Memverifikasi TLS diaktifkan untuk Amazon ECS Service Connect - Amazon Elastic Container Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memverifikasi TLS diaktifkan untuk Amazon ECS Service Connect

Service Connect memulai TLS di agen Service Connect dan menghentikannya di agen tujuan. Akibatnya, kode aplikasi tidak pernah melihat interaksi TLS. Gunakan langkah-langkah berikut untuk memverifikasi bahwa TLS diaktifkan.

  1. Sertakan openssl CLI dalam gambar aplikasi Anda.

  2. Aktifkan ECS Exec pada layanan Anda untuk terhubung ke tugas Anda melalui SSM. Sebagai alternatif, Anda dapat meluncurkan EC2 instans Amazon di VPC Amazon yang sama dengan layanannya.

  3. Ambil IP dan port tugas dari layanan yang ingin Anda verifikasi. Anda dapat mengambil alamat IP tugas di AWS Cloud Map konsol. Informasi ini ada di halaman detail layanan untuk namespace.

  4. Masuk ke salah satu tugas Anda menggunakan execute-command seperti pada contoh berikut. Sebagai alternatif, masuk ke EC2 instance Amazon yang dibuat di Langkah 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task task-id  \
    --container container-name \
    --interactive \
    --command "/bin/sh"
    catatan

    Memanggil nama DNS secara langsung tidak mengungkapkan sertifikat.

  5. Di shell yang terhubung, gunakan openssl CLI untuk memverifikasi dan melihat sertifikat yang dilampirkan pada tugas.

    Contoh:

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Contoh respons:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>