Infrastruktursicherheit in Amazon Elastic Container Service
Als verwalteter Service ist der Amazon Elastic Container Service durch globale Netzwerksicherheit von AWS geschützt. Informationen zu AWS-Sicherheitsservices und wie AWS die Infrastruktur schützt, finden Sie unter AWS-Cloud-Sicherheit
Sie verwenden durch AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon ECS zuzugreifen. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Sie können diese API-Vorgänge von einem beliebigen Netzwerkstandort aus aufrufen. Amazon ECS unterstützt ressourcenbasierte Zugriffsrichtlinien, die Einschränkungen auf der Grundlage der Quell-IP-Adresse enthalten können. Stellen Sie daher sicher, dass die Richtlinien die IP-Adresse für den Netzwerkstandort berücksichtigen. Sie können auch Amazon-ECS-Richtlinien verwenden, um den Zugriff über bestimmte Amazon Virtual Private Cloud-Endpunkte oder bestimmte VPCs zu steuern. Tatsächlich wird der Netzwerkzugriff hierdurch auf eine bestimmte Amazon-ECS-Ressource eingeschränkt, sodass er ausschließlich über eine bestimmte VPC innerhalb des AWS-Netzwerks ausgeführt werden kann. Weitere Informationen finden Sie unter Amazon ECS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink).
