Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account - Amazon Elastic Container Service
Nomi di risorse Amazon (ARNs) e IDsARNe cronologia del formato dell'ID della risorsaContainer InsightsAWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)Autorizzazione all'assegnazione di tagCronologia dell'autorizzazione all'assegnazione di tagAWS Fargate tempo di attesa per il ritiro dell'attivitàAumenta le interfacce di rete delle istanze di container LinuxMonitoraggio del runtime ( GuardDuty integrazione con Amazon) Doppio stack IPv6 VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account

Puoi accedere alle impostazioni ECS dell'account Amazon per attivare o disattivare funzionalità specifiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.

È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:

  • Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.

  • Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.

  • L'utente root o un utente con privilegi di amministratore può attivare o disattivare qualsiasi ruolo o utente specifico sull'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.

Nota

Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.

Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ciascuna impostazione dell'account.

Nome risorsa Ulteriori informazioni
containerInsights Container Insights
serviceLongArnFormat

taskLongArnFormat

containerInstanceLongArnFormat

 Nomi di risorse Amazon (ARNs) e IDs
tagResourceAuthorization Autorizzazione all'assegnazione di tag
fargateFIPSMode AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)
fargateTaskRetirementWaitPeriod AWS Fargate tempo di attesa per il ritiro dell'attività
guardDutyActivate Monitoraggio del runtime ( GuardDuty integrazione con Amazon)
dualStackIPv6 Doppio stack IPv6 VPC
awsvpcTrunking Aumenta le interfacce di rete delle istanze di container Linux

Nomi di risorse Amazon (ARNs) e IDs

Quando vengono create ECS risorse Amazon, a ciascuna risorsa vengono assegnati un Amazon Resource Name (ARN) e un identificatore di risorsa (ID) univoci. Se utilizzi uno strumento da riga di comando o Amazon ECS API per lavorare con AmazonECS, per determinati comandi IDs sono necessarie risorse ARNs o risorse. Ad esempio, se utilizzi il AWS CLI comando stop-task per interrompere un'attività, devi specificare l'attività ARN o l'ID nel comando.

Amazon ECS sta introducendo un nuovo formato per Amazon Resource Names (ARNs) e una risorsa IDs per ECS i servizi, le attività e le istanze di container Amazon. Lo stato di attivazione per ogni tipo di risorsa determina il formato Amazon Resource Name (ARN) utilizzato dalla risorsa. Devi attivare il nuovo ARN formato per utilizzare funzionalità come l'etichettatura delle risorse per quel tipo di risorsa.

Puoi attivare e disattivare il nuovo formato Amazon Resource Name (ARN) e ID della risorsa in base alla regione. Attualmente, qualsiasi nuovo account creato viene attivato di default.

Puoi attivare o disattivare il nuovo formato Amazon Resource Name (ARN) e Resource ID in qualsiasi momento. Dopo aver effettuato l'attivazione, tutte le nuove risorse che crei utilizzeranno il nuovo formato.

Nota

Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, l'attivazione o la disattivazione del nuovo formato non influirà sulla risorsa IDs esistente.

Le sezioni seguenti descrivono come stanno cambiando ARN i formati degli ID delle risorse. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Amazon Elastic Container Service FAQ.

Formato Amazon Resource Name (ARN)

Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production. In altri casi, devi specificare una risorsa utilizzando il formato Amazon Resource Name (ARN). Il nuovo ARN formato per ECS le attività, i servizi e le istanze di container di Amazon include il nome del cluster. Per informazioni sull'attivazione del nuovo ARN formato, consulta. Modifica delle impostazioni ECS dell'account Amazon

La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.

Tipo di risorsa ARN
Istanza del container

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
ECSServizio Amazon

arn:aws:ecs:region:aws_account_id:service/service-name correnti

Nuovo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
ECSAttività Amazon

arn:aws:ecs:region:aws_account_id:task/task-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Lunghezza dell'ID risorsa

Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati di Resource ID includono versioni più brevi IDs per ECS le attività di Amazon e le istanze di container. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi IDs sono in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni ECS dell'account Amazon.

Il valore predefinito è enabled.

Solo le risorse avviate dopo l'attivazione ricevono il nuovo ARN formato Resource ID. Tutte le risorse esistenti non sono interessate. Affinché ECS i servizi e le attività di Amazon passino ai nuovi formati di ID ARN e alle risorse, devi ricreare il servizio o l'attività. Per trasferire un'istanza del contenitore al nuovo ARN formato Resource ID, l'istanza del contenitore deve essere svuotata e una nuova istanza del contenitore deve essere avviata e registrata nel cluster.

Nota

Le attività avviate da un ECS servizio Amazon possono ricevere il nuovo ARN formato Resource ID solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha optato per il nuovo formato per le attività.

ARNe cronologia del formato dell'ID della risorsa

La tempistica per i periodi di opt-in e opt-out per il nuovo formato Amazon Resource Name (ARN) e Resource ID per ECS le risorse Amazon è scaduta il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.

Container Insights

Il 2 dicembre 2024, AWS ha rilasciato Container Insights con osservabilità migliorata per Amazon. ECS Questa versione supporta una migliore osservabilità per ECS i cluster Amazon utilizzando i tipi di lancio Amazon e EC2 Fargate. Dopo aver configurato Container Insights con una migliore osservabilità su AmazonECS, Container Insights raccoglie automaticamente la telemetria dettagliata dell'infrastruttura dal livello del cluster fino al livello del contenitore nel tuo ambiente e visualizza i tuoi dati in dashboard che mostrano una varietà di metriche e dimensioni. Puoi quindi utilizzare queste out-of-the-box dashboard sulla console di Container Insights per comprendere meglio lo stato e le prestazioni dei container e mitigare i problemi più rapidamente identificando le anomalie.

Ti consigliamo di utilizzare Container Insights con una migliore osservabilità anziché Container Insights perché offre una visibilità dettagliata nell'ambiente dei container, riducendo il tempo medio di risoluzione. Per ulteriori informazioni, consulta Amazon ECS Container Insights con metriche di osservabilità avanzate nella Guida per l'Amazon CloudWatch utente.

L'impostazione predefinita per l'containerInsightsaccount è. disabled

Container Insights con osservabilità migliorata

Usa il seguente comando per attivare Container Insights con una migliore osservabilità.

Imposta l'impostazione containerInsights dell'account suenhanced.

aws ecs put-account-setting --name containerInsights --value enhanced

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enhanced",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Dopo aver impostato questa impostazione dell'account, tutti i nuovi cluster utilizzano automaticamente Container Insights con una migliore osservabilità. Usa il update-cluster-settings comando per aggiungere Container Insights con osservabilità migliorata a un cluster esistente o per aggiornare un cluster da Container Insights a Container Insights con osservabilità migliorata.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enhanced

Puoi anche utilizzare la console per configurare Container Insights con una migliore osservabilità. Per ulteriori informazioni, consulta. Modifica delle impostazioni ECS dell'account Amazon

Container Insights

Quando si imposta l'impostazione dell'containerInsightsaccount suenabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. È possibile modificare i cluster esistenti utilizzando. update-cluster-settings

Per utilizzare Container Insights, imposta l'impostazione containerInsights dell'account suenabled. Usa il seguente comando per attivare Container Insights.

aws ecs put-account-setting --name containerInsights --value enabled

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Quando si imposta l'impostazione dell'containerInsightsaccount suenabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. Usa il update-cluster-settings comando per aggiungere Container Insights a un cluster esistente.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enabled

Puoi anche utilizzare la console per configurare Container Insights. Per ulteriori informazioni, consulta. Modifica delle impostazioni ECS dell'account Amazon

AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)

Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti d'America e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act FISMA () o al Federal Risk and Authorization Management Program (RAMPFed).

Il nome della risorsa è. fargateFIPSMode

Il valore predefinito è disabled.

È necessario attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Importante

L'impostazione fargateFIPSMode dell'account può essere modificata solo utilizzando Amazon ECS API o il AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni ECS dell'account Amazon.

Esegui put-account-setting-default con l'opzione fargateFIPSMode impostata su enabled. Per ulteriori informazioni, put-account-setting-defaultconsulta Amazon Elastic Container Service API Reference.

  • Puoi usare il seguente comando per attivare la conformità a FIPS -140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Output di esempio

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

È possibile eseguire l'operazione list-account-settings per visualizzare lo stato attuale di conformità a FIPS -140. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Autorizzazione all'assegnazione di tag

Amazon ECS sta introducendo l'autorizzazione all'etichettatura per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni di etichettatura per le azioni che creano la risorsa, ad esempio. ecsCreateCluster Quando create una risorsa e specificate i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vi siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default con l'opzione tagResourceAuthorization impostata su enable. Per ulteriori informazioni, put-account-setting-defaultconsulta Amazon Elastic Container Service API Reference. Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.

  • Puoi usare il seguente comando per abilitare l'autorizzazione all'etichettatura.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Output di esempio

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Dopo aver abilitato l'autorizzazione all'etichettatura, è necessario configurare le autorizzazioni appropriate per consentire agli utenti di taggare le risorse al momento della creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Cronologia dell'autorizzazione all'assegnazione di tag

Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings per visualizzare il valore di tagResourceAuthorization. Quando il valore è on, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, list-account-settingsconsulta Amazon Elastic Container Service API Reference.

Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.

  • 18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi scegliere di iniziare a utilizzare l'autorizzazione all'etichettatura. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.

  • 9 febbraio 2024 - 6 marzo 2024: per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'etichettatura per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'tagResourceAuthorizationaccount per verificare la tua politica. IAM

    AWS ha notificato gli account interessati.

    Per disabilitare la funzionalità, eseguila put-account-setting-default con l'tagResourceAuthorizationopzione impostata su. off

  • 7 marzo 2024: se hai abilitato l'autorizzazione all'etichettatura, non puoi più disabilitare l'impostazione dell'account.

    Ti consigliamo di completare i test delle IAM norme prima di questa data.

  • 29 marzo 2024: tutti gli account utilizzano l'autorizzazione all'etichettatura. L'impostazione a livello di account non sarà più disponibile nella ECS console Amazon o. AWS CLI

AWS Fargate tempo di attesa per il ritiro dell'attività

AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta Ritiro e manutenzione delle attività per AWS Fargate su Amazon ECS .

AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'ECSattività Amazon ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. Hai la possibilità di ritirare immediatamente l'attività, di attendere 7 giorni di calendario o di attendere 14 giorni di calendario.

Questa impostazione si applica a livello di account.

Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7) o 14 giorni (14).

Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.

Configura il periodo di attesa eseguendo put-account-setting-default o put-account-setting come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod per il name e l'opzione value impostata su uno dei seguenti valori:

  • 0- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate.

  • 7- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate.

  • 14: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.

L'impostazione di default è 7 giorni.

Per ulteriori informazioni, consulta put-account-setting-defaulte put-account-settingconsulta Amazon Elastic Container Service API Reference.

Puoi eseguire il comando seguente per impostare il periodo di attesa su 14 giorni.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Output di esempio

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puoi eseguire il comando list-account-settings per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Aumenta le interfacce di rete delle istanze di container Linux

Ogni ECS attività Amazon che utilizza la modalità awsvpc di rete riceve la propria interfaccia di rete elastica (ENI), che è collegata all'istanza del contenitore che la ospita. Esiste un limite predefinito al numero di interfacce di rete che possono essere collegate a un'EC2istanza Amazon e l'interfaccia di rete principale conta come una. Ad esempio, per impostazione predefinita, a un'c5.largeistanza possono essere ENIs collegate fino a tre istanze. L'interfaccia di rete principale per l'istanza conta come una sola, quindi è possibile collegarne altre due ENIs all'istanza. Perché ogni operazione che utilizza la modalità awsvpc di rete richiede un ENI, in genere è possibile eseguire solo due di queste attività su questo tipo di istanza.

Amazon ECS supporta il lancio di istanze di container con maggiori ENI densità utilizzando i tipi di EC2 istanze Amazon supportati. Quando utilizzi questi tipi di istanze e attivi l'impostazione dell'awsvpcTrunkingaccount, ne ENIs sono disponibili altre sulle istanze di container appena lanciate. Questa configurazione consente di posizionare più attività su ciascuna istanza di container.

Ad esempio, un'c5.largeistanza con awsvpcTrunking ha un valore aumentato ENI limite di dodici. L'istanza del contenitore avrà l'interfaccia di rete principale e Amazon ECS crea e collega un'interfaccia di rete «trunk» all'istanza del contenitore. Pertanto, questa configurazione consente di avviare dieci attività sull'istanza di container anziché le due attività correnti.

Monitoraggio del runtime ( GuardDuty integrazione con Amazon)

Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su Fargate EC2 e sulle istanze di container AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il Runtime Monitoring è attivato o disattivato dall'amministratore della sicurezza nel tuo account AmazonECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i ECS carichi di lavoro Amazon con Runtime Monitoring.

Puoi eseguire list-account-settings per visualizzare l'impostazione di GuardDuty integrazione corrente. 

aws ecs list-account-settings

Output di esempio

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}

Doppio stack IPv6 VPC

Amazon ECS supporta la fornitura di attività con un IPv6 indirizzo oltre all'IPv4indirizzo privato principale.

Affinché le attività ricevano un IPv6 indirizzo, l'attività deve utilizzare la modalità di awsvpc rete, deve essere avviata in una modalità VPC configurata per la modalità dual-stack e l'impostazione dell'dualStackIPv6account deve essere abilitata. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack per il tipo di EC2 lancio e Utilizzo di un VPC in modalità dual-stack per il tipo di lancio Fargate.

Importante

L'impostazione dualStackIPv6 dell'account può essere modificata solo utilizzando Amazon ECS API o il AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni ECS dell'account Amazon.

Se avevi un'attività in esecuzione utilizzando la modalità di awsvpc rete in una sottorete IPv6 abilitata tra le date del 1° ottobre 2020 e il 2 novembre 2020, l'impostazione predefinita dell'dualStackIPv6account nella regione in cui l'attività era in esecuzione èdisabled. Se tale condizione non viene soddisfatta, l'impostazione dualStackIPv6 di default nella regione è enabled.

Il valore predefinito è disabled.