Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte
Vous pouvez accéder aux paramètres ECS du compte Amazon pour activer ou désactiver certaines fonctionnalités. Pour chaque Région AWS, vous pouvez accepter ou refuser chaque paramètre de compte au niveau du compte ou pour un utilisateur ou un rôle spécifique.
Vous pouvez choisir d'activer ou de désactiver des fonctions spécifiques si l'une des options suivantes vous concerne :
-
Un utilisateur ou un rôle peut accepter ou refuser des paramètres de compte spécifiques pour son compte individuel.
-
Un utilisateur ou un rôle peut définir le paramètre d'acceptation et de refus par défaut pour tous les utilisateurs du compte.
-
L'utilisateur root ou un utilisateur doté de privilèges d'administrateur peut accepter ou refuser un rôle ou un utilisateur spécifique sur le compte. Si le paramètre de compte de l'utilisateur root est modifié, cela modifie également le paramètre par défaut de tous les utilisateurs et rôles pour lesquels aucun paramètre de compte individuel n'a été sélectionné.
Note
Les utilisateurs fédérés héritent du paramètre de compte de l'utilisateur root et ne peuvent pas avoir de paramètres de compte définis séparément pour leur compte.
Les paramètres de compte suivants sont disponibles. Vous devez vous inscrire et vous désinscrire séparément pour chaque paramètre de compte.
- Amazon Resource Names (ARNs) et IDs
-
Noms de ressources :
serviceLongArnFormat
,taskLongArnFormat
, etcontainerInstanceLongArnFormat
Amazon introduit ECS un nouveau format pour les noms de ressources Amazon (ARNs) et IDs les ressources pour les ECS services, les tâches et les instances de conteneur Amazon. Le statut d'opt-in pour chaque type de ressource détermine le format Amazon Resource Name (ARN) utilisé par la ressource. Vous devez accepter le nouveau ARN format pour utiliser des fonctionnalités telles que le balisage des ressources pour ce type de ressource. Pour de plus amples informations, veuillez consulter Amazon Resource Names (ARNs) et IDs.
L’argument par défaut est
enabled
.Seules les ressources lancées après l'inscription reçoivent le nouveau format ARN et le nouveau format d'identifiant de ressource. Toutes les ressources existantes ne sont pas affectées. Pour que les ECS services et les tâches Amazon passent aux nouveaux formats ARN et aux nouveaux formats d'ID de ressource, vous devez recréer le service ou la tâche. Pour faire passer une instance de conteneur au nouveau format ARN et au format d'ID de ressource, l'instance de conteneur doit être vidée et une nouvelle instance de conteneur doit être lancée et enregistrée dans le cluster.
Note
Les tâches lancées par un ECS service Amazon ne peuvent recevoir le nouveau format ARN et le nouveau format d'identifiant de ressource que si le service a été créé le 16 novembre 2018 ou après cette date et que l'utilisateur qui a créé le service a opté pour le nouveau format pour les tâches.
- AWSVPCtronquage
-
Nom de la ressource :
awsvpcTrunking
Amazon ECS prend en charge le lancement d'instances de conteneur avec une densité accrue d'elastic network interface (ENI) en utilisant les types d'EC2instances Amazon pris en charge. Lorsque vous utilisez ces types d'instances et que vous activez les paramètres du
awsvpcTrunking
compte, d'autres ENIs sont disponibles sur les instances de conteneur récemment lancées. Vous pouvez utiliser cette configuration pour placer plus de tâches en utilisant le mode réseauawsvpc
sur chaque instance de conteneur. Grâce à cette fonctionnalité, unec5.large
instanceawsvpcTrunking
activée dispose d'un ENI quota accru de dix. L'instance de conteneur possède une interface réseau principale, et Amazon ECS crée et attache une interface réseau « tronc » à l'instance de conteneur. L'interface réseau principale et l'interface réseau principale ne sont pas prises en compte dans le ENI quota. Par conséquent, vous pouvez utiliser cette configuration pour lancer dix tâches sur l'instance de conteneur au lieu des deux tâches actuellement possibles. Pour de plus amples informations, veuillez consulter Augmenter les interfaces réseau des instances de conteneur Amazon ECS Linux.L’argument par défaut est
disabled
.Seules les ressources lancées après s'être inscrites bénéficient des ENI limites augmentées. Toutes les ressources existantes ne sont pas affectées. Pour faire passer une instance de conteneur aux ENI quotas augmentés, l'instance de conteneur doit être vidée et une nouvelle instance de conteneur doit être enregistrée dans le cluster.
- CloudWatch Informations sur les conteneurs
-
Nom de la ressource :
containerInsights
CloudWatch Container Insights collecte, agrège et résume les métriques et les journaux de vos applications conteneurisées et de vos microservices. Les métriques incluent l'utilisation de ressources telles que la mémoireCPU, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights. Pour de plus amples informations, veuillez consulter Surveillez les ECS conteneurs Amazon à l'aide de Container Insights.
Lorsque vous activez le paramètre de compte
containerInsights
, tous les nouveaux clusters ont Container Insights activé par défaut. Vous pouvez désactiver ce paramètre pour des clusters spécifiques lorsque vous les créez. Vous pouvez également modifier ce paramètre en utilisant le UpdateClusterSettings API.Pour les clusters contenant des tâches ou des services utilisant le type de EC2 lancement, vos instances de conteneur doivent exécuter la version 1.29.0 ou ultérieure de l'ECSagent Amazon pour utiliser Container Insights. Pour de plus amples informations, veuillez consulter Gestion des instances de conteneurs Amazon ECS Linux.
L’argument par défaut est
disabled
. - Double pile VPC IPv6
-
Nom de la ressource :
dualStackIPv6
Amazon ECS prend en charge la fourniture de tâches avec une IPv6 adresse en plus de l'IPv4adresse privée principale.
Pour que les tâches reçoivent une IPv6 adresse, elles doivent utiliser le mode
awsvpc
réseau, être lancées dans un mode VPC configuré pour le mode double pile et le paramètre dudualStackIPv6
compte doit être activé. Pour plus d'informations sur les autres exigences, reportez-vous aux sections Utilisation d'un VPC en mode double pile pour le type de EC2 lancement et Utilisation d'un VPC en mode double pile pour le type de lancement Fargate.Important
Les paramètres du
dualStackIPv6
compte ne peuvent être modifiés qu'à l'aide d'Amazon ECS API ou du AWS CLI. Pour de plus amples informations, veuillez consulter Modifier les paramètres ECS du compte Amazon.Si une tâche était en cours d'exécution en mode
awsvpc
réseau dans un sous-réseau IPv6 activé entre le 1er octobre 2020 et le 2 novembre 2020, le paramètre dedualStackIPv6
compte par défaut dans la région dans laquelle la tâche s'exécutait estdisabled
. Si cette condition n'est pas remplie, le paramètre de compte par défautdualStackIPv6
dans la région estenabled
.L’argument par défaut est
disabled
. - Conformité à la norme FIPS Fargate -140
-
Nom de la ressource :
fargateFIPSMode
Fargate prend en charge la norme fédérale de traitement de l'information FIPS (-140) qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Il s'agit de la norme gouvernementale actuelle des États-Unis et du Canada, applicable aux systèmes qui doivent être conformes à la loi fédérale sur la gestion de la sécurité de l'information (FISMA) ou au programme fédéral de gestion des risques et des autorisations (FedRAMP).
L’argument par défaut est
disabled
.Vous devez activer la conformité FIPS -140. Pour de plus amples informations, veuillez consulter AWS Fargate Norme fédérale de traitement de l'information (FIPS-140).
Important
Les paramètres du
fargateFIPSMode
compte ne peuvent être modifiés qu'à l'aide d'Amazon ECS API ou du AWS CLI. Pour de plus amples informations, veuillez consulter Modifier les paramètres ECS du compte Amazon. - Autorisations des ressources de balises
-
Nom de la ressource :
tagResourceAuthorization
Certaines ECS API actions Amazon vous permettent de spécifier des balises lors de la création de la ressource.
Amazon introduit ECS l'autorisation de marquage pour la création de ressources. Les utilisateurs doivent disposer d'autorisations pour les actions qui créent une ressource, telles que
ecsCreateCluster
. Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'ecs:TagResource
action afin de vérifier si les utilisateurs ou les rôles sont autorisés à créer des balises. Par conséquent, vous devez octroyer des autorisations explicites d'utiliser l'actionecs:TagResource
. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création. - Période d'attente pour retirer une tâche Fargate
-
Nom de la ressource :
fargateTaskRetirementWaitPeriod
AWS est responsable de l'application des correctifs et de la maintenance de l'infrastructure sous-jacente de AWS Fargate. Lorsqu'il est AWS déterminé qu'une mise à jour de sécurité ou d'infrastructure est nécessaire pour une ECS tâche Amazon hébergée sur Fargate, les tâches doivent être arrêtées et de nouvelles tâches lancées pour les remplacer. Vous pouvez configurer la période d'attente avant que les tâches ne soient retirées pour être corrigées. Vous avez la possibilité de mettre fin à la tâche immédiatement, d'attendre 7 jours calendaires ou d'attendre 14 jours calendaires.
Ce paramètre se trouve au niveau du compte.
- Activation de la surveillance d'exécution
-
Nom de la ressource :
guardDutyActivate
Le
guardDutyActivate
paramètre est en lecture seule sur Amazon ECS et indique si la surveillance du temps d'exécution est activée ou désactivée par votre administrateur de sécurité sur votre compte AmazonECS. GuardDuty contrôle les paramètres de ce compte en votre nom. Pour plus d'informations, consultez Protéger les ECS charges de travail Amazon grâce à la surveillance du temps d'exécution.
Rubriques
- Amazon Resource Names (ARNs) et IDs
- ARNet chronologie du format de l'ID de ressource
- AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)
- Autorisation de balisage
- Chronologie des autorisations de balisage
- AWS Fargate temps d'attente pour la retraite des tâches
- Surveillance du temps d'exécution ( GuardDuty intégration Amazon)
- Afficher les paramètres ECS du compte Amazon à l'aide de la console
- Modifier les paramètres ECS du compte Amazon
- Revenir aux paramètres par défaut du ECS compte Amazon
- Gérer les paramètres ECS du compte Amazon à l'aide du AWS CLI
Amazon Resource Names (ARNs) et IDs
Lorsque les ECS ressources Amazon sont créées, chaque ressource reçoit un nom de ressource Amazon (ARN) et un identifiant de ressource (ID) uniques. Si vous utilisez un outil de ligne de commande ou Amazon ECS API pour travailler avec AmazonECS, des ressources ARNs ou IDs sont requises pour certaines commandes. Par exemple, si vous utilisez la AWS CLI commande stop-task pour arrêter une tâche, vous devez spécifier la tâche ARN ou l'ID dans la commande.
Vous pouvez accepter ou refuser le nouveau format Amazon Resource Name (ARN) et ID de ressource pour chaque région. Actuellement, il est activé par défaut pour tout nouveau compte.
Vous pouvez accepter ou refuser le nouveau format Amazon Resource Name (ARN) et ID de ressource à tout moment. Une fois que vous vous êtes inscrit, toutes les nouvelles ressources que vous créez utilisent le nouveau format.
Note
Un ID de ressource ne change pas une fois qu'il a été créé. Par conséquent, le fait d'accepter ou de refuser le nouveau format n'affecte pas votre ressource IDs existante.
Les sections suivantes décrivent l'évolution des formats d'identification des ressources ARN et de leur évolution. Pour plus d'informations sur la transition vers les nouveaux formats, consultez Amazon Elastic Container Service FAQ
Format du nom de ressource Amazon (ARN)
Certaines ressources ont un nom convivial, comme par exemple un service nommé production
. Dans les autres cas, vous devez spécifier une ressource au format Amazon Resource Name (ARN). Le nouveau ARN format pour les ECS tâches, les services et les instances de conteneur Amazon inclut le nom du cluster. Pour plus d'informations sur l'acceptation du nouveau ARN format, consultezModifier les paramètres ECS du compte Amazon.
Le tableau suivant présente le format actuel et le nouveau format pour chaque type de ressource :
Type de ressource |
ARN |
---|---|
Instance de conteneur |
Nouveau : |
ECSService Amazon |
Nouveau : |
ECSTâche Amazon |
Nouveau : |
Longueur des ID de ressource
Un ID de ressource est constitué d'une combinaison unique de lettres et de chiffres. Les nouveaux formats d'ID de ressource incluent des formats plus courts IDs pour les ECS tâches Amazon et les instances de conteneur. Le format d'ID de ressource actuel comporte 36 caractères. Les nouveaux IDs sont dans un format de 32 caractères qui n'inclut aucun trait d'union. Pour de plus amples informations sur le nouveau format d'ID de ressource, consultez Modifier les paramètres ECS du compte Amazon.
ARNet chronologie du format de l'ID de ressource
Le calendrier des périodes d'inscription et de désinscription pour le nouveau format Amazon Resource Name (ARN) et ID de ressource pour les ECS ressources Amazon a pris fin le 1er avril 2021. Le nouveau format est activé par défaut pour tout nouveau compte. Toutes les nouvelles ressources créées reçoivent le nouveau format et vous ne pouvez plus vous désinscrire.
AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)
Vous devez activer la conformité à la norme fédérale de traitement de l'information (FIPS-140) sur Fargate. Pour de plus amples informations, veuillez consulter AWS Fargate Norme fédérale de traitement de l'information (FIPS-140).
Exécutez put-account-setting-default
avec l'option fargateFIPSMode
définie à enabled
. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference.
-
Vous pouvez utiliser la commande suivante pour activer la conformité FIPS -140.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabled
Exemple de sortie
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Vous pouvez courir list-account-settings
pour voir l'état actuel de conformité FIPS -140. Utilisez l'option effective-settings
pour afficher les paramètres au niveau du compte.
aws ecs list-account-settings --effective-settings
Autorisation de balisage
Amazon introduit ECS l'autorisation de marquage pour la création de ressources. Les utilisateurs doivent disposer d'autorisations de balisage pour les actions qui créent la ressource, telles queecsCreateCluster
. Lorsque vous créez une ressource et que vous spécifiez des balises pour cette ressource, AWS effectue une autorisation supplémentaire pour vérifier qu'il existe des autorisations pour créer des balises. Par conséquent, vous devez octroyer des autorisations explicites d'utiliser l'action ecs:TagResource
. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.
Pour activer l'autorisation de balisage, exécutez put-account-setting-default
avec l'option tagResourceAuthorization
définie sur enable
. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference. Vous pouvez exécuter list-account-settings
pour afficher l'état actuel de l'autorisation de balisage.
-
Vous pouvez utiliser la commande suivante pour activer l'autorisation de balisage.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region
region
Exemple de sortie
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Après avoir activé l'autorisation de balisage, vous devez configurer les autorisations appropriées pour permettre aux utilisateurs de baliser les ressources lors de leur création. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.
Vous pouvez exécuter list-account-settings
pour afficher l'état actuel de l'autorisation de balisage. Utilisez l'option effective-settings
pour afficher les paramètres au niveau du compte.
aws ecs list-account-settings --effective-settings
Chronologie des autorisations de balisage
Vous pouvez vérifier si l'autorisation de balisage est active en exécutant list-account-settings
pour afficher la valeur tagResourceAuthorization
. Lorsque la valeur est égale à on
, cela signifie que l'autorisation de balisage est active. Pour plus d'informations, list-account-settingsconsultez le manuel Amazon Elastic Container Service API Reference.
Voici les dates importantes concernant l'autorisation de balisage.
-
18 avril 2023 : introduction de l'autorisation de balisage. Tous les comptes nouveaux et existants doivent adhérer pour utiliser la fonctionnalité. Vous pouvez choisir de commencer à utiliser l'autorisation de marquage. En adhérant, vous devez octroyer les autorisations appropriées.
-
9 février 2024 - 6 mars 2024 — L'autorisation de marquage est activée par défaut pour tous les nouveaux comptes et les comptes existants non concernés. Vous pouvez activer ou désactiver les paramètres du
tagResourceAuthorization
compte pour vérifier votre IAM politique.AWS a informé les comptes concernés.
Pour désactiver la fonctionnalité,
put-account-setting-default
exécutez-la avec l'tagResourceAuthorization
option définie suroff
. -
7 mars 2024 — Si vous avez activé l'autorisation de marquage, vous ne pouvez plus désactiver les paramètres du compte.
Nous vous recommandons de terminer le test IAM de votre politique avant cette date.
-
29 mars 2024 — Tous les comptes utilisent l'autorisation de marquage. Le paramètre au niveau du compte ne sera plus disponible dans la ECS console Amazon ou. AWS CLI
AWS Fargate temps d'attente pour la retraite des tâches
AWS envoie des notifications lorsque des tâches Fargate s'exécutent sur une version de la plateforme dont la révision est marquée pour être supprimée. Pour de plus amples informations, veuillez consulter AWS Maintenance des tâches Fargate sur Amazon ECS FAQs.
Vous pouvez configurer l'heure à laquelle Fargate commence le retrait des tâches. Pour les charges de travail qui nécessitent l'application immédiate des mises à jour, choisissez le paramètre immédiat (0
). Lorsque vous avez besoin de davantage de contrôle, par exemple lorsqu'une tâche ne peut être arrêtée que pendant une certaine période, configurez l'option 7 jours (7
) ou 14 jours (14
).
Nous vous recommandons de choisir une période d'attente plus courte afin de pouvoir accéder plus rapidement aux nouvelles versions de plateforme.
Configurez la période d'attente en exécutant put-account-setting-default
ou put-account-setting
en tant qu'utilisateur root ou administrateur. Utilisez l'option fargateTaskRetirementWaitPeriod
pour le name
et l'option value
définie sur l'une des valeurs suivantes :
-
0
- AWS envoie la notification et commence immédiatement à supprimer les tâches concernées. -
7
- AWS envoie la notification et attend 7 jours calendaires avant de commencer à supprimer les tâches concernées. -
14
: AWS envoie la notification et attend 14 jours calendaires avant de commencer à retirer les tâches concernées.
La durée par défaut est de 7 jours.
Pour plus d'informations, consultez put-account-setting-defaultet put-account-settingconsultez le Amazon Elastic Container Service API Reference.
Vous pouvez exécuter la commande suivante pour définir le délai d'attente à 14 jours.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
Exemple de sortie
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}
Vous pouvez exécuter list-account-settings
pour afficher le temps d'attente actuel pour retirer la tâche Fargate. Utilisez l'option effective-settings
.
aws ecs list-account-settings --effective-settings
Surveillance du temps d'exécution ( GuardDuty intégration Amazon)
Runtime Monitoring est un service intelligent de détection des menaces qui protège les charges de travail exécutées sur Fargate EC2 et les instances de conteneur en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés.
Le guardDutyActivate
paramètre est en lecture seule sur Amazon ECS et indique si la surveillance du temps d'exécution est activée ou désactivée par votre administrateur de sécurité sur votre compte AmazonECS. GuardDuty contrôle les paramètres de ce compte en votre nom. Pour plus d'informations, consultez Protéger les ECS charges de travail Amazon grâce à la surveillance du temps d'exécution.
Vous pouvez exécuter list-account-settings
pour afficher le paramètre GuardDuty d'intégration actuel.
aws ecs list-account-settings
Exemple de sortie
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}