Comment utiliser l'interface de ligne de commande AWS (AWS CLI) pour déterminer la stratégie de sécurité SSL active associée aux écouteurs HTTPS et SSL de mon équilibreur ELB (Elastic Load Balancing) ?

Dernière mise à jour : 08/12/2015

Comment déterminer la stratégie de sécurité SSL active associée à mon écouteur ELB (Elastic Load Balancing) à l'aide de l'interface de ligne de commande AWS (AWS CLI) ?

Brève description

Remarque: si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version AWS CLI la plus récente.

Lorsque vous configurez un écouteur d'un équilibreur de charge en suivant les étapes de la section Ajouter un écouteur HTTPS à l'aide de la console, la stratégie de sécurité SSL pour l'écouteur s'affiche dans la console AWS EC2, dans la boîte de dialogue Sélectionner un chiffrement décrite à l' étape 6 de la sectioMise à jour de la configuration de négociation SSL d'un équilibreur de charge HTTP/SSL. Vous pouvez utiliser l'interface de ligne de commande AWS (AWS CLI) pour afficher le nom des stratégies de sécurité SSL de l'écouteur de l'équilibreur de charge, ainsi que toutes les stratégies de sécurité SSL prédéfinies pour l'équilibreur ELB (Elastic Load Balancing) à l'aide de la commande suivantedescribe-load-balancer-policies. Assurez-vous de remplacer votre nom d'équilibreur de charge par TESTELB :

aws elb describe-load-balancer-policies --load-balancer-name TESTELB --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName,ReferenceSecurityPolicy:PolicyAttributeDescriptions[0].AttributeValue}" --output table
Remarque : Les exemples CLI utilisent la syntaxe de l'interface de ligne de commande AWS (AWS CLI) à l'aide d'une fenêtre d'invite de commandes Windows. Si vous exécutez ces commandes sur Linux ou Windows PowerShell, remplacez les guillemets qui entourent le paramètre --query par des guillemets simples. Pour en savoir plus sur les différences de syntaxe des commandes CLI AWS selon les plateformes utilisées, consultez la section Spécification des valeurs des paramètres pour l'interface de ligne de commandes AWS.

La sortie générée lors de l'exécution de cette commande devrait être semblable à ce qui suit :

-------------------------------------------------------------------------------------
|                             DescribeLoadBalancerPolicies                          |
+-------------------------------------------------------+---------------------------+
|                     PolicyName                        |  ReferenceSecurityPolicy  |
+-------------------------------------------------------+---------------------------+
| ELBSecurityPolicy-2015-05                             | ELBSecurityPolicy-2015-05 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1446825761570 | ELBSecurityPolicy-2015-03 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1446774067525 | ELBSecurityPolicy-2015-05 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1446774575245 | ELBSecurityPolicy-2015-05 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1447023243695 | ELBSecurityPolicy-2014-10 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1447039877149 | false                     |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1447039147749 | ELBSecurityPolicy-2011-08 |
| AWSConsole-SSLNegotiationPolicy-TESTELB-1447102065672 | ELBSecurityPolicy-2014-10 |
+-------------------------------------------------------+---------------------------+

Remarque : la valeur false de ReferenceSecurityPolicy indique que la stratégie n'a pas été créée à l'aide de l'une des stratégies de sécurité prédéfinies décrites dans Stratégies de sécurité SSL pour l'équilibreur ELB (Elastic Load Balancing).

Cette commande de l'interface de ligne de commande AWS (AWS CLI) renvoie les stratégies de sécurité SSL associées à un écouteur d'équilibreur de charge, mais n'indique pas quelle stratégie de sécurité SSL d'écouteur d'équilibreur de charge est réellement active. Pour déterminer la stratégie active, suivez la procédure décrite dans la section Résolution.

Solution

Exécutez ces commandes CLI AWS pour renvoyer la stratégie de sécurité SSL active de l'écouteur de l'équilibreur de charge, ainsi que toute stratégie de sécurité SSL prédéfinie associée :

1.    Pour renvoyer des informations sur la stratégie de sécurité SSL de l'écouteur actif, exécutez la commandedescribe-load-équilibreurs, en remplaçant votre nom d'équilibreur de charge par TESTELB :

aws elb describe-load-balancers --load-balancer-name TESTELB --query "LoadBalancerDescriptions[*].{ActivePolicy:ListenerDescriptions}" --output table
La sortie renvoyée lors de l'exécution de cette commande devrait être semblable à ce qui suit :

---------------------------------------------------------------------------------
|                             DescribeLoadBalancers                             |
||                                ActivePolicy                                 ||
|||                                 Listener                                  |||
||+-------------------+-------------------------------------------------------+||
|||  InstancePort     |  443                                                  |||
|||  InstanceProtocol |  SSL                                                  |||
|||  LoadBalancerPort |  443                                                  |||
|||  Protocol         |  SSL                                                  |||
|||  SSLCertificateId |  arn:aws:iam::803981987763:server-certificate/ELBSSL  |||
||+-------------------+-------------------------------------------------------+||
|||                                PolicyNames                                |||
||+---------------------------------------------------------------------------+||
|||  AWSConsole-SSLNegotiationPolicy-TESTELB-1447102065672                    |||
||+---------------------------------------------------------------------------+||
||                                ActivePolicy                                 ||
|||                                 Listener                                  |||
||+-----------------------------------------------------+---------------------+||
|||  InstancePort                                       |  80                 |||
|||  InstanceProtocol                                   |  HTTP               |||
|||  LoadBalancerPort                                   |  80                 |||
|||  Protocol                                           |  HTTP               |||
||+-----------------------------------------------------+---------------------+||

2.    Pour renvoyer les stratégies de sécurité SSL prédéfinies associées à la stratégie de sécurité SSL de l'écouteur actif, exécutez la commande describe-load-balancer-policies en remplaçant votre nom d'équilibreur de charge par TESTELB et le nom de la stratégie de sécurité SSL active de l'écouteur parAWSConsole-SSLNegotiationPolicy-TESTELB-1447102065672 :

aws elb describe-load-balancer-policies --load-balancer-name TESTELB --policy-name AWSConsole-SSLNegotiationPolicy-TESTELB-1447102065672 --query "PolicyDescriptions[0].{ReferenceSecurityPolicy:PolicyAttributeDescriptions[0].AttributeValue}" --output table
La sortie renvoyée lors de l'exécution de cette commande devrait être semblable à ce qui suit :

----------------------------------------------------------
|              DescribeLoadBalancerPolicies              |
+--------------------------+-----------------------------+
|  ReferenceSecurityPolicy |  ELBSecurityPolicy-2014-10  |
+--------------------------+-----------------------------+

Remarque : Si la valeur de stratégie de sécurité SSL prédéfinie renvoyée est false, la stratégie de sécurité SSL de l'écouteur d'équilibreur de charge actif n'a pas été créée à l'aide de l'une des stratégies de sécurité prédéfinies décrites dans SSL Stratégies de sécurité pour l'équilibreur ELB (Elastic Load Balancing).