La verifica che TLS sia abilitato per Amazon ECS Service Connect - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La verifica che TLS sia abilitato per Amazon ECS Service Connect

Service Connect avvia TLS nell'agente Service Connect e lo termina nell'agente di destinazione. Di conseguenza, il codice dell'applicazione non vede mai le interazioni TLS. Utilizza i passaggi seguenti per verificare che TLS sia abilitato.

  1. Includi la openssl CLI nell'immagine dell'applicazione.

  2. Abilita ECS Exec sui tuoi servizi per connetterti alle tue attività tramite SSM. In alternativa, puoi avviare un'istanza Amazon EC2 nello stesso Amazon VPC del servizio.

  3. Recupera l'IP e la porta di un'attività da un servizio che desideri verificare. È possibile recuperare l'indirizzo IP dell'attività nella AWS Cloud Map console. Le informazioni si trovano nella pagina dei dettagli del servizio per il namespace.

  4. Accedi a una qualsiasi delle tue attività utilizzando execute-command like nell'esempio seguente. In alternativa, accedi all'istanza Amazon EC2 creata nella Fase 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task < TASK_ID>  \
    --container app \
    --interactive \
    --command "/bin/sh"
    Nota

    La chiamata diretta al nome DNS non rivela il certificato.

  5. Nella shell connessa, utilizza la openssl CLI per verificare e visualizzare il certificato allegato all'attività.

    Esempio:

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Risposta di esempio:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>