Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Endpoint VPC dell'interfaccia di Amazon ECS (AWS PrivateLink)
Puoi migliorare la posizione di sicurezza del VPC configurando Amazon ECS in modo che utilizzi un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ad Amazon ECS APIs utilizzando indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra il tuo VPC e Amazon ECS alla rete Amazon. Non è richiesto un gateway Internet, un dispositivo NAT o un gateway privato virtuale.
*Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta la sezione Endpoint VPC [nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-vpc-endpoints).*
## Considerazioni
### Considerazioni relative agli endpoint nelle regioni introdotte a partire dal 23 dicembre 2023
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
+ Devi disporre dei seguenti endpoint VPC specifici della regione:
**Nota**
Se non configuri tutti gli endpoint, il traffico passerà attraverso gli endpoint pubblici, non attraverso l'endpoint VPC.
+ `com.amazonaws.region.ecs-agent`
+ `com.amazonaws.region.ecs-telemetry`
+ `com.amazonaws.region.ecs`
Ad esempio, la regione del Canada occidentale (Calgary) (ca-west-1) necessita dei seguenti endpoint VPC:
+ `com.amazonaws.ca-west-1.ecs-agent`
+ `com.amazonaws.ca-west-1.ecs-telemetry`
+ `com.amazonaws.ca-west-1.ecs`
+ Quando utilizzi un modello per creare AWS risorse nella nuova regione e il modello è stato copiato da una regione introdotta prima del 23 dicembre 2023, a seconda della regione in cui è stata copiata, esegui una delle seguenti operazioni.
Ad esempio, la regione da cui viene copiato è quella degli Stati Uniti orientali (Virginia settentrionale) (us-east-1). La regione di destinazione della copia è il Canada occidentale (Calgary) (ca-west-1).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonECS/latest/developerguide/vpc-endpoints.html)
### Considerazioni sugli endpoint VPC di Amazon ECS per Fargate
Quando è presente un endpoint VPC per `ecr.dkr` e `ecr.api` nello stesso VPC in cui viene implementata un'attività Fargate, verrà utilizzato l'endpoint VPC. Se non è presente alcun endpoint VPC, verrà utilizzata l'interfaccia Fargate.
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
+ Le attività che utilizzano Fargate non richiedono l'interfaccia VPC endpoint per Amazon ECS, ma potrebbero essere necessari endpoint VPC di interfaccia per Amazon ECR, Secrets Manager o Amazon Logs descritti nei punti seguenti. CloudWatch
+ Per consentire ai processi di estrarre immagini private da Amazon ECR, è necessario creare gli endpoint VPC di interfaccia per Amazon ECR. Per ulteriori informazioni, consulta [Endpoint VPC dell'interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon Elastic Container Registry*.
**Importante**
Se configuri Amazon ECR per utilizzare un endpoint VPC dell'interfaccia, puoi creare un ruolo di esecuzione delle attività che include chiavi di condizione per limitare l'accesso a un VPC o endpoint VPC specifico. Per ulteriori informazioni, consulta [Autorizzazioni per attività Fargate che eseguono il pull delle immagini Amazon ECR su endpoint di interfaccia](task_execution_IAM_role.md#task-execution-ecr-conditionkeys).
Se le tue attività sono in una configurazione IPv6 solo e utilizzano un URI di immagine dualstack Amazon ECR, tieni presente che Amazon ECR non supporta gli endpoint VPC con interfaccia dualstack. Per ulteriori informazioni, consulta la sezione [Guida introduttiva all'invio di richieste IPv6](https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-requests.html#ipv6-access-getting-started) nella *Amazon Elastic Container Registry User Guide*.
+ Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta [Utilizzo di Secrets Manager con endpoint VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
+ Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di `awslogs` registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta [Using CloudWatch Logs with Interface VPC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Endpoints nella * CloudWatch Amazon* Logs User Guide.
+ Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).
+ Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
+ La gestione Service Connect del proxy Envoy utilizza l'endpoint VPC `com.amazonaws.region.ecs-agent`. Quando non utilizzi gli endpoint VPC, la gestione Service Connect del proxy Envoy utilizza l'endpoint `ecs-sc` in quella determinata Regione. Per un elenco degli endpoint Amazon ECS in ciascuna Regione, consulta [Endpoint e quote Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html).
### Considerazioni sugli endpoint VPC di Amazon ECS per EC2
Prima di configurare gli endpoint VPC di interfaccia per Amazon ECS, tieni presente le considerazioni riportate di seguito:
+ Le attività che utilizzano EC2 richiedono che le istanze di container su cui sono avviate eseguano la versione `1.25.1` o successiva dell'agente di container Amazon ECS. Per ulteriori informazioni, consulta [Gestione delle istanze di container Amazon ECS Linux](manage-linux.md).
+ Per consentire ai processi di estrarre dati sensibili da Secrets Manager, è necessario creare gli endpoint VPC di interfaccia per Secrets Manager. Per ulteriori informazioni, consulta [Utilizzo di Secrets Manager con endpoint VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
+ Se il tuo VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di `awslogs` registro per inviare le informazioni di registro ai CloudWatch registri, devi creare un endpoint VPC di interfaccia per i registri. CloudWatch Per ulteriori informazioni, consulta [Using CloudWatch Logs with Interface VPC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Endpoints nella * CloudWatch Amazon* Logs User Guide.
+ Gli endpoint VPC attualmente non supportano le richieste inter-Regionali. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API ad Amazon ECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Dovrai ovviamente creare l'endpoint VPC di Amazon ECS nella Regione Stati Uniti orientali (Virginia settentrionale). Un endpoint VPC di Amazon ECS creato in qualsiasi altra Regione non può eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale).
+ Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta TCP 443 dalla sottorete privata del VPC.
## Comprensione dei modelli di denominazione degli endpoint Amazon ECS
È importante comprendere che l'agente Amazon ECS può inviare richieste a endpoint con suffissi numerati, ad esempio:
+ `ecs-a-1.region.amazonaws.com`, `ecs-a-2.region.amazonaws.com`, ecc. per gli endpoint degli agenti
+ `ecs-t-1.region.amazonaws.com`, `ecs-t-2.region.amazonaws.com`, ecc. per gli endpoint di telemetria
Questo comportamento si verifica perché l'agente Amazon ECS utilizza l'[DiscoverPollEndpoint](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DiscoverPollEndpoint.html)API per determinare dinamicamente a quale endpoint specifico connettersi. Se gli endpoint VPC non gestiscono correttamente queste varianti numerate degli endpoint, l'agente tornerà a usare gli endpoint pubblici, anche se hai impostato gli endpoint VPC per i nomi di base.
### Il ruolo dell'API DiscoverPollEndpoint
L'[DiscoverPollEndpoint](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DiscoverPollEndpoint.html)API viene utilizzata dall'agente Amazon ECS per individuare l'endpoint appropriato su cui eseguire il polling delle attività. Quando l'agente richiama questa API, riceve un URL dell'endpoint specifico che può includere un suffisso numerato. Per garantire il corretto funzionamento degli endpoint VPC, la configurazione di rete deve permettere all'agente di:
1. Accedi all'API DiscoverPollEndpoint
1. Connect all'endpoint restituito URLs, compresi quelli con suffissi numerati
Se stai risolvendo i problemi di connettività degli endpoint VPC, verifica che il tuo agente possa raggiungere sia gli endpoint di base che qualsiasi variante numerata che potrebbe essere restituita dall'API. DiscoverPollEndpoint
## Creazione di endpoint VPC per Amazon ECS
Per creare l'endpoint VPC per il servizio Amazon ECS, utilizza la [procedura Access an AWS service using an interface VPC endpoint nella Amazon *VPC*](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) User Guide per creare i seguenti endpoint. Se sono presenti istanze di container all'interno del VPC, è necessario creare gli endpoint nell'ordine in cui sono elencati. Se intendi creare le istanze di container dopo la creazione dell'endpoint VPC, l'ordine non ha importanza.
**Nota**
Se non configuri tutti gli endpoint, il traffico passerà attraverso gli endpoint pubblici, non attraverso l'endpoint VPC.
Quando crei un endpoint, Amazon ECS crea anche un nome DNS privato per l'endpoint. Ad esempio, `ecs-a.region.amazonaws.com` per ecs-agent e `ecs-t.region.amazonaws.com` per ecs-telemetry.
+ `com.amazonaws.region.ecs-agent`
+ `com.amazonaws.region.ecs-telemetry`
+ `com.amazonaws.region.ecs`
**Nota**
*region*rappresenta l'identificatore della regione per una AWS regione supportata da Amazon ECS, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio).
L'endpoint `ecs-agent` usa l'API `ecs:poll`, mentre l'endpoint `ecs-telemetry` utilizza le API `ecs:poll` e `ecs:StartTelemetrySession`.
Se sono presenti processi che utilizzano il tipo di Avvio EC2, dopo aver creato gli endpoint VPC, ogni istanza di container deve selezionare la nuova configurazione. Perché ciò accada, è necessario riavviare ogni istanza di container o riavviare l'agente del container Amazon ECS in ogni istanza di container. Per riavviare l'agente container, effettua le seguenti operazioni.
**Come riavviare l'agente del container di Amazon ECS**
1. Accedi alla tua istanza di container con SSH.
1. Arresta l'agente del container di .
```
sudo docker stop ecs-agent
```
1. Avvia l'agente container.
```
sudo docker start ecs-agent
```
Dopo aver creato gli endpoint VPC e riavviato l'agente del container di Amazon ECS in ogni istanza di container, tutte le attività appena avviate ottengono la nuova configurazione.
## Creazione di una policy per l'endpoint VPC per Amazon ECS
Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso ad Amazon ECS. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy di endpoint VPC per le operazioni Amazon ECS**
Di seguito è riportato un esempio di una policy di endpoint per Amazon ECS. Se collegata a un endpoint, questa policy concede l'accesso all'autorizzazione per creare ed elencare i cluster. Le operazioni `CreateCluster` e `ListClusters` non accettano risorse, pertanto la definizione delle risorse è impostata su \$1 per tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect": "Allow",
"Action": [
"ecs:CreateCluster",
"ecs:ListClusters"
],
"Resource": [
"*"
]
}
]
}
```