Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Titik akhir VPC antarmuka Amazon ECS ()AWS PrivateLink
Anda dapat meningkatkan postur keamanan VPC Anda dengan mengonfigurasi Amazon ECS untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon ECS secara pribadi APIs dengan menggunakan alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan sebuah gateway internet, perangkat NAT, atau gateway privat virtual.
*Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat titik [akhir VPC di](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints) Panduan Pengguna Amazon VPC.*
## Pertimbangan-pertimbangan
### Pertimbangan untuk titik akhir di Wilayah diperkenalkan mulai 23 Desember 2023
Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:
+ Anda harus memiliki titik akhir VPC khusus Wilayah berikut:
**catatan**
Jika Anda tidak mengonfigurasi semua titik akhir, lalu lintas Anda akan melewati titik akhir publik, bukan titik akhir VPC Anda.
+ `com.amazonaws.region.ecs-agent`
+ `com.amazonaws.region.ecs-telemetry`
+ `com.amazonaws.region.ecs`
Misalnya, Wilayah Kanada Barat (Calgary) (ca-west-1) membutuhkan titik akhir VPC berikut:
+ `com.amazonaws.ca-west-1.ecs-agent`
+ `com.amazonaws.ca-west-1.ecs-telemetry`
+ `com.amazonaws.ca-west-1.ecs`
+ Saat Anda menggunakan templat untuk membuat AWS sumber daya di Wilayah baru dan templat disalin dari Wilayah yang diperkenalkan sebelum 23 Desember 2023, tergantung pada salinan-dari Wilayah, lakukan salah satu operasi berikut.
Misalnya, copy-from Region adalah US East (Virginia N.) (us-east-1). Wilayah copy-to adalah Kanada Barat (Calgary) (ca-west-1).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonECS/latest/developerguide/vpc-endpoints.html)
### Pertimbangan untuk titik akhir Amazon ECS VPC untuk Fargate
Ketika ada titik akhir VPC untuk `ecr.dkr` dan `ecr.api` di VPC yang sama di mana tugas Fargate diterapkan, itu akan menggunakan titik akhir VPC. Jika tidak ada titik akhir VPC, itu akan menggunakan antarmuka Fargate.
Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:
+ Tugas yang menggunakan Fargate tidak memerlukan titik akhir VPC antarmuka untuk Amazon ECS, tetapi Anda mungkin memerlukan titik akhir VPC antarmuka untuk Amazon ECR, Secrets Manager, atau Amazon Logs yang dijelaskan dalam poin berikut. CloudWatch
+ Untuk memungkinkan tugas Anda menarik gambar pribadi dari Amazon ECR, Anda harus membuat titik akhir VPC antarmuka untuk Amazon ECR. Untuk informasi selengkapnya, lihat [Antarmuka VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) di Panduan Pengguna *Amazon Elastic Container Registry*.
**penting**
Jika Anda mengonfigurasi Amazon ECR untuk menggunakan titik akhir VPC antarmuka, Anda dapat membuat peran eksekusi tugas yang menyertakan kunci kondisi untuk membatasi akses ke titik akhir VPC atau VPC tertentu. Untuk informasi selengkapnya, lihat [Tugas Fargate menarik gambar Amazon ECR melalui izin titik akhir antarmuka](task_execution_IAM_role.md#task-execution-ecr-conditionkeys).
Jika tugas Anda berada dalam konfigurasi IPv6 -only dan menggunakan URI image dualstack Amazon ECR, perhatikan bahwa Amazon ECR tidak mendukung titik akhir VPC antarmuka dualstack. Untuk informasi selengkapnya, lihat [Memulai membuat permintaan IPv6 di](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) *Panduan Pengguna Amazon Elastic Container Registry*.
+ Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat [Menggunakan Secrets Manager dengan VPC Endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) dalam *Panduan Pengguna AWS Secrets Manager *.
+ Jika VPC Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver `awslogs` log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Pengguna *Amazon CloudWatch Logs*.
+ VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di US East (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).
+ Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat [Pengaturan DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dalam *Panduan Pengguna Amazon VPC*.
+ Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.
+ Manajemen Service Connect dari proxy Envoy menggunakan titik akhir VPC`com.amazonaws.region.ecs-agent`. Bila Anda tidak menggunakan endpoint VPC, manajemen Service Connect dari proxy Envoy menggunakan endpoint di Region tersebut`ecs-sc`. Untuk daftar titik akhir Amazon ECS di setiap Wilayah, lihat titik akhir dan kuota [Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html).
### Pertimbangan untuk titik akhir Amazon ECS VPC untuk EC2
Sebelum Anda mengatur titik akhir VPC antarmuka untuk Amazon ECS, perhatikan pertimbangan berikut:
+ Tugas yang menggunakan EC2 mengharuskan instans penampung yang diluncurkan untuk menjalankan versi `1.25.1` atau yang lebih baru dari agen penampung Amazon ECS. Untuk informasi selengkapnya, lihat [Manajemen instans penampung Amazon ECS Linux](manage-linux.md).
+ Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat titik akhir VPC antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat [Menggunakan Secrets Manager dengan VPC Endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) dalam *Panduan Pengguna AWS Secrets Manager *.
+ Jika VPC Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver `awslogs` log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Pengguna *Amazon CloudWatch Logs*.
+ VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke Amazon ECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat titik akhir Amazon ECS VPC di US East (Virginia N.). Titik akhir VPC Amazon ECS yang dibuat di Wilayah lain mana pun tidak dapat menjalankan tugas di AS Timur (Virginia Utara).
+ Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat [Pengaturan DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dalam *Panduan Pengguna Amazon VPC*.
+ Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port TCP 443 dari subnet pribadi VPC.
## Memahami pola penamaan titik akhir Amazon ECS
Penting untuk dipahami bahwa agen Amazon ECS dapat mengajukan permintaan ke titik akhir dengan sufiks bernomor, seperti:
+ `ecs-a-1.region.amazonaws.com`,`ecs-a-2.region.amazonaws.com`, dll. untuk titik akhir agen
+ `ecs-t-1.region.amazonaws.com`,`ecs-t-2.region.amazonaws.com`, dll. untuk titik akhir telemetri
Perilaku ini terjadi karena agen Amazon ECS menggunakan [DiscoverPollEndpoint](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DiscoverPollEndpoint.html)API untuk secara dinamis menentukan titik akhir spesifik mana yang akan disambungkan. Jika titik akhir VPC Anda tidak menangani variasi titik akhir bernomor ini dengan benar, agen akan kembali menggunakan titik akhir publik, bahkan jika Anda telah mengonfigurasi titik akhir VPC untuk nama dasar.
### Peran DiscoverPollEndpoint API
[DiscoverPollEndpoint](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DiscoverPollEndpoint.html)API digunakan oleh agen Amazon ECS untuk menemukan titik akhir yang sesuai untuk polling untuk tugas. Ketika agen memanggil API ini, ia menerima URL titik akhir tertentu yang mungkin menyertakan akhiran bernomor. Untuk memastikan titik akhir VPC Anda berfungsi dengan benar, konfigurasi jaringan Anda harus mengizinkan agen untuk:
1. Akses DiscoverPollEndpoint API
1. Connect ke endpoint yang dikembalikan URLs, termasuk yang memiliki sufiks bernomor
Jika Anda memecahkan masalah konektivitas titik akhir VPC, verifikasi bahwa agen Anda dapat mencapai titik akhir dasar dan variasi bernomor apa pun yang mungkin dikembalikan oleh API. DiscoverPollEndpoint
## Membuat Endpoint VPC untuk Amazon ECS
Untuk membuat titik akhir VPC untuk layanan Amazon ECS, gunakan [prosedur Access an AWS service menggunakan antarmuka VPC endpoint di Panduan Pengguna Amazon *VPC*](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) untuk membuat titik akhir berikut. Jika Anda memiliki instans kontainer yang berada dalam VPC Anda, Anda harus membuat titik akhir dalam urutan terdaftar mereka. Urutan langkah tidak membuat masalah jika Anda berencana untuk membuat VPC endpoint terlebih dahulu kemudian instans kontainer Anda.
**catatan**
Jika Anda tidak mengonfigurasi semua titik akhir, lalu lintas Anda akan melewati titik akhir publik, bukan titik akhir VPC Anda.
Saat Anda membuat titik akhir, Amazon ECS juga membuat nama DNS pribadi untuk titik akhir. Misalnya, untuk ecs-agent dan `ecs-a.region.amazonaws.com` `ecs-t.region.amazonaws.com` untuk ecs-telemetri.
+ `com.amazonaws.region.ecs-agent`
+ `com.amazonaws.region.ecs-telemetry`
+ `com.amazonaws.region.ecs`
**catatan**
*region*mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh Amazon ECS, seperti `us-east-2` untuk Wilayah AS Timur (Ohio).
`ecs-agent`Titik akhir menggunakan `ecs:poll` API, dan `ecs-telemetry` titik akhir menggunakan API `ecs:poll` dan`ecs:StartTelemetrySession`.
Jika Anda memiliki tugas yang ada yang menggunakan tipe peluncuran EC2, setelah Anda membuat titik akhir VPC, setiap instance container perlu mengambil konfigurasi baru. Agar hal ini terjadi, Anda harus me-reboot setiap instance kontainer atau memulai ulang agen penampung Amazon ECS pada setiap instance container. Untuk memulai ulang agen kontainer, lakukan hal berikut.
**Untuk memulai ulang agen kontainer Amazon ECS**
1. Masuk ke instans kontainer Anda melalui SSH.
1. Hentikan kontainer agen.
```
sudo docker stop ecs-agent
```
1. Mulai kontainer agen.
```
sudo docker start ecs-agent
```
Setelah Anda membuat titik akhir VPC dan memulai ulang agen penampung Amazon ECS di setiap instance container, semua tugas yang baru diluncurkan akan mengambil konfigurasi baru.
## Membuat kebijakan titik akhir VPC untuk Amazon ECS
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Amazon ECS. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon ECS**
Berikut ini adalah contoh kebijakan endpoint untuk Amazon ECS. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke izin untuk membuat dan mencantumkan klaster. `ListClusters`Tindakan `CreateCluster` dan tidak menerima sumber daya apa pun, sehingga definisi sumber daya diatur ke\$1 untuk semua sumber daya.
```
{
"Statement":[
{
"Principal":"*",
"Effect": "Allow",
"Action": [
"ecs:CreateCluster",
"ecs:ListClusters"
],
"Resource": [
"*"
]
}
]
}
```