Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengakses fitur Amazon ECS melalui pengaturan akun
Anda dapat masuk ke pengaturan akun Amazon ECS untuk memilih masuk atau keluar dari fitur tertentu. Untuk masing-masing Wilayah AWS, Anda dapat memilih untuk, atau memilih keluar dari, setiap pengaturan akun di tingkat akun atau untuk pengguna atau peran tertentu.
Anda mungkin ingin memilih masuk atau keluar dari fitur tertentu jika salah satu dari berikut ini relevan bagi Anda:
-
Pengguna atau peran dapat memilih atau memilih keluar dari pengaturan akun tertentu untuk akun individu mereka.
-
Pengguna atau peran dapat mengatur pengaturan opt-in atau opt-out default untuk semua pengguna di akun.
-
Pengguna root atau pengguna dengan hak administrator dapat memilih, atau memilih keluar dari, peran atau pengguna tertentu apa pun di akun. Jika pengaturan akun untuk pengguna root diubah, itu menetapkan default untuk semua pengguna dan peran yang tidak dipilih oleh pengaturan akun individual.
catatan
Pengguna federasi mengasumsikan pengaturan akun pengguna root dan tidak dapat mengatur pengaturan akun eksplisit untuk mereka secara terpisah.
Pengaturan akun berikut tersedia. Anda harus secara terpisah opt-in dan opt-out ke setiap pengaturan akun.
- Amazon Resource Name (ARN) dan ID
-
Nama sumber daya:
serviceLongArnFormat
,taskLongArnFormat
, dancontainerInstanceLongArnFormat
Amazon ECS memperkenalkan format baru untuk Nama Sumber Daya Amazon (ARN) dan ID sumber daya untuk layanan, tugas, dan instans penampung Amazon ECS. Status keikutsertaan untuk setiap jenis sumber daya menentukan format Amazon Resource Name (ARN) yang digunakan sumber daya. Anda harus memilih format ARN baru untuk menggunakan fitur seperti penandaan sumber daya untuk jenis sumber daya tersebut. Untuk informasi selengkapnya, lihat Amazon Resource Name (ARN) dan ID.
Nilai default-nya
enabled
.Sumber daya hanya akan diluncurkan setelah format ARN dan ID sumber daya baru menerima status disertakan. Semua sumber daya yang ada tidak terpengaruh. Agar layanan dan tugas Amazon ECS dapat beralih ke format ARN dan ID sumber daya baru, Anda harus membuat ulang layanan atau tugas. Untuk mentransisikan instance kontainer ke ARN baru dan format ID sumber daya, instance container harus dikeringkan dan instance container baru harus diluncurkan dan didaftarkan ke cluster.
catatan
Tugas yang diluncurkan oleh layanan Amazon ECS hanya dapat menerima ARN baru dan format ID sumber daya jika layanan dibuat pada atau setelah 16 November 2018, dan pengguna yang membuat layanan telah memilih format baru untuk tugas.
- AWSVPC trunking
-
Nama sumber daya:
awsvpcTrunking
Amazon ECS mendukung peluncuran instans kontainer dengan peningkatan kepadatan elastic network interface (ENI) menggunakan jenis instans Amazon EC2 yang didukung. Ketika Anda menggunakan tipe instans ini dan memilih pada pengaturan akun
awsvpcTrunking
, ENI tambahan tersedia pada instans kontainer yang baru diluncurkan. Anda dapat menggunakan konfigurasi ini untuk menempatkan lebih banyak tugas menggunakan modeawsvpc
jaringan pada setiap instance kontainer. Dengan menggunakan fitur ini,c5.large
instance denganawsvpcTrunking
enabled memiliki peningkatan kuota ENI sepuluh. Instance container memiliki antarmuka jaringan utama, dan Amazon ECS membuat dan melampirkan antarmuka jaringan “trunk” ke instance container. Antarmuka jaringan utama dan antarmuka jaringan trunk tidak dihitung terhadap kuota ENI. Oleh karena itu, Anda dapat menggunakan konfigurasi ini untuk meluncurkan sepuluh tugas pada instance container alih-alih dua tugas saat ini. Untuk informasi selengkapnya, lihat Pembuatan torso antarmuka jaringan elastis.Nilai default-nya
disabled
.sumber daya hanya yang diluncurkan setelah status menyertakan menerima peningkatan batas ENI. Semua sumber daya yang ada tidak terpengaruh. Untuk mentransisikan instance kontainer ke kuota ENI yang ditingkatkan, instance kontainer harus dikeringkan dan instance kontainer baru didaftarkan ke cluster.
- CloudWatch Wawasan Kontainer
-
Nama sumber daya:
containerInsights
CloudWatch Container Insights mengumpulkan, mengumpulkan, dan merangkum metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. Metrik tersebut mencakup pemanfaatan sumber daya seperti CPU, memori, disk, dan jaringan. Wawasan Kontainer juga menyediakan informasi diagnostik, seperti kegagalan mengulang kembali kontainer, untuk membantu Anda mengisolasi masalah dan mengatasinya dengan cepat. Anda juga dapat mengatur alarm CloudWatch pada metrik yang dikumpulkan oleh Wawasan Kontainer. Untuk informasi selengkapnya, lihat Pantau kontainer Amazon ECS menggunakan Wawasan Kontainer.
Ketika Anda memilih pengaturan akun
containerInsights
, semua klaster baru memiliki Wawasan Kontainer yang diaktifkan secara default. Anda dapat menonaktifkan pengaturan ini untuk klaster tertentu ketika Anda membuatnya. Anda juga dapat mengubah pengaturan ini dengan menggunakan UpdateClusterSettings API.Untuk cluster yang berisi tugas atau layanan yang menggunakan tipe peluncuran EC2, instance container Anda harus menjalankan agen Amazon ECS versi 1.29.0 atau yang lebih baru untuk menggunakan Container Insights. Untuk informasi selengkapnya, lihat Manajemen instance kontainer Linux.
Nilai default-nya
disabled
. - IPv6 VPC tumpukan dobel
-
Nama sumber daya:
dualStackIPv6
Amazon ECS mendukung penyediaan tugas dengan alamat IPv6 selain alamat IPv4 pribadi utama.
Agar tugas menerima alamat IPv6, tugas harus menggunakan mode jaringan
awsvpc
, harus diluncurkan dalam VPC yang dikonfigurasi untuk mode tumpukan dobel, dan pengaturan akundualStackIPv6
harus diaktifkan. Untuk informasi selengkapnya tentang persyaratan lain, lihat Menggunakan VPC dalam mode tumpukan dobel untuk jenis peluncuran EC2 dan Menggunakan VPC dalam mode tumpukan dobel untuk jenis peluncuran Fargate.penting
Pengaturan
dualStackIPv6
akun hanya dapat diubah menggunakan Amazon ECS API atau. AWS CLI Untuk informasi selengkapnya, lihat Mengubah pengaturan akun.Jika Anda memiliki tugas yang berjalan menggunakan mode
awsvpc
jaringan di subnet yang diaktifkan IPv6 antara tanggal 1 Oktober 2020 dan 2 November 2020, pengaturandualStackIPv6
akun default di Wilayah tempat tugas dijalankan adalah.disabled
Jika kondisi tersebut tidak terpenuhi,dualStackIPv6
pengaturan default di Wilayah adalahenabled
.Nilai default-nya
disabled
. - Kepatuhan Fargate FIPS-140
-
Nama sumber daya:
fargateFIPSMode
Fargate mendukung Federal Information Processing Standard (FIPS-140) yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Ini adalah standar pemerintah Amerika Serikat dan Kanada saat ini, dan berlaku untuk sistem yang harus mematuhi Undang-Undang Manajemen Keamanan Informasi Federal (FISMA) atau Program Manajemen Risiko dan Otorisasi Federal (FedRAMP).
Nilai default-nya
disabled
.Anda harus mengaktifkan kepatuhan FIPS-140. Untuk informasi selengkapnya, lihat AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140).
penting
Pengaturan
fargateFIPSMode
akun hanya dapat diubah menggunakan Amazon ECS API atau. AWS CLI Untuk informasi selengkapnya, lihat Mengubah pengaturan akun. - Otorisasi Sumber Daya Tag
-
Nama sumber daya:
tagResourceAuthorization
Beberapa tindakan Amazon ECS API memungkinkan Anda menentukan tag saat membuat sumber daya.
Amazon ECS memperkenalkan otorisasi penandaan untuk pembuatan sumber daya. Pengguna harus memiliki izin untuk tindakan yang membuat sumber daya, seperti
ecsCreateCluster
. Jika tag ditentukan dalam tindakan pembuatan sumber daya, AWS lakukan otorisasi tambahan padaecs:TagResource
tindakan untuk memverifikasi apakah pengguna atau peran memiliki izin untuk membuat tag. Oleh karena itu, Anda harus memberikan izin eksplisit untuk menggunakan tindakan.ecs:TagResource
Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya pada pembuatan. - Masa tunggu pensiun tugas Fargate
-
Nama sumber daya:
fargateTaskRetirementWaitPeriod
AWS bertanggung jawab untuk menambal dan memelihara infrastruktur yang mendasari AWS Fargate. Saat AWS menentukan bahwa pembaruan keamanan atau infrastruktur diperlukan untuk tugas Amazon ECS yang dihosting di Fargate, tugas harus dihentikan dan tugas baru diluncurkan untuk menggantikannya. Anda dapat mengonfigurasi periode tunggu sebelum tugas dihentikan untuk ditambal. Anda memiliki opsi untuk segera menghentikan tugas, menunggu 7 hari kalender, atau menunggu 14 hari kalender.
Pengaturan ini ada di tingkat akun.
- Aktivasi Runtime Monitoring
-
Nama sumber daya:
guardDutyActivate
guardDutyActivate
Parameter ini hanya-baca di Amazon ECS dan menunjukkan apakah Runtime Monitoring diaktifkan atau dimatikan oleh administrator keamanan Anda di akun Amazon ECS Anda. GuardDuty mengontrol pengaturan akun ini atas nama Anda. Untuk informasi selengkapnya, lihat Melindungi beban kerja Amazon ECS dengan Runtime Monitoring.
Topik
- Amazon Resource Name (ARN) dan ID
- Lini masa format ARN dan ID sumber daya
- AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140)
- Otorisasi penandaan
- Menandai garis waktu otorisasi
- AWS Fargate tugas pensiun waktu tunggu
- Pemantauan Runtime ( GuardDuty integrasi Amazon)
- Melihat pengaturan akun menggunakan konsol
- Mengubah pengaturan akun
- Mengembalikan ke pengaturan akun Amazon ECS default
- Manajemen pengaturan akun menggunakan AWS CLI
Amazon Resource Name (ARN) dan ID
Saat sumber daya Amazon ECS dibuat, setiap sumber daya diberi Nama Sumber Daya Amazon (ARN) dan pengenal sumber daya (ID) yang unik. Jika Anda menggunakan alat baris perintah atau Amazon ECS API untuk bekerja dengan Amazon ECS, ARN atau ID sumber daya diperlukan untuk perintah tertentu. Misalnya, jika Anda menggunakan AWS CLI perintah stop-task untuk menghentikan tugas, Anda harus menentukan tugas ARN atau ID dalam perintah.
Anda dapat memilih dan memilih keluar dari format Nama Sumber Daya Amazon (ARN) dan ID sumber daya baru berdasarkan per wilayah. Saat ini, setiap akun baru yang dibuat akan disertakan secara default.
Anda dapat menyertakan atau menolak format Amazon Resource Name (ARN) dan ID sumber daya baru kapan saja. Setelah Anda ikut serta, sumber daya baru apa pun yang Anda buat menggunakan format baru.
catatan
ID sumber daya tidak berubah setelah dibuat. Oleh karena itu, memilih masuk atau keluar dari format baru tidak memengaruhi ID sumber daya yang ada.
Bagian berikut menjelaskan cara mengubah format ARN dan ID sumber daya. Untuk informasi selengkapnya tentang transisi ke format baru, lihat FAQ Amazon Elastic Container Service
Format Amazon Resource Name (ARN)
Beberapa sumber daya memiliki nama yang mudah digunakan, seperti layanan bernama production
. Dalam hal lain, Anda harus menentukan sumber daya menggunakan format Amazon Resource Name (ARN). Format ARN baru untuk tugas, layanan, dan instans penampung Amazon ECS menyertakan nama cluster. Untuk informasi lebih lanjut tentang menyertakan format baru ARN, lihat Mengubah pengaturan akun.
Tabel berikut menunjukkan format saat ini dan format baru untuk setiap jenis sumber daya.
Jenis sumber daya |
ARN |
---|---|
Instans kontainer |
Saat ini: Baru: |
Layanan Amazon ECS |
Saat ini: Baru: |
Tugas Amazon ECS |
Saat ini: Baru: |
Panjang ID Sumber Daya
ID sumber daya berisi kombinasi unik dari huruf dan angka. Format ID sumber daya baru menyertakan ID yang lebih pendek untuk tugas Amazon ECS dan instans penampung. Format ID sumber daya saat ini adalah 36 karakter. ID baru dalam format 32 karakter yang tidak menyertakan tanda hubung apa pun. Untuk informasi lebih lanjut tentang memilih format ID sumber daya baru, lihat Mengubah pengaturan akun.
Lini masa format ARN dan ID sumber daya
Garis waktu untuk periode opt-in dan opt-out untuk Amazon Resource Name (ARN) baru dan format ID sumber daya untuk sumber daya Amazon ECS berakhir pada 1 April 2021. Secara default, semua akun dipilih ke format baru. Semua sumber daya baru yang dibuat menerima format baru, dan Anda tidak dapat lagi memilih keluar.
AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140)
Anda harus mengaktifkan kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140) di Fargate. Untuk informasi selengkapnya, lihat AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140).
Jalankan put-account-setting-default
dengan fargateFIPSMode
opsi yang disetel keenabled
. Untuk informasi selengkapnya, lihat, put-account-setting-defaultdi Referensi API Amazon Elastic Container Service.
-
Anda dapat menggunakan perintah berikut untuk mengaktifkan kepatuhan FIPS-140.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabled
Contoh Output
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Anda dapat menjalankan list-account-settings
untuk melihat status kepatuhan FIPS-140 saat ini. Gunakan effective-settings
opsi untuk melihat pengaturan tingkat akun.
aws ecs list-account-settings --effective-settings
Otorisasi penandaan
Amazon ECS memperkenalkan otorisasi penandaan untuk pembuatan sumber daya. Pengguna harus memiliki izin penandaan untuk tindakan yang membuat sumber daya, seperti. ecsCreateCluster
Saat Anda membuat sumber daya dan menentukan tag untuk sumber daya tersebut, AWS lakukan otorisasi tambahan untuk memverifikasi bahwa ada izin untuk membuat tag. Oleh karena itu, Anda harus memberikan izin eksplisit untuk menggunakan tindakan. ecs:TagResource
Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya pada pembuatan.
Untuk ikut serta dalam menandai otorisasi, jalankan put-account-setting-default
dengan tagResourceAuthorization
opsi yang disetel ke. enable
Untuk informasi selengkapnya, lihat, put-account-setting-defaultdi Referensi API Amazon Elastic Container Service. Anda dapat menjalankan list-account-settings
untuk melihat status otorisasi penandaan saat ini.
-
Anda dapat menggunakan perintah berikut untuk mengaktifkan otorisasi penandaan.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region
region
Contoh Output
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Setelah mengaktifkan otorisasi penandaan, Anda harus mengonfigurasi izin yang sesuai untuk memungkinkan pengguna menandai sumber daya saat pembuatan. Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya pada pembuatan.
Anda dapat menjalankan list-account-settings
untuk melihat status otorisasi penandaan saat ini. Gunakan effective-settings
opsi untuk melihat pengaturan tingkat akun.
aws ecs list-account-settings --effective-settings
Menandai garis waktu otorisasi
Anda dapat mengonfirmasi apakah otorisasi penandaan aktif dengan menjalankan list-account-settings
untuk melihat nilainya. tagResourceAuthorization
Ketika nilainyaon
, itu berarti otorisasi penandaan sedang digunakan. Untuk informasi selengkapnya, lihat, list-account-settingsdi Referensi API Amazon Elastic Container Service.
Berikut ini adalah tanggal-tanggal penting yang terkait dengan otorisasi penandaan.
-
18 April 2023 - Otorisasi penandaan diperkenalkan. Semua akun baru dan yang sudah ada harus ikut serta untuk menggunakan fitur ini. Anda dapat memilih untuk mulai menggunakan otorisasi penandaan. Dengan ikut serta, Anda harus memberikan izin yang sesuai.
-
9 Februari 2024 - 6 Maret 2024 - Semua akun baru dan akun yang ada yang tidak terkena dampak memiliki otorisasi penandaan sebagai default. Anda dapat mengaktifkan atau menonaktifkan pengaturan
tagResourceAuthorization
akun untuk memverifikasi kebijakan IAM Anda.AWS telah memberi tahu akun yang terkena dampak.
Untuk menonaktifkan fitur, jalankan
put-account-setting-default
dengantagResourceAuthorization
opsi yang disetel keoff
. -
7 Maret 2024 - Jika Anda telah mengaktifkan otorisasi penandaan, Anda tidak dapat lagi menonaktifkan pengaturan akun.
Kami menyarankan Anda menyelesaikan pengujian kebijakan IAM Anda sebelum tanggal ini.
-
29 Maret 2024 - Semua akun menggunakan otorisasi penandaan. Pengaturan tingkat akun tidak akan lagi tersedia di konsol Amazon ECS atau AWS CLI
AWS Fargate tugas pensiun waktu tunggu
AWS mengirimkan pemberitahuan ketika Anda memiliki tugas Fargate yang berjalan pada revisi versi platform yang ditandai untuk pensiun. Untuk informasi selengkapnya, lihat AWS FAQ pemeliharaan tugas Fargate.
Anda dapat mengkonfigurasi waktu Fargate memulai tugas pensiun. Untuk beban kerja yang memerlukan aplikasi pembaruan segera, pilih pengaturan langsung (0
). Ketika Anda membutuhkan kontrol lebih, misalnya, ketika tugas hanya dapat dihentikan selama jendela tertentu, konfigurasikan opsi 7 hari (7
), atau 14 hari (14
).
Kami menyarankan Anda memilih masa tunggu yang lebih pendek untuk mengambil revisi versi platform yang lebih baru lebih cepat.
Konfigurasikan periode tunggu dengan menjalankan put-account-setting-default
atau put-account-setting
sebagai pengguna root atau pengguna administratif. Gunakan fargateTaskRetirementWaitPeriod
opsi untuk name
dan value
opsi yang disetel ke salah satu nilai berikut:
-
0
- AWS mengirim pemberitahuan, dan segera mulai pensiun tugas yang terpengaruh. -
7
- AWS mengirim pemberitahuan, dan menunggu 7 hari kalender sebelum mulai pensiun tugas yang terpengaruh. -
14
- AWS mengirim pemberitahuan, dan menunggu 14 hari kalender sebelum mulai pensiun tugas yang terpengaruh.
Defaultnya adalah 7 hari.
Untuk informasi selengkapnya, lihat, put-account-setting-defaultdan put-account-settingdi Referensi API Amazon Elastic Container Service.
Anda dapat menjalankan perintah berikut untuk mengatur periode tunggu menjadi 14 hari.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
Contoh Output
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}
Anda dapat menjalankan list-account-settings
untuk melihat waktu tunggu pensiun tugas Fargate saat ini. Gunakan effective-settings
opsi.
aws ecs list-account-settings --effective-settings
Pemantauan Runtime ( GuardDuty integrasi Amazon)
Runtime Monitoring adalah layanan deteksi ancaman cerdas yang melindungi beban kerja yang berjalan pada instance container Fargate dan EC2 dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah.
guardDutyActivate
Parameter ini hanya-baca di Amazon ECS dan menunjukkan apakah Runtime Monitoring diaktifkan atau dimatikan oleh administrator keamanan Anda di akun Amazon ECS Anda. GuardDuty mengontrol pengaturan akun ini atas nama Anda. Untuk informasi selengkapnya, lihat Melindungi beban kerja Amazon ECS dengan Runtime Monitoring.
Anda dapat menjalankan list-account-settings
untuk melihat pengaturan GuardDuty integrasi saat ini.
aws ecs list-account-settings
Contoh Output
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}