Classic Load Balancer (CLB) の HTTPS リスナーを設定する際、TLS セキュリティポリシーは、CLB インスタンスとクライアント間の TLS ネゴシエーション中にサポートされる TLS バージョンと暗号スイートを決定します。CLB は、選択可能なプリセット TLS セキュリティポリシーを提供します。
仕組み
TLS セキュリティポリシーは、CLB インスタンス上で設定され、TLS ネゴシエーションでサポートされる TLS バージョンと暗号スイートを定義します。TLS ハンドシェイク中、クライアントはサポートされているプロトコルバージョンと暗号スイートのリストを ClientHello メッセージで送信します。CLB インスタンスは、ポリシーに基づいてリストからサポートされているプロトコルバージョンと暗号スイートの組み合わせを選択し、応答として ServerHello メッセージを送信します。キー交換やセッションキーの生成などの後続のステップは、選択された組み合わせに基づいて実行されます。
TLS セキュリティポリシー
情報セキュリティ基準が異なると、CLB の TLS セキュリティポリシーに特定の要件がある場合があります。次の表は、各ポリシーでサポートされている TLS バージョンと暗号スイートを示しています。要件に基づいてポリシーを選択できます。CLB はカスタム TLS セキュリティポリシーをサポートしていません。カスタムポリシーが必要な場合は、Application Load Balancer (ALB) または Network Load Balancer (NLB) を使用できます。
インターネットに公開され、特別な互換性要件がないアプリケーションの場合は、tls_cipher_policy_1_2 ポリシー以降のバージョンを使用してください。
リスナーの TLS セキュリティポリシーを設定する
コンソール
HTTPS リスナーを追加する際、[SSL 証明書] タブで、[高度な設定] の横にある [編集] をクリックし、[TLS セキュリティポリシー] を選択します。
TLS セキュリティポリシーを変更するには、インスタンス詳細ページの [リスナー] タブで、ターゲット HTTPS リスナーの名前をクリックして [リスナー詳細] ダイアログボックスを開きます。[SSL 証明書] セクションで、[TLS セキュリティポリシー] を変更します。
API
CreateLoadBalancerHTTPSListener 操作を呼び出して HTTPS リスナーを作成するか、SetLoadBalancerHTTPSListenerAttribute 操作を呼び出して HTTPS リスナーの構成を変更する際に、TLSCipherPolicy パラメーターを目的の TLS セキュリティポリシーに設定します。
課金
TLS セキュリティポリシーは無料です。CLB インスタンスの購入と使用には料金が発生します。
よくある質問
CLB はカスタム TLS セキュリティポリシーをサポートしていますか?
いいえ、サポートしていません。CLB はプリセットの TLS セキュリティポリシーのみをサポートしています。
カスタム TLS セキュリティポリシーが必要な場合は、次のいずれかのプロダクトを使用できます。
Application Load Balancer (ALB): HTTPS リスナーを設定する際に、カスタム TLS セキュリティポリシーを作成できます。
Network Load Balancer (NLB): TCP/SSL リスナーを設定する際に、カスタム TLS セキュリティポリシーを作成できます。
本番稼働
TLS バージョン: アプリケーションに特別な互換性要件がない場合は、セキュリティを確保するために TLS 1.2 と TLS 1.3 を使用してください。
変更とロールバック: TLS セキュリティポリシーを変更した後に例外が発生した場合は、リスナーの構成を変更して、すぐに変更をロールバックしてください。変更はオフピーク時に実行してください。