Zugreifen auf Amazon-ECS-Funktionen über Kontoeinstellungen - Amazon Elastic Container Service
Amazon Ressourcennamen (ARNs) und IDsZeitachse im ARN- und Ressourcen-ID-FormatAWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140)Tagging-AutorisierungZeitplan der Tagging-AutorisierungAWS Fargate Wartezeit für die Außerbetriebnahme von AufgabenLaufzeit-Überwachung (Amazon- GuardDuty Integration)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugreifen auf Amazon-ECS-Funktionen über Kontoeinstellungen

Um sich von bestimmten Features an- oder abmelden zu können, können Sie Amazon-ECS-Kontoeinstellungen aktivieren oder deaktivieren. Sie können die einzelnen Kontoeinstellungen für jede AWS-Region auf Kontoebene oder für einen bestimmten Benutzer oder eine bestimmte Rolle aktivieren oder deaktivieren.

Möglicherweise möchten Sie sich von bestimmten Features an- oder abmelden, wenn einer der folgenden Punkte für Sie relevant ist:

  • Ein Benutzer oder eine Rolle kann bestimmte Kontoeinstellungen für sein individuelles Konto aktivieren oder deaktivieren.

  • Ein Benutzer oder eine Rolle kann die Standard-Opt-in- oder Opt-out-Einstellung für alle Benutzer des Kontos festlegen.

  • Der Root-Benutzer oder ein Benutzer mit Administratorrechten kann eine bestimmte Rolle oder einen bestimmten Benutzer im Konto aktivieren oder deaktivieren. Wenn die Kontoeinstellung für den Root-Benutzer geändert wird, wird die Standardeinstellung für alle Benutzer und Rollen festgelegt, für die keine individuelle Kontoeinstellung ausgewählt wurde.

Anmerkung

Verbundbenutzer übernehmen die Kontoeinstellung des Root-Benutzers und können keine expliziten Kontoeinstellungen einzeln für sie festlegen.

Die folgenden Kontoeinstellungen sind verfügbar. Sie müssen jede Kontoeinstellung separat aktivieren und abmelden.

Amazon Ressourcennamen (ARNs) und IDs

Ressourcennamen: serviceLongArnFormat, taskLongArnFormat und containerInstanceLongArnFormat

Amazon ECS führt ein neues Format für Amazon-Ressourcennamen (ARNs) und Ressourcen-IDs für Amazon-ECS-Services, -Aufgaben und -Container-Instances ein. Der Opt-In-Status für jeden Ressourcentyp bestimmt das ARN-Format (Amazon Resource Name), das die Ressource verwendet. Sie müssen für das neue ARN-Format einen Opt-in durchführen, um Features wie Ressourcen-Tagging für diesen Ressourcentyp durchführen zu können. Weitere Informationen finden Sie unter Amazon Ressourcennamen (ARNs) und IDs.

Der Standardwert ist enabled.

Nur Ressourcen, die nach einem Opt-in gestartet werden, erhalten das neue ARN- und ID-Ressourcen-Format. Für bestehende Ressourcen ändert sich nichts. Damit Amazon-ECS-Services und -Aufgaben auf die neuen ARN- und Ressourcen-ID-Formate umgestellt werden können, müssen Sie den Service oder die Aufgabe neu erstellen. Damit das neue ARN- und Ressourcen-ID-Format für eine Container-Instance verfügbar sind, muss die Container-Instance entfernt und eine neue Container-Instance muss im Cluster gestartet und registriert werden.

Anmerkung

Von einem Amazon-ECS-Service gestartete Aufgaben können nur dann das neue ARN- und Ressourcen-ID-Format erhalten, wenn der Service am oder nach dem 16. November 2018 erstellt wurde und der Benutzer, der den Service erstellt hat, das neue Format für Aufgaben gewählt hat.

AWSVPC Trunking

Ressourcenname: awsvpcTrunking

Amazon ECS unterstützt das Starten von Container-Instances mit erhöhter Elastic-Network-Schnittstelle (ENI)-Dichte mithilfe unterstützter Amazon-EC2-Instance-Typen. Wenn Sie diese Instance-Typen verwenden und sich für die neue awsvpcTrunking-Kontoeinstellung anmelden, stehen zusätzliche ENIs auf neu gestarteten Container-Instances zur Verfügung. Sie können diese Konfiguration verwenden, um mehr Aufgaben im Netzwerkmodus awsvpc auf jeder Container-Instance zu platzieren. Bei diesem Feature hat eine c5.large-Instance mit aktiviertem awsvpcTrunking ein ENI-Kontingent von zehn. Die Container-Instance verfügt über eine primäre Netzwerkschnittstelle und Amazon ECS erstellt und fügt eine "Stamm"-Netzwerkschnittstelle an die Container-Instance an. Die primäre Netzwerkschnittstelle und die Trunk-Netzwerkschnittstelle werden dem ENI-Kontingent nicht angerechnet. Daher können Sie diese Konfiguration verwenden, um zehn Aufgaben auf der Container-Instance zu starten, anstatt der derzeitigen zwei Aufgaben. Weitere Informationen finden Sie unter Elastic-Network-Schnittstellen-Trunking.

Der Standardwert ist disabled.

Nur Ressourcen, die nach einem Opt-in gestartet wurden, erhalten die erhöhten ENI-Limits. Für alle bestehende Ressourcen ändert sich nichts. Damit die erhöhten ENI-Kontingente für eine Container-Instance verfügbar sind, muss die Container-Instance entfernt und eine neue Container-Instance im Cluster registriert werden.

CloudWatch Container Insights

Ressourcenname: containerInsights

CloudWatch Container Insights sammelt, aggregiert und fasst Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zusammen. Die Metriken umfassen die Auslastung für Ressourcen wie z  B. CPU, Arbeitsspeicher, Datenträger und Netzwerk. Container Insights bietet auch Diagnoseinformationen, wie z. B.Fehler beim Container-Neustart, damit Sie Probleme schnell aufdecken und beheben können. Sie können für die von Container Insights gesammelten Metriken auch CloudWatch -Alarme einrichten. Weitere Informationen finden Sie unter Überwachen von Amazon-ECS-Containern mit Container Insights.

Wenn Sie für die containerInsights-Kontoeinstellung ein Opt-in durchgeführt haben, sind Container Insights standardmäßig für alle neuen Cluster aktiviert. Sie können diese Einstellung für bestimmte Cluster deaktivieren, wenn Sie sie erstellen. Sie können diese Einstellung auch mithilfe der UpdateClusterSettings -API ändern.

Für Cluster, die Aufgaben oder Services mit dem Starttyp EC2 enthalten, müssen Ihre Container-Instances Version 1.29.0 oder höher des Amazon-ECS-Agenten ausführen, um Container Insights verwenden zu können. Weitere Informationen finden Sie unter Verwaltung von Linux-Container-Instances.

Der Standardwert ist disabled.

Dual-Stack-VPC IPv6

Ressourcenname: dualStackIPv6

Amazon ECS unterstützt die Bereitstellung von Aufgaben mit einer IPv6-Adresse zusätzlich zur primären privaten IPv4-Adresse.

Damit Aufgaben eine IPv6-Adresse empfangen können, muss die Aufgabe den awsvpc-Netzwerkmodus nutzen, muss in einer VPC gestartet werden, die für den Dual-Stack-Modus konfiguriert ist, und die dualStackIPv6-Kontoeinstellung muss aktiviert sein. Weitere Informationen zu anderen Anforderungen finden Sie unter Verwenden einer VPC im Dual-Stack-Modus für den Starttyp EC2 und Verwenden einer VPC im Dual-Stack-Modus für den Starttyp Fargate.

Wichtig

Die dualStackIPv6-Kontoeinstellung kann nur mithilfe der Amazon-ECS-API oder AWS CLI geändert werden. Weitere Informationen finden Sie unter Ändern der Kontoeinstellungen.

Wenn Sie eine Aufgabe mit dem awsvpc-Netzwerkmodus in einem IPv6-fähigen Subnetz zwischen den Datumsangaben 1. Oktober 2020 und dem 2. November 2020 ausgeführt haben, ist die standardmäßige dualStackIPv6-Kontoeinstellung in der Region, in der die Aufgabe ausgeführt wurde, disabled. Wenn diese Bedingung nicht erfüllt wird, ist die standardmäßige dualStackIPv6-Einstellung in der Region enabled.

Der Standardwert ist disabled.

FIPS-140-Compliance von Fargate

Ressourcenname: fargateFIPSMode

Fargate unterstützt den Bundesstandard für Informationsprozesse (FIPS-140), der die Sicherheitsanforderungen für Verschlüsselungsmodule zum Schutz sensibler Daten festlegt. Es ist der aktuelle Standard der amerikanischen und kanadischen Regierung und gilt für Systeme, die mit dem Federal Information Security Management Act (FISMA) oder dem Federal Risk and Authorization Management Program (FedRAMP) konform sein müssen.

Der Standardwert ist disabled.

Sie müssen die FIPS-140-Compliance aktivieren. Weitere Informationen finden Sie unter AWS Fargate Federal Information Processing Standard (FIPS-140).

Wichtig

Die fargateFIPSMode-Kontoeinstellung kann nur mithilfe der Amazon-ECS-API oder AWS CLI geändert werden. Weitere Informationen finden Sie unter Ändern der Kontoeinstellungen.

Ressourcen-Tag-Autorisierung

Ressourcenname: tagResourceAuthorization

Einige Amazon-ECS-API-Aktionen erlauben es Ihnen, bei der Erstellung der Ressource Tags anzugeben.

Amazon ECS führt die Tagging-Autorisierung für die Erstellung von Ressourcen ein. Benutzer müssen über Berechtigungen für Aktionen verfügen, die eine Ressource erstellen, z. B. ecsCreateCluster. Wenn Tags in der Aktion zur Ressourcenerstellung angegeben sind, AWS führt eine zusätzliche Autorisierung für die ecs:TagResource Aktion durch, um zu überprüfen, ob Benutzer oder Rollen über Berechtigungen zum Erstellen von Tags verfügen. Daher müssen Sie explizite Berechtigungen für die Verwendung der Aktion ecs:TagResource gewähren. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Wartezeit für die Außerbetriebnahme von Fargate-Aufgaben

Ressourcenname: fargateTaskRetirementWaitPeriod

AWS ist für das Patchen und die Wartung der zugrunde liegenden Infrastruktur für AWS Fargate verantwortlich. Wenn AWS feststellt, dass für eine auf Fargate gehostete Amazon-ECS-Aufgabe ein Sicherheits- oder Infrastrukturupdate erforderlich ist, müssen die Aufgaben gestoppt und neue Aufgaben gestartet werden, um sie zu ersetzen. Sie können die Wartezeit konfigurieren, bis Aufgaben für das Patchen außer Betrieb genommen werden. Sie haben die Möglichkeit, die Aufgabe sofort außer Betrieb zu nehmen, 7 Kalendertage zu warten oder 14 Kalendertage zu warten.

Diese Einstellung befindet sich auf Kontoebene.

Aktivierung der Laufzeitüberwachung

Ressourcenname: guardDutyActivate

Der guardDutyActivate Parameter ist schreibgeschützt in Amazon ECS und gibt an, ob die Laufzeit-Überwachung von Ihrem Sicherheitsadministrator in Ihrem Amazon-ECS-Konto aktiviert oder deaktiviert wird. GuardDuty steuert diese Kontoeinstellung in Ihrem Namen. Weitere Informationen finden Sie unter Schützen von Amazon-ECS-Workloads mit Laufzeitüberwachung.

Themen

Amazon Ressourcennamen (ARNs) und IDs

Wenn Amazon-ECS-Ressourcen erstellt werden, weisen wir jeder Ressource einen eindeutigen Amazon Ressourcennamen (ARN) und eine Ressourcen-ID zu. Wenn Sie ein Befehlszeilen-Tool oder die Amazon-ECS-API für die Arbeit mit Amazon ECS verwenden, sind Ressourcen-ARNs oder -IDs für bestimmte Befehle erforderlich. Wenn Sie beispielsweise den Befehl stop-task AWS CLI verwenden, um eine Aufgabe zu stoppen, müssen Sie den ARN oder die ID der Aufgabe im Befehl angeben.

Sie haben die Möglichkeit, das neue Amazon-Ressourcenname (ARN)- und Ressourcen-ID-Formats auf Regionsbasis zu aktivieren oder zu deaktivieren. Aktuell wird jedes neu erstellte Konto standardmäßig aktiviert.

Sie können das Format für den neuen Amazon Ressourcennamen (ARN) und die Ressourcen-ID jederzeit an- oder abmelden. Nachdem Sie sich angemeldet haben, verwenden alle neuen Ressourcen, die Sie erstellen, das neue Format.

Anmerkung

Eine Ressourcen-ID ändert sich nicht mehr, nachdem sie erstellt wurde. Daher hat das Opt-in oder Opt-out für das neue Format keinen Einfluss auf Ihre bestehenden Ressourcen-IDs.

In den folgenden Abschnitten wird beschrieben, wie sich die ARN- und Ressourcen-ID-Formate ändern. Weitere Informationen zum Übergang zu den neuen Formaten finden Sie unter Amazon Elastic Container Service – Häufig gestellte Fragen.

Format des Amazon-Ressourcennamens (ARN)

Einige Ressourcen haben einen benutzerfreundlichen Namen (z. B. einen Service namens production). In anderen Fällen müssen Sie eine Ressource mit dem Format des Amazon-Ressourcennamens angeben. Das neue ARN-Format für Amazon-ECS-Aufgaben, -Services und -Container-Instances enthält den Namen des Clusters. Weitere Informationen zur Verwendung des neuen ARN-Formats finden Sie unter Ändern der Kontoeinstellungen.

Die folgende Tabelle zeigt sowohl das aktuelle Format als auch das neue Format für jeden Ressourcentyp:

Ressourcentyp

ARN

Container-Instance

Aktuell: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Neu: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Amazon-ECS-Service

Aktuell: arn:aws:ecs:region:aws_account_id:service/service-name

Neu: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Amazon-ECS-Aufgabe

Aktuell: arn:aws:ecs:region:aws_account_id:task/task-id

Neu: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Länge der Ressourcen-ID

Eine Ressourcen-ID hat die Form einer eindeutigen Kombination von Buchstaben und Zahlen. Neue Ressourcen-ID-Formate enthalten kürzere IDs für Amazon-ECS-Aufgaben und -Container-Instances. Das aktuelle Ressourcen-ID-Format ist 36 Zeichen lang. Die neuen IDs haben 32 Zeichen und enthalten keine Bindestriche. Weitere Informationen zum Verwenden des neuen Ressourcen-ID-Formats finden Sie unter Ändern der Kontoeinstellungen.

Zeitachse im ARN- und Ressourcen-ID-Format

Der Zeitplan für die Opt-in- und Opt-out-Zeiträume für den neuen Amazon-Ressourcennamen (ARN) und das Ressourcen-ID-Format für Amazon-ECS-Ressourcen endete am 1. April 2021. Alle neuen Konten werden standardmäßig für das neue Format aktiviert. Alle neu erstellten Ressourcen erhalten das neue Format, und Sie können es nicht mehr deaktivieren.

AWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140)

Sie müssen die Einhaltung des Bundesstandards für Informationsprozesse (FIPS-140) auf Fargate aktivieren. Weitere Informationen finden Sie unter AWS Fargate Federal Information Processing Standard (FIPS-140).

Führen Sie Folgendes aus: put-account-setting-default mit der Option fargateFIPSMode festgelegt auf enabled. Weitere Informationen finden Sie unter put-account-setting-default in der API-Referenz zum Amazon Elastic Container Service.

  • Sie können den folgenden Befehl verwenden, um die FIPS-140-Compliance zu aktivieren.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Beispielausgabe

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Sie können list-account-settings ausführen, um den aktuellen FIPS-140-Compliancestatus anzuzeigen. Verwenden Sie die Option effective-settings, um die Einstellungen auf Kontoebene anzuzeigen.

aws ecs list-account-settings --effective-settings

Tagging-Autorisierung

Amazon ECS führt die Tagging-Autorisierung für die Erstellung von Ressourcen ein. Benutzer müssen über Markierungsberechtigungen für Aktionen verfügen, die die Ressource erstellen, z. B. ecsCreateCluster. Wenn Sie eine Ressource erstellen und Tags für diese Ressource angeben, AWS führt eine zusätzliche Autorisierung durch, um zu überprüfen, ob Berechtigungen zum Erstellen von Tags vorhanden sind. Daher müssen Sie explizite Berechtigungen für die Verwendung der Aktion ecs:TagResource gewähren. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Um sich für die Tagging-Autorisierung zu entscheiden, führen Sie put-account-setting-default mit der Option tagResourceAuthorization aus, wobei diese auf enable gesetzt werden muss. Weitere Informationen finden Sie unter put-account-setting-default in der API-Referenz zum Amazon Elastic Container Service . Sie können list-account-settings ausführen, um den aktuellen Status der Tagging-Autorisierung einzusehen.

  • Sie können den folgenden Befehl verwenden, um die Tagging-Autorisierung zu aktivieren.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Beispielausgabe

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Nachdem Sie die Tagging-Autorisierung aktiviert haben, müssen Sie die entsprechenden Berechtigungen konfigurieren, damit Benutzer Ressourcen bei der Erstellung markieren können. Weitere Informationen finden Sie unter Berechtigung zum Markieren von Ressourcen bei der Erstellung gewähren.

Sie können list-account-settings ausführen, um den aktuellen Status der Tagging-Autorisierung einzusehen. Verwenden Sie die Option effective-settings, um die Einstellungen auf Kontoebene anzuzeigen.

aws ecs list-account-settings --effective-settings

Zeitplan der Tagging-Autorisierung

Sie können überprüfen, ob die Tag-Autorisierung aktiv ist, indem Sie den Befehl list-account-settings ausführen, um den Wert tagResourceAuthorization anzuzeigen. Wenn der Wert on ist, bedeutet dies, dass die Tagging-Autorisierung verwendet wird. Weitere Informationen finden Sie unter list-account-settings in der API-Referenz zum Amazon Elastic Container Service .

Nachfolgend finden Sie die wichtigen Daten im Zusammenhang mit der Tagging-Autorisierung.

  • 18. April 2023 – Die Tagging-Autorisierung wird eingeführt. Alle neuen und bestehenden Konten müssen sich für die Nutzung dieses Features entscheiden. Sie können sich für die Verwendung der Tagging-Autorisierung entscheiden. Wenn Sie sich für die Nutzung entscheiden, müssen Sie die entsprechenden Berechtigungen gewähren.

  • 9. Februar 2024 bis 6. März 2024 – Für alle neuen Konten und nicht betroffenen bestehenden Konten ist die Markierungsautorisierung auf standardmäßig. Sie können die -tagResourceAuthorizationKontoeinstellung aktivieren oder deaktivieren, um Ihre IAM-Richtlinie zu überprüfen.

    AWS hat die betroffenen Konten benachrichtigt.

    Um das Feature zu deaktivieren, führen Sie aus, put-account-setting-default wobei die tagResourceAuthorization Option auf gesetzt istoff.

  • 7. März 2024 – Wenn Sie die Tagging-Autorisierung aktiviert haben, können Sie die Kontoeinstellung nicht mehr deaktivieren.

    Wir empfehlen Ihnen, Ihre IAM-Richtlinientests vor diesem Datum abzuschließen.

  • 29. März 2024 – Alle Konten verwenden die Tagging-Autorisierung. Die Einstellung auf Kontoebene ist in der Amazon-ECS-Konsole oder nicht mehr verfügbar AWS CLI

AWS Fargate Wartezeit für die Außerbetriebnahme von Aufgaben

AWS sendet Benachrichtigungen, wenn Fargate-Aufgaben auf einer Plattformversion ausgeführt werden, die für die Ausmusterung markiert ist. Weitere Informationen finden Sie unter AWS Häufig FAQs zur Fargate-Aufgabenwartung.

Sie können den Zeitpunkt konfigurieren, zu dem Fargate mit der Außerbetriebnahme der Aufgabe beginnt. Wählen Sie für Workloads, die eine sofortige Anwendung der Updates erfordern, die Einstellung „Sofort“ (0). Wenn Sie mehr Kontrolle benötigen, z. B. wenn eine Aufgabe nur während eines bestimmten Zeitfensters gestoppt werden kann, konfigurieren Sie die Optionen 7 Tage (7) oder 14 Tage (14).

Wir empfehlen Ihnen, eine kürzere Wartezeit zu wählen, damit Sie neuere Versionen der Plattformversionen früher erwerben können.

Konfigurieren Sie die Wartezeit, indem Sie put-account-setting-default oder put-account-setting als Stammbenutzer oder Administratorbenutzer ausführen. Verwenden Sie die Option fargateTaskRetirementWaitPeriod für name und die Option value, die auf einen der folgenden Werte eingestellt ist:

  • 0 - AWS sendet die Benachrichtigung und beginnt sofort, die betroffenen Aufgaben außer Betrieb zu nehmen.

  • 7 - AWS sendet die Benachrichtigung und wartet 7 Tage, bevor mit der Außerbetriebnahme der betroffenen Aufgaben begonnen wird.

  • 14 – AWS sendet die Benachrichtigung und wartet 14 Kalendertage, bevor mit der Außerbetriebnahme der betroffenen Aufgaben begonnen wird.

Der Standardwert ist 7 Tage.

Weitere Informationen finden Sie unter put-account-setting-default und put-account-setting in der API-Referenz zum Amazon Elastic Container Service .

Sie können den folgenden Befehl ausführen, um die Wartezeit auf 14 Tage festzulegen.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Beispielausgabe

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Sie können list-account-settings ausführen, um die aktuelle Fargate-Wartezeit für die Außerbetriebnahme der Aufgabe anzuzeigen. Verwenden Sie die Option effective-settings.

aws ecs list-account-settings --effective-settings

Laufzeit-Überwachung (Amazon- GuardDuty Integration)

Die Laufzeitüberwachung ist ein intelligenter Bedrohungserkennungsservice, der Workloads schützt, die auf Fargate- und EC2-Container-Instances ausgeführt werden, indem er die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht, um böswilliges oder unbefugtes Verhalten zu identifizieren.

Der guardDutyActivate Parameter ist schreibgeschützt in Amazon ECS und gibt an, ob die Laufzeit-Überwachung von Ihrem Sicherheitsadministrator in Ihrem Amazon-ECS-Konto aktiviert oder deaktiviert wird. GuardDuty steuert diese Kontoeinstellung in Ihrem Namen. Weitere Informationen finden Sie unter Schutz von Amazon-ECS-Workloads mit Laufzeitüberwachung.

Sie können ausführenlist-account-settings, um die aktuelle GuardDuty Integrationseinstellung anzuzeigen. 

aws ecs list-account-settings

Beispielausgabe

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}