このページのトピック
AWSのTLSインスペクションを設定する
AWSプラットフォームを使用してTLSを設定するには、次の手順を実行します。
-
ポリシーに適切なIAMロールを設定します。IAMポリシーと役割を作成するを参照してください。
-
必要に応じて、AWS Certificate Manager(ACM)を設定します。詳細については、 AWS証明書マネージャの使用開始を参照してください。
-
ハードウェアセキュリティモジュール(HSM)に接続します。リージョンセレクタを使用して、HSMのIPアドレスが仮想アプライアンスの同じ地理的リージョン内にあることを確認します。詳細を表示。
-
Policy > TLS Inspection に移動し、 Configure TLS Inspectionを** して構成ウィザードに入ります。
Configure TLS Inspection 設定ウィザードで、次の手順を実行します。
-
復号および インバウンド TLSトラフィック検査を有効にする管理対象の仮想アプライアンスを選択します。Provide Serverをクリックします。
注意
最大4つの管理対象仮想アプライアンスでTLS検査を有効にできますが、一度に有効にできるのは1つだけです。この機能を備えたアプライアンスが5台以上必要な場合は、 サポートレポートを開きます。選択したアプライアンスのバージョンで複数アプライアンスのTLS設定がサポートされていない場合は、ウィザードによって通知され、その選択を続行できなくなります。
-
複数のサーバプロキシを設定できますが、一度に1つしか設定できません。100件を超えるプロキシが必要な場合は、 サポートレポートを開きます。[サーバIP]フィールドに、保護するサーバのIPアドレスを入力します。このIPアドレスを取得するには、AWSナビゲーションで EC2 をクリックし、[Resources]の Instances (running) をクリックします。AWSのみがアクセス可能なIPアドレスは、[プライベートIPアドレス]に表示されます。 Provide Public Certificateします。
-
[証明書のARN]フィールドに、サーバの公開証明書S3 ARNまたはACMを入力します。 Choose Key Access Methodします。
注意
Unable to retrieve certificate
エラーが発生した場合は、AWS Servicesに移動し、 IAM > Roles の順にクリックして、 Network Security ロールに適切な権限があることを確認します。設定済みの Network Security ロールをリストからクリックし、リストされているポリシーを編集し、 Add additional permissionsをクリックし、使用可能なサービスから証明書マネージャを追加します。List および Read のアクセスレベル権限を指定します。リソースを指定したら、 Review policy と Save changesをクリックします。
-
AWS CloudHSMを使用してサーバの秘密鍵を提供するか、手動でアップロードするかを指定します。 Provide Resourceをクリックします。
-
AWS CloudHSMを使用するように選択した場合は、 AWSSecrets Managerを使用して秘密のARNを指定するように求めるメッセージが表示されます。秘密のARNには接続情報が含まれており、これによりHSMは公開証明書の秘密鍵情報を取得し、アプライアンスに保存できます。シークレットを生成するには、ダイアログで次の項目を指定する必要があります。
- 暗号化ユーザ(CU)アカウントのユーザ名を指定します。ユーザ名は31文字以内で指定する必要があり、使用できる特殊文字はアンダースコア(_)のみです。
- 暗号化ユーザ(CU)アカウントのパスワードを指定します。パスワードは7文字未満または32文字を超えることはできません。
- 発行する証明書を貼り付けます(
-----BEGIN CERTIFICATE-----
で始まり、-----END CERTIFICATE-----
で終わります)。証明書のサイズは65KBを超えることはできません。 - AWS CloudHSMのIPを指定します。
- Generate Secretをクリックします。シークレットが生成されたら、 Copy to Clipboardをクリックします。AWSシークレットマネージャで、[シークレット]に移動し、 Store a new secretをクリックします。 Other type of secretをクリックし、[プレーンテキスト]を選択して、フィールドに生成したシークレットを貼り付けます。 DefaultEncryptionKey オプションを選択し、 Nextをクリックします。詳細については、 チュートリアル:秘密の作成と取得を参照してください。次に、生成された秘密のARNをウィザードの[Secret ARN]フィールドに貼り付け、 Provide Keystore Keyをクリックします。
-
秘密鍵を直接アップロードする場合は、ダイアログが表示され、[秘密鍵]フィールドにサーバ証明書の秘密鍵を貼り付けることができます。貼り付ける内容は、
-----BEGIN RSA PRIVATE KEY-----
で始まり-----END RSA PRIVATE KEY-----
で終わるようにしてください。秘密鍵が暗号化されている場合は、パスフレーズを入力して復号を有効にします。パスフレーズは1〜255文字です。 Provide Keystore Keyします。
注意
入力した証明書が一致しないというエラーが表示される場合は、証明書またはキーに問題があります。証明書とキーをリロードして、正しいものであることを確認します。
-
-
AWSキーマネージメントサービスを使用して で対称顧客マスターキー(CMK)を作成し と Network Security ロールをキーユーザとして追加すると、アプライアンスで秘密鍵を暗号化して保存できます。IAMの役割を制限して、アプライアンスの特定のKMSリソースにのみアクセスできるようにします。生成されたARNをウィザードの[Key Management ARN]フィールドに貼り付け、 Confirm and Deployをクリックします。
注意
エラーが発生した場合は、[AWS Services]に移動し、 Key Management Service > Customer managed keys の順にクリックして、 Network Security ロールに適切な権限があることを確認します。リストで設定済みの[Customer]マスターキーをクリックし、[Key users]までスクロールして、 Addをクリックします。Network Security ロールを選択し、 Addをクリックします。キーポリシーの設定について、詳細を してください。
-
設定を確認し、 Deploy and Close の順にクリックして、暗号化されたトラフィックの検査を開始します。
-
Policy > TLS Inspection に移動し、[TLSインスペクション]フィールドに
Inspecting
が表示されていることを確認します。検査ステータスの詳細を確認するには、行の任意の場所をクリックして展開し、問題の原因を追跡します。Issue found
–証明書の期限切れなど、1つ以上の設定に問題があるにもかかわらず、暗号化されたトラフィックと暗号化されていないトラフィックが引き続き検査されることを示します。ベストプラクティスとして、すべての暗号化資産が存在し、有効で、最新であることを確認してください。Not inspecting
–仮想アプライアンスがフォールバックモード(ユーザ開始または自動)であるか、プロキシサーバが見つからないか無効になっている(暗号資産が見つからないなどの理由で)ために、暗号化および非暗号化トラフィックが検査されていないことを示します。Unknown
–仮想アプライアンスが不明な理由でプロキシサーバと通信していないことを示します。インスペクションの完全なステータスを提供する前に、この通信の問題を解決する必要があります。プロキシサーバが見つからない、または無効になっていないこと、および仮想アプライアンスがフォールバックモードでないことを確認します。
注意: 仮想アプライアンスでTLS検査ポリシーを設定した後は、TLSポリシーを編集できません。TLS設定は、ポリシーを完全に削除するまで有効です。TLSインスペクション戦略を変更する場合は、削除アイコンをクリックして既存のポリシーを削除し、新しいポリシーを作成します。
必要に応じて、 CloudWatch ログ設定でsslInspectionログを有効にすることで、TLS設定が機能していることを確認できます。詳細を表示。