Configuration de la terminaison HTTPS au niveau de l'équilibreur de charge - AWS Elastic Beanstalk
Configuration d'un écouteur sécurisé à l'aide de la console Elastic BeanstalkConfiguration d'un écouteur sécurisé avec un fichier de configurationConfiguration d'un groupe de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la terminaison HTTPS au niveau de l'équilibreur de charge

Pour mettre à jour votre AWS Elastic Beanstalk environnement afin qu'il utilise le protocole HTTPS, vous devez configurer un écouteur HTTPS pour l'équilibreur de charge de votre environnement. Deux types d'équilibreur de charge prennent en charge un écouteur HTTPS : l'équilibreur Classic Load Balancer et l'équilibreur Application Load Balancer.

Vous pouvez utiliser la console Elastic Beanstalk ou un fichier de configuration pour configurer un écouteur sécurisé et attribuer le certificat.

Note

Les environnements d'instance unique n'ont pas d'équilibreur de charge et ne prennent pas en charge la terminaison HTTPS au niveau de l'équilibreur de charge.

Configuration d'un écouteur sécurisé à l'aide de la console Elastic Beanstalk

Pour attribuer un certificat à l'équilibreur de charge de votre environnement

  1. Ouvrez la console Elastic Beanstalk, puis dans la liste des régions, sélectionnez votre. Région AWS

  2. Dans le panneau de navigation, choisissez Environments (Environnements), puis choisissez le nom de votre environnement dans la liste.

  3. Dans le panneau de navigation, choisissez Configuration.

  4. Dans la catégorie de configuration Load balancer (Équilibreur de charge), choisissez Edit (Modifier).

    Note

    Si la catégorie de configuration Load balancer (Équilibreur de charge) ne dispose pas du bouton Edit (Modifier), cela signifie que votre environnement ne dispose pas d'un équilibreur de charge.

  5. Sur la page Modifier l'équilibreur de charge, la procédure varie selon le type d'équilibreur de charge associé à votre environnement.

    • Equilibreur de charge classique

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogue Classic Load Balancer listener (Écouteur Classic Load Balancer), configurez les paramètres suivants :

        • Pour Port d'écoute, tapez le port du trafic entrant, généralement 443.

        • Pour Protocole d'écoute, choisissez HTTPS.

        • Pour Port de l'instance, tapez 80.

        • Pour Protocole de l'instance, choisissez HTTP.

        • Pour SSL Certificate (Certificat SSL), sélectionnez votre certificat.

      3. Cliquez sur Add (Ajouter).

    • Application Load Balancer

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogue Application Load Balancer listener (Écouteur de l'équilibreur Application Load Balancer), configurez les paramètres suivants :

        • Pour Port, tapez le port du trafic entrant, généralement 443.

        • Pour Protocole, choisissez HTTPS.

        • Pour SSL Certificate (Certificat SSL), sélectionnez votre certificat.

      3. Cliquez sur Add (Ajouter).

      Note

      Pour l'équilibreur Classic Load Balancer et l'équilibreur Application Load Balancer, si le menu déroulant n'affiche aucun certificat, vous devez créer ou charger un certificat pour votre nom de domaine personnalisé dans AWS Certificate Manager (ACM) (de préférence). Vous pouvez également charger un certificat dans IAM à l'aide de l' AWS CLI.

    • Network Load Balancer

      1. Choisissez Add listener (Ajouter un écouteur).

      2. Dans la boîte de dialogueNetwork Load Balancer listener (Écouteur de l'équilibreur Network Load Balancer) pour Port, tapez le port de trafic entrant, généralement 443.

      3. Choisissez Ajouter.

  6. Pour enregistrer les modifications, cliquez sur Appliquer en bas de la page.

Configuration d'un écouteur sécurisé avec un fichier de configuration

Vous pouvez configurer un écouteur sécurisé sur votre équilibreur de charge avec un des fichiers de configuration suivants.

Exemple .ebextensions/securelistener-clb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Classic Load Balancer. L'exemple utilise des options dans l'espace de noms aws:elb:listener pour configurer un écouteur HTTPS sur le port 443 avec le certificat spécifié et pour transférer le trafic déchiffré vers les instances de votre environnement sur le port 80.

option_settings:
  aws:elb:listener:443:
    SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
    ListenerProtocol: HTTPS
    InstancePort: 80

Remplacez le texte en surbrillance par l'ARN de votre certificat. Le certificat peut être un certificat que vous avez créé ou chargé dans AWS Certificate Manager (ACM) (de préférence), ou un certificat que vous avez chargé sur IAM avec le. AWS CLI

Pour de plus amples informations concernant les options de configuration d'un équilibreur Classic Load Balancer, veuillez consulter Espaces de noms pour la configuration d'un Classic Load Balancer.

Exemple .ebextensions/securelistener-alb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Application Load Balancer. L'exemple utilise les options dans l'espace de noms aws:elbv2:listener pour configurer un écouteur HTTPS sur le port 443 avec le certificat spécifié. L'écouteur achemine le trafic vers le processus par défaut.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'
    Protocol: HTTPS
    SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
Exemple .ebextensions/securelistener-nlb.config

Utilisez cet exemple lorsque votre environnement dispose d'un équilibreur Network Load Balancer. L'exemple utilise les options dans l'espace de noms aws:elbv2:listener pour configurer un écouteur sur le port 443. L'écouteur achemine le trafic vers le processus par défaut.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'

Configuration d'un groupe de sécurité

Si vous configurez votre équilibreur de charge pour transférer le trafic vers un port de l'instance autre que le port 80, vous devez ajouter une règle à votre groupe de sécurité autorisant le trafic entrant via le port de l'instance à partir de votre équilibreur de charge. Si vous créez votre environnement dans un VPC personnalisé, Elastic Beanstalk ajoute automatiquement cette règle.

Pour ajouter cette règle, ajoutez une clé Resources à un fichier de configuration dans le répertoire .ebextensions correspondant à votre application.

L'exemple de fichier de configuration suivante ajoute une règle de trafic entrant au groupe de sécurité AWSEBSecurityGroup. Cela permet le trafic sur le port 1000 à partir du groupe de sécurité de l'équilibreur de charge.

Exemple .ebextensions/sg-ingressfromlb.config
Resources:
  sslSecurityGroupIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 1000
      FromPort: 1000
      SourceSecurityGroupId: {"Fn::GetAtt" : ["AWSEBLoadBalancerSecurityGroup", "GroupId"]}