Écouteurs HTTPS pour les services VPC Lattice - Amazon VPC Lattice
Politique de sécuritéPolitique ALPNAjout d'un écouteur HTTPS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Écouteurs HTTPS pour les services VPC Lattice

Un écouteur est un processus qui vérifie les demandes de connexion. Vous définissez un écouteur lorsque vous créez votre service. Vous pouvez ajouter des écouteurs à votre service dans VPC Lattice à tout moment.

Vous pouvez créer un écouteur HTTPS, qui utilise TLS version 1.2 pour mettre fin directement aux connexions HTTPS avec VPC Lattice. VPC Lattice fournira et gérera un certificat TLS associé au nom de domaine complet (FQDN) généré par VPC Lattice. VPC Lattice prend en charge le protocole TLS sur HTTP/1.1 et HTTP/2. Lorsque vous configurez un service avec un écouteur HTTPS, VPC Lattice détermine automatiquement le protocole HTTP via la négociation du protocole ALPN (Application-Layer Protocol Negotiation). Si ALPN est absent, VPC Lattice utilise par défaut HTTP/1.1.

VPC Lattice utilise une architecture multi-tenant, ce qui signifie qu'il peut héberger plusieurs services sur le même point de terminaison. VPC Lattice utilise le protocole TLS avec indication du nom du serveur (SNI) pour chaque demande du client.

VPC Lattice peut écouter les protocoles HTTP, HTTPS, HTTP/1.1 et HTTP/2 et communiquer avec des cibles dans n'importe lequel de ces protocoles et versions. Il n'est pas nécessaire que ces configurations d'écouteur et de groupe cible correspondent. VPC Lattice gère l'ensemble du processus de mise à niveau et de rétrogradation entre les protocoles et les versions. Pour plus d’informations, consultez Version du protocole.

Pour vous assurer que votre application déchiffre le trafic, créez plutôt un écouteur TLS. Avec le relais TLS, VPC Lattice ne met pas fin au TLS. Pour plus d’informations, consultez Écouteurs TLS.

Politique de sécurité

VPC Lattice utilise une politique de sécurité qui combine le protocole TLSv1.2 et une liste de chiffrements SSL/TLS. Le protocole établit une connexion sécurisée entre un client et un serveur et permet de garantir que toutes les données transmises entre le client et votre service dans VPC Lattice sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données. Au cours du processus de négociation de connexion, le client et VPC Lattice présentent une liste de chiffrements et de protocoles qu'ils prennent chacun en charge, par ordre de préférence. Par défaut, le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.

VPC Lattice utilise le protocole TLSv1.2 et les chiffrements SSL/TLS suivants dans cet ordre de préférence :

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

Politique ALPN

La négociation du protocole ALPN (Application-Layer Protocol Negotiation) est une extension TLS envoyée lors des premiers messages d'accueil TLS. ALPN permet à la couche d'application de négocier les protocoles à utiliser sur une connexion sécurisée, telle que HTTP/1 et HTTP/2.

Lorsque le client initie une connexion ALPN, le service VPC Lattice compare la liste de préférences ALPN du client avec sa politique ALPN. Si le client prend en charge un protocole issu de la politique ALPN, le service VPC Lattice établit la connexion en fonction de la liste de préférences de la politique ALPN. Dans le cas contraire, le service n'utilise pas ALPN.

VPC Lattice prend en charge la politique ALPN suivante :

HTTP2Preferred

Préférez HTTP/2 à HTTP/1.1. La liste des préférences ALPN est h2, http/1.1.

Ajout d'un écouteur HTTPS

Vous configurez un écouteur avec un protocole et un port pour les connexions des clients au service, et un groupe cible pour la règle d'écouteur par défaut. Pour plus d’informations, consultez Configuration des écouteurs.

Prérequis

  • Pour ajouter une action directe à la règle d'écoute par défaut, vous devez spécifier un groupe cible VPC Lattice disponible. Pour plus d’informations, consultez Création d'un groupe cible VPC Lattice.

  • Vous pouvez spécifier le même groupe cible dans plusieurs écouteurs, mais ces écouteurs doivent appartenir au même service VPC Lattice. Pour utiliser un groupe cible avec un service VPC Lattice, vous devez vérifier qu'il n'est pas utilisé par un écouteur pour un autre service VPC Lattice.

  • Vous pouvez utiliser le certificat fourni par VPC Lattice ou importer votre propre certificat dans. AWS Certificate Manager Pour plus d’informations, consultez Bring Your Own Certificate (BYOC) pour VPC Lattice.

Ajouter un écouteur HTTPS à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPC Lattice, sélectionnez Services.

  3. Sélectionnez le nom du service pour ouvrir sa page de détails.

  4. Dans l'onglet Routage, choisissez Ajouter un écouteur.

  5. Pour le nom de l'écouteur, vous pouvez soit fournir un nom d'écouteur personnalisé, soit utiliser le protocole et le port de votre écouteur comme nom d'écouteur. Le nom personnalisé que vous spécifiez peut comporter jusqu'à 63 caractères et doit être unique pour chaque service de votre compte. Les caractères valides sont a-z, 0-9 et les tirets (-). Vous ne pouvez pas utiliser de tiret comme premier ou dernier caractère, ni immédiatement après un autre tiret. Vous ne pouvez pas modifier le nom d'un écouteur après l'avoir créé.

  6. Pour Protocole : port, choisissez HTTPS et entrez un numéro de port.

  7. Pour l'action par défaut, choisissez le groupe cible du réseau VPC pour recevoir le trafic et choisissez le poids à attribuer à ce groupe cible. Le poids que vous attribuez à un groupe cible définit sa priorité pour recevoir du trafic. Par exemple, si deux groupes cibles ont le même poids, chaque groupe cible reçoit la moitié du trafic. Si vous n'avez spécifié qu'un seul groupe cible, 100 % du trafic est envoyé à ce groupe cible.

    Vous pouvez éventuellement ajouter un autre groupe cible pour l'action par défaut. Choisissez Ajouter une action, puis choisissez un groupe cible et spécifiez son poids.

  8. (Facultatif) Pour ajouter une autre règle, choisissez Ajouter une règle, puis entrez un nom, une priorité, une condition et une action pour la règle.

    Vous pouvez attribuer à chaque règle un numéro de priorité compris entre 1 et 100. Un écouteur ne peut pas avoir plusieurs règles ayant la même priorité. Les règles sont évaluées par ordre de priorité, de la valeur la plus basse à la valeur la plus haute. La règle par défaut est évaluée en dernier. Pour plus d’informations, consultez Règles d'un écouteur.

  9. (Facultatif) Pour ajouter des balises, développez les balises Listener, choisissez Ajouter une nouvelle balise, puis entrez une clé de balise et une valeur de balise.

  10. Pour les paramètres du certificat d'écouteur HTTPS, si vous n'avez pas spécifié de nom de domaine personnalisé lors de la création du service, VPC Lattice génère automatiquement un certificat TLS pour sécuriser le trafic passant par l'écouteur.

    Si vous avez créé le service avec un nom de domaine personnalisé, mais que vous n'avez pas spécifié de certificat correspondant, vous pouvez le faire maintenant en choisissant le certificat dans Certificat SSL/TLS personnalisé. Dans le cas contraire, le certificat que vous avez spécifié lors de la création du service est déjà choisi.

  11. Vérifiez votre configuration, puis choisissez Ajouter.

Pour ajouter un écouteur HTTPS à l'aide du AWS CLI

Utilisez la commande create-listener pour créer un écouteur avec une règle par défaut, et la commande create-rule pour créer des règles d'écouteur supplémentaires.