Segurança da infraestrutura no Amazon Elastic Container Service - Amazon Elastic Container Service

Segurança da infraestrutura no Amazon Elastic Container Service

Como um serviço gerenciado, o Amazon Elastic Conteiner Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte AWS Segurança na Nuvem. Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte Proteção de Infraestrutura em Pilar de Segurança: AWS Well‐Architected Framework.

Você usa chamadas de API publicadas pela AWS para acessar o Amazon ECS por meio da rede. Os clientes devem oferecer suporte para:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

É possível chamar essas operações de API de qualquer local de rede. O Amazon ECS oferece suporte a políticas de acesso com base em recursos, que podem incluir restrições com base no endereço IP de origem. Portanto, certifique-se de que as políticas sejam responsáveis pelo endereço IP da localização da rede. Também é possível usar políticas do Amazon ECS para controlar o acesso de endpoints da Amazon Virtual Private Cloud ou de VPCs específicas. Realmente, isso isola o acesso à rede para um determinado recurso do Amazon ECS apenas da VPC específica dentro da rede da AWS. Para ter mais informações, consulte Endpoints da VPC de interface do Amazon ECS (AWS PrivateLink).