Network Load Balancer를 위한 TLS 리스너 업데이트 - Elastic Load Balancing
기본 인증서 교체인증서 목록에 인증서 추가인증서 목록에서 인증서 제거보안 정책 업데이트ALPN 정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Network Load Balancer를 위한 TLS 리스너 업데이트

TLS 리스너를 생성한 후 기본 인증서를 교체하거나, 인증서 목록의 인증서를 추가 또는 제거하거나, 보안 정책을 업데이트하거나, ALPN 정책을 업데이트할 수 있습니다.

기본 인증서 교체

필요에 따라 TLS 리스너의 기본 인증서를 교체할 수 있습니다. 자세한 내용은 기본 인증서 단원을 참조하십시오.

Console
기본 인증서를 교체하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 리스너 탭에서 프로토콜: 포트 열의 텍스트를 선택하여 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 인증서 탭에서 기본값 변경을 선택합니다.

  6. ACM 및 IAM 인증서 표에서 새 기본 인증서를 선택합니다.

  7. (선택 사항) 기본적으로 리스너 인증서 목록에 이전 기본 인증서 추가를 선택합니다. 현재 SNI용 리스너 인증서가 없고 TLS 세션 재개에 의존하지 않는 한이 옵션을 선택한 상태로 유지하는 것이 좋습니다.

  8. 기본값으로 저장을 선택합니다.

AWS CLI
기본 인증서를 교체하려면

modify-listener 명령을 사용합니다.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
CloudFormation
기본 인증서를 교체하려면

AWS::ElasticLoadBalancingV2::Listener 리소스를 새 기본 인증서로 업데이트합니다.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "new-default-certificate-arn"

인증서 목록에 인증서 추가

다음 절차에 따라 리스너 인증서 목록에 인증서를 추가할 수 있습니다. TLS 리스너를 처음 생성할 때 인증서 목록은 비어 있습니다. 인증서 목록에 기본 인증서를 추가하여 기본 인증서로 대체되더라도이 인증서가 SNI 프로토콜과 함께 사용되는지 확인할 수 있습니다. 자세한 내용은 인증서 목록 단원을 참조하십시오.

Console
인증서 목록에 인증서를 추가하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Load Balancers]를 클릭합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 리스너 탭에서 프로토콜: 포트 열의 텍스트를 선택하여 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 인증서 탭을 선택합니다.

  6. 목록에 기본 인증서를 추가하려면 목록에 기본값 추가를 선택합니다.

  7. 목록에 기본이 아닌 인증서를 추가하려면 다음을 수행합니다.

    1. 인증서 추가를 선택합니다.

    2. ACM 또는 IAM에서 이미 관리하는 인증서를 추가하려면 인증서의 확인란을 선택하고 아래 대기 중으로 포함을 선택합니다.

    3. ACM 또는 IAM에서 관리하지 않는 인증서를 추가하려면 인증서 가져오기를 선택하고 양식을 작성한 다음 가져오기를 선택합니다.

    4. 보류 중인 인증서 추가를 선택합니다.

AWS CLI
인증서 목록에 인증서를 추가하려면

add-listener-certificates 명령을 사용합니다.

aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
CloudFormation
인증서 목록에 인증서를 추가하려면

AWS::ElasticLoadBalancingV2::ListenerCertificate 유형의 리소스를 정의합니다.

Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"

  myTLSListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLSS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "certificate-arn-1"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

인증서 목록에서 인증서 제거

다음 절차에 따라 TLS 리스너의 인증서 목록에서 인증서를 제거할 수 있습니다. 인증서를 제거한 후에는 리스너가 더 이상 해당 인증서를 사용하여 연결을 생성할 수 없습니다. 클라이언트가 영향을 받지 않도록 하려면 목록에서 인증서를 제거하기 전에 목록에 새 인증서를 추가하고 연결이 작동하는지 확인합니다.

TLS 리스너의 기본 인증서를 제거하려면 기본 인증서 교체 섹션을 참조하세요.

Console
인증서 목록에서 인증서를 제거하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Load Balancers]를 클릭합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 리스너 탭에서 프로토콜: 포트 열의 텍스트를 선택하여 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 인증서 탭에서 인증서의 확인란을 선택하고 제거를 선택합니다.

  6. 확인 메시지가 나타나면 confirm을 입력하고 제거를 선택합니다.

AWS CLI
인증서 목록에서 인증서를 제거하려면

remove-listener-certificates 명령을 사용합니다.

aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn

보안 정책 업데이트

TLS 리스너를 생성할 때 요구를 충족하는 보안 정책을 선택할 수 있습니다. 새로운 보안 정책이 추가되면 새로운 보안 정책을 사용하도록 TLS 리스너를 업데이트할 수 있습니다. Network Load Balancer는 사용자 지정 보안 정책을 지원하지 않습니다. 자세한 내용은 Network Load Balancer의 보안 정책 단원을 참조하십시오.

로드 밸런서가 대량의 트래픽을 처리하는 경우 보안 정책을 업데이트하면 중단이 발생할 수 있습니다. 로드 밸런서가 대량의 트래픽을 처리할 때 중단 가능성을 줄이려면 트래픽을 처리하거나 LCU 예약을 요청하는 데 도움이 되는 추가 로드 밸런서를 생성합니다.

Console
보안 정책을 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Load Balancers]를 클릭합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 리스너 탭에서 프로토콜: 포트 열의 텍스트를 선택하여 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 작업, 리스너 편집을 선택합니다.

  6. 보안 리스너 설정 섹션의 보안 정책에서 새 보안 정책을 선택합니다.

  7. 변경 사항 저장을 선택합니다.

AWS CLI
보안 정책을 업데이트하려면

modify-listener 명령을 사용합니다.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
CloudFormation
보안 정책을 업데이트하려면

AWS::ElasticLoadBalancingV2::Listener 리소스를 새 보안 정책으로 업데이트합니다.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-2021-06"
      Certificates:
        - CertificateArn: "default-certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup

ALPN 정책 업데이트

필요에 따라 TLS 리스너에 대한 ALPN 정책을 업데이트할 수 있습니다. 자세한 내용은 ALPN 정책 단원을 참조하십시오.

Console
ALPN 정책을 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Load Balancers]를 클릭합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 리스너 탭에서 프로토콜: 포트 열의 텍스트를 선택하여 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 작업, 리스너 편집을 선택합니다.

  6. 보안 리스너 설정 섹션의 ALPN 정책에서 정책을 선택하여 ALPN을 활성화하거나 없음을 선택하여 ALPN을 비활성화합니다.

  7. 변경 사항 저장을 선택합니다.

AWS CLI
ALPN 정책을 업데이트하려면

modify-listener 명령을 사용합니다.

aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --alpn-policy HTTP2Preferred
CloudFormation
ALPN 정책을 업데이트하려면

ALPN 정책을 포함하도록 AWS::ElasticLoadBalancingV2::Listener 리소스를 업데이트합니다.

Resources:
  myTLSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: TLS
      Port: 443
      SslPolicy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
      AlpnPolicy:
        - HTTP2Preferred
      Certificates:
        - CertificateArn: "certificate-arn"
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref myTargetGroup