翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC Lattice サービスの TLS リスナー
<a name="tls-listeners"></a>

リスナーとは接続リクエストをチェックするプロセスです。VPC Lattice サービスを作成するときにリスナーを定義できます。リスナーはいつでもサービスに追加できます。

VPC Lattice が暗号化されたトラフィックを復号化せずにアプリケーションに渡すように、TLS リスナーを作成できます。

VPC Lattice で暗号化されたトラフィックを復号し、暗号化されていないトラフィックをアプリケーションに送信する場合は、代わりに HTTPS リスナーを作成します。詳細については、「[HTTPS リスナー](https-listeners.md)」を参照してください。

## 考慮事項
<a name="tls-listeners-considerations"></a>

TLS リスナーには、次の考慮事項が適用されます。
+ VPC Lattice サービスにはカスタムドメイン名が必要です。サービスカスタムドメイン名は、サービス名表示 (SNI) の一致として使用されます。サービスの作成時に証明書を指定した場合、その証明書は使用されません。
+ TLS リスナーに許可される唯一のルールは、デフォルトのルールです。
+ TLS リスナーのデフォルトアクションは、TCP ターゲットグループへの転送アクションである必要があります。
+ デフォルトでは、TCP ターゲットグループのヘルスチェックは無効になっています。TCP ターゲットグループのヘルスチェックを有効にする場合は、プロトコルとプロトコルバージョンを指定する必要があります。
+ TLS リスナーは、 client-hello メッセージの SNI フィールドを使用してリクエストをルーティングします。一致する条件が client-hello と完全に一致する場合は、ターゲットでワイルドカード証明書と SAN 証明書を使用できます。
+ すべてのトラフィックはクライアントからターゲットに暗号化されたままであるため、VPC Lattice は HTTP ヘッダーを読み取ることができず、HTTP ヘッダーを挿入または削除することもできません。したがって、TLS リスナーには以下の制限があります。
  + 接続時間は 10 分に制限されています
  + 認証ポリシーは匿名プリンシパルに制限されます
  + Lambda ターゲットはサポートされていません
+ Websocket 接続では、TLS リスナーを使用して 、VPC Lattice サービスに接続できます。以下の制限があります。
  + 接続時間は 10 分に制限されています
  + 認証ポリシーは匿名プリンシパルに制限されます
  + Lambda ターゲットはサポートされていません
+ Encrypted Client Hello (ECH) はサポートされていません。
+ Encrypted Server Name Indication (ESNI) はサポートされていません。

## TLS リスナーを追加する
<a name="add-tls-listener"></a>

クライアントからサービスへの接続用のプロトコルとポート、デフォルトのリスナールールのターゲットグループでリスナーを設定します。詳細については、「[リスナーの設定](listeners.md#listener-configuration)」を参照してください。

**コンソールを使用して TLS リスナーを追加するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインの **[VPC Lattice]** で、**[サービス]** を選択します。

1. サービスの名前を選択して、その詳細ページを開きます。

1. **[ルーティング]** タブで **[リスナーを追加]** を選択します。

1. **[リスナー名]** には、カスタムのリスナー名を指定するか、リスナーのプロトコルとポートをリスナー名として使用できます。指定するカスタム名は最大 63 文字で、アカウント内のサービスごとに一意である必要があります。使用できる文字は a～z、0～9、- (ハイフン) です。最初または最後の文字をハイフンにしたり、別のハイフンの直後にハイフンを入れたりすることはできません。作成後にリスナー名を変更することはできません。

1. [**プロトコル**] で [**TLS**] を選択します。**[Port]** (ポート) には、ポート番号を入力します。

1. **ターゲットグループに転送**するには、TCP プロトコルを使用してトラフィックを受信する VPC Lattice ターゲットグループを選択し、このターゲットグループに割り当てる重みを選択します。オプションで、別のターゲットグループを追加できます。**ターゲットグループを追加** を選択し、ターゲットグループを選択して重みを入力します。

1. (オプション) タグを追加するには、**[リスナータグ]** を展開し、[新しいタグを追加] を選択して、タグキーとタグ値を入力します。

1. 設定を確認し、**[追加]** をクリックします。

**を使用して TLS リスナーを追加するには AWS CLI**  
create[-listener](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-listener.html) コマンドを使用して、デフォルトのルールでリスナーを作成します。TLS\$1PASSTHROUGH プロトコルを指定します。