翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Network Load Balancer のセキュリティポリシー
TLS リスナーを作成するときは、セキュリティポリシーを選択する必要があります。セキュリティポリシーによって、ロードバランサーとクライアント間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。要件が変化した場合や、新しいセキュリティポリシーがリリースされた場合は、ロードバランサーのセキュリティポリシーを更新できます。詳細については、「セキュリティポリシーの更新」を参照してください。
考慮事項
-
TLS リスナーにはセキュリティポリシーが必要です。リスナーの作成時にセキュリティポリシーを指定しない場合、デフォルトのセキュリティポリシーが使用されます。デフォルトのセキュリティポリシーは、TLS リスナーの作成方法によって異なります。
-
コンソール – デフォルトのセキュリティポリシーは です
ELBSecurityPolicy-TLS13-1-2-Res-2021-06。 -
その他の方法 (、 AWS CLI AWS CloudFormation、 など AWS CDK) – デフォルトのセキュリティポリシーは です
ELBSecurityPolicy-2016-08。
-
-
フロントエンド接続に使用するセキュリティポリシーは選択できますが、バックエンド接続に使用するセキュリティポリシーは選択できません。バックエンド接続のセキュリティポリシーは、リスナーセキュリティポリシーによって異なります。
-
TLS リスナーが TLS 1.3 セキュリティポリシーを使用している場合、バックエンド接続は
ELBSecurityPolicy-TLS13-1-0-2021-06ポリシーを使用します。 -
TLS リスナーが TLS 1.3 セキュリティポリシーを使用しない場合、バックエンド接続は
ELBSecurityPolicy-2016-08ポリシーを使用します。
-
-
Network Load Balancer に送信される TLS リクエストに関するアクセスログを有効にすると、TLS トラフィックパターンの分析、セキュリティポリシーのアップグレードの管理、問題のトラブルシューティングを行うことができます。ロードバランサーのアクセスログを有効にし、対応するアクセスログエントリを調べます。詳細については、「アクセスログ」および「Network Load Balancer のクエリ例」を参照してください。
-
IAM AWS アカウント および AWS Organizations サービスコントロールポリシー (SCPs) でそれぞれ Elastic Load Balancing 条件キーを使用することで、 および 全体のユーザーが利用できるセキュリティポリシーを制限できます。詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」を参照してください。
-
TLS 1.3 のみをサポートするポリシーは、Forward Secrecy (FS) をサポートしています。TLS_* および ECDHE_* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
-
Network Load Balancer は、TLS 1.2 の拡張マスターシークレット (EMS) 拡張機能をサポートしています。
プロトコルと暗号は describe-ssl-policies AWS CLI コマンドを使用して記述できます。または以下の表を参照してください。
セキュリティポリシー
TLS セキュリティポリシー
TLS セキュリティポリシーを使用すると、TLS プロトコルの特定のバージョンを無効にしてコンプライアンスおよびセキュリティ標準を満たす、または廃止済みの暗号を必要とするレガシークライアントをサポートすることができます。
TLS 1.3 のみをサポートするポリシーは、Forward Secrecy (FS) をサポートしています。TLS_* および ECDHE_* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
ポリシー別のプロトコル
以下は、各 TLS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
ポリシー別の暗号
以下は、各 TLS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-0-2021-06 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
暗号別のポリシー
以下は、各暗号をサポートしている TLS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – TLS_CHACHA20_POLY1305_SHA256 IANA – TLS_CHACHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS セキュリティポリシー
連邦情報処理規格(Federal Information Processing Standards/FIPS)は、機密情報を保護する暗号モジュールのセキュリティ要件を規定する米国政府とカナダ政府のセキュリティ基準です。詳細については、「AWS クラウドセキュリティコンプライアンス」ページの「連邦情報処理規格 (FIPS) 140
FIPS ポリシーはすべて AWS-LC FIPS で検証済みの暗号化モジュールを利用しています。詳細については、サイト「NIST Cryptographic Module Validation Program」の「AWS-LC Cryptographic Module
重要
ポリシー ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 と ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 はレガシー互換性のためにのみ提供されています。これらは FIPS140 モジュールを使って FIPS 暗号化を使用しますが、TLS 設定に関する最新の NIST ガイダンスに準拠していない場合があります。
ポリシー別のプロトコル
以下は、各 FIPS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
ポリシー別の暗号
以下は、各 FIPS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
|
暗号別のポリシー
以下は、各暗号をサポートしている FIPS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FS がサポートするセキュリティポリシー
FS (Forward Secrecy) がサポートするセキュリティポリシーは、一意のランダムセッションキーを使用して、暗号化されたデータの盗聴に対する追加の保護を提供します。これにより、シークレットの長期キーが侵害された場合でも、キャプチャされたデータのデコードを阻止できます。
このセクションのポリシーは FS をサポートしており、名前には「FS」が含まれています。ただし、これらは FS をサポートする唯一のポリシーではありません。TLS 1.3 のみをサポートするポリシーは FS をサポートします。TLS_* および ECDHE_* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
ポリシー別のプロトコル
以下は、FS がサポートする各セキュリティポリシーがサポートしている、プロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
ポリシー別の暗号
以下は、FS がサポートする各セキュリティポリシーがサポートしている、暗号の一覧です。
| セキュリティポリシー | 暗号 |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
暗号別のポリシー
以下は、各暗号をサポートしている、FS がサポートするセキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
|---|---|---|
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
