amples informations, veuillez consulter Configuration des écouteurs.

Pour ajouter un HTTPS écouteur à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Sélectionnez l'équilibreur de charge.

  4. Dans l'onglet Écouteurs et règles, choisissez Ajouter un écouteur.

  5. Pour Protocole : Port, choisissez HTTPSet conservez le port par défaut ou entrez un autre port.

  6. (Facultatif) Pour activer l'authentification, sous Authentification, sélectionnez Utiliser OpenID ou Amazon Cognito et fournissez les informations demandées. Pour de plus amples informations, veuillez consulter Authentification des utilisateurs à l'aide d'un Application Load Balancer.

  7. Pour Default actions (Actions par défaut), effectuez l'une des opérations suivantes :

    • Transférer aux groupes cibles : choisissez un ou plusieurs groupes cibles vers lesquels transférer le trafic. Pour ajouter des groupes cibles, choisissez Ajouter un groupe cible. Si vous utilisez plusieurs groupes cibles, sélectionnez un poids pour chaque groupe cible et passez en revue le pourcentage associé. Vous devez activer le caractère collant au niveau du groupe sur une règle, si vous l'avez activé sur un ou plusieurs groupes cibles.

    • Rediriger vers URL — Spécifiez le vers URL lequel les demandes des clients seront redirigées. Cela peut être fait en saisissant chaque partie séparément dans l'onglet URIPièces ou en saisissant l'adresse complète dans l'URLonglet Complet. Pour le code d'état, vous pouvez configurer des redirections temporaires (HTTP302) ou permanentes (HTTP301) en fonction de vos besoins.

    • Renvoyer une réponse fixe – Spécifiez le Code de réponse qui sera renvoyé aux demandes client abandonnées. En outre, vous pouvez spécifier le Type de contenu et le Corps de la réponse, mais ils ne sont pas obligatoires.

  8. Pour Stratégie de sécurité, nous vous recommandons de toujours utiliser la dernière stratégie de sécurité prédéfinie.

  9. Pour le TLScertificat DefaultSSL/, les options suivantes sont disponibles :

    • Si vous avez créé ou importé un certificat à l'aide de AWS Certificate Manager ACM, sélectionnez À partir, puis sélectionnez le certificat dans Sélectionnez un certificat.

    • Si vous avez importé un certificat à l'aide de IAMIAM, sélectionnez À partir, puis sélectionnez votre certificat dans Sélectionnez un certificat.

    • Si vous avez un certificat à importer mais ACM qu'il n'est pas disponible dans votre région, sélectionnez Importer, puis sélectionnez Vers IAM. Tapez le nom du certificat dans le champ Certificate name. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée (PEMcodé). Dans le corps du certificat, copiez et collez le contenu du fichier de certificat de clé publique (PEMcodé). Dans la chaîne de certificats, copiez et collez le contenu du fichier de chaîne de certificats (PEMcodé), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

  10. (Facultatif) Pour activer l'authentification mutuelle, sous Gestion des certificats clients, activez Authentification mutuelle (mTLS).

    Lorsque cette option est activée, le TLS mode mutuel par défaut est le mode passthrough.

    Si vous sélectionnez Vérifier avec Trust Store :

    • Par défaut, les connexions dont les certificats clients ont expiré sont rejetées. Pour modifier ce comportement, développez TLSles paramètres m avancés, puis sous Expiration des certificats clients, sélectionnez Autoriser les certificats clients expirés.

    • Sous Trust Store, choisissez un trust store existant ou choisissez New trust store.

      • Si vous avez choisi Nouveau magasin de confiance, indiquez un nom de magasin de confiance, l'emplacement de l'autorité de URI certification S3 et éventuellement un emplacement de la liste de révocation des URI certificats S3.

  11. Choisissez Save (Enregistrer).

Pour ajouter un HTTPS écouteur à l'aide du AWS CLI

Utilisez la commande create-listener pour créer l'écouteur et la règle par défaut, et la commande create-rule pour définir des règles d'écouteur supplémentaires.