Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation du contrôle du chiffrement VPC pour les instances gérées Amazon ECS
Les instances gérées Amazon ECS prennent en charge les contrôles de chiffrement VPC, une fonctionnalité de sécurité et de conformité qui fournit un contrôle centralisé permettant de surveiller et d'appliquer le chiffrement en transit pour tous les flux de trafic au sein et entre votre VPCs région. Lorsque les contrôles de chiffrement VPC sont activés sur votre sous-réseau, vous pouvez spécifier les types d'instances qui prennent en charge le chiffrement en transit dans votre fournisseur de capacité personnalisé Amazon ECS Managed Instances, garantissant ainsi que les charges de travail des instances gérées Amazon ECS s'exécutent avec le chiffrement pendant le transit.
Conditions préalables
Avant de commencer, vous avez besoin des éléments suivants :
VPC avec chiffrement en transit activé sur les sous-réseaux. Pour plus d'informations, consultez la documentation sur les contrôles de chiffrement VPC.
Un fournisseur de capacité personnalisée Amazon ECS Managed Instances. Pour de plus amples informations, veuillez consulter Architecture des instances gérées Amazon ECS.
Identifier les types d'instances compatibles
Les types d' EC2 instances Amazon doivent répondre à deux exigences :
-
Support du chiffrement VPC en transit : utilisez la AWS CLI commande suivante pour répertorier les types d' EC2 instances Amazon qui prennent en charge le chiffrement en transit :
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort -
Pris en charge par les instances gérées Amazon ECS - Tous les types d' EC2 instances Amazon pris en charge par les instances gérées Amazon ECS sont documentés dansTypes d’instances Amazon ECS Managed Instances.
Si vous avez des exigences supplémentaires (telles que des besoins spécifiques en termes de processeur, de mémoire ou d'architecture), filtrez davantage les types d'instances compatibles en fonction de vos exigences en matière de charge de travail.
Création d'un cluster prenant en charge le chiffrement VPC
Pour configurer les instances gérées Amazon ECS pour le chiffrement VPC en transit :
Créez un nouveau cluster et sélectionnez Fargate et Managed Instances pour l'infrastructure.
Sélectionnez Utiliser personnalisé — avancé pour accéder à des paramètres de configuration supplémentaires.
Dans Types d'instances autorisés, ajoutez uniquement les types d'instance spécifiques qui prennent en charge le chiffrement VPC en transit.
Lorsqu'elles sont configurées de cette façon, les instances gérées Amazon ECS ne lancent que les types d' EC2 instances Amazon qui prennent en charge le chiffrement VPC en transit.
Considérations
Instances aux performances éclatantes : les types d'instances T3, T3a et T4g ne prennent pas en charge le chiffrement VPC en transit et ne peuvent pas être utilisés dans des sous-réseaux avec le contrôle du chiffrement activé en mode forcé.
Transitions de mode : vous pouvez faire passer votre sous-réseau VPC du mode Moniteur au mode forcé uniquement si toutes les instances en cours d'exécution prennent en charge le chiffrement VPC en transit.
Échec du lancement des tâches : en mode imposé, les tâches ne seront pas lancées si vous spécifiez des types d'instances qui ne prennent pas en charge le chiffrement en transit.
Résolution des problèmes
- Échec du lancement des tâches en mode forcé
Si les tâches ne sont pas lancées, vérifiez que tous les types d'instances spécifiés prennent en charge le chiffrement VPC en transit à l'aide de la AWS CLI commande fournie ci-dessus.
- Impossible de passer en mode forcé
Utilisez la console ou la
GetVpcResourcesBlockingEncryptionEnforcementcommande pour identifier les ressources qui n'appliquent pas le chiffrement en transit.
Pour plus d'informations sur les contrôles de chiffrement VPC, consultez la documentation sur les contrôles de chiffrement VPC.
