Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acceso a las funciones de Amazon ECS a través de la configuración de la cuenta
Puede acceder a la configuración de cuenta de Amazon ECS para optar por incluir o no características específicas. En cada Región de AWS, puede optar por incluir o no cada configuración de cuenta en el nivel de cuenta o para un usuario o rol específico.
Puede optar por incluir o no características específicas si alguno de los siguientes aspectos es relevante para usted:
-
Un usuario o rol puede optar por incluir o no ajustes de cuenta específicos en su cuenta individual.
-
Un usuario o rol puede establecer la configuración predeterminada de características incluidas o no para todos los usuarios de la cuenta.
-
El usuario root o un usuario con privilegios de administrador pueden activar o desactivar cualquier función o usuario específico de la cuenta. Si la configuración de cuenta del usuario raíz cambia, se establece el valor predeterminado para todos los usuarios o roles para los que no se hubiera establecido una configuración de cuenta individual.
nota
Los usuarios federados adoptan la configuración de cuenta del usuario raíz y no se puede establecer una configuración de cuenta explícita para ellos de manera individual.
Las configuraciones de cuenta disponibles son las que se indican a continuación. Debe activar y desactivar cada configuración de la cuenta por separado.
- Nombres de recursos de Amazon (ARN) e ID
-
Nombres de recursos:
serviceLongArnFormat
,taskLongArnFormat
ycontainerInstanceLongArnFormat
Amazon ECS presenta un nuevo formato para los nombres de recurso de Amazon (ARN) y los ID de recurso para instancias de contenedor, tarea y servicio de Amazon ECS. El estado de opción incluida para cada tipo de recurso determina el formato de Nombre de recurso de Amazon (ARN) que utiliza el recurso. Debe optar por incluir el nuevo formato de ARN para utilizar características como el etiquetado de recursos para ese tipo de recurso. Para obtener más información, consulte Nombres de recursos de Amazon (ARN) e ID.
El valor predeterminado es
enabled
.Solo los recursos que se lancen después de optar por incluirlo recibirán el nuevo formato de ARN e ID de recurso. No se ven afectados todos los recursos existentes. Para hacer la transición de las tareas y los servicios de Amazon ECS a los nuevos formatos de ARN e ID de recurso, se debe volver a crear el servicio o la tarea. Para realizar la transición de una instancia de contenedor al nuevo formato de ARN e ID de recurso, la instancia de contenedor se debe vaciar y se debe lanzar y registrar una nueva en el clúster.
nota
Las tareas lanzadas por un servicio de Amazon ECS solo pueden recibir el nuevo formato de ARN e ID de recurso si el servicio se creó el 16 de noviembre de 2018 o con posterioridad y el usuario que creó el servicio optó por incluir el nuevo formato de las tareas.
- AWSVPC enlace troncal
-
Nombre del recurso:
awsvpcTrunking
Amazon ECS es compatible con el lanzamiento de instancias de contenedor con mayor densidad de interfaz de red elástica (ENI) que utilizan tipos de instancia de Amazon EC2 admitidos. Cuando se utilizan estos tipos de instancias y se elige el ajuste de cuenta
awsvpcTrunking
, aparecen ENI adicionales disponibles en las instancias de contenedor recién lanzadas. Puede utilizar esta configuración para colocar más tareas utilizando el modo de redawsvpc
en cada instancia de contenedor. Gracias a esta característica, una instanciac5.large
conawsvpcTrunking
habilitado tiene un aumento en la cuota de ENI de diez. La instancia de contenedor tiene una interfaz de red principal, y Amazon ECS crea y asocia una interfaz de red “troncal” a la instancia de contenedor. La interfaz de red principal y la interfaz de red troncal no cuentan para la cuota de ENI. Por lo tanto, puede utilizar esta configuración para lanzar diez tareas en la instancia de contenedor, en lugar de las dos tareas actuales. Para obtener más información, consulte Enlace troncal de interfaz de red elástica.El valor predeterminado es
disabled
.Solo los recursos que se lancen después de optar por su inclusión reciben el aumento de los límites de ENI. No se ven afectados todos los recursos existentes. Para realizar la transición de una instancia de contenedor al aumento de las cuotas de ENI, la instancia de contenedor se debe vaciar y se debe registrar una nueva en el clúster.
- CloudWatch Información sobre contenedores
-
Nombre del recurso:
containerInsights
CloudWatch Container Insights recopila, agrega y resume las métricas y los registros de sus aplicaciones y microservicios en contenedores. Las métricas incluyen la utilización de recursos como CPU, memoria, disco y red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarle a aislar problemas y solucionarlos rápidamente. También puede establecer alarmas de CloudWatch en las métricas que recopila Container Insights. Para obtener más información, consulte Supervise los contenedores de Amazon ECS mediante Container Insights.
Al optar por incluir la configuración de cuenta
containerInsights
, todos los clústeres nuevos tienen habilitado Container Insights de forma predeterminada. Puede desactivar esta configuración para clústeres específicos cuando los crea. También puedes cambiar esta configuración mediante la API. UpdateClusterSettingsPara los clústeres que contengan tareas o servicios que utilicen el tipo de lanzamiento EC2, las instancias de contenedor deben ejecutar la versión 1.29.0 o una versión posterior del agente de Amazon ECS para usar Container Insights. Para obtener más información, consulte Administración de instancias de contenedor.
El valor predeterminado es
disabled
. - VPC IPv6 de doble pila
-
Nombre del recurso:
dualStackIPv6
Amazon ECS admite proporcionar tareas con una dirección IPv6 además de la dirección IPv4 privada principal.
Para que las tareas reciban una dirección IPv6, la tarea debe utilizar el modo de red
awsvpc
, debe lanzarse en una VPC configurada para el modo de doble pila, y la configuración de cuentadualStackIPv6
debe estar habilitada. Para obtener más información sobre otros requisitos, consulte el tipo Utilización de una VPC en modo de pila doble de lanzamiento EC2 y el tipo Utilización de una VPC en modo de pila doble de lanzamiento Fargate.importante
La configuración de cuenta
dualStackIPv6
solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta.Si tenía una tarea en ejecución con el modo de red
awsvpc
en una subred habilitada para IPv6 entre el 1.° de octubre de 2020 y el 2 de noviembre de 2020, la configuración de cuentadualStackIPv6
predeterminada en la región en la que se estaba ejecutando la tarea esdisabled
. Si esa condición no se cumple, la configuracióndualStackIPv6
predeterminada en la región esenabled
.El valor predeterminado es
disabled
. - Conformidad de Fargate con la norma FIPS-140
-
Nombre del recurso:
fargateFIPSMode
Fargate presta conformidad con el Federal Information Processing Standard (FIPS, Estándar Federal de Procesamiento de Información) 140, que especifica los requisitos de seguridad para los módulos criptográficos que protegen información confidencial. Es la norma gubernamental actual de los Estados Unidos y Canadá y se aplica a los sistemas que deben cumplir con la Federal Information Security Management Act (FISMA, Ley Federal de Gestión de la Seguridad de la Información) o el Federal Risk and Authorization Management Program (FedRAMP, Programa Federal de Gestión de Riesgos y Autorizaciones).
El valor predeterminado es
disabled
.Debe activar la conformidad con la norma FIPS-140. Para obtener más información, consulte AWS Fargate Norma federal de procesamiento de información (FIPS-140).
importante
La configuración de cuenta
fargateFIPSMode
solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta. - Autorización de recursos con etiquetas
-
Nombre del recurso:
tagResourceAuthorization
Algunas acciones de la API de Amazon ECS permiten especificar etiquetas durante la creación del recurso.
Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos para realizar acciones que creen un recurso, por ejemplo.
ecsCreateCluster
Si se especifican etiquetas en la acción de creación del recurso, AWS autoriza adicionalmente laecs:TagResource
acción para comprobar si los usuarios o los roles tienen permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acciónecs:TagResource
. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación. - Período de espera para el retiro de tareas de Fargate
-
Nombre del recurso:
fargateTaskRetirementWaitPeriod
AWS es responsable de parchear y mantener la infraestructura subyacente de AWS Fargate. Cuando se AWS determina que es necesaria una actualización de seguridad o infraestructura para una tarea de Amazon ECS alojada en Fargate, es necesario detener las tareas y lanzar nuevas tareas para sustituirlas. Puede configurar el período de espera antes de que se retiren las tareas para aplicar parches. Tiene la opción de retirar la tarea inmediatamente, esperar 7 días naturales o 14 días naturales.
Esta configuración se hace en el nivel de la cuenta.
- Activación de Runtime Monitoring
-
Nombre del recurso:
guardDutyActivate
El
guardDutyActivate
parámetro es de solo lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado Runtime Monitoring. GuardDuty controla la configuración de esta cuenta en su nombre. Para obtener más información, consulte Protección de las cargas de trabajo de Amazon ECS con Runtime Monitoring.
Temas
- Nombres de recursos de Amazon (ARN) e ID
- Escala de tiempo del formato de ARN e ID de recurso
- AWS Fargate Cumplimiento de la Norma Federal de Procesamiento de Información (FIPS-140)
- Autorización de etiquetado
- Plazos de la autorización de etiquetado
- AWS Fargate tiempo de espera para la retirada de tareas
- Monitorización del tiempo de ejecución ( GuardDuty integración con Amazon)
- Para ver la configuración de cuenta mediante la consola
- Modificación de la configuración de cuenta
- Revertir a las configuraciones de cuenta predeterminadas de Amazon ECS
- Administración de la configuración de la cuenta mediante la AWS CLI
Nombres de recursos de Amazon (ARN) e ID
Cuando se crean recursos de Amazon ECS, a cada recurso se le asigna un nombre de recurso de Amazon (ARN) y un identificador de recurso (ID) únicos. Si utiliza herramientas de línea de comandos o la API de Amazon ECS para trabajar con Amazon ECS, se requieren ARN o ID de recurso para determinados comandos. Por ejemplo, si utiliza el AWS CLI comando stop-task para detener una tarea, debe especificar el ARN o el ID de la tarea en el comando.
Puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recurso a cada región. En la actualidad, las cuentas nuevas que se crean tienen esta opción incluida de forma predeterminada.
Puede optar por inscribirse o no en el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recursos en cualquier momento. Una vez que se haya registrado, todos los recursos nuevos que cree utilizarán el nuevo formato.
nota
Un ID de recurso no cambia después de haberlo creado. Por lo tanto, la posibilidad de optar por incluir o no el nuevo formato no afecta a los ID de recursos existentes.
En las siguientes secciones se describe cómo están cambiando los formatos de ID de recurso y ARN. Para obtener más información acerca de la transición a los nuevos formatos, consulte Preguntas frecuentes acerca de Amazon Elastic Container Service
Formato de nombre de recurso de Amazon (ARN)
Algunos de los recursos tienen un nombre fácil de recordar como, por ejemplo, un servicio denominado production
. En otros casos, debe especificar un recurso utilizando el formato de nombre de recurso de Amazon (ARN). El nuevo formato de ARN para tareas, servicios e instancias de contenedor de Amazon ECS incluye el nombre del clúster. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ARN, consulte Modificación de la configuración de cuenta.
En la siguiente tabla se muestra el formato actual y el nuevo formato para cada tipo de recurso.
Tipo de recurso |
ARN |
---|---|
Instancia de contenedor |
Actual: Nuevo: |
Servicio de Amazon ECS |
Actual: Nuevo: |
Tarea de Amazon ECS |
Actual: Nuevo: |
Longitud del ID del recurso
Un ID de recursos adopta la forma de una combinación única de letras y números. Los nuevos formatos de ID de recurso incluyen ID más cortos para tareas e instancias de contenedor de Amazon ECS. El formato de ID de recurso actual tiene 36 caracteres. Los nuevos ID tienen un formato de 32 caracteres y no incluyen guiones. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ID de recurso, consulte Modificación de la configuración de cuenta.
Escala de tiempo del formato de ARN e ID de recurso
La escala de tiempo para los periodos en los que se puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) y de ID de recursos de Amazon ECS finalizó el 1 de abril de 2021. De forma predeterminada, todas las cuentas nuevas optan por incluir el nuevo formato. Todos los recursos nuevos que se creen recibirán el nuevo formato y ya no puede optar por excluirlo.
AWS Fargate Cumplimiento de la Norma Federal de Procesamiento de Información (FIPS-140)
Debe activar la conformidad de Fargate con el Estándar Federal de Procesamiento de Información (FIPS-140). Para obtener más información, consulte AWS Fargate Norma federal de procesamiento de información (FIPS-140).
Ejecute put-account-setting-default
con la opción fargateFIPSMode
establecida en enabled
. Para obtener más información, consulte la referencia put-account-setting-defaultde la API de Amazon Elastic Container Service.
-
Puede usar el siguiente comando para activar la conformidad con la norma FIPS-140.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabled
Ejemplo de resultados
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Puede ejecutar list-account-settings
para ver el estado actual de conformidad con la norma FIPS-140. Utilice la opción effective-settings
para ver la configuración a nivel de cuenta.
aws ecs list-account-settings --effective-settings
Autorización de etiquetado
Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos de etiquetado para las acciones que crean el recurso, por ejemplo. ecsCreateCluster
Al crear un recurso y especificar etiquetas para ese recurso, AWS realiza una autorización adicional para comprobar que hay permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource
. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.
Para optar por la autorización de etiquetado, ejecute put-account-setting-default
con la opción tagResourceAuthorization
establecida en enable
. Para obtener más información, consulte la referencia put-account-setting-defaultde la API de Amazon Elastic Container Service. Puede ejecutar list-account-settings
para ver el estado actual de la autorización de etiquetado.
-
Puede usar el siguiente comando para habilitar la autorización de etiquetado.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region
region
Ejemplo de resultados
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Tras habilitar la autorización de etiquetado, debe configurar los permisos adecuados para permitir a los usuarios etiquetar los recursos al crearlos. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.
Puede ejecutar list-account-settings
para ver el estado actual de la autorización de etiquetado. Utilice la opción effective-settings
para ver la configuración a nivel de cuenta.
aws ecs list-account-settings --effective-settings
Plazos de la autorización de etiquetado
Puede confirmar si la autorización de etiquetado está activa ejecutando list-account-settings
para ver el valor tagResourceAuthorization
. Cuando el valor sea on
, quiere decir que la autorización de etiquetado está en uso. Para obtener más información, consulte la referencia list-account-settingsde la API de Amazon Elastic Container Service.
A continuación, se incluyen las fechas importantes relacionadas con la autorización de etiquetado.
-
18 de abril de 2023: se presenta la autorización de etiquetado. Todas las cuentas nuevas y existentes deben optar por el uso de la característica. Puede optar por empezar a utilizar la autorización de etiquetado. Al optar por la opción, debe conceder los permisos correspondientes.
-
Del 9 de febrero de 2024 al 6 de marzo de 2024: todas las cuentas nuevas y las cuentas existentes no afectadas tienen la autorización de etiquetado activada de forma predeterminada. Puedes activar o desactivar la configuración de la
tagResourceAuthorization
cuenta para verificar tu política de IAM.AWS ha notificado a las cuentas afectadas.
Para deshabilitar la función,
put-account-setting-default
ejecútela con latagResourceAuthorization
opción establecida enoff
. -
7 de marzo de 2024: si has activado la autorización de etiquetado, ya no podrás deshabilitar la configuración de la cuenta.
Le recomendamos que complete las pruebas de la política de IAM antes de esta fecha.
-
29 de marzo de 2024: todas las cuentas utilizan la autorización de etiquetado. La configuración a nivel de cuenta ya no estará disponible en la consola de Amazon ECS o AWS CLI
AWS Fargate tiempo de espera para la retirada de tareas
AWS envía notificaciones cuando tienes tareas de Fargate ejecutándose en una revisión de la versión de la plataforma marcada como retirada. Para obtener más información, consulte AWS Preguntas frecuentes sobre el mantenimiento de tareas de Fargate.
Puede configurar la hora a la que Fargate inicia el retiro de las tareas. Para las cargas de trabajo que requieren la aplicación inmediata de las actualizaciones, elija la configuración inmediata (0
). Cuando necesite más control, por ejemplo, cuando una tarea solo se pueda detener durante un período determinado, configure la opción de 7 días (7
) o 14 días (14
).
Le recomendamos que elija un período de espera más corto para poder seleccionar antes las revisiones de las versiones más recientes de la plataforma.
Configure el período de espera ejecutando put-account-setting-default
o put-account-setting
como usuario root o usuario administrativo. Utilice la opción fargateTaskRetirementWaitPeriod
para el conjunto de opciones name
y value
para uno de los valores siguientes:
-
0
- AWS envía la notificación e inmediatamente comienza a retirar las tareas afectadas. -
7
- AWS envía la notificación y espera 7 días naturales antes de empezar a retirar las tareas afectadas. -
14
- AWS envía la notificación y espera 14 días calendario antes de empezar a retirar las tareas afectadas.
El valor predeterminado es 7 días.
Para obtener más información, consulte put-account-setting-defaulty put-account-settingen la referencia de la API de Amazon Elastic Container Service.
Puede ejecutar el siguiente comando para establecer el período de espera en 14 días.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
Ejemplo de resultados
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}
Puede ejecutar list-account-settings
para ver el tiempo de espera actual para el retiro de tareas de Fargate. Use la opción effective-settings
.
aws ecs list-account-settings --effective-settings
Monitorización del tiempo de ejecución ( GuardDuty integración con Amazon)
Runtime Monitoring es un servicio inteligente de detección de amenazas que protege las cargas de trabajo que se ejecutan en las instancias de contenedores Fargate y EC2 mediante la AWS supervisión continua de la actividad de registro y red para identificar comportamientos malintencionados o no autorizados.
El guardDutyActivate
parámetro es de solo lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado Runtime Monitoring. GuardDuty controla la configuración de esta cuenta en su nombre. Para obtener más información, consulte Protección de las cargas de trabajo de Amazon ECS con Runtime Monitoring.
Puede correr list-account-settings
para ver la configuración de GuardDuty integración actual.
aws ecs list-account-settings
Ejemplo de resultados
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}