Ich möchte API-Gateway-Anforderungen an einen Container in einem ECS-Cluster weitergeben. Da das API-Gateway nicht in einer Sicherheitsgruppe platziert werden kann, muss ich den Dienst über einen ALB-Lastenausgleich im Internet bereitstellen. Um zu überprüfen, dass der Dienst nur Traffic von API GW verarbeitet, möchte ich client certificates verwenden.API-Gateway-Clientzertifikat in ELB überprüfen
Gibt es eine Möglichkeit, ELB das API-Gateway-Clientzertifikat für mich zu überprüfen und die SSL-Verbindung zu beenden, bevor die Anfrage an mein HTTP-Backend übergeben wird?
Wenn ELB das Zertifikat nicht überprüfen kann, scheint es mir, dass ich den Proxy auf einen TCP-Proxy "herabstufen" und den SSL-Handshake in meinem Dienst durchführen muss. Dazu muss ich jedoch das Zertifikat aus dem Dienst bereitstellen. Dies ist ein Problem, da ich von AWS bereitgestellte SSL-Zertifikate verwende und den privaten Schlüssel nicht habe. Also müsste ich nicht nur den SSL-Handshake neu erstellen, sondern auch mein SSL-Zertifikat von woanders beziehen, ist das korrekt?
In der Hoffnung, es gibt einen Weg mit geringem Aufwand, um die Vertrauensstellung zwischen API-Gateway und einem ECS-Dienst hinter einem ALB einzurichten.
Entschuldigung für die verwirrende Verwendung von Abkürzungen - ich verwende 'AWS :: ElasticLoadBalancingV2 :: LoadBalancer', nicht die alte. Dies ist, was ich als "ELB" bezeichne, was ich denke, sollte besser "ALB" sein? –