Amazon ECS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink) - Amazon Elastic Container Service
Überlegungen zu Amazon ECS VPC-EndpunktenErstellen der VPC-Endpunkte für Amazon ECSErstellen einer VPC-Endpunktrichtlinie für Amazon ECS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon ECS und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Sie können die Sicherheit Ihrer VPC erhöhen, indem Sie Amazon ECS so konfigurieren, dass ein Schnittstellen-VPC-Endpunkt verwendet wird. Schnittstellenendpunkte werden von unterstützt AWS PrivateLink, einer Technologie, mit der Sie privat auf Amazon-ECS-APIs zugreifen können, indem Sie private IP-Adressen verwenden. AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon ECS auf das Amazon-Netzwerk ein. Sie benötigen kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.

Weitere Informationen zu AWS PrivateLink und VPC-Endpunkten finden Sie unter VPC-Endpunkte im Amazon-VPC-Benutzerhandbuch.

Überlegungen zu Amazon ECS VPC-Endpunkten

Überlegungen zu Amazon-ECS-VPC-Endpunkten für den Starttyp Fargate

Seien Sie sich der folgenden Aspekte bewusst, bevor Sie VPC-Endpunkte für Amazon ECS einrichten:

  • Aufgaben, die den Fargate-Starttyp verwenden, erfordern keine Schnittstellen-VPC-Endpunkte für Amazon ECS, aber Sie benötigen möglicherweise Schnittstellen-VPC-Endpunkte für Amazon ECR, Secrets Manager oder Amazon CloudWatch Logs, die in den folgenden Punkten beschrieben sind.

    • Damit Ihre Aufgaben private Images von Amazon ECR abrufen können, müssen Sie Schnittstellen-VPC-Endpunkte für Amazon ECR erstellen. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon Elastic Container-Registry-Benutzerhandbuch.

      Wenn Ihre VPC kein Internet-Gateway hat, müssen Sie den Gateway-Endpunkt für Amazon S3 erstellen. Weitere Informationen finden Sie unter Erstellen des Amazon-S3-Gateway-Endpunkts im Benutzerhandbuch für Amazon Elastic Container Registry. Die Schnittstellen-Endpunkte für Amazon S3 können nicht mit Amazon ECR verwendet werden.

      Wichtig

      Wenn Sie Amazon ECR für die Verwendung eines Schnittstellen-VPC-Endpunkts konfigurieren, können Sie eine Aufgabenausführungsrolle erstellen, die die Bedingungsschlüssel für die Einschränkung des Zugriffs auf eine bestimmte VPC oder einen bestimmten VPC-Endpunkt enthält. Weitere Informationen finden Sie unter Optionale IAM-Berechtigungen für Fargate-Aufgaben, die Amazon ECR-Images über Schnittstellen-Endpunkte abrufen.

    • Damit Ihre Aufgaben sensitive Daten von Secrets Manager abrufen können, müssen Sie die Schnittstellen-VPC-Endpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC-Endpunkten im AWS Secrets Manager -Benutzerhandbuch.

    • Wenn Ihre VPC kein Internet-Gateway hat und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um Protokollinformationen an - CloudWatch Protokolle zu senden, müssen Sie einen Schnittstellen-VPC-Endpunkt für - CloudWatch Protokolle erstellen. Weitere Informationen finden Sie unter Verwenden von CloudWatch Protokollen mit Schnittstellen-VPC-Endpunkten im Amazon- CloudWatch Logs-Benutzerhandbuch.

  • VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an Amazon ECS ausgeben möchten. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den Amazon-ECS-VPC-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein in einer anderen Region erstellter Amazon-ECS-VPC-Endpunkt kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf TCP-Port 443 aus dem privaten Subnetz der VPC zulassen.

  • Die Service-Connect-Verwaltung des Envoy-Proxys verwendet den com.amazonaws.region.ecs-agent-VPC-Endpunkt. Wenn Sie die VPC-Endpunkte nicht verwenden, verwendet die Service-Connect-Verwaltung des Envoy-Proxys den ecs-sc-Endpunkt in dieser Region. Eine Liste der Amazon-ECS-Endpunkte in jeder Region finden Sie unter Amazon-ECS-Endpunkte und Kontingente.

Überlegungen zu Amazon-ECS-VPC-Endpunkten für den Starttyp EC2

Seien Sie sich der folgenden Aspekte bewusst, bevor Sie VPC-Endpunkte für Amazon ECS einrichten:

  • Für Aufgaben, die den EC2-Starttyp verwenden, müssen die Container-Instances, für die sie gestartet werden, mindestens Version 1.25.1 oder höher des Amazon-ECS-Container-Agents ausführen. Weitere Informationen finden Sie unter Verwaltung von Linux-Container-Instances.

  • Damit Ihre Aufgaben sensitive Daten von Secrets Manager abrufen können, müssen Sie die Schnittstellen-VPC-Endpunkte für Secrets Manager erstellen. Weitere Informationen finden Sie unter Verwenden von Secrets Manager mit VPC-Endpunkten im AWS Secrets Manager -Benutzerhandbuch.

  • Wenn Ihre VPC kein Internet-Gateway hat und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um Protokollinformationen an - CloudWatch Protokolle zu senden, müssen Sie einen Schnittstellen-VPC-Endpunkt für - CloudWatch Protokolle erstellen. Weitere Informationen finden Sie unter Verwenden von CloudWatch Protokollen mit Schnittstellen-VPC-Endpunkten im Amazon- CloudWatch Logs-Benutzerhandbuch.

  • VPC-Endpunkte unterstützen derzeit keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an Amazon ECS ausgeben möchten. Nehmen wir zum Beispiel an, Sie möchten Aufgaben in USA Ost (Nord-Virginia) ausführen. Anschließend müssen Sie den Amazon-ECS-VPC-Endpunkt in USA Ost (Nord-Virginia) erstellen. Ein in einer anderen Region erstellter Amazon-ECS-VPC-Endpunkt kann keine Aufgaben in USA Ost (Nord-Virginia) ausführen.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf TCP-Port 443 aus dem privaten Subnetz der VPC zulassen.

Erstellen der VPC-Endpunkte für Amazon ECS

Um den VPC-Endpunkt für den Amazon-ECS-Service zu erstellen, verwenden Sie die Prozedur Creating an Interface Endpoint (Einen Schnittstellen-Endpunkt erstellen) im Amazon VPC-Benutzerhandbuch, um die folgenden Endpunkte zu erstellen: Wenn in Ihrer VPC Container-Instances vorhanden sind, sollten Sie die Endpunkte in der Reihenfolge erstellen, in der sie aufgelistet werden. Wenn Sie vorhaben, Ihre Container-Instances nach Ihrem VPC-Endpunkt zu erstellen, dann spielt die Reihenfolge keine Rolle.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Anmerkung

region repräsentiert die Regions-ID für eine von AWS unterstützte Amazon-ECS-Region, z. B. us-east-2 für die Region USA Ost (Ohio).

Der ecs-agent Endpunkt verwendet die ecs:poll -API und der ecs-telemetry Endpunkt die - ecs:poll und ecs:StartTelemetrySession-API.

Wenn Aufgaben vorhanden sind, die den EC2-Starttyp verwenden, muss jede Container-Instance nach dem Erstellen der VPC-Endpunkte die neue Konfiguration übernehmen. Damit dies möglich ist, müssen Sie entweder jede Container-Instance neu starten oder den Amazon-ECS-Container-Agenten für jede Container-Instance neu starten. Um den Container-Agenten neu zu starten, führen Sie die folgenden Schritte aus.

Neustarten des Amazon-ECS-Container-Agenten

  1. Melden Sie sich bei Ihrer Container-Instance über SSH an.

  2. Halten Sie den Container-Agent an.

    sudo docker stop ecs-agent

  3. Starten Sie den Container-Agenten.

    sudo docker start ecs-agent

Nachdem Sie die VPC-Endpunkte erstellt haben und der Amazon-ECS-Container-Agent für jede Container-Instance neu gestartet wurde, wird die neue Konfiguration von allen neu gestarteten Aufgaben übernommen.

Erstellen einer VPC-Endpunktrichtlinie für Amazon ECS

Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf Amazon ECS steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für Amazon-ECS-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon ECS. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die Berechtigung zum Erstellen und Auflisten von Clustern. Die Aktionen CreateCluster und ListClusters akzeptieren keine Ressourcen, daher wird die Ressourcendefinition auf * für alle Ressourcen festgelegt. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}