本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为您的 Lightsail 负载均衡器配置 TLS 安全策略
<a name="amazon-lightsail-configure-load-balancer-tls-security-policy"></a>

在 Amazon Lightsail 负载均衡器上启用 HTTPS 后，您可以为加密连接配置 TLS 安全策略。本指南提供有关您可以在 Lightsail 负载均衡器上配置的安全策略以及更新负载均衡器安全策略的过程的信息。有关负载均衡器的更多信息，请参阅[负载均衡器](understanding-lightsail-load-balancers.md)。

## 安全策略概述
<a name="load-balancer-security-policies-overview"></a>

Lightsail 负载平衡使用安全套接字层 (SSL) 协商配置（称为安全策略）来协商客户端和负载均衡器之间的 SSL 连接。安全策略是协议和密码的组合。协议在客户端与服务器之间建立安全连接，确保在客户端与负载均衡器之间传递的所有数据都是私密数据。密码是使用加密密钥创建编码消息的加密算法。协议使用多种密码对 Internet 上的数据进行加密。在 连接协商过程中，客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下，会为安全连接选择服务器列表中与任何一个客户端的密码匹配的第一个密码。Lightsail 负载均衡器不支持客户端或目标连接的 SSL 重新协商。

当您在 Lightsail 负载均衡器上启用 HTTPS 时，系统会默认配置`TLS-2016-08`安全策略。如本指南后面所述，您可以根据需要配置不同的安全策略。您可以选择仅用于前端连接的安全策略。`TLS-2016-08` 安全策略始终用于后端连接。Lightsail 负载均衡器不支持自定义安全策略。

## 支持的安全策略和协议
<a name="load-balancer-supported-policies"></a>

Lightsail 负载均衡器可以使用以下安全策略和协议进行配置：

![支持的 TLS 安全策略](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lighstail-load-balancer-tls-protocols.png)


## 完成先决条件
<a name="configure-load-balancer-security-policy-prerequisites"></a>

满足以下先决条件（如果尚未满足）：
+ 创建负载均衡器并向其附加实例。有关更多信息，请参阅[创建负载均衡器并向其附加实例](create-lightsail-load-balancer-and-attach-lightsail-instances.md)。
+ 创建 SSL/TLS 证书并将其附加到您的负载均衡器以启用 HTTPS。有关更多信息，请参阅[为您的 Lightsail 负载均衡器创建 SSL/TLS 证书](create-tls-ssl-certificate-and-attach-to-lightsail-load-balancer-https.md)。有关证书的更多信息，请参阅 [SSL/TLS 证书](understanding-tls-ssl-certificates-in-lightsail-https.md)。

## 使用 Lightsail 控制台配置安全策略
<a name="configure-load-balancer-security-policy-console"></a>

完成以下过程，使用 Lightsail 控制台配置安全策略。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择**联网**。

1. 选择要为其配置 TLS 安全策略的负载均衡器的名称。

1. 选择 **Inbound traffic**（入站流量）选项卡。

1. 在页面的 **TLS 安全协议**部分下选择**更改协议**。

1. 在**支持的协议**下拉菜单中选择以下选项之一：
   + **TLS 1.2 版**：此选项最为安全，但较旧的浏览器可能无法连接。
   + **TLS 1.0、1.1 和 1.2 版**：此选项提供与浏览器的最大兼容性。

1. 选择**保存**将所选协议应用于您的负载均衡器。

   您的更改需要一些时间才能生效。

## 使用配置安全策略 AWS CLI
<a name="configure-load-balancer-security-policy-cli"></a>

使用 AWS Command Line Interface （AWS CLI）完成以下过程以配置安全策略。使用 `update-load-balancer-attribute` 命令完成此操作。有关更多信息，请参阅《*AWS CLI 命令参考*》[update-load-balancer-attribute](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-load-balancer-attribute.html)中的。

**注意**  
在继续执行此过程之前，必须为 Lightsail 安装 AWS CLI 并对其进行配置。有关更多信息，请参阅[配置为与 Lightsail 配合使用](lightsail-how-to-set-up-and-configure-aws-cli.md)。 AWS CLI 

1. 打开命令提示符或终端窗口。

1. 输入以下命令以更改负载均衡器的 TLS 安全策略。

   ```
   aws lightsail update-load-balancer-attribute --load-balancer-name {{LoadBalancerName}} --attribute-name TlsPolicyName --attribute-value {{AttributeValue}}
   ```

   在该命令中，将以下示例文本替换为自己的文本：
   + {{LoadBalancerName}}使用您要为其更改 TLS 安全策略的负载均衡器的名称。
   + {{AttributeValue}}使用`TLS-2016-08`或`TLS-FS-1-2-Res-2019-08`安全策略。
**注意**  
命令中的 `TlsPolicyName` 属性指定您希望编辑在负载均衡器上配置的 TLS 安全策略。

   示例：

   ```
   aws lightsail update-load-balancer-attribute --load-balancer-name {{MyLoadBalancer}} --attribute-name TlsPolicyName --attribute-value {{TLS-2016-08}}
   ```

   您的更改需要一些时间才能生效。