Acceso a las características de Amazon ECS con la configuración de la cuenta - Amazon Elastic Container Service
Nombres de recursos de Amazon (ARN) e IDEscala de tiempo del formato de ARN e ID de recursoInformación de contenedoresConformidad de AWS Fargate con el Estándar Federal de Procesamiento de la Información(FIPS-140)Autorización de etiquetadoPlazos de la autorización de etiquetadoTiempo de espera para el retiro de tareas de AWS FargateAumento de las interfaces de red de instancias de contenedor de LinuxSupervisión en tiempo de ejecución (integración con Amazon GuardDuty) VPC IPv6 de doble pila

Acceso a las características de Amazon ECS con la configuración de la cuenta

Puede acceder a la configuración de cuenta de Amazon ECS para optar por incluir o no características específicas. En cada Región de AWS, puede optar por incluir o no cada configuración de cuenta en el nivel de cuenta o para un usuario o rol específico.

Puede optar por incluir o no características específicas si alguno de los siguientes aspectos es relevante para usted:

  • Un usuario o rol puede optar por incluir o no ajustes de cuenta específicos en su cuenta individual.

  • Un usuario o rol puede establecer la configuración predeterminada de características incluidas o no para todos los usuarios de la cuenta.

  • El usuario raíz o un usuario con privilegios de administrador puede optar por incluir o no cualquier usuario o rol específico de la cuenta. Si la configuración de cuenta del usuario raíz cambia, se establece el valor predeterminado para todos los usuarios o roles para los que no se hubiera establecido una configuración de cuenta individual.

nota

Los usuarios federados adoptan la configuración de cuenta del usuario raíz y no se puede establecer una configuración de cuenta explícita para ellos de manera individual.

Las configuraciones de cuenta disponibles son las que se indican a continuación. Debe optar por incluir o excluir cada configuración de la cuenta por separado.

Nombre del recurso Más información
containerInsights Información de contenedores
serviceLongArnFormat

taskLongArnFormat

containerInstanceLongArnFormat

 Nombres de recursos de Amazon (ARN) e ID
tagResourceAuthorization Autorización de etiquetado
fargateFIPSMode Conformidad de AWS Fargate con el Estándar Federal de Procesamiento de la Información(FIPS-140)
fargateTaskRetirementWaitPeriod Tiempo de espera para el retiro de tareas de AWS Fargate
guardDutyActivate Supervisión en tiempo de ejecución (integración con Amazon GuardDuty)
dualStackIPv6 VPC IPv6 de doble pila
awsvpcTrunking Aumento de las interfaces de red de instancias de contenedor de Linux

Nombres de recursos de Amazon (ARN) e ID

Cuando se crean recursos de Amazon ECS, a cada recurso se le asigna un nombre de recurso de Amazon (ARN) y un identificador de recurso (ID) únicos. Si utiliza herramientas de línea de comandos o la API de Amazon ECS para trabajar con Amazon ECS, se requieren ARN o ID de recurso para determinados comandos. Por ejemplo, si utiliza el comando stop-task AWS CLI para detener una tarea, debe especificar el ID o ARN en el comando.

Amazon ECS ha incorporado un nuevo formato para los nombres de recurso de Amazon (ARN) y los ID de recurso para instancias de contenedor, tarea y servicio de Amazon ECS. El estado de opción incluida para cada tipo de recurso determina el formato de Nombre de recurso de Amazon (ARN) que utiliza el recurso. Debe optar por incluir el nuevo formato de ARN para utilizar características como el etiquetado de recursos para ese tipo de recurso.

Puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recurso a cada región. En la actualidad, las cuentas nuevas que se crean tienen esta opción incluida de forma predeterminada.

Puede optar por inscribirse o no en el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recursos en cualquier momento. Una vez que opte por incluirlo, los nuevos recursos que cree usarán el nuevo formato.

nota

Un ID de recurso no cambia después de haberlo creado. Por lo tanto, la posibilidad de optar por incluir o no el nuevo formato no afecta a los ID de recursos existentes.

En las siguientes secciones se describe cómo están cambiando los formatos de ID de recurso y ARN. Para obtener más información acerca de la transición a los nuevos formatos, consulte Preguntas frecuentes acerca de Amazon Elastic Container Service.

Formato de nombre de recurso de Amazon (ARN)

Algunos de los recursos tienen un nombre fácil de recordar como, por ejemplo, un servicio denominado production. En otros casos, debe especificar un recurso utilizando el formato de nombre de recurso de Amazon (ARN). El nuevo formato de ARN para tareas, servicios e instancias de contenedor de Amazon ECS incluye el nombre del clúster. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ARN, consulte Modificación de la configuración de la cuenta de Amazon ECS.

En la siguiente tabla se muestra el formato actual y el nuevo formato para cada tipo de recurso.

Tipo de recurso ARN
Instancia de contenedor

Actual: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Nuevo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
Servicio de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:service/service-name

Nuevo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
Tarea de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:task/task-id

Nuevo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Longitud del ID del recurso

Un ID de recursos adopta la forma de una combinación única de letras y números. Los nuevos formatos de ID de recurso incluyen ID más cortos para tareas e instancias de contenedor de Amazon ECS. El formato de ID de recurso actual tiene 36 caracteres. Los nuevos ID tienen un formato de 32 caracteres y no incluyen guiones. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ID de recurso, consulte Modificación de la configuración de la cuenta de Amazon ECS.

El valor predeterminado es enabled.

Solo los recursos que se lancen después de optar por incluirlo recibirán el nuevo formato de ARN e ID de recurso. No se ven afectados todos los recursos existentes. Para hacer la transición de las tareas y los servicios de Amazon ECS a los nuevos formatos de ARN e ID de recurso, se debe volver a crear el servicio o la tarea. Para realizar la transición de una instancia de contenedor al nuevo formato de ARN e ID de recurso, la instancia de contenedor se debe vaciar y se debe lanzar y registrar una nueva en el clúster.

nota

Las tareas lanzadas por un servicio de Amazon ECS solo pueden recibir el nuevo formato de ARN e ID de recurso si el servicio se creó el 16 de noviembre de 2018 o con posterioridad y el usuario que creó el servicio optó por incluir el nuevo formato de las tareas.

Escala de tiempo del formato de ARN e ID de recurso

La escala de tiempo para los periodos en los que se puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) y de ID de recursos de Amazon ECS finalizó el 1 de abril de 2021. De forma predeterminada, todas las cuentas nuevas optan por incluir el nuevo formato. Todos los recursos nuevos que se creen recibirán el nuevo formato y ya no puede optar por excluirlo.

Información de contenedores

El 2 de diciembre de 2024, AWS publicó Información de contenedores con observabilidad mejorada para Amazon ECS. Esta versión admite la observabilidad mejorada de los clústeres de Amazon ECS que utilizan los tipos de lanzamiento de Amazon EC2 y Fargate. Después de configurar Información de contenedores con capacidad de observabilidad mejorada en Amazon ECS, Información de contenedores recopilará automáticamente telemetría de infraestructura detallada desde el nivel de clúster hasta el nivel de contenedor en el entorno, y mostrará los datos en paneles con diversas métricas y dimensiones. A continuación, podrá utilizar estos paneles listos para usar en la consola de Información de contenedores y comprender mejor el estado y el rendimiento de los contenedores, así como mitigar los problemas con mayor rapidez mediante la identificación de anomalías.

Recomendamos que utilice Información de contenedores con capacidad de observabilidad mejorada en lugar de Información de contenedores, ya que proporciona una visibilidad detallada del entorno de contenedores y reduce el tiempo medio de resolución. Para obtener más información, consulte Métricas de Información de contenedores con observabilidad mejorada de Amazon ECS en la Guía del usuario de Amazon CloudWatch.

El valor predeterminado del ajuste de cuenta containerInsights es disabled.

Información de contenedores con observabilidad mejorada

Utilice el siguiente comando para activar Información de contenedores con observabilidad mejorada.

Establezca el ajuste de cuenta containerInsights en enhanced.

aws ecs put-account-setting --name containerInsights --value enhanced

Ejemplo de resultado

{
    "setting": {
        "name": "containerInsights",
        "value": "enhanced",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Tras establecer esta configuración de la cuenta, todos los clústeres nuevos utilizan automáticamente Información de contenedores con observabilidad mejorada. Utilice el comando update-cluster-settings para agregar Información de contenedores con capacidad de observabilidad mejorada a un clúster existente, o para actualizar un clúster de Información de contenedores a Información de contenedores con observabilidad mejorada.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enhanced

También puede utilizar la consola para configurar Información de contenedores con observabilidad mejorada. Para obtener más información, consulte Modificación de la configuración de la cuenta de Amazon ECS.

Información de contenedores

Al establecer la configuración de la cuenta containerInsights en enabled, todos los clústeres nuevos tienen habilitado Información de contenedores de forma predeterminada. Puede modificar los clústeres existentes mediante update-cluster-settings.

Para usar Información de contenedores, establezca la configuración de la cuenta containerInsights en enabled. Use el siguiente comando para activar Información de contenedores.

aws ecs put-account-setting --name containerInsights --value enabled

Ejemplo de resultado

{
    "setting": {
        "name": "containerInsights",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Al establecer la configuración de la cuenta containerInsights en enabled, todos los clústeres nuevos tienen habilitado Información de contenedores de forma predeterminada. Usa el comando update-cluster-settings para agregar Información de contenedores a un clúster existente.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enabled

También puede utilizar la consola para configurar Información de contenedores. Para obtener más información, consulte Modificación de la configuración de la cuenta de Amazon ECS.

Conformidad de AWS Fargate con el Estándar Federal de Procesamiento de la Información(FIPS-140)

Fargate presta conformidad con el Federal Information Processing Standard (FIPS, Estándar Federal de Procesamiento de Información) 140, que especifica los requisitos de seguridad para los módulos criptográficos que protegen información confidencial. Es la norma gubernamental actual de los Estados Unidos y Canadá y se aplica a los sistemas que deben cumplir con la Federal Information Security Management Act (FISMA, Ley Federal de Gestión de la Seguridad de la Información) o el Federal Risk and Authorization Management Program (FedRAMP, Programa Federal de Gestión de Riesgos y Autorizaciones).

El nombre del recurso es fargateFIPSMode.

El valor predeterminado es disabled.

Debe activar la conformidad de Fargate con el Estándar Federal de Procesamiento de Información (FIPS-140). Para obtener más información, consulte AWS Fargate Estándar de procesamiento de la información federal (FIPS, Federal Information Processing Standard 140).

importante

La configuración de cuenta fargateFIPSMode solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de la cuenta de Amazon ECS.

Ejecute put-account-setting-default con la opción fargateFIPSMode establecida en enabled. Para obtener más información, consulte put-account-setting-default en la Referencia de la API de Amazon Elastic Container Service.

  • Puede utilizar el siguiente comando para activar la conformidad con la norma FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Ejemplo de resultado

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Puede ejecutar list-account-settings para ver el estado actual de conformidad con la norma FIPS-140. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Autorización de etiquetado

Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos de etiquetado para llevar a cabo las acciones que crean el recurso, como ecsCreateCluster. Al crear un recurso y especificar etiquetas para ese recurso, AWS realiza una autorización adicional para comprobar que hay permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Para optar por la autorización de etiquetado, ejecute put-account-setting-default con la opción tagResourceAuthorization establecida en enable. Para obtener más información, consulte put-account-setting-default en la Referencia de la API de Amazon Elastic Container Service. Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado.

  • Puede utilizar el siguiente comando para activar la autorización de etiquetado.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Ejemplo de resultado

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Después de activar la autorización de etiquetado, debe configurar los permisos correspondientes para que los usuarios puedan etiquetar recursos en el momento de su creación. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Plazos de la autorización de etiquetado

Puede confirmar si la autorización de etiquetado está activa ejecutando list-account-settings para ver el valor tagResourceAuthorization. Cuando el valor sea on, quiere decir que la autorización de etiquetado está en uso. Para obtener más información, consulte list-account-setting-default en la Referencia de la API de Amazon Elastic Container Service.

A continuación, se incluyen las fechas importantes relacionadas con la autorización de etiquetado.

  • 18 de abril de 2023: se presenta la autorización de etiquetado. Todas las cuentas nuevas y existentes deben optar por el uso de la característica. Puede optar por comenzar a usar la autorización de etiquetado. Al optar por la opción, debe conceder los permisos correspondientes.

  • Del 9 de febrero de 2024 al 6 de marzo de 2024: todas las cuentas nuevas y las cuentas existentes no afectadas tienen activada la autorización de etiquetado de forma predeterminada. Puede habilitar o deshabilitar la configuración de tagResourceAuthorization de la cuenta para verificar su política de IAM.

    AWS lo ha notificado a las cuentas afectadas.

    Para desactivar la característica, ejecute put-account-setting-default con la opción tagResourceAuthorization configurada en off.

  • 7 de marzo de 2024: si ha activado la autorización de etiquetado, ya no puede desactivar la configuración de la cuenta.

    Le recomendamos que lleve a cabo las pruebas de la política de IAM antes de esta fecha.

  • 29 de marzo de 2024: todas las cuentas utilizan la autorización de etiquetado. La configuración de cuenta ya no está disponible en la consola o AWS CLI de Amazon ECS.

Tiempo de espera para el retiro de tareas de AWS Fargate

AWS envía notificaciones cuando tiene tareas de Fargate ejecutándose en una revisión de la versión de la plataforma marcada como retiro. Para obtener más información, consulte Retirada y mantenimiento de tareas para AWS Fargate en Amazon ECS .

AWS es responsable de aplicar parches y mantener la infraestructura subyacente de AWS Fargate. Cuando AWS determina que se necesita una actualización de seguridad o de infraestructura para una tarea de Amazon ECS alojada en Fargate, se deben detener las tareas y lanzar nuevas tareas para sustituirlas. Puede configurar el período de espera antes de que se retiren las tareas para aplicar parches. Tiene la opción de retirar la tarea inmediatamente, esperar 7 días naturales o esperar 14 días naturales.

Esta configuración se hace en el nivel de la cuenta.

Puede configurar la hora a la que Fargate inicia el retiro de las tareas. Para las cargas de trabajo que requieren la aplicación inmediata de las actualizaciones, elija la configuración inmediata (0). Cuando necesite más control, por ejemplo, cuando una tarea solo se pueda detener durante un período determinado, configure la opción de 7 días (7) o 14 días (14).

Le recomendamos que elija un período de espera más corto para poder seleccionar antes las revisiones de las versiones más recientes de la plataforma.

Para configurar el periodo de espera, ejecute put-account-setting-default o put-account-setting como usuario raíz o como usuario administrativo. Utilice la opción fargateTaskRetirementWaitPeriod para el conjunto de opciones name y value para uno de los valores siguientes:

  • 0 - AWS envía la notificación e inmediatamente comienza a retirar las tareas afectadas.

  • 7 - AWS envía la notificación y espera 7 días calendario antes de empezar a retirar las tareas afectadas.

  • 14 - AWS envía la notificación y espera 14 días calendario antes de empezar a retirar las tareas afectadas.

El valor predeterminado es 7 días.

Para obtener más información, consulte put-account-setting-default y put-account-setting en la Referencia de la API de Amazon Elastic Container Service.

Puede ejecutar el siguiente comando para establecer el periodo de espera en 14 días.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Ejemplo de resultado

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puede ejecutar list-account-settings para ver el tiempo de espera actual para el retiro de tareas de Fargate. Use la opción effective-settings.

aws ecs list-account-settings --effective-settings

Aumento de las interfaces de red de instancias de contenedor de Linux

Cada tarea de Amazon ECS que utiliza el modo de red awsvpc recibe su propia interfaz de red elástica (ENI), la cual se asocia a la instancia de contenedor que la hospeda. Existe un límite predeterminado en cuanto al número de interfaces de red que pueden asociarse a una instancia de Amazon EC2, y la interfaz de red principal cuenta como una. Por ejemplo, de forma predeterminada una instancia de c5.large puede tener asociadas hasta tres ENI. La interfaz de red principal para la instancia cuenta como una, por lo que puede asociar a la instancia dos ENI adicionales. Dado que cada tarea que utiliza el modo de red awsvpc requiere una ENI, normalmente solo puede ejecutar dos de esas tareas en este tipo de instancia.

Amazon ECS es compatible con el inicio de instancias de contenedor con mayor densidad de ENI al usar tipos de instancias de Amazon EC2 compatibles. Cuando se utilizan estos tipos de instancias y se activa la configuración de cuenta awsvpcTrunking, aparecen ENI adicionales disponibles en las instancias de contenedor recién lanzadas. Esta configuración le permite colocar más tareas en cada instancia de contenedor.

Por ejemplo, una instancia c5.large con awsvpcTrunking tiene un límite de ENI aumentado de doce. La instancia de contenedor tendrá la interfaz de red principal, y Amazon ECS crea y asocia una interfaz de red “troncal” a la instancia de contenedor. Por lo tanto, esta configuración le permite lanzar diez tareas en la instancia de contenedor, en lugar de las dos tareas actuales.

Supervisión en tiempo de ejecución (integración con Amazon GuardDuty)

Supervisión en tiempo de ejecución es un servicio inteligente de detección de amenazas que protege las cargas de trabajo que se ejecutan en las instancias de contenedor de Fargate y EC2 mediante la supervisión continua de la actividad de registro y red de AWS para identificar comportamientos malintencionados o no autorizados.

El parámetro guardDutyActivate es solo de lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado la supervisión en tiempo de ejecución. GuardDuty controla esta configuración de la cuenta en su nombre. Para obtener más información, consulte Protecting Amazon ECS workloads with Runtime Monitoring.

Puede ejecutar list-account-settings para ver la configuración de integración actual de GuardDuty. 

aws ecs list-account-settings

Ejemplo de resultado

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}

VPC IPv6 de doble pila

Amazon ECS admite proporcionar tareas con una dirección IPv6 además de la dirección IPv4 privada principal.

Para que las tareas reciban una dirección IPv6, la tarea debe utilizar el modo de red awsvpc, debe lanzarse en una VPC configurada para el modo de doble pila, y la configuración de cuenta dualStackIPv6 debe estar habilitada. Para obtener más información sobre otros requisitos, consulte Utilización de una VPC en modo de pila doble para ver el tipo de lanzamiento de EC2 y Utilización de una VPC en modo de pila doble para ver el tipo de lanzamiento de Fargate.

importante

La configuración de cuenta dualStackIPv6 solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de la cuenta de Amazon ECS.

Si tenía una tarea en ejecución con el modo de red awsvpc en una subred habilitada para IPv6 entre el 1.° de octubre de 2020 y el 2 de noviembre de 2020, la configuración de cuenta dualStackIPv6 predeterminada en la región en la que se estaba ejecutando la tarea es disabled. Si esa condición no se cumple, la configuración dualStackIPv6 predeterminada en la región es enabled.

El valor predeterminado es disabled.