Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Points de terminaison d'un VPC d'interface Amazon ECS (AWS PrivateLink)
Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant Amazon ECS pour utiliser un point de terminaison d’un VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet d'accéder de manière privée à Amazon ECS APIs en utilisant des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle.
Pour plus d'informations sur AWS PrivateLink les points de terminaison VPC, consultez la section Points de terminaison VPC dans le guide de l'utilisateur Amazon VPC.
Considérations
Considérations relatives aux terminaux dans les régions introduites à compter du 23 décembre 2023
Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :
-
Vous devez disposer des points de terminaison VPC spécifiques à la région suivants :
Note
Si vous ne configurez pas tous les points de terminaison, votre trafic passera par les points de terminaison publics, et non par votre point de terminaison VPC.
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
Par exemple, la région du Canada Ouest (Calgary) (ca-west-1) a besoin des points de terminaison VPC suivants :
-
com.amazonaws.ca-west-1.ecs-agent -
com.amazonaws.ca-west-1.ecs-telemetry -
com.amazonaws.ca-west-1.ecs
-
-
Lorsque vous utilisez un modèle pour créer AWS des ressources dans la nouvelle région et que le modèle a été copié à partir d'une région créée avant le 23 décembre 2023, en fonction de la région de copie, effectuez l'une des opérations suivantes.
Par exemple, la région de copie est USA Est (Virginie du Nord) (us-east-1). La région de copie est Canada-Ouest (Calgary) (ca-west-1).
Configuration Action La région copiée ne possède aucun point de terminaison VPC.
Créez les trois points de terminaison VPC pour la nouvelle région (par exemple,).
com.amazonaws.ca-west-1.ecs-agentLa région copiée contient des points de terminaison VPC spécifiques à la région.
-
Créez les trois points de terminaison VPC pour la nouvelle région (par exemple,).
com.amazonaws.ca-west-1.ecs-agent -
Supprimez les trois points de terminaison VPC de la région de copie (par exemple,).
com.amazonaws.us-east-1.ecs-agent
-
Éléments à prendre en compte pour les points de terminaison d'un VPC Amazon ECS pour le type de lancement Fargate
Lorsqu'il existe un point de terminaison VPC pour ecr.dkr et ecr.api dans le même VPC dans lequel une tâche Fargate est déployée, celui-ci utilise le point de terminaison VPC. S'il n'y a pas de point de terminaison VPC, celui-ci utilisera l'interface Fargate.
Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :
-
Les tâches utilisant le type de lancement Fargate ne nécessitent pas les points de terminaison VPC d'interface pour Amazon ECS, mais vous pourriez avoir besoin de points de terminaison VPC d'interface pour Amazon ECR, Secrets Manager ou Amazon Logs décrits dans les points suivants. CloudWatch
-
Pour autoriser vos tâches à extraire des images privées depuis Amazon ECR, vous devez créer les points de terminaison d’un VPC d'interface pour Amazon ECR. Pour de plus amples informations, veuillez consulter Points de terminaison de VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.
Important
Si vous configurez Amazon ECR pour utiliser un point de terminaison de VPC d'interface, vous pouvez créer un rôle d'exécution de tâche incluant des clés de condition pour restreindre l'accès à un VPC ou à un point de terminaison de VPC spécifique. Pour de plus amples informations, veuillez consulter Tâches Fargate extrayant des images Amazon ECR au-delà des autorisations des points de terminaison de l'interface.
-
Pour autoriser vos tâches à extraire des données sensibles depuis Secrets Manager, vous devez créer les points de terminaison d’un VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation de Secrets Manager avec des points de terminaison de VPC dans le Guide de l'utilisateur AWS Secrets Manager .
-
Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer des informations de
awslogsjournal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.
-
-
Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à Amazon ECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de terminaison Amazon ECS VPC dans USA Est (Virginie du Nord). Un point de terminaison d'un VPC Amazon ECS créé dans une autre région ne peut pas exécuter de tâche dans USA Est (Virginie du Nord).
-
Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.
-
Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port TCP 443 à partir du sous-réseau privé du VPC.
-
La gestion Service Connect du proxy Envoy utilise le point de terminaison d'un VPC
com.amazonaws.. Lorsque vous n'utilisez pas les points de terminaison d'un VPC, la gestion Service Connect du proxy Envoy utilise le point de terminaisonregion.ecs-agentecs-scde cette région. Pour obtenir la liste des points de terminaison Amazon ECS dans chaque région, veuillez consulter Points de terminaison et quotas Amazon ECS (langue française non garantie).
Considérations relatives aux points de terminaison VPC Amazon ECS pour le type de lancement EC2
Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :
-
Les tâches utilisant le type de EC2 lancement nécessitent que les instances de conteneur sur lesquelles elles sont lancées exécutent la version
1.25.1ou une version ultérieure de l'agent de conteneur Amazon ECS. Pour de plus amples informations, veuillez consulter Gestion des instances de conteneurs Linux Amazon ECS. -
Pour autoriser vos tâches à extraire des données sensibles depuis Secrets Manager, vous devez créer les points de terminaison d’un VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation de Secrets Manager avec des points de terminaison de VPC dans le Guide de l'utilisateur AWS Secrets Manager .
-
Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer des informations de
awslogsjournal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs. -
Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à Amazon ECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de terminaison Amazon ECS VPC dans USA Est (Virginie du Nord). Un point de terminaison VPC Amazon ECS créé dans une autre région ne peut pas exécuter de tâches dans l'est des États-Unis (Virginie du Nord).
-
Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.
-
Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port TCP 443 à partir du sous-réseau privé du VPC.
Création de points de terminaison de VPC pour Amazon ECS
Pour créer le point de terminaison VPC pour le service Amazon ECS, utilisez la procédure Access an AWS service using an interface VPC endpoint du guide de l'utilisateur Amazon VPC pour créer les points de terminaison suivants. Si vous disposez d'instances de conteneur dans votre VPC, vous devriez créer les points de terminaison dans l'ordre dans lequel ils sont répertoriés. Si vous envisagez de créer vos instances de conteneur après la création de votre point de terminaison d'un VPC, alors l'ordre n'est pas important.
Note
Si vous ne configurez pas tous les points de terminaison, votre trafic passera par les points de terminaison publics, et non par votre point de terminaison VPC.
Lorsque vous créez des points de terminaison, Amazon ECS crée également un nom DNS privé pour le point de terminaison. Par exemple, pour ecs-agent et ecs-a.region.amazonaws.com ecs-t.region.amazonaws.com pour ecs-telemetry.
-
com.amazonaws.region.ecs-agent -
com.amazonaws.region.ecs-telemetry -
com.amazonaws.region.ecs
Note
regionreprésente l'identifiant de région d'une AWS
région prise en charge par Amazon ECS, par exemple us-east-2 pour la région USA Est (Ohio).
Le ecs-agent point de terminaison utilise l'ecs:pollAPI, et le ecs-telemetry point de terminaison utilise l'ecs:StartTelemetrySessionAPI ecs:poll and.
Si vous avez des tâches existantes qui utilisent le type de EC2 lancement, une fois que vous avez créé les points de terminaison VPC, chaque instance de conteneur doit récupérer la nouvelle configuration. Pour ce faire, vous devez redémarrer chaque instance de conteneur ou redémarrer l'agent de conteneur Amazon ECS sur chaque instance de conteneur. Faites ce qui suit pour redémarrer l'agent de conteneur.
Pour redémarrer l'agent de conteneur Amazon ECS
-
Connectez-vous à votre instance de conteneur via SSH.
-
Arrêtez l'agent de conteneur .
sudo docker stop ecs-agent -
Démarrer l'agent de conteneur.
sudo docker start ecs-agent
Une fois les points de terminaison d'un VPC créés et l'agent de conteneur Amazon ECS redémarré sur chaque instance de conteneur, toutes les tâches nouvellement lancées adopteront la nouvelle configuration.
Création d'une stratégie de point de terminaison d'un VPC pour Amazon ECS
Vous pouvez attacher une stratégie de point de terminaison au point de terminaison d’un VPC qui contrôle l'accès à Amazon ECS. La politique spécifie les informations suivantes :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez Contrôle de l'accès aux services avec points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.
Exemple : stratégie de point de terminaison d’un VPC pour les actions de l'API Amazon ECS
Voici un exemple de politique de point de terminaison pour Amazon ECS. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès à l'autorisation de créer et de répertorier des clusters. Les actions CreateCluster et ListClusters n'acceptent aucune ressource. La définition de ressource est donc définie sur * pour toutes les ressources.
{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }
