為您的負載平衡器設定 TLS 安全性原則 - Amazon Lightsail
安全政策概觀支援的安全政策和通訊協定完成先決條件使用主控台設定安全性原則使用設定安全性原則 AWS CLI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的負載平衡器設定 TLS 安全性原則

在 Amazon Lightsail 負載平衡器上啟用 HTTPS 之後,您可以為加密的連線設定 TLS 安全政策。本指南提供您可在 Lightsail 負載平衡器上設定的安全性原則的相關資訊,以及更新負載平衡器安全性原則的程序。如需負載平衡器的詳細資訊,請參閱負載平衡器

安全政策概觀

Lightsail 負載平衡使用安全通訊端層 (SSL) 交涉組態 (稱為安全性原則) 來交涉用戶端與負載平衡器之間的 SSL 連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端與伺服器之間建立安全連線,並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。通訊協定使用多個加密來加密透過網際網路的資料。在連線交涉程序期間,用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。在預設情況下,將針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。Lightsail 負載平衡器不支援用戶端或目標連線的 SSL 重新交涉。

當您在 Lightsail 負載平衡器上啟用 HTTPS 時,依預設會設定TLS-2016-08安全性原則。您可以根據需求設定其他安全政策,如本指南下文所述。您可以選擇僅適用於前端連線的安全政策。TLS-2016-08 安全政策始終用於後端連接。Lightsail 負載平衡器不支援自訂安全性原則。

支援的安全政策和通訊協定

Lightsail 負載平衡器可以使用下列安全性原則和通訊協定進行設定:

支援的 TLS 安全政策

完成先決條件

請先完成事前準備 (若尚未完成):

使用主控台設定安全性原則

請完成下列程序,以使用 Lightsail 主控台設定安全性原則。

  1. 登入主 Li ghtsail 台

  2. 在 Lightsail 首頁,選擇 Networking (聯網) 索引標籤。

  3. 選擇您要設定 TLS 安全政策的負載平衡器名稱。

  4. 選擇 Inbound traffic (傳入流量) 索引標籤。

  5. 在頁面的 TLS security protocols (TLS 安全通訊協定) 區段底下,選擇 Change protocols (變更通訊協定)。

  6. Supported protocols (支援的通訊協定) 下拉式選單中選擇下列任一選項:

    • TLS 1.2 版 – 此選項最安全,但舊版瀏覽器可能無法連線。

    • TLS 1.0、1.1 和 1.2 版 – 此選項與瀏覽器的相容程度最高。

  7. 選擇 Save (儲存),將您選取的通訊協定套用至負載平衡器。

    您所做的變更需要一些時間才會生效。

使用設定安全性原則 AWS CLI

完成下列程序,使用 AWS Command Line Interface (AWS CLI) 設定安全政策。您可以使用 update-load-balancer-attribute 命令來執行此動作。若要取得更多資訊,請參閱《指AWS CLI 令參考》update-load-balancer-attribute中的。

注意

您必須先為 Lightsail 安裝 AWS CLI 並對其進行設定,然後才能繼續執行此程序。如需詳細資訊,請參閱設 AWS CLI 定使用 Lightsail

  1. 開啟命令提示或終端機視窗。

  2. 輸入下列命令,變更負載平衡器的 TLS 安全政策。

    aws lightsail update-load-balancer-attribute --load-balancer-name LoadBalancerName --attribute-name TlsPolicyName --attribute-value AttributeValue

    將命令中的以下範例文字更改為自訂文字:

    • LoadBalancerName具有您要變更其 TLS 安全性原則之負載平衡器的名稱。

    • AttributeValue使用TLS-2016-08TLS-FS-1-2-Res-2019-08安全策略。

      注意

      命令中的 TlsPolicyName 屬性代表您希望編輯 TLS 安全政策,在負載平衡器上完成設定。

    範例:

    aws lightsail update-load-balancer-attribute --load-balancer-name MyLoadBalancer --attribute-name TlsPolicyName --attribute-value TLS-2016-08

    您所做的變更需要一些時間才會生效。