Chiffrez le trafic Amazon ECS Service Connect - Amazon Elastic Container Service
Contrôles de santé de Service Connect et Application Load BalancerAWS Private Certificate Authority certificats et Service ConnectService Connect et Secrets ManagerService Connect et AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrez le trafic Amazon ECS Service Connect

Amazon ECS Service Connect prend en charge le chiffrement automatique du trafic avec des certificats TLS (Transport Layer Security) pour les services Amazon ECS. Lorsque vous pointez vos services Amazon ECS vers un AWS Private Certificate Authority (AWS Private CA), Amazon ECS fournit automatiquement des certificats TLS pour chiffrer le trafic entre vos services Amazon ECS Service Connect. Amazon ECS génère, fait pivoter et distribue les certificats TLS utilisés pour le chiffrement du trafic.

Le chiffrement automatique du trafic avec Service Connect utilise des fonctionnalités de chiffrement de pointe pour sécuriser vos communications interservices afin de répondre à vos exigences de sécurité. Il prend en charge AWS Private Certificate Authority les certificats TLS avec 256-bit ECDSA 2048-bit RSA chiffrement. Vous avez également un contrôle total sur les certificats privés et les clés de signature pour vous aider à respecter les exigences de conformité. Par défaut, le protocole TLS 1.3 est pris en charge, mais pas le protocole TLS 1.0 à 1.2. Service Connect prend en charge le protocole TLS 1.3 avec les chiffrements suivants :

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

Note

Pour utiliser TLS 1.3, vous devez l'activer sur l'écouteur de la cible.

Seul le trafic entrant et sortant passant par l'agent Amazon ECS est chiffré.

Contrôles de santé de Service Connect et Application Load Balancer

Vous pouvez utiliser Service Connect avec les contrôles de santé d'Application Load Balancer et le chiffrement TLS 1.3.

Configuration de l'Application Load Balancer

Configurez l'Application Load Balancer avec les paramètres suivants :

  • Configurez un écouteur TLS avec une politique de sécurité TLS 1.3 (telle que `ELBSecurityPolicy- TLS13 -1-2-2021-06`). Pour plus d'informations, consultez la section Politiques de sécurité de votre Application Load Balancer.

  • Créez un groupe cible avec les paramètres suivants :

    • Définissez le protocole sur HTTPS

    • Attachez le groupe cible à l'écouteur TLS

    • Configurez le port de contrôle de santé pour qu'il corresponde au port de conteneur de votre service Service Connect

Configuration de Service Connect

Configurez un service avec les paramètres suivants :

  • Configurez le service pour utiliser le mode awsvpc réseau, car le mode bridge réseau n'est pas pris en charge.

  • Activez Service Connect pour le service.

  • Configurez la configuration de l'équilibreur de charge avec les paramètres suivants :

    • Spécifiez le groupe cible que vous avez configuré pour votre Application Load Balancer

    • Définissez le port du conteneur pour qu'il corresponde au port du conteneur du service Service Connect TLS

  • Évitez ingressPortOverride de configurer le service. Pour plus d'informations, consultez le ServiceConnectServicemanuel Amazon Elastic Container Service API Reference.

Considérations

Tenez compte des points suivants lorsque vous utilisez Application Load Balancer, TLS et Service Connect :

  • Utilisez le mode awsvpc réseau plutôt que le mode bridge réseau pour les contrôles de santé HTTPS lorsque vous utilisez Service Connect avec le chiffrement TLS. Les contrôles de santé HTTP continueront de fonctionner avec bridge le mode.

  • Configurez le port de vérification de l'état du groupe cible pour qu'il corresponde au port de conteneur du service Service Connect, et non au port HTTPS par défaut (443).

AWS Private Certificate Authority certificats et Service Connect

Vous devez avoir le rôle IAM dans l'infrastructure. Pour plus d'informations sur ce rôle, consultez le rôle IAM de l'infrastructure Amazon ECS.

AWS Private Certificate Authority modes pour Service Connect

AWS Private Certificate Authority peut fonctionner selon deux modes : usage général et de courte durée.

  • Usage général ‐ Certificats configurables avec n'importe quelle date d'expiration.

  • De courte durée ‐ Certificats d'une validité maximale de sept jours.

Amazon ECS prend en charge les deux modes, mais nous vous recommandons d'utiliser des certificats de courte durée. Par défaut, les certificats sont renouvelés tous les cinq jours, et leur utilisation en mode éphémère permet de réaliser des économies importantes par rapport à un usage général.

Service Connect ne prend pas en charge la révocation des certificats et utilise plutôt des certificats de courte durée avec une rotation fréquente des certificats. Vous avez le droit de modifier la fréquence de rotation, de désactiver ou de supprimer les secrets à l'aide de la rotation gérée dans Secrets Manager, mais cela peut avoir les conséquences suivantes.

  • Fréquence de rotation plus courte ‐ Une fréquence de rotation plus courte entraîne des coûts plus élevés en raison AWS Private CA de l'augmentation de la charge de travail liée à la rotation entre Secrets Manager et Auto Scaling. AWS KMS

  • Fréquence de rotation plus longue ‐ Les communications de vos applications échouent si la fréquence de rotation dépasse sept jours.

  • Suppression du secret ‐ La suppression du secret entraîne l'échec de la rotation et a un impact sur les communications des applications clientes.

En cas d'échec de votre rotation secrète, un RotationFailed événement est publié dans AWS CloudTrail. Vous pouvez également configurer une CloudWatch alarme pourRotationFailed.

Important

N'ajoutez pas de répliques de régions aux secrets. Cela empêche Amazon ECS de supprimer le secret, car Amazon ECS n'est pas autorisé à supprimer des régions de la réplication. Si vous avez déjà ajouté la réplication, exécutez la commande suivante.

aws secretsmanager remove-regions-from-replication \
 --secret-id SecretId \
 --remove-replica-regions region-name
Autorités de certification subordonnées

Vous pouvez importer n'importe quel certificat AWS Private CA, root ou subordonné, dans Service Connect TLS afin de délivrer des certificats d'entité finale pour les services. L'émetteur indiqué est considéré comme le signataire et la source de confiance partout. Vous pouvez émettre des certificats d'entité finale pour différentes parties de votre application auprès de différents subordonnés CAs. Lorsque vous utilisez le AWS CLI, fournissez l'Amazon Resource Name (ARN) de l'autorité de certification pour établir la chaîne de confiance.

Autorités de certification locales

Pour utiliser votre autorité de certification locale, vous devez créer et configurer une autorité de certification subordonnée dans. AWS Private Certificate Authority Cela garantit que tous les certificats TLS émis pour vos charges de travail Amazon ECS partagent la chaîne de confiance avec les charges de travail que vous exécutez sur site et sont en mesure de se connecter en toute sécurité.

Important

Ajoutez le tag requis AmazonECSManaged : true dans votre AWS Private CA.

Infrastructure en tant que code

Lorsque vous utilisez Service Connect TLS avec des outils d'infrastructure en tant que code (IaC), il est important de configurer correctement vos dépendances pour éviter les problèmes tels que le blocage des services. Votre AWS KMS clé, si elle est fournie, votre rôle IAM et vos AWS Private CA dépendances doivent être supprimés après votre service Amazon ECS.

Service Connect et Secrets Manager

Lorsque vous utilisez Amazon ECS Service Connect avec le chiffrement TLS, le service interagit avec Secrets Manager de la manière suivante :

Service Connect utilise le rôle d'infrastructure fourni pour créer des secrets dans Secrets Manager. Ces secrets sont utilisés pour stocker les clés privées associées à vos certificats TLS afin de chiffrer le trafic entre vos services Service Connect.

Avertissement

La création et la gestion automatiques de ces secrets par Service Connect rationalisent le processus de mise en œuvre du chiffrement TLS pour vos services. Cependant, il est important d'être conscient des implications potentielles en matière de sécurité. Les autres rôles IAM disposant d'un accès en lecture à Secrets Manager peuvent accéder à ces secrets créés automatiquement. Cela pourrait exposer du matériel cryptographique sensible à des parties non autorisées, si les contrôles d'accès ne sont pas correctement configurés.

Pour atténuer ce risque, suivez les meilleures pratiques suivantes :

  • Gérez et limitez soigneusement l'accès à Secrets Manager, en particulier pour les secrets créés par Service Connect.

  • Auditez régulièrement les rôles IAM et leurs autorisations afin de garantir le respect du principe du moindre privilège.

Lorsque vous accordez un accès en lecture à Secrets Manager, pensez à exclure les clés privées TLS créées par Service Connect. Vous pouvez le faire en utilisant une condition dans vos politiques IAM pour exclure les secrets ARNs qui correspondent au modèle :

"arn:aws:secretsmanager:::secret:ecs-sc!"

Exemple de politique IAM qui refuse l'GetSecretValueaction à tous les secrets avec le ecs-sc! préfixe :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*"
        }
    ]
}
Note

Il s'agit d'un exemple général qui devra peut-être être ajusté en fonction de votre cas d'utilisation spécifique et de la configuration de votre AWS compte. Testez toujours vos politiques IAM de manière approfondie pour vous assurer qu'elles fournissent l'accès prévu tout en préservant la sécurité.

En comprenant comment Service Connect interagit avec Secrets Manager, vous pouvez mieux gérer la sécurité de vos services Amazon ECS tout en tirant parti des avantages du chiffrement TLS automatique.

Service Connect et AWS Key Management Service

Vous pouvez l'utiliser AWS Key Management Servicepour chiffrer et déchiffrer vos ressources Service Connect. AWS KMS est un service géré par AWS lequel vous pouvez créer et gérer des clés cryptographiques qui protègent vos données.

Lorsque vous utilisez AWS KMS Service Connect, vous pouvez choisir d'utiliser une clé AWS détenue qui AWS gère pour vous ou de choisir une AWS KMS clé existante. Vous pouvez également créer une nouvelle AWS KMS clé à utiliser.

Fournir votre propre clé de chiffrement

Vous pouvez fournir vos propres éléments clés ou utiliser un magasin de clés externe via AWS Key Management Service Importer votre propre clé dans AWS KMS, puis spécifier le nom de ressource Amazon (ARN) de cette clé dans Amazon ECS Service Connect.

Voici un exemple de AWS KMS politique. Remplacez les user input valeurs par les vôtres.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "id",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/role-name"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair"
      ],
      "Resource": "*"
    }
  ]
}

Pour plus d'informations sur les politiques clés, consultez la section Création d'une politique clé dans le Guide du AWS Key Management Service développeur.

Note

Service Connect prend uniquement en charge les AWS KMS clés de chiffrement symétriques. Vous ne pouvez utiliser aucun autre type de AWS KMS clé pour chiffrer vos ressources Service Connect. Pour savoir si une AWS KMS clé est une clé de chiffrement symétrique, voir Identifier les clés KMS asymétriques.

Pour plus d'informations sur les clés de chiffrement AWS Key Management Service symétriques, consultez la section AWS KMS Clés de chiffrement symétriques dans le manuel du AWS Key Management Service développeur.