Elastic Beanstalk のCLBでTLS1.2に限定させたい

記事タイトルとURLをコピーする

こんにちは。限定物に目がない佐藤です。 今日は私の誕生日なのでブログを書くことにしました。

きっかけ

  • Elastic BeanstalkでデプロイしたCLBはデフォルトでセキュリティポリシーが「ELBSecurityPolicy-2016-08」が適用されて、TLS1.0 / TLS1.1 / TLS1.2が許可されています。
  • PCI DSS準拠な環境ではTLS1.2のみにしないといけない場合、デフォルトから変更する必要がありました。
  • お手軽にTLS1.2に限定したくなったのでお手軽な手順を調べました。
  • 参考

前提

    • 事前にAWS CLIのセットアップとテスト用にElastic BeanstalkにてTest-env-1というものを作っておきます。
    • CLBでHTTPSリスナーが無いと始まらならないので、以下な設定があることを確認してください。

    • ELBの設定で「ELBSecurityPolicy-2016-08」になってることを確認してください。

変更方法

  • cliで以下実行してください。Test-env-1とsslpolicyについては環境毎に要変更。

aws elasticbeanstalk update-environment --environment-name Test-env-1 --option-settings Namespace=aws:elb:policies:sslpolicy,OptionName=LoadBalancerPorts,Value=443 aws elasticbeanstalk update-environment --environment-name Test-env-1 --option-settings Namespace=aws:elb:policies:sslpolicy,OptionName=SSLReferencePolicy,Value=ELBSecurityPolicy-TLS-1-2-2017-01

確認

    • CloudFormationが実行されてセキュリティポリシーが変更されます。5分くらいで変更されます。
    • 以下になっていれば変更成功です!

最後に

  • 私自身、.ebextensionsで変更する必要があると思い込んでいましたが、上記手順で変更することができました。
  • 普段GUIでデプロイしている環境から.ebextensionsに変更するのは大変なので踏み切れない方のお役に立てたら嬉しいです。