Vérification de l'activation du protocole TLS pour Amazon ECS Service Connect - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérification de l'activation du protocole TLS pour Amazon ECS Service Connect

Service Connect initie le protocole TLS au niveau de l'agent Service Connect et y met fin au niveau de l'agent de destination. Par conséquent, le code de l'application ne détecte jamais les interactions TLS. Suivez les étapes ci-dessous pour vérifier que le protocole TLS est activé.

  1. Incluez la openssl CLI dans l'image de votre application.

  2. Activez ECS Exec sur vos services pour vous connecter à vos tâches via SSM. Vous pouvez également lancer une EC2 instance Amazon dans le même Amazon VPC que le service.

  3. Récupérez l'adresse IP et le port d'une tâche auprès d'un service que vous souhaitez vérifier. Vous pouvez récupérer l'adresse IP de la tâche dans la AWS Cloud Map console. Les informations se trouvent sur la page des détails du service correspondant à l'espace de noms.

  4. Connectez-vous à l'une de vos tâches execute-command comme dans l'exemple suivant. Vous pouvez également vous connecter à l' EC2 instance Amazon créée à l'étape 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task task-id  \
    --container container-name \
    --interactive \
    --command "/bin/sh"
    Note

    L'appel direct du nom DNS ne révèle pas le certificat.

  5. Dans le shell connecté, utilisez la openssl CLI pour vérifier et afficher le certificat associé à la tâche.

    Exemple : 

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Exemple de réponse :

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>