Amazon ECS 관리형 인스턴스에 대한 VPC 암호화 제어 활성화
Amazon ECS 관리형 인스턴스는 VPC 암호화 제를 지원합니다. 이 보안 및 준수 기능은 리전 내 VPC 및 VPC 간 모든 트래픽 흐름에 대해 전송 중 암호화를 모니터링하고 적용할 수 있는 중앙 집중식 제어를 제공합니다. 서브넷에서 VPC 암호화 제어가 활성화된 경우, Amazon ECS 관리형 인스턴스 사용자 지정 용량 공급자에서 전송 중 암호화를 지원하는 인스턴스 유형을 지정할 수 있으며, 이를 통해 Amazon ECS 관리형 인스턴스 작업 부하가 전송 중 암호화 상태로 실행되도록 보장할 수 있습니다.
사전 조건
시작하려면 다음이 필요합니다.
전송 중 암호화가 활성화된 서브넷이 있는 VPC. 자세한 내용은 VPC 암호화 제어 설명서를 참조하세요.
Amazon ECS 관리형 인스턴스 사용자 지정 용량 공급자. 자세한 내용은 Amazon ECS 관리형 인스턴스에 대한 아키텍트 섹션을 참조하세요.
호환되는 인스턴스 유형 식별
Amazon EC2 인스턴스 유형은 다음 두 가지 요건을 충족해야 합니다.
-
전송 중 VPC 암호화 지원 – 다음 AWS CLI 명령을 사용하여 전송 중 암호화를 지원하는 Amazon EC2 인스턴스 유형을 확인할 수 있습니다.
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort -
Amazon ECS 관리형 인스턴스 지원 – Amazon ECS 관리형 인스턴스에서 지원하는 모든 Amazon EC2 인스턴스 유형은 Amazon ECS 관리형 인스턴스의 인스턴스 유형에 기록되어 있습니다.
추가 요구 사항이 있는 경우(예: 특정 CPU, 메모리 또는 아키텍처 요구 사항), 워크로드 요구 사항에 따라 호환 가능한 인스턴스 유형을 추가로 필터링합니다.
VPC 암호화를 지원하는 클러스터 생성
Amazon ECS 관리형 인스턴스를 전송 중 VPC 암호화에 맞게 구성하려면:
새 클러스터를 생성하고 인프라로 Fargate 및 관리형 인스턴스를 선택합니다.
추가 구성 파라미터에 접근하려면 사용자 지정 사용 – 고급을 선택합니다.
허용된 인스턴스 유형에 전송 중 VPC 암호화를 지원하는 특정 인스턴스 유형만 추가합니다.
이렇게 구성하면, Amazon ECS 관리형 인스턴스는 전송 중 VPC 암호화를 지원하는 Amazon EC2 인스턴스 유형만 시작합니다.
고려 사항
성능 버스트 가능 인스턴스 – T3, T3a, T4g 인스턴스 유형은 전송 중 VPC 암호화를 지원하지 않으며, 암호화 제어가 적용 모드로 설정된 서브넷에서는 사용할 수 없습니다.
모드 전환 - 모든 실행 중인 인스턴스가 전송 중 VPC 암호화를 지원하는 경우에만 VPC 서브넷을 모니터링 모드에서 적용 모드로 전환할 수 있습니다.
태스크 시작 실패 - 적용 모드에서 전송 중 암호화를 지원하지 않는 인스턴스 유형을 지정하면 태스크가 실행되지 않습니다.
문제 해결
- 적용 모드에서 태스크 시작 실패
태스크가 실행되지 않을 경우, 위에서 제공된 AWS CLI 명령을 사용하여 지정한 모든 인스턴스 유형이 전송 중 VPC 암호화를 지원하는지 확인합니다.
- 적용 모드로 전환할 수 없음
콘솔 또는
GetVpcResourcesBlockingEncryptionEnforcement명령을 사용하여 전송 중 암호화를 적용하지 않는 리소스를 식별합니다.
VPC 암호화 제어에 대한 자세한 내용은 VPC 암호화 제어 설명서를 참조하세요.
