Vérification de l'activation du protocole TLS pour Amazon ECS Service Connect - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérification de l'activation du protocole TLS pour Amazon ECS Service Connect

Service Connect initie le protocole TLS au niveau de l'agent Service Connect et y met fin au niveau de l'agent de destination. Par conséquent, le code de l'application ne détecte jamais les interactions TLS. Suivez les étapes ci-dessous pour vérifier que le protocole TLS est activé.

  1. Assurez-vous que l'image de votre application possède la openssl CLI.

  2. Activez ECS Exec sur vos services pour vous connecter à vos tâches via SSM. Vous pouvez également lancer une instance Amazon EC2 dans le même Amazon VPC que le service.

  3. Récupérez l'adresse IP et le port d'une tâche auprès d'un service que vous souhaitez vérifier. Par exemple, si le protocole TLS est activé sur votre redis service, vous pouvez récupérer l'adresse IP de sa tâche en accédant au service AWS Cloud Map, en le trouvant et en examinant l'adresse IP et le port d'une instance.

  4. Connectez-vous à l'une de vos tâches execute-command comme dans l'exemple suivant. Vous pouvez également vous connecter à l'instance Amazon EC2 créée à l'étape 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task < TASK_ID>  \
    --container app \
    --interactive \
    --command "/bin/sh"
    Note

    L'appel direct du nom DNS ne révèle pas le certificat.

  5. Dans le shell connecté, utilisez la openssl CLI pour vérifier et afficher le certificat associé à la tâche.

    Exemple : 

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Exemple de réponse :

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>