Création d'un écouteur HTTPS pour votre Application Load Balancer - Elastic Load Balancing
PrérequisAjout d'un écouteur HTTPS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un écouteur HTTPS pour votre Application Load Balancer

Un écouteur vérifie les demandes de connexion. Vous définissez un écouteur lorsque vous créez votre équilibreur de charge et vous pouvez ajouter des écouteurs à votre équilibreur de charge à tout moment.

Pour créer un écouteur HTTPS, vous devez déployer au moins un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise un certificat de serveur pour mettre fin à la connexion front-end, puis déchiffrer les demandes des clients avant de les envoyer aux cibles. Vous devez également spécifier une politique de sécurité, qui est utilisée pour négocier des connexions sécurisées entre les clients et l'équilibreur de charge.

Si vous devez transmettre du trafic chiffré à des cibles sans que l'équilibreur de charge ne le déchiffre, vous pouvez créer un Network Load Balancer ou un Classic Load Balancer avec un écouteur TCP sur le port 443. Avec un écouteur TCP, l'équilibreur de charge transmet le trafic chiffré aux cibles sans le déchiffrer.

Les informations fournies dans cette page vous aident à créer un écouteur HTTPS pour votre équilibreur de charge. Pour ajouter un écouteur HTTP à votre équilibreur de charge, veuillez consulter Création d'un écouteur HTTP pour votre Application Load Balancer.

Prérequis

  • Pour ajouter une action de transmission à la règle d'écouteur par défaut, vous devez spécifier un groupe cible disponible. Pour de plus amples informations, veuillez consulter Créez un groupe cible pour votre Application Load Balancer.

  • Vous pouvez spécifier le même groupe cible dans plusieurs écouteurs, mais ces écouteurs doivent appartenir au même équilibreur de charge. Pour utiliser un groupe cible avec un équilibreur de charge, vous devez vérifier qu'il n'est pas utilisé par un écouteur pour un autre équilibreur de charge.

  • Les équilibreurs de charge d'application ne prennent pas en charge ED25519 les clés.

Ajout d'un écouteur HTTPS

Vous configurez un écouteur doté d'un protocole et d'un port pour les connexions entre les clients et l'équilibreur de charge. Pour de plus amples informations, veuillez consulter Configuration des écouteurs.

Lorsque vous créez un écouteur sécurisé, vous devez spécifier une politique de sécurité et un certificat. Pour ajouter des certificats à la liste des certificats, consultezAjouter des certificats à la liste des certificats.

Vous devez configurer une règle par défaut pour l'écouteur. Vous pouvez ajouter d'autres règles d'écouteur après avoir créé l'écouteur. Pour de plus amples informations, veuillez consulter Règles d'un écouteur.

Console
Pour ajouter un écouteur HTTPS

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Sélectionnez l'équilibreur de charge.

  4. Dans l'onglet Écouteurs et règles, choisissez Ajouter un écouteur.

  5. Pour Protocole, choisissez HTTPS. Conservez le port par défaut ou entrez un autre port.

  6. (Facultatif) Pour ajouter une règle d'authentification, sélectionnez Authentifier les utilisateurs, choisissez un fournisseur d'identité et fournissez les informations requises. Pour de plus amples informations, veuillez consulter Authentification des utilisateurs à l'aide d'un Application Load Balancer.

  7. Pour Action de routage, sélectionnez l'une des actions de routage suivantes et fournissez les informations requises :

    • Transférer aux groupes cibles — Choisissez un groupe cible. Pour ajouter un autre groupe cible, choisissez Ajouter un groupe cible, choisissez un groupe cible, passez en revue les pourcentages relatifs et mettez à jour les pondérations selon les besoins. Vous devez activer l'adhérence au niveau du groupe si vous l'avez activée sur l'un des groupes cibles.

      Si aucun groupe cible ne répond à vos besoins, choisissez Créer un groupe cible pour en créer un maintenant. Pour de plus amples informations, veuillez consulter Créer un groupe cible.

    • Redirection vers l'URL : entrez l'URL en saisissant chaque partie séparément dans l'onglet Parties de l'URI, ou en saisissant l'adresse complète dans l'onglet URL complète. Pour le code d'état, sélectionnez soit temporaire (HTTP 302) soit permanent (HTTP 301) en fonction de vos besoins.

    • Renvoyer une réponse fixe — Entrez le code de réponse à renvoyer en cas de demande client abandonnée. Vous pouvez éventuellement spécifier le type de contenu et le corps de la réponse.

  8. Pour la politique de sécurité, nous sélectionnons la politique de sécurité recommandée. Vous pouvez sélectionner une autre politique de sécurité selon vos besoins.

  9. Pour SSL/TLS Certificat par défaut, choisissez le certificat par défaut. Nous ajoutons également le certificat par défaut à la liste SNI. Vous pouvez sélectionner un certificat à l'aide de l'une des options suivantes :

    • Depuis ACM — Choisissez un certificat depuis Certificat (depuis ACM), qui affiche les certificats disponibles auprès de. AWS Certificate Manager

    • Depuis IAM — Choisissez un certificat depuis Certificat (depuis IAM), qui affiche les certificats vers lesquels vous avez importé. AWS Identity and Access Management

    • Importer un certificat — Choisissez une destination pour votre certificat : Importer vers ACM ou Importer vers IAM. Pour la clé privée du certificat, copiez et collez le contenu du fichier de clé privée (codé PEM). Pour le corps du certificat, copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Pour la chaîne de certificats, copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

  10. (Facultatif) Pour activer l'authentification mutuelle, sous Gestion des certificats clients, activez l'authentification mutuelle (MTL).

    Le mode par défaut est le mode passthrough. Si vous sélectionnez Vérifier avec Trust Store :

    • Par défaut, les connexions dont les certificats clients ont expiré sont rejetées. Pour modifier ce comportement, développez les paramètres mTLS avancés, puis sous Expiration des certificats clients, sélectionnez Autoriser les certificats clients expirés.

    • Pour Trust store, choisissez un trust store existant ou choisissez New trust store et fournissez les informations requises.

  11. (Facultatif) Pour ajouter des balises, développez les balises Listener. Choisissez Ajouter une nouvelle étiquette et entrez la clé et la valeur de la balise.

  12. Choisissez Add listener (Ajouter un écouteur).

AWS CLI
Pour créer un écouteur HTTPS

Utilisez la commande create-listener. L'exemple suivant crée un écouteur HTTPS avec une règle par défaut qui transmet le trafic au groupe cible spécifié.

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
Pour créer un écouteur HTTPS

Définissez un type de ressource AWS::ElasticLoadBalancingV2::Listener. L'exemple suivant crée un écouteur HTTPS avec une règle par défaut qui transmet le trafic au groupe cible spécifié.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn