Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi lalu lintas Amazon ECS Service Connect
Amazon ECS Service Connect mendukung enkripsi lalu lintas otomatis dengan sertifikat Transport Layer Security (TLS) untuk layanan Amazon ECS. Saat Anda mengarahkan layanan Amazon ECS ke AWS Private Certificate Authority (AWS Private CA), Amazon ECS secara otomatis menyediakan sertifikat TLS untuk mengenkripsi lalu lintas antara layanan Amazon ECS Service Connect Anda. Amazon ECS menghasilkan, memutar, dan mendistribusikan sertifikat TLS yang digunakan untuk enkripsi lalu lintas.
Enkripsi lalu lintas otomatis dengan Service Connect menggunakan kemampuan enkripsi terdepan di industri untuk mengamankan komunikasi antar-layanan Anda yang membantu Anda memenuhi persyaratan keamanan. Ini mendukung sertifikat AWS Private Certificate Authority TLS dengan 256-bit
ECDSA dan 2048-bit RSA enkripsi. Anda juga memiliki kontrol penuh atas sertifikat pribadi dan kunci penandatanganan untuk membantu Anda memenuhi persyaratan kepatuhan. Secara default, TLS 1.3 didukung, tetapi TLS 1.0 - 1.2 tidak didukung. Service Connect mendukung TLS 1.3 dengan cipher berikut:
-
TLS_AES_128_GCM_SHA256 -
TLS_AES_256_GCM_SHA384 -
TLS_CHACHA20_POLY1305_SHA256
catatan
Untuk menggunakan TLS 1.3, Anda harus mengaktifkannya pada pendengar pada target.
Hanya lalu lintas masuk dan keluar yang lewat melalui agen Amazon ECS dienkripsi.
Pemeriksaan kesehatan Service Connect dan Application Load Balancer
Anda dapat menggunakan Service Connect dengan pemeriksaan kesehatan Application Load Balancer dan enkripsi TLS 1.3. Konfigurasikan parameter berikut untuk Service Connect:
-
Konfigurasikan Application Load Balancer untuk hal-hal berikut:
-
Gunakan kebijakan keamanan TLS 1.3 apa pun. Untuk informasi selengkapnya, lihat Kebijakan keamanan untuk Application Load Balancer Anda.
-
Grup target yang menggunakan protokol HTTPS dan dilampirkan ke pendengar TLS.
-
Pemeriksaan kesehatan diatur ke Port Kontainer.
-
Layanan dengan konfigurasi berikut:
-
Menggunakan
awsvpcmode. -
Memiliki Service Connect diaktifkan.
-
Konfigurasi penyeimbang beban diatur untuk menggunakan grup target yang dikonfigurasi pada Application Load Balancer Anda dan port kontainer disetel ke port yang sama dengan layanan Anda.
-
Layanan tidak dapat dikonfigurasi dengan file
ingressPortOverride. Untuk informasi selengkapnya, lihat ServiceConnectServicedi Referensi API Amazon Elastic Container Service.
-
Pertimbangan:
-
Service Connect with TLS tidak mendukung mode jaringan Bridge. Hanya mode
awsvpcjaringan yang didukung.
AWS Private Certificate Authority sertifikat dan Service Connect
Anda harus memiliki peran IAM infrastruktur. Untuk informasi selengkapnya tentang peran ini, lihat peran IAM infrastruktur Amazon ECS.
AWS Private Certificate Authority mode untuk Service Connect
AWS Private Certificate Authority dapat berjalan dalam dua mode: tujuan umum dan berumur pendek.
-
Tujuan umum - Sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun.
-
Berumur pendek - Sertifikat dengan validitas maksimum tujuh hari.
Meskipun Amazon ECS mendukung kedua mode, kami sarankan untuk menggunakan sertifikat berumur pendek. Secara default, sertifikat berputar setiap lima hari, dan berjalan dalam mode berumur pendek menawarkan penghematan biaya yang signifikan dibandingkan tujuan umum.
Service Connect tidak mendukung pencabutan sertifikat dan sebaliknya memanfaatkan sertifikat berumur pendek dengan rotasi sertifikat yang sering. Anda memiliki wewenang untuk memodifikasi frekuensi rotasi, menonaktifkan, atau menghapus rahasia menggunakan rotasi terkelola di Secrets Manager, tetapi hal itu dapat disertai dengan konsekuensi yang mungkin berikut.
-
Frekuensi Rotasi Lebih Pendek - Frekuensi rotasi yang lebih pendek menimbulkan biaya yang lebih tinggi karena AWS Private CA, AWS KMS dan Secrets Manager, dan Auto Scaling mengalami peningkatan beban kerja untuk rotasi.
-
Frekuensi Rotasi Lebih Panjang - Komunikasi aplikasi Anda gagal jika frekuensi rotasi melebihi tujuh hari.
-
Penghapusan Rahasia - Menghapus rahasia menghasilkan kegagalan rotasi dan berdampak pada komunikasi aplikasi pelanggan.
Jika rotasi rahasia Anda gagal, sebuah RotationFailed acara dipublikasikan di AWS CloudTrail. Anda juga dapat mengatur CloudWatch Alarm untukRotationFailed.
penting
Jangan menambahkan replika Regions ke rahasia. Melakukannya mencegah Amazon ECS menghapus rahasia, karena Amazon ECS tidak memiliki izin untuk menghapus Wilayah dari replikasi. Jika Anda sudah menambahkan replikasi, jalankan perintah berikut.
aws secretsmanager remove-regions-from-replication \ --secret-idSecretId\ --remove-replica-regionsregion-name
Otoritas Sertifikat Bawahan
Anda dapat membawa apa saja AWS Private CA, root atau bawahan, ke Service Connect TLS untuk menerbitkan sertifikat entitas akhir untuk layanan. Penerbit yang disediakan diperlakukan sebagai penandatangan dan akar kepercayaan di mana-mana. Anda dapat menerbitkan sertifikat entitas akhir untuk berbagai bagian aplikasi Anda dari bawahan yang berbeda. CAs Saat menggunakan AWS CLI, berikan Nama Sumber Daya Amazon (ARN) CA untuk membangun rantai kepercayaan.
Otoritas Sertifikat Lokal
Untuk menggunakan CA lokal, Anda membuat dan mengonfigurasi CA bawahan. AWS Private Certificate Authority Ini memastikan semua sertifikat TLS yang dikeluarkan untuk beban kerja Amazon ECS Anda berbagi rantai kepercayaan dengan beban kerja yang Anda jalankan di tempat dan dapat terhubung dengan aman.
penting
Tambahkan tag yang diperlukan AmazonECSManaged :
true di AWS Private CA.
Infrastruktur sebagai kode
Saat menggunakan alat Service Connect TLS dengan Infrastructure as Code (IAc), penting untuk mengonfigurasi dependensi Anda dengan benar untuk menghindari masalah, seperti layanan yang macet dalam pengurasan. AWS KMS Kunci Anda, jika disediakan, peran IAM, dan AWS Private CA dependensi harus dihapus setelah layanan Amazon ECS Anda.
Service Connect dan Secrets Manager
Saat menggunakan Amazon ECS Service Connect dengan enkripsi TLS, layanan berinteraksi dengan Secrets Manager dengan cara berikut:
Service Connect menggunakan peran infrastruktur yang disediakan untuk membuat rahasia dalam Secrets Manager. Rahasia ini digunakan untuk menyimpan kunci pribadi terkait untuk sertifikat TLS Anda untuk mengenkripsi lalu lintas antara layanan Service Connect Anda.
Awas
Pembuatan dan pengelolaan rahasia ini secara otomatis oleh Service Connect menyederhanakan proses penerapan enkripsi TLS untuk layanan Anda. Namun, penting untuk menyadari potensi implikasi keamanan. Peran IAM lain yang memiliki akses baca ke Secrets Manager mungkin dapat mengakses rahasia yang dibuat secara otomatis ini. Ini dapat mengekspos materi kriptografi sensitif kepada pihak yang tidak berwenang, jika kontrol akses tidak dikonfigurasi dengan benar.
Untuk mengurangi risiko ini, ikuti praktik terbaik berikut:
-
Kelola dan batasi akses ke Secrets Manager dengan hati-hati, terutama untuk rahasia yang dibuat oleh Service Connect.
-
Secara teratur mengaudit peran IAM dan izinnya untuk memastikan prinsip hak istimewa paling sedikit dipertahankan.
Saat memberikan akses baca ke Secrets Manager, pertimbangkan untuk mengecualikan kunci pribadi TLS yang dibuat oleh Service Connect. Anda dapat melakukan ini dengan menggunakan kondisi dalam kebijakan IAM Anda untuk mengecualikan rahasia ARNs yang cocok dengan pola:
"arn:aws:secretsmanager:::secret:ecs-sc!"
Contoh kebijakan IAM yang menyangkal GetSecretValue tindakan untuk semua rahasia dengan awalan: ecs-sc!
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*" } ] }
catatan
Ini adalah contoh umum dan mungkin perlu disesuaikan berdasarkan kasus penggunaan spesifik dan konfigurasi AWS akun Anda. Selalu uji kebijakan IAM Anda secara menyeluruh untuk memastikan mereka menyediakan akses yang diinginkan sambil menjaga keamanan.
Dengan memahami bagaimana Service Connect berinteraksi dengan Secrets Manager, Anda dapat mengelola keamanan layanan Amazon ECS dengan lebih baik sambil memanfaatkan manfaat enkripsi TLS otomatis.
Service Connect dan AWS Key Management Service
Anda dapat menggunakan AWS Key Management Serviceuntuk mengenkripsi dan mendekripsi sumber daya Service Connect Anda. AWS KMS adalah layanan yang dikelola oleh AWS tempat Anda dapat membuat dan mengelola kunci kriptografi yang melindungi data Anda.
Saat menggunakan AWS KMS Service Connect, Anda dapat memilih untuk menggunakan kunci AWS milik yang AWS mengelola untuk Anda, atau Anda dapat memilih AWS KMS kunci yang ada. Anda juga dapat membuat AWS KMS kunci baru untuk digunakan.
Menyediakan kunci enkripsi Anda sendiri
Anda dapat menyediakan materi utama Anda sendiri, atau Anda dapat menggunakan penyimpanan kunci eksternal melalui AWS Key Management Service Impor kunci Anda sendiri AWS KMS, lalu tentukan Nama Sumber Daya Amazon (ARN) kunci tersebut di Amazon ECS Service Connect.
Berikut ini adalah contoh AWS KMS kebijakan. Ganti user
input nilai dengan nilai Anda sendiri.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "id", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/role-name" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair" ], "Resource": "*" } ] }
Untuk informasi selengkapnya tentang kebijakan utama, lihat Membuat kebijakan kunci di Panduan AWS Key Management Service Pengembang.
catatan
Service Connect hanya mendukung AWS KMS kunci enkripsi simetris. Anda tidak dapat menggunakan jenis AWS KMS kunci lain untuk mengenkripsi sumber daya Service Connect. Untuk bantuan menentukan apakah AWS KMS kunci adalah kunci enkripsi simetris, lihat Mengidentifikasi kunci KMS asimetris.
Untuk informasi selengkapnya tentang kunci enkripsi AWS Key Management Service simetris, lihat AWS KMS Kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang.
