Praktik terbaik enkripsi untuk Amazon ECS - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi untuk Amazon ECS

Amazon Elastic Container Service (AmazonECS) adalah layanan manajemen kontainer yang cepat dan dapat diskalakan yang membantu Anda menjalankan, menghentikan, dan mengelola kontainer di klaster.

Dengan AmazonECS, Anda dapat mengenkripsi data dalam perjalanan dengan menggunakan salah satu pendekatan berikut:

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

  • Jika memungkinkan secara teknis, untuk keamanan yang ditingkatkan, konfigurasikan titik VPCakhir ECS antarmuka Amazon di. AWS PrivateLink Mengakses titik akhir ini melalui VPN koneksi mengenkripsi data dalam perjalanan.

  • Simpan materi sensitif, seperti API kunci atau kredensil basis data, dengan aman. Anda dapat menyimpan ini sebagai parameter terenkripsi di Parameter Store, kemampuan. AWS Systems Manager Namun, kami sarankan Anda menggunakannya AWS Secrets Manager karena layanan ini memungkinkan Anda untuk secara otomatis memutar rahasia, menghasilkan rahasia acak, dan berbagi rahasia Akun AWS.

  • Untuk membantu mengurangi risiko kebocoran data dari variabel lingkungan, kami sarankan Anda menggunakan dan AWS Secrets Manager Config Provider for Secret Store Driver (). CSI GitHub Driver ini memungkinkan Anda untuk membuat rahasia yang disimpan di Secrets Manager dan parameter yang disimpan di Parameter Store muncul sebagai file yang dipasang di pod Kubernetes.

    catatan

    AWS Fargate tidak didukung.

  • Jika pengguna atau aplikasi di pusat data Anda atau pihak ketiga eksternal di web membuat HTTPS API permintaan langsung Layanan AWS, tandatangani permintaan tersebut dengan kredensil keamanan sementara yang diperoleh dari AWS Security Token Service ()AWS STS.