Listener HTTPS per servizi VPC Lattice - Amazon VPC Lattice
Policy di sicurezzaPolitica ALPNAggiunta di un ascoltatore HTTPS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Listener HTTPS per servizi VPC Lattice

Si definisce listener il processo che verifica la presenza di richieste di connessione. Definisci un listener quando crei il tuo servizio. Puoi aggiungere ascoltatori al tuo servizio in VPC Lattice in qualsiasi momento.

È possibile creare un listener HTTPS, che utilizza la versione TLS 1.2 per terminare direttamente le connessioni HTTPS con VPC Lattice. VPC Lattice fornirà e gestirà un certificato TLS associato al nome di dominio completo (FQDN) generato da VPC Lattice. VPC Lattice supporta TLS su HTTP/1.1 e HTTP/2. Quando si configura un servizio con un listener HTTPS, VPC Lattice determinerà automaticamente il protocollo HTTP tramite Application-Layer Protocol Negotiation (ALPN). Se ALPN è assente, il valore predefinito di VPC Lattice è HTTP/1.1.

VPC Lattice utilizza un'architettura multi-tenancy, il che significa che può ospitare più servizi sullo stesso endpoint. VPC Lattice utilizza TLS con Server Name Indication (SNI) per ogni richiesta del client.

VPC Lattice può ascoltare su HTTP, HTTPS, HTTP/1.1 e HTTP/2 e comunicare con i target in uno qualsiasi di questi protocolli e versioni. Non è necessario che queste configurazioni del listener e del gruppo target corrispondano. VPC Lattice gestisce l'intero processo di aggiornamento e downgrade tra protocolli e versioni. Per ulteriori informazioni, consulta Versione del protocollo.

Per garantire che la tua applicazione decrittografi il traffico, crea invece un listener TLS. Con il passthrough TLS, VPC Lattice non termina TLS. Per ulteriori informazioni, consulta Ascoltatori TLS.

Policy di sicurezza

VPC Lattice utilizza una politica di sicurezza che è una combinazione del protocollo TLSv1.2 e un elenco di cifrari SSL/TLS. Il protocollo stabilisce una connessione sicura tra un client e un server e aiuta a garantire che tutti i dati trasmessi tra il client e il servizio in VPC Lattice siano privati. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli utilizzano diversi codici per crittografare i dati. Durante il processo di negoziazione della connessione, il client e VPC Lattice presentano un elenco di cifrari e protocolli supportati ciascuno, in ordine di preferenza. Per impostazione predefinita, la prima crittografia nell'elenco del server che corrisponde a una qualsiasi delle crittografie del client viene selezionata per la connessione sicura.

VPC Lattice utilizza il protocollo TLSv1.2 e i seguenti cifrari SSL/TLS in questo ordine di preferenza:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

Politica ALPN

Application-Layer Protocol Negotiation (ALPN) è un'estensione TLS che viene inviata nei messaggi di saluto iniziali dell'handshake TLS. ALPN consente al livello dell'applicazione di negoziare quali protocolli devono essere utilizzati su una connessione sicura, ad esempio HTTP/1 e HTTP/2.

Quando il client avvia una connessione ALPN, il servizio VPC Lattice confronta l'elenco delle preferenze ALPN del client con la sua politica ALPN. Se il client supporta un protocollo dalla politica ALPN, il servizio VPC Lattice stabilisce la connessione in base all'elenco delle preferenze della politica ALPN. Altrimenti, il servizio non utilizza ALPN.

VPC Lattice supporta la seguente politica ALPN:

HTTP2Preferred

Preferisci HTTP/2 a HTTP/1.1. L'elenco delle preferenze ALPN è h2, http/1.1.

Aggiunta di un ascoltatore HTTPS

Si configura un listener con un protocollo e una porta per le connessioni dai client al servizio e un gruppo target per la regola listener predefinita. Per ulteriori informazioni, consulta Configurazione dei listener.

Prerequisiti

  • Per aggiungere un'azione di inoltro alla regola listener predefinita, è necessario specificare un gruppo target VPC Lattice disponibile. Per ulteriori informazioni, consulta Crea un gruppo target VPC Lattice.

  • È possibile specificare lo stesso gruppo target in più listener, ma questi listener devono appartenere allo stesso servizio VPC Lattice. Per utilizzare un gruppo target con un servizio VPC Lattice, è necessario verificare che non venga utilizzato da un listener per nessun altro servizio VPC Lattice.

  • Puoi utilizzare il certificato fornito da VPC Lattice o importare il tuo certificato in. AWS Certificate Manager Per ulteriori informazioni, consulta Porta il tuo certificato (BYOC) per VPC Lattice.

Aggiunta di un listener HTTPS mediante la console

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in VPC Lattice, scegli Servizi.

  3. Seleziona il nome del servizio per aprirne la pagina dei dettagli.

  4. Nella scheda Routing, scegli Aggiungi listener.

  5. Per il nome del listener, puoi fornire un nome di listener personalizzato o utilizzare il protocollo e la porta del listener come nome del listener. Un nome personalizzato che specifichi può contenere fino a 63 caratteri e deve essere univoco per ogni servizio del tuo account. I caratteri validi sono a-z, 0-9 e trattini (-). Non è possibile utilizzare un trattino come primo o ultimo carattere o immediatamente dopo un altro trattino. Non è possibile modificare il nome di un ascoltatore dopo averlo creato.

  6. Per Protocollo: porta, scegliete HTTPS e immettete un numero di porta.

  7. Per Azione predefinita, scegli il gruppo target VPC Lattice per ricevere il traffico e scegli il peso da assegnare a questo gruppo target. Il peso che assegni a un gruppo target ne imposta la priorità rispetto alla ricezione del traffico. Ad esempio, se due gruppi target hanno lo stesso peso, ogni gruppo target riceve metà del traffico. Se hai specificato un solo gruppo target, il 100% del traffico viene inviato a quell'unico gruppo target.

    Facoltativamente, puoi aggiungere un altro gruppo target per l'azione predefinita. Scegli Aggiungi azione, quindi scegli un gruppo target e specificane il peso.

  8. (Facoltativo) Per aggiungere un'altra regola, scegli Aggiungi regola, quindi inserisci un nome, una priorità, una condizione e un'azione per la regola.

    Puoi assegnare a ciascuna regola un numero di priorità compreso tra 1 e 100. Un listener non può avere più regole con la stessa priorità. Le regole vengono valutate in base all'ordine di priorità, dal valore più basso a quello più alto. La regola predefinita è valutata per ultima. Per ulteriori informazioni, consulta Regole dei listener.

  9. (Facoltativo) Per aggiungere tag, espandi i tag Listener, scegli Aggiungi nuovo tag e inserisci una chiave e un valore per il tag.

  10. Per le impostazioni del certificato del listener HTTPS, se non hai specificato un nome di dominio personalizzato al momento della creazione del servizio, VPC Lattice genera automaticamente un certificato TLS per proteggere il traffico che scorre attraverso il listener.

    Se hai creato il servizio con un nome di dominio personalizzato, ma non hai specificato un certificato corrispondente, puoi farlo ora scegliendo il certificato tra Certificato SSL/TLS personalizzato. Altrimenti, il certificato specificato al momento della creazione del servizio è già stato scelto.

  11. Controlla la configurazione, quindi scegli Aggiungi.

Per aggiungere un listener HTTPS utilizzando AWS CLI

Utilizzate il comando create-listener per creare un listener con una regola predefinita e il comando create-rule per creare regole di listener aggiuntive.