Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement du trafic Amazon ECS Service Connect
Amazon ECS Service Connect prend en charge le chiffrement automatique du trafic avec des certificats du protocole TLS (Transport Layer Security) pour les services Amazon ECS. Lorsque vous pointez vos services Amazon ECS vers un AWS Autorité de certification privée (AWS CA privée), Amazon ECS fournit automatiquement des certificats TLS pour chiffrer le trafic entre vos services Amazon ECS Service Connect. Amazon ECS génère, fait pivoter et distribue les certificats TLS utilisés pour le chiffrement du trafic.
Le chiffrement automatique du trafic avec Service Connect utilise des fonctionnalités de chiffrement de pointe pour sécuriser vos communications entre services afin de répondre à vos exigences en matière de sécurité. Il prend en charge AWS Autorité de certification privée les certificats TLS avec 256-bit
ECDSA 2048-bit RSA chiffrement. Vous avez également un contrôle total sur les certificats privés et les clés de signature pour vous aider à respecter les exigences de conformité. Par défaut, TLS 1.3 est pris en charge, mais pas TLS 1.0 à 1.2. Service Connect prend en charge TLS 1.3 avec les chiffrements suivants :
-
TLS_AES_128_GCM_SHA256 -
TLS_AES_256_GCM_SHA384 -
TLS_CHACHA20_POLY1305_SHA256
Note
Pour utiliser TLS 1.3, vous devez l’activer sur l’écouteur de la cible.
Seul le trafic entrant et sortant passant par l’agent Amazon ECS est chiffré.
Service Connect et surveillances de l’état de l’Application Load Balancer
Vous pouvez utiliser Service Connect avec les surveillances de l’état de l’Application Load Balancer et le chiffrement TLS 1.3.
Configuration de l’Application Load Balancer
Configurez l’Application Load Balancer avec les paramètres suivants :
-
Configurez un écouteur TLS avec une politique de sécurité TLS 1.3 (telle que `ELBSecurityPolicy- TLS13 -1-2-2021-06`). Pour plus d’informations, consultez la section Politiques de sécurité pour votre Application Load Balancer.
-
Créez un groupe cible avec les paramètres suivants :
-
Définissez le protocole sur HTTPS.
-
Attachez le groupe cible à l’écouteur TLS.
-
Configurez le port de surveillance de l’état pour qu’il corresponde au port de conteneur de votre service Service Connect.
-
Configuration de Service Connect
Configurez un service avec les paramètres suivants :
-
Configurez le service pour utiliser le mode réseau
awsvpc, car le mode réseaubridgen’est pas pris en charge. -
Activez Service Connect pour le service.
-
Configurez l’équilibreur de charge avec les paramètres suivants :
-
Spécifiez le groupe cible que vous avez configuré pour votre Application Load Balancer.
-
Définissez le port de conteneur pour qu’il corresponde au port de conteneur du service Service Connect TLS.
-
-
Évitez de configurer
ingressPortOverridepour le service. Pour plus d'informations, consultez le ServiceConnectServicemanuel Amazon Elastic Container Service API Reference.
Considérations
Tenez compte des points suivants lorsque vous utilisez Application Load Balancer, le protocole TLS et Service Connect :
-
Utilisez le mode réseau
awsvpcplutôt que le mode réseaubridgepour les surveillances de l’état HTTPS lorsque vous utilisez Service Connect avec le chiffrement TLS. Les surveillances de l’état HTTP continueront de fonctionner avec le modebridge. -
Configurez le port de surveillance de l’état du groupe cible pour qu’il corresponde au port de conteneur du service Service Connect, et non au port HTTPS par défaut (443).
AWS Autorité de certification privée certificats et Service Connect
Vous devez disposer du rôle IAM d’infrastructure. Pour plus d’informations sur ce rôle, consultez la section Rôle IAM d’infrastructure Amazon ECS.
AWS Autorité de certification privée modes pour Service Connect
AWS Autorité de certification privée peut fonctionner selon deux modes : usage général et de courte durée.
-
Usage général : certificats configurables avec n’importe quelle date d’expiration.
-
De courte durée : certificats d’une durée de validité maximale de sept jours.
Amazon ECS prend en charge les deux modes, mais nous vous recommandons d’utiliser des certificats de courte durée. Par défaut, les certificats sont renouvelés tous les cinq jours, et leur utilisation en mode éphémère permet de réaliser des économies importantes par rapport aux certificats à usage général.
Service Connect ne prend pas en charge la révocation des certificats et utilise plutôt des certificats de courte durée avec une rotation fréquente des certificats. Vous avez le droit de modifier la fréquence de rotation, de désactiver ou de supprimer les secrets à l’aide de la rotation gérée dans Secrets Manager, mais cela peut avoir les conséquences suivantes.
-
Fréquence de rotation plus courte ‐ Une fréquence de rotation plus courte entraîne des coûts plus élevés en raison AWS CA privée de l'augmentation de la charge de travail liée à la rotation entre Secrets Manager et Amazon EC2 Auto Scaling. AWS KMS
-
Fréquence de rotation plus longue : les communications de vos applications échouent si la fréquence de rotation dépasse sept jours.
-
Suppression du secret : la suppression du secret entraîne l’échec de la rotation et a un impact sur les communications des applications clientes.
En cas d’échec de votre rotation de secret, un événement RotationFailed est publié dans AWS CloudTrail. Vous pouvez également configurer une CloudWatchalarme pourRotationFailed.
Important
N’ajoutez pas de réplicas de régions aux secrets. Cela empêche Amazon ECS de supprimer le secret, car Amazon ECS n’est pas autorisé à supprimer des régions de la réplication. Si vous avez déjà ajouté la réplication, exécutez la commande suivante.
aws secretsmanager remove-regions-from-replication \ --secret-idSecretId\ --remove-replica-regionsregion-name
Autorités de certification subordonnées
Vous pouvez importer n'importe quel certificat AWS CA privée, root ou subordonné, dans Service Connect TLS afin de délivrer des certificats d'entité finale pour les services. L’émetteur spécifié est considéré comme le signataire et la source de confiance dans tous les cas. Vous pouvez émettre des certificats d'entité finale pour différentes parties de votre application auprès de différents subordonnés CAs. Lorsque vous utilisez le AWS CLI, fournissez l'Amazon Resource Name (ARN) de l'autorité de certification pour établir la chaîne de confiance.
Autorités de certification sur site
Pour utiliser votre autorité de certification sur site, vous devez créer et configurer une autorité de certification subordonnée dans AWS Autorité de certification privée. Cela garantit que tous les certificats TLS émis pour vos charges de travail Amazon ECS partagent la chaîne de confiance avec les charges de travail que vous exécutez sur site et sont en mesure de se connecter en toute sécurité.
Important
Ajoutez le tag requis AmazonECSManaged :
true dans votre AWS CA privée.
Infrastructure en tant que code
Lorsque vous utilisez Service Connect TLS avec des outils d’infrastructure en tant que code (IaC), il est important de configurer correctement vos dépendances afin d’éviter des problèmes tels que le blocage des services. Votre AWS KMS clé, si elle est fournie, votre rôle IAM et vos AWS CA privée dépendances doivent être supprimés après votre service Amazon ECS.
Si l'espace de noms utilisé pour Service Connect est un espace de noms partagé, vous pouvez choisir d'utiliser une ressource partagée AWS CA privée . Pour plus d’informations, consultez la section Joindre une politique d’accès intercompte dans le Guide de l’utilisateur AWS Autorité de certification privée .
Service Connect et Secrets Manager
Lorsque vous utilisez Amazon ECS Service Connect avec le chiffrement TLS, le service interagit avec Secrets Manager de la manière suivante :
Service Connect utilise le rôle d’infrastructure fourni pour créer des secrets dans Secrets Manager. Ces secrets sont utilisés pour stocker les clés privées associées à vos certificats TLS afin de chiffrer le trafic entre vos services Service Connect.
Avertissement
La création et la gestion automatiques de ces secrets par Service Connect rationalisent le processus de mise en œuvre du chiffrement TLS pour vos services. Toutefois, il est important de connaître les implications potentielles en matière de sécurité. Les autres rôles IAM disposant d’un accès en lecture à Secrets Manager peuvent accéder à ces secrets créés automatiquement. Cela pourrait exposer du matériel cryptographique sensible à des parties non autorisées, si les contrôles d’accès ne sont pas correctement configurés.
Pour atténuer ce risque, appliquez les pratiques exemplaires suivantes :
-
Gérez et limitez soigneusement l’accès à Secrets Manager, en particulier pour les secrets créés par Service Connect.
-
Auditez régulièrement les rôles IAM et leurs autorisations afin de garantir le respect du principe du moindre privilège.
Lorsque vous accordez un accès en lecture à Secrets Manager, pensez à exclure les clés privées TLS créées par Service Connect. Vous pouvez le faire en utilisant une condition dans vos politiques IAM pour exclure les secrets ARNs qui correspondent au modèle :
"arn:aws:secretsmanager:::secret:ecs-sc!"
Exemple de politique IAM qui refuse l’action GetSecretValue à tous les secrets ayant le préfixe ecs-sc! :
Note
Il s'agit d'un exemple général qui devra peut-être être ajusté en fonction de votre cas d'utilisation spécifique et de la configuration de votre AWS compte. Testez toujours vos politiques IAM de manière approfondie pour vous assurer qu’elles fournissent l’accès prévu tout en préservant la sécurité.
La compréhension du fonctionnement de Service Connect avec Secrets Manager vous permet de renforcer la sécurité de vos services Amazon ECS tout en tirant parti des avantages du chiffrement TLS automatique.
Service Connect et AWS Key Management Service
Vous pouvez l'utiliser AWS Key Management Servicepour chiffrer et déchiffrer vos ressources Service Connect. AWS KMS est un service géré par AWS lequel vous pouvez créer et gérer des clés cryptographiques qui protègent vos données.
Lorsque vous utilisez AWS KMS Service Connect, vous pouvez choisir d'utiliser une clé AWS détenue qui AWS gère pour vous ou de choisir une AWS KMS clé existante. Vous pouvez également créer une nouvelle AWS KMS clé à utiliser.
Utilisation de votre propre clé de chiffrement
Vous pouvez fournir vos propres éléments clés ou utiliser un magasin de clés externe via AWS Key Management Service Importer votre propre clé dans AWS KMS, puis spécifier le nom de ressource Amazon (ARN) de cette clé dans Amazon ECS Service Connect.
Voici un exemple de AWS KMS politique. Remplacez les user
input valeurs par les vôtres.
Pour de plus amples informations sur les stratégies de clé, consultez la section Création de stratégies de clé dans le Guide du développeur AWS Key Management Service .
Note
Service Connect prend uniquement en charge les AWS KMS clés de chiffrement symétriques. Vous ne pouvez utiliser aucun autre type de AWS KMS clé pour chiffrer vos ressources Service Connect. Pour savoir si une AWS KMS clé est une clé de chiffrement symétrique, voir Identifier les clés KMS asymétriques.
Pour plus d'informations sur les clés de chiffrement AWS Key Management Service symétriques, consultez la section AWS KMS Clés de chiffrement symétriques dans le manuel du AWS Key Management Service développeur.
