Lightsail ロードバランサーTLSのセキュリティポリシーを設定する - Amazon Lightsail
セキュリティポリシーの概要サポートされているセキュリティポリシーとプロトコル前提条件を満たすLightsail コンソールを使用してセキュリティポリシーを設定するを使用してセキュリティポリシーを設定する AWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lightsail ロードバランサーTLSのセキュリティポリシーを設定する

Amazon Lightsail ロードバランサーHTTPSで を有効にすると、暗号化された接続TLSのセキュリティポリシーを設定できます。このガイドでは、Lightsail ロードバランサーで設定できるセキュリティポリシーと、ロードバランサーのセキュリティポリシーを更新する手順について説明します。ロードバランサーの詳細については、「ロードバランサー」を参照してください。 

セキュリティポリシーの概要

Lightsail ロードバランシングは、セキュリティポリシーと呼ばれる Secure Socket Layer (SSL) ネゴシエーション設定を使用して、クライアントとロードバランサー間のSSL接続をネゴシエートします。セキュリティポリシーはプロトコルと暗号の組み合わせです。プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。プロトコルは、複数の暗号を使用し、インターネットを介してデータを暗号化します。接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、サーバーのリストで最初にクライアントの暗号と一致した暗号が安全な接続用に選択されます。Lightsail ロードバランサーは、クライアントまたはターゲット接続SSLの再ネゴシエーションをサポートしていません。

TLS-2016-08 セキュリティポリシーは、Lightsail ロードバランサーHTTPSで を有効にするとデフォルトで設定されます。このガイドで後述するように、必要に応じて別のセキュリティポリシーを設定できます。フロントエンド接続のみに使用するセキュリティポリシーを選択できます。バックエンド接続には、常に TLS-2016-08 セキュリティポリシーが使用されます。Lightsail ロードバランサーは、カスタムセキュリティポリシーをサポートしていません。

サポートされているセキュリティポリシーとプロトコル

Lightsail ロードバランサーは、次のセキュリティポリシーとプロトコルで設定できます。

サポートされているTLSセキュリティポリシー

前提条件を満たす

以下の前提条件を完了します (まだの場合)。

Lightsail コンソールを使用してセキュリティポリシーを設定する

Lightsail コンソールを使用してセキュリティポリシーを設定するには、次の手順を実行します。

  1. Lightsail コンソールにサインインします。

  2. 左側のナビゲーションペインで、[ネットワーク] を選択します。

  3. TLS セキュリティポリシーを設定するロードバランサーの名前を選択します。

  4. [インバウンドトラフィック] タブを選択します。

  5. ページのTLSセキュリティプロトコルセクションでプロトコルの変更を選択します。

  6. [Supported protocols] (サポートされているプロトコル) ドロップダウンメニューで、次のいずれかのオプションを選択します。

    • TLS バージョン 1.2 — このオプションは最も安全ですが、古いブラウザは接続できない可能性があります。

    • TLS バージョン 1.0、1.1、および 1.2 — このオプションは、ブラウザと最も互換性があります。

  7. [Save] (保存) を選択して、選択したプロトコルをロードバランサーに適用します。

    変更が有効になるまで、少し時間がかかります。

を使用してセキュリティポリシーを設定する AWS CLI

AWS Command Line Interface (AWS CLI)を使用してセキュリティポリシーを設定するには、次の手順を実行します。これは、update-load-balancer-attribute コマンドを使用して行います。詳細については、AWS CLI 「 コマンドリファレンスupdate-load-balancer-attribute」の「」を参照してください。

注記

この手順を続行する前に、 をインストール AWS CLI し、Lightsail 用に設定する必要があります。詳細については、「Lightsail で動作する AWS CLI ように を設定する」を参照してください。

  1. ターミナルまたはコマンドプロントウィンドウを開きます。

  2. 次のコマンドを入力して、ロードバランサーTLSのセキュリティポリシーを変更します。

    aws lightsail update-load-balancer-attribute --load-balancer-name LoadBalancerName --attribute-name TlsPolicyName --attribute-value AttributeValue

    コマンドで、次のサンプルテキストを独自のテキストに置き換えます。

    • LoadBalancerName は、TLSセキュリティポリシーを変更するロードバランサーの名前に置き換えます。

    • AttributeValue TLS-2016-08または TLS-FS-1-2-Res-2019-08 セキュリティポリシーを使用する。

      注記

      コマンドの TlsPolicyName 属性は、ロードバランサーに設定されているTLSセキュリティポリシーを編集するように指定します。

    例:

    aws lightsail update-load-balancer-attribute --load-balancer-name MyLoadBalancer --attribute-name TlsPolicyName --attribute-value TLS-2016-08

    変更が有効になるまで、少し時間がかかります。