Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account - Amazon Elastic Container Service
Nomi di risorse Amazon (ARNs) e IDsARNe cronologia in formato Resource IDAWS Fargate Conformità al Federal Information Processing Standard (-140) FIPSAutorizzazione all'assegnazione di tagCronologia dell'autorizzazione all'assegnazione di tagAWS Fargate tempo di attesa per il ritiro dell'attivitàMonitoraggio del runtime ( GuardDuty integrazione con Amazon)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle ECS funzionalità di Amazon con le impostazioni dell'account

Puoi accedere alle impostazioni ECS dell'account Amazon per attivare o disattivare funzionalità specifiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.

È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:

  • Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.

  • Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.

  • L'utente root o un utente con privilegi di amministratore può attivare o disattivare qualsiasi ruolo o utente specifico sull'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.

Nota

Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.

Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ciascuna impostazione dell'account.

Nomi di risorse Amazon (ARNs) e IDs

Nomi delle risorse: serviceLongArnFormat, taskLongArnFormat e containerInstanceLongArnFormat

Amazon ECS sta introducendo un nuovo formato per Amazon Resource Names (ARNs) e risorse IDs per ECS servizi, attività e istanze di container Amazon. Lo stato di attivazione per ogni tipo di risorsa determina il formato Amazon Resource Name (ARN) utilizzato dalla risorsa. Devi attivare il nuovo ARN formato per utilizzare funzionalità come l'etichettatura delle risorse per quel tipo di risorsa. Per ulteriori informazioni, consulta Nomi di risorse Amazon (ARNs) e IDs.

Il valore predefinito è enabled.

Solo le risorse avviate dopo l'attivazione ricevono il nuovo ARN formato Resource ID. Tutte le risorse esistenti non sono interessate. Affinché ECS i servizi e le attività di Amazon passino ai nuovi formati di ID ARN e alle risorse, devi ricreare il servizio o l'attività. Per trasferire un'istanza del contenitore al nuovo ARN formato Resource ID, l'istanza del contenitore deve essere svuotata e una nuova istanza del contenitore deve essere avviata e registrata nel cluster.

Nota

Le attività avviate da un ECS servizio Amazon possono ricevere il nuovo ARN formato Resource ID solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha optato per il nuovo formato per le attività.

AWSVPCtrunking

Nome risorsa: awsvpcTrunking

Amazon ECS supporta il lancio di istanze di container con una maggiore densità di elastic network interface (ENI) utilizzando tipi di EC2 istanze Amazon supportati. Quando utilizzi questi tipi di istanze e attivi l'impostazione dell'awsvpcTrunkingaccount, ne ENIs sono disponibili altre sulle istanze di container appena lanciate. Questa configurazione consente di posizionare più processi utilizzando la modalità di rete awsvpc su ogni istanza di container. Utilizzando questa funzionalità, un'c5.largeistanza awsvpcTrunking abilitata ha una ENI quota maggiore di dieci. L'istanza del contenitore ha un'interfaccia di rete principale e Amazon ECS crea e collega un'interfaccia di rete «trunk» all'istanza del contenitore. L'interfaccia di rete principale e l'interfaccia di rete trunk non rientrano nella ENI quota. Pertanto, questa configurazione consente di avviare dieci processi sull'istanza di container anziché i due processi correnti. Per ulteriori informazioni, consulta Aumento delle interfacce di rete delle istanze di container Amazon ECS Linux.

Il valore predefinito è disabled.

Solo le risorse avviate dopo l'attivazione ricevono i ENI limiti maggiorati. Tutte le risorse esistenti non sono interessate. Per trasferire un'istanza del contenitore alle ENI quote aumentate, è necessario svuotare l'istanza del contenitore e registrare una nuova istanza del contenitore nel cluster.

CloudWatch Container Insights

Nome risorsa: containerInsights

CloudWatch Container Insights raccoglie, aggrega e riepiloga metriche e log delle applicazioni e dei microservizi containerizzati. Le metriche includono l'utilizzo di risorse come memoria, disco e rete. CPU Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights. Per ulteriori informazioni, consulta Monitora ECS i contenitori Amazon utilizzando Container Insights.

Quando accetti le impostazioni containerInsights, tutti i nuovi cluster hanno Container Insights abilitato di default. Puoi disattivare questa impostazione per cluster specifici al momento della loro creazione. È inoltre possibile modificare questa impostazione utilizzando il. UpdateClusterSettings API

Per i cluster che contengono attività o servizi che utilizzano il tipo di EC2 avvio, le istanze del contenitore devono eseguire la versione 1.29.0 o successiva dell'ECSagente Amazon per utilizzare Container Insights. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux.

Il valore predefinito è disabled.

Dual-stack VPC IPv6

Nome risorsa: dualStackIPv6

Amazon ECS supporta la fornitura di attività con un IPv6 indirizzo oltre all'IPv4indirizzo privato principale.

Affinché le attività ricevano un IPv6 indirizzo, l'attività deve utilizzare la modalità di awsvpc rete, deve essere avviata in una modalità VPC configurata per la modalità dual-stack e l'impostazione dell'dualStackIPv6account deve essere abilitata. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack per il tipo di EC2 lancio e Utilizzo di una modalità dual-stack VPC per il tipo di lancio Fargate.

Importante

L'impostazione dualStackIPv6 dell'account può essere modificata solo utilizzando Amazon ECS API o il AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni ECS dell'account Amazon.

Se avevi un'attività in esecuzione utilizzando la modalità di awsvpc rete in una sottorete IPv6 abilitata tra le date del 1° ottobre 2020 e il 2 novembre 2020, l'impostazione predefinita dell'dualStackIPv6account nella regione in cui l'attività era in esecuzione èdisabled. Se tale condizione non viene soddisfatta, l'impostazione dualStackIPv6 di default nella regione è enabled.

Il valore predefinito è disabled.

Conformità Fargate -140 FIPS

Nome risorsa: fargateFIPSMode

Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act (FISMA) o al Federal Risk and Authorization Management Program (Fed). RAMP

Il valore predefinito è disabled.

È necessario attivare la conformità FIPS -140. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Importante

L'impostazione fargateFIPSMode dell'account può essere modificata solo utilizzando Amazon ECS API o il AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni ECS dell'account Amazon.

Autorizzazione della risorsa tag

Nome risorsa: tagResourceAuthorization

Alcune ECS API azioni di Amazon ti consentono di specificare i tag quando crei la risorsa.

Amazon ECS sta introducendo l'autorizzazione all'etichettatura per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni per le azioni che creano una risorsa, ad esempio. ecsCreateCluster Se i tag sono specificati nell'azione di creazione della risorsa, AWS esegue un'autorizzazione aggiuntiva sull'azione per verificare se gli utenti o i ruoli dispongono delle ecs:TagResource autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Periodo di attesa per il ritiro delle attività Fargate

Nome risorsa: fargateTaskRetirementWaitPeriod

AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'ECSattività Amazon ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. Hai la possibilità di ritirare immediatamente l'attività, di attendere 7 giorni di calendario o di attendere 14 giorni di calendario.

Questa impostazione si applica a livello di account.

Attivazione del monitoraggio del runtime

Nome risorsa: guardDutyActivate

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il Runtime Monitoring è attivato o disattivato dall'amministratore della sicurezza nel tuo account AmazonECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i ECS carichi di lavoro Amazon con Runtime Monitoring.

Argomenti

Nomi di risorse Amazon (ARNs) e IDs

Quando vengono create ECS risorse Amazon, a ciascuna risorsa vengono assegnati un Amazon Resource Name (ARN) e un identificatore di risorsa (ID) univoci. Se utilizzi uno strumento da riga di comando o Amazon ECS API per lavorare con AmazonECS, per determinati comandi IDs sono necessarie risorse ARNs o risorse. Ad esempio, se utilizzi il AWS CLI comando stop-task per interrompere un'attività, devi specificare l'attività ARN o l'ID nel comando.

Puoi attivare e disattivare il nuovo formato Amazon Resource Name (ARN) e ID della risorsa in base alla regione. Attualmente, qualsiasi nuovo account creato viene attivato di default.

Puoi attivare o disattivare il nuovo formato Amazon Resource Name (ARN) e Resource ID in qualsiasi momento. Dopo aver effettuato l'attivazione, tutte le nuove risorse che crei utilizzeranno il nuovo formato.

Nota

Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, l'attivazione o la disattivazione del nuovo formato non influirà sulla risorsa IDs esistente.

Le sezioni seguenti descrivono come stanno cambiando ARN i formati degli ID delle risorse. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Amazon Elastic Container Service FAQ.

Formato Amazon Resource Name (ARN)

Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production. In altri casi, devi specificare una risorsa utilizzando il formato Amazon Resource Name (ARN). Il nuovo ARN formato per ECS le attività, i servizi e le istanze di container di Amazon include il nome del cluster. Per informazioni sull'attivazione del nuovo ARN formato, consulta. Modifica delle impostazioni ECS dell'account Amazon

La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.

Tipo di risorsa ARN
Istanza del container

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
ECSServizio Amazon

arn:aws:ecs:region:aws_account_id:service/service-name correnti

Nuovo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
ECSAttività Amazon

arn:aws:ecs:region:aws_account_id:task/task-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Lunghezza dell'ID risorsa

Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati di Resource ID includono versioni più brevi IDs per ECS le attività di Amazon e le istanze di container. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi IDs sono in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni ECS dell'account Amazon.

ARNe cronologia in formato Resource ID

La tempistica per i periodi di opt-in e opt-out per il nuovo formato Amazon Resource Name (ARN) e Resource ID per ECS le risorse Amazon è scaduta il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.

AWS Fargate Conformità al Federal Information Processing Standard (-140) FIPS

È necessario attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Esegui put-account-setting-default con l'opzione fargateFIPSMode impostata su enabled. Per ulteriori informazioni, put-account-setting-defaultconsulta Amazon Elastic Container Service API Reference.

  • Puoi usare il seguente comando per attivare la conformità a FIPS -140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Output di esempio

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

È possibile eseguire l'operazione list-account-settings per visualizzare lo stato attuale di conformità a FIPS -140. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Autorizzazione all'assegnazione di tag

Amazon ECS sta introducendo l'autorizzazione all'etichettatura per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni di etichettatura per le azioni che creano la risorsa, ad esempio. ecsCreateCluster Quando create una risorsa e specificate i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vi siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default con l'opzione tagResourceAuthorization impostata su enable. Per ulteriori informazioni, put-account-setting-defaultconsulta Amazon Elastic Container Service API Reference. Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.

  • Puoi usare il seguente comando per abilitare l'autorizzazione all'etichettatura.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Output di esempio

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Dopo aver abilitato l'autorizzazione all'etichettatura, è necessario configurare le autorizzazioni appropriate per consentire agli utenti di taggare le risorse al momento della creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Cronologia dell'autorizzazione all'assegnazione di tag

Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings per visualizzare il valore di tagResourceAuthorization. Quando il valore è on, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, list-account-settingsconsulta Amazon Elastic Container Service API Reference.

Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.

  • 18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi scegliere di iniziare a utilizzare l'autorizzazione all'etichettatura. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.

  • 9 febbraio 2024 - 6 marzo 2024: per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'etichettatura per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'tagResourceAuthorizationaccount per verificare la tua politica. IAM

    AWS ha notificato gli account interessati.

    Per disabilitare la funzionalità, eseguila put-account-setting-default con l'tagResourceAuthorizationopzione impostata su. off

  • 7 marzo 2024: se hai abilitato l'autorizzazione all'etichettatura, non puoi più disabilitare l'impostazione dell'account.

    Ti consigliamo di completare i test delle IAM norme prima di questa data.

  • 29 marzo 2024: tutti gli account utilizzano l'autorizzazione all'etichettatura. L'impostazione a livello di account non sarà più disponibile nella ECS console Amazon o. AWS CLI

AWS Fargate tempo di attesa per il ritiro dell'attività

AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta Pensionamento e manutenzione delle attività per AWS Fargate su Amazon ECS .

Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7) o 14 giorni (14).

Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.

Configura il periodo di attesa eseguendo put-account-setting-default o put-account-setting come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod per il name e l'opzione value impostata su uno dei seguenti valori:

  • 0- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate.

  • 7- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate.

  • 14: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.

L'impostazione di default è 7 giorni.

Per ulteriori informazioni, consulta put-account-setting-defaulte put-account-settingconsulta Amazon Elastic Container Service API Reference.

Puoi eseguire il comando seguente per impostare il periodo di attesa su 14 giorni.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Output di esempio

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puoi eseguire il comando list-account-settings per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Monitoraggio del runtime ( GuardDuty integrazione con Amazon)

Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su Fargate EC2 e sulle istanze di container AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il Runtime Monitoring è attivato o disattivato dall'amministratore della sicurezza nel tuo account AmazonECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i ECS carichi di lavoro Amazon con Runtime Monitoring.

Puoi eseguire list-account-settings per visualizzare l'impostazione di GuardDuty integrazione corrente. 

aws ecs list-account-settings

Output di esempio

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}