Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account
È possibile accedere alle impostazioni dell'account Amazon ECS per attivare o disattivare determinate caratteristiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.
È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:
-
Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.
-
Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.
-
L'utente root o un utente con privilegi di amministratore può attivare o disattivare qualsiasi ruolo o utente specifico sull'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.
Nota
Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.
Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ciascuna impostazione dell'account.
- Amazon Resource Name (ARN) e ID
-
Nomi delle risorse:
serviceLongArnFormat
,taskLongArnFormat
econtainerInstanceLongArnFormat
Amazon ECS sta introducendo un nuovo formato per Amazon Resource Name (ARN) e ID risorsa per servizi, attività e istanze di container. Lo stato di opt-in per ogni tipo di risorsa determina il formato del nome della risorsa Amazon (ARN) utilizzato dalla risorsa. È necessario attivare il nuovo formato dell'ARN per utilizzare funzionalità quali il tagging di risorse per tale tipo di risorsa. Per ulteriori informazioni, consulta Amazon Resource Name (ARN) e ID.
Il valore predefinito è
enabled
.Solo le risorse avviate dopo l'attivazione riceveranno il nuovo formato dell'ARN e dell'ID risorsa. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di servizi e attività Amazon ECS ai nuovi formati di ARN e ID risorsa, è necessario creare nuovamente il servizio o il processo. Per eseguire la transizione di un'istanza di container al nuovo formato dell'ARN e dell'ID risorsa, l'istanza di container deve essere eliminata e ne deve essere avviata registrata una nuova nel cluster.
Nota
Le attività avviate da un servizio Amazon ECS possono ricevere il nuovo formato dell'ARN e dell'ID risorsa solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha fornito il consenso esplicito al nuovo formato per i processi.
- AWSVPC trunking
-
Nome risorsa:
awsvpcTrunking
Amazon ECS supporta l'avvio di istanze di container con densità dell'interfaccia di rete elastica (ENI) aumentata tramite i tipi di istanze Amazon EC2 supportati. Quando utilizzi questi tipi di istanze e fornisci il consenso esplicito all'impostazione dell'account
awsvpcTrunking
, ENI aggiuntive sono disponibili su nuove istanze di container avviate. Questa configurazione consente di posizionare più processi utilizzando la modalità di reteawsvpc
su ogni istanza di container. Utilizzando questa caratteristica, un'istanzac5.large
conawsvpcTrunking
abilitata dispone di una quota ENI aumentata di dieci. L'istanza di container avrà un'interfaccia di rete primaria e Amazon ECS crea e collega un'interfaccia di rete "trunk" all'istanza di container. L'interfaccia di rete primaria e l'interfaccia di rete trunk non vengono conteggiate per la quota ENI. Pertanto, questa configurazione consente di avviare dieci processi sull'istanza di container anziché i due processi correnti. Per ulteriori informazioni, consulta Aumento delle interfacce di rete di istanze di container Amazon ECS Linux.Il valore predefinito è
disabled
.Solo le risorse avviate dopo l'attivazione ricevono i limiti ENI aumentati. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di un'istanza di container alle quote ENI aumentate, l'istanza di container deve essere eliminata ne deve essere registrata una nuova nel cluster.
- CloudWatch Informazioni sui container
-
Nome risorsa:
containerInsights
CloudWatch Container Insights raccoglie, aggrega e riepiloga metriche e log delle applicazioni e dei microservizi containerizzati. I parametri includono l'utilizzo di risorse come CPU, memoria, dischi e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights. Per ulteriori informazioni, consulta Monitora i contenitori Amazon ECS utilizzando Container Insights.
Quando accetti le impostazioni
containerInsights
, tutti i nuovi cluster hanno Container Insights abilitato di default. Puoi disattivare questa impostazione per cluster specifici al momento della loro creazione. Puoi anche modificare questa impostazione utilizzando l'API. UpdateClusterSettingsPer cluster contenenti processi o servizi che utilizzano il tipo di avvio EC2, per utilizzare Container Insights le istanze di container devono eseguire la versione 1.29.0 o successive dell'agente Amazon ECS. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux.
Il valore predefinito è
disabled
. - IPv6 VPC dual-stack
-
Nome risorsa:
dualStackIPv6
Amazon ECS supporta la specifica di processi con un indirizzo IPv6 in aggiunta all'indirizzo IPv4 privato principale.
Affinché i processi ricevano un indirizzo IPv6, il processo deve utilizzare la modalità di rete
awsvpc
, deve essere avviato in un VPC configurato per la modalità dual-stack e deve essere abilitata l'impostazione dell'accountdualStackIPv6
. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack il tipo di lancio EC2 e Utilizzo di un VPC in modalità dual-stack il tipo di lancio Fargate.Importante
L'impostazione dell'account
dualStackIPv6
può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.Se disponi di un processo in esecuzione che utilizza la modalità di rete
awsvpc
in una sottorete abilitata per IPv6 tra le date del 1° ottobre 2020 e del 2 novembre 2020, l'impostazione accountdualStackIPv6
di default nella regione in cui il processo era in esecuzione èdisabled
. Se tale condizione non viene soddisfatta, l'impostazionedualStackIPv6
di default nella regione èenabled
.Il valore predefinito è
disabled
. - Conformità FIPS-140 di Fargate
-
Nome risorsa:
fargateFIPSMode
Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act (FISMA) o al Federal Risk and Authorization Management Program (FedRAMP).
Il valore predefinito è
disabled
.È necessario attivare la conformità FIPS-140. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).
Importante
L'impostazione dell'account
fargateFIPSMode
può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS. - Autorizzazione della risorsa tag
-
Nome risorsa:
tagResourceAuthorization
Alcune operazioni API di Amazon ECS consentono di specificare tag quando crei le risorse.
Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni per le azioni che creano una risorsa, ad esempio.
ecsCreateCluster
Se i tag sono specificati nell'azione di creazione della risorsa, AWS esegue un'autorizzazione aggiuntiva sull'azione per verificare se gli utenti o i ruoli dispongono delleecs:TagResource
autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazioneecs:TagResource
. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione. - Periodo di attesa per il ritiro delle attività Fargate
-
Nome risorsa:
fargateTaskRetirementWaitPeriod
AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'attività Amazon ECS ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. È possibile ritirare l'attività immediatamente, attendere 7 giorni di calendario o attendere 14 giorni di calendario.
Questa impostazione si applica a livello di account.
- Attivazione del monitoraggio del runtime
-
Nome risorsa:
guardDutyActivate
Il
guardDutyActivate
parametro è di sola lettura in Amazon ECS e indica se il monitoraggio del runtime è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i carichi di lavoro Amazon ECS con Runtime Monitoring.
Argomenti
- Amazon Resource Name (ARN) e ID
- Sequenza temporale formato ARN e ID risorsa
- AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)
- Autorizzazione all'assegnazione di tag
- Cronologia dell'autorizzazione all'assegnazione di tag
- AWS Fargate tempo di attesa per il ritiro dell'attività
- Monitoraggio del runtime ( GuardDuty integrazione con Amazon)
- Visualizzazione delle impostazioni dell'account Amazon ECS tramite la console
- Modifica delle impostazioni dell'account Amazon ECS
- Ripristino alle impostazioni predefinite dell'account Amazon ECS
- Gestione delle impostazioni dell'account Amazon ECS utilizzando AWS CLI
Amazon Resource Name (ARN) e ID
Quando vengono create le risorse Amazon ECS, a ogni risorsa viene assegnato un Amazon Resource Name (ARN) e un identificatore di risorsa (ID). Se stai utilizzando uno strumento a riga di comando o l'API Amazon ECS in combinazione con Amazon ECS, l'uso degli ARN e degli ID è necessario per determinati comandi. Ad esempio, se si utilizza il AWS CLI comando stop-task per interrompere un'operazione, è necessario specificare l'ARN o l'ID dell'attività nel comando.
L'attivazione e la disattivazione del nuovo formato del nome della risorsa Amazon (ARN) e degli ID risorsa è possibile in base alle singole regioni. Attualmente, qualsiasi nuovo account creato viene attivato di default.
Puoi fornire il consenso esplicito o il rifiuto esplicito del nuovo formato dell'Amazon Resource Name (ARN) e dell'ID risorsa in qualsiasi momento. Dopo l'attivazione, tutte le nuove risorse create utilizzeranno il nuovo formato.
Nota
Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, il consenso o il rifiuto esplicito del nuovo formato non influisce sugli ID risorsa esistenti.
Le seguenti sezioni descrivono in che modo i formati dell'ARN e dell'ID risorsa stanno cambiando. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Domande frequenti su Amazon Elastic Container Service
Formato Amazon Resource Name (ARN)
Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production
. In altri casi, è necessario specificare una risorsa utilizzando il formato dell'Amazon Resource Name (ARN). Il nuovo formato dell'ARN per processi, servizi e istanze di container Amazon ECS include il nome del cluster. Per informazioni sull'attivazione con il formato dell'ARN, consulta Modifica delle impostazioni dell'account Amazon ECS.
La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.
Tipo di risorsa |
ARN |
---|---|
Istanza del container |
Nuovo: |
Servizio Amazon ECS |
Nuovo: |
Processo di Amazon ECS |
Nuovo: |
Lunghezza dell'ID risorsa
Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati dell'ID risorsa includono ID più brevi per processi e istanze di container Amazon ECS. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi ID vengono forniti in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni dell'account Amazon ECS.
Sequenza temporale formato ARN e ID risorsa
La sequenza temporale per i periodi di accettazione e rifiuto del nuovo formato del nome della risorsa Amazon (ARN) e dell'ID risorsa per le risorse Amazon ECS è terminata il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.
AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)
Devi attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).
Esegui put-account-setting-default
con l'opzione fargateFIPSMode
impostata su enabled
. Per ulteriori informazioni, consulta put-account-setting-default nella Documentazione di riferimento delle API di Amazon Elastic Container Service.
-
È possibile utilizzare il seguente comando per attivare la conformità FIPS-140.
aws ecs put-account-setting-default --name fargateFIPSMode --value enabled
Output di esempio
{ "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Puoi eseguire il comando list-account-settings
per visualizzare lo stato di conformità FIPS-140 corrente. Utilizza l'opzione effective-settings
per visualizzare le impostazioni a livello di account.
aws ecs list-account-settings --effective-settings
Autorizzazione all'assegnazione di tag
Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni di etichettatura per le azioni che creano la risorsa, ad esempio. ecsCreateCluster
Quando create una risorsa e specificate i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vi siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource
. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.
Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default
con l'opzione tagResourceAuthorization
impostata su enable
. Per ulteriori informazioni, consulta put-account-setting-default nella Documentazione di riferimento delle API di Amazon Elastic Container Service. Puoi eseguire il comando list-account-settings
per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.
-
È possibile utilizzare il comando seguente per abilitare l'autorizzazione all'etichettatura.
aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region
region
Output di esempio
{ "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }
Dopo aver abilitato l'autorizzazione all'etichettatura, è necessario configurare le autorizzazioni appropriate per consentire agli utenti di taggare le risorse al momento della creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.
Puoi eseguire il comando list-account-settings
per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings
per visualizzare le impostazioni a livello di account.
aws ecs list-account-settings --effective-settings
Cronologia dell'autorizzazione all'assegnazione di tag
Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings
per visualizzare il valore di tagResourceAuthorization
. Quando il valore è on
, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, consulta list-account-setting nella Documentazione di riferimento delle API di Amazon Elastic Container Service.
Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.
-
18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi scegliere di iniziare a utilizzare l'autorizzazione per l'etichettatura. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.
-
9 febbraio 2024 - 6 marzo 2024: per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'etichettatura per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'
tagResourceAuthorization
account per verificare la tua politica IAM.AWS ha notificato gli account interessati.
Per disabilitare la funzionalità, eseguila
put-account-setting-default
con l'tagResourceAuthorization
opzione impostata su.off
-
7 marzo 2024: se hai abilitato l'autorizzazione all'etichettatura, non puoi più disabilitare l'impostazione dell'account.
Ti consigliamo di completare i test delle policy IAM prima di questa data.
-
29 marzo 2024: tutti gli account utilizzano l'autorizzazione all'etichettatura. L'impostazione a livello di account non sarà più disponibile nella console Amazon ECS o. AWS CLI
AWS Fargate tempo di attesa per il ritiro dell'attività
AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta AWS Domande frequenti sulla manutenzione delle attività di Fargate su Amazon ECS.
Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0
). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7
) o 14 giorni (14
).
Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.
Configura il periodo di attesa eseguendo put-account-setting-default
o put-account-setting
come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod
per il name
e l'opzione value
impostata su uno dei seguenti valori:
-
0
- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate. -
7
- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate. -
14
: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.
L'impostazione di default è 7 giorni.
Per ulteriori informazioni, consulta put-account-setting-default e put-account-setting nella Documentazione di riferimento delle API di Amazon Elastic Container Service.
È possibile eseguire il comando seguente per impostare il periodo di attesa su 14 giorni.
aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14
Output di esempio
{
"setting": {
"name": "fargateTaskRetirementWaitPeriod",
"value": "14",
"principalArn": "arn:aws:iam::123456789012:root",
"type: user"
}
}
Puoi eseguire il comando list-account-settings
per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings
.
aws ecs list-account-settings --effective-settings
Monitoraggio del runtime ( GuardDuty integrazione con Amazon)
Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su istanze di container Fargate ed EC2 AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.
Il guardDutyActivate
parametro è di sola lettura in Amazon ECS e indica se il monitoraggio del runtime è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i carichi di lavoro Amazon ECS con Runtime Monitoring.
Puoi eseguire list-account-settings
per visualizzare l'impostazione di GuardDuty integrazione corrente.
aws ecs list-account-settings
Output di esempio
{
"setting": {
"name": "guardDutyActivate",
"value": "on",
"principalArn": "arn:aws:iam::123456789012:doej",
"type": aws-managed"
}
}