Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsseln Sie den Amazon ECS Service Connect-Verkehr
Amazon ECS Service Connect unterstützt die automatische Verschlüsselung des Datenverkehrs mit Transport Layer Security (TLS) -Zertifikaten für ECS Amazon-Services. Wenn Sie Ihre ECS Amazon-Services auf ein AWS Private Certificate Authority (AWS Private CA) verweisen, stellt Amazon ECS automatisch TLS Zertifikate zur Verschlüsselung des Datenverkehrs zwischen Ihren Amazon ECS Service Connect-Diensten bereit. Amazon ECS generiert, rotiert und verteilt TLS Zertifikate, die für die Verschlüsselung des Datenverkehrs verwendet werden.
Die automatische Datenverkehrsverschlüsselung mit Service Connect nutzt branchenführende Verschlüsselungsfunktionen, um Ihre dienstübergreifende Kommunikation zu sichern, sodass Sie Ihre Sicherheitsanforderungen erfüllen können. Es unterstützt AWS Private Certificate Authority TLS Zertifikate mit 256-bit
ECDSA und 2048-bit RSA Verschlüsselung. Standardmäßig wird TLS 1.3 unterstützt, aber TLS 1.0—1.2 werden nicht unterstützt. Sie haben auch die volle Kontrolle über private Zertifikate und Signaturschlüssel, sodass Sie die Compliance-Anforderungen erfüllen können.
Anmerkung
Um TLS 1.3 verwenden zu können, müssen Sie es auf dem Listener auf dem Ziel aktivieren.
Nur eingehender und ausgehender Datenverkehr, der über den ECS Amazon-Agenten geleitet wird, ist verschlüsselt.
AWS Private Certificate Authority Zertifikate und Service Connect
Für die Ausstellung von Zertifikaten sind zusätzliche IAM Berechtigungen erforderlich. Amazon ECS bietet eine Vertrauensrichtlinie für verwaltete Ressourcen, in der die einzelnen Berechtigungen festgelegt sind. Weitere Informationen zu dieser Richtlinie finden Sie unter mazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurityA.
AWS Private Certificate Authority Modi für Service Connect
AWS Private Certificate Authority kann in zwei Modi ausgeführt werden: allgemein und kurzlebig.
-
Universell einsetzbar — Zertifikate, die mit einem beliebigen Ablaufdatum konfiguriert werden können.
-
Kurzlebig ‐ Zertifikate mit einer maximalen Gültigkeitsdauer von sieben Tagen.
Amazon ECS unterstützt zwar beide Modi, wir empfehlen jedoch, kurzlebige Zertifikate zu verwenden. Standardmäßig rotieren Zertifikate alle fünf Tage, und die Ausführung im kurzlebigen Modus bietet erhebliche Kosteneinsparungen im Vergleich zu herkömmlichen Zertifikaten.
Service Connect unterstützt den Widerruf von Zertifikaten nicht und nutzt stattdessen kurzlebige Zertifikate mit häufiger Zertifikatsrotation. Sie sind berechtigt, die Rotationsfrequenz zu ändern, die Geheimnisse mithilfe der verwalteten Rotation im Secrets Manager zu deaktivieren oder zu löschen. Dies kann jedoch die folgenden möglichen Konsequenzen haben.
-
Kürzere Rotationsfrequenz ‐ Eine kürzere Rotationsfrequenz verursacht höhere Kosten AWS Private CA, da Secrets Manager AWS KMS und Auto Scaling einen erhöhten Arbeitsaufwand für die Rotation aufweisen.
-
Längere Rotationsfrequenz ‐ Die Kommunikation Ihrer Anwendungen schlägt fehl, wenn die Rotationsfrequenz sieben Tage überschreitet.
-
Löschung des Geheimnisses — Das Löschen des Geheimnisses führt zu einem Fehler bei der Rotation und beeinträchtigt die Kommunikation mit den Kundenanwendungen.
Falls Ihre geheime Rotation fehlschlägt, wird ein RotationFailed Ereignis unter veröffentlicht AWS CloudTrail. Sie können auch einen CloudWatch Alarm für einrichtenRotationFailed.
Wichtig
Fügen Sie keine Replikatregionen zu Geheimnissen hinzu. Dadurch wird verhindert, dass Amazon ECS das Geheimnis löscht, da Amazon ECS nicht berechtigt ist, Regionen aus der Replikation zu entfernen. Wenn Sie die Replizierung bereits hinzugefügt haben, führen Sie den folgenden Befehl aus.
aws secretsmanager remove-regions-from-replication \ --secret-idSecretId\ --remove-replica-regionsregion-name
Untergeordnete Zertifizierungsstellen
Sie können beliebige AWS Private CA Entitätszertifikate für die Dienste ausstellen, unabhängig davon, ob es sich um TLS Stammdaten oder untergeordnete Objekte handelt, zu Service Connect bringen. Der angegebene Emittent wird überall als Unterzeichner und Vertrauensanker behandelt. Sie können Endzertifikate für verschiedene Teile Ihrer Anwendung von verschiedenen Untergebenen ausstellen. CAs Wenn Sie den verwenden AWS CLI, geben Sie den Amazon-Ressourcennamen (ARN) der Zertifizierungsstelle an, um die Vertrauenskette einzurichten.
Lokale Zertifizierungsstellen
Um Ihre lokale Zertifizierungsstelle zu verwenden, erstellen und konfigurieren Sie eine untergeordnete Zertifizierungsstelle in. AWS Private Certificate Authority Dadurch wird sichergestellt, dass alle TLS Zertifikate, die für Ihre ECS Amazon-Workloads ausgestellt wurden, die Vertrauenskette mit den Workloads teilen, die Sie vor Ort ausführen, und dass sie eine sichere Verbindung herstellen können.
Wichtig
Fügen Sie das erforderliche Tag AmazonECSManaged :
true zu Ihrem hinzu. AWS Private CA
Infrastructure as Code
Wenn Sie Service Connect TLS mit Infrastructure as Code (IaC) -Tools verwenden, ist es wichtig, dass Sie Ihre Abhängigkeiten korrekt konfigurieren, um Probleme zu vermeiden, z. B. wenn Dienste nicht mehr genutzt werden. Ihr AWS KMS Schlüssel, falls angegeben, Ihre IAM Rolle und Ihre AWS Private CA Abhängigkeiten sollten nach Ihrem ECS Amazon-Service gelöscht werden.
Service Connect und Secrets Manager
Wenn Sie Amazon ECS Service Connect mit TLS Verschlüsselung verwenden, interagiert der Service auf folgende Weise mit Secrets Manager:
Service Connect verwendet die bereitgestellte Infrastrukturrolle, um Secrets in Secrets Manager zu erstellen. Diese Geheimnisse werden verwendet, um die zugehörigen privaten Schlüssel für Ihre TLS Zertifikate zur Verschlüsselung des Datenverkehrs zwischen Ihren Service Connect-Diensten zu speichern.
Warnung
Die automatische Erstellung und Verwaltung dieser Geheimnisse durch Service Connect optimiert den Prozess der Implementierung der TLS Verschlüsselung für Ihre Dienste. Es ist jedoch wichtig, mögliche Sicherheitsauswirkungen zu beachten. Andere IAM Rollen, die Lesezugriff auf Secrets Manager haben, können möglicherweise auf diese automatisch erstellten Secrets zugreifen. Dadurch könnte vertrauliches kryptografisches Material unbefugten Parteien zugänglich gemacht werden, wenn die Zugriffskontrollen nicht ordnungsgemäß konfiguriert sind.
Befolgen Sie die folgenden bewährten Methoden, um dieses Risiko zu minimieren:
-
Verwalten und beschränken Sie den Zugriff auf Secrets Manager sorgfältig, insbesondere für Secrets, die von Service Connect erstellt wurden.
-
Überprüfen Sie die IAM Rollen und ihre Berechtigungen regelmäßig, um sicherzustellen, dass das Prinzip der geringsten Rechte gewahrt bleibt.
Wenn Sie Secrets Manager Lesezugriff gewähren, sollten Sie erwägen, die von Service Connect erstellten TLS privaten Schlüssel auszuschließen. Sie können dies tun, indem Sie in Ihren IAM Richtlinien eine Bedingung verwenden, um Geheimnisse auszuschließenARNs, die dem Muster entsprechen:
"arn:aws:secretsmanager:::secret:ecs-sc!"
Eine IAM Beispielrichtlinie, die die GetSecretValue Aktion allen Geheimnissen mit dem ecs-sc! Präfix verweigert:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*" } ] }
Anmerkung
Dies ist ein allgemeines Beispiel, das möglicherweise an Ihren spezifischen Anwendungsfall und Ihre AWS Kontokonfiguration angepasst werden muss. Testen Sie Ihre IAM Richtlinien immer gründlich, um sicherzustellen, dass sie den beabsichtigten Zugriff ermöglichen und gleichzeitig die Sicherheit gewährleisten.
Wenn Sie verstehen, wie Service Connect mit Secrets Manager interagiert, können Sie die Sicherheit Ihrer ECS Amazon-Services besser verwalten und gleichzeitig die Vorteile der automatischen TLS Verschlüsselung nutzen.
Service Connect und AWS Key Management Service
Sie können AWS Key Management Servicedamit Ihre Service Connect-Ressourcen ver- und entschlüsseln. AWS KMS ist ein von ihm verwalteter Dienst AWS , mit dem Sie kryptografische Schlüssel zum Schutz Ihrer Daten erstellen und verwalten können.
Bei der Verwendung AWS KMS mit Service Connect können Sie entweder einen AWS eigenen Schlüssel verwenden, der für Sie AWS verwaltet wird, oder Sie können einen vorhandenen AWS KMS Schlüssel wählen. Sie können auch einen neuen AWS KMS Schlüssel zur Verwendung erstellen.
Bereitstellung Ihres eigenen Verschlüsselungsschlüssels
Sie können Ihre eigenen Schlüsselmaterialien bereitstellen oder einen externen Schlüsselspeicher verwenden, indem Sie Ihren eigenen Schlüssel AWS Key Management Service importieren in AWS KMS verwenden und dann den Amazon-Ressourcennamen (ARN) dieses Schlüssels in Amazon ECS Service Connect angeben.
Nachfolgend sehen Sie ein Beispiel AWS KMS für eine Richtlinie. Ersetzen Sie die user
input Werte mit Ihren eigenen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "id", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/role-name" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyPair" ], "Resource": "*" } ] }
Weitere Informationen zu wichtigen Richtlinien finden Sie unter Creating a key policy im AWS Key Management Service Entwicklerhandbuch.
Anmerkung
Service Connect unterstützt nur symmetrische AWS KMS Verschlüsselungsschlüssel. Sie können keinen anderen AWS KMS Schlüsseltyp für die Verschlüsselung Ihre Service Connect-Ressourcen verwenden. Wie Sie feststellen, ob ein AWS KMS Schlüssel ein symmetrisch Verschlüsselungsschlüssel ist, erfahren Sie unter Erkennen asymmetrischer KMS Schlüssel.
Weitere Informationen zu AWS Key Management Service symmetrischen Verschlüsselungsschlüsseln finden Sie unter Symmetrische AWS KMS Verschlüsselungsschlüssel im Entwicklerhandbuch.AWS Key Management Service
