VPC-Verschlüsselungssteuerung für Amazon ECS Managed Instances aktivieren - Amazon Elastic Container Service
VoraussetzungenIdentifizieren Sie kompatible Instance-TypenErstellen Sie einen Cluster mit VPC-VerschlüsselungsunterstützungÜberlegungenFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Verschlüsselungssteuerung für Amazon ECS Managed Instances aktivieren

Amazon ECS Managed Instances unterstützt VPC Encryption Controls, eine Sicherheits- und Compliance-Funktion, die eine zentrale Steuerung zur Überwachung und Durchsetzung der Verschlüsselung während der Übertragung für den gesamten Datenverkehr innerhalb und innerhalb Ihrer VPCs Region bietet. Wenn VPC Encryption Controls in Ihrem Subnetz aktiviert ist, können Sie Instance-Typen angeben, die die Verschlüsselung während der Übertragung in Ihrem benutzerdefinierten Kapazitätsanbieter für Amazon ECS Managed Instances unterstützen, um sicherzustellen, dass Amazon ECS Managed Instance-Workloads mit Verschlüsselung während der Übertragung ausgeführt werden.

Voraussetzungen

Bevor Sie anfangen, benötigen Sie:

Identifizieren Sie kompatible Instance-Typen

EC2 Amazon-Instance-Typen müssen zwei Anforderungen erfüllen:

  1. VPC-Verschlüsselung bei der Übertragung Support — Verwenden Sie den folgenden AWS CLI Befehl, um EC2 Amazon-Instance-Typen aufzulisten, die Verschlüsselung bei der Übertragung unterstützen:

    aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

  2. Von Amazon ECS Managed Instances unterstützt — Alle EC2 Amazon-Instance-Typen, die von Amazon ECS Managed Instances unterstützt werden, sind unter dokumentiertInstance-Typen von Amazon ECS Managed Instances.

Wenn Sie zusätzliche Anforderungen haben (z. B. spezifische CPU-, Speicher- oder Architekturanforderungen), filtern Sie die kompatiblen Instance-Typen anhand Ihrer Workload-Anforderungen weiter.

Erstellen Sie einen Cluster mit VPC-Verschlüsselungsunterstützung

So konfigurieren Sie Amazon ECS Managed Instances für die VPC-Verschlüsselung bei der Übertragung:

  1. Erstellen Sie einen neuen Cluster und wählen Sie Fargate und Managed Instances für die Infrastruktur aus.

  2. Wählen Sie Benutzerdefiniert — Erweitert verwenden, um auf zusätzliche Konfigurationsparameter zuzugreifen.

  3. Fügen Sie unter Zulässige Instanztypen nur die spezifischen Instanztypen hinzu, die die VPC-Verschlüsselung bei der Übertragung unterstützen.

Bei dieser Konfiguration starten Amazon ECS Managed Instances nur EC2 Amazon-Instance-Typen, die VPC-Verschlüsselung bei der Übertragung unterstützen.

Überlegungen

  • Burstable Performance-Instances — Die Instance-Typen T3, T3a und T4g unterstützen keine VPC-Verschlüsselung bei der Übertragung und können nicht in Subnetzen verwendet werden, in denen die Verschlüsselungssteuerung im Modus Enforced aktiviert ist.

  • Modusübergänge — Sie können Ihr VPC-Subnetz nur dann vom Überwachungsmodus in den erzwungenen Modus überführen, wenn alle laufenden Instances die VPC-Verschlüsselung bei der Übertragung unterstützen.

  • Fehler beim Starten von Aufgaben — Im erzwungenen Modus können Aufgaben nicht gestartet werden, wenn Sie Instance-Typen angeben, die keine Verschlüsselung bei der Übertragung unterstützen.

Fehlerbehebung

Fehler beim Starten von Aufgaben im erzwungenen Modus

Wenn Aufgaben nicht gestartet werden können, stellen Sie mithilfe des oben angegebenen AWS CLI Befehls sicher, dass alle angegebenen Instance-Typen die VPC-Verschlüsselung bei der Übertragung unterstützen.

Der Übergang in den erzwungenen Modus ist nicht möglich

Verwenden Sie die Konsole oder den GetVpcResourcesBlockingEncryptionEnforcement Befehl, um Ressourcen zu identifizieren, die während der Übertragung keine Verschlüsselung erzwingen.

Weitere Informationen zu VPC Encryption Controls finden Sie in der Dokumentation zu VPC-Verschlüsselungskontrollen.