翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC Lattice サービスの TLS リスナー
リスナーとは接続リクエストをチェックするプロセスです。VPC Lattice サービスを作成するときにリスナーを定義できます。リスナーはいつでもサービスに追加できます。
TLS リスナーを作成して、VPC Lattice が暗号化されたトラフィックを復号化せずにアプリケーションに渡すようにできます。
VPC Lattice で暗号化されたトラフィックを復号し、暗号化されていないトラフィックをアプリケーションに送信する場合は、代わりに HTTPS リスナーを作成します。詳細については、「HTTPS リスナー」を参照してください。
考慮事項
TLS リスナーには、次の考慮事項が適用されます。
-
VPC Lattice サービスにはカスタムドメイン名が必要です。サービスカスタムドメイン名は、サービス名表示 (SNI) の一致として使用されます。サービスの作成時に証明書を指定した場合、その証明書は使用されません。
-
TLS リスナーに許可される唯一のルールは、デフォルトのルールです。
-
TLS リスナーのデフォルトアクションは、TCP ターゲットグループへの転送アクションである必要があります。
-
デフォルトでは、TCP ターゲットグループのヘルスチェックは無効になっています。TCP ターゲットグループのヘルスチェックを有効にする場合は、プロトコルとプロトコルバージョンを指定する必要があります。
-
TLS リスナーは、クライアント-hello メッセージの SNI フィールドを使用してリクエストをルーティングします。一致する条件が client-hello と完全に一致する場合は、ターゲットでワイルドカード証明書と SAN 証明書を使用できます。
-
クライアントからターゲットへのすべてのトラフィックは暗号化されたままであるため、VPC Lattice は HTTP ヘッダーを読み取ることができず、HTTP ヘッダーを挿入または削除することもできません。したがって、TLS リスナーには以下の制限があります。
接続時間は 10 分に制限されています
認証ポリシーは匿名プリンシパルに制限されます
Lambda ターゲットはサポートされていません
-
Encrypted Client Hello (ECH) はサポートされていません。
-
Encrypted Server Name Indication (ESNI) はサポートされていません。
TLS リスナーを追加する
クライアントからサービスへの接続用のプロトコルとポート、デフォルトのリスナールールのターゲットグループでリスナーを設定します。詳細については、「リスナーの設定」を参照してください。
コンソールを使用して TLS リスナーを追加するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [VPC Lattice] で、[サービス] を選択します。
-
サービスの名前を選択して、その詳細ページを開きます。
-
[ルーティング] タブで [リスナーを追加] を選択します。
-
[リスナー名] には、カスタムのリスナー名を指定するか、リスナーのプロトコルとポートをリスナー名として使用できます。指定するカスタム名は最大 63 文字で、アカウント内のサービスごとに一意である必要があります。使用できる文字は a~z、0~9、- (ハイフン) です。最初または最後の文字をハイフンにしたり、別のハイフンの直後にハイフンを入れたりすることはできません。作成後にリスナー名を変更することはできません。
-
[プロトコル] で [TLS] を選択します。[Port] (ポート) には、ポート番号を入力します。
-
ターゲットグループに転送するには、TCP プロトコルを使用してトラフィックを受信する VPC Lattice ターゲットグループを選択し、このターゲットグループに割り当てる重みを選択します。オプションで、別のターゲットグループを追加できます。ターゲットグループを追加を選択し、ターゲットグループを選択してその重みを入力します。
-
(オプション) タグを追加するには、[リスナータグ] を展開し、[新しいタグを追加] を選択して、タグキーとタグ値を入力します。
-
設定を確認し、[追加] をクリックします。
を使用して TLS リスナーを追加するには AWS CLI
create-listener