Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses ECS fitur Amazon dengan pengaturan akun
Anda dapat masuk ke pengaturan ECS akun Amazon untuk memilih masuk atau keluar dari fitur tertentu. Untuk masing-masing Wilayah AWS, Anda dapat memilih untuk, atau memilih keluar dari, setiap pengaturan akun di tingkat akun atau untuk pengguna atau peran tertentu.
Anda mungkin ingin memilih masuk atau keluar dari fitur tertentu jika salah satu dari berikut ini relevan bagi Anda:
-
Pengguna atau peran dapat memilih atau memilih keluar dari pengaturan akun tertentu untuk akun individu mereka.
-
Pengguna atau peran dapat mengatur pengaturan opt-in atau opt-out default untuk semua pengguna di akun.
-
Pengguna root atau pengguna dengan hak administrator dapat memilih, atau memilih keluar dari, peran atau pengguna tertentu apa pun di akun. Jika pengaturan akun untuk pengguna root diubah, itu menetapkan default untuk semua pengguna dan peran yang tidak dipilih oleh pengaturan akun individual.
catatan
Pengguna federasi mengasumsikan pengaturan akun pengguna root dan tidak dapat mengatur pengaturan akun eksplisit untuk mereka secara terpisah.
Pengaturan akun berikut tersedia. Anda harus secara terpisah opt-in dan opt-out untuk setiap pengaturan akun.
| Nama sumber daya | Pelajari selengkapnya |
|---|---|
containerInsights |
Wawasan Kontainer |
serviceLongArnFormat
|
Nama Sumber Daya Amazon (ARNs) dan IDs |
tagResourceAuthorization |
Otorisasi penandaan |
fargateFIPSMode |
AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140) |
fargateTaskRetirementWaitPeriod |
AWS Fargate tugas pensiun waktu tunggu |
guardDutyActivate |
Pemantauan Runtime ( GuardDuty integrasi Amazon) |
dualStackIPv6 |
Tumpukan ganda IPv6 VPC |
awsvpcTrunking |
Meningkatkan antarmuka jaringan instance kontainer Linux |
Nama Sumber Daya Amazon (ARNs) dan IDs
Saat ECS sumber daya Amazon dibuat, setiap sumber daya diberi Nama Sumber Daya Amazon (ARN) dan pengenal sumber daya (ID) yang unik. Jika Anda menggunakan alat baris perintah atau Amazon ECS API untuk bekerja dengan AmazonECS, sumber daya ARNs atau IDs diperlukan untuk perintah tertentu. Misalnya, jika Anda menggunakan AWS CLI perintah stop-task untuk menghentikan tugas, Anda harus menentukan tugas ARN atau ID dalam perintah.
Amazon ECS memperkenalkan format baru untuk Amazon Resource Names (ARNs) dan sumber daya IDs untuk ECS layanan Amazon, tugas, dan instance container. Status keikutsertaan untuk setiap jenis sumber daya menentukan format Amazon Resource Name (ARN) yang digunakan sumber daya. Anda harus memilih ARN format baru untuk menggunakan fitur seperti penandaan sumber daya untuk jenis sumber daya tersebut.
Anda dapat memilih dan memilih keluar dari Amazon Resource Name (ARN) dan format ID sumber daya baru berdasarkan per wilayah. Saat ini, setiap akun baru yang dibuat akan disertakan secara default.
Anda dapat memilih atau memilih keluar dari Amazon Resource Name (ARN) dan format ID sumber daya baru kapan saja. Setelah Anda ikut serta, sumber daya baru apa pun yang Anda buat menggunakan format baru.
catatan
ID sumber daya tidak berubah setelah dibuat. Oleh karena itu, memilih masuk atau keluar dari format baru tidak memengaruhi sumber daya IDs yang ada.
Bagian berikut menjelaskan bagaimana ARN dan format ID sumber daya berubah. Untuk informasi selengkapnya tentang transisi ke format baru, lihat Amazon Elastic Container Service FAQ
Format Nama Sumber Daya Amazon (ARN)
Beberapa sumber daya memiliki nama yang mudah digunakan, seperti layanan bernama production. Dalam kasus lain, Anda harus menentukan sumber daya menggunakan format Amazon Resource Name (ARN). ARNFormat baru untuk ECS tugas, layanan, dan instans penampung Amazon menyertakan nama cluster. Untuk informasi tentang memilih ARN format baru, lihatMemodifikasi pengaturan ECS akun Amazon.
Tabel berikut menunjukkan format saat ini dan format baru untuk setiap jenis sumber daya.
| Jenis sumber daya | ARN |
|---|---|
| Instans kontainer |
Saat ini: Baru: |
| ECSLayanan Amazon |
Saat ini: Baru: |
| ECSTugas Amazon |
Saat ini: Baru: |
Panjang ID Sumber Daya
ID sumber daya berisi kombinasi unik dari huruf dan angka. Format ID sumber daya baru mencakup lebih pendek IDs untuk ECS tugas Amazon dan instance penampung. Format ID sumber daya saat ini adalah 36 karakter. Yang baru IDs dalam format 32 karakter yang tidak menyertakan tanda hubung apa pun. Untuk informasi lebih lanjut tentang memilih format ID sumber daya baru, lihat Memodifikasi pengaturan ECS akun Amazon.
Default-nya adalah enabled.
Hanya sumber daya yang diluncurkan setelah memilih untuk menerima format ID baru ARN dan sumber daya. Semua sumber daya yang ada tidak terpengaruh. Agar ECS layanan dan tugas Amazon dapat beralih ke format ID baru ARN dan sumber daya, Anda harus membuat ulang layanan atau tugas. Untuk mentransisikan instance container ke format ID baru ARN dan resource, instance container harus dikeringkan dan instance container baru harus diluncurkan dan didaftarkan ke cluster.
catatan
Tugas yang diluncurkan oleh ECS layanan Amazon hanya dapat menerima format ID baru ARN dan sumber daya jika layanan dibuat pada atau setelah 16 November 2018, dan pengguna yang membuat layanan telah memilih format baru untuk tugas.
ARNdan garis waktu format ID sumber daya
Garis waktu untuk periode opt-in dan opt-out untuk Amazon Resource Name (ARN) baru dan format ID sumber daya untuk sumber ECS daya Amazon berakhir pada 1 April 2021. Secara default, semua akun dipilih ke format baru. Semua sumber daya baru yang dibuat menerima format baru, dan Anda tidak dapat lagi memilih keluar.
Wawasan Kontainer
Pada 2 Desember 2024, AWS merilis Container Insights dengan peningkatan observabilitas untuk Amazon. ECS Versi ini mendukung peningkatan observabilitas untuk ECS klaster Amazon menggunakan jenis peluncuran Amazon dan EC2 Fargate. Setelah mengonfigurasi Wawasan Kontainer dengan kemampuan observasi yang disempurnakan di AmazonECS, Container Insights secara otomatis mengumpulkan telemetri infrastruktur terperinci dari tingkat cluster hingga tingkat penampung di lingkungan Anda dan menampilkan data Anda di dasbor yang menampilkan berbagai metrik dan dimensi. Anda kemudian dapat menggunakan out-of-the-box dasbor ini di konsol Container Insights untuk lebih memahami kesehatan dan kinerja container Anda, dan untuk mengurangi masalah lebih cepat dengan mengidentifikasi anomali.
Kami menyarankan Anda menggunakan Wawasan Kontainer dengan observabilitas yang ditingkatkan, bukan Wawasan Kontainer karena ini memberikan visibilitas mendetail di lingkungan penampung Anda, sehingga mengurangi waktu rata-rata untuk resolusi. Untuk informasi selengkapnya, lihat Amazon ECS Container Insights dengan metrik observabilitas yang disempurnakan di Panduan Pengguna.Amazon CloudWatch
Default untuk pengaturan containerInsights akun adalahdisabled.
Wawasan Kontainer dengan kemampuan observasi yang ditingkatkan
Gunakan perintah berikut untuk mengaktifkan Container Insights dengan observabilitas yang ditingkatkan.
Atur pengaturan containerInsights akun keenhanced.
aws ecs put-account-setting --name containerInsights --value enhanced
Contoh Output
{
"setting": {
"name": "containerInsights",
"value": "enhanced",
"principalArn": "arn:aws:iam::123456789012:johndoe",
"type": user
}
}Setelah Anda menetapkan setelan akun ini, semua cluster baru secara otomatis menggunakan Wawasan Kontainer dengan kemampuan observasi yang ditingkatkan. Gunakan update-cluster-settings perintah untuk menambahkan Wawasan Kontainer dengan kemampuan observasi yang ditingkatkan ke klaster yang ada, atau untuk memutakhirkan klaster dari Container Insights ke Container Insights dengan peningkatan observabilitas.
aws ecs update-cluster-settings --clustercluster-name--settings name=containerInsights,value=enhanced
Anda juga dapat menggunakan konsol untuk mengonfigurasi Wawasan Kontainer dengan kemampuan observasi yang ditingkatkan. Untuk informasi lebih lanjut, lihat. Memodifikasi pengaturan ECS akun Amazon
Wawasan Kontainer
Saat Anda menyetel setelan containerInsights akunenabled, semua cluster baru mengaktifkan Wawasan Kontainer secara default. Anda dapat memodifikasi cluster yang ada dengan menggunakanupdate-cluster-settings.
Untuk menggunakan Wawasan Kontainer, setel setelan containerInsights akun keenabled. Gunakan perintah berikut untuk mengaktifkan Wawasan Kontainer.
aws ecs put-account-setting --name containerInsights --value enabled
Contoh Output
{
"setting": {
"name": "containerInsights",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:johndoe",
"type": user
}
}Saat Anda menyetel setelan containerInsights akunenabled, semua cluster baru mengaktifkan Wawasan Kontainer secara default. Gunakan update-cluster-settings perintah untuk menambahkan Wawasan Kontainer ke cluster yang ada.
aws ecs update-cluster-settings --clustercluster-name--settings name=containerInsights,value=enabled
Anda juga dapat menggunakan konsol untuk mengonfigurasi Wawasan Kontainer. Untuk informasi lebih lanjut, lihat. Memodifikasi pengaturan ECS akun Amazon
AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140)
Fargate mendukung Federal Information Processing Standard (FIPS-140) yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Ini adalah standar pemerintah Amerika Serikat dan Kanada saat ini, dan berlaku untuk sistem yang harus mematuhi Undang-Undang Manajemen Keamanan Informasi Federal FISMA () atau Program Manajemen Risiko dan Otorisasi Federal (RAMPFed).
Nama sumber daya adalahfargateFIPSMode.
Default-nya adalah disabled.
Anda harus mengaktifkan kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140) pada Fargate. Untuk informasi selengkapnya, lihat AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140).
penting
Pengaturan fargateFIPSMode akun hanya dapat diubah menggunakan Amazon ECS API atau AWS CLI. Untuk informasi selengkapnya, lihat Memodifikasi pengaturan ECS akun Amazon.
Jalankan put-account-setting-default dengan fargateFIPSMode opsi yang disetel keenabled. Untuk informasi selengkapnya, lihat, put-account-setting-defaultdi APIReferensi Layanan Amazon Elastic Container.
-
Anda dapat menggunakan perintah berikut untuk mengaktifkan kepatuhan FIPS -140.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabledContoh Output
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Anda dapat menjalankan list-account-settings untuk melihat status kepatuhan FIPS -140 saat ini. Gunakan effective-settings opsi untuk melihat pengaturan tingkat akun.
aws ecs list-account-settings --effective-settings
Otorisasi penandaan
Amazon ECS memperkenalkan otorisasi penandaan untuk pembuatan sumber daya. Pengguna harus memiliki izin penandaan untuk tindakan yang membuat sumber daya, seperti. ecsCreateCluster Saat Anda membuat sumber daya dan menentukan tag untuk sumber daya tersebut, AWS lakukan otorisasi tambahan untuk memverifikasi bahwa ada izin untuk membuat tag. Oleh karena itu, Anda harus memberikan izin eksplisit untuk menggunakan tindakan. ecs:TagResource Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya pada pembuatan.
Untuk ikut serta dalam menandai otorisasi, jalankan put-account-setting-default dengan tagResourceAuthorization opsi yang disetel ke. enable Untuk informasi selengkapnya, lihat, put-account-setting-defaultdi APIReferensi Layanan Amazon Elastic Container. Anda dapat menjalankan list-account-settings untuk melihat status otorisasi penandaan saat ini.
-
Anda dapat menggunakan perintah berikut untuk mengaktifkan otorisasi penandaan.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --regionregionContoh Output
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Setelah mengaktifkan otorisasi penandaan, Anda harus mengonfigurasi izin yang sesuai untuk memungkinkan pengguna menandai sumber daya saat pembuatan. Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya pada pembuatan.
Anda dapat menjalankan list-account-settings untuk melihat status otorisasi penandaan saat ini. Gunakan effective-settings opsi untuk melihat pengaturan tingkat akun.
aws ecs list-account-settings --effective-settings
Menandai garis waktu otorisasi
Anda dapat mengonfirmasi apakah otorisasi penandaan aktif dengan menjalankan list-account-settings untuk melihat nilainya. tagResourceAuthorization Ketika nilainyaon, itu berarti otorisasi penandaan sedang digunakan. Untuk informasi selengkapnya, lihat, list-account-settingsdi APIReferensi Layanan Amazon Elastic Container.
Berikut ini adalah tanggal-tanggal penting yang terkait dengan otorisasi penandaan.
-
18 April 2023 - Otorisasi penandaan diperkenalkan. Semua akun baru dan yang sudah ada harus ikut serta untuk menggunakan fitur ini. Anda dapat memilih untuk mulai menggunakan otorisasi penandaan. Dengan ikut serta, Anda harus memberikan izin yang sesuai.
-
9 Februari 2024 - 6 Maret 2024 - Semua akun baru dan akun yang ada yang tidak terkena dampak telah mengaktifkan otorisasi penandaan secara default. Anda dapat mengaktifkan atau menonaktifkan pengaturan
tagResourceAuthorizationakun untuk memverifikasi IAM kebijakan Anda.AWS telah memberi tahu akun yang terkena dampak.
Untuk menonaktifkan fitur, jalankan
put-account-setting-defaultdengantagResourceAuthorizationopsi yang disetel keoff. -
7 Maret 2024 - Jika Anda telah mengaktifkan otorisasi penandaan, Anda tidak dapat lagi menonaktifkan pengaturan akun.
Kami menyarankan Anda menyelesaikan pengujian IAM kebijakan Anda sebelum tanggal ini.
-
29 Maret 2024 - Semua akun menggunakan otorisasi penandaan. Pengaturan tingkat akun tidak akan lagi tersedia di ECS konsol Amazon atau. AWS CLI
AWS Fargate tugas pensiun waktu tunggu
AWS mengirimkan pemberitahuan ketika Anda memiliki tugas Fargate yang berjalan pada revisi versi platform yang ditandai untuk pensiun. Untuk informasi selengkapnya, lihat Pensiun tugas dan pemeliharaan untuk AWS Fargate di Amazon ECS .
AWS bertanggung jawab untuk menambal dan memelihara infrastruktur yang mendasari AWS Fargate. Saat AWS menentukan bahwa pembaruan keamanan atau infrastruktur diperlukan untuk ECS tugas Amazon yang dihosting di Fargate, tugas harus dihentikan dan tugas baru diluncurkan untuk menggantikannya. Anda dapat mengonfigurasi periode tunggu sebelum tugas dihentikan untuk ditambal. Anda memiliki opsi untuk segera menghentikan tugas, menunggu 7 hari kalender, atau menunggu 14 hari kalender.
Pengaturan ini ada di tingkat akun.
Anda dapat mengkonfigurasi waktu Fargate memulai tugas pensiun. Untuk beban kerja yang memerlukan aplikasi pembaruan segera, pilih pengaturan langsung (0). Ketika Anda membutuhkan kontrol lebih, misalnya, ketika tugas hanya dapat dihentikan selama jendela tertentu, konfigurasikan opsi 7 hari (7), atau 14 hari (14).
Kami menyarankan Anda memilih masa tunggu yang lebih pendek untuk mengambil revisi versi platform yang lebih baru lebih cepat.
Konfigurasikan periode tunggu dengan menjalankan put-account-setting-default atau put-account-setting sebagai pengguna root atau pengguna administratif. Gunakan fargateTaskRetirementWaitPeriod opsi untuk name dan value opsi yang disetel ke salah satu nilai berikut:
-
0- AWS mengirim pemberitahuan, dan segera mulai pensiun tugas yang terpengaruh. -
7- AWS mengirim pemberitahuan, dan menunggu 7 hari kalender sebelum mulai pensiun tugas yang terpengaruh. -
14- AWS mengirim pemberitahuan, dan menunggu 14 hari kalender sebelum mulai pensiun tugas yang terpengaruh.
Defaultnya adalah 7 hari.
Untuk informasi selengkapnya, lihat, put-account-setting-defaultdan put-account-settingdi APIReferensi Layanan Amazon Elastic Container.
Anda dapat menjalankan perintah berikut untuk mengatur periode tunggu menjadi 14 hari.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
Contoh Output
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}Anda dapat menjalankan list-account-settings untuk melihat waktu tunggu pensiun tugas Fargate saat ini. Gunakan effective-settings opsi.
aws ecs list-account-settings --effective-settings
Meningkatkan antarmuka jaringan instance kontainer Linux
Setiap ECS tugas Amazon yang menggunakan mode awsvpc jaringan menerima elastic network interface sendiri (ENI), yang dilampirkan ke instance kontainer yang menampungnya. Ada batas default untuk jumlah antarmuka jaringan yang dapat dilampirkan ke EC2 instance Amazon, dan antarmuka jaringan utama dihitung sebagai satu. Misalnya, secara default sebuah c5.large instance mungkin memiliki hingga tiga yang ENIs melekat padanya. Antarmuka jaringan utama untuk instance dihitung sebagai satu, sehingga Anda dapat melampirkan dua tambahan ENIs ke instance. Karena setiap tugas yang menggunakan mode awsvpc jaringan memerlukan ENI, Anda biasanya hanya dapat menjalankan dua tugas seperti itu pada jenis instance ini.
Amazon ECS mendukung peluncuran instans kontainer dengan peningkatan ENI kepadatan menggunakan jenis EC2 instans Amazon yang didukung. Saat Anda menggunakan jenis instans ini dan mengaktifkan setelan awsvpcTrunking akun, tambahan ENIs tersedia pada instance container yang baru diluncurkan. Konfigurasi ini memungkinkan Anda untuk menempatkan lebih banyak tugas pada setiap instance kontainer.
Misalnya, sebuah c5.large instance dengan awsvpcTrunking memiliki peningkatan ENI batas dua belas. Instance container akan memiliki antarmuka jaringan utama dan Amazon ECS membuat dan melampirkan antarmuka jaringan “trunk” ke instance container. Jadi, konfigurasi ini mengizinkan Anda meluncurkan sepuluh tugas pada instans kontainer, tidak hanya dua tugas seperti saat ini.
Pemantauan Runtime ( GuardDuty integrasi Amazon)
Runtime Monitoring adalah layanan deteksi ancaman cerdas yang melindungi beban kerja yang berjalan di Fargate dan instance EC2 container dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah.
guardDutyActivateParameter ini hanya-baca di Amazon ECS dan menunjukkan apakah Runtime Monitoring diaktifkan atau dimatikan oleh administrator keamanan Anda di akun Amazon Anda. ECS GuardDuty mengontrol pengaturan akun ini atas nama Anda. Untuk informasi selengkapnya, lihat Melindungi ECS beban kerja Amazon dengan Runtime Monitoring.
Anda dapat menjalankan list-account-settings untuk melihat pengaturan GuardDuty integrasi saat ini.
aws ecs list-account-settings
Contoh Output
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}Tumpukan ganda IPv6 VPC
Amazon ECS mendukung penyediaan tugas dengan IPv6 alamat selain IPv4 alamat pribadi utama.
Agar tugas menerima IPv6 alamat, tugas harus menggunakan mode awsvpc jaringan, harus diluncurkan dalam VPC konfigurasi untuk mode dual-stack, dan pengaturan dualStackIPv6 akun harus diaktifkan. Untuk informasi selengkapnya tentang persyaratan lain, lihat Menggunakan mode VPC dual-stack untuk jenis EC2 peluncuran dan Menggunakan mode VPC dual-stack untuk jenis peluncuran Fargate.
penting
Pengaturan dualStackIPv6 akun hanya dapat diubah menggunakan Amazon ECS API atau AWS CLI. Untuk informasi selengkapnya, lihat Memodifikasi pengaturan ECS akun Amazon.
Jika Anda memiliki tugas yang berjalan menggunakan mode awsvpc jaringan di subnet yang IPv6 diaktifkan antara tanggal 1 Oktober 2020 dan 2 November 2020, pengaturan dualStackIPv6 akun default di Wilayah tempat tugas dijalankan adalahdisabled. Jika kondisi tersebut tidak terpenuhi, dualStackIPv6 pengaturan default di Wilayah adalahenabled.
Default-nya adalah disabled.
