기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon ECS의 암호화 모범 사례 [Amazon Elastic Container Service(Amazon ECS)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html)는 클러스터에서 컨테이너를 실행, 중지 및 관리하는 데 도움이 되는 빠르고 확장 가능한 컨테이너 관리 서비스입니다. Amazon ECS에서는 다음 접근 방식 중 하나를 사용하여 전송 중 데이터를 암호화할 수 있습니다. + 서비스 메시를 생성합니다. 를 사용하여 배포된 [Envoy](https://docs.aws.amazon.com/app-mesh/latest/userguide/envoy.html) 프록시와 [가상 노드](https://docs.aws.amazon.com/app-mesh/latest/userguide/virtual_nodes.html) 또는 [가상 게이트웨이](https://docs.aws.amazon.com/app-mesh/latest/userguide/virtual_gateways.html)와 같은 메시 엔드포인트 간에 TLS 연결을 AWS App Mesh구성합니다. AWS Private Certificate Authority 또는 고객이 제공한 인증서의 TLS 인증서를 사용할 수 있습니다. 자세한 내용과 연습은 [(ACM) 또는 고객 제공 인증서를 AWS App Mesh 사용하여 AWS Certificate Manager 에서 서비스 간 트래픽 암호화 활성화](https://aws.amazon.com/blogs/containers/enable-traffic-encryption-between-services-in-aws-app-mesh-using-aws-certificate-manager-or-customer-provided-certificates/)(AWS 블로그 게시물)를 참조하세요. + 지원되는 경우 [AWS Nitro Enclaves를](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) 사용합니다. AWS Nitro Enclaves는 Amazon EC2 인스턴스에서 *엔클레*이브라는 격리된 실행 환경을 생성할 수 있는 Amazon EC2 기능입니다. 가장 민감한 데이터를 보호할 수 있도록 설계되었습니다. 또한 [ACM for Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html)를 사용하면 AWS Nitro Enclaves가 포함된 Amazon EC2 인스턴스에서 실행되는 웹 애플리케이션 및 웹 서버에서 퍼블릭 및 프라이빗 SSL/TLS 인증서를 사용할 수 있습니다. 자세한 내용은 [AWS Nitro Enclaves – 기밀 데이터를 처리하기 위한 격리된 EC2 환경](https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/)(AWS 블로그 게시물)을 참조하세요. + Application Load Balancer에서 서버 이름 표시(SNI) 프로토콜을 사용합니다. Application Load Balancer에 대한 단일 HTTPS 리스너 뒤에 여러 애플리케이션을 배포할 수 있습니다. 리스너마다 고유한 TLS 인증서가 있습니다. ACM이 제공하는 인증서나 자체 서명된 인증서를 사용할 수 있습니다. [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)와 [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) 모두 SNI를 지원합니다. 자세한 내용은 [Application Load Balancer Now Support Multiple TLS Certificates with Smart Selection Using SNI](https://aws.amazon.com/blogs/aws/new-application-load-balancer-sni/)(AWS 블로그 게시물)를 참조하세요. + 보안 및 유연성을 개선 AWS Private Certificate Authority 하려면를 사용하여 Amazon ECS 태스크와 함께 TLS 인증서를 배포합니다. 자세한 내용은 [컨테이너 파트 2: 사용까지 TLS 유지 관리(블로그 게시물)를 참조하세요 AWS Private CA](https://aws.amazon.com/blogs/compute/maintaining-transport-layer-security-all-the-way-to-your-container-part-2-using-aws-certificate-manager-private-certificate-authority/).AWS + [Secret discovery service](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret)(Envoy) 또는 [ACM에서 호스팅](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided)되는 인증서(GitHub)를 사용하여 App Mesh에서 상호 TLS([mTLS](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html))를 구현합니다. 이 서비스에 대해 다음 암호화 모범 사례를 고려하세요. + 기술적으로 가능한 경우 보안 강화를 위해 AWS PrivateLink에서 [Amazon ECS 인터페이스 VPC 엔드포인트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html)를 구성합니다. VPN 연결을 통해 이러한 엔드포인트에 액세스하면 전송 중 데이터가 암호화됩니다. + API 키 또는 데이터베이스 보안 인증과 같은 민감한 자료를 안전하게 저장합니다. 이러한 자료를 AWS Systems Manager의 기능인 Parameter Store에 암호화된 파라미터로 저장할 수 있습니다. 그러나이 서비스를 사용하면 보안 암호를 자동으로 교체하고, 무작위 보안 암호를 생성하고, 보안 암호를 공유할 수 AWS Secrets Manager 있으므로를 사용하는 것이 좋습니다 AWS 계정. + 데이터 센터의 사용자 또는 애플리케이션이나 웹의 외부 타사가 직접 HTTPS API 요청을 하는 경우 AWS Security Token Service ()에서 가져온 임시 보안 자격 증명을 사용하여 해당 요청에 AWS 서비스서명합니다AWS STS.