VPCEndpoint ECS dell'interfaccia Amazon ()AWS PrivateLink - Amazon Elastic Container Service
Considerazioni Creazione degli VPC endpoint per Amazon ECSCreazione di una policy VPC sugli endpoint per Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPCEndpoint ECS dell'interfaccia Amazon ()AWS PrivateLink

Puoi migliorare il tuo livello di sicurezza VPC configurando Amazon per l'utilizzo di un ECS endpoint di interfacciaVPC. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ad Amazon ECS APIs utilizzando indirizzi IP privati. AWS PrivateLink limita tutto il traffico di rete tra te VPC e Amazon ECS alla rete Amazon. Non hai bisogno di un gateway Internet, di un NAT dispositivo o di un gateway privato virtuale.

Per ulteriori informazioni sugli AWS PrivateLink VPC endpoint, consulta VPCEndpoints nella Amazon VPC User Guide.

Considerazioni

Le considerazioni relative agli endpoint nelle regioni sono state introdotte a partire dal 23 dicembre 2023

Prima di configurare gli VPC endpoint di interfaccia per AmazonECS, tieni presente le seguenti considerazioni:

  • È necessario disporre dei seguenti endpoint specifici della regioneVPC:

    • com.amazonaws.region.ecs-agent

    • com.amazonaws.region.ecs-telemetry

    • com.amazonaws.region.ecs

    Ad esempio, la regione Canada occidentale (Calgary) (ca-west-1) necessita dei seguenti endpoint: VPC

    • com.amazonaws.ca-west-1.ecs-agent

    • com.amazonaws.ca-west-1.ecs-telemetry

    • com.amazonaws.ca-west-1.ecs

  • Se utilizzi un modello per creare AWS risorse nella nuova regione e il modello è stato copiato da una regione introdotta prima del 23 dicembre 2023, a seconda della regione in cui è stata copiata, esegui una delle seguenti operazioni.

    Ad esempio, la regione del mittente è Stati Uniti orientali (Virginia settentrionale) (us-east-1). La regione da copiare è Canada occidentale (Calgary) (ca-west-1).

    Configurazione Azione

    La regione da cui è stata copiata non ha alcun endpoint. VPC

    Create tutti e tre gli VPC endpoint per la nuova regione (ad esempio,). com.amazonaws.ca-west-1.ecs-agent

    La regione copiata contiene endpoint specifici della regione. VPC

    1. Crea tutti e tre gli VPC endpoint per la nuova regione (ad esempio,). com.amazonaws.ca-west-1.ecs-agent

    2. Eliminate tutti e tre gli VPC endpoint della regione di origine (ad esempio,). com.amazonaws.us-east-1.ecs-agent

Considerazioni sugli ECS VPC endpoint Amazon per il tipo di lancio Fargate

Quando è presente un VPC endpoint per ecr.dkr e nello stesso ecr.api in VPC cui viene distribuita un'attività Fargate, verrà utilizzato l'endpoint. VPC Se non è presente alcun VPC endpoint, utilizzerà l'interfaccia Fargate.

Prima di configurare gli VPC endpoint di interfaccia per AmazonECS, tieni presente le seguenti considerazioni:

  • Le attività che utilizzano il tipo di avvio Fargate non richiedono gli VPC endpoint di interfaccia per AmazonECS, ma potrebbero essere necessari VPC endpoint di interfaccia per Amazon, ECR Secrets Manager o CloudWatch Amazon Logs descritti nei punti seguenti.

    • Per consentire alle tue attività di estrarre immagini private da AmazonECR, devi creare gli VPC endpoint di interfaccia per AmazonECR. Per ulteriori informazioni, consulta Interface VPC Endpoints (AWS PrivateLink) nella Guida per l'utente di Amazon Elastic Container Registry.

      Se VPC non disponi di un gateway Internet, devi creare l'endpoint gateway per Amazon S3. Per ulteriori informazioni, consulta Create the Amazon S3 gateway endpoint (Creazione dell'endpoint gateway per Amazon S3 nella Guida per l'utente di Amazon Elastic Container Registry. Gli endpoint di interfaccia per Amazon S3 non possono essere utilizzati con Amazon. ECR

      Importante

      Se configuri Amazon ECR per utilizzare un VPC endpoint di interfaccia, puoi creare un ruolo di esecuzione delle attività che include chiavi di condizione per limitare l'accesso a un VPC endpoint VPC o a uno specifico endpoint. Per ulteriori informazioni, consulta Fargate esegue le attività di trasferimento delle immagini di ECR Amazon tramite le autorizzazioni degli endpoint dell'interfaccia.

    • Per consentire alle attività di estrarre dati sensibili da Secrets Manager, è necessario creare gli VPC endpoint dell'interfaccia per Secrets Manager. Per ulteriori informazioni, vedere Using Secrets Manager with VPC Endpoints nella Guida per l'AWS Secrets Manager utente.

    • Se VPC non disponi di un gateway Internet e le tue attività utilizzano il driver di awslogs registro per inviare le informazioni di registro a CloudWatch Logs, devi creare un VPC endpoint di interfaccia per Logs. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella Amazon CloudWatch Logs User Guide.

  • VPCgli endpoint attualmente non supportano le richieste interregionali. Assicurati di creare il tuo endpoint nella stessa regione in cui intendi API effettuare le chiamate verso AmazonECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Quindi, devi creare l'ECSVPCendpoint Amazon negli Stati Uniti orientali (Virginia settentrionale). Un ECS VPC endpoint Amazon creato in qualsiasi altra regione non può eseguire attività negli Stati Uniti orientali (Virginia settentrionale).

  • VPCgli endpoint supportano solo i dispositivi forniti da Amazon tramite DNS Amazon Route 53. Se desideri utilizzare il tuoDNS, puoi utilizzare l'inoltro condizionale. DNS Per ulteriori informazioni, consulta la sezione DHCPOptions Sets nella Amazon VPC User Guide.

  • Il gruppo di sicurezza collegato all'VPCendpoint deve consentire le connessioni in entrata sulla TCP porta 443 dalla sottorete privata di. VPC

  • La gestione Service Connect del proxy Envoy utilizza l'com.amazonaws.region.ecs-agentVPCendpoint. Quando non si utilizzano gli VPC endpoint, la gestione Service Connect del proxy Envoy utilizza l'ecs-scendpoint in quella regione. Per un elenco degli ECS endpoint Amazon in ogni regione, consulta ECSEndpoints e quote Amazon.

Considerazioni sugli ECS VPC endpoint Amazon per il EC2 tipo di lancio

Prima di configurare gli VPC endpoint di interfaccia per AmazonECS, tieni presente le seguenti considerazioni:

  • Le attività che utilizzano il tipo di EC2 avvio richiedono che le istanze del contenitore su cui vengono avviate eseguano una versione 1.25.1 o successiva dell'agente ECS container Amazon. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux.

  • Per consentire alle attività di estrarre dati sensibili da Secrets Manager, è necessario creare gli VPC endpoint dell'interfaccia per Secrets Manager. Per ulteriori informazioni, vedere Using Secrets Manager with VPC Endpoints nella Guida per l'AWS Secrets Manager utente.

  • Se VPC non disponi di un gateway Internet e le tue attività utilizzano il driver di awslogs registro per inviare le informazioni di registro a CloudWatch Logs, devi creare un VPC endpoint di interfaccia per Logs. CloudWatch Per ulteriori informazioni, consulta Using CloudWatch Logs with Interface VPC Endpoints nella Amazon CloudWatch Logs User Guide.

  • VPCgli endpoint attualmente non supportano le richieste interregionali. Assicurati di creare il tuo endpoint nella stessa regione in cui intendi API effettuare le chiamate verso AmazonECS. Supponiamo ad esempio di voler eseguire attività nella Regione Stati Uniti orientali (Virginia settentrionale). Quindi, devi creare l'ECSVPCendpoint Amazon negli Stati Uniti orientali (Virginia settentrionale). Un ECS VPC endpoint Amazon creato in qualsiasi altra regione non può eseguire attività negli Stati Uniti orientali (Virginia settentrionale).

  • VPCgli endpoint supportano solo i dispositivi forniti da Amazon tramite DNS Amazon Route 53. Se desideri utilizzare il tuoDNS, puoi utilizzare l'inoltro condizionale. DNS Per ulteriori informazioni, consulta la sezione DHCPOptions Sets nella Amazon VPC User Guide.

  • Il gruppo di sicurezza collegato all'VPCendpoint deve consentire le connessioni in entrata sulla TCP porta 443 dalla sottorete privata di. VPC

Creazione degli VPC endpoint per Amazon ECS

Per creare l'VPCendpoint per il ECS servizio Amazon, utilizza la procedura Creating an Interface Endpoint nella Amazon VPC User Guide per creare i seguenti endpoint. Se al tuo interno sono presenti istanze di container esistentiVPC, devi creare gli endpoint nell'ordine in cui sono elencati. Se prevedi di creare le istanze del contenitore dopo la creazione dell'VPCendpoint, l'ordine non ha importanza.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

Nota

region rappresenta l'identificatore della regione per una AWS regione supportata da AmazonECS, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio).

L'ecs-agentendpoint utilizza il ecs:pollAPI, e l'ecs-telemetryendpoint utilizza and. ecs:poll ecs:StartTelemetrySession API

Se sono presenti attività esistenti che utilizzano il tipo di EC2 avvio, dopo aver creato gli VPC endpoint, ogni istanza del contenitore deve acquisire la nuova configurazione. A tal fine, devi riavviare ogni istanza del contenitore o riavviare l'agente ECS contenitore Amazon su ogni istanza del contenitore. Per riavviare l'agente container, effettua le seguenti operazioni.

Per riavviare l'agente ECS container Amazon

  1. Accedi all'istanza del tuo contenitore tramiteSSH.

  2. Arresta l'agente del container di .

    sudo docker stop ecs-agent

  3. Avvia l'agente container.

    sudo docker start ecs-agent

Dopo aver creato gli VPC endpoint e riavviato l'agente Amazon ECS Container su ogni istanza di container, tutte le attività appena avviate riprendono la nuova configurazione.

Creazione di una policy VPC sugli endpoint per Amazon ECS

Puoi allegare una policy sugli endpoint al tuo VPC endpoint che controlli l'accesso ad Amazon. ECS La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.

Esempio: policy VPC sugli endpoint per le azioni di Amazon ECS

Di seguito è riportato un esempio di policy sugli endpoint per AmazonECS. Se collegata a un endpoint, questa policy concede l'accesso all'autorizzazione per creare ed elencare i cluster. Le operazioni CreateCluster e ListClusters non accettano risorse, pertanto la definizione delle risorse è impostata su * per tutte le risorse. 

{
   "Statement":[
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateCluster",
        "ecs:ListClusters"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}