Amazon ECS 的加密最佳實務

Amazon Elastic Container Service (Amazon ECS) 是快速、可擴展的容器管理服務，可協助您執行、停止和管理叢集上的容器。

透過 Amazon ECS，您可以使用下列任何一種方法來加密傳輸中的資料：

• 建立服務網格。使用 AWS App Mesh設定已部署 Envoy 代理與網格端點之間的 TLS 連線，例如虛擬節點或虛擬閘道。您可以從 AWS Private Certificate Authority 或客戶提供的憑證使用 TLS 憑證。如需詳細資訊和逐步解說，請參閱AWS App Mesh 使用 AWS Certificate Manager (ACM) 或客戶提供的憑證在 中的服務之間啟用流量加密 (AWS 部落格文章）。

• 如果支援，請使用 AWS Nitro Enclaves。 AWS Nitro Enclaves 是一種 Amazon EC2 功能，可讓您從 Amazon EC2 執行個體建立隔離的執行環境，稱為 enclaves。其旨在協助保護您最敏感的資料。或者，ACM for Nitro Enclaves 可讓您透過以 AWS Nitro Enclaves 在 Amazon EC2 執行個體上執行的 Web 應用程式和 Web 伺服器，使用公有和私有 SSL/TLS 憑證。如需詳細資訊，請參閱 AWS Nitro Enclaves – 處理機密資料的隔離 EC2 環境 (AWS 部落格文章）。

• 搭配 Application Load Balancer 使用伺服器名稱指示 (SNI) 通訊協定。您可以在 Application Load Balancer 的單一 HTTPS 接聽程式後方部署多個應用程式。每個接聽程式都具有自己的 TLS 憑證。您可以使用 ACM 提供的憑證，也可以使用自我簽署憑證。Application Load Balancer 和 Network Load Balancer 都支援 SNI。如需詳細資訊，請參閱 Application Load Balancer 現在支援使用 SNI 進行智慧選擇的多個 TLS 憑證 (AWS 部落格文章）。

• 為了提高安全性和靈活性，請使用 AWS Private Certificate Authority 部署具有 Amazon ECS 任務的 TLS 憑證。如需詳細資訊，請參閱維護 TLS 至您的容器第 2 部分：使用 AWS Private CA(AWS 部落格文章）。

• 使用機密探索服務 (Envoy) 或 ACM 中託管的憑證 (GitHub) 在 App Mesh 中實作雙向 TLS (mTLS)。

請考慮此服務的下列加密最佳實務：

• 在技術上可行的情況下，為了增強安全性，在 AWS PrivateLink中設定 Amazon ECS 介面 VPC 端點。透過 VPN 連線存取這些端點會加密傳輸中的資料。

• 安全地儲存敏感材料，例如 API 金鑰或資料庫憑證。您可以將這些參數作為加密參數儲存在 Parameter Store ( AWS Systems Manager的功能) 中。不過，我們建議您使用 ， AWS Secrets Manager 因為此服務可讓您自動輪換秘密、產生隨機秘密，以及跨 共用秘密 AWS 帳戶。

• 如果資料中心的使用者或應用程式或 Web 上的外部第三方正在向 發出直接 HTTPS API 請求 AWS 服務，請使用從 AWS Security Token Service () 取得的臨時安全登入資料簽署這些請求AWS STS。