啟用 Amazon ECS 受管執行個體的 VPC 加密控制

Amazon ECS 受管執行個體支援 VPC 加密控制，這是一種安全與合規功能，可提供集中式控制，以監控和強制執行傳輸中所有流量的加密，這些流量在區域中的 VPCs內和之間流動。在子網路上啟用 VPC 加密控制時，您可以指定支援 Amazon ECS 受管執行個體自訂容量提供者中傳輸中加密的執行個體類型，以確保 Amazon ECS 受管執行個體工作負載在傳輸中以加密執行。

先決條件

開始之前，您需要：

在子網路上啟用傳輸中加密的 VPC。如需詳細資訊，請參閱 VPC 加密控制文件。
Amazon ECS 受管執行個體自訂容量提供者。如需詳細資訊，請參閱Amazon ECS 受管執行個體的架構。

識別相容的執行個體類型

Amazon EC2 執行個體類型必須符合兩個需求：

支援傳輸中的 VPC 加密 - 使用以下 AWS CLI 命令列出支援傳輸中加密的 Amazon EC2 執行個體類型：


aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

Amazon ECS 受管執行個體支援 - Amazon ECS 受管執行個體支援的所有 Amazon EC2 執行個體類型都記錄在中Amazon ECS 受管執行個體的執行個體類型。

如果您有其他需求（例如特定的 CPU、記憶體或架構需求），請根據您的工作負載需求進一步篩選相容的執行個體類型。

建立支援 VPC 加密的叢集

若要為傳輸中的 VPC 加密設定 Amazon ECS 受管執行個體：

建立新的叢集，並選取基礎設施的 Fargate 和受管執行個體。
選取使用自訂 – 進階以存取其他組態參數。
在允許的執行個體類型中，僅新增支援傳輸中 VPC 加密的特定執行個體類型。

以這種方式設定時，Amazon ECS 受管執行個體只會啟動支援傳輸中 VPC 加密的 Amazon EC2 執行個體類型。

考量事項

爆量效能執行個體 - T3, T3a 和 T4g 執行個體類型不支援傳輸中的 VPC 加密，且無法在強制執行模式下啟用加密控制的子網路中使用。
模式轉換 - 只有在所有執行中的執行個體都支援傳輸中的 VPC 加密時，您才能將 VPC 子網路從監控模式轉換至強制執行模式。
任務啟動失敗 - 在強制執行模式中，如果您指定不支援傳輸中加密的執行個體類型，任務將無法啟動。

疑難排解

強制執行模式中的任務啟動失敗: 如果任務無法啟動，請使用上述提供的 AWS CLI 命令，驗證所有指定的執行個體類型是否支援傳輸中的 VPC 加密。
無法轉換為強制執行模式: 使用主控台或 GetVpcResourcesBlockingEncryptionEnforcement命令來識別未強制執行傳輸中加密的資源。

如需 VPC 加密控制的詳細資訊，請參閱 VPC 加密控制文件。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Amazon ECS 受管執行個體的安全考量

基礎結構最佳化