계정 설정을 사용하여 Amazon ECS 기능에 액세스
Amazon ECS 계정 설정으로 이동하여 특정 기능을 옵트인하거나 옵트아웃할 수 있습니다. 각 AWS 리전에서는 계정 수준에서 또는 특정 사용자/역할에 대해 각 계정 설정을 옵트인 또는 옵트아웃할 수 있습니다.
다음의 경우에 해당한다면 특정 기능을 옵트인하거나 옵트아웃하는 것이 좋습니다.
-
사용자 또는 역할은 각 계정에 대해 특정 계정 설정을 옵트인하거나 옵트아웃할 수 있습니다.
-
사용자 또는 역할은 계정 내 모든 사용자에 대해 기본 옵트인 또는 옵트아웃 설정을 지정할 수 있습니다.
-
루트 사용자 또는 관리 권한이 있는 사용자는 계정의 특정 역할이나 사용자를 옵트인하거나 옵트아웃할 수 있습니다. 루트 사용자의 계정 설정이 변경되면 개별 계정 설정이 선택되지 않은 모든 사용자 및 역할에 대한 기본값이 설정됩니다.
참고
페더레이션 사용자는 루트 사용자로 계정이 설정되고 자신에 대한 별도의 명시적 계정 설정은 없습니다.
다음 계정 설정을 사용할 수 있습니다. 각 계정 설정에 대해 개별적으로 옵트인 및 옵트아웃해야 합니다.
| 리소스 이름 | 자세히 알아보기 |
|---|---|
containerInsights |
Container Insights |
serviceLongArnFormat
|
Amazon 리소스 이름(ARN) 및 ID |
tagResourceAuthorization |
태그 지정 권한 부여 |
fargateFIPSMode |
AWS Fargate Federal Information Processing Standard(FIPS-140) 규정 준수 |
fargateTaskRetirementWaitPeriod |
AWS Fargate 작업 사용 중지 대기 시간 |
guardDutyActivate |
Runtime Monitoring(Amazon GuardDuty 통합) |
dualStackIPv6 |
듀얼스택 IPv6 VPC |
awsvpcTrunking |
Linux 컨테이너 인스턴스 네트워크 인터페이스 증가 |
Amazon 리소스 이름(ARN) 및 ID
Amazon ECS 리소스가 생성되면 각 리소스에 고유한 Amazon 리소스 이름(ARN) 및 리소스 식별자(ID)를 할당합니다. 명령줄 도구 또는 Amazon ECS API를 사용하여 Amazon ECS로 작업할 경우 특정 명령에 리소스 ARN 또는 ID가 필요합니다. 예를 들어, stop-task AWS CLI명령을 사용하여 태스크를 중지할 경우, 작업 ARN 또는 ID를 명령에 지정해야 합니다.
Amazon ECS에는 Amazon ECS 서비스, 태스크, 컨테이너 인스턴스에 대한 리소스 ID 및 Amazon 리소스 이름(ARN)에 대한 새 형식이 도입됩니다. 각 리소스 유형의 옵트인 상태에 따라 리소스가 사용하는 Amazon 리소스 이름(ARN) 형식이 달라집니다. 해당 리소스 유형에 대한 리소스 태그 지정과 같은 기능을 사용하려면 새 ARN 형식을 사용해야 합니다.
새 Amazon 리소스 이름(ARN) 및 리소스 ID 형식은 리전별로 옵트인하거나 옵트아웃할 수 있습니다. 현재 새로 생성된 모든 계정은 기본적으로 옵트인되어 있습니다.
언제든지 새로운 Amazon 리소스 이름(ARN) 및 리소스 ID 형식을 옵트인 또는 옵트아웃할 수 있습니다. 옵트인한 후 사용자가 생성하는 모든 새 리소스가 새 형식을 사용합니다.
참고
리소스 ID는 생성 이후 변경되지 않습니다. 따라서 새 형식을 옵트인하거나 옵트아웃해도 기존 리소스 ID에는 영향을 주지 않습니다.
다음 섹션에서는 ARN 및 리소스 ID 형식이 어떻게 변화하고 있는지를 설명합니다. 새 형식으로의 전환에 대한 자세한 내용은 Amazon Elastic Container Service FAQ
Amazon 리소스 이름(ARN) 형식
일부 리소스에는 사용자에게 친숙한 이름이 있습니다(예: production이라는 이름의 서비스). 그러나 Amazon 리소스 이름(ARN) 형식을 사용하여 리소스를 지정해야 하는 경우도 있습니다. Amazon ECS 태스크, 서비스 및 컨테이너 인스턴스에 대한 새 ARN 형식에는 클러스터 이름이 포함됩니다. 새 ARN 형식을 옵트인하는 방법에 대한 자세한 내용은 Amazon ECS 계정 설정 수정 섹션을 참조하세요.
다음 표에서는 각 리소스 유형에 대한 현재 형식과 새 형식을 모두 보여 줍니다.
| 리소스 유형 | ARN |
|---|---|
| 컨테이너 인스턴스 |
현재: 새 형식: |
| Amazon ECS 서비스 |
현재: 새 형식: |
| Amazon ECS 태스크 |
현재: 새 형식: |
리소스 ID 길이
리소스 ID는 문자와 숫자의 고유한 조합 형식을 취합니다. 새 리소스 ID 형식에는 Amazon ECS 태스크 및 컨테이너 인스턴스에 대한 더 짧은 ID가 포함됩니다. 현재 리소스 ID 형식의 길이는 36자입니다. 새 ID는 하이픈을 포함하지 않는 32자 형식입니다. 새 리소스 ID 형식을 옵트인하는 방법에 대한 자세한 내용은 Amazon ECS 계정 설정 수정 섹션을 참조하세요.
기본값은 enabled입니다.
옵트인 후 시작된 리소스만 새 ARN 및 리소스 ID 형식을 받습니다. 기존의 모든 리소스가 영향을 받는 것은 아닙니다. Amazon ECS 서비스 및 태스크를 새 ARN 및 리소스 ID 형식으로 전환하려면 해당 서비스 또는 태스크를 다시 생성해야 합니다. 컨테이너 인스턴스를 새 ARN과 리소스 ID 형식으로 전환하려면 컨테이너 인스턴스를 드레이닝해야 하며 새 컨테이너 인스턴스가 시작되어 클러스터에 등록되어 있어야 합니다.
참고
Amazon ECS 서비스에 의해 시작된 작업은 해당 서비스가 2018년 11월 16일 또는 그 이후에 생성되었고 서비스를 생성한 사용자가 작업에 대한 새 형식을 옵트인한 경우에만 새 ARN 및 리소스 ID 형식을 받을 수 있습니다.
ARN 및 리소스 ID 형식 타임라인
Amazon ECS 리소스에 대한 새로운 Amazon 리소스 이름(ARN) 및 리소스 ID 형식에 대한 옵트인 및 옵트아웃 기간의 타임라인이 2021년 4월 1일에 종료되었습니다. 기본적으로 모든 새 계정은 새 형식으로 옵트인됩니다. 새로 생성되는 모든 리소스는 새로운 형식을 받고 더 이상 옵트아웃할 수 없습니다.
Container Insights
2024년 12월 2일 AWS에서는 Amazon ECS의 향상된 관찰성을 갖춘 Container Insights를 출시했습니다. 이 버전은 Amazon EC2 및 Fargate 시작 유형을 사용하여 Amazon ECS 클러스터의 관찰성을 향상할 수 있도록 지원합니다. Amazon ECS에서 향상된 관찰성으로 Container Insights를 구성하면, Container Insights는 클러스터 수준에서 환경의 컨테이너 수준까지 상세한 인프라 원격 측정을 자동으로 수집하고, 대시보드에서 다양한 지표와 차원을 보여주는 데이터를 표시합니다. 그런 다음 Container Insights 콘솔에서 이러한 기본 대시보드를 사용하여 컨테이너 상태와 성능을 더 잘 이해하고 이상 징후를 식별하여 문제를 더 빠르게 완화할 수 있습니다.
Container Insights 대신 관찰성이 향상된 Container Insights를 사용하는 것이 좋습니다. 컨테이너 환경에서 세부적인 가시성을 제공하여 평균 해결 시간을 단축하기 때문입니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 향상된 관찰성 지표를 갖춘 Amazon ECS Container Insights를 참조하세요.
containerInsights 계정 설정의 기본값은 disabled입니다.
관찰성이 향상된 Container Insights
다음 명령을 사용하여 향상된 관찰성을 갖춘 Container Insights를 켭니다.
containerInsights 계정 설정을 enhanced로 설정합니다.
aws ecs put-account-setting --name containerInsights --value enhanced
출력 예시
{
"setting": {
"name": "containerInsights",
"value": "enhanced",
"principalArn": "arn:aws:iam::123456789012:johndoe",
"type": user
}
}이 계정 설정을 설정하면 모든 새 클러스터가 향상된 관찰성을 갖춘 Container Insights를 자동으로 사용합니다. update-cluster-settings 명령을 사용하여 기존 클러스터에 관찰성이 향상된 Container Insights를 추가하거나, Container Insights를 사용하는 클러스터를 관찰성이 향상된 Container Insights로 업그레이드합니다.
aws ecs update-cluster-settings --clustercluster-name--settings name=containerInsights,value=enhanced
콘솔을 사용하여 관찰성이 향상된 Container Insights를 구성할 수도 있습니다. 자세한 내용은 Amazon ECS 계정 설정 수정 섹션을 참조하세요.
Container Insights
containerInsights 계정 설정을 enabled로 설정할 경우, 기본적으로 모든 새 클러스터에 Container Insights가 활성화됩니다. update-cluster-settings를 사용하여 기존 클러스터를 수정할 수 있습니다.
Container Insights를 사용하려면 containerInsights 계정 설정을 enabled로 설정합니다. 다음 명령 중 하나를 사용하여 Container Insights를 켭니다.
aws ecs put-account-setting --name containerInsights --value enabled
출력 예시
{
"setting": {
"name": "containerInsights",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:johndoe",
"type": user
}
}containerInsights 계정 설정을 enabled로 설정할 경우, 기본적으로 모든 새 클러스터에 Container Insights가 활성화됩니다. update-cluster-settings 명령을 사용하여 기존 클러스터에 Container Insights를 추가합니다.
aws ecs update-cluster-settings --clustercluster-name--settings name=containerInsights,value=enabled
콘솔을 사용하여 Container Insights를 구성할 수도 있습니다. 자세한 내용은 Amazon ECS 계정 설정 수정 섹션을 참조하세요.
AWS Fargate Federal Information Processing Standard(FIPS-140) 규정 준수
Fargate에서는 민감한 정보를 보호하는 암호화 모듈의 보안 요구 사항을 규정하는 Federal Information Processing Standard(FIPS-140)를 지원합니다. 이는 현재 미국 및 캐나다 정부 표준이며 연방 정보 보안 관리법(FISMA) 또는 연방 위험 및 권한 부여 관리 프로그램(FedRAMP)을 준수해야 하는 시스템에 적용됩니다.
리소스 이름은 fargateFIPSMode입니다.
기본값은 disabled입니다.
Fargate에서 Federal Information Processing Standard(FIPS-140) 규정 준수를 켜야 합니다. 자세한 내용은 AWS Fargate Federal Information Processing Standard(FIPS-140) 단원을 참조하십시오.
중요
fargateFIPSMode 계정 설정은 Amazon ECS API 또는 AWS CLI를 사용해야 변경할 수 있습니다. 자세한 내용은 Amazon ECS 계정 설정 수정 단원을 참조하십시오.
fargateFIPSMode 옵션을 enabled로 설정하여 put-account-setting-default를 생성합니다. 자세한 정보는 Amazon Elastic Container Service API Reference(Amazon Elastic Container Service API 참조)의 put-account-setting-default를 참조하세요.
-
다음 명령을 사용하여 FIPS-140 규정 준수를 켤 수 있습니다.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabled출력 예시
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
list-account-settings를 실행하여 현재 FIPS-140 규정 준수 상태를 볼 수 있습니다. effective-settings 옵션을 사용하면 계정 수준 설정을 볼 수 있습니다.
aws ecs list-account-settings --effective-settings
태그 지정 권한 부여
Amazon ECS에서 리소스 생성을 위한 태그 지정 권한 부여를 도입합니다. 사용자에게 리소스를 생성하는 작업에 대한 태그 지정 권한(예: ecsCreateCluster)이 있어야 합니다. 리소스를 생성하고 해당 리소스에 대한 태그를 지정하면 AWS는 추가 권한 부여를 수행하여 태그를 생성할 권한이 있는지 확인합니다. 따라서 ecs:TagResource 작업을 사용할 수 있는 명시적 권한을 부여해야 합니다. 자세한 내용은 생성 시 리소스에 태그를 지정할 수 있는 권한 부여 단원을 참조하십시오.
태그 지정 권한 부여를 옵트인하려면 tagResourceAuthorization 옵션을 put-account-setting-default로 설정한 상태로 enable을 실행합니다. 자세한 정보는 Amazon Elastic Container Service API Reference(Amazon Elastic Container Service API 참조)의 put-account-setting-default를 참조하세요. list-account-settings를 실행하여 현재 태그 지정 권한 부여 상태를 볼 수 있습니다.
-
다음 명령을 사용하여 태그 지정 권한 부여를 활성화할 수 있습니다.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --regionregion출력 예시
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
태그 지정 권한 부여를 활성화한 후 사용자가 리소스 생성 시 리소스에 태그를 지정할 수 있도록 적절한 권한을 구성해야 합니다. 자세한 내용은 생성 시 리소스에 태그를 지정할 수 있는 권한 부여 단원을 참조하십시오.
list-account-settings를 실행하여 현재 태그 지정 권한 부여 상태를 볼 수 있습니다. effective-settings 옵션을 사용하면 계정 수준 설정을 볼 수 있습니다.
aws ecs list-account-settings --effective-settings
태그 지정 권한 부여 타임라인
태그 지정 권한 부여가 활성 상태인지 확인하려면 list-account-settings를 실행하여 tagResourceAuthorization 값을 보면 됩니다. 값이 on인 경우 태그 지정 권한 부여가 사용 중인 것입니다. 자세한 정보는 Amazon Elastic Container Service API Reference(Amazon Elastic Container Service API 참조)의 list-account-settings를 참조하세요.
다음은 태그 지정 권한 부여와 관련된 중요한 날짜입니다.
-
2023년 4월 18일 - 태그 지정 권한 부여가 도입되었습니다. 이 기능을 사용하려면 모든 신규 및 기존 계정이 옵트인해야 합니다. 태그 지정 권한 부여 사용을 시작하도록 옵트인할 수 있습니다. 옵트인을 통해 적절한 권한을 부여해야 합니다.
-
2024년 2월 9일 - 2024년 3월 6일 - 모든 신규 계정 및 영향을 받지 않는 기존 계정에는 기본적으로 태그 지정 권한 부여가 켜져 있습니다. IAM 정책을 확인하기 위해
tagResourceAuthorization계정 설정을 활성화 또는 비활성활 수 있습니다.AWS에서 영향을 받는 계정에 알립니다.
이 기능을 비활성화하려면
tagResourceAuthorization옵션을off로 설정한 상태로put-account-setting-default를 실행합니다. -
2024년 3월 7일 - 태그 지정 권한 부여를 활성화한 경우 더 이상 계정 설정을 비활성화할 수 없습니다.
이 날짜 이전에 IAM 정책 테스트를 완료하는 것이 좋습니다.
-
2024년 3월 29일 - 모든 계정이 태그 지정 권한 부여를 사용합니다. Amazon ECS 콘솔 또는 AWS CLI에서 더 이상 계정 수준 설정을 사용할 수 없습니다.
AWS Fargate 작업 사용 중지 대기 시간
플랫폼 수정 버전에서 실행 중인 Fargate 작업이 사용 중지로 표시된 경우 AWS에서 알림을 보냅니다. 자세한 내용은 Amazon ECS에서 AWS Fargate에 대한 태스크 사용 중지 및 유지 관리 단원을 참조하십시오.
AWS는 AWS Fargate의 기본 인프라 패치와 유지 관리를 담당합니다. Fargate에서 호스팅되는 Amazon ECS 작업에 보안 또는 인프라 업데이트가 필요하다고 AWS에서 판단한 경우, 작업을 중지하고 이를 대체할 새 작업을 시작해야 합니다. 패치 적용을 위해 작업이 사용 중지되기 전 대기 기간을 구성할 수 있습니다. 작업을 즉시 사용 중지하거나, 7일을 기다리거나, 14일을 기다릴 수 있습니다.
이 설정은 계정 수준에서 적용됩니다.
Fargate에서 작업 사용 중지를 시작하는 시간을 구성할 수 있습니다. 업데이트를 즉시 적용해야 하는 워크로드의 경우 즉시 설정(0)을 선택합니다. 더 세부적으로 제어해야 하는 경우, 예를 들어 특정 기간에만 작업을 중지할 수 있는 경우 7일(7) 또는 14일(14) 옵션을 구성합니다.
최신 플랫폼 수정 버전을 더 빨리 받으려면 짧은 대기 기간을 선택하는 것이 좋습니다.
put-account-setting-default 또는 put-account-setting을 루트 사용자 또는 관리 사용자로 실행하여 대기 기간을 구성합니다. name에는 fargateTaskRetirementWaitPeriod 옵션을 사용하고 value 옵션을 다음 값 중 하나로 설정합니다.
-
0- AWS는 알림을 보내고 영향을 받은 작업을 즉시 사용 중지합니다. -
7- AWS는 알림을 보내고 7일 기다린 후 영향을 받은 작업을 사용 중지합니다. -
14- AWS는 알림을 보내고 14일 기다린 후 영향을 받은 작업을 사용 중지합니다.
기본값은 7일입니다.
자세한 정보는 Amazon Elastic Container Service API Reference의 put-account-setting-default 및 put-account-setting을 참조하세요.
다음 명령을 실행하여 대기 기간을 14일로 설정할 수 있습니다.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
출력 예시
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}list-account-settings를 실행하여 현재 Fargate 작업 사용 중지 대기 시간을 볼 수 있습니다. effective-settings 옵션을 사용합니다.
aws ecs list-account-settings --effective-settings
Linux 컨테이너 인스턴스 네트워크 인터페이스 증가
awsvpc 네트워크 모드를 사용하는 각 Amazon ECS 작업은 고유한 탄력적 네트워크 인터페이스(ENI)를 수신합니다. 이 인터페이스는 이를 호스팅하는 컨테이너 인스턴스에 연결되어 있습니다. Amazon EC2 인스턴스에 연결할 수 있는 네트워크 인터페이스 수에 대한 기본 제한이 있으며 기본 네트워크 인터페이스는 한 개로 계산됩니다. 예를 들어 기본적으로 c5.large 인스턴스에는 ENI를 3개까지 연결할 수 있습니다. 인스턴스에 대한 기본 네트워크 인터페이스는 한 개로 계산되므로 인스턴스에 ENI를 2개 더 연결할 수 있습니다. awsvpc 네트워크 모드를 사용하는 각 작업에는 ENI가 필요하므로 대개 이 인스턴스 유형에서는 이러한 작업을 2개만 실행할 수 있습니다.
Amazon ECS에서는 지원되는 Amazon EC2 인스턴스 유형을 사용하여 늘어난 ENI 밀도와 함께 컨테이너 인스턴스를 시작할 수 있습니다. 이러한 인스턴스 유형을 사용하고 awsvpcTrunking 계정 설정을 활성화하면 새로 시작된 컨테이너 인스턴스에서 추가 ENI를 사용할 수 있습니다. 이 구성을 통해 각 컨테이너 인스턴스에 추가 작업을 배치할 수 있습니다.
예를 들어 awsvpcTrunking이 있는 c5.large 인스턴스의 경우 ENI 제한이 12로 증가합니다. 컨테이너 인스턴스는 기본 네트워크 인터페이스를 가지며 Amazon ECS는 “트렁크” 네트워크 인터페이스를 생성하여 컨테이너 인스턴스에 연결합니다. 따라서 이 구성을 통해 컨테이너 인스턴스에서 현재 두 개의 작업 대신 10개의 태스크를 시작할 수 있습니다.
Runtime Monitoring(Amazon GuardDuty 통합)
Runtime Monitoring은 AWS 로그 및 네트워킹 활동을 지속적으로 모니터링하여 악의적 동작 또는 무단 동작을 식별함으로써 Fargate 및 EC2 컨테이너 인스턴스에서 실행되는 워크로드를 보호하는 지능형 위협 감지 서비스입니다.
guardDutyActivate 파라미터는 Amazon ECS에서 읽기 전용이며, Amazon ECS 계정의 보안 관리자가 Runtime Monitoring을 켜는지 또는 끄는지 여부를 나타냅니다. GuardDuty는 사용자를 대신하여 이 계정 설정을 제어합니다. 자세한 내용은 Runtime Monitoring으로 Amazon ECS 워크로드 보호를 참조하세요.
list-account-settings를 실행하여 현재 GuardDuty 통합 설정을 볼 수 있습니다.
aws ecs list-account-settings
출력 예시
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}듀얼스택 IPv6 VPC
Amazon ECS는 기본 프라이빗 IPv4 주소 외에 IPv6 주소로도 태스크 제공을 지원합니다.
태스크가 IPv6 주소를 받으려면 해당 태스크는 awsvpc 네트워크 모드를 사용하고, 듀얼스택 모드에 대해 구성된 VPC로 시작되어야 하며, dualStackIPv6 계정 설정을 활성화해야 합니다. 기타 요구 사항에 대한 자세한 내용은 EC2 시작 유형의 경우 듀얼 스택 모드로 VPC 사용하기 섹션, Fargate 시작 유형의 경우 듀얼 스택 모드로 VPC 사용하기 섹션을 참조하세요.
중요
dualStackIPv6 계정 설정은 Amazon ECS API 또는 AWS CLI를 사용해야 변경할 수 있습니다. 자세한 정보는 Amazon ECS 계정 설정 수정을 참조하세요.
2020년 10월 1일과 11월 2일 사이에 IPv6가 활성화된 서브넷에서 awsvpc 네트워크 모드를 사용하여 실행 중인 태스크가 있을 경우, 태스크가 실행된 리전의 기본 dualStackIPv6 계정 설정은 disabled입니다. 해당 조건이 충족되지 않을 경우 리전의 기본 dualStackIPv6 설정은 enabled입니다.
기본값은 disabled입니다.
