Verificação da habilitação do protocolo TLS para o Amazon ECS Service Connect - Amazon Elastic Container Service

Verificação da habilitação do protocolo TLS para o Amazon ECS Service Connect

O Service Connect inicia o TLS no agente do Service Connect e o encerra no agente de destino. Como resultado, o código da aplicação nunca vê interações TLS. Use as etapas apresentadas a seguir para verificar se o protocolo TLS está habilitado.

  1. Certifique-se de que a imagem da aplicação tenha a CLI openssl.

  2. Habilite o ECS Exec nos serviços para se conectar às tarefas via SSM. Como alternativa, é possível iniciar uma instância do Amazon EC2 na mesma Amazon VPC do serviço.

  3. Recupere o IP e a porta de uma tarefa de um serviço que deseja verificar. Por exemplo, se o serviço redis tiver o TLS ativado, você pode recuperar o IP da tarefa navegando até o AWS Cloud Map, localizando o serviço e examinando o IP e a porta de uma instância.

  4. Faça login em qualquer uma de suas tarefas usando execute-command como no exemplo apresentado a seguir. Como alternativa, faça login na instância do Amazon EC2 criada na Etapa 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task < TASK_ID>  \
    --container app \
    --interactive \
    --command "/bin/sh"
    nota

    Chamar o nome do DNS diretamente não revela o certificado.

  5. No shell conectado, use a CLI openssl para verificar e visualizar o certificado anexado à tarefa.

    Exemplo:

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Exemplo de resposta:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>