Crittografa il traffico Amazon ECS Service Connect - Amazon Elastic Container Service
AWS Private Certificate Authority certificati e Service ConnectService Connect e Secrets ManagerService Connect e AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografa il traffico Amazon ECS Service Connect

Amazon ECS Service Connect supporta la crittografia automatica del traffico con certificati Transport Layer Security (TLS) per ECS i servizi Amazon. Quando indirizzi i tuoi ECS servizi Amazon verso un AWS Private Certificate Authority (AWS Private CA), Amazon fornisce ECS automaticamente TLS certificati per crittografare il traffico tra i tuoi servizi Amazon ECS Service Connect. Amazon ECS genera, ruota e distribuisce i TLS certificati utilizzati per la crittografia del traffico.

La crittografia automatica del traffico con Service Connect utilizza funzionalità di crittografia leader del settore per proteggere le comunicazioni tra servizi e soddisfare i requisiti di sicurezza. Supporta certificati con crittografia AWS Private Certificate Authority TLS. 256-bit ECDSA 2048-bit RSA Per impostazione predefinita, la TLS versione 1.3 è supportata, ma la TLS versione 1.0 - 1.2 non è supportata. Hai anche il pieno controllo sui certificati privati e sulle chiavi di firma per aiutarti a soddisfare i requisiti di conformità.

Nota

Per utilizzare la TLS versione 1.3, è necessario abilitarla sul listener della destinazione.

Solo il traffico in entrata e in uscita che passa attraverso l'ECSagente Amazon è crittografato.

AWS Private Certificate Authority certificati e Service Connect

Sono necessarie IAM autorizzazioni aggiuntive per emettere certificati. Amazon ECS fornisce una politica di fiducia delle risorse gestite che delinea il set di autorizzazioni. Per ulteriori informazioni su questa politica, consulta A. mazonECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity

AWS Private Certificate Authority modalità per Service Connect

AWS Private Certificate Authority può funzionare in due modalità: generica e di breve durata.

  • Scopo generale ‐ Certificati che possono essere configurati con qualsiasi data di scadenza.

  • Di breve durata ‐ Certificati con una validità massima di sette giorni.

Sebbene Amazon ECS supporti entrambe le modalità, consigliamo di utilizzare certificati di breve durata. Per impostazione predefinita, i certificati ruotano ogni cinque giorni e l'esecuzione in modalità di breve durata offre risparmi significativi sui costi rispetto agli usi generici.

Service Connect non supporta la revoca dei certificati e sfrutta invece certificati di breve durata con rotazione frequente dei certificati. Hai l'autorità per modificare la frequenza di rotazione, disabilitare o eliminare i segreti utilizzando la rotazione gestita in Secrets Manager, ma ciò può comportare le seguenti possibili conseguenze.

  • Frequenza di rotazione più breve ‐ Una frequenza di rotazione più breve comporta costi più elevati a AWS Private CA causa di Secrets Manager AWS KMS e Auto Scaling che subiscono un maggiore carico di lavoro per la rotazione.

  • Frequenza di rotazione più lunga ‐ Le comunicazioni delle applicazioni falliscono se la frequenza di rotazione supera i sette giorni.

  • Eliminazione del segreto ‐ L'eliminazione del segreto comporta un errore di rotazione e influisce sulle comunicazioni con le applicazioni dei clienti.

Se la rotazione segreta fallisce, viene pubblicato un RotationFailed evento in. AWS CloudTrail Puoi anche impostare un CloudWatch allarme perRotationFailed.

Importante

Non aggiungere regioni di replica ai segreti. In questo modo si ECS impedisce ad Amazon di eliminare il segreto, poiché Amazon ECS non dispone dell'autorizzazione per rimuovere le regioni dalla replica. Se hai già aggiunto la replica, esegui il seguente comando.

aws secretsmanager remove-regions-from-replication \
 --secret-id SecretId \
 --remove-replica-regions region-name
Autorità di certificazione subordinate

È possibile importare qualsiasi certificato AWS Private CA, root o subordinato, a Service Connect TLS per emettere certificati di entità finale per i servizi. L'emittente fornito viene trattato come firmatario e fonte di fiducia ovunque. È possibile emettere certificati di entità finale per diverse parti dell'applicazione da diversi subordinati. CAs Quando utilizzi AWS CLI, fornisci l'Amazon Resource Name (ARN) della CA per stabilire la catena di fiducia.

Autorità di certificazione locali

Per utilizzare la CA locale, è necessario creare e configurare una CA subordinata in. AWS Private Certificate Authority Ciò garantisce che tutti i TLS certificati emessi per i tuoi ECS carichi di lavoro Amazon condividano la catena di fiducia con i carichi di lavoro che esegui in locale e siano in grado di connettersi in modo sicuro.

Importante

Aggiungi il tag AmazonECSManaged : truerichiesto nel tuo. AWS Private CA

infrastruttura come codice

Quando si utilizzano gli strumenti Service Connect TLS with Infrastructure as Code (IaC), è importante configurare correttamente le dipendenze per evitare problemi, come i servizi bloccati. La AWS KMS chiave, se fornita, IAM il ruolo e AWS Private CA le dipendenze devono essere eliminati dopo il ECS servizio Amazon.

Service Connect e Secrets Manager

Quando si utilizza Amazon ECS Service Connect con TLS crittografia, il servizio interagisce con Secrets Manager nei seguenti modi:

Service Connect utilizza il ruolo di infrastruttura fornito per creare segreti all'interno di Secrets Manager. Questi segreti vengono utilizzati per archiviare le chiavi private associate ai TLS certificati per la crittografia del traffico tra i servizi Service Connect.

avvertimento

La creazione e la gestione automatiche di questi segreti da parte di Service Connect semplificano il processo di implementazione della TLS crittografia per i tuoi servizi. È tuttavia importante essere consapevoli delle potenziali implicazioni per la sicurezza. Altri IAM ruoli con accesso in lettura a Secrets Manager potrebbero essere in grado di accedere a questi segreti creati automaticamente. Ciò potrebbe esporre materiale crittografico sensibile a soggetti non autorizzati, se i controlli di accesso non sono configurati correttamente.

Per mitigare questo rischio, segui queste best practice:

  • Gestisci e limita con attenzione l'accesso a Secrets Manager, in particolare per i segreti creati da Service Connect.

  • Verifica regolarmente IAM i ruoli e le relative autorizzazioni per garantire il rispetto del principio del privilegio minimo.

Quando concedi l'accesso in lettura a Secrets Manager, valuta la possibilità di escludere le chiavi TLS private create da Service Connect. Puoi farlo utilizzando una condizione nelle tue IAM politiche per escludere i segreti ARNs che corrispondono allo schema:

"arn:aws:secretsmanager:::secret:ecs-sc!"

Un esempio di IAM politica che nega l'GetSecretValueazione a tutti i segreti con il ecs-sc! prefisso:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:secret:ecs-sc!*"
        }
    ]
}
Nota

Questo è un esempio generale e potrebbe essere necessario modificarlo in base al caso d'uso specifico e alla configurazione AWS dell'account. Verifica sempre accuratamente IAM le tue politiche per assicurarti che forniscano l'accesso previsto mantenendo al contempo la sicurezza.

Comprendendo come Service Connect interagisce con Secrets Manager, puoi gestire meglio la sicurezza dei tuoi ECS servizi Amazon sfruttando al contempo i vantaggi della crittografia automaticaTLS.

Service Connect e AWS Key Management Service

È possibile utilizzare AWS Key Management Serviceper crittografare e decrittografare le risorse Service Connect. AWS KMS è un servizio gestito AWS in cui è possibile creare e gestire chiavi crittografiche per proteggere i dati.

Quando si utilizza AWS KMS con Service Connect, è possibile scegliere di utilizzare una chiave di AWS proprietà che AWS gestisca per conto proprio oppure scegliere una AWS KMS chiave esistente. Puoi anche creare una nuova AWS KMS chiave da usare.

Fornire la propria chiave di crittografia

Puoi fornire i tuoi materiali chiave oppure puoi utilizzare un archivio di chiavi esterno tramite AWS Key Management Service Importa la tua chiave in AWS KMS, quindi specificare l'Amazon Resource Name (ARN) di quella chiave in Amazon ECS Service Connect.

Di seguito è illustrato un esempio di una AWS KMS policy. Sostituire il user input valori con i tuoi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "id",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/role-name"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair"
      ],
      "Resource": "*"
    }
  ]
}

Per ulteriori informazioni sulle politiche chiave, consulta Creazione di una politica chiave nella Guida per gli AWS Key Management Service sviluppatori.

Nota

Service Connect supporta solo le chiavi di crittografia AWS KMS simmetrica. Non è possibile utilizzare nessun altro tipo di AWS KMS chiave per crittografare le risorse Service Connect. Per informazioni su come determinare se una AWS KMS chiave è simmetrica o asimmetrica, consultare Identify KMS asymmetric keys (Individuazione di chiavi asimmetriche).

Per ulteriori informazioni sulle chiavi di crittografia AWS Key Management Service simmetriche, consulta Chiavi di crittografia simmetriche nella Guida per gli sviluppatori. AWS KMS AWS Key Management Service