Enkripsi lalu lintas Amazon ECS Service Connect - Amazon Elastic Container Service
AWS Private Certificate Authority sertifikat dan Service ConnectService Connect dan Secrets ManagerService Connect dan AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi lalu lintas Amazon ECS Service Connect

Amazon ECS Service Connect mendukung enkripsi lalu lintas otomatis dengan sertifikat Transport Layer Security (TLS) untuk ECS layanan Amazon. Saat Anda mengarahkan ECS layanan Amazon ke AWS Private Certificate Authority (AWS Private CA), Amazon ECS secara otomatis menyediakan TLS sertifikat untuk mengenkripsi lalu lintas antara ECS layanan Amazon Service Connect Anda. Amazon ECS menghasilkan, memutar, dan mendistribusikan TLS sertifikat yang digunakan untuk enkripsi lalu lintas.

Enkripsi lalu lintas otomatis dengan Service Connect menggunakan kemampuan enkripsi terdepan di industri untuk mengamankan komunikasi antar-layanan Anda yang membantu Anda memenuhi persyaratan keamanan. Ini mendukung AWS Private Certificate Authority TLS sertifikat dengan 256-bit ECDSA dan 2048-bit RSA enkripsi. Secara default, TLS 1.3 didukung, tetapi TLS 1.0 - 1.2 tidak didukung. Anda juga memiliki kontrol penuh atas sertifikat pribadi dan kunci penandatanganan untuk membantu Anda memenuhi persyaratan kepatuhan.

catatan

Untuk menggunakan TLS 1.3, Anda harus mengaktifkannya pada pendengar pada target.

Hanya lalu lintas masuk dan keluar yang lewat meskipun ECS agen Amazon dienkripsi.

AWS Private Certificate Authority sertifikat dan Service Connect

Ada IAM izin tambahan yang diperlukan untuk menerbitkan sertifikat. Amazon ECS menyediakan kebijakan kepercayaan sumber daya terkelola yang menguraikan kumpulan izin. Untuk informasi selengkapnya tentang kebijakan ini, lihat A mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity.

AWS Private Certificate Authority mode untuk Service Connect

AWS Private Certificate Authority dapat berjalan dalam dua mode: tujuan umum dan berumur pendek.

  • Tujuan umum - Sertifikat yang dapat dikonfigurasi dengan tanggal kedaluwarsa apa pun.

  • Berumur pendek - Sertifikat dengan validitas maksimum tujuh hari.

Meskipun Amazon ECS mendukung kedua mode, kami sarankan untuk menggunakan sertifikat berumur pendek. Secara default, sertifikat berputar setiap lima hari, dan berjalan dalam mode berumur pendek menawarkan penghematan biaya yang signifikan dibandingkan tujuan umum.

Service Connect tidak mendukung pencabutan sertifikat dan sebaliknya memanfaatkan sertifikat berumur pendek dengan rotasi sertifikat yang sering. Anda memiliki wewenang untuk memodifikasi frekuensi rotasi, menonaktifkan, atau menghapus rahasia menggunakan rotasi terkelola di Secrets Manager, tetapi hal itu dapat disertai dengan konsekuensi yang mungkin berikut.

  • Frekuensi Rotasi Lebih Pendek - Frekuensi rotasi yang lebih pendek menimbulkan biaya yang lebih tinggi karena AWS Private CA, AWS KMS dan Secrets Manager, dan Auto Scaling mengalami peningkatan beban kerja untuk rotasi.

  • Frekuensi Rotasi Lebih Panjang - Komunikasi aplikasi Anda gagal jika frekuensi rotasi melebihi tujuh hari.

  • Penghapusan Rahasia - Menghapus rahasia menghasilkan kegagalan rotasi dan berdampak pada komunikasi aplikasi pelanggan.

Jika rotasi rahasia Anda gagal, sebuah RotationFailed acara dipublikasikan di AWS CloudTrail. Anda juga dapat mengatur CloudWatch Alarm untukRotationFailed.

penting

Jangan menambahkan replika Regions ke rahasia. Melakukannya ECS mencegah Amazon menghapus rahasia, karena Amazon ECS tidak memiliki izin untuk menghapus Wilayah dari replikasi. Jika Anda sudah menambahkan replikasi, jalankan perintah berikut.

aws secretsmanager remove-regions-from-replication \
 --secret-id SecretId \
 --remove-replica-regions region-name
Otoritas Sertifikat Bawahan

Anda dapat membawa apa pun AWS Private CA, root atau bawahan, ke Service Connect TLS untuk menerbitkan sertifikat entitas akhir untuk layanan. Penerbit yang disediakan diperlakukan sebagai penandatangan dan akar kepercayaan di mana-mana. Anda dapat menerbitkan sertifikat entitas akhir untuk berbagai bagian aplikasi Anda dari bawahan yang berbeda. CAs Saat menggunakan AWS CLI, berikan Amazon Resource Name (ARN) CA untuk membangun rantai kepercayaan.

Otoritas Sertifikat Lokal

Untuk menggunakan CA lokal, Anda membuat dan mengonfigurasi CA bawahan. AWS Private Certificate Authority Ini memastikan semua TLS sertifikat yang dikeluarkan untuk ECS beban kerja Amazon Anda berbagi rantai kepercayaan dengan beban kerja yang Anda jalankan di tempat dan dapat terhubung dengan aman.

penting

Tambahkan tag yang diperlukan AmazonECSManaged : true di AWS Private CA.

Infrastruktur sebagai kode

Saat menggunakan alat Service Connect TLS with Infrastructure as Code (IAc), penting untuk mengonfigurasi dependensi Anda dengan benar untuk menghindari masalah, seperti layanan yang terjebak dalam pengurasan. AWS KMS Kunci Anda, jika disediakan, IAM peran, dan AWS Private CA dependensi harus dihapus setelah layanan Amazon ECS Anda.

Service Connect dan Secrets Manager

Saat menggunakan Amazon ECS Service Connect dengan TLS enkripsi, layanan berinteraksi dengan Secrets Manager dengan cara berikut:

Service Connect menggunakan peran infrastruktur yang disediakan untuk membuat rahasia dalam Secrets Manager. Rahasia ini digunakan untuk menyimpan kunci pribadi terkait untuk TLS sertifikat Anda untuk mengenkripsi lalu lintas antara layanan Service Connect Anda.

Awas

Pembuatan dan pengelolaan rahasia ini secara otomatis oleh Service Connect menyederhanakan proses penerapan TLS enkripsi untuk layanan Anda. Namun, penting untuk menyadari potensi implikasi keamanan. IAMPeran lain yang memiliki akses baca ke Secrets Manager mungkin dapat mengakses rahasia yang dibuat secara otomatis ini. Ini dapat mengekspos materi kriptografi sensitif kepada pihak yang tidak berwenang, jika kontrol akses tidak dikonfigurasi dengan benar.

Untuk mengurangi risiko ini, ikuti praktik terbaik berikut:

  • Kelola dan batasi akses ke Secrets Manager dengan hati-hati, terutama untuk rahasia yang dibuat oleh Service Connect.

  • Secara teratur mengaudit IAM peran dan izinnya untuk memastikan prinsip hak istimewa paling rendah dipertahankan.

Saat memberikan akses baca ke Secrets Manager, pertimbangkan untuk mengecualikan kunci TLS pribadi yang dibuat oleh Service Connect. Anda dapat melakukan ini dengan menggunakan kondisi dalam IAM kebijakan Anda untuk mengecualikan rahasia ARNs yang cocok dengan pola:

"arn:aws:secretsmanager:::secret:ecs-sc!"

Contoh IAM kebijakan yang menyangkal GetSecretValue tindakan untuk semua rahasia dengan ecs-sc! awalan:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*"
        }
    ]
}
catatan

Ini adalah contoh umum dan mungkin perlu disesuaikan berdasarkan kasus penggunaan spesifik dan konfigurasi AWS akun Anda. Selalu uji IAM kebijakan Anda secara menyeluruh untuk memastikan mereka menyediakan akses yang dimaksudkan sambil menjaga keamanan.

Dengan memahami bagaimana Service Connect berinteraksi dengan Secrets Manager, Anda dapat mengelola keamanan ECS layanan Amazon dengan lebih baik sambil memanfaatkan manfaat enkripsi otomatisTLS.

Service Connect dan AWS Key Management Service

Anda dapat menggunakan AWS Key Management Serviceuntuk mengenkripsi dan mendekripsi sumber daya Service Connect Anda. AWS KMS adalah layanan yang dikelola oleh AWS tempat Anda dapat membuat dan mengelola kunci kriptografi yang melindungi data Anda.

Saat menggunakan AWS KMS Service Connect, Anda dapat memilih untuk menggunakan kunci AWS milik yang AWS mengelola untuk Anda, atau Anda dapat memilih AWS KMS kunci yang ada. Anda juga dapat membuat AWS KMS kunci baru untuk digunakan.

Menyediakan kunci enkripsi Anda sendiri

Anda dapat menyediakan materi utama Anda sendiri, atau Anda dapat menggunakan penyimpanan kunci eksternal melalui AWS Key Management Service Impor kunci Anda sendiri AWS KMS, lalu tentukan Nama Sumber Daya Amazon (ARN) kunci tersebut di Amazon ECS Service Connect.

Berikut ini adalah contoh AWS KMS kebijakan. Ganti user input Nilai dengan nilai Anda sendiri.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "id",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/role-name"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair"
      ],
      "Resource": "*"
    }
  ]
}

Untuk informasi selengkapnya tentang kebijakan kunci, lihat Membuat kebijakan kunci di Panduan AWS Key Management Service Developer.

catatan

Service Connect hanya mendukung AWS KMS kunci enkripsi simetris. Anda tidak dapat menggunakan jenis AWS KMS kunci lain untuk mengenkripsi sumber daya Service Connect. Untuk bantuan menentukan apakah AWS KMS kunci adalah kunci enkripsi simetris, lihat Mengidentifikasi kunci asimetris KMS.

Untuk informasi selengkapnya tentang kunci enkripsi AWS Key Management Service simetris, lihat AWS KMS Kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang.