Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
TLSAutenticación mutua
importante
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS se suspenderá el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visita esta entrada de blog Migración desde AWS App Mesh a Amazon ECS Service Connect
La autenticación mutua TLS (seguridad de la capa de transporte) es un componente opcional TLS que ofrece una autenticación entre pares bidireccional. TLSLa autenticación mutua añade una capa de seguridad TLS y permite que tus servicios verifiquen el cliente que realiza la conexión.
El cliente de la relación cliente-servidor también proporciona un certificado X.509 durante el proceso de negociación de la sesión. El servidor utiliza este certificado para identificar y autenticar al cliente. Este proceso ayuda a comprobar si el certificado lo ha emitido una entidad de certificación (CA) de confianza y si el certificado es válido. También utiliza el nombre alternativo del sujeto (SAN) del certificado para identificar al cliente.
Puede habilitar la TLS autenticación mutua para todos los protocolos compatibles con AWS App Mesh. SonTCP, HTTP /1.1, HTTP /2, g. RPC
nota
Con App Mesh, puede configurar la TLS autenticación mutua para las comunicaciones entre los proxies de Envoy desde sus servicios. Sin embargo, las comunicaciones entre sus aplicaciones y los proxies de Envoy no están cifradas.
Certificados de TLS autenticación mutua
AWS App Mesh admite dos posibles fuentes de certificados para la TLS autenticación mutua. Los certificados de cliente en una política de TLS clientes y la validación del servidor en una TLS configuración de escucha se pueden obtener de:
-
Sistema de archivos: certificados del sistema de archivos local del proxy de Envoy que se está ejecutando. Para distribuir certificados a Envoy, debe proporcionar las rutas de archivo para la cadena de certificados y la clave privada de App MeshAPI.
-
El Servicio de Descubrimiento Secreto de Envoy (SDS Bring-your-own): dispositivos auxiliares que implementan SDS y permiten enviar certificados a Envoy. Incluyen el entorno SPIFFE de ejecución (SPIRE).
importante
App Mesh no almacena los certificados ni las claves privadas que se utilizan para la TLS autenticación mutua. En su lugar, Envoy los almacena en la memoria.
Configuración de puntos de conexión de malla
Configura la TLS autenticación mutua para tus puntos finales de malla, como nodos virtuales o puertas de enlace. Estos puntos de conexión proporcionan certificados y especifican las autoridades de confianza.
Para ello, debe proporcionar certificados X.509 tanto para el cliente como para el servidor y definir de forma explícita los certificados de una autoridad de confianza en el contexto de la validación tanto de la TLS terminación como de la originación. TLS
- Confianza dentro de una malla
-
Los certificados del lado del servidor se configuran en los dispositivos de escucha de los nodos virtuales (TLSterminación) y los certificados del lado del cliente se configuran en los servidores de los nodos virtuales (origen). TLS Como alternativa a esta configuración, puede definir una política de cliente predeterminada para todos los backends de servicios de un nodo virtual y, a continuación, si hace falta, puede anular esta política para backends específicos según sea necesario. Las puertas de enlace virtuales solo se pueden configurar con una política de cliente predeterminada que se aplique a todos sus backends.
Puede configurar la confianza en diferentes mallas habilitando la TLS autenticación mutua para el tráfico entrante en las puertas de enlace virtuales de ambas mallas.
- Confianza fuera de una red
-
Especifique los certificados del lado del servidor en el detector de Virtual Gateway para la terminación. TLS Configure el servicio externo que se comunica con su puerta de enlace virtual para presentar los certificados del lado del cliente. Los certificados deben derivarse de una de las mismas autoridades de certificación (CAs) que utilizan los certificados del lado del servidor en el listener de Virtual Gateway para su origen. TLS
Migre los servicios a la autenticación mutua TLS
Sigue estas pautas para mantener la conectividad al migrar tus servicios existentes en App Mesh a la TLS autenticación mutua.
Migración de servicios que se comunican a través de texto sin formato
-
Habilite
PERMISSIVE
el modo para la TLS configuración en el punto final del servidor. Este modo permite que el tráfico de texto sin formato se conecte al punto de conexión. -
Configure la TLS autenticación mutua en su servidor, especificando el certificado del servidor, la cadena de confianza y, opcionalmente, el certificado de confianzaSANs.
-
Confirme que la comunicación se produce a través de una TLS conexión.
-
Configure la TLS autenticación mutua en sus clientes, especificando el certificado del cliente, la cadena de confianza y, opcionalmente, el certificado de confianzaSANs.
-
Habilite el
STRICT
modo para la TLS configuración en el servidor.
Migración de servicios que se comunican a través de TLS
-
Configure los TLS ajustes mutuos en sus clientes, especificando el certificado del cliente y, opcionalmente, el certificado de confianzaSANs. El certificado de cliente no se envía a su backend hasta que el servidor de backend lo solicita.
-
Configure los TLS ajustes mutuos en su servidor, especificando la cadena de confianza y, opcionalmente, la cadena de confianzaSANs. Para ello, el servidor solicita un certificado de cliente.
Verificar la autenticación mutua TLS
Puede consultar la documentación sobre seguridad de la capa de transporte: verificación del cifrado para ver exactamente cómo Envoy emite las estadísticas TLS relacionadas. Para la TLS autenticación mutua, debe inspeccionar las siguientes estadísticas:
-
ssl.handshake
-
ssl.no_certificate
-
ssl.fail_verify_no_cert
-
ssl.fail_verify_san
En conjunto, los dos ejemplos de estadísticas siguientes muestran que todas TLS las conexiones correctas que finalizan en el nodo virtual se originaron en un cliente que proporcionó un certificado.
listener.0.0.0.0_15000.ssl.handshake: 3
listener.0.0.0.0_15000.ssl.no_certificate: 0
El siguiente ejemplo de estadística muestra que las conexiones de un nodo de cliente virtual (o puerta de enlace) a un nodo virtual de back-end produjeron un error. El nombre alternativo del sujeto (SAN) que aparece en el certificado del servidor no coincide con ninguno de los nombres en los que SANs confía el cliente.
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
Tutoriales de TLS autenticación mutua de App Mesh
-
Tutorial de TLS autenticación mutua
: en este tutorial se describe cómo puedes usar App Mesh CLI para crear una aplicación en color con autenticación mutuaTLS. -
Tutorial TLS SDS basado en Amazon EKS Mutual
: este tutorial muestra cómo puede utilizar la autenticación mutua TLS SDS con Amazon EKS y SPIFFE Runtime Environment ()SPIRE. -
Tutorial EKS mutuo TLS basado en archivos de Amazon
: este tutorial muestra cómo puede utilizar la TLS autenticación mutua basada en archivos con Amazon EKS y SPIFFE Runtime Environment (). SPIRE