マネージドサービスとして、Amazon Elastic Container Service は AWS グローバルネットワークセキュリティによって保護されています。AWS セキュリティサービスと AWS がインフラストラクチャを保護する方法については「AWS クラウドセキュリティ
AWS が公開している API コールを使用し、ネットワーク経由で Amazon ECS にアクセスします。クライアントは以下をサポートする必要があります。
-
Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
-
DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードはJava 7 以降など、ほとんどの最新システムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。またはAWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができます。Amazon ECS は、リソースベースのアクセスポリシーをサポートしており、送信元 IP アドレスに基づく制限を含めることができるため、ポリシーがネットワークロケーションの IP アドレスを考慮していることを確認してください。また、Amazon ECS ポリシーを使用して、特定の Amazon Virtual Private Cloud エンドポイントまたは特定の VPC からのアクセスを制御することもできます。これにより、実質的に AWS ネットワーク内の特定の VPC からの特定の Amazon ECS リソースへのネットワークアクセスが分離されます。詳細については、「Amazon ECS とインターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。
