Memverifikasi TLS diaktifkan untuk Amazon ECS Service Connect - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memverifikasi TLS diaktifkan untuk Amazon ECS Service Connect

Service Connect memulai TLS di agen Service Connect dan menghentikannya di agen tujuan. Akibatnya, kode aplikasi tidak pernah melihat interaksi TLS. Gunakan langkah-langkah berikut untuk memverifikasi bahwa TLS diaktifkan.

  1. Pastikan gambar aplikasi Anda memiliki openssl CLI.

  2. Aktifkan ECS Exec pada layanan Anda untuk terhubung ke tugas Anda melalui SSM. Sebagai alternatif, Anda dapat meluncurkan instans Amazon EC2 di VPC Amazon yang sama dengan layanan.

  3. Ambil IP dan port tugas dari layanan yang ingin Anda verifikasi. Misalnya, jika redis layanan Anda mengaktifkan TLS, Anda dapat mengambil IP tugasnya dengan menavigasi ke AWS Cloud Map, menemukan layanan, dan melihat IP dan port dari satu instance.

  4. Masuk ke salah satu tugas Anda menggunakan execute-command seperti pada contoh berikut. Sebagai alternatif, masuk ke instans Amazon EC2 yang dibuat di Langkah 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task < TASK_ID>  \
    --container app \
    --interactive \
    --command "/bin/sh"
    catatan

    Memanggil nama DNS secara langsung tidak mengungkapkan sertifikat.

  5. Di shell yang terhubung, gunakan openssl CLI untuk memverifikasi dan melihat sertifikat yang dilampirkan pada tugas.

    Contoh:

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Contoh respons:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>