投稿日: Nov 26, 2023
Application Load Balancer (ALB) では相互 TLS のサポートを開始いたしました。これにより、TLS で暗号化された接続を確立しながら、クライアントを認証できます。
ALB の相互 TLS には、X.509 クライアント証明書を検証する方法として 2 つのオプションが用意されています。ALB の相互 TLS パススルーモードを使用する場合、ALB では HTTP ヘッダーを使用してクライアント証明書チェーン全体をターゲットに送信するため、関連する認証と認可のロジックをアプリケーションに実装できます。相互 TLS 検証モードを使用する場合、TLS 接続をネゴシエートするときに X.509 クライアント証明書の認証を ALB にオフロードできます。サードパーティーの任意の認証機関 (CA) または AWS Private Certificate Authority (PCA) からクライアントを認証できます。必要に応じて失効チェックを有効にして、侵害を受けたクライアント証明書のアクセスを制限できます。
使用を開始するには、AWS API または AWS マネジメントコンソールを使用して ALB で相互 TLS を設定します。パススルーモードの場合、クライアントからすべての証明書を受け入れるようにリスナーを設定できます。検証モードの場合、新しい信頼ストア (TS) リソースを作成し、CA バンドルと失効リストをアップロードし、クライアント証明書を検証するように設定されたリスナーに TS をアタッチする必要があります。
ALB の相互 TLS は、AWS のすべての商用リージョンと AWS GovCloud (米国) リージョンでご利用いただけます。詳細については、AWS ニュースブログと ALB のドキュメントをご覧ください。料金の詳細については、料金ページをご覧ください。