TLSauditeurs pour les services VPC Lattice - Amazon VPC Lattice
ConsidérationsAjouter un TLS écouteur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

TLSauditeurs pour les services VPC Lattice

Un écouteur est un processus qui vérifie les demandes de connexion. Vous pouvez définir un écouteur lorsque vous créez votre service VPC Lattice. Vous pouvez ajouter des auditeurs à votre service à tout moment.

Vous pouvez créer un TLS écouteur afin que VPC Lattice transmette le trafic chiffré à vos applications sans le déchiffrer.

Si vous préférez que VPC Lattice déchiffre le trafic chiffré et envoie le trafic non chiffré à vos applications, créez plutôt un écouteur. HTTPS Pour de plus amples informations, veuillez consulter HTTPSauditeurs.

Considérations

Les considérations suivantes s'appliquent aux TLS auditeurs :

  • Le service VPC Lattice doit avoir un nom de domaine personnalisé. Le nom de domaine personnalisé du service est utilisé comme correspondance entre l'indication du nom de service (SNI). Si vous avez spécifié un certificat lors de la création du service, celui-ci n'est pas utilisé.

  • La seule règle autorisée pour un TLS écouteur est la règle par défaut.

  • L'action par défaut d'un TLS écouteur doit être une action de transfert vers un groupe TCP cible.

  • Par défaut, les bilans de santé sont désactivés pour les groupes TCP cibles. Si vous activez les contrôles de santé pour un groupe TCP cible, vous devez spécifier un protocole et une version du protocole.

  • TLSles écouteurs acheminent les demandes en utilisant le SNI champ du message client-hello. Vous pouvez utiliser des caractères génériques et SAN des certificats sur vos cibles si la condition correspondante correspond exactement au client-hello.

  • Comme tout le trafic reste crypté du client vers la cible, VPC Lattice ne peut pas lire HTTP les en-têtes et ne peut ni insérer ni supprimer HTTP d'en-têtes. Par conséquent, avec un TLS écouteur, les limites suivantes existent :

    • La durée de connexion est limitée à 10 minutes

    • Les politiques d'authentification sont limitées aux principaux anonymes

    • Les cibles Lambda ne sont pas prises en charge

Ajouter un TLS écouteur

Vous configurez un écouteur avec un protocole et un port pour les connexions des clients au service, et un groupe cible pour la règle d'écouteur par défaut. Pour de plus amples informations, veuillez consulter Configuration des écouteurs.

Pour ajouter un TLS écouteur à l'aide de la console

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPCLattice, sélectionnez Services.

  3. Sélectionnez le nom du service pour ouvrir sa page de détails.

  4. Dans l'onglet Routage, choisissez Ajouter un écouteur.

  5. Pour le nom de l'écouteur, vous pouvez soit fournir un nom d'écouteur personnalisé, soit utiliser le protocole et le port de votre écouteur comme nom d'écouteur. Le nom personnalisé que vous spécifiez peut comporter jusqu'à 63 caractères et doit être unique pour chaque service de votre compte. Les caractères valides sont a-z, 0-9 et les tirets (-). Vous ne pouvez pas utiliser de tiret comme premier ou dernier caractère, ni immédiatement après un autre tiret. Vous ne pouvez pas modifier le nom d'un écouteur après l'avoir créé.

  6. Pour Protocol (Protocole), choisissez TLS. Pour Port, entrez un numéro de port.

  7. Pour Forward to target group, choisissez un groupe cible VPC Lattice qui utilise le TCP protocole pour recevoir le trafic, puis choisissez le poids à attribuer à ce groupe cible. Vous pouvez éventuellement ajouter un autre groupe cible. Choisissez Ajouter un groupe cible, puis choisissez un groupe cible et entrez son poids.

  8. (Facultatif) Pour ajouter des balises, développez les balises Listener, choisissez Ajouter une nouvelle balise, puis entrez une clé de balise et une valeur de balise.

  9. Vérifiez votre configuration, puis choisissez Ajouter.

Pour ajouter un TLS écouteur à l'aide du AWS CLI

Utilisez la commande create-listener pour créer un écouteur avec une règle par défaut. Spécifiez le PASSTHROUGH protocole TLS _.