Acceso a las características de Amazon ECS a través de la configuración de la cuenta - Amazon Elastic Container Service

Acceso a las características de Amazon ECS a través de la configuración de la cuenta

Puede acceder a la configuración de cuenta de Amazon ECS para optar por incluir o no características específicas. En cada Región de AWS, puede optar por incluir o no cada configuración de cuenta en el nivel de cuenta o para un usuario o rol específico.

Puede optar por incluir o no características específicas si alguno de los siguientes aspectos es relevante para usted:

  • Un usuario o rol puede optar por incluir o no ajustes de cuenta específicos en su cuenta individual.

  • Un usuario o rol puede establecer la configuración predeterminada de características incluidas o no para todos los usuarios de la cuenta.

  • El usuario raíz o un usuario con privilegios de administrador puede optar por incluir o no cualquier usuario o rol específico de la cuenta. Si la configuración de cuenta del usuario raíz cambia, se establece el valor predeterminado para todos los usuarios o roles para los que no se hubiera establecido una configuración de cuenta individual.

nota

Los usuarios federados adoptan la configuración de cuenta del usuario raíz y no se puede establecer una configuración de cuenta explícita para ellos de manera individual.

Las configuraciones de cuenta disponibles son las que se indican a continuación. Debe optar por incluir o excluir cada configuración de la cuenta por separado.

Nombres de recursos de Amazon (ARN) e ID

Nombres de recursos: serviceLongArnFormat, taskLongArnFormat y containerInstanceLongArnFormat

Amazon ECS presenta un nuevo formato para los nombres de recurso de Amazon (ARN) y los ID de recurso para instancias de contenedor, tarea y servicio de Amazon ECS. El estado de opción incluida para cada tipo de recurso determina el formato de Nombre de recurso de Amazon (ARN) que utiliza el recurso. Debe optar por incluir el nuevo formato de ARN para utilizar características como el etiquetado de recursos para ese tipo de recurso. Para obtener más información, consulte Nombres de recursos de Amazon (ARN) e ID.

El valor predeterminado es enabled.

Solo los recursos que se lancen después de optar por incluirlo recibirán el nuevo formato de ARN e ID de recurso. No se ven afectados todos los recursos existentes. Para hacer la transición de las tareas y los servicios de Amazon ECS a los nuevos formatos de ARN e ID de recurso, se debe volver a crear el servicio o la tarea. Para realizar la transición de una instancia de contenedor al nuevo formato de ARN e ID de recurso, la instancia de contenedor se debe vaciar y se debe lanzar y registrar una nueva en el clúster.

nota

Las tareas lanzadas por un servicio de Amazon ECS solo pueden recibir el nuevo formato de ARN e ID de recurso si el servicio se creó el 16 de noviembre de 2018 o con posterioridad y el usuario que creó el servicio optó por incluir el nuevo formato de las tareas.

Enlace troncal AWSVPC

Nombre del recurso: awsvpcTrunking

Amazon ECS es compatible con el lanzamiento de instancias de contenedor con mayor densidad de interfaz de red elástica (ENI) que utilizan tipos de instancia de Amazon EC2 admitidos. Cuando se utilizan estos tipos de instancias y se elige el ajuste de cuenta awsvpcTrunking, aparecen ENI adicionales disponibles en las instancias de contenedor recién lanzadas. Puede utilizar esta configuración para colocar más tareas utilizando el modo de red awsvpc en cada instancia de contenedor. Gracias a esta característica, una instancia c5.large con awsvpcTrunking habilitado tiene un aumento en la cuota de ENI de diez. La instancia de contenedor tiene una interfaz de red principal, y Amazon ECS crea y asocia una interfaz de red “troncal” a la instancia de contenedor. La interfaz de red principal y la interfaz de red troncal no cuentan para la cuota de ENI. Por lo tanto, puede utilizar esta configuración para lanzar diez tareas en la instancia de contenedor, en lugar de las dos tareas actuales. Para obtener más información, consulte Enlace troncal de interfaz de red elástica.

El valor predeterminado es disabled.

Solo los recursos que se lancen después de optar por su inclusión reciben el aumento de los límites de ENI. No se ven afectados todos los recursos existentes. Para realizar la transición de una instancia de contenedor al aumento de las cuotas de ENI, la instancia de contenedor se debe vaciar y se debe registrar una nueva en el clúster.

Información de contenedores de CloudWatch

Nombre del recurso: containerInsights

CloudWatch Container Insights recopila, agrega y resume métricas y registros de las aplicaciones y microservicios en contenedores. Las métricas incluyen la utilización de recursos como CPU, memoria, disco y red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarle a aislar problemas y solucionarlos rápidamente. También puede establecer alarmas de CloudWatch en las métricas que recopila Container Insights. Para obtener más información, consulte Supervisión de los contenedores de Amazon ECS mediante Información de contenedores.

Al optar por incluir la configuración de cuenta containerInsights, todos los clústeres nuevos tienen habilitado Container Insights de forma predeterminada. Puede desactivar esta configuración para clústeres específicos cuando los crea. También puede cambiar esta configuración a través de la API de UpdateClusterSettings.

Para los clústeres que contengan tareas o servicios que utilicen el tipo de lanzamiento EC2, las instancias de contenedor deben ejecutar la versión 1.29.0 o una versión posterior del agente de Amazon ECS para usar Container Insights. Para obtener más información, consulte Administración de instancias de contenedor.

El valor predeterminado es disabled.

VPC IPv6 de doble pila

Nombre del recurso: dualStackIPv6

Amazon ECS admite proporcionar tareas con una dirección IPv6 además de la dirección IPv4 privada principal.

Para que las tareas reciban una dirección IPv6, la tarea debe utilizar el modo de red awsvpc, debe lanzarse en una VPC configurada para el modo de doble pila, y la configuración de cuenta dualStackIPv6 debe estar habilitada. Para obtener más información sobre otros requisitos, consulte Utilización de una VPC en modo de pila doble para ver el tipo de lanzamiento de EC2 y Utilización de una VPC en modo de pila doble para ver el tipo de lanzamiento de Fargate.

importante

La configuración de cuenta dualStackIPv6 solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta.

Si tenía una tarea en ejecución con el modo de red awsvpc en una subred habilitada para IPv6 entre el 1.° de octubre de 2020 y el 2 de noviembre de 2020, la configuración de cuenta dualStackIPv6 predeterminada en la región en la que se estaba ejecutando la tarea es disabled. Si esa condición no se cumple, la configuración dualStackIPv6 predeterminada en la región es enabled.

El valor predeterminado es disabled.

Conformidad de Fargate con la norma FIPS-140

Nombre del recurso: fargateFIPSMode

Fargate presta conformidad con el Federal Information Processing Standard (FIPS, Estándar Federal de Procesamiento de Información) 140, que especifica los requisitos de seguridad para los módulos criptográficos que protegen información confidencial. Es la norma gubernamental actual de los Estados Unidos y Canadá y se aplica a los sistemas que deben cumplir con la Federal Information Security Management Act (FISMA, Ley Federal de Gestión de la Seguridad de la Información) o el Federal Risk and Authorization Management Program (FedRAMP, Programa Federal de Gestión de Riesgos y Autorizaciones).

El valor predeterminado es disabled.

Debe activar la conformidad con la norma FIPS-140. Para obtener más información, consulte AWS Fargate Estándar de procesamiento de la información federal (FIPS, Federal Information Processing Standard 140).

importante

La configuración de cuenta fargateFIPSMode solo se puede cambiar a través de la API de Amazon ECS o la AWS CLI. Para obtener más información, consulte Modificación de la configuración de cuenta.

Autorización de recursos con etiquetas

Nombre del recurso: tagResourceAuthorization

Algunas acciones de la API de Amazon ECS permiten especificar etiquetas durante la creación del recurso.

Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos para llevar a cabo las acciones que crean recursos, como ecsCreateCluster. Si se especifican etiquetas en la acción de creación de recursos, AWS realiza una autorización adicional en la acción de ecs:TagResource para verificar que los usuarios o roles tengan permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Período de espera para el retiro de tareas de Fargate

Nombre del recurso: fargateTaskRetirementWaitPeriod

AWS es responsable de aplicar parches y mantener la infraestructura subyacente de AWS Fargate. Cuando AWS determina que se necesita una actualización de seguridad o de infraestructura para una tarea de Amazon ECS alojada en Fargate, se deben detener las tareas y lanzar nuevas tareas para sustituirlas. Puede configurar el período de espera antes de que se retiren las tareas para aplicar parches. Tiene la opción de retirar la tarea inmediatamente, esperar 7 días naturales o esperar 14 días naturales.

Esta configuración se hace en el nivel de la cuenta.

Activación de la supervisión en tiempo de ejecución

Nombre del recurso: guardDutyActivate

El parámetro guardDutyActivate es solo de lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado la supervisión en tiempo de ejecución. GuardDuty controla esta configuración de la cuenta en su nombre. Para obtener más información, consulte Protecting Amazon ECS workloads with Runtime Monitoring.

Nombres de recursos de Amazon (ARN) e ID

Cuando se crean recursos de Amazon ECS, a cada recurso se le asigna un nombre de recurso de Amazon (ARN) y un identificador de recurso (ID) únicos. Si utiliza herramientas de línea de comandos o la API de Amazon ECS para trabajar con Amazon ECS, se requieren ARN o ID de recurso para determinados comandos. Por ejemplo, si utiliza el comando stop-task AWS CLI para detener una tarea, debe especificar el ID o ARN en el comando.

Puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recurso a cada región. En la actualidad, las cuentas nuevas que se crean tienen esta opción incluida de forma predeterminada.

Puede optar por inscribirse o no en el nuevo formato de nombre de recurso de Amazon (ARN) e ID de recursos en cualquier momento. Una vez que opte por incluirlo, los nuevos recursos que cree usarán el nuevo formato.

nota

Un ID de recurso no cambia después de haberlo creado. Por lo tanto, la posibilidad de optar por incluir o no el nuevo formato no afecta a los ID de recursos existentes.

En las siguientes secciones se describe cómo están cambiando los formatos de ID de recurso y ARN. Para obtener más información acerca de la transición a los nuevos formatos, consulte Preguntas frecuentes acerca de Amazon Elastic Container Service.

Formato de nombre de recurso de Amazon (ARN)

Algunos de los recursos tienen un nombre fácil de recordar como, por ejemplo, un servicio denominado production. En otros casos, debe especificar un recurso utilizando el formato de nombre de recurso de Amazon (ARN). El nuevo formato de ARN para tareas, servicios e instancias de contenedor de Amazon ECS incluye el nombre del clúster. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ARN, consulte Modificación de la configuración de cuenta.

En la siguiente tabla se muestra el formato actual y el nuevo formato para cada tipo de recurso.

Tipo de recurso

ARN

Instancia de contenedor

Actual: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Nuevo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Servicio de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:service/service-name

Nuevo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Tarea de Amazon ECS

Actual: arn:aws:ecs:region:aws_account_id:task/task-id

Nuevo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id

Longitud del ID del recurso

Un ID de recursos adopta la forma de una combinación única de letras y números. Los nuevos formatos de ID de recurso incluyen ID más cortos para tareas e instancias de contenedor de Amazon ECS. El formato de ID de recurso actual tiene 36 caracteres. Los nuevos ID tienen un formato de 32 caracteres y no incluyen guiones. Para obtener más información acerca de cómo optar por incluir el nuevo formato de ID de recurso, consulte Modificación de la configuración de cuenta.

Escala de tiempo del formato de ARN e ID de recurso

La escala de tiempo para los periodos en los que se puede optar por incluir o no el nuevo formato de nombre de recurso de Amazon (ARN) y de ID de recursos de Amazon ECS finalizó el 1 de abril de 2021. De forma predeterminada, todas las cuentas nuevas optan por incluir el nuevo formato. Todos los recursos nuevos que se creen recibirán el nuevo formato y ya no puede optar por excluirlo.

Conformidad de AWS Fargate con el Estándar Federal de Procesamiento de la Información(FIPS-140)

Debe activar la conformidad de Fargate con el Estándar Federal de Procesamiento de Información (FIPS-140). Para obtener más información, consulte AWS Fargate Estándar de procesamiento de la información federal (FIPS, Federal Information Processing Standard 140).

Ejecute put-account-setting-default con la opción fargateFIPSMode establecida en enabled. Para obtener más información, consulte put-account-setting-default en la Referencia de la API de Amazon Elastic Container Service.

  • Puede utilizar el siguiente comando para activar la conformidad con la norma FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Ejemplo de resultado

    { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

Puede ejecutar list-account-settings para ver el estado actual de conformidad con la norma FIPS-140. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Autorización de etiquetado

Amazon ECS presenta la autorización de etiquetado para la creación de recursos. Los usuarios deben tener permisos de etiquetado para llevar a cabo las acciones que crean el recurso, como ecsCreateCluster. Al crear un recurso y especificar etiquetas para ese recurso, AWS realiza una autorización adicional para comprobar que hay permisos para crear etiquetas. Por lo tanto, usted debe conceder permisos explícitos para utilizar la acción ecs:TagResource. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Para optar por la autorización de etiquetado, ejecute put-account-setting-default con la opción tagResourceAuthorization establecida en enable. Para obtener más información, consulte put-account-setting-default en la Referencia de la API de Amazon Elastic Container Service. Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado.

  • Puede utilizar el siguiente comando para activar la autorización de etiquetado.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Ejemplo de resultado

    { "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

Después de activar la autorización de etiquetado, debe configurar los permisos correspondientes para que los usuarios puedan etiquetar recursos en el momento de su creación. Para obtener más información, consulte Conceder permisos para etiquetar recursos durante la creación.

Puede ejecutar list-account-settings para ver el estado actual de la autorización de etiquetado. Utilice la opción effective-settings para ver la configuración a nivel de cuenta.

aws ecs list-account-settings --effective-settings

Plazos de la autorización de etiquetado

Puede confirmar si la autorización de etiquetado está activa ejecutando list-account-settings para ver el valor tagResourceAuthorization. Cuando el valor sea on, quiere decir que la autorización de etiquetado está en uso. Para obtener más información, consulte list-account-setting-default en la Referencia de la API de Amazon Elastic Container Service.

A continuación, se incluyen las fechas importantes relacionadas con la autorización de etiquetado.

  • 18 de abril de 2023: se presenta la autorización de etiquetado. Todas las cuentas nuevas y existentes deben optar por el uso de la característica. Puede optar por comenzar a usar la autorización de etiquetado. Al optar por la opción, debe conceder los permisos correspondientes.

  • Del 9 de febrero de 2024 al 6 de marzo de 2024: todas las cuentas nuevas y las cuentas existentes no afectadas tienen activada la autorización de etiquetado de forma predeterminada. Puede habilitar o deshabilitar la configuración de tagResourceAuthorization de la cuenta para verificar su política de IAM.

    AWS lo ha notificado a las cuentas afectadas.

    Para desactivar la característica, ejecute put-account-setting-default con la opción tagResourceAuthorization configurada en off.

  • 7 de marzo de 2024: si ha activado la autorización de etiquetado, ya no puede desactivar la configuración de la cuenta.

    Le recomendamos que lleve a cabo las pruebas de la política de IAM antes de esta fecha.

  • 29 de marzo de 2024: todas las cuentas utilizan la autorización de etiquetado. La configuración de cuenta ya no está disponible en la consola o AWS CLI de Amazon ECS.

Tiempo de espera para el retiro de tareas de AWS Fargate

AWS envía notificaciones cuando tiene tareas de Fargate ejecutándose en una revisión de la versión de la plataforma marcada como retiro. Para obtener más información, consulte Preguntas frecuentes sobre el mantenimiento de tareas de AWS Fargate.

Puede configurar la hora a la que Fargate inicia el retiro de las tareas. Para las cargas de trabajo que requieren la aplicación inmediata de las actualizaciones, elija la configuración inmediata (0). Cuando necesite más control, por ejemplo, cuando una tarea solo se pueda detener durante un período determinado, configure la opción de 7 días (7) o 14 días (14).

Le recomendamos que elija un período de espera más corto para poder seleccionar antes las revisiones de las versiones más recientes de la plataforma.

Para configurar el periodo de espera, ejecute put-account-setting-default o put-account-setting como usuario raíz o como usuario administrativo. Utilice la opción fargateTaskRetirementWaitPeriod para el conjunto de opciones name y value para uno de los valores siguientes:

  • 0 - AWS envía la notificación e inmediatamente comienza a retirar las tareas afectadas.

  • 7 - AWS envía la notificación y espera 7 días calendario antes de empezar a retirar las tareas afectadas.

  • 14 - AWS envía la notificación y espera 14 días calendario antes de empezar a retirar las tareas afectadas.

El valor predeterminado es 7 días.

Para obtener más información, consulte put-account-setting-default y put-account-setting en la Referencia de la API de Amazon Elastic Container Service.

Puede ejecutar el siguiente comando para establecer el periodo de espera en 14 días.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Ejemplo de resultado

{ "setting": { "name": "fargateTaskRetirementWaitPeriod", "value": "14", "principalArn": "arn:aws:iam::123456789012:root", "type: user" } }

Puede ejecutar list-account-settings para ver el tiempo de espera actual para el retiro de tareas de Fargate. Use la opción effective-settings.

aws ecs list-account-settings --effective-settings

Supervisión en tiempo de ejecución (integración con Amazon GuardDuty)

Supervisión en tiempo de ejecución es un servicio inteligente de detección de amenazas que protege las cargas de trabajo que se ejecutan en las instancias de contenedor de Fargate y EC2 mediante la supervisión continua de la actividad de registro y red de AWS para identificar comportamientos malintencionados o no autorizados.

El parámetro guardDutyActivate es solo de lectura en Amazon ECS e indica si el administrador de seguridad de su cuenta de Amazon ECS ha activado o desactivado la supervisión en tiempo de ejecución. GuardDuty controla esta configuración de la cuenta en su nombre. Para obtener más información, consulte Protecting Amazon ECS workloads with Runtime Monitoring.

Puede ejecutar list-account-settings para ver la configuración de integración actual de GuardDuty.

aws ecs list-account-settings

Ejemplo de resultado

{ "setting": { "name": "guardDutyActivate", "value": "on", "principalArn": "arn:aws:iam::123456789012:doej", "type": aws-managed" } }