为 Amazon ECS 托管实例启用 VPC 加密控制

Amazon ECS 托管实例支持 VPC 加密控制，这是一项安全性和合规性功能，它提供集中控制，为区域内以及跨 VPC 的所有流量监控和强制执行传输中加密。在您的子网中启用 VPC 加密控制后，您可以在 Amazon ECS 托管实例自定义容量提供程序中指定支持传输中加密的实例类型，从而保证 Amazon ECS 托管实例工作负载以传输中加密方式运行。

先决条件

在开始之前，您需要：

在子网上启用了传输中加密的 VPC。有关更多信息，请参阅 VPC 加密控制文档。
Amazon ECS 托管实例自定义容量提供程序。有关更多信息，请参阅 Amazon ECS 托管实例的架构。

识别兼容的实例类型

Amazon EC2 实例类型必须满足两个要求：

支持 VPC 传输中加密：使用以下 Amazon CLI 命令列出支持传输中加密的 Amazon EC2 实例类型：


aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

由 Amazon ECS 托管实例支持：有关 Amazon ECS 托管实例支持的所有 Amazon EC2 实例类型，请参阅 Amazon ECS 托管实例实例类型。

如果您有其他要求（例如，特定 CPU、内存或架构需求），请根据工作负载要求进一步筛选兼容的实例类型。

创建支持 VPC 加密的集群

要配置 Amazon ECS 托管实例以实现 VPC 传输中加密，请执行以下操作：

创建一个新集群，然后为基础设施选择 Fargate 和托管实例。
选择使用自定义 – 高级以访问其他配置参数。
在允许的实例类型中，仅添加支持 VPC 传输中加密的特定实例类型。

按照这种方式配置后，Amazon ECS 托管实例将仅启动支持 VPC 传输中加密的 Amazon EC2 实例类型。

注意事项

可突增性能实例：T3、T3a 和 T4g 实例类型不支持 VPC 传输中加密，不能在启用了强制模式加密控制的子网中使用。
模式转换：只有当所有正在运行的实例都支持 VPC 传输中加密时，您才能将 VPC 子网从监控模式转换到强制模式。
任务启动失败：在强制模式下，如果您指定的实例类型不支持传输中加密，则任务将启动失败。

问题排查

强制模式下任务启动失败: 如果任务启动失败，请使用上面提供的 Amazon CLI 命令验证所有指定的实例类型是否支持 VPC 传输中加密。
无法转换到强制模式: 使用控制台或 GetVpcResourcesBlockingEncryptionEnforcement 命令识别未强制执行传输中加密的资源。

有关 VPC 加密控制的更多信息，请参阅 VPC 加密控制文档。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon ECS 托管实例的安全注意事项

基础设施优化