すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:TLS セキュリティポリシー

最終更新日:Apr 21, 2026

クラシックロードバランサー (CLB) インスタンスの HTTPS リスナーを設定する際、TLS セキュリティポリシーによって、クライアントとの接続ネゴシエーションでサポートされる TLS プロトコルバージョンと暗号スイートが決定されます。CLB は、事前定義された一連の TLS セキュリティポリシーを提供します。

仕組み

CLB インスタンスの TLS セキュリティポリシーは、TLS ネゴシエーションでサポートする TLS プロトコルバージョンと暗号スイートを定義します。TLS ハンドシェイク中、クライアントはサポートするプロトコルバージョンと暗号スイートのリストを `Client Hello` メッセージで送信します。ポリシーに基づき、CLB インスタンスはクライアントのリストから相互にサポートされるプロトコルバージョンと暗号スイートの組み合わせを選択し、`Server Hello` 応答に含めます。キー交換やセッションキーの生成などの後続のステップは、この選択に基づいて実行されます。

TLS セキュリティポリシー

情報セキュリティ基準によっては、CLB インスタンスの TLS セキュリティポリシーに特定の要件が規定されている場合があります。 以下の表を展開して、各ポリシーでサポートされている TLS プロトコルバージョンと暗号スイートを確認し、要件を満たすものを選択してください。 CLB は カスタム TLS セキュリティポリシーをサポートしていません。 カスタムポリシーが必要な場合は、Application Load Balancer (ALB) または Network Load Balancer (NLB) を使用してください。

特別な互換性要件のない公開アプリケーションの場合は、tls_cipher_policy_1_2 ポリシーまたはそれ以上のレベルのポリシーを使用することを推奨します。

ポリシー詳細

ポリシー名

tls_cipher_policy_1_0

tls_cipher_policy_1_1

tls_cipher_policy_1_2

tls_cipher_policy_1_2_strict

tls_cipher_policy_1_2_strict_with_1_3

TLS プロトコルバージョン

v1.0

サポート

非サポート

非サポート

非サポート

非サポート

v1.1

サポート

サポート

非サポート

非サポート

非サポート

v1.2

サポート

サポート

サポート

サポート

サポート

v1.3

非サポート

非サポート

非サポート

非サポート

サポート

暗号スイート

ECDHE-RSA-AES128-GCM-SHA256

サポート

サポート

サポート

サポート

サポート

ECDHE-RSA-AES256-GCM-SHA384

サポート

サポート

サポート

サポート

サポート

ECDHE-RSA-AES128-SHA256

サポート

サポート

サポート

サポート

サポート

ECDHE-RSA-AES256-SHA384

サポート

サポート

サポート

サポート

サポート

AES128-GCM-SHA256

サポート

サポート

サポート

非サポート

非サポート

AES256-GCM-SHA384

サポート

サポート

サポート

非サポート

非サポート

AES128-SHA256

サポート

サポート

サポート

非サポート

非サポート

AES256-SHA256

サポート

サポート

サポート

非サポート

非サポート

ECDHE-RSA-AES128-SHA

サポート

サポート

サポート

サポート

サポート

ECDHE-RSA-AES256-SHA

サポート

サポート

サポート

サポート

サポート

AES128-SHA

サポート

サポート

サポート

非サポート

非サポート

AES256-SHA

サポート

サポート

サポート

非サポート

非サポート

DES-CBC3-SHA

サポート

サポート

サポート

非サポート

非サポート

TLS_AES_256_GCM_SHA384

非サポート

非サポート

非サポート

非サポート

サポート

TLS_CHACHA20_POLY1305_SHA256

非サポート

非サポート

非サポート

非サポート

サポート

TLS_AES_128_CCM_SHA256

非サポート

非サポート

非サポート

非サポート

サポート

TLS_AES_128_CCM_8_SHA256

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES128-GCM-SHA256

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES256-GCM-SHA384

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES128-SHA256

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES256-SHA384

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES128-SHA

非サポート

非サポート

非サポート

非サポート

サポート

ECDHE-ECDSA-AES256-SHA

非サポート

非サポート

非サポート

非サポート

サポート

TLS セキュリティポリシーの設定

コンソール

HTTPS リスナーを追加する際、SSL 証明書 タブで 高度な設定 の横にある 編集 をクリックします。展開されたセクションで、TLS セキュリティポリシー を選択します。

TLS セキュリティポリシーを変更するには:インスタンス詳細ページの リスナー タブに移動します。対象の HTTPS リスナーの名前をクリックして、[リスナー詳細] ダイアログボックスを開きます。SSL 証明書 セクションで、TLS セキュリティポリシー を変更します。

API

CreateLoadBalancerHTTPSListener 操作を呼び出して HTTPS リスナーを作成するか、SetLoadBalancerHTTPSListenerAttribute 操作を呼び出して HTTPS リスナーの構成を変更する際に、TLSCipherPolicy パラメーターを使用して TLS セキュリティポリシーを指定します。

課金

TLS セキュリティポリシーは無料です。CLB インスタンスの購入と使用には料金が発生します

よくある質問

CLB はカスタム TLS セキュリティポリシーをサポートしていますか?

いいえ。CLB は事前定義された TLS セキュリティポリシーのみをサポートしています。

カスタム TLS セキュリティポリシーが必要な場合は、次のプロダクトを推奨します:

ベストプラクティス

  • TLS プロトコルバージョン: ご利用のアプリケーションに特別な互換性要件がない場合は、セキュリティを強化するために TLS 1.2 と TLS 1.3 を使用することを推奨します。

  • ロールバック: TLS セキュリティポリシーを変更した後に問題が発生した場合は、リスナーの構成を変更することで、すぐに変更をロールバックできます。このような変更は、オフピーク時に実行することを推奨します。

  • キー交換アルゴリズム: ご利用のアプリケーションに特別な互換性要件がない場合は、本番環境で次の RSA キー交換アルゴリズムスイートを避けることを推奨します:AES128-GCM-SHA256AES256-GCM-SHA384AES128-SHA256AES256-SHA256AES128-SHAAES256-SHA、および DES-CBC3-SHA。これらのスイートは完全前方秘匿性 (PFS) をサポートしておらず、サイドチャネル攻撃に対して脆弱です。ECDHE または DHE キー交換を含むスイートを優先してください。

TLS 暗号スイート名のマッピング

次の表は、OpenSSL 形式、IANA 標準形式、およびそれらの 16 進数表現の間で TLS 暗号スイート名をマッピングします。

マッピング詳細