Comment puis-je configurer la connectivité HTTPS de bout en bout avec AWS PrivateLink ?

Dernière mise à jour : 24/08/2022

J'ai besoin d'une connectivité HTTPS de bout en bout entre les clients d'un VPC consommateur et les applications s'exécutant derrière le Network Load Balancer dans un VPC de fournisseur de services. Comment procéder en utilisant AWS PrivateLink ?

Solution

  1. Créez un certificat X509 auto-signé pour votre application avec OpenSSL. Ensuite, installez-le sur les instances requises Amazon Elastic Compute Cloud (Amazon EC2).
    Remarque : ce certificat est utilisé uniquement entre l'Elastic Load Balancer et les instances EC2 cibles. Une bonne pratique consiste à utiliser une autorité de certification de confiance pour signer un certificat. Une bonne pratique consiste à utiliser des certificats auto-signés uniquement dans un environnement de test ou pour le chiffrement entre un Elastic Load Balancer et des cibles Amazon EC2. L'équilibreur de charge ne valide pas ces certificats. Le trafic entre l'ELB et les cibles est authentifié au niveau des paquets.
  2. Créez un groupe cible TLS pour votre Network Load Balancer. Ensuite, enregistrez les instances EC2 en tant que cibles. L'équilibreur de charge utilise automatiquement le certificat auto-signé installé sur les cibles pour chiffrer le trafic backend.
  3. Demandez un certificat public pour votre nom de domaine en utilisant AWS Certificate Manager (ACM). Ce certificat est utilisé entre l'équilibreur de charge et les clients.
    Important : vérifiez que le nom de domaine que vous spécifiez correspond au nom de domaine de votre site Web. Si cette entrée ne correspond pas au nom de domaine que les utilisateurs voient lorsqu'ils visitent votre site (par exemple, www.exemple.com), ils risquent de recevoir une erreur de certificat.
  4. Créez un écouteur TLS pour votre Network Load Balancer. Pendant la configuration, sélectionnez le certificat SSL que vous avez créé à l'étape 3.
  5. Créez un point de terminaison d'interface Amazon VPC pour le service de point de terminaison connecté au Network Load Balancer.
  6. Configurez Amazon Route 53 pour acheminer le trafic vers le point de terminaison d'interface Amazon VPC. Utilisez le nom de domaine spécifié à l'étape 3 pour le nom d'enregistrement.