Acceso a las funciones de Amazon ECS a través de la configuración de la cuenta - Amazon Elastic Container Service
Nombres de recursos de Amazon (ARN) e IDEscala de tiempo del formato de ARN e ID de recursoAWS Fargate Cumplimiento de la Norma Federal de Procesamiento de Información (FIPS-140)Autorización de etiquetadoPlazos de la autorización de etiquetadoAWS Fargate tiempo de espera para la retirada de tareasMonitorización del tiempo de ejecución ( GuardDuty integración con Amazon)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a las funciones de Amazon ECS a través de la configuración de la cuenta

Puede acceder a la configuración de cuenta de Amazon ECS para optar por incluir o no características específicas. En cada Región de AWS, puede optar por incluir o no cada configuración de cuenta en el nivel de cuenta o para un usuario o rol específico.

Puede optar por incluir o no características específicas si alguno de los siguientes aspectos es relevante para usted:

  • Un usuario o rol puede optar por incluir o no ajustes de cuenta específicos en su cuenta individual.

  • Un usuario o rol puede establecer la configuración predeterminada de características incluidas o no para todos los usuarios de la cuenta.

  • El usuario root o un usuario con privilegios de administrador pueden activar o desactivar cualquier función o usuario específico de la cuenta. Si la configuración de cuenta del usuario raíz cambia, se establece el valor predeterminado para todos los usuarios o roles para los que no se hubiera establecido una configuración de cuenta individual.

nota

Los usuarios federados adoptan la configuración de cuenta del usuario raíz y no se puede establecer una configuración de cuenta explícita para ellos de manera individual.

Las configuraciones de cuenta disponibles son las que se indican a continuación. Debe activar y desactivar cada configuración de la cuenta por separado.

Nombres de recursos de Amazon (ARN) e ID

Nombres de recursos: serviceLongArnFormat, taskLongArnFormat y containerInstanceLongArnFormat

Amazon ECS presenta un nuevo formato para los nombres de recurso de Amazon (ARN) y los ID de recurso para instancias de contenedor, tarea y servicio de Amazon ECS. El estado de opción incluida para cada tipo de recurso determina el formato de Nombre de recurso de Amazon (ARN) que utiliza el recurso. Debe optar por incluir el nuevo formato de ARN para utilizar características como el etiquetado de recursos para ese tipo de recurso. Para obtener más información, consulte Nombres de recursos de Amazon (ARN) e ID.

El valor predeterminado es enabled.

Solo los recursos que se lancen después de optar por incluirlo recibirán el nuevo formato de ARN e ID de recurso. No se ven afectados todos los recursos existentes. Para hacer la transición de las tareas y los servicios de Amazon ECS a los nuevos formatos de ARN e ID de recurso, se debe volver a crear el servicio o la tarea. Para realizar la transición de una instancia de contenedor al nuevo formato de ARN e ID de recurso, la instancia de contenedor se debe vaciar y se debe lanzar y registrar una nueva en el clúster.

nota

Las tareas lanzadas por un servicio de Amazon ECS solo pueden recibir el nuevo formato de ARN e ID de recurso si el servicio se creó el 16 de noviembre de 2018 o con posterioridad y el usuario que creó el servicio optó por incluir el nuevo formato de las tareas.

AWSVPC enlace troncal

Nombre del recurso: awsvpcTrunking

Amazon ECS es compatible con el lanzamiento de instancias de contenedor con mayor densidad de interfaz de red elástica (ENI) que utilizan tipos de instancia de Amazon EC2 admitidos. Cuando se utilizan estos tipos de instancias y se elige el ajuste de cuenta awsvpcTrunking, aparecen ENI adicionales disponibles en las instancias de contenedor recién lanzadas. Puede utilizar esta configuración para colocar más tareas utilizando el modo de red awsvpc en cada instancia de contenedor. Gracias a esta característica, una instancia c5.large con awsvpcTrunking habilitado tiene un aumento en la cuota de ENI de diez. La instancia de contenedor tiene una interfaz de red principal, y Amazon ECS crea y asocia una interfaz de red “troncal” a la instancia de contenedor. La interfaz de red principal y la interfaz de red troncal no cuentan para la cuota de ENI. Por lo tanto, puede utilizar esta configuración para lanzar diez tareas en la instancia de contenedor, en lugar de las dos tareas actuales. Para obtener más información, consulte Enlace troncal de interfaz de red elástica.

El valor predeterminado es disabled.

Solo los recursos que se lancen después de optar por su inclusión reciben el aumento de los límites de ENI. No se ven afectados todos los recursos existentes. Para realizar la transición de una instancia de contenedor al aumento de las cuotas de ENI, la instancia de contenedor se debe vaciar y se debe registrar una nueva en el clúster.

CloudWatch Información sobre contenedores

Nombre del recurso: containerInsights

CloudWatch Container Insights recopila, agrega y resume las métricas y los registros de sus aplicaciones y microservicios en contenedores. Las métricas incluyen la utilización de recursos como CPU, memoria, disco y red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarle a aislar problemas y solucionarlos rápidamente. También puede establecer alarmas de CloudWatch en las métricas que recopila Container Insights. Para obtener más información, consulte Supervise los contenedores de Amazon ECS mediante Container Insights.

Al optar por incluir la configuración de cuenta containerInsights, todos los clústeres nuevos tienen habilitado Container Insights de forma predeterminada. Puede desactivar esta configuración para clústeres específicos cuando los crea. También puedes cambiar esta configuración mediante la API. UpdateClusterSettings

Para los clústeres que contengan tareas o servicios que utilicen el tipo de lanzamiento EC2, las instancias de contenedor deben ejecutar la versión 1.29.0 o una versión posterior del agente de Amazon ECS para usar Container Insights. Para obtener más información, consulte Administración de instancias de contenedor.

El valor predeterminado es disabled.

VPC IPv6 de doble pila

Nombre del recurso: dualStackIPv6

Amazon ECS admite proporcionar tareas con una dirección IPv6 además de la dirección IPv4 privada principal.

Para que las tareas reciban una dirección IPv6, la tarea debe utilizar el modo de red awsvpc, debe lanzarse en una VPC configurada para el modo de doble pila, y la configuración de cuenta dualStackIPv6 debe estar habilitada. Para obtener más información sobre otros requisitos, consulte el tipo Utilización de una VPC en modo de pila doble de lanzamiento EC2 y el tipo Utilización de una VPC en modo de pila doble de lanzamiento Fargate.

importante

La configuración de cuenta dualStackIPv6 solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta.

Si tenía una tarea en ejecución con el modo de red awsvpc en una subred habilitada para IPv6 entre el 1.° de octubre de 2020 y el 2 de noviembre de 2020, la configuración de cuenta dualStackIPv6 predeterminada en la región en la que se estaba ejecutando la tarea es disabled. Si esa condición no se cumple, la configuración dualStackIPv6 predeterminada en la región es enabled.

El valor predeterminado es disabled.

Conformidad de Fargate con la norma FIPS-140

Nombre del recurso: fargateFIPSMode

Fargate presta conformidad con el Federal Information Processing Standard (FIPS, Estándar Federal de Procesamiento de Información) 140, que especifica los requisitos de seguridad para los módulos criptográficos que protegen información confidencial. Es la norma gubernamental actual de los Estados Unidos y Canadá y se aplica a los sistemas que deben cumplir con la Federal Information Security Management Act (FISMA, Ley Federal de Gestión de la Seguridad de la Información) o el Federal Risk and Authorization Management Program (FedRAMP, Programa Federal de Gestión de Riesgos y Autorizaciones).

El valor predeterminado es disabled.

Debe activar la conformidad con la norma FIPS-140. Para obtener más información, consulte AWS Fargate Norma federal de procesamiento de información (FIPS-140).

importante

La configuración de cuenta fargateFIPSMode solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta.

Autorización de recursos con etiquetas

Nombre del recurso: tagResourceAuthorization

Algunas acciones de la API de Amazon ECS permiten especificar etiquetas durante la creación del recurso.

Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos para realizar acciones que creen un recurso, por ejemplo. ecsCreateCluster Si se especifican etiquetas en la acción de creación del recurso, AWS autoriza adicionalmente la ecs:TagResource acción para comprobar si los usuarios o los roles tienen permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Período de espera para el retiro de tareas de Fargate

Nombre del recurso: fargateTaskRetirementWaitPeriod

AWS es responsable de parchear y mantener la infraestructura subyacente de AWS Fargate. Cuando se AWS determina que es necesaria una actualización de seguridad o infraestructura para una tarea de Amazon ECS alojada en Fargate, es necesario detener las tareas y lanzar nuevas tareas para sustituirlas. Puede configurar el período de espera antes de que se retiren las tareas para aplicar parches. Tiene la opción de retirar la tarea inmediatamente, esperar 7 días naturales o 14 días naturales.

Esta configuración se hace en el nivel de la cuenta.

Activación de Runtime Monitoring

Nombre del recurso: guardDutyActivate

El guardDutyActivate parámetro es de solo lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado Runtime Monitoring. GuardDuty controla la configuración de esta cuenta en su nombre. Para obtener más información, consulte Protección de las cargas de trabajo de Amazon ECS con Runtime Monitoring.

Temas

Nombres de recursos de Amazon (ARN) e ID

Cuando se crean recursos de Amazon ECS, a cada recurso se le asigna un nombre de recurso de Amazon (ARN) y un identificador de recurso (ID) únicos. Si utiliza herramientas de línea de comandos o la API de Amazon ECS para trabajar con Amazon ECS, se requieren ARN o ID de recurso para determinados comandos. Por ejemplo, si utiliza el AWS CLI comando stop-task para detener una tarea, debe especificar el ARN o el ID de la tarea en el comando.

Puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recurso a cada región. En la actualidad, las cuentas nuevas que se crean tienen esta opción incluida de forma predeterminada.

Puede optar por inscribirse o no en el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recursos en cualquier momento. Una vez que se haya registrado, todos los recursos nuevos que cree utilizarán el nuevo formato.

nota

Un ID de recurso no cambia después de haberlo creado. Por lo tanto, la posibilidad de optar por incluir o no el nuevo formato no afecta a los ID de recursos existentes.

En las siguientes secciones se describe cómo están cambiando los formatos de ID de recurso y ARN. Para obtener más información acerca de la transición a los nuevos formatos, consulte Preguntas frecuentes acerca de Amazon Elastic Container Service.

Formato de nombre de recurso de Amazon (ARN)

Algunos de los recursos tienen un nombre fácil de recordar como, por ejemplo, un servicio denominado production. En otros casos, debe especificar un recurso utilizando el formato de nombre de recurso de Amazon (ARN). El nuevo formato de ARN para tareas, servicios e instancias de contenedor de Amazon ECS incluye el nombre del clúster. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ARN, consulte Modificación de la configuración de cuenta.

En la siguiente tabla se muestra el formato actual y el nuevo formato para cada tipo de recurso.

Tipo de recurso

ARN

Instancia de contenedor

Actual: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Nuevo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Servicio de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:service/service-name

Nuevo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Tarea de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:task/task-id

Nuevo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Longitud del ID del recurso

Un ID de recursos adopta la forma de una combinación única de letras y números. Los nuevos formatos de ID de recurso incluyen ID más cortos para tareas e instancias de contenedor de Amazon ECS. El formato de ID de recurso actual tiene 36 caracteres. Los nuevos ID tienen un formato de 32 caracteres y no incluyen guiones. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ID de recurso, consulte Modificación de la configuración de cuenta.

Escala de tiempo del formato de ARN e ID de recurso

La escala de tiempo para los periodos en los que se puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) y de ID de recursos de Amazon ECS finalizó el 1 de abril de 2021. De forma predeterminada, todas las cuentas nuevas optan por incluir el nuevo formato. Todos los recursos nuevos que se creen recibirán el nuevo formato y ya no puede optar por excluirlo.

AWS Fargate Cumplimiento de la Norma Federal de Procesamiento de Información (FIPS-140)

Debe activar la conformidad de Fargate con el Estándar Federal de Procesamiento de Información (FIPS-140). Para obtener más información, consulte AWS Fargate Norma federal de procesamiento de información (FIPS-140).

Ejecute put-account-setting-default con la opción fargateFIPSMode establecida en enabled. Para obtener más información, consulte la referencia put-account-setting-defaultde la API de Amazon Elastic Container Service.

  • Puede usar el siguiente comando para activar la conformidad con la norma FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Ejemplo de resultados

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Puede ejecutar list-account-settings para ver el estado actual de conformidad con la norma FIPS-140. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Autorización de etiquetado

Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos de etiquetado para las acciones que crean el recurso, por ejemplo. ecsCreateCluster Al crear un recurso y especificar etiquetas para ese recurso, AWS realiza una autorización adicional para comprobar que hay permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Para optar por la autorización de etiquetado, ejecute put-account-setting-default con la opción tagResourceAuthorization establecida en enable. Para obtener más información, consulte la referencia put-account-setting-defaultde la API de Amazon Elastic Container Service. Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado.

  • Puede usar el siguiente comando para habilitar la autorización de etiquetado.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Ejemplo de resultados

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Tras habilitar la autorización de etiquetado, debe configurar los permisos adecuados para permitir a los usuarios etiquetar los recursos al crearlos. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Plazos de la autorización de etiquetado

Puede confirmar si la autorización de etiquetado está activa ejecutando list-account-settings para ver el valor tagResourceAuthorization. Cuando el valor sea on, quiere decir que la autorización de etiquetado está en uso. Para obtener más información, consulte la referencia list-account-settingsde la API de Amazon Elastic Container Service.

A continuación, se incluyen las fechas importantes relacionadas con la autorización de etiquetado.

  • 18 de abril de 2023: se presenta la autorización de etiquetado. Todas las cuentas nuevas y existentes deben optar por el uso de la característica. Puede optar por empezar a utilizar la autorización de etiquetado. Al optar por la opción, debe conceder los permisos correspondientes.

  • Del 9 de febrero de 2024 al 6 de marzo de 2024: todas las cuentas nuevas y las cuentas existentes no afectadas tienen la autorización de etiquetado activada de forma predeterminada. Puedes activar o desactivar la configuración de la tagResourceAuthorization cuenta para verificar tu política de IAM.

    AWS ha notificado a las cuentas afectadas.

    Para deshabilitar la función, put-account-setting-default ejecútela con la tagResourceAuthorization opción establecida enoff.

  • 7 de marzo de 2024: si has activado la autorización de etiquetado, ya no podrás deshabilitar la configuración de la cuenta.

    Le recomendamos que complete las pruebas de la política de IAM antes de esta fecha.

  • 29 de marzo de 2024: todas las cuentas utilizan la autorización de etiquetado. La configuración a nivel de cuenta ya no estará disponible en la consola de Amazon ECS o AWS CLI

AWS Fargate tiempo de espera para la retirada de tareas

AWS envía notificaciones cuando tienes tareas de Fargate ejecutándose en una revisión de la versión de la plataforma marcada como retirada. Para obtener más información, consulte AWS Preguntas frecuentes sobre el mantenimiento de tareas de Fargate.

Puede configurar la hora a la que Fargate inicia el retiro de las tareas. Para las cargas de trabajo que requieren la aplicación inmediata de las actualizaciones, elija la configuración inmediata (0). Cuando necesite más control, por ejemplo, cuando una tarea solo se pueda detener durante un período determinado, configure la opción de 7 días (7) o 14 días (14).

Le recomendamos que elija un período de espera más corto para poder seleccionar antes las revisiones de las versiones más recientes de la plataforma.

Configure el período de espera ejecutando put-account-setting-default o put-account-setting como usuario root o usuario administrativo. Utilice la opción fargateTaskRetirementWaitPeriod para el conjunto de opciones name y value para uno de los valores siguientes:

  • 0- AWS envía la notificación e inmediatamente comienza a retirar las tareas afectadas.

  • 7- AWS envía la notificación y espera 7 días naturales antes de empezar a retirar las tareas afectadas.

  • 14 - AWS envía la notificación y espera 14 días calendario antes de empezar a retirar las tareas afectadas.

El valor predeterminado es 7 días.

Para obtener más información, consulte put-account-setting-defaulty put-account-settingen la referencia de la API de Amazon Elastic Container Service.

Puede ejecutar el siguiente comando para establecer el período de espera en 14 días.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Ejemplo de resultados

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puede ejecutar list-account-settings para ver el tiempo de espera actual para el retiro de tareas de Fargate. Use la opción effective-settings.

aws ecs list-account-settings --effective-settings

Monitorización del tiempo de ejecución ( GuardDuty integración con Amazon)

Runtime Monitoring es un servicio inteligente de detección de amenazas que protege las cargas de trabajo que se ejecutan en las instancias de contenedores Fargate y EC2 mediante la AWS supervisión continua de la actividad de registro y red para identificar comportamientos malintencionados o no autorizados.

El guardDutyActivate parámetro es de solo lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado Runtime Monitoring. GuardDuty controla la configuración de esta cuenta en su nombre. Para obtener más información, consulte Protección de las cargas de trabajo de Amazon ECS con Runtime Monitoring.

Puede correr list-account-settings para ver la configuración de GuardDuty integración actual. 

aws ecs list-account-settings

Ejemplo de resultados

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}