Amazon Lightsail ロードバランサーで TLS セキュリティポリシーを設定する - Amazon Lightsail
セキュリティポリシーの概要サポートされているセキュリティポリシーとプロトコル前提条件を満たすLightsail コンソールを使用してセキュリティポリシーを設定するAWS CLI を使用したセキュリティポリシーを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Lightsail ロードバランサーで TLS セキュリティポリシーを設定する

Amazon Lightsail ロードバランサーで HTTPS を有効にした後、暗号化された接続の TLS セキュリティポリシーを設定できます。このガイドでは、Lightsail ロードバランサーで設定できるセキュリティポリシー、およびロードバランサーのセキュリティポリシーを更新する手順について説明します。ロードバランサーの詳細については、「ロードバランサー」を参照してください。 

目次

セキュリティポリシーの概要

Lightsail ロードバランシングは、Secure Sockets Layer (SSL) ネゴシエーション設定 (セキュリティポリシーと呼ばれます) を使用して、クライアントとロードバランサー間の SSL 接続をネゴシエートします。セキュリティポリシーはプロトコルと暗号の組み合わせです。プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。プロトコルは、複数の暗号を使用し、インターネットを介してデータを暗号化します。接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、サーバーのリストで最初にクライアントの暗号と一致した暗号が安全な接続用に選択されます。Lightsail ロードバランサーではクライアント、またはターゲット接続の SSL 再ネゴシエーションはサポートされていません。

Lightsail ロードバランサーで HTTPS を有効にすると、TLS-2016-08 セキュリティポリシーがデフォルトで設定されます。このガイドで後述するように、必要に応じて別のセキュリティポリシーを設定できます。フロントエンド接続のみに使用するセキュリティポリシーを選択できます。バックエンド接続には、常に TLS-2016-08 セキュリティポリシーが使用されます。Lightsail ロードバランサーは、カスタムセキュリティポリシーをサポートしていません。

サポートされているセキュリティポリシーとプロトコル

Lightsail ロードバランサーは、次のセキュリティポリシーおよびプロトコルを使用して設定できます。

サポートされている TLS セキュリティポリシー

前提条件を満たす

以下の前提条件を完了します (まだの場合)。

Lightsail コンソールを使用してセキュリティポリシーを設定する

Lightsail コンソールを使用してセキュリティポリシーを設定するには、次の手順を実行します。

  1. Lightsail コンソールにサインインします。

  2. Lightsail のホームページで、[ネットワーキング] タブを選択します。

  3. TLS セキュリティポリシーを設定するロードバランサーの名前を選択します。

  4. [インバウンドトラフィック] タブを選択します。

  5. ページの [TLS security protocols] (TLS セキュリティプロトコル) セクションで [Change protocols] (プロトコルを変更) を選択します。

  6. [Supported protocols] (サポートされているプロトコル) ドロップダウンメニューで、次のいずれかのオプションを選択します。

    • [TLS バージョン 1.2] — このオプションは最も安全ですが、古いブラウザは接続できない可能性があります。

    • [TLS バージョン 1.0、1.1、および 1.2] — このオプションは、ブラウザとの互換性が最も高くなります。

  7. [Save] (保存) を選択して、選択したプロトコルをロードバランサーに適用します。

    変更が有効になるまで、少し時間がかかります。

AWS CLI を使用したセキュリティポリシーを設定する

AWS Command Line Interface (AWS CLI)を使用してセキュリティポリシーを設定するには、次の手順を実行します。これは、update-load-balancer-attribute コマンドを使用して行います。詳細については、「AWS CLI コマンドリファレンス」の「update-load-balancer-attribute」を参照してください。

注記

この手順を続行する前に、AWS CLI をインストールして Lightsail 用に設定する必要があります。  詳細については、「 Lightsail で使用するために AWS CLI を設定する」を参照してください。

  1. ターミナルまたはコマンドプロントウィンドウを開きます。

  2. 次のコマンドを入力して、ロードバランサーの TLS セキュリティポリシーを変更します。

    aws lightsail update-load-balancer-attribute --load-balancer-name LoadBalancerName --attribute-name TlsPolicyName --attribute-value AttributeValue

    コマンドで、次のサンプルテキストを独自のテキストに置き換えます。

    • [LoadBalancerName] を、TLS セキュリティポリシーを変更するロードバランサーの名前に置き換えます。

    • [AttributeValue] を、TLS-2016-08 または TLS-FS-1-2-Res-2019-08 セキュリティポリシーに置き換えます。

      注記

      コマンドの TlsPolicyName 属性は、ロードバランサーで設定されている TLS セキュリティポリシーを編集することを指定します。

    例:

    aws lightsail update-load-balancer-attribute --load-balancer-name MyLoadBalancer --attribute-name TlsPolicyName --attribute-value TLS-2016-08

    変更が有効になるまで、少し時間がかかります。