Puntos de enlace de la VPC de interfaz de Amazon ECS (AWS PrivateLink)
Para mejorar la posición de seguridad de su VPC, configure Amazon ECS para que utilice un punto de enlace de la VPC de interfaz. Los puntos de conexión de interfaz utilizan la tecnología AWS PrivateLink, que le permite obtener acceso privado a las API de Amazon ECS mediante direcciones IP privadas. AWS PrivateLink restringe todo el tráfico de red entre su VPC y Amazon ECS a la red de Amazon. No necesita una gateway de Internet, un dispositivo NAT ni una gateway privada virtual.
Para obtener más información acerca de AWS PrivateLink y los puntos de enlace de la VPC, consulte Puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.
Consideraciones
Las consideraciones sobre los puntos de conexión en las regiones se introdujeron a partir del 23 de diciembre de 2023.
Antes de configurar los puntos de enlace de la VPC de interfaz para Amazon ECS, debe tener en cuenta las consideraciones siguientes:
-
Debe tener los siguientes puntos de conexión de VPC específicos de la región:
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
Por ejemplo, la región Oeste de Canadá (Calgary) (ca-west-1) necesita los siguientes puntos de conexión de VPC:
-
com.amazonaws.ca-west-1.ecs-agent -
com.amazonaws.ca-west-1.ecs-telemetry -
com.amazonaws.ca-west-1.ecs
-
-
Cuando utilice una plantilla para crear recursos de AWS en la nueva región y la plantilla se haya copiado de una región introducida antes del 23 de diciembre de 2023, en función de la región de la que se haya copiado, lleve a cabo una de las siguientes operaciones.
Por ejemplo, la región de origen de la copia es Este de EE. UU. (Norte de Virginia) (us-east-1). La región de destino de la copia es Oeste de Canadá (Calgary) (ca-west-1).
Configuración Acción La región de origen de la copia no tiene ningún punto de conexión de VPC.
Cree los tres puntos de conexión de VPC para la nueva región (por ejemplo,
com.amazonaws.ca-west-1.ecs-agent).La región de origen de la copia contiene puntos de conexión de VPC específicos de la región.
-
Cree los tres puntos de conexión de VPC para la nueva región (por ejemplo,
com.amazonaws.ca-west-1.ecs-agent). -
Elimine los tres puntos de conexión de VPC de la región de origen de la copia (por ejemplo,
com.amazonaws.us-east-1.ecs-agent).
-
Consideraciones para los puntos de conexión de VPC de Amazon ECS del tipo de lanzamiento de Fargate
Cuando haya un punto de conexión de VPC para ecr.dkr y ecr.api en la misma VPC en la que se implementa una tarea de Fargate, utilizará el punto de conexión de VPC. Si no hay ningún punto de conexión de VPC, utilizará la interfaz de Fargate.
Antes de configurar los puntos de enlace de la VPC de interfaz para Amazon ECS, debe tener en cuenta las consideraciones siguientes:
-
Las tareas que utilizan el tipo de lanzamiento de Fargate no requieren puntos de enlace de la VPC de interfaz para Amazon ECS, pero es posible que necesite los puntos de enlace de la VPC de interfaz de Amazon ECR, Secrets Manager o Amazon CloudWatch Logs que se describen en los siguientes puntos.
-
Para permitir que sus tareas extraigan imágenes privadas de Amazon ECR, debe crear los puntos de enlace de la VPC de interfaz de Amazon ECR. Para obtener más información, consulte Puntos de enlace de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon Elastic Container Registry.
Si su VPC no tiene una puerta de enlace de Internet, debe crear el punto de conexión de la puerta de enlace para Amazon S3. Para obtener más información, consulte Creación del punto de conexión de la puerta de enlace de Amazon S3 en la Guía del usuario de Amazon Elastic Container Registry. Los puntos de conexión de interfaz para Amazon S3 no se pueden utilizar con Amazon ECR.
importante
Si configura Amazon ECR para utilizar un punto de enlace de la VPC de interfaz, puede crear un rol de ejecución de tareas que incluya claves de condición para restringir el acceso a una VPC o punto de enlace de la VPC específicos. Para obtener más información, consulte Las tareas de Fargate que extraen imágenes de Amazon ECR a través de permisos de puntos de conexión de interfaz.
-
Para permitir que sus tareas extraigan información confidencial de Secrets Manager, debe crear los puntos de enlace de la VPC de interfaz de Secrets Manager. Para obtener más información, consulte Utilización de Secrets Manager con puntos de enlace de la VPC en la Guía del usuario de AWS Secrets Manager.
-
Si la VPC no tiene un gateway de Internet y sus tareas utilizan el controlador de registros
awslogspara enviar información de registro a CloudWatch Logs, debe crear un punto de enlace de la VPC de interfaz de CloudWatch Logs. Para obtener más información, consulte Utilización de CloudWatch Logs con puntos de enlace de la VPC de interfaz en la Guía del usuario de Amazon CloudWatch Logs.
-
-
Los puntos de enlace de la VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto de enlace en la misma región en la que tiene previsto enviar llamadas a la API de Amazon ECS. Por ejemplo, supongamos que desea ejecutar tareas en Este de EE. UU. (Norte de Virginia). Entonces, debe crear el punto de conexión de VPC de Amazon ECS en la región Este de EE. UU. (Norte de Virginia). Un punto de conexión de VPC de Amazon ECS creado en cualquier otra región no puede ejecutar tareas en Este de EE. UU. (Norte de Virginia).
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto TCP 443 desde la subred privada de la VPC.
-
La administración de Service Connect del proxy de Envoy utiliza el punto de conexión de VPC
com.amazonaws.. Cuando no utiliza los puntos de conexión de VPC, la administración de Service Connect del proxy de Envoy utiliza el punto de conexiónregion.ecs-agentecs-scde esa región. Para obtener una lista de los puntos de conexión de Amazon ECS en cada región, consulte puntos de conexión y cuotas de Amazon ECS.
Consideraciones para los puntos de conexión de VPC de Amazon ECS del tipo de lanzamiento de EC2
Antes de configurar los puntos de enlace de la VPC de interfaz para Amazon ECS, debe tener en cuenta las consideraciones siguientes:
-
Las tareas que utilizan el tipo de lanzamiento de EC2 requieren que las instancias de contenedor en las que se lanzan ejecuten la versión
1.25.1del agente de contenedor de Amazon ECS o una posterior. Para obtener más información, consulte Administración de instancias de contenedor de Linux de Amazon ECS. -
Para permitir que sus tareas extraigan información confidencial de Secrets Manager, debe crear los puntos de enlace de la VPC de interfaz de Secrets Manager. Para obtener más información, consulte Utilización de Secrets Manager con puntos de enlace de la VPC en la Guía del usuario de AWS Secrets Manager.
-
Si la VPC no tiene un gateway de Internet y sus tareas utilizan el controlador de registros
awslogspara enviar información de registro a CloudWatch Logs, debe crear un punto de enlace de la VPC de interfaz de CloudWatch Logs. Para obtener más información, consulte Utilización de CloudWatch Logs con puntos de enlace de la VPC de interfaz en la Guía del usuario de Amazon CloudWatch Logs. -
Los puntos de enlace de la VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto de enlace en la misma región en la que tiene previsto enviar llamadas a la API de Amazon ECS. Por ejemplo, supongamos que desea ejecutar tareas en Este de EE. UU. (Norte de Virginia). Entonces, debe crear el punto de conexión de VPC de Amazon ECS en la región Este de EE. UU. (Norte de Virginia). Un punto de conexión de VPC de Amazon ECS creado en cualquier otra región no puede ejecutar tareas en Este de EE. UU. (Norte de Virginia).
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto TCP 443 desde la subred privada de la VPC.
Creación de puntos de enlace de la VPC para Amazon ECS
Para crear el punto de enlace de la VPC para el servicio de Amazon ECS, utilice el procedimiento Creación de un punto de enlace de interfaz que se indica en la Guía del usuario de Amazon VPC y genere el punto de enlace siguiente. Si dispone de instancias de contenedor dentro de la VPC, debe crear los puntos de enlace en el orden en que aparecen en la lista. Si tiene previsto crear sus instancias de contenedor después de que se cree el punto de enlace de la VPC, el orden no importa.
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
nota
La región representa el identificador de región de una región de AWS compatible con Amazon ECS, como us-east-2 para la región EE. UU. Este (Ohio).
El punto de conexión ecs-agent usa la API ecs:poll y el punto de conexión ecs-telemetry usa las API ecs:poll y ecs:StartTelemetrySession.
Si tiene tareas existentes que utilizan el tipo de lanzamiento de EC2, una vez creados los puntos de enlace de la VPC, cada instancia de contenedor necesita obtener la nueva configuración. Para que esto ocurra, debe reiniciar cada instancia de contenedor o reiniciar el agente de contenedor de Amazon ECS en cada instancia de contenedor. Para reiniciar el agente de contenedor, haga lo siguiente.
Para reiniciar el agente de contenedor de Amazon ECS
-
Inicie sesión en su instancia de contenedor mediante SSH.
-
Detenga el agente de contenedor de .
sudo docker stop ecs-agent -
Inicie el agente de contenedor.
sudo docker start ecs-agent
Una vez creados los puntos de enlace de la VPC y después de que el agente de contenedor de Amazon ECS se haya reiniciado en cada instancia de contenedor, todas las tareas recién lanzadas obtendrán la nueva configuración.
Creación de una política de puntos de enlace de la VPC para Amazon ECS
Puede asociar una política de puntos de enlace con su punto de enlace de la VPC que controla el acceso a Amazon ECS. La política especifica la siguiente información:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.
Ejemplo: política de punto de enlace de la VPC para acciones de Amazon ECS
A continuación, se muestra un ejemplo de una política de punto de enlace para Amazon ECS. Cuando se asocia a un punto de conexión, esta política concede acceso a permisos para crear y enumerar clústeres. Las acciones CreateCluster y ListClusters no aceptan ningún recurso, por tanto la definición de recursos se define en * para todos los recursos.
{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }
