Como habilitar o controle de criptografia da VPC para instâncias gerenciadas do Amazon ECS
As instâncias gerenciadas do Amazon ECS oferecem suporte aos controles de criptografia da VPC, um atributo de segurança e conformidade que fornece controle centralizado para monitorar e aplicar a criptografia em trânsito para todos os fluxos de tráfego dentro e entre suas VPCs em uma região. Quando os controles de criptografia de VPC está habilitado em sua sub-rede, você pode especificar tipos de instância que suportam criptografia em trânsito em seu provedor de capacidade personalizada de instâncias gerenciadas do Amazon ECS, garantindo que as workloads das instâncias gerenciadas do Amazon ECS sejam executadas com criptografia em trânsito.
Pré-requisitos
Antes de começar, você precisa de:
Uma VPC com criptografia em trânsito habilitada em sub-redes. Para obter mais informações, consulte VPC encryption controls documentation.
Um provedor de capacidade personalizado para instâncias gerenciadas do Amazon ECS. Para obter mais informações, consulte Arquitetar instâncias gerenciadas do Amazon ECS.
Identifique os tipos de instância compatíveis
Os tipos de instância do Amazon EC2 devem atender a dois requisitos:
-
Ofereça suporte à criptografia VPC em trânsito: use o comando AWS CLI a seguir para listar os tipos de instância do Amazon EC2 que oferecem suporte à criptografia em trânsito:
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort -
Compatível com instâncias gerenciadas do Amazon ECS: todos os tipos de instância do Amazon EC2 suportados pelas instâncias gerenciadas do Amazon ECS estão documentados em Tipos de instâncias gerenciadas do Amazon ECS.
Se você tiver requisitos adicionais (como necessidades específicas de CPU, memória ou arquitetura), filtre ainda mais os tipos de instância compatíveis com base nos requisitos da workload.
Crie um cluster com suporte à criptografia da VPC
Para configurar instâncias gerenciadas do Amazon ECS para criptografia da VPC em trânsito:
Crie um novo cluster e selecione Fargate e instâncias gerenciadas para a infraestrutura.
Selecione Usar personalizado — avançado para acessar parâmetros de configuração adicionais.
Em Tipos de instâncias permitidas, adicione somente os tipos de instância específicos que oferecem suporte à criptografia da VPC em trânsito.
Quando configuradas dessa forma, as instâncias gerenciadas do Amazon ECS iniciarão somente os tipos de instância do Amazon EC2 que oferecem suporte à criptografia da VPC em trânsito.
Considerações
Instâncias de desempenho expansível: os tipos de instância T3, T3a e T4G não oferecem suporte à criptografia da VPC em trânsito e não podem ser usados em sub-redes com o controle de criptografia ativado no modo forçado.
Transições de modo: você só pode fazer a transição da sub-rede VPC do modo Monitor para o modo Enforced se todas as instâncias em execução oferecerem suporte à criptografia VPC em trânsito.
Falhas na inicialização da tarefa: mo modo Enforced, as tarefas não serão iniciadas se você especificar tipos de instância que não oferecem suporte à criptografia em trânsito.
Solução de problemas
- Falhas na inicialização da tarefa no modo Enforced
Se as tarefas falharem na inicialização, verifique se todos os tipos de instância especificados oferecem suporte à criptografia da VPC em trânsito usando o comando AWS CLI fornecido acima.
- Não é possível fazer a transição para o modo Enforced
Use o console ou o comando
GetVpcResourcesBlockingEncryptionEnforcementpara identificar recursos que não estão aplicando criptografia em trânsito.
Para obter mais informações sobre os controles de criptografia da VPC, consulte VPC encryption controls documentation.
