VPCTitik akhir ECS antarmuka Amazon ()AWS PrivateLink

Anda dapat meningkatkan postur keamanan Anda VPC dengan mengonfigurasi Amazon ECS untuk menggunakan titik VPC akhir antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon secara pribadi ECS APIs dengan menggunakan alamat IP pribadi. AWS PrivateLink membatasi semua lalu lintas jaringan antara Anda VPC dan Amazon ECS ke jaringan Amazon. Anda tidak memerlukan gateway internet, NAT perangkat, atau gateway pribadi virtual.

Untuk informasi selengkapnya tentang AWS PrivateLink dan VPC titik akhir, lihat VPCTitik Akhir di VPCPanduan Pengguna Amazon.

Pertimbangan

Pertimbangan untuk titik akhir di Wilayah diperkenalkan mulai 23 Desember 2023

Sebelum Anda mengatur VPC titik akhir antarmuka untuk AmazonECS, perhatikan pertimbangan berikut:

• Anda harus memiliki titik akhir khusus Wilayah berikutVPC:

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

  Misalnya, Wilayah Kanada Barat (Calgary) (ca-west-1) membutuhkan titik akhir berikut: VPC

  • com.amazonaws.ca-west-1.ecs-agent

  • com.amazonaws.ca-west-1.ecs-telemetry

  • com.amazonaws.ca-west-1.ecs

• Saat Anda menggunakan templat untuk membuat AWS sumber daya di Wilayah baru dan templat disalin dari Wilayah yang diperkenalkan sebelum 23 Desember 2023, tergantung pada salinan-dari Wilayah, lakukan salah satu operasi berikut.

  Misalnya, copy-from Region adalah US East (Virginia N.) (us-east-1). Wilayah copy-to adalah Canada West (Calgary) (ca-west-1).

  Konfigurasi	Tindakan
  Wilayah yang disalin dari tidak memiliki titik akhir. VPC	Buat ketiga VPC titik akhir untuk Wilayah baru (misalnya,com.amazonaws.ca-west-1.ecs-agent).
  Wilayah yang disalin dari berisi titik akhir khusus Wilayah. VPC	Buat ketiga VPC titik akhir untuk Wilayah baru (misalnya,com.amazonaws.ca-west-1.ecs-agent). Hapus ketiga VPC titik akhir untuk salinan-dari Wilayah (misalnya,). com.amazonaws.us-east-1.ecs-agent

Pertimbangan untuk ECS VPC titik akhir Amazon untuk jenis peluncuran Fargate

Ketika ada VPC titik akhir untuk ecr.dkr dan ecr.api di tempat yang sama VPC di mana tugas Fargate diterapkan, itu akan menggunakan titik akhir. VPC Jika tidak ada VPC titik akhir, itu akan menggunakan antarmuka Fargate.

Sebelum Anda mengatur VPC titik akhir antarmuka untuk AmazonECS, perhatikan pertimbangan berikut:

• Tugas yang menggunakan tipe peluncuran Fargate tidak memerlukan titik VPC akhir antarmuka untuk AmazonECS, tetapi Anda mungkin memerlukan titik akhir antarmuka untuk Amazon, ECR Secrets Manager, atau CloudWatch Amazon Logs yang dijelaskan dalam VPC poin berikut.

  • Untuk memungkinkan tugas Anda menarik gambar pribadi dari AmazonECR, Anda harus membuat VPC titik akhir antarmuka untuk AmazonECR. Untuk informasi selengkapnya, lihat VPCTitik Akhir Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon Elastic Container Registry.

    Jika Anda VPC tidak memiliki gateway internet, Anda harus membuat titik akhir gateway untuk Amazon S3. Untuk informasi selengkapnya, lihat Membuat titik akhir gateway Amazon S3 di Panduan Pengguna Amazon Elastic Container Registry. Titik akhir antarmuka untuk Amazon S3 tidak dapat digunakan dengan Amazon. ECR

    penting

    Jika Anda mengonfigurasi Amazon ECR untuk menggunakan VPC titik akhir antarmuka, Anda dapat membuat peran eksekusi tugas yang menyertakan kunci kondisi untuk membatasi akses ke titik akhir tertentu VPC atau VPC titik akhir. Untuk informasi selengkapnya, lihat Tugas Fargate menarik ECR gambar Amazon melalui izin titik akhir antarmuka.

  • Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat VPC titik akhir antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat Menggunakan Secrets Manager dengan VPC Endpoints di Panduan AWS Secrets Manager Pengguna.

  • Jika Anda VPC tidak memiliki gateway internet dan tugas Anda menggunakan driver awslogs log untuk mengirim informasi log ke Log, Anda harus membuat VPC titik akhir antarmuka untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch Log dengan VPC Titik Akhir Antarmuka di Panduan Pengguna Amazon CloudWatch Logs.

• VPCtitik akhir saat ini tidak mendukung permintaan Lintas wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan API panggilan ke AmazonECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat ECS VPC titik akhir Amazon di AS Timur (Virginia N.). ECSVPCTitik akhir Amazon yang dibuat di wilayah lain tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

• VPCendpoint hanya mendukung Amazon yang disediakan melalui DNS Amazon Route 53. Jika Anda ingin menggunakan milik Anda sendiriDNS, Anda dapat menggunakan DNS penerusan bersyarat. Untuk informasi selengkapnya, lihat Set DHCP Opsi di Panduan VPC Pengguna Amazon.

• Grup keamanan yang terpasang pada VPC titik akhir harus mengizinkan koneksi masuk pada TCP port 443 dari subnet pribadi. VPC

• Manajemen Service Connect dari proxy Envoy menggunakan endpoint. com.amazonaws.region.ecs-agent VPC Bila Anda tidak menggunakan VPC endpoint, manajemen Service Connect dari proxy Envoy menggunakan ecs-sc endpoint di Region tersebut. Untuk daftar ECS titik akhir Amazon di setiap Wilayah, lihat ECStitik akhir dan kuota Amazon.

Pertimbangan untuk ECS VPC titik akhir Amazon untuk jenis peluncuran EC2

Sebelum Anda mengatur VPC titik akhir antarmuka untuk AmazonECS, perhatikan pertimbangan berikut:

• Tugas yang menggunakan tipe EC2 peluncuran mengharuskan instance container tempat mereka diluncurkan untuk menjalankan versi 1.25.1 atau yang lebih baru dari agen ECS penampung Amazon. Untuk informasi selengkapnya, lihat Manajemen instans penampung Amazon ECS Linux.

• Untuk memungkinkan tugas Anda menarik data sensitif dari Secrets Manager, Anda harus membuat VPC titik akhir antarmuka untuk Secrets Manager. Untuk informasi selengkapnya, lihat Menggunakan Secrets Manager dengan VPC Endpoints di Panduan AWS Secrets Manager Pengguna.

• Jika Anda VPC tidak memiliki gateway internet dan tugas Anda menggunakan driver awslogs log untuk mengirim informasi log ke Log, Anda harus membuat VPC titik akhir antarmuka untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch Log dengan VPC Titik Akhir Antarmuka di Panduan Pengguna Amazon CloudWatch Logs.

• VPCtitik akhir saat ini tidak mendukung permintaan Lintas wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan API panggilan ke AmazonECS. Misalnya, asumsikan bahwa Anda ingin menjalankan tugas di AS Timur (Virginia N.). Kemudian, Anda harus membuat ECS VPC titik akhir Amazon di AS Timur (Virginia N.). ECSVPCTitik akhir Amazon yang dibuat di Wilayah lain tidak dapat menjalankan tugas di AS Timur (Virginia Utara).

• VPCendpoint hanya mendukung Amazon yang disediakan melalui DNS Amazon Route 53. Jika Anda ingin menggunakan milik Anda sendiriDNS, Anda dapat menggunakan DNS penerusan bersyarat. Untuk informasi selengkapnya, lihat Set DHCP Opsi di Panduan VPC Pengguna Amazon.

• Grup keamanan yang terpasang pada VPC titik akhir harus mengizinkan koneksi masuk pada TCP port 443 dari subnet pribadi. VPC

Membuat VPC Endpoint untuk Amazon ECS

Untuk membuat VPC titik akhir untuk ECS layanan Amazon, gunakan prosedur Membuat Titik Akhir Antarmuka di Panduan VPC Pengguna Amazon untuk membuat titik akhir berikut. Jika Anda memiliki instance kontainer yang ada di dalam AndaVPC, Anda harus membuat titik akhir sesuai urutan yang dicantumkan. Jika Anda berencana membuat instance penampung setelah VPC titik akhir Anda dibuat, urutannya tidak masalah.

• com.amazonaws.region.ecs-agent

• com.amazonaws.region.ecs-telemetry

• com.amazonaws.region.ecs

catatan

region mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh AmazonECS, seperti us-east-2 untuk Wilayah AS Timur (Ohio).

ecs-agentTitik akhir menggunakan ecs:pollAPI, dan ecs-telemetry titik akhir menggunakan dan. ecs:poll ecs:StartTelemetrySession API

Jika Anda memiliki tugas yang ada yang menggunakan tipe EC2 peluncuran, setelah Anda membuat VPC titik akhir, setiap instance container perlu mengambil konfigurasi baru. Agar hal ini terjadi, Anda harus me-reboot setiap instance container atau me-restart agen ECS penampung Amazon pada setiap instance container. Untuk memulai ulang agen kontainer, lakukan hal berikut.

Untuk memulai ulang agen ECS penampung Amazon

1. Masuk ke instance kontainer Anda melaluiSSH.

2. Hentikan kontainer agen.

   sudo docker stop ecs-agent

3. Mulai kontainer agen.

   sudo docker start ecs-agent

Setelah Anda membuat VPC titik akhir dan memulai ulang agen ECS penampung Amazon pada setiap instance container, semua tugas yang baru diluncurkan akan mengambil konfigurasi baru.

Membuat kebijakan VPC endpoint untuk Amazon ECS

Anda dapat melampirkan kebijakan titik akhir ke VPC titik akhir yang mengontrol akses ke Amazon. ECS Kebijakan titik akhir menentukan informasi berikut:

• Prinsipal yang dapat melakukan tindakan.

• Tindakan yang dapat dilakukan.

• Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir di Panduan VPC Pengguna Amazon.

Contoh: kebijakan VPC titik akhir untuk tindakan Amazon ECS

Berikut ini adalah contoh kebijakan endpoint untuk AmazonECS. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke izin untuk membuat dan mencantumkan klaster. ListClustersTindakan CreateCluster dan tidak menerima sumber daya apa pun, sehingga definisi sumber daya diatur ke* untuk semua sumber daya.

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}