

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autenticação simplificada de aplicações com TLS mútua no Amazon ECS usando o Application Load Balancer
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs"></a>

*Olawale Olaleye e Shamanth Devagari, Amazon Web Services*

## Resumo
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-summary"></a>

Este padrão ajuda você a simplificar a autenticação das suas aplicações e aliviar as atividades de segurança com TLS mútua no Amazon Elastic Container Service (Amazon ECS) usando o [Application Load Balancer (ALB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html). Com o ALB, você pode autenticar certificados de cliente X.509 do. Autoridade de Certificação Privada da AWS Essa combinação poderosa ajuda a obter uma comunicação segura entre seus serviços, reduzindo a necessidade de mecanismos complexos de autenticação em suas aplicações. Além disso, o padrão usa o Amazon Elastic Container Registry (Amazon ECR) para armazenar imagens de contêiner.

O exemplo deste padrão usa imagens do Docker de uma galeria pública para criar inicialmente as workloads de amostra. Posteriormente, novas imagens do Docker são criadas para serem armazenadas no Amazon ECR. Para a fonte, considere um sistema baseado em Git GitHub, como, ou Bitbucket GitLab, ou use o Amazon Simple Storage Service Amazon S3 (Amazon S3). Para criar as imagens do Docker, considere usar AWS CodeBuild para as imagens subsequentes.

## Pré-requisitos e limitações
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-prereqs"></a>

**Pré-requisitos **
+ Um ativo Conta da AWS com acesso para implantar AWS CloudFormation pilhas. Verifique se você tem [permissões de usuário ou função AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/control-access-with-iam.html) (IAM) para implantar CloudFormation.
+ AWS Command Line Interface (AWS CLI) [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). [Configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) suas AWS credenciais em sua máquina local ou em seu ambiente usando AWS CLI ou definindo as variáveis de ambiente no `~/.aws/credentials` arquivo.
+ OpenSSL [instalado](https://www.openssl.org/).
+ Docker [instalado](https://www.docker.com/get-started/).
+ Familiaridade com o Serviços da AWS descrito em [Ferramentas](#simplify-application-authentication-with-mutual-tls-in-amazon-ecs-tools).
+ Conhecimento em Docker e NGINX.

**Limitações**
+ A TLS mútua para o Application Load Balancer é compatível somente com certificados de cliente X.509v3. Não há suporte para certificados de cliente X.509v1.
+ O CloudFormation modelo fornecido no repositório de código desse padrão não inclui o provisionamento de um CodeBuild projeto como parte da pilha.
+ Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para conferir a disponibilidade de uma região, consulte [AWS Services by Region](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Para endpoints específicos, consulte [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) e clique no link correspondente ao serviço desejado.

**Versões do produto**
+ Docker, versão 27.3.1 ou versões posteriores
+ AWS CLI versão 2.14.5 ou posterior

## Arquitetura
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-architecture"></a>

O diagrama a seguir mostra os componentes da arquitetura desse padrão.

![\[Fluxo de trabalho para autenticar com TLS mútua usando o Application Load Balancer.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/a343fa4e-097f-416b-9c83-01a28eb57dc3/images/e1371297-b987-4487-9b13-8120933c921f.png)


 O diagrama mostra o seguinte fluxo de trabalho:

1. Crie um repositório Git e confirme o código da aplicação nele.

1. Crie uma autoridade de certificação (CA) privada em CA Privada da AWS.

1. Crie um CodeBuild projeto. O CodeBuildproject é acionado por alterações de confirmação e cria a imagem do Docker e publica a imagem criada no Amazon ECR.

1. Copie a cadeia de certificados e o corpo do certificado da CA e faça o upload do pacote de certificados no Amazon S3.

1. Crie um armazenamento confiável com o pacote da CA que você enviou para o Amazon S3. Associe o armazenamento confiável aos receptor da TLS mútua no Application Load Balancer (ALB).

1. Use a CA privada para emitir certificados de cliente para as workloads do contêiner. Crie também um certificado TLS privado usando o. CA Privada da AWS

1. Importe o certificado TLS privado para AWS Certificate Manager (ACM) e use-o com o ALB.

1. A workload do contêiner em `ServiceTwo` usa o certificado de cliente emitido para autenticar com o ALB ao se comunicar com a workload do contêiner em `ServiceOne`.

1. A workload do contêiner em `ServiceOne` usa o certificado de cliente emitido para autenticar com o ALB ao se comunicar com a workload do contêiner em `ServiceTwo`.

**Automação e escala**

Esse padrão pode ser totalmente automatizado usando CloudFormation AWS Cloud Development Kit (AWS CDK) , ou operações de API de um SDK para provisionar os AWS recursos.

Você pode usar AWS CodePipeline para implementar um pipeline de integração contínua e implantação contínua (CI/CD) usando CodeBuild para automatizar o processo de criação de imagens de contêineres e implantar novas versões nos serviços de cluster do Amazon ECS.

## Ferramentas
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-tools"></a>

**Serviços da AWS **
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) ajuda você a criar, armazenar e renovar certificados e chaves SSL/TLS X.509 públicos e privados que protegem seus AWS sites e aplicativos.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em Contas da AWS e. Regiões da AWS
+ O [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) é um serviço de compilação totalmente gerenciado que permite compilar o código-fonte, realizar testes de unidade e produzir artefatos preparados para a implantação.
+ O [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) é um serviço gerenciado de registro de imagens de contêineres seguro, escalável e confiável.
+ O [Amazon Elastic Container Service (Amazon ECS)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html) é um serviço de gerenciamento de contêineres altamente escalável e rápido para execução, interrupção e gerenciamento de contêineres em um cluster. Você pode executar suas tarefas e serviços em uma infraestrutura sem servidor gerenciada pela. AWS Fargate Como alternativa, para ter mais controle sobre sua infraestrutura, você pode executar suas tarefas e serviços em um cluster de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que você gerencia.
+ Com o [Amazon ECS Exec](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html), você pode interagir diretamente com contêineres sem precisar interagir primeiro com o sistema operacional do contêiner do host, abrir portas de entrada ou gerenciar chaves SSH. Você pode usar o ECS Exec para executar comandos ou obter um shell para um contêiner em execução em uma EC2 instância da Amazon ou em. AWS Fargate
+ O [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) distribui o tráfego de entrada de aplicativos ou de rede em vários destinos. Por exemplo, você pode distribuir o tráfego entre EC2 instâncias, contêineres e endereços IP da Amazon em uma ou mais zonas de disponibilidade. O ELB monitora a integridade dos destinos registrados e roteia o tráfego apenas para os destinos íntegros. O ELB escala seu balanceador de carga conforme o tráfego de entrada muda com o tempo. Ele pode ser dimensionado automaticamente para a maioria das workloads.
+ [AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/userguide/what-is-fargate.html)ajuda você a executar contêineres sem precisar gerenciar servidores ou EC2 instâncias da Amazon. O Fargate é compatível com o Amazon ECS e com o Amazon Elastic Kubernetes Service (Amazon EKS). Você pode executar suas tarefas e serviços do Amazon ECS com o tipo de inicialização do Fargate ou com um provedor de capacidade do Fargate. Para isso, empacote sua aplicação em contêineres, especifique os requisitos de CPU e de memória, defina as políticas do IAM e de rede e inicie a aplicação. Cada tarefa do Fargate tem seu próprio limite de isolamento e não compartilha o kernel subjacente, os recursos de CPU, os recursos de memória nem a interface de rede elástica com outra tarefa.
+ [Autoridade de Certificação Privada da AWS](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)permite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinada CAs, sem os custos de investimento e manutenção da operação de uma CA local.

**Outras ferramentas******
+ O [Docker](https://www.docker.com/) é um conjunto de produtos de plataforma como serviço (PaaS) que usam a virtualização no nível do sistema operacional para fornecer software em contêineres.
+ [GitHub](https://docs.github.com/en/repositories/creating-and-managing-repositories/quickstart-for-repositories), [GitLab](https://docs.gitlab.com/ee/user/get_started/get_started_projects.html), e o [Bitbucket](https://support.atlassian.com/bitbucket-cloud/docs/tutorial-learn-bitbucket-with-git/) são alguns dos sistemas de controle de código-fonte baseados em Git comumente usados para acompanhar as alterações no código-fonte.
+ O [NGINX Open Source](https://nginx.org/en/docs/?_ga=2.187509224.1322712425.1699399865-405102969.1699399865) é um balanceador de carga, cache de conteúdo e servidor web de código aberto. Este padrão o usa como um servidor web.
+ O [OpenSSL](https://www.openssl.org/) é uma biblioteca de código aberto que fornece serviços usados pelas implementações do OpenSSL de TLS e CMS. 

**Repositório de código**

O código desse padrão está disponível no repositório GitHub [MTLS-with-Application-Load-Balancer-in-Amazon-ECS](https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS).

## Práticas recomendadas
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-best-practices"></a>
+ Use o Amazon ECS Exec para executar comandos ou obter um shell para um contêiner em execução no Fargate. Também é possível usar o ECS Exec para ajudar a coletar informações de diagnóstico para depuração.
+ Use grupos de segurança e listas de controle de acesso à rede (ACLs) para controlar o tráfego de entrada e saída entre os serviços. As tarefas do Fargate recebem um endereço IP da sub-rede configurada em sua nuvem privada virtual (VPC).

## Épicos
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-epics"></a>

### Criar o repositório
<a name="create-the-repository"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Faça o download do código-fonte. | Para baixar o código-fonte desse padrão, bifurque ou clone o repositório GitHub [MTLS-with-Application-Load-Balancer-in-Amazon-ECS](https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS). | DevOps engenheiro | 
| Crie um repositório Git. | Para criar um repositório Git para conter o Dockerfile e os arquivos `buildspec.yaml`, siga as etapas abaixo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)`git clone https://github.com/aws-samples/mTLS-with-Application-Load-Balancer-in-Amazon-ECS.git` | DevOps engenheiro | 

### Criar uma CA e gerar certificados
<a name="create-ca-and-generate-certificates"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie uma CA privada em CA Privada da AWS. | Para criar uma autoridade de certificação (CA) privada, execute os comandos a seguir no seu terminal. Substitua os valores no exemplo por seus próprios valores. <pre>export AWS_DEFAULT_REGION="us-west-2"<br />export SERVICES_DOMAIN="www.example.com"<br /><br />export ROOT_CA_ARN=`aws acm-pca create-certificate-authority \<br />    --certificate-authority-type ROOT \<br />    --certificate-authority-configuration \<br />    "KeyAlgorithm=RSA_2048,<br />    SigningAlgorithm=SHA256WITHRSA,<br />    Subject={<br />        Country=US,<br />        State=WA,<br />        Locality=Seattle,<br />        Organization=Build on AWS,<br />        OrganizationalUnit=mTLS Amazon ECS and ALB Example,<br />        CommonName=${SERVICES_DOMAIN}}" \<br />        --query CertificateAuthorityArn --output text`</pre>Para obter mais detalhes, consulte [Criar uma CA privada CA Privada da AWS na](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html) AWS documentação. | DevOps engenheiro, AWS DevOps | 
| Crie e instale seu certificado CA privado. | Para criar e instalar um certificado para sua CA raiz privada, execute os comandos os seguintes no seu terminal:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html) | AWS DevOps, DevOps engenheiro | 
| Solicite um certificado gerenciado. | Para solicitar um certificado privado AWS Certificate Manager para uso com seu ALB privado, use o seguinte comando:<pre>export TLS_CERTIFICATE_ARN=`aws acm request-certificate \<br />    --domain-name "*.${DOMAIN_DOMAIN}" \<br />    --certificate-authority-arn ${ROOT_CA_ARN} \<br />    --query CertificateArn --output text`</pre> | DevOps engenheiro, AWS DevOps | 
| Use a CA privada para emitir um certificado de cliente. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)`openssl req -out client_csr1.pem -new -newkey rsa:2048 -nodes -keyout client_private-key1.pem``openssl req -out client_csr2.pem -new -newkey rsa:2048 -nodes -keyout client_private-key2.pem`Esse comando retorna a CSR e a chave privada dos dois serviços. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)<pre>SERVICE_ONE_CERT_ARN=`aws acm-pca issue-certificate \<br />    --certificate-authority-arn ${ROOT_CA_ARN} \<br />    --csr fileb://client_csr1.pem \<br />    --signing-algorithm "SHA256WITHRSA" \<br />    --validity Value=5,Type="YEARS" --query CertificateArn --output text` <br /><br />echo "SERVICE_ONE_CERT_ARN: ${SERVICE_ONE_CERT_ARN}"<br /><br />aws acm-pca get-certificate \<br />    --certificate-authority-arn ${ROOT_CA_ARN} \<br />    --certificate-arn ${SERVICE_ONE_CERT_ARN} \<br />     | jq -r '.Certificate' > client_cert1.cert<br /><br />SERVICE_TWO_CERT_ARN=`aws acm-pca issue-certificate \<br />    --certificate-authority-arn ${ROOT_CA_ARN} \<br />    --csr fileb://client_csr2.pem \<br />    --signing-algorithm "SHA256WITHRSA" \<br />    --validity Value=5,Type="YEARS" --query CertificateArn --output text` <br /><br />echo "SERVICE_TWO_CERT_ARN: ${SERVICE_TWO_CERT_ARN}"<br /><br />aws acm-pca get-certificate \<br />    --certificate-authority-arn ${ROOT_CA_ARN} \<br />    --certificate-arn ${SERVICE_TWO_CERT_ARN} \<br />     | jq -r '.Certificate' > client_cert2.cert</pre>Para obter mais informações, consulte [Emitir certificados de entidades finais privadas](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) na AWS documentação. | DevOps engenheiro, AWS DevOps | 

### Provisione serviços da AWS
<a name="provision-aws-services"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Provisão Serviços da AWS com o CloudFormation modelo. | Para provisionar a nuvem privada virtual (VPC), o cluster Amazon ECS, os serviços do Amazon ECS, o Application Load Balancer e o Amazon Elastic Container Registry (Amazon ECR), use o modelo. CloudFormation  | DevOps engenheiro | 
| Obtenha as variáveis. | Verifique se você tem um cluster do Amazon ECS com dois serviços em execução. Para recuperar os detalhes do recurso e armazená-los como variáveis, use os seguintes comandos:<pre><br />export LoadBalancerDNS=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`LoadBalancerDNS`].OutputValue')<br /><br />export ECRRepositoryUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryUri`].OutputValue')<br /><br />export ECRRepositoryServiceOneUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceOneUri`].OutputValue')<br /><br />export ECRRepositoryServiceTwoUri=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`ECRRepositoryServiceTwoUri`].OutputValue')<br /><br />export ClusterName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`ClusterName`].OutputValue')<br /><br />export BucketName=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`BucketName`].OutputValue')<br /><br />export Service1ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`Service1ListenerArn`].OutputValue')<br /><br />export Service2ListenerArn=$(aws cloudformation describe-stacks --stack-name ecs-mtls \<br />--output text \<br />--query 'Stacks[0].Outputs[?OutputKey==`Service2ListenerArn`].OutputValue')</pre> | DevOps engenheiro | 
| Crie um CodeBuild projeto. | Para usar um CodeBuild projeto para criar as imagens do Docker para seus serviços do Amazon ECS, faça o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)Para obter mais detalhes, consulte [Criar um projeto de compilação AWS CodeBuild na](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project.html) AWS documentação. | AWS DevOps, DevOps engenheiro | 
| Crie as imagens do Docker. | Você pode usar CodeBuild para realizar o processo de criação da imagem. CodeBuild precisa de permissões para interagir com o Amazon ECR e trabalhar com o Amazon S3.Como parte do processo, a imagem do Docker é criada e enviada para o registro do Amazon ECR. Para obter detalhes sobre o modelo e o código, consulte [Informações adicionais](#simplify-application-authentication-with-mutual-tls-in-amazon-ecs-additional).(Opcional) Para criar as imagens localmente para fins de teste, use o seguinte comando:<pre># login to ECR<br />aws ecr get-login-password | docker login --username AWS --password-stdin $ECRRepositoryUri<br /><br /># build image for service one<br />cd /service1<br />aws s3 cp s3://$BucketName/serviceone/ service1/ --recursive<br />docker build -t $ECRRepositoryServiceOneUri .<br />docker push $ECRRepositoryServiceOneUri<br /><br /># build image for service two<br />cd ../service2<br />aws s3 cp s3://$BucketName/servicetwo/ service2/ --recursive<br />docker build -t $ECRRepositoryServiceTwoUri .<br />docker push $ECRRepositoryServiceTwoUri</pre> | DevOps engenheiro | 

### Habilitar a TLS mútua
<a name="enable-mutual-tls"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Faça o upload do certificado CA para o Amazon S3. | Para fazer o upload do certificado CA para o bucket do Amazon S3, use o seguinte exemplo de comando:`aws s3 cp ca-cert.pem s3://$BucketName/acm-trust-store/ ` | AWS DevOps, DevOps engenheiro | 
| Crie o armazenamento confiável. | Para criar o armazenamento confiável, use o seguinte exemplo de comando:<pre>TrustStoreArn=`aws elbv2 create-trust-store --name acm-pca-trust-certs \<br />    --ca-certificates-bundle-s3-bucket $BucketName \<br />    --ca-certificates-bundle-s3-key acm-trust-store/ca-cert.pem --query 'TrustStores[].TrustStoreArn' --output text`</pre> | AWS DevOps, DevOps engenheiro | 
| Faça o upload dos certificados de cliente. | Para fazer upload dos certificados de cliente ao Amazon S3 para imagens do Docker, use o seguinte exemplo de comando:<pre># for service one<br />aws s3 cp client_cert1.cert s3://$BucketName/serviceone/<br />aws s3 cp client_private-key1.pem s3://$BucketName/serviceone/<br /><br /># for service two<br />aws s3 cp client_cert2.cert s3://$BucketName/servicetwo/<br />aws s3 cp client_private-key2.pem s3://$BucketName/servicetwo/</pre> | AWS DevOps, DevOps engenheiro | 
| Modifique o receptor. | Para habilitar a TLS mútua no ALB, modifique os receptores HTTPS usando os seguintes comandos:<pre>aws elbv2 modify-listener \<br />    --listener-arn $Service1ListenerArn \<br />    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \<br />    --ssl-policy ELBSecurityPolicy-2016-08 \<br />    --protocol HTTPS \<br />    --port 8080 \<br />    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false<br /><br />aws elbv2 modify-listener \<br />    --listener-arn $Service2ListenerArn \<br />    --certificates CertificateArn=$TLS_CERTIFICATE_ARN_TWO \<br />    --ssl-policy ELBSecurityPolicy-2016-08 \<br />    --protocol HTTPS \<br />    --port 8090 \<br />    --mutual-authentication Mode=verify,TrustStoreArn=$TrustStoreArn,IgnoreClientCertificateExpiry=false<br /></pre>Para obter mais informações, consulte [Como configurar o TLS mútuo em um Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/configuring-mtls-with-elb.html) Balancer na documentação. AWS  | AWS DevOps, DevOps engenheiro | 

### Atualizar os serviços
<a name="update-the-services"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Atualize a definição de tarefa do Amazon ECS. | Para atualizar a definição da tarefa do Amazon ECS, modifique o parâmetro `image` na nova revisão.Para obter os valores dos respectivos serviços, atualize as definições de tarefas com o novo Uri de imagens do Docker que você criou nas etapas anteriores: `echo $ECRRepositoryServiceOneUri` ou `echo $ECRRepositoryServiceTwoUri`<pre><br />    "containerDefinitions": [<br />        {<br />            "name": "nginx",<br />            "image": "public.ecr.aws/nginx/nginx:latest",   # <----- change to new Uri<br />            "cpu": 0,</pre>Para obter mais informações, consulte [Atualização de uma definição de tarefa do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) usando o console na AWS documentação.  | AWS DevOps, DevOps engenheiro | 
| Atualize o serviço do Amazon ECS. | Atualize o serviço com a definição de tarefa mais recente. Essa definição de tarefa é o esquema para as imagens do Docker criadas recentemente e contém o certificado de cliente necessário para a autenticação de TLS mútua.  Para atualizar o serviço, use o seguinte procedimento:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html)Repita as etapas para o outro serviço. | Administrador da AWS, AWS DevOps, DevOps engenheiro | 

### Acessar a aplicação
<a name="access-the-application"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Copie o URL do aplicativo. | Use o console do Amazon ECS para visualizar a tarefa. Quando o status da tarefa for atualizado para **Em execução**, selecione a tarefa. Na seção **Tarefa**, copie o ID da tarefa. | Administrador da AWS, AWS DevOps | 
| Testar seu aplicativo | Para testar sua aplicação, use o ECS Exec para acessar as tarefas.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/simplify-application-authentication-with-mutual-tls-in-amazon-ecs.html) | Administrador da AWS, AWS DevOps | 

## Recursos relacionados
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-resources"></a>

**Documentação do Amazon ECS**
+ [Criação de uma definição de tarefa do Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-task-definition.html)
+ [Criação de uma imagem de contêiner para uso no Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-container-image.html)
+ [Clusters do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/clusters.html)
+ [Amazon ECS para AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-container-image.html#create-container-image-next-steps)
+ [Melhores práticas de rede do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-best-practices.html)
+ [Parâmetros de definição de serviço do Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service_definition_parameters.html)

**Outros AWS recursos**
+ [Como uso a CA AWS privada para configurar o mTLS no Application Load Balancer?](https://repost.aws/knowledge-center/elb-alb-configure-private-ca-mtls) (AWS re:Post)

## Mais informações
<a name="simplify-application-authentication-with-mutual-tls-in-amazon-ecs-additional"></a>

**Edição do Dockerfile**** **

O código a seguir mostra os comandos que você edita no Dockerfile do serviço 1:

```
FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 1: Ok" > /usr/share/nginx/html/index.html
ADD client_cert1.cert client_private-key1.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/
```

O código a seguir mostra os comandos que você edita no Dockerfile do serviço 2:

```
FROM public.ecr.aws/nginx/nginx:latest
WORKDIR /usr/share/nginx/html
RUN echo "Returning response from Service 2: Ok" > /usr/share/nginx/html/index.html
ADD client_cert2.cert client_private-key2.pem /usr/local/share/ca-certificates/
RUN chmod -R 400 /usr/local/share/ca-certificates/
```

Se você estiver criando as imagens do Docker com CodeBuild, o `buildspec` arquivo usa o número da CodeBuild compilação para identificar de forma exclusiva as versões da imagem como um valor de tag. Você pode alterar o arquivo `buildspec` para atender às suas necessidades, conforme mostrado no seguinte código `buildspec ` personalizado: 

```
version: 0.2

phases:
  pre_build:
    commands:
      - echo Logging in to Amazon ECR...
      - aws ecr get-login-password --region $AWS_DEFAULT_REGION | docker login --username AWS --password-stdin $ECR_REPOSITORY_URI
      - COMMIT_HASH=$(echo $CODEBUILD_RESOLVED_SOURCE_VERSION | cut -c 1-7)
      - IMAGE_TAG=${COMMIT_HASH:=latest}
  build:
    commands:
        # change the S3 path depending on the service
      - aws s3 cp s3://$YOUR_S3_BUCKET_NAME/serviceone/ $CodeBuild_SRC_DIR/ --recursive 
      - echo Build started on `date`
      - echo Building the Docker image...
      - docker build -t $ECR_REPOSITORY_URI:latest .
      - docker tag $ECR_REPOSITORY_URI:latest $ECR_REPOSITORY_URI:$IMAGE_TAG
  post_build:
    commands:
      - echo Build completed on `date`
      - echo Pushing the Docker images...
      - docker push $ECR_REPOSITORY_URI:latest
      - docker push $ECR_REPOSITORY_URI:$IMAGE_TAG
      - echo Writing image definitions file...
      # for ECS deployment reference
      - printf '[{"name":"%s","imageUri":"%s"}]' $CONTAINER_NAME $ECR_REPOSITORY_URI:$IMAGE_TAG > imagedefinitions.json   

artifacts:
  files:
    - imagedefinitions.json
```