Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account - Amazon Elastic Container Service
Amazon Resource Name (ARN) e IDSequenza temporale formato ARN e ID risorsaAWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)Autorizzazione all'assegnazione di tagCronologia dell'autorizzazione all'assegnazione di tagAWS Fargate tempo di attesa per il ritiro dell'attivitàMonitoraggio del runtime ( GuardDuty integrazione con Amazon)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account

È possibile accedere alle impostazioni dell'account Amazon ECS per attivare o disattivare determinate caratteristiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.

È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:

  • Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.

  • Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.

  • L'utente root o un utente con privilegi di amministratore può attivare o disattivare qualsiasi ruolo o utente specifico sull'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.

Nota

Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.

Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ciascuna impostazione dell'account.

Amazon Resource Name (ARN) e ID

Nomi delle risorse: serviceLongArnFormat, taskLongArnFormat e containerInstanceLongArnFormat

Amazon ECS sta introducendo un nuovo formato per Amazon Resource Name (ARN) e ID risorsa per servizi, attività e istanze di container. Lo stato di opt-in per ogni tipo di risorsa determina il formato del nome della risorsa Amazon (ARN) utilizzato dalla risorsa. È necessario attivare il nuovo formato dell'ARN per utilizzare funzionalità quali il tagging di risorse per tale tipo di risorsa. Per ulteriori informazioni, consulta Amazon Resource Name (ARN) e ID.

Il valore predefinito è enabled.

Solo le risorse avviate dopo l'attivazione riceveranno il nuovo formato dell'ARN e dell'ID risorsa. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di servizi e attività Amazon ECS ai nuovi formati di ARN e ID risorsa, è necessario creare nuovamente il servizio o il processo. Per eseguire la transizione di un'istanza di container al nuovo formato dell'ARN e dell'ID risorsa, l'istanza di container deve essere eliminata e ne deve essere avviata registrata una nuova nel cluster.

Nota

Le attività avviate da un servizio Amazon ECS possono ricevere il nuovo formato dell'ARN e dell'ID risorsa solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha fornito il consenso esplicito al nuovo formato per i processi.

AWSVPC trunking

Nome risorsa: awsvpcTrunking

Amazon ECS supporta l'avvio di istanze di container con densità dell'interfaccia di rete elastica (ENI) aumentata tramite i tipi di istanze Amazon EC2 supportati. Quando utilizzi questi tipi di istanze e fornisci il consenso esplicito all'impostazione dell'account awsvpcTrunking, ENI aggiuntive sono disponibili su nuove istanze di container avviate. Questa configurazione consente di posizionare più processi utilizzando la modalità di rete awsvpc su ogni istanza di container. Utilizzando questa caratteristica, un'istanza c5.large con awsvpcTrunking abilitata dispone di una quota ENI aumentata di dieci. L'istanza di container avrà un'interfaccia di rete primaria e Amazon ECS crea e collega un'interfaccia di rete "trunk" all'istanza di container. L'interfaccia di rete primaria e l'interfaccia di rete trunk non vengono conteggiate per la quota ENI. Pertanto, questa configurazione consente di avviare dieci processi sull'istanza di container anziché i due processi correnti. Per ulteriori informazioni, consulta Aumento delle interfacce di rete di istanze di container Amazon ECS Linux.

Il valore predefinito è disabled.

Solo le risorse avviate dopo l'attivazione ricevono i limiti ENI aumentati. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di un'istanza di container alle quote ENI aumentate, l'istanza di container deve essere eliminata ne deve essere registrata una nuova nel cluster.

CloudWatch Informazioni sui container

Nome risorsa: containerInsights

CloudWatch Container Insights raccoglie, aggrega e riepiloga metriche e log delle applicazioni e dei microservizi containerizzati. I parametri includono l'utilizzo di risorse come CPU, memoria, dischi e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights. Per ulteriori informazioni, consulta Monitora i contenitori Amazon ECS utilizzando Container Insights.

Quando accetti le impostazioni containerInsights, tutti i nuovi cluster hanno Container Insights abilitato di default. Puoi disattivare questa impostazione per cluster specifici al momento della loro creazione. Puoi anche modificare questa impostazione utilizzando l'API. UpdateClusterSettings

Per cluster contenenti processi o servizi che utilizzano il tipo di avvio EC2, per utilizzare Container Insights le istanze di container devono eseguire la versione 1.29.0 o successive dell'agente Amazon ECS. Per ulteriori informazioni, consulta Gestione delle istanze di container Amazon ECS Linux.

Il valore predefinito è disabled.

IPv6 VPC dual-stack

Nome risorsa: dualStackIPv6

Amazon ECS supporta la specifica di processi con un indirizzo IPv6 in aggiunta all'indirizzo IPv4 privato principale.

Affinché i processi ricevano un indirizzo IPv6, il processo deve utilizzare la modalità di rete awsvpc, deve essere avviato in un VPC configurato per la modalità dual-stack e deve essere abilitata l'impostazione dell'account dualStackIPv6. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack il tipo di lancio EC2 e Utilizzo di un VPC in modalità dual-stack il tipo di lancio Fargate.

Importante

L'impostazione dell'account dualStackIPv6 può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Se disponi di un processo in esecuzione che utilizza la modalità di rete awsvpc in una sottorete abilitata per IPv6 tra le date del 1° ottobre 2020 e del 2 novembre 2020, l'impostazione account dualStackIPv6 di default nella regione in cui il processo era in esecuzione è disabled. Se tale condizione non viene soddisfatta, l'impostazione dualStackIPv6 di default nella regione è enabled.

Il valore predefinito è disabled.

Conformità FIPS-140 di Fargate

Nome risorsa: fargateFIPSMode

Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act (FISMA) o al Federal Risk and Authorization Management Program (FedRAMP).

Il valore predefinito è disabled.

È necessario attivare la conformità FIPS-140. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Importante

L'impostazione dell'account fargateFIPSMode può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Autorizzazione della risorsa tag

Nome risorsa: tagResourceAuthorization

Alcune operazioni API di Amazon ECS consentono di specificare tag quando crei le risorse.

Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni per le azioni che creano una risorsa, ad esempio. ecsCreateCluster Se i tag sono specificati nell'azione di creazione della risorsa, AWS esegue un'autorizzazione aggiuntiva sull'azione per verificare se gli utenti o i ruoli dispongono delle ecs:TagResource autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Periodo di attesa per il ritiro delle attività Fargate

Nome risorsa: fargateTaskRetirementWaitPeriod

AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'attività Amazon ECS ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. È possibile ritirare l'attività immediatamente, attendere 7 giorni di calendario o attendere 14 giorni di calendario.

Questa impostazione si applica a livello di account.

Attivazione del monitoraggio del runtime

Nome risorsa: guardDutyActivate

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il monitoraggio del runtime è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i carichi di lavoro Amazon ECS con Runtime Monitoring.

Argomenti

Amazon Resource Name (ARN) e ID

Quando vengono create le risorse Amazon ECS, a ogni risorsa viene assegnato un Amazon Resource Name (ARN) e un identificatore di risorsa (ID). Se stai utilizzando uno strumento a riga di comando o l'API Amazon ECS in combinazione con Amazon ECS, l'uso degli ARN e degli ID è necessario per determinati comandi. Ad esempio, se si utilizza il AWS CLI comando stop-task per interrompere un'operazione, è necessario specificare l'ARN o l'ID dell'attività nel comando.

L'attivazione e la disattivazione del nuovo formato del nome della risorsa Amazon (ARN) e degli ID risorsa è possibile in base alle singole regioni. Attualmente, qualsiasi nuovo account creato viene attivato di default.

Puoi fornire il consenso esplicito o il rifiuto esplicito del nuovo formato dell'Amazon Resource Name (ARN) e dell'ID risorsa in qualsiasi momento. Dopo l'attivazione, tutte le nuove risorse create utilizzeranno il nuovo formato.

Nota

Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, il consenso o il rifiuto esplicito del nuovo formato non influisce sugli ID risorsa esistenti.

Le seguenti sezioni descrivono in che modo i formati dell'ARN e dell'ID risorsa stanno cambiando. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Domande frequenti su Amazon Elastic Container Service.

Formato Amazon Resource Name (ARN)

Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production. In altri casi, è necessario specificare una risorsa utilizzando il formato dell'Amazon Resource Name (ARN). Il nuovo formato dell'ARN per processi, servizi e istanze di container Amazon ECS include il nome del cluster. Per informazioni sull'attivazione con il formato dell'ARN, consulta Modifica delle impostazioni dell'account Amazon ECS.

La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.

Tipo di risorsa

ARN

Istanza del container

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Servizio Amazon ECS

arn:aws:ecs:region:aws_account_id:service/service-name correnti

Nuovo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Processo di Amazon ECS

arn:aws:ecs:region:aws_account_id:task/task-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id

Lunghezza dell'ID risorsa

Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati dell'ID risorsa includono ID più brevi per processi e istanze di container Amazon ECS. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi ID vengono forniti in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni dell'account Amazon ECS.

Sequenza temporale formato ARN e ID risorsa

La sequenza temporale per i periodi di accettazione e rifiuto del nuovo formato del nome della risorsa Amazon (ARN) e dell'ID risorsa per le risorse Amazon ECS è terminata il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.

AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)

Devi attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Esegui put-account-setting-default con l'opzione fargateFIPSMode impostata su enabled. Per ulteriori informazioni, consulta put-account-setting-default nella Documentazione di riferimento delle API di Amazon Elastic Container Service.

  • È possibile utilizzare il seguente comando per attivare la conformità FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Output di esempio

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Puoi eseguire il comando list-account-settings per visualizzare lo stato di conformità FIPS-140 corrente. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Autorizzazione all'assegnazione di tag

Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni di etichettatura per le azioni che creano la risorsa, ad esempio. ecsCreateCluster Quando create una risorsa e specificate i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vi siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default con l'opzione tagResourceAuthorization impostata su enable. Per ulteriori informazioni, consulta put-account-setting-default nella Documentazione di riferimento delle API di Amazon Elastic Container Service. Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.

  • È possibile utilizzare il comando seguente per abilitare l'autorizzazione all'etichettatura.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Output di esempio

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Dopo aver abilitato l'autorizzazione all'etichettatura, è necessario configurare le autorizzazioni appropriate per consentire agli utenti di taggare le risorse al momento della creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Cronologia dell'autorizzazione all'assegnazione di tag

Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings per visualizzare il valore di tagResourceAuthorization. Quando il valore è on, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, consulta list-account-setting nella Documentazione di riferimento delle API di Amazon Elastic Container Service.

Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.

  • 18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi scegliere di iniziare a utilizzare l'autorizzazione per l'etichettatura. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.

  • 9 febbraio 2024 - 6 marzo 2024: per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'etichettatura per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'tagResourceAuthorizationaccount per verificare la tua politica IAM.

    AWS ha notificato gli account interessati.

    Per disabilitare la funzionalità, eseguila put-account-setting-default con l'tagResourceAuthorizationopzione impostata su. off

  • 7 marzo 2024: se hai abilitato l'autorizzazione all'etichettatura, non puoi più disabilitare l'impostazione dell'account.

    Ti consigliamo di completare i test delle policy IAM prima di questa data.

  • 29 marzo 2024: tutti gli account utilizzano l'autorizzazione all'etichettatura. L'impostazione a livello di account non sarà più disponibile nella console Amazon ECS o. AWS CLI

AWS Fargate tempo di attesa per il ritiro dell'attività

AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta AWS Domande frequenti sulla manutenzione delle attività di Fargate su Amazon ECS.

Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7) o 14 giorni (14).

Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.

Configura il periodo di attesa eseguendo put-account-setting-default o put-account-setting come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod per il name e l'opzione value impostata su uno dei seguenti valori:

  • 0- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate.

  • 7- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate.

  • 14: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.

L'impostazione di default è 7 giorni.

Per ulteriori informazioni, consulta put-account-setting-default e put-account-setting nella Documentazione di riferimento delle API di Amazon Elastic Container Service.

È possibile eseguire il comando seguente per impostare il periodo di attesa su 14 giorni.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Output di esempio

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puoi eseguire il comando list-account-settings per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Monitoraggio del runtime ( GuardDuty integrazione con Amazon)

Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su istanze di container Fargate ed EC2 AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il monitoraggio del runtime è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i carichi di lavoro Amazon ECS con Runtime Monitoring.

Puoi eseguire list-account-settings per visualizzare l'impostazione di GuardDuty integrazione corrente. 

aws ecs list-account-settings

Output di esempio

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}