VPCPoints de terminaison de ECS l'interface Amazon ()AWS PrivateLink - Amazon Elastic Container Service
Considérations Création des VPC points de terminaison pour Amazon ECSCréation d'une politique de VPC point de terminaison pour Amazon ECS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

VPCPoints de terminaison de ECS l'interface Amazon ()AWS PrivateLink

Vous pouvez améliorer votre niveau de sécurité VPC en configurant Amazon ECS pour qu'il utilise un point de VPC terminaison d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet d'accéder à Amazon en privé en ECS APIs utilisant des adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre vous VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un NAT appareil ou d'une passerelle privée virtuelle.

Pour plus d'informations sur les VPC points AWS PrivateLink de terminaison, consultez la section VPCEndpoints dans le guide de VPCl'utilisateur Amazon.

Considérations

Considérations relatives aux terminaux dans les régions introduites à compter du 23 décembre 2023

Avant de configurer les VPC points de terminaison d'interface pour AmazonECS, tenez compte des points suivants :

  • Vous devez disposer des points de terminaison spécifiques à la région VPC suivants :

    Note

    Si vous ne configurez pas tous les points de terminaison, votre trafic passera par les points de terminaison publics, et non par votre VPC point de terminaison.

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    Par exemple, la région du Canada Ouest (Calgary) (ca-west-1) a besoin des points de terminaison suivants : VPC

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • Lorsque vous utilisez un modèle pour créer AWS des ressources dans la nouvelle région et que le modèle a été copié à partir d'une région créée avant le 23 décembre 2023, en fonction de la région de copie, effectuez l'une des opérations suivantes.

    Par exemple, la région de copie est USA Est (Virginie du Nord) (us-east-1). La région de copie est Canada-Ouest (Calgary) (ca-west-1).

    Configuration Action

    La région copiée ne possède aucun VPC point de terminaison.

    Créez les trois VPC points de terminaison pour la nouvelle région (par exemple,com.amazonaws.ca-west-1.ecs-agent).

    La région copiée contient des points de terminaison spécifiques à la région. VPC

    1. Créez les trois VPC points de terminaison pour la nouvelle région (par exemple,com.amazonaws.ca-west-1.ecs-agent).

    2. Supprimez les trois VPC points de terminaison de la région de copie (par exemple,). com.amazonaws.us-east-1.ecs-agent

Considérations relatives aux ECS VPC points de terminaison Amazon pour le type de lancement Fargate

Lorsqu'il existe un VPC point de terminaison pour ecr.dkr et ecr.api dans VPC lequel une tâche Fargate est déployée, elle utilise le point de terminaison. VPC S'il n'y a pas de point de VPC terminaison, il utilisera l'interface Fargate.

Avant de configurer les VPC points de terminaison d'interface pour AmazonECS, tenez compte des points suivants :

  • Les tâches utilisant le type de lancement Fargate ne nécessitent pas les VPC points de terminaison d'interface pour ECS Amazon, mais vous pourriez avoir besoin de VPC points de terminaison d'interface pour Amazon, ECR Secrets Manager ou CloudWatch Amazon Logs décrits dans les points suivants.

    • Pour permettre à vos tâches d'extraire des images privées d'AmazonECR, vous devez créer les VPC points de terminaison de l'interface pour AmazonECR. Pour plus d'informations, consultez Interface VPC Endpoints (AWS PrivateLink) dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

      Important

      Si vous configurez Amazon ECR pour utiliser un point de VPC terminaison d'interface, vous pouvez créer un rôle d'exécution de tâches qui inclut des clés de condition pour restreindre l'accès à un point de VPC terminaison VPC ou à un point de terminaison spécifique. Pour de plus amples informations, veuillez consulter Tâches Fargate extrayant des images ECR Amazon au-delà des autorisations des points de terminaison de l'interface.

    • Pour permettre à vos tâches d'extraire des données sensibles de Secrets Manager, vous devez créer les VPC points de terminaison de l'interface de Secrets Manager. Pour plus d'informations, consultez la section Utilisation de Secrets Manager avec les VPC endpoints dans le guide de l'AWS Secrets Manager utilisateur.

    • Si vous VPC ne disposez pas d'une passerelle Internet et que vos tâches utilisent le pilote de awslogs journal pour envoyer des informations de journal à CloudWatch Logs, vous devez créer un point de VPC terminaison d'interface pour CloudWatch Logs. Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les VPC points de terminaison d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.

  • VPCles points de terminaison ne prennent actuellement pas en charge les requêtes interrégionales. Assurez-vous de créer votre point de terminaison dans la même région que celle où vous prévoyez de passer vos API appels vers AmazonECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de ECS VPC terminaison Amazon dans l'est des États-Unis (Virginie du Nord). Un point de ECS VPC terminaison Amazon créé dans une autre région ne peut pas exécuter de tâches dans l'est des États-Unis (Virginie du Nord).

  • VPCles points de terminaison ne prennent en charge que les solutions fournies par Amazon via DNS Amazon Route 53. Si vous souhaitez utiliser le vôtreDNS, vous pouvez utiliser le DNS transfert conditionnel. Pour plus d'informations, consultez la section Ensembles DHCP d'options dans le guide de VPC l'utilisateur Amazon.

  • Le groupe de sécurité attaché au VPC point de terminaison doit autoriser les connexions entrantes sur le TCP port 443 à partir du sous-réseau privé duVPC.

  • La gestion Service Connect du proxy Envoy utilise le com.amazonaws.region.ecs-agent VPC point de terminaison. Lorsque vous n'utilisez pas les VPC points de terminaison, la gestion Service Connect du proxy Envoy utilise le ecs-sc point de terminaison de cette région. Pour obtenir la liste des ECS points de terminaison Amazon dans chaque région, consultez la section ECSPoints de terminaison et quotas Amazon.

Considérations relatives aux ECS VPC points de terminaison Amazon pour le type de EC2 lancement

Avant de configurer les VPC points de terminaison d'interface pour AmazonECS, tenez compte des points suivants :

  • Les tâches utilisant le type de EC2 lancement nécessitent que les instances de conteneur sur lesquelles elles sont lancées exécutent la version 1.25.1 ou une version ultérieure de l'agent de ECS conteneur Amazon. Pour de plus amples informations, veuillez consulter Gestion des instances de conteneurs Amazon ECS Linux.

  • Pour permettre à vos tâches d'extraire des données sensibles de Secrets Manager, vous devez créer les VPC points de terminaison de l'interface de Secrets Manager. Pour plus d'informations, consultez la section Utilisation de Secrets Manager avec les VPC endpoints dans le guide de l'AWS Secrets Manager utilisateur.

  • Si vous VPC ne disposez pas d'une passerelle Internet et que vos tâches utilisent le pilote de awslogs journal pour envoyer des informations de journal à CloudWatch Logs, vous devez créer un point de VPC terminaison d'interface pour CloudWatch Logs. Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les VPC points de terminaison d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.

  • VPCles points de terminaison ne prennent actuellement pas en charge les requêtes interrégionales. Assurez-vous de créer votre point de terminaison dans la même région que celle où vous prévoyez de passer vos API appels vers AmazonECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de ECS VPC terminaison Amazon dans l'est des États-Unis (Virginie du Nord). Un point de ECS VPC terminaison Amazon créé dans une autre région ne peut pas exécuter de tâches dans l'est des États-Unis (Virginie du Nord).

  • VPCles points de terminaison ne prennent en charge que les solutions fournies par Amazon via DNS Amazon Route 53. Si vous souhaitez utiliser le vôtreDNS, vous pouvez utiliser le DNS transfert conditionnel. Pour plus d'informations, consultez la section Ensembles DHCP d'options dans le guide de VPC l'utilisateur Amazon.

  • Le groupe de sécurité attaché au VPC point de terminaison doit autoriser les connexions entrantes sur le TCP port 443 à partir du sous-réseau privé duVPC.

Création des VPC points de terminaison pour Amazon ECS

Pour créer le VPC point de terminaison pour le ECS service Amazon, utilisez la procédure Creating an Interface Endpoint du guide de l'VPCutilisateur Amazon pour créer les points de terminaison suivants. Si vous avez des instances de conteneur existantes dans votreVPC, vous devez créer les points de terminaison dans l'ordre dans lequel ils sont répertoriés. Si vous prévoyez de créer vos instances de conteneur après la création de votre VPC point de terminaison, l'ordre n'a pas d'importance.

Note

Si vous ne configurez pas tous les points de terminaison, votre trafic passera par les points de terminaison publics, et non par votre VPC point de terminaison.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Note

region représente l'identifiant de région d'une AWS région prise en charge par AmazonECS, telle que us-east-2 la région USA Est (Ohio).

Le ecs-agent point de terminaison utilise le ecs:pollAPI, et le ecs-telemetry point de terminaison utilise le ecs:poll et ecs:StartTelemetrySessionAPI.

Si vous avez des tâches existantes qui utilisent le type de EC2 lancement, une fois que vous avez créé les VPC points de terminaison, chaque instance de conteneur doit récupérer la nouvelle configuration. Pour ce faire, vous devez soit redémarrer chaque instance de conteneur, soit redémarrer l'agent de ECS conteneur Amazon sur chaque instance de conteneur. Faites ce qui suit pour redémarrer l'agent de conteneur.

Pour redémarrer l'agent de ECS conteneur Amazon

  1. Connectez-vous à votre instance de conteneur viaSSH.

  2. Arrêtez l'agent de conteneur .

    sudo docker stop ecs-agent

  3. Démarrer l'agent de conteneur.

    sudo docker start ecs-agent

Une fois que vous avez créé les VPC points de terminaison et redémarré l'agent de ECS conteneur Amazon sur chaque instance de conteneur, toutes les tâches nouvellement lancées reprennent la nouvelle configuration.

Création d'une politique de VPC point de terminaison pour Amazon ECS

Vous pouvez associer une politique de point de terminaison à votre VPC point de terminaison qui contrôle l'accès à AmazonECS. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Exemple : politique relative aux VPC terminaux pour les ECS actions Amazon

Voici un exemple de politique relative aux terminaux pour AmazonECS. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès à l'autorisation de créer et de répertorier des clusters. Les actions CreateCluster et ListClusters n'acceptent aucune ressource. La définition de ressource est donc définie sur * pour toutes les ressources. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}