Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte - Amazon Elastic Container Service
Amazon Resource Names (ARNs) et IDsARNet chronologie du format de l'ID de ressourceAWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)Autorisation de balisageChronologie des autorisations de balisageAWS Fargate temps d'attente pour la retraite des tâchesSurveillance du temps d'exécution ( GuardDuty intégration Amazon)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux ECS fonctionnalités d'Amazon avec les paramètres du compte

Vous pouvez accéder aux paramètres ECS du compte Amazon pour activer ou désactiver certaines fonctionnalités. Pour chaque Région AWS, vous pouvez accepter ou refuser chaque paramètre de compte au niveau du compte ou pour un utilisateur ou un rôle spécifique.

Vous pouvez choisir d'activer ou de désactiver des fonctions spécifiques si l'une des options suivantes vous concerne :

  • Un utilisateur ou un rôle peut accepter ou refuser des paramètres de compte spécifiques pour son compte individuel.

  • Un utilisateur ou un rôle peut définir le paramètre d'acceptation et de refus par défaut pour tous les utilisateurs du compte.

  • L'utilisateur root ou un utilisateur doté de privilèges d'administrateur peut accepter ou refuser un rôle ou un utilisateur spécifique sur le compte. Si le paramètre de compte de l'utilisateur root est modifié, cela modifie également le paramètre par défaut de tous les utilisateurs et rôles pour lesquels aucun paramètre de compte individuel n'a été sélectionné.

Note

Les utilisateurs fédérés héritent du paramètre de compte de l'utilisateur root et ne peuvent pas avoir de paramètres de compte définis séparément pour leur compte.

Les paramètres de compte suivants sont disponibles. Vous devez vous inscrire et vous désinscrire séparément pour chaque paramètre de compte.

Amazon Resource Names (ARNs) et IDs

Noms de ressources : serviceLongArnFormat, taskLongArnFormat, et containerInstanceLongArnFormat

Amazon introduit ECS un nouveau format pour les noms de ressources Amazon (ARNs) et IDs les ressources pour les ECS services, les tâches et les instances de conteneur Amazon. Le statut d'opt-in pour chaque type de ressource détermine le format Amazon Resource Name (ARN) utilisé par la ressource. Vous devez accepter le nouveau ARN format pour utiliser des fonctionnalités telles que le balisage des ressources pour ce type de ressource. Pour de plus amples informations, veuillez consulter Amazon Resource Names (ARNs) et IDs.

L’argument par défaut est enabled.

Seules les ressources lancées après l'inscription reçoivent le nouveau format ARN et le nouveau format d'identifiant de ressource. Toutes les ressources existantes ne sont pas affectées. Pour que les ECS services et les tâches Amazon passent aux nouveaux formats ARN et aux nouveaux formats d'ID de ressource, vous devez recréer le service ou la tâche. Pour faire passer une instance de conteneur au nouveau format ARN et au format d'ID de ressource, l'instance de conteneur doit être vidée et une nouvelle instance de conteneur doit être lancée et enregistrée dans le cluster.

Note

Les tâches lancées par un ECS service Amazon ne peuvent recevoir le nouveau format ARN et le nouveau format d'identifiant de ressource que si le service a été créé le 16 novembre 2018 ou après cette date et que l'utilisateur qui a créé le service a opté pour le nouveau format pour les tâches.

AWSVPCtronquage

Nom de la ressource : awsvpcTrunking

Amazon ECS prend en charge le lancement d'instances de conteneur avec une densité accrue d'elastic network interface (ENI) en utilisant les types d'EC2instances Amazon pris en charge. Lorsque vous utilisez ces types d'instances et que vous activez les paramètres du awsvpcTrunking compte, d'autres ENIs sont disponibles sur les instances de conteneur récemment lancées. Vous pouvez utiliser cette configuration pour placer plus de tâches en utilisant le mode réseau awsvpc sur chaque instance de conteneur. Grâce à cette fonctionnalité, une c5.large instance awsvpcTrunking activée dispose d'un ENI quota accru de dix. L'instance de conteneur possède une interface réseau principale, et Amazon ECS crée et attache une interface réseau « tronc » à l'instance de conteneur. L'interface réseau principale et l'interface réseau principale ne sont pas prises en compte dans le ENI quota. Par conséquent, vous pouvez utiliser cette configuration pour lancer dix tâches sur l'instance de conteneur au lieu des deux tâches actuellement possibles. Pour de plus amples informations, veuillez consulter Augmenter les interfaces réseau des instances de conteneur Amazon ECS Linux.

L’argument par défaut est disabled.

Seules les ressources lancées après s'être inscrites bénéficient des ENI limites augmentées. Toutes les ressources existantes ne sont pas affectées. Pour faire passer une instance de conteneur aux ENI quotas augmentés, l'instance de conteneur doit être vidée et une nouvelle instance de conteneur doit être enregistrée dans le cluster.

CloudWatch Informations sur les conteneurs

Nom de la ressource : containerInsights

CloudWatch Container Insights collecte, agrège et résume les métriques et les journaux de vos applications conteneurisées et de vos microservices. Les métriques incluent l'utilisation de ressources telles que la mémoireCPU, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights. Pour de plus amples informations, veuillez consulter Surveillez les ECS conteneurs Amazon à l'aide de Container Insights.

Lorsque vous activez le paramètre de compte containerInsights, tous les nouveaux clusters ont Container Insights activé par défaut. Vous pouvez désactiver ce paramètre pour des clusters spécifiques lorsque vous les créez. Vous pouvez également modifier ce paramètre en utilisant le UpdateClusterSettings API.

Pour les clusters contenant des tâches ou des services utilisant le type de EC2 lancement, vos instances de conteneur doivent exécuter la version 1.29.0 ou ultérieure de l'ECSagent Amazon pour utiliser Container Insights. Pour de plus amples informations, veuillez consulter Gestion des instances de conteneurs Amazon ECS Linux.

L’argument par défaut est disabled.

Double pile VPC IPv6

Nom de la ressource : dualStackIPv6

Amazon ECS prend en charge la fourniture de tâches avec une IPv6 adresse en plus de l'IPv4adresse privée principale.

Pour que les tâches reçoivent une IPv6 adresse, elles doivent utiliser le mode awsvpc réseau, être lancées dans un mode VPC configuré pour le mode double pile et le paramètre du dualStackIPv6 compte doit être activé. Pour plus d'informations sur les autres exigences, reportez-vous aux sections Utilisation d'un VPC en mode double pile pour le type de EC2 lancement et Utilisation d'un VPC en mode double pile pour le type de lancement Fargate.

Important

Les paramètres du dualStackIPv6 compte ne peuvent être modifiés qu'à l'aide d'Amazon ECS API ou du AWS CLI. Pour de plus amples informations, veuillez consulter Modifier les paramètres ECS du compte Amazon.

Si une tâche était en cours d'exécution en mode awsvpc réseau dans un sous-réseau IPv6 activé entre le 1er octobre 2020 et le 2 novembre 2020, le paramètre de dualStackIPv6 compte par défaut dans la région dans laquelle la tâche s'exécutait estdisabled. Si cette condition n'est pas remplie, le paramètre de compte par défaut dualStackIPv6 dans la région est enabled.

L’argument par défaut est disabled.

Conformité à la norme FIPS Fargate -140

Nom de la ressource : fargateFIPSMode

Fargate prend en charge la norme fédérale de traitement de l'information FIPS (-140) qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Il s'agit de la norme gouvernementale actuelle des États-Unis et du Canada, applicable aux systèmes qui doivent être conformes à la loi fédérale sur la gestion de la sécurité de l'information (FISMA) ou au programme fédéral de gestion des risques et des autorisations (FedRAMP).

L’argument par défaut est disabled.

Vous devez activer la conformité FIPS -140. Pour de plus amples informations, veuillez consulter AWS Fargate Norme fédérale de traitement de l'information (FIPS-140).

Important

Les paramètres du fargateFIPSMode compte ne peuvent être modifiés qu'à l'aide d'Amazon ECS API ou du AWS CLI. Pour de plus amples informations, veuillez consulter Modifier les paramètres ECS du compte Amazon.

Autorisations des ressources de balises

Nom de la ressource : tagResourceAuthorization

Certaines ECS API actions Amazon vous permettent de spécifier des balises lors de la création de la ressource.

Amazon introduit ECS l'autorisation de marquage pour la création de ressources. Les utilisateurs doivent disposer d'autorisations pour les actions qui créent une ressource, telles queecsCreateCluster. Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'ecs:TagResourceaction afin de vérifier si les utilisateurs ou les rôles sont autorisés à créer des balises. Par conséquent, vous devez octroyer des autorisations explicites d'utiliser l'action ecs:TagResource. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.

Période d'attente pour retirer une tâche Fargate

Nom de la ressource : fargateTaskRetirementWaitPeriod

AWS est responsable de l'application des correctifs et de la maintenance de l'infrastructure sous-jacente de AWS Fargate. Lorsqu'il est AWS déterminé qu'une mise à jour de sécurité ou d'infrastructure est nécessaire pour une ECS tâche Amazon hébergée sur Fargate, les tâches doivent être arrêtées et de nouvelles tâches lancées pour les remplacer. Vous pouvez configurer la période d'attente avant que les tâches ne soient retirées pour être corrigées. Vous avez la possibilité de mettre fin à la tâche immédiatement, d'attendre 7 jours calendaires ou d'attendre 14 jours calendaires.

Ce paramètre se trouve au niveau du compte.

Activation de la surveillance d'exécution

Nom de la ressource : guardDutyActivate

Le guardDutyActivate paramètre est en lecture seule sur Amazon ECS et indique si la surveillance du temps d'exécution est activée ou désactivée par votre administrateur de sécurité sur votre compte AmazonECS. GuardDuty contrôle les paramètres de ce compte en votre nom. Pour plus d'informations, consultez Protéger les ECS charges de travail Amazon grâce à la surveillance du temps d'exécution.

Rubriques

Amazon Resource Names (ARNs) et IDs

Lorsque les ECS ressources Amazon sont créées, chaque ressource reçoit un nom de ressource Amazon (ARN) et un identifiant de ressource (ID) uniques. Si vous utilisez un outil de ligne de commande ou Amazon ECS API pour travailler avec AmazonECS, des ressources ARNs ou IDs sont requises pour certaines commandes. Par exemple, si vous utilisez la AWS CLI commande stop-task pour arrêter une tâche, vous devez spécifier la tâche ARN ou l'ID dans la commande.

Vous pouvez accepter ou refuser le nouveau format Amazon Resource Name (ARN) et ID de ressource pour chaque région. Actuellement, il est activé par défaut pour tout nouveau compte.

Vous pouvez accepter ou refuser le nouveau format Amazon Resource Name (ARN) et ID de ressource à tout moment. Une fois que vous vous êtes inscrit, toutes les nouvelles ressources que vous créez utilisent le nouveau format.

Note

Un ID de ressource ne change pas une fois qu'il a été créé. Par conséquent, le fait d'accepter ou de refuser le nouveau format n'affecte pas votre ressource IDs existante.

Les sections suivantes décrivent l'évolution des formats d'identification des ressources ARN et de leur évolution. Pour plus d'informations sur la transition vers les nouveaux formats, consultez Amazon Elastic Container Service FAQ.

Format du nom de ressource Amazon (ARN)

Certaines ressources ont un nom convivial, comme par exemple un service nommé production. Dans les autres cas, vous devez spécifier une ressource au format Amazon Resource Name (ARN). Le nouveau ARN format pour les ECS tâches, les services et les instances de conteneur Amazon inclut le nom du cluster. Pour plus d'informations sur l'acceptation du nouveau ARN format, consultezModifier les paramètres ECS du compte Amazon.

Le tableau suivant présente le format actuel et le nouveau format pour chaque type de ressource :

Type de ressource

ARN

Instance de conteneur

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id actuel

Nouveau : arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

ECSService Amazon

arn:aws:ecs:region:aws_account_id:service/service-name actuel

Nouveau : arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

ECSTâche Amazon

arn:aws:ecs:region:aws_account_id:task/task-id actuel

Nouveau : arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Longueur des ID de ressource

Un ID de ressource est constitué d'une combinaison unique de lettres et de chiffres. Les nouveaux formats d'ID de ressource incluent des formats plus courts IDs pour les ECS tâches Amazon et les instances de conteneur. Le format d'ID de ressource actuel comporte 36 caractères. Les nouveaux IDs sont dans un format de 32 caractères qui n'inclut aucun trait d'union. Pour de plus amples informations sur le nouveau format d'ID de ressource, consultez Modifier les paramètres ECS du compte Amazon.

ARNet chronologie du format de l'ID de ressource

Le calendrier des périodes d'inscription et de désinscription pour le nouveau format Amazon Resource Name (ARN) et ID de ressource pour les ECS ressources Amazon a pris fin le 1er avril 2021. Le nouveau format est activé par défaut pour tout nouveau compte. Toutes les nouvelles ressources créées reçoivent le nouveau format et vous ne pouvez plus vous désinscrire.

AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)

Vous devez activer la conformité à la norme fédérale de traitement de l'information (FIPS-140) sur Fargate. Pour de plus amples informations, veuillez consulter AWS Fargate Norme fédérale de traitement de l'information (FIPS-140).

Exécutez put-account-setting-default avec l'option fargateFIPSMode définie à enabled. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference.

  • Vous pouvez utiliser la commande suivante pour activer la conformité FIPS -140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Exemple de sortie

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Vous pouvez courir list-account-settings pour voir l'état actuel de conformité FIPS -140. Utilisez l'option effective-settings pour afficher les paramètres au niveau du compte.

aws ecs list-account-settings --effective-settings

Autorisation de balisage

Amazon introduit ECS l'autorisation de marquage pour la création de ressources. Les utilisateurs doivent disposer d'autorisations de balisage pour les actions qui créent la ressource, telles queecsCreateCluster. Lorsque vous créez une ressource et que vous spécifiez des balises pour cette ressource, AWS effectue une autorisation supplémentaire pour vérifier qu'il existe des autorisations pour créer des balises. Par conséquent, vous devez octroyer des autorisations explicites d'utiliser l'action ecs:TagResource. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.

Pour activer l'autorisation de balisage, exécutez put-account-setting-default avec l'option tagResourceAuthorization définie sur enable. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference. Vous pouvez exécuter list-account-settings pour afficher l'état actuel de l'autorisation de balisage.

  • Vous pouvez utiliser la commande suivante pour activer l'autorisation de balisage.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Exemple de sortie

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Après avoir activé l'autorisation de balisage, vous devez configurer les autorisations appropriées pour permettre aux utilisateurs de baliser les ressources lors de leur création. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.

Vous pouvez exécuter list-account-settings pour afficher l'état actuel de l'autorisation de balisage. Utilisez l'option effective-settings pour afficher les paramètres au niveau du compte.

aws ecs list-account-settings --effective-settings

Chronologie des autorisations de balisage

Vous pouvez vérifier si l'autorisation de balisage est active en exécutant list-account-settings pour afficher la valeur tagResourceAuthorization. Lorsque la valeur est égale à on, cela signifie que l'autorisation de balisage est active. Pour plus d'informations, list-account-settingsconsultez le manuel Amazon Elastic Container Service API Reference.

Voici les dates importantes concernant l'autorisation de balisage.

  • 18 avril 2023 : introduction de l'autorisation de balisage. Tous les comptes nouveaux et existants doivent adhérer pour utiliser la fonctionnalité. Vous pouvez choisir de commencer à utiliser l'autorisation de marquage. En adhérant, vous devez octroyer les autorisations appropriées.

  • 9 février 2024 - 6 mars 2024 — L'autorisation de marquage est activée par défaut pour tous les nouveaux comptes et les comptes existants non concernés. Vous pouvez activer ou désactiver les paramètres du tagResourceAuthorization compte pour vérifier votre IAM politique.

    AWS a informé les comptes concernés.

    Pour désactiver la fonctionnalité, put-account-setting-default exécutez-la avec l'tagResourceAuthorizationoption définie suroff.

  • 7 mars 2024 — Si vous avez activé l'autorisation de marquage, vous ne pouvez plus désactiver les paramètres du compte.

    Nous vous recommandons de terminer le test IAM de votre politique avant cette date.

  • 29 mars 2024 — Tous les comptes utilisent l'autorisation de marquage. Le paramètre au niveau du compte ne sera plus disponible dans la ECS console Amazon ou. AWS CLI

AWS Fargate temps d'attente pour la retraite des tâches

AWS envoie des notifications lorsque des tâches Fargate s'exécutent sur une version de la plateforme dont la révision est marquée pour être supprimée. Pour de plus amples informations, veuillez consulter AWS Maintenance des tâches Fargate sur Amazon ECS FAQs.

Vous pouvez configurer l'heure à laquelle Fargate commence le retrait des tâches. Pour les charges de travail qui nécessitent l'application immédiate des mises à jour, choisissez le paramètre immédiat (0). Lorsque vous avez besoin de davantage de contrôle, par exemple lorsqu'une tâche ne peut être arrêtée que pendant une certaine période, configurez l'option 7 jours (7) ou 14 jours (14).

Nous vous recommandons de choisir une période d'attente plus courte afin de pouvoir accéder plus rapidement aux nouvelles versions de plateforme.

Configurez la période d'attente en exécutant put-account-setting-default ou put-account-setting en tant qu'utilisateur root ou administrateur. Utilisez l'option fargateTaskRetirementWaitPeriod pour le name et l'option value définie sur l'une des valeurs suivantes :

  • 0- AWS envoie la notification et commence immédiatement à supprimer les tâches concernées.

  • 7- AWS envoie la notification et attend 7 jours calendaires avant de commencer à supprimer les tâches concernées.

  • 14 : AWS envoie la notification et attend 14 jours calendaires avant de commencer à retirer les tâches concernées.

La durée par défaut est de 7 jours.

Pour plus d'informations, consultez put-account-setting-defaultet put-account-settingconsultez le Amazon Elastic Container Service API Reference.

Vous pouvez exécuter la commande suivante pour définir le délai d'attente à 14 jours.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Exemple de sortie

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Vous pouvez exécuter list-account-settings pour afficher le temps d'attente actuel pour retirer la tâche Fargate. Utilisez l'option effective-settings.

aws ecs list-account-settings --effective-settings

Surveillance du temps d'exécution ( GuardDuty intégration Amazon)

Runtime Monitoring est un service intelligent de détection des menaces qui protège les charges de travail exécutées sur Fargate EC2 et les instances de conteneur en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés.

Le guardDutyActivate paramètre est en lecture seule sur Amazon ECS et indique si la surveillance du temps d'exécution est activée ou désactivée par votre administrateur de sécurité sur votre compte AmazonECS. GuardDuty contrôle les paramètres de ce compte en votre nom. Pour plus d'informations, consultez Protéger les ECS charges de travail Amazon grâce à la surveillance du temps d'exécution.

Vous pouvez exécuter list-account-settings pour afficher le paramètre GuardDuty d'intégration actuel. 

aws ecs list-account-settings

Exemple de sortie

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}