Greifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu - Amazon Elastic Container Service
Amazon-Ressourcennamen (ARNs) und IDsARNund Zeitleiste im Format der Ressourcen-IDAWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140)Tagging-AutorisierungZeitplan der Tagging-AutorisierungAWS Fargate Einstellung der Aufgabe, WartezeitLaufzeitüberwachung ( GuardDuty Amazon-Integration)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie mit den Kontoeinstellungen auf ECS Amazon-Funktionen zu

Sie können in den ECS Amazon-Kontoeinstellungen bestimmte Funktionen aktivieren oder deaktivieren. Sie können die einzelnen Kontoeinstellungen für jede AWS-Region auf Kontoebene oder für einen bestimmten Benutzer oder eine bestimmte Rolle aktivieren oder deaktivieren.

Möglicherweise möchten Sie sich von bestimmten Features an- oder abmelden, wenn einer der folgenden Punkte für Sie relevant ist:

  • Ein Benutzer oder eine Rolle kann bestimmte Kontoeinstellungen für sein individuelles Konto aktivieren oder deaktivieren.

  • Ein Benutzer oder eine Rolle kann die Standard-Opt-in- oder Opt-out-Einstellung für alle Benutzer des Kontos festlegen.

  • Der Root-Benutzer oder ein Benutzer mit Administratorrechten kann sich für jede bestimmte Rolle oder jeden Benutzer auf dem Konto anmelden oder diese deaktivieren. Wenn die Kontoeinstellung für den Root-Benutzer geändert wird, wird die Standardeinstellung für alle Benutzer und Rollen festgelegt, für die keine individuelle Kontoeinstellung ausgewählt wurde.

Anmerkung

Verbundbenutzer übernehmen die Kontoeinstellung des Root-Benutzers und können keine expliziten Kontoeinstellungen einzeln für sie festlegen.

Die folgenden Kontoeinstellungen sind verfügbar. Sie müssen sich für jede Kontoeinstellung separat an- und abmelden.

Amazon-Ressourcennamen (ARNs) und IDs

Ressourcennamen: serviceLongArnFormat, taskLongArnFormat und containerInstanceLongArnFormat

Amazon führt ECS ein neues Format für Amazon Resource Names (ARNs) und Ressourcen IDs für Amazon ECS Services, Tasks und Container-Instances ein. Der Opt-In-Status für jeden Ressourcentyp bestimmt das Format Amazon Resource Name (ARN), das die Ressource verwendet. Sie müssen sich für das neue ARN Format entscheiden, um Funktionen wie das Ressourcen-Tagging für diesen Ressourcentyp nutzen zu können. Weitere Informationen finden Sie unter Amazon-Ressourcennamen (ARNs) und IDs.

Der Standardwert ist enabled.

Nur Ressourcen, die nach der Aktivierung gestartet werden, erhalten das neue Format ARN und das Ressourcen-ID-Format. Für bestehende Ressourcen ändert sich nichts. Damit die ECS Services und Aufgaben von Amazon auf die neuen Formate ARN und Resource ID umgestellt werden können, müssen Sie den Service oder die Aufgabe neu erstellen. Um eine Container-Instance auf das neue Format ARN und das Resource ID-Format umzustellen, muss die Container-Instance entleert und eine neue Container-Instance gestartet und im Cluster registriert werden.

Anmerkung

Aufgaben, die von einem ECS Amazon-Service gestartet wurden, können das neue Format ARN und das Ressourcen-ID-Format nur erhalten, wenn der Service am oder nach dem 16. November 2018 erstellt wurde und der Benutzer, der den Service erstellt hat, sich für das neue Format für Aufgaben entschieden hat.

AWSVPCBündelung

Ressourcenname: awsvpcTrunking

Amazon ECS unterstützt das Starten von Container-Instances mit erhöhter elastic network interface (ENI) -Dichte unter Verwendung unterstützter EC2 Amazon-Instance-Typen. Wenn Sie diese Instance-Typen verwenden und sich für die awsvpcTrunking Kontoeinstellungen entscheiden, ENIs sind weitere für neu gestartete Container-Instances verfügbar. Sie können diese Konfiguration verwenden, um mehr Aufgaben im Netzwerkmodus awsvpc auf jeder Container-Instance zu platzieren. Mit dieser Funktion verfügt eine c5.large Instance mit awsvpcTrunking aktivierter Option über ein erhöhtes ENI Kontingent von zehn. Die Container-Instance hat eine primäre Netzwerkschnittstelle, und Amazon ECS erstellt eine „Trunk“ -Netzwerkschnittstelle und fügt sie an die Container-Instance an. Die primäre Netzwerkschnittstelle und die Trunk-Netzwerkschnittstelle werden nicht auf das ENI Kontingent angerechnet. Daher können Sie diese Konfiguration verwenden, um zehn Aufgaben auf der Container-Instance zu starten, anstatt der derzeitigen zwei Aufgaben. Weitere Informationen finden Sie unter Zunehmende Netzwerkschnittstellen für Amazon ECS Linux-Container-Instances.

Der Standardwert ist disabled.

Nur Ressourcen, die nach der Aktivierung gestartet werden, erhalten die erhöhten ENI Limits. Für alle bestehende Ressourcen ändert sich nichts. Um eine Container-Instance auf die erhöhten ENI Kontingente umzustellen, muss die Container-Instance entleert und eine neue Container-Instance im Cluster registriert werden.

CloudWatch Einblicke in Container

Ressourcenname: containerInsights

CloudWatch Container Insights sammelt, aggregiert und fasst Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zusammen. Die Metriken umfassen die Auslastung von Ressourcen wie ArbeitsspeicherCPU, Festplatte und Netzwerk. Container Insights bietet auch Diagnoseinformationen, wie z. B.Fehler beim Container-Neustart, damit Sie Probleme schnell aufdecken und beheben können. Sie können auch CloudWatch Alarme für Metriken einrichten, die Container Insights sammelt. Weitere Informationen finden Sie unter Überwachen Sie ECS Amazon-Container mit Container Insights.

Wenn Sie für die containerInsights-Kontoeinstellung ein Opt-in durchgeführt haben, sind Container Insights standardmäßig für alle neuen Cluster aktiviert. Sie können diese Einstellung für bestimmte Cluster deaktivieren, wenn Sie sie erstellen. Sie können diese Einstellung auch ändern, indem Sie die verwenden UpdateClusterSettings API.

Für Cluster, die Aufgaben oder Services enthalten, die den EC2 Starttyp verwenden, müssen Ihre Container-Instances Version 1.29.0 oder höher des ECS Amazon-Agenten ausführen, um Container Insights verwenden zu können. Weitere Informationen finden Sie unter Verwaltung von Amazon ECS Linux-Container-Instances.

Der Standardwert ist disabled.

Dualer Stack VPC IPv6

Ressourcenname: dualStackIPv6

Amazon ECS unterstützt die Bereitstellung IPv6 von Aufgaben zusätzlich zur primären IPv4 Privatadresse mit einer Adresse.

Damit Aufgaben eine IPv6 Adresse erhalten, muss die Aufgabe den awsvpc Netzwerkmodus verwenden, in einem für den Dual-Stack-Modus VPC konfigurierten Modus gestartet werden und die dualStackIPv6 Kontoeinstellungen müssen aktiviert sein. Weitere Informationen zu anderen Anforderungen finden Sie unter Verwendung von VPC im Dual-Stack-Modus für den EC2 Starttyp und Verwendung von VPC im Dual-Stack-Modus für den Fargate-Starttyp.

Wichtig

Die dualStackIPv6 Kontoeinstellungen können nur über Amazon ECS API oder den geändert werden AWS CLI. Weitere Informationen finden Sie unter ECSAmazon-Kontoeinstellungen ändern.

Wenn Sie zwischen dem 1. Oktober 2020 und dem 2. November 2020 eine Aufgabe im awsvpc Netzwerkmodus in einem IPv6 aktivierten Subnetz ausgeführt haben, lautet die dualStackIPv6 Standardkontoeinstellung in der Region, in der die Aufgabe ausgeführt wurde. disabled Wenn diese Bedingung nicht erfüllt wird, ist die standardmäßige dualStackIPv6-Einstellung in der Region enabled.

Der Standardwert ist disabled.

FIPSFargate-140-Konformität

Ressourcenname: fargateFIPSMode

Fargate unterstützt den Federal Information Processing Standard (FIPS-140), der die Sicherheitsanforderungen für kryptografische Module zum Schutz sensibler Informationen festlegt. Es handelt sich um den aktuellen Regierungsstandard der Vereinigten Staaten und Kanadas und gilt für Systeme, die dem Federal Information Security Management Act (FISMA) oder dem Federal Risk and Authorization Management Program (Fed) entsprechen müssen. RAMP

Der Standardwert ist disabled.

Sie müssen die FIPS -140-Konformität aktivieren. Weitere Informationen finden Sie unter AWS Fargate Bundesstandard für Informationsverarbeitung (FIPS-140).

Wichtig

Die fargateFIPSMode Kontoeinstellungen können nur über Amazon ECS API oder den geändert werden AWS CLI. Weitere Informationen finden Sie unter ECSAmazon-Kontoeinstellungen ändern.

Ressourcen-Tag-Autorisierung

Ressourcenname: tagResourceAuthorization

Bei einigen ECS API Amazon-Aktionen können Sie Tags angeben, wenn Sie die Ressource erstellen.

Amazon führt ECS die Tagging-Autorisierung für die Erstellung von Ressourcen ein. Benutzer müssen über Berechtigungen für Aktionen verfügen, mit denen eine Ressource erstellt wird, z. ecsCreateCluster Wenn bei der Aktion zur Erstellung einer Ressource Tags angegeben wurden, AWS führt dieser Vorgang eine zusätzliche Autorisierung durch, um zu überprüfen, ob Benutzer oder Rollen berechtigt sind, Tags zu erstellen. ecs:TagResource Daher müssen Sie explizite Berechtigungen für die Verwendung der Aktion ecs:TagResource gewähren. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Wartezeit für die Außerbetriebnahme von Fargate-Aufgaben

Ressourcenname: fargateTaskRetirementWaitPeriod

AWS ist verantwortlich für das Patchen und die Wartung der zugrunde liegenden Infrastruktur für AWS Fargate. Wenn AWS festgestellt wird, dass für eine auf Fargate gehostete ECS Amazon-Aufgabe ein Sicherheits- oder Infrastruktur-Update erforderlich ist, müssen die Aufgaben gestoppt und neue Aufgaben gestartet werden, um sie zu ersetzen. Sie können die Wartezeit konfigurieren, bis Aufgaben für das Patchen außer Betrieb genommen werden. Sie haben die Möglichkeit, die Aufgabe sofort einzustellen, 7 Kalendertage oder 14 Kalendertage zu warten.

Diese Einstellung befindet sich auf Kontoebene.

Aktivierung von Runtime Monitoring

Ressourcenname: guardDutyActivate

Der guardDutyActivate Parameter ist in Amazon schreibgeschützt ECS und gibt an, ob Runtime Monitoring von Ihrem Sicherheitsadministrator in Ihrem ECS Amazon-Konto ein- oder ausgeschaltet wurde. GuardDuty steuert diese Kontoeinstellung in Ihrem Namen. Weitere Informationen finden Sie unter ECSAmazon-Workloads mit Runtime Monitoring schützen.

Themen

Amazon-Ressourcennamen (ARNs) und IDs

Wenn ECS Amazon-Ressourcen erstellt werden, wird jeder Ressource ein eindeutiger Amazon-Ressourcenname (ARN) und eine Ressourcen-ID (ID) zugewiesen. Wenn Sie ein Befehlszeilentool oder Amazon verwenden, ECS API um mit Amazon zu arbeitenECS, IDs sind Ressourcen ARNs oder für bestimmte Befehle erforderlich. Wenn Sie beispielsweise den AWS CLI Befehl stop-task verwenden, um eine Aufgabe zu beenden, müssen Sie die Aufgabe ARN oder ID im Befehl angeben.

Sie können sich für das neue Format Amazon-Ressourcenname (ARN) und Ressourcen-ID pro Region an- und abmelden. Aktuell wird jedes neu erstellte Konto standardmäßig aktiviert.

Sie können das neue Format Amazon-Ressourcenname (ARN) und Ressourcen-ID jederzeit aktivieren oder deaktivieren. Nachdem Sie sich angemeldet haben, verwenden alle neuen Ressourcen, die Sie erstellen, das neue Format.

Anmerkung

Eine Ressourcen-ID ändert sich nicht mehr, nachdem sie erstellt wurde. Daher wirkt sich die Aktivierung oder Deaktivierung des neuen Formats nicht auf Ihre vorhandene Ressource IDs aus.

In den folgenden Abschnitten wird beschrieben, wie ARN sich die Formate für Ressourcen-IDs ändern. Weitere Informationen zur Umstellung auf die neuen Formate finden Sie unter Amazon Elastic Container Service FAQ.

Format des Amazon-Ressourcennamens (ARN)

Einige Ressourcen haben einen benutzerfreundlichen Namen (z. B. einen Service namens production). In anderen Fällen müssen Sie eine Ressource im Format Amazon Resource Name (ARN) angeben. Das neue ARN Format für ECS Amazon-Aufgaben, -Services und Container-Instances beinhaltet den Clusternamen. Informationen darüber, wie Sie sich für das neue ARN Format entscheiden, finden Sie unterECSAmazon-Kontoeinstellungen ändern.

Die folgende Tabelle zeigt sowohl das aktuelle Format als auch das neue Format für jeden Ressourcentyp:

Ressourcentyp

ARN

Container-Instance

Aktuell: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Neu: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

ECSAmazon-Dienst

Aktuell: arn:aws:ecs:region:aws_account_id:service/service-name

Neu: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

ECSAmazon-Aufgabe

Aktuell: arn:aws:ecs:region:aws_account_id:task/task-id

Neu: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Länge der Ressourcen-ID

Eine Ressourcen-ID hat die Form einer eindeutigen Kombination von Buchstaben und Zahlen. Zu den neuen Ressourcen-ID-Formaten gehören kürzere Formate IDs für ECS Amazon-Aufgaben und Container-Instances. Das aktuelle Ressourcen-ID-Format ist 36 Zeichen lang. Die neuen IDs haben ein 32-Zeichen-Format, das keine Bindestriche enthält. Weitere Informationen zum Verwenden des neuen Ressourcen-ID-Formats finden Sie unter ECSAmazon-Kontoeinstellungen ändern.

ARNund Zeitleiste im Format der Ressourcen-ID

Der Zeitplan für die An- und Abmeldefristen für den neuen Amazon-Ressourcennamen (ARN) und das neue Ressourcen-ID-Format für ECS Amazon-Ressourcen endete am 1. April 2021. Alle neuen Konten werden standardmäßig für das neue Format aktiviert. Alle neu erstellten Ressourcen erhalten das neue Format, und Sie können es nicht mehr deaktivieren.

AWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140)

Sie müssen die Einhaltung des Federal Information Processing Standard (FIPS-140) auf Fargate aktivieren. Weitere Informationen finden Sie unter AWS Fargate Bundesstandard für Informationsverarbeitung (FIPS-140).

Führen Sie Folgendes aus: put-account-setting-default mit der Option fargateFIPSMode festgelegt auf enabled. Weitere Informationen finden Sie unter put-account-setting-defaultAmazon Elastic Container Service API Reference.

  • Sie können den folgenden Befehl verwenden, um die FIPS -140-Konformität zu aktivieren.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Beispielausgabe

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Sie können ausführenlist-account-settings, um den aktuellen FIPS -140-Konformitätsstatus anzuzeigen. Verwenden Sie die Option effective-settings, um die Einstellungen auf Kontoebene anzuzeigen.

aws ecs list-account-settings --effective-settings

Tagging-Autorisierung

Amazon führt ECS die Tagging-Autorisierung für die Erstellung von Ressourcen ein. Benutzer müssen über Tagging-Berechtigungen für Aktionen verfügen, mit denen die Ressource erstellt wird, z. B. ecsCreateCluster Wenn Sie eine Ressource erstellen und Tags für diese Ressource angeben, AWS führt eine zusätzliche Autorisierung durch, um zu überprüfen, ob Berechtigungen zum Erstellen von Tags vorhanden sind. Daher müssen Sie explizite Berechtigungen für die Verwendung der Aktion ecs:TagResource gewähren. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Um sich für die Tagging-Autorisierung zu entscheiden, führen Sie put-account-setting-default mit der Option tagResourceAuthorization aus, wobei diese auf enable gesetzt werden muss. Weitere Informationen finden Sie unter put-account-setting-defaultAmazon Elastic Container Service API Reference. Sie können list-account-settings ausführen, um den aktuellen Status der Tagging-Autorisierung einzusehen.

  • Sie können den folgenden Befehl verwenden, um die Tagging-Autorisierung zu aktivieren.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Beispielausgabe

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Nachdem Sie die Tagging-Autorisierung aktiviert haben, müssen Sie die entsprechenden Berechtigungen konfigurieren, damit Benutzer Ressourcen bei der Erstellung taggen können. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Sie können list-account-settings ausführen, um den aktuellen Status der Tagging-Autorisierung einzusehen. Verwenden Sie die Option effective-settings, um die Einstellungen auf Kontoebene anzuzeigen.

aws ecs list-account-settings --effective-settings

Zeitplan der Tagging-Autorisierung

Sie können überprüfen, ob die Tag-Autorisierung aktiv ist, indem Sie den Befehl list-account-settings ausführen, um den Wert tagResourceAuthorization anzuzeigen. Wenn der Wert on ist, bedeutet dies, dass die Tagging-Autorisierung verwendet wird. Weitere Informationen finden Sie unter list-account-settingsAmazon Elastic Container Service API Reference.

Nachfolgend finden Sie die wichtigen Daten im Zusammenhang mit der Tagging-Autorisierung.

  • 18. April 2023 – Die Tagging-Autorisierung wird eingeführt. Alle neuen und bestehenden Konten müssen sich für die Nutzung dieses Features entscheiden. Sie können sich dafür entscheiden, ab sofort die Tagging-Autorisierung zu verwenden. Wenn Sie sich für die Nutzung entscheiden, müssen Sie die entsprechenden Berechtigungen gewähren.

  • 9. Februar 2024 — 6. März 2024 — Bei allen neuen Konten und bestehenden Konten, die nicht betroffen sind, ist die Tag-Autorisierung standardmäßig aktiviert. Sie können die tagResourceAuthorization Kontoeinstellungen aktivieren oder deaktivieren, um Ihre Richtlinie zu überprüfen. IAM

    AWS hat die betroffenen Konten benachrichtigt.

    Um die Funktion zu deaktivieren, müssen Sie put-account-setting-default bei der Ausführung die tagResourceAuthorization Option auf off einstellen.

  • 7. März 2024 — Wenn Sie die Tagging-Autorisierung aktiviert haben, können Sie die Kontoeinstellung nicht mehr deaktivieren.

    Wir empfehlen Ihnen, Ihre IAM Richtlinientests vor diesem Datum abzuschließen.

  • 29. März 2024 — Alle Konten verwenden die Tagging-Autorisierung. Die Einstellung auf Kontoebene ist in der ECS Amazon-Konsole oder nicht mehr verfügbar. AWS CLI

AWS Fargate Einstellung der Aufgabe, Wartezeit

AWS sendet Benachrichtigungen, wenn Fargate-Aufgaben auf einer Plattformversion ausgeführt werden, die als veraltet markiert ist. Weitere Informationen finden Sie unter AWS Wartung Fargate Fargate-Aufgaben bei Amazon ECS FAQs.

Sie können den Zeitpunkt konfigurieren, zu dem Fargate mit der Außerbetriebnahme der Aufgabe beginnt. Wählen Sie für Workloads, die eine sofortige Anwendung der Updates erfordern, die Einstellung „Sofort“ (0). Wenn Sie mehr Kontrolle benötigen, z. B. wenn eine Aufgabe nur während eines bestimmten Zeitfensters gestoppt werden kann, konfigurieren Sie die Optionen 7 Tage (7) oder 14 Tage (14).

Wir empfehlen Ihnen, eine kürzere Wartezeit zu wählen, damit Sie neuere Versionen der Plattformversionen früher erwerben können.

Konfigurieren Sie die Wartezeit, indem Sie das put-account-setting-default Programm ausführen oder put-account-setting als Root-Benutzer oder als Administratorbenutzer ausführen. Verwenden Sie die Option fargateTaskRetirementWaitPeriod für name und die Option value, die auf einen der folgenden Werte eingestellt ist:

  • 0- AWS sendet die Benachrichtigung und beginnt sofort, die betroffenen Aufgaben zurückzuziehen.

  • 7- AWS sendet die Benachrichtigung und wartet 7 Kalendertage, bevor mit der Außerbetriebnahme der betroffenen Aufgaben begonnen wird.

  • 14 – AWS sendet die Benachrichtigung und wartet 14 Kalendertage, bevor mit der Außerbetriebnahme der betroffenen Aufgaben begonnen wird.

Der Standardwert ist 7 Tage.

Weitere Informationen finden Sie unter put-account-setting-defaultund put-account-settingin der Amazon Elastic Container Service API Reference.

Sie können den folgenden Befehl ausführen, um die Wartezeit auf 14 Tage festzulegen.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Beispielausgabe

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Sie können list-account-settings ausführen, um die aktuelle Fargate-Wartezeit für die Außerbetriebnahme der Aufgabe anzuzeigen. Verwenden Sie die Option effective-settings.

aws ecs list-account-settings --effective-settings

Laufzeitüberwachung ( GuardDuty Amazon-Integration)

Runtime Monitoring ist ein intelligenter Dienst zur Bedrohungserkennung, der Workloads schützt, die auf Fargate- und EC2 Container-Instances ausgeführt werden, indem er die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht, um bösartiges oder unbefugtes Verhalten zu identifizieren.

Der guardDutyActivate Parameter ist in Amazon schreibgeschützt ECS und gibt an, ob Runtime Monitoring von Ihrem Sicherheitsadministrator in Ihrem ECS Amazon-Konto ein- oder ausgeschaltet wurde. GuardDuty steuert diese Kontoeinstellung in Ihrem Namen. Weitere Informationen finden Sie unter ECSAmazon-Workloads mit Runtime Monitoring schützen.

Sie können ausführenlist-account-settings, um die aktuelle GuardDuty Integrationseinstellung anzuzeigen. 

aws ecs list-account-settings

Beispielausgabe

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}