Amazon ECS マネージドインスタンスの VPC 暗号化コントロールの有効化 - Amazon Elastic Container Service
前提条件互換性のあるインスタンスタイプを特定するVPC 暗号化をサポートするクラスターを作成する考慮事項トラブルシューティング

Amazon ECS マネージドインスタンスの VPC 暗号化コントロールの有効化

Amazon ECS マネージドインスタンスは、VPC 暗号化コントロールをサポートしています。これは、セキュリティとコンプライアンスの機能であり、リージョン内にある VPC 内 および VPC 間における転送時の暗号化を監視して適用するための一元化されたコントロールを提供します。サブネットで VPC 暗号化コントロールが有効化されていると、Amazon ECS マネージドインスタンスのカスタムキャパシティプロバイダーで転送時の暗号化をサポートするインスタンスタイプを指定できるため、Amazon ECS マネージドインスタンスのワークロードが転送時の暗号化を使用して実行されることが保証されます。

前提条件

開始するには、以下が必要です。

互換性のあるインスタンスタイプを特定する

Amazon EC2 インスタンスタイプは、次の 2 つの要件を満たす必要があります。

  1. 転送時の VPC 暗号化をサポートする - 次の AWS CLI コマンドを使用して、転送時の暗号化をサポートする Amazon EC2 インスタンスタイプを一覧表示します。

    aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

  2. Amazon ECS マネージドインスタンスでサポートされる - Amazon ECS マネージドインスタンスでサポートされるすべての Amazon EC2 インスタンスタイプは、「Amazon ECS マネージドインスタンスのインスタンスタイプ」に記載されています。

追加の要件 (特定の CPU、メモリ、アーキテクチャ上のニーズなど) がある場合は、互換性のあるインスタンスタイプをワークロードの要件に基づいてさらにフィルタリングします。

VPC 暗号化をサポートするクラスターを作成する

転送時の VPC 暗号化向けに Amazon ECS マネージドインスタンスを設定する:

  1. 新しいクラスターを作成して、インフラストラクチャに [Fargate インスタンスとマネージドインスタンス] を選択します。

  2. [カスタムを使用 – アドバンスト] を選択し、追加の設定パラメータにアクセスします。

  3. [許可されるインスタンスタイプ] には、転送時の VPC 暗号化をサポートする特定のインスタンスタイプのみを追加します。

Amazon ECS マネージドインスタンスをこのように設定すると、転送時の VPC 暗号化をサポートする Amazon EC2 インスタンスタイプのみを起動するようになります。

考慮事項

  • バーストパフォーマンスインスタンス - T3、T3a、および T4g インスタンスタイプは、転送時の VPC 暗号化をサポートしておらず、強制モードで暗号化制御が有効化されているサブネットで使用することはできません。

  • モードの移行 - 実行中のすべてのインスタンスが転送時の VPC 暗号化をサポートしている場合に限り、VPC サブネットをモニタリングモードから強制モードに移行できます。

  • タスクの起動失敗 - 強制モードでは、転送時の暗号化をサポートしないインスタンスタイプを指定した場合にタスクの起動が失敗します。

トラブルシューティング

強制モードでタスクの起動が失敗する

タスクの起動が失敗する場合は、上述の AWS CLI コマンドを使用して、指定されたすべてのインスタンスタイプが転送時の VPC 暗号化をサポートしていることを確認します。

強制モードに移行できない

コンソールまたは GetVpcResourcesBlockingEncryptionEnforcement コマンドを使用して、転送時の暗号化を強制していないリソースを特定します。

VPC 暗号化コントロールの詳細については、VPC 暗号化コントロールに関するドキュメントを参照してください。