Habilitación del control de cifrado de VPC para las instancias administradas de Amazon ECS
Las instancias administradas de Amazon ECS son compatibles con los controles de cifrado de VPC, una característica de seguridad y conformidad que proporciona un control centralizado para monitorear y aplicar el cifrado en tránsito de todos los flujos de tráfico dentro de las VPC de una región y entre ellas. Cuando los controles de cifrado de VPC se habilitan en la subred, puede especificar los tipos de instancias que admiten el cifrado en tránsito en su proveedor de capacidad personalizado de instancias administradas de Amazon ECS, lo que garantiza que las cargas de trabajo de las instancias administradas de Amazon ECS se ejecuten con cifrado en tránsito.
Requisitos previos
Antes de comenzar, necesitará:
Una VPC con cifrado en tránsito habilitado en las subredes. Para obtener más información, consulte la documentación de controles de cifrado de VPC.
Un proveedor de capacidad de instancias administradas de Amazon ECS personalizado. Para obtener más información, consulte Arquitecto de instancias administradas de Amazon ECS.
Identificar los tipos de instancias compatibles
Los tipos de instancias de Amazon EC2 deben cumplir con estos dos requisitos:
-
Admitir cifrado de VPC en tránsito: utilice el siguiente comando AWS CLI para enumerar los tipos de instancias de Amazon EC2 que admiten el cifrado en tránsito:
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort -
Compatible con las instancias administradas de Amazon ECS: todos los tipos de instancias de Amazon EC2 compatibles con las instancias administradas de Amazon ECS se documentan en Tipos de instancias de instancias administradas de Amazon ECS.
Si tiene requisitos adicionales (como necesidades específicas de CPU, memoria o arquitectura), filtre aún más los tipos de instancias compatibles en función de sus requisitos de carga de trabajo.
Cree un clúster compatible con cifrado de VPC
Para configurar las instancias administradas de Amazon ECS para el cifrado de VPC en tránsito:
Cree un nuevo clúster y seleccione Instancias administradas y de Fargate para la infraestructura.
Seleccione Usar personalizado: avanzado para acceder a parámetros de configuración adicionales.
En Tipos de instancias permitidos, agregue solo los tipos de instancias específicos que admiten el cifrado de VPC en tránsito.
Si se configuran de esta manera, las instancias administradas de Amazon ECS lanzarán solo los tipos de instancias de Amazon EC2 que admitan el cifrado de VPC en tránsito.
Consideraciones
Instancias de rendimiento ampliable: los tipos de instancia T3, T3a y T4g no admiten el cifrado de VPC en tránsito y no se pueden usar en subredes con el control de cifrado habilitado en el modo Forzado.
Transiciones de modo: solo puede hacer la transición de la subred de VPC del modo Monitor al modo Forzado si todas las instancias en ejecución admiten el cifrado de VPC en tránsito.
Fallos al iniciar las tareas: en el modo Forzado, las tareas no se iniciarán si especifica tipos de instancias que no admiten el cifrado en tránsito.
Solución de problemas
- Fallos en el inicio de las tareas en el modo Forzado
Si las tareas no se inician, compruebe que todos los tipos de instancias especificados admiten el cifrado de VPC en tránsito mediante el comando de AWS CLI indicado anteriormente.
- No se puede pasar al modo Forzado.
Utilice la consola o el comando
GetVpcResourcesBlockingEncryptionEnforcementpara identificar los recursos que no están aplicando el cifrado en tránsito.
Para obtener más información sobre los controles de cifrado de VPC, consulte la documentación de controles de cifrado de VPC.
