Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Endpoint VPC dell'interfaccia di Amazon ECS (AWS PrivateLink)
Puoi migliorare la posizione di sicurezza del VPC configurando Amazon ECS in modo che utilizzi un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ad Amazon ECS APIs utilizzando indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale.
Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoint VPC nella Amazon VPC User Guide.
Considerazioni
Le considerazioni relative agli endpoint nelle regioni sono state introdotte a partire dal 23 dicembre 2023
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
È necessario disporre dei seguenti endpoint VPC specifici della regione:
Nota
Se non configuri tutti gli endpoint, il traffico passerà agli endpoint pubblici, non all'endpoint VPC.
-
com.amazonaws.
region
.ecs-agent -
com.amazonaws.
region
.ecs-telemetry -
com.amazonaws.
region
.ecs
Ad esempio, la regione Canada occidentale (Calgary) (ca-west-1) necessita dei seguenti endpoint VPC:
-
com.amazonaws.ca-west-1.ecs-agent
-
com.amazonaws.ca-west-1.ecs-telemetry
-
com.amazonaws.ca-west-1.ecs
-
-
Se utilizzi un modello per creare AWS risorse nella nuova regione e il modello è stato copiato da una regione introdotta prima del 23 dicembre 2023, a seconda della regione di origine, esegui una delle seguenti operazioni.
Ad esempio, la regione del mittente è Stati Uniti orientali (Virginia settentrionale) (us-east-1). La regione da copiare è Canada occidentale (Calgary) (ca-west-1).
Configurazione Azione La regione da cui è stata copiata non è presente alcun endpoint VPC.
Crea tutti e tre gli endpoint VPC per la nuova regione (ad esempio,).
com.amazonaws.ca-west-1.ecs-agent
La regione copiata contiene endpoint VPC specifici della regione.
-
Crea tutti e tre gli endpoint VPC per la nuova regione (ad esempio,).
com.amazonaws.ca-west-1.ecs-agent
-
Elimina tutti e tre gli endpoint VPC per la regione di origine della copia (ad esempio,).
com.amazonaws.us-east-1.ecs-agent
-
Considerazioni sugli endpoint VPC di Amazon ECS per il tipo di avvio Fargate
Quando è presente un endpoint VPC per ecr.dkr
e nello stesso VPC ecr.api
in cui viene distribuita un'attività Fargate, utilizzerà l'endpoint VPC. Se non è presente un endpoint VPC, utilizzerà l'interfaccia Fargate.
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
Le attività che utilizzano il tipo di avvio Fargate non richiedono l'interfaccia VPC endpoint per Amazon ECS, ma potrebbero essere necessari endpoint VPC di interfaccia per Amazon ECR, Secrets Manager o Amazon Logs descritti nei punti seguenti. CloudWatch
-
Per consentire ai processi di estrarre immagini private da Amazon ECR, è necessario creare gli endpoint VPC di interfaccia per Amazon ECR. Per ulteriori informazioni, consulta Endpoint VPC dell'interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.
Importante
Se configuri Amazon ECR per utilizzare un endpoint VPC dell'interfaccia, puoi creare un ruolo di esecuzione delle attività che include chiavi di condizione per limitare l'accesso a un VPC o endpoint VPC specifico. Per ulteriori informazioni, consulta Fargate esegue le attività di estrazione delle immagini Amazon ECR tramite le autorizzazioni degli endpoint dell'interfaccia.
-
Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di AWS Secrets Manager .
-
Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di
awslogs
registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide.
-
-
Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).
-
Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.
-
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
-
La gestione Service Connect del proxy Envoy utilizza l'endpoint VPC
com.amazonaws.
. Quando non utilizzi gli endpoint VPC, la gestione Service Connect del proxy Envoy utilizza l'endpointregion
.ecs-agentecs-sc
in quella determinata Regione. Per un elenco degli endpoint Amazon ECS in ciascuna Regione, consulta Endpoint e quote Amazon ECS.
Considerazioni sugli endpoint VPC di Amazon ECS per il tipo di lancio EC2
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
-
Le attività che utilizzano il tipo di EC2 avvio richiedono che le istanze del contenitore su cui vengono avviate eseguano una versione
1.25.1
o successiva dell'agente container Amazon ECS. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux. -
Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di Secrets Manager con endpoint VPC nella Guida per l'utente di AWS Secrets Manager .
-
Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di
awslogs
registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella CloudWatch Amazon Logs User Guide. -
Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC Amazon ECS creato in qualsiasi altra regione non può eseguire attività negli Stati Uniti orientali (Virginia settentrionale).
-
Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.
-
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
Creazione di endpoint VPC per Amazon ECS
Per creare l'endpoint VPC per il servizio Amazon ECS, utilizza la procedura Access an AWS service using an interface VPC endpoint nella Amazon VPC User Guide per creare i seguenti endpoint. Se sono presenti istanze di container all'interno del VPC, è necessario creare gli endpoint nell'ordine in cui sono elencati. Se intendi creare le istanze di container dopo la creazione dell'endpoint VPC, l'ordine non ha importanza.
Nota
Se non configuri tutti gli endpoint, il traffico passerà agli endpoint pubblici, non all'endpoint VPC.
Quando crei endpoint, Amazon ECS crea anche un nome DNS privato per l'endpoint. Ad esempio, per ecs-agent e ecs-a.region.amazonaws.com
per ecs-telemetry. ecs-t.region.amazonaws.com
-
com.amazonaws.
region
.ecs-agent -
com.amazonaws.
region
.ecs-telemetry -
com.amazonaws.
region
.ecs
Nota
region
rappresenta l'identificatore della regione per una AWS
regione supportata da Amazon ECS, ad esempio us-east-2
per la regione Stati Uniti orientali (Ohio).
L'ecs-agent
endpoint utilizza l'ecs:poll
API e l'ecs-telemetry
endpoint utilizza l'API and. ecs:poll
ecs:StartTelemetrySession
Se hai attività esistenti che utilizzano il tipo di EC2 avvio, dopo aver creato gli endpoint VPC, ogni istanza del contenitore deve acquisire la nuova configurazione. Perché ciò accada, è necessario riavviare ogni istanza di container o riavviare l'agente del container Amazon ECS in ogni istanza di container. Per riavviare l'agente container, effettua le seguenti operazioni.
Come riavviare l'agente del container di Amazon ECS
-
Accedi alla tua istanza di container con SSH.
-
Arresta l'agente del container di .
sudo docker stop ecs-agent
-
Avvia l'agente container.
sudo docker start ecs-agent
Dopo aver creato gli endpoint VPC e riavviato l'agente del container di Amazon ECS in ogni istanza di container, tutte le attività appena avviate ottengono la nuova configurazione.
Creazione di una policy per l'endpoint VPC per Amazon ECS
Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso ad Amazon ECS. La policy specifica le informazioni riportate di seguito:
-
Il principale che può eseguire operazioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.
Esempio: policy di endpoint VPC per le operazioni Amazon ECS
Di seguito è riportato un esempio di una policy di endpoint per Amazon ECS. Se collegata a un endpoint, questa policy concede l'accesso all'autorizzazione per creare ed elencare i cluster. Le operazioni CreateCluster
e ListClusters
non accettano risorse, pertanto la definizione delle risorse è impostata su * per tutte le risorse.
{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }