Points de terminaison d'un VPC d'interface Amazon ECS (AWS PrivateLink)

Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant Amazon ECS pour utiliser un point de terminaison d’un VPC d'interface. Les points de terminaison d'interface sont AWS PrivateLink alimentés par une technologie qui vous permet d'accéder de manière privée aux API Amazon ECS à l'aide d'adresses IP privées. AWS PrivateLink restreint tout le trafic réseau entre votre VPC et Amazon ECS vers le réseau Amazon. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle.

Pour plus d'informations sur AWS PrivateLink les points de terminaison VPC, consultez la section Points de terminaison VPC dans le guide de l'utilisateur Amazon VPC.

Considérations

Considérations relatives aux terminaux dans les régions introduites à compter du 23 décembre 2023

Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :

• Vous devez disposer des points de terminaison VPC spécifiques à la région suivants :

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

  Par exemple, la région du Canada Ouest (Calgary) (ca-west-1) a besoin des points de terminaison VPC suivants :

  • com.amazonaws.ca-west-1.ecs-agent

  • com.amazonaws.ca-west-1.ecs-telemetry

  • com.amazonaws.ca-west-1.ecs

• Lorsque vous utilisez un modèle pour créer AWS des ressources dans la nouvelle région et que le modèle a été copié à partir d'une région créée avant le 23 décembre 2023, en fonction de la région de copie, effectuez l'une des opérations suivantes.

  Par exemple, la région de copie est USA Est (Virginie du Nord) (us-east-1). La région de copie est Canada-Ouest (Calgary) (ca-west-1).

  Configuration	Action
  La région copiée ne possède aucun point de terminaison VPC.	Créez les trois points de terminaison VPC pour la nouvelle région (par exemple,). com.amazonaws.ca-west-1.ecs-agent
  La région copiée contient des points de terminaison VPC spécifiques à la région.	Créez les trois points de terminaison VPC pour la nouvelle région (par exemple,). com.amazonaws.ca-west-1.ecs-agent Supprimez les trois points de terminaison VPC de la région de copie (par exemple,). com.amazonaws.us-east-1.ecs-agent

Éléments à prendre en compte pour les points de terminaison d'un VPC Amazon ECS pour le type de lancement Fargate

Lorsqu'il existe un point de terminaison VPC pour ecr.dkr et ecr.api dans le même VPC dans lequel une tâche Fargate est déployée, celui-ci utilise le point de terminaison VPC. S'il n'y a pas de point de terminaison VPC, celui-ci utilisera l'interface Fargate.

Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :

• Les tâches utilisant le type de lancement Fargate ne nécessitent pas les points de terminaison VPC d'interface pour Amazon ECS, mais vous pourriez avoir besoin de points de terminaison VPC d'interface pour Amazon ECR, Secrets Manager ou Amazon Logs décrits dans les points suivants. CloudWatch

  • Pour autoriser vos tâches à extraire des images privées depuis Amazon ECR, vous devez créer les points de terminaison d’un VPC d'interface pour Amazon ECR. Pour de plus amples informations, veuillez consulter Points de terminaison d’un VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon Elastic Container Registry.

    Si votre VPC ne possède pas de passerelle Internet, vous devez créer le point de terminaison de passerelle pour Amazon S3. Pour de plus amples informations, consultez Créer le point de terminaison de passerelle Amazon S3 dans le Guide de l'utilisateur Amazon Elastic Container Registry. Les points de terminaison d'interface pour Amazon S3 ne peuvent pas être utilisés avec Amazon ECR.

    Important

    Si vous configurez Amazon ECR pour utiliser un point de terminaison d’un VPC d'interface, vous pouvez créer un rôle d'exécution de tâche incluant des clés de condition pour restreindre l'accès à un VPC ou à un point de terminaison d’un VPC spécifique. Pour plus d’informations, consultez Tâches Fargate extrayant des images Amazon ECR au-delà des autorisations des points de terminaison de l'interface.

  • Pour autoriser vos tâches à extraire des données sensibles depuis Secrets Manager, vous devez créer les points de terminaison d’un VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation de Secrets Manager avec des points de terminaison de VPC dans le Guide de l'utilisateur AWS Secrets Manager .

  • Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer des informations de awslogs journal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.

• Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à Amazon ECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de terminaison Amazon ECS VPC dans USA Est (Virginie du Nord). Un point de terminaison d'un VPC Amazon ECS créé dans une autre région ne peut pas exécuter de tâche dans USA Est (Virginie du Nord).

• Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.

• Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port TCP 443 à partir du sous-réseau privé du VPC.

• La gestion Service Connect du proxy Envoy utilise le point de terminaison d'un VPC com.amazonaws.region.ecs-agent. Lorsque vous n'utilisez pas les points de terminaison d'un VPC, la gestion Service Connect du proxy Envoy utilise le point de terminaison ecs-sc de cette région. Pour obtenir la liste des points de terminaison Amazon ECS dans chaque région, veuillez consulter Points de terminaison et quotas Amazon ECS (langue française non garantie).

Éléments à prendre en compte pour les points de terminaison d'un VPC Amazon ECS pour le type de lancement EC2

Avant de configurer des points de terminaison d'un VPC d'interface pour Amazon ECS, tenez compte de ce qui suit :

• Les tâches qui utilisent le type de lancement EC2 nécessitent que les instances de conteneur sur lesquelles elles sont lancées exécutent la version 1.25.1 ou ultérieure de l'agent de conteneur Amazon ECS. Pour plus d’informations, consultez Gestion des instances de conteneurs Linux Amazon ECS.

• Pour autoriser vos tâches à extraire des données sensibles depuis Secrets Manager, vous devez créer les points de terminaison d’un VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation de Secrets Manager avec des points de terminaison de VPC dans le Guide de l'utilisateur AWS Secrets Manager .

• Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer des informations de awslogs journal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon CloudWatch Logs.

• Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à Amazon ECS. Supposons, par exemple, que vous souhaitiez exécuter des tâches dans USA Est (Virginie du Nord). Vous devez ensuite créer le point de terminaison Amazon ECS VPC dans USA Est (Virginie du Nord). Un point de terminaison VPC Amazon ECS créé dans une autre région ne peut pas exécuter de tâches dans l'est des États-Unis (Virginie du Nord).

• Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.

• Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port TCP 443 à partir du sous-réseau privé du VPC.

Création de points de terminaison de VPC pour Amazon ECS

Pour créer les points de terminaison d'un VPC pour le service Amazon ECS service, utilisez la procédure Créer un point de terminaison d'interface que vous trouverez dans le Guide de l'utilisateur Amazon VPC. Si vous disposez d'instances de conteneur dans votre VPC, vous devriez créer les points de terminaison dans l'ordre dans lequel ils sont répertoriés. Si vous envisagez de créer vos instances de conteneur après la création de votre point de terminaison d'un VPC, alors l'ordre n'est pas important.

• com.amazonaws.region.ecs-agent

• com.amazonaws.region.ecs-telemetry

• com.amazonaws.region.ecs

Note

region représente l'identifiant de région d'une région AWS prise en charge par Amazon ECS, telle que us-east-2 pour la région USA Est (Ohio).

Le ecs-agent point de terminaison utilise l'ecs:pollAPI, et le ecs-telemetry point de terminaison utilise l'ecs:StartTelemetrySessionAPI ecs:poll and.

Si vous avez des tâches existantes qui utilisent le type de lancement EC2, une fois que vous avez créé les points de terminaison d’un VPC, chaque instance de conteneur a besoin de récupérer la nouvelle configuration. Pour ce faire, vous devez redémarrer chaque instance de conteneur ou redémarrer l'agent de conteneur Amazon ECS sur chaque instance de conteneur. Faites ce qui suit pour redémarrer l'agent de conteneur.

Pour redémarrer l'agent de conteneur Amazon ECS

1. Connectez-vous à votre instance de conteneur via SSH.

2. Arrêtez l'agent de conteneur .

   sudo docker stop ecs-agent

3. Démarrer l'agent de conteneur.

   sudo docker start ecs-agent

Une fois les points de terminaison d'un VPC créés et l'agent de conteneur Amazon ECS redémarré sur chaque instance de conteneur, toutes les tâches nouvellement lancées adopteront la nouvelle configuration.

Création d'une stratégie de point de terminaison d'un VPC pour Amazon ECS

Vous pouvez attacher une stratégie de point de terminaison au point de terminaison d’un VPC qui contrôle l'accès à Amazon ECS. La politique spécifie les informations suivantes :

• Le principal qui peut exécuter des actions.

• Les actions qui peuvent être effectuées.

• Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez Contrôle de l'accès aux services avec points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.

Exemple : stratégie de point de terminaison d’un VPC pour les actions de l'API Amazon ECS

Voici un exemple de politique de point de terminaison pour Amazon ECS. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès à l'autorisation de créer et de répertorier des clusters. Les actions CreateCluster et ListClusters n'acceptent aucune ressource. La définition de ressource est donc définie sur * pour toutes les ressources.

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}