Mengaktifkan kontrol Enkripsi VPC untuk Instans Terkelola Amazon ECS - Amazon Elastic Container Service
PrasyaratIdentifikasi jenis instance yang kompatibelBuat cluster dengan dukungan enkripsi VPCPertimbangan-pertimbanganPemecahan masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan kontrol Enkripsi VPC untuk Instans Terkelola Amazon ECS

Instans Terkelola Amazon ECS mendukung Kontrol Enkripsi VPC, fitur keamanan dan kepatuhan yang menyediakan kontrol terpusat untuk memantau dan menerapkan enkripsi saat transit untuk semua arus lalu lintas di dalam dan di seluruh wilayah Anda. VPCs Saat Kontrol Enkripsi VPC diaktifkan di subnet, Anda dapat menentukan jenis instans yang mendukung enkripsi saat transit di penyedia kapasitas khusus Instans Terkelola Amazon ECS, yang menjamin bahwa beban kerja Instans Terkelola Amazon ECS berjalan dengan enkripsi saat transit.

Prasyarat

Sebelum memulai, Anda memerlukan:

Identifikasi jenis instance yang kompatibel

Jenis EC2 instans Amazon harus memenuhi dua persyaratan:

  1. Support enkripsi VPC dalam perjalanan - Gunakan AWS CLI perintah berikut untuk mencantumkan jenis EC2 instans Amazon yang mendukung enkripsi saat transit:

    aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

  2. Didukung oleh Instans Terkelola Amazon ECS - Semua jenis EC2 instans Amazon yang didukung oleh Instans Terkelola Amazon ECS didokumentasikan dalam. Tipe instans Instans Terkelola Amazon ECS

Jika Anda memiliki persyaratan tambahan (seperti kebutuhan CPU, memori, atau arsitektur tertentu), filter jenis instans yang kompatibel lebih lanjut berdasarkan persyaratan beban kerja Anda.

Buat cluster dengan dukungan enkripsi VPC

Untuk mengonfigurasi Instans Terkelola Amazon ECS untuk enkripsi VPC saat transit:

  1. Buat klaster baru dan pilih Fargate dan Instans Terkelola untuk infrastruktur.

  2. Pilih Gunakan kustom — lanjutan untuk mengakses parameter konfigurasi tambahan.

  3. Dalam tipe Instance yang Diizinkan, tambahkan hanya tipe instans tertentu yang mendukung enkripsi VPC saat transit.

Saat dikonfigurasi dengan cara ini, Instans Terkelola Amazon ECS hanya akan meluncurkan jenis EC2 instans Amazon yang mendukung enkripsi VPC saat transit.

Pertimbangan-pertimbangan

  • Instans kinerja burstable - Jenis instans T3, T3a, dan T4G tidak mendukung enkripsi VPC dalam perjalanan dan tidak dapat digunakan dalam subnet dengan kontrol enkripsi diaktifkan dalam mode Enforced.

  • Transisi mode - Anda dapat mentransisikan subnet VPC Anda dari mode Monitor ke mode Ditegakkan hanya jika semua instance yang berjalan mendukung enkripsi VPC dalam perjalanan.

  • Kegagalan peluncuran tugas - Dalam mode Ditegakkan, tugas akan gagal diluncurkan jika Anda menentukan jenis instance yang tidak mendukung enkripsi saat transit.

Pemecahan masalah

Kegagalan peluncuran tugas dalam mode Ditegakkan

Jika tugas gagal diluncurkan, verifikasi bahwa semua jenis instance yang ditentukan mendukung enkripsi VPC dalam perjalanan menggunakan AWS CLI perintah yang disediakan di atas.

Tidak dapat beralih ke mode Ditegakkan

Gunakan konsol atau GetVpcResourcesBlockingEncryptionEnforcement perintah untuk mengidentifikasi sumber daya yang tidak menerapkan enkripsi saat transit.

Untuk informasi selengkapnya tentang Kontrol Enkripsi VPC, lihat dokumentasi kontrol enkripsi VPC.