Controlli dello stato di Service Connect e Application Load Balancer AWS Private Certificate Authority certificati e Service Connect Service Connect e Secrets Manager Service Connect e AWS Key Management Service

Crittografa il traffico Amazon ECS Service Connect

Amazon ECS Service Connect supporta la crittografia automatica del traffico con certificati Transport Layer Security (TLS) per i servizi Amazon ECS. Quando indirizzi i tuoi servizi Amazon ECS verso un AWS Private Certificate Authority (AWS Private CA), Amazon ECS fornisce automaticamente certificati TLS per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect. Amazon ECS genera, ruota e distribuisce i certificati TLS utilizzati per la crittografia del traffico.

La crittografia automatica del traffico con Service Connect utilizza funzionalità di crittografia leader del settore per proteggere le comunicazioni tra servizi e soddisfare i requisiti di sicurezza. Supporta certificati AWS Private Certificate Authority TLS con crittografia. 256-bit ECDSA 2048-bit RSA Hai anche il pieno controllo sui certificati privati e sulle chiavi di firma per aiutarti a soddisfare i requisiti di conformità. Per impostazione predefinita, TLS 1.3 è supportato, ma TLS 1.0 - 1.2 non lo sono. Service Connect supporta TLS 1.3 con i seguenti codici:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Nota

Per utilizzare TLS 1.3, è necessario abilitarlo sul listener sulla destinazione.

Solo il traffico in entrata e in uscita che passa attraverso l'agente Amazon ECS è crittografato.

Controlli dello stato di Service Connect e Application Load Balancer

È possibile utilizzare Service Connect con i controlli di integrità di Application Load Balancer e la crittografia TLS 1.3.

Configurazione Application Load Balancer

Configurare l'Application Load Balancer con le seguenti impostazioni:

Configura un listener TLS con una politica di sicurezza TLS 1.3 (ad esempio `Policy- -1-2-2021-06`ELBSecurity). TLS13 Per ulteriori informazioni, consulta Policy di sicurezza per l'Application Load Balancer.
Crea un gruppo target con le seguenti impostazioni:
- Imposta il protocollo su HTTPS
- Collega il gruppo target al listener TLS
- Configura la porta di controllo dello stato in modo che corrisponda alla porta container del servizio Service Connect

Configurazione Service Connect

Configura un servizio con le seguenti impostazioni:

Configurare il servizio per utilizzare la modalità awsvpc di rete, poiché la modalità bridge di rete non è supportata.
Abilita Service Connect per il servizio.
Configura la configurazione del load balancer con le seguenti impostazioni:
- Specificate il gruppo target che avete configurato per il vostro Application Load Balancer
- Imposta la porta del contenitore in modo che corrisponda alla porta contenitore del servizio Service Connect TLS
Evita di impostare ingressPortOverride il servizio. Per ulteriori informazioni, consulta il riferimento ServiceConnectServiceall'API di Amazon Elastic Container Service.

Considerazioni

Considerate quanto segue quando utilizzate Application Load Balancer, TLS e Service Connect:

Utilizza la modalità di awsvpc rete anziché la modalità di bridge rete per i controlli di integrità HTTPS quando utilizzi Service Connect con crittografia TLS. I controlli di integrità HTTP continueranno a funzionare con la bridge modalità.
Configura la porta di controllo dello stato del gruppo target in modo che corrisponda alla porta contenitore del servizio Service Connect, non alla porta HTTPS predefinita (443).

AWS Private Certificate Authority certificati e Service Connect

È necessario disporre del ruolo IAM dell'infrastruttura. Per ulteriori informazioni su questo ruolo, consulta il ruolo IAM dell'infrastruttura Amazon ECS.

AWS Private Certificate Authority modalità per Service Connect

AWS Private Certificate Authority può funzionare in due modalità: generica e di breve durata.

Scopo generale ‐ Certificati che possono essere configurati con qualsiasi data di scadenza.
Di breve durata ‐ Certificati con una validità massima di sette giorni.

Sebbene Amazon ECS supporti entrambe le modalità, consigliamo di utilizzare certificati di breve durata. Per impostazione predefinita, i certificati ruotano ogni cinque giorni e l'esecuzione in modalità di breve durata offre risparmi significativi sui costi rispetto agli usi generici.

Service Connect non supporta la revoca dei certificati e sfrutta invece certificati di breve durata con rotazione frequente dei certificati. Hai l'autorità per modificare la frequenza di rotazione, disabilitare o eliminare i segreti utilizzando la rotazione gestita in Secrets Manager, ma ciò può comportare le seguenti possibili conseguenze.

Frequenza di rotazione più breve ‐ Una frequenza di rotazione più breve comporta costi più elevati a AWS Private CA causa di Secrets Manager AWS KMS e Auto Scaling che subiscono un maggiore carico di lavoro per la rotazione.
Frequenza di rotazione più lunga ‐ Le comunicazioni delle applicazioni falliscono se la frequenza di rotazione supera i sette giorni.
Eliminazione del segreto ‐ L'eliminazione del segreto comporta un errore di rotazione e influisce sulle comunicazioni con le applicazioni dei clienti.

Se la rotazione segreta fallisce, viene pubblicato un RotationFailed evento in. AWS CloudTrail Puoi anche impostare un CloudWatch allarme perRotationFailed.

Importante

Non aggiungere regioni di replica ai segreti. In questo modo si impedisce ad Amazon ECS di eliminare il segreto, poiché Amazon ECS non dispone dell'autorizzazione per rimuovere le regioni dalla replica. Se hai già aggiunto la replica, esegui il seguente comando.


aws secretsmanager remove-regions-from-replication \
 --secret-id SecretId \
 --remove-replica-regions region-name

Autorità di certificazione subordinate

È possibile importare qualsiasi certificato AWS Private CA, root o subordinato, a Service Connect TLS per emettere certificati di entità finale per i servizi. L'emittente fornito viene considerato il firmatario e la fonte della fiducia ovunque. È possibile emettere certificati di entità finale per diverse parti dell'applicazione da diversi subordinati. CAs Quando utilizzi AWS CLI, fornisci l'Amazon Resource Name (ARN) della CA per stabilire la catena di fiducia.

Autorità di certificazione locali

Per utilizzare la CA locale, è necessario creare e configurare una CA subordinata in. AWS Private Certificate Authority Ciò garantisce che tutti i certificati TLS emessi per i carichi di lavoro Amazon ECS condividano la catena di fiducia con i carichi di lavoro eseguiti in locale e siano in grado di connettersi in modo sicuro.

Importante

Aggiungi il tag richiesto nel tuo. AmazonECSManaged : true AWS Private CA

infrastruttura come codice

Quando si utilizzano Service Connect TLS con gli strumenti Infrastructure as Code (IaC), è importante configurare correttamente le dipendenze per evitare problemi, come i servizi bloccati. La AWS KMS chiave, se fornita, il ruolo IAM e AWS Private CA le dipendenze devono essere eliminati dopo il servizio Amazon ECS.

Service Connect e Secrets Manager

Quando si utilizza la crittografia Amazon ECS Service Connect with TLS, il servizio interagisce con Secrets Manager nei seguenti modi:

Service Connect utilizza il ruolo di infrastruttura fornito per creare segreti all'interno di Secrets Manager. Questi segreti vengono utilizzati per archiviare le chiavi private associate ai certificati TLS per crittografare il traffico tra i servizi Service Connect.

avvertimento

La creazione e la gestione automatiche di questi segreti da parte di Service Connect semplificano il processo di implementazione della crittografia TLS per i tuoi servizi. Tuttavia, è importante essere consapevoli delle potenziali implicazioni per la sicurezza. Altri ruoli IAM con accesso in lettura a Secrets Manager potrebbero essere in grado di accedere a questi segreti creati automaticamente. Ciò potrebbe esporre materiale crittografico sensibile a soggetti non autorizzati, se i controlli di accesso non sono configurati correttamente.

Per mitigare questo rischio, segui queste best practice:

Gestisci e limita con attenzione l'accesso a Secrets Manager, in particolare per i segreti creati da Service Connect.
Verifica regolarmente i ruoli IAM e le relative autorizzazioni per garantire il rispetto del principio del privilegio minimo.

Quando concedi l'accesso in lettura a Secrets Manager, valuta la possibilità di escludere le chiavi private TLS create da Service Connect. Puoi farlo utilizzando una condizione nelle tue policy IAM per escludere i segreti ARNs che corrispondono allo schema:


"arn:aws:secretsmanager:::secret:ecs-sc!"

Un esempio di policy IAM che nega l'GetSecretValueazione a tutti i segreti con il ecs-sc! prefisso:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*"
        }
    ]
}

Nota

Questo è un esempio generale e potrebbe essere necessario modificarlo in base al caso d'uso specifico e alla configurazione AWS dell'account. Testa sempre a fondo le tue policy IAM per assicurarti che forniscano l'accesso previsto mantenendo al contempo la sicurezza.

Comprendendo come Service Connect interagisce con Secrets Manager, puoi gestire meglio la sicurezza dei tuoi servizi Amazon ECS sfruttando al contempo i vantaggi della crittografia TLS automatica.

Service Connect e AWS Key Management Service

È possibile utilizzare AWS Key Management Serviceper crittografare e decrittografare le risorse Service Connect. AWS KMS è un servizio gestito AWS in cui è possibile creare e gestire chiavi crittografiche per proteggere i dati.

Quando si utilizza AWS KMS con Service Connect, è possibile scegliere di utilizzare una chiave di AWS proprietà che AWS gestisca per conto proprio oppure scegliere una AWS KMS chiave esistente. Puoi anche creare una nuova AWS KMS chiave da usare.

Fornire la propria chiave di crittografia

Puoi fornire i tuoi materiali chiave oppure puoi utilizzare un archivio di chiavi esterno tramite AWS Key Management Service Importa la tua chiave in AWS KMS, quindi specificare l'Amazon Resource Name (ARN) di quella chiave in Amazon ECS Service Connect.

Di seguito è riportato un esempio AWS KMS di policy. Sostituisci i user input valori con i tuoi.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "id",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/role-name"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair"
      ],
      "Resource": "*"
    }
  ]
}

Per ulteriori informazioni sulle politiche chiave, consulta Creazione di una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.

Nota

Service Connect supporta solo chiavi di crittografia AWS KMS simmetriche. Non è possibile utilizzare nessun altro tipo di AWS KMS chiave per crittografare le risorse Service Connect. Per informazioni su come determinare se una AWS KMS chiave è una chiave di crittografia simmetrica, consulta Identificare le chiavi KMS asimmetriche.

Per ulteriori informazioni sulle chiavi di crittografia AWS Key Management Service simmetriche, consulta Chiavi di crittografia simmetriche nella Guida per gli sviluppatori. AWS KMS AWS Key Management Service

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica della configurazione di Service Connect

Abilitazione di TLS per Service Connect