投稿日: Feb 4, 2021
双方向ピア認証を提供する mutual TLS (Transport Layer Security) 認証が AWS App Mesh でサポートされるようになりました。AWS App Mesh は、サービスの通信方法を標準化するアプリケーションレベルのネットワーキングを提供するサービスメッシュで、エンドツーエンドの可視性とアプリケーションの高可用性を調整するオプションを提供します。
mutual TLS 認証では、TLS にセキュリティレイヤーが追加されるので、接続を作成しているクライアントをサービスで識別および認証できます。AWS App Mesh を設定して、クライアントから提供された X.509 証明書が信頼された証明機関 (CA) によって発行されたものかどうか、および証明書が有効な証明書かどうかを自動的に検証できます。証明書で Subject Alternative Name (SAN) を使用して、クライアントを識別することもできます。
Envoy プロキシファイルシステムを介して、mutual TLS を有効にする X.509 証明書を配布できます。Kubernetes ワークロードを実行するお客様は、Envoy の Secret Discovery Service API を実装する SPIFFE Runtime Environment (SPIRE) などのサイドカーを使用することもできます。
開始するには、Amazon ECS mutual TLS 認証チュートリアルおよび SPIRE を使用した Amazon EKS mutual TLS チュートリアルを参照してください。