翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Network Load Balancer のセキュリティポリシー
TLS リスナーを作成するときは、セキュリティポリシーを選択する必要があります。セキュリティポリシーによって、ロードバランサーとクライアント間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。要件が変化した場合や、新しいセキュリティポリシーがリリースされた場合は、ロードバランサーのセキュリティポリシーを更新できます。詳細については、「セキュリティポリシーの更新」を参照してください。
考慮事項
-
ELBSecurityPolicy-TLS13-1-2-2021-06ポリシーは、 AWS Management Consoleを使用して作成された TLS リスナーのデフォルトのセキュリティポリシーです。-
TLS 1.3 を含み、TLS 1.2 と下位互換性がある
ELBSecurityPolicy-TLS13-1-2-2021-06セキュリティポリシーが推奨されています。
-
-
ELBSecurityPolicy-2016-08ポリシーは、 AWS CLIを使用して作成された TLS リスナーのデフォルトのセキュリティポリシーです。 -
フロントエンド接続に使用するセキュリティポリシーは選択できますが、バックエンド接続に使用するセキュリティポリシーは選択できません。
-
バックエンド接続では、TLS リスナーが TLS 1.3 セキュリティポリシーを使用している場合、
ELBSecurityPolicy-TLS13-1-0-2021-06セキュリティポリシーが使用されます。それ以外の場合、バックエンド接続にはELBSecurityPolicy-2016-08セキュリティポリシーが使用されます。
-
-
Network Load Balancer に送信される TLS リクエストに関するアクセスログを有効にすると、TLS トラフィックパターンの分析、セキュリティポリシーのアップグレードの管理、問題のトラブルシューティングを行うことができます。ロードバランサーのアクセスログを有効にし、対応するアクセスログエントリを調べます。詳細については、「アクセスログ」および「Network Load Balancer のクエリ例」を参照してください。
-
IAM およびサービスコントロールポリシー (SCPs) でそれぞれ Elastic Load Balancing 条件キー AWS アカウント を使用することで、 および 全体の AWS Organizations ユーザーが利用できるセキュリティポリシーを制限できます。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。
describe-ssl-policies AWS CLI コマンドを使用してプロトコルと暗号を記述するか、以下の表を参照してください。
セキュリティポリシー
TLS セキュリティポリシー
TLS セキュリティポリシーを使用すると、TLS プロトコルの特定のバージョンを無効にしてコンプライアンスおよびセキュリティ標準を満たす、または廃止済みの暗号を必要とするレガシークライアントをサポートすることができます。
ポリシー別のプロトコル
以下は、各 TLS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
ポリシー別の暗号
以下は、各 TLS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-0-2021-06 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
暗号別のポリシー
以下は、各暗号をサポートしている TLS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – TLS_CHACHA20_POLY1305_SHA256 IANA – TLS_CHACHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS セキュリティポリシー
連邦情報処理規格(Federal Information Processing Standards/FIPS)は、機密情報を保護する暗号モジュールのセキュリティ要件を規定する米国政府とカナダ政府のセキュリティ基準です。詳細については、「AWS クラウドセキュリティコンプライアンス」ページの「連邦情報処理規格 (FIPS) 140
FIPS ポリシーはすべて AWS-LC FIPS で検証済みの暗号化モジュールを利用しています。詳細については、サイト「NIST Cryptographic Module Validation Program」の「AWS-LC Cryptographic Module
重要
ポリシー ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 と ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 はレガシー互換性のためにのみ提供されています。これらは FIPS140 モジュールを使って FIPS 暗号化を使用しますが、TLS 設定に関する最新の NIST ガイダンスに準拠していない場合があります。
ポリシー別のプロトコル
以下は、各 FIPS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
ポリシー別の暗号
以下は、各 FIPS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
|
暗号別のポリシー
以下は、各暗号をサポートしている FIPS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FS がサポートするセキュリティポリシー
FS (Forward Secrecy) がサポートするセキュリティポリシーは、一意のランダムセッションキーを使用して、暗号化されたデータの盗聴に対する追加の保護を提供します。これにより、シークレットの長期キーが侵害された場合でも、キャプチャされたデータのデコードを阻止できます。
ポリシー別のプロトコル
以下は、FS がサポートする各セキュリティポリシーがサポートしている、プロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
ポリシー別の暗号
以下は、FS がサポートする各セキュリティポリシーがサポートしている、暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
暗号別のポリシー
以下は、各暗号をサポートしている、FS がサポートするセキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
