アカウント設定による Amazon ECS 機能へのアクセス - Amazon Elastic Container Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント設定による Amazon ECS 機能へのアクセス

Amazon ECS アカウント設定に移動して、特定の機能をオプトインまたはオプトアウトできます。各 AWS リージョンについて、アカウントレベルまたは特定のユーザーまたはロールで、各アカウント設定をオプトインまたはオプトアウトすることができます。

次のいずれかの条件が関係する場合は、特定の機能をオプトインまたはオプトアウトすることが考えられます。

  • ユーザーまたはロールは、個々のアカウントのために特定のアカウント設定をオプトインまたはオプトアウトできます。

  • ユーザーまたはロールはアカウントのすべてのユーザーに対してデフォルトのオプトインまたはオプトアウト設定を定義できます。

  • 管理者権限を持つルートユーザーまたはユーザーは、アカウントの特定のロールまたはユーザーをオプトインまたはオプトアウトできます。ルートユーザーのアカウント設定が変更されると、個別にアカウント設定が選択されなかったすべてのユーザーとロールに対してデフォルト値が設定されます。

注記

フェデレーションユーザーは、ルートユーザーのアカウント設定を想定しており、明示的にアカウント設定を個別に設定することはできません。

以下のアカウント設定を使用できます。アカウント設定ごとに、個別にオプトインとオプトアウトを行う必要があります。

Amazon リソースネーム (ARN) と ID

リソース名: serviceLongArnFormattaskLongArnFormatcontainerInstanceLongArnFormat

Amazon ECS で、Amazon リソースネーム (ARN) の新しいフォーマットと、Amazon ECS サービス、タスク、コンテナインスタンスのリソース ID が導入されました。各リソースタイプのオプトインステータスによって、リソースが使用する Amazon リソースネーム (ARN) の形式が決まります。そのリソースタイプのリソースタグ付けなどの機能を使用するには、新しい ARN の形式にオプトインする必要があります。詳細については、「Amazon リソースネーム (ARN) と ID」を参照してください。

デフォルトは enabled です。

オプトインした後に起動されたリソースだけが、新形式の ARN とリソース ID を受け取ります。既存のリソースは、いずれも影響を受けません。Amazon ECS サービスとタスクを新しい ARN およびリソース ID の形式に移行するには、サービスまたはタスクを再作成する必要があります。コンテナインスタンスを新しい ARN およびリソース ID 形式に移行するには、そのコンテナインスタンスを空にし、新規コンテナインスタンスを起動してクラスターに登録する必要があります。

注記

Amazon ECS サービスが 2018 年 11 月 16 日以降に作成されていて、そのサービスを作成したユーザーがタスクの新形式をオプトインしている場合、そのサービスによって起動されたタスクだけが新形式の ARN とリソース ID になります。

AWSVPC トランキング

リソース名: awsvpcTrunking

Amazon ECSは、サポートされている Amazon EC2 インスタンスタイプを使用して、Elastic Network Interface (ENI) の密度を高めたコンテナインスタンスの起動をサポートします。これらのインスタンスタイプを使用し、awsvpcTrunking アカウント設定にオプトインすると、新しく起動されたコンテナインスタンスで追加の EMI を利用できます。各コンテナインスタンスの awsvpc ネットワークモードを使用して、より多くのタスクを配置するために、この設定を使用できます。この機能を使用すると、awsvpcTrunking が有効になっている c5.large インスタンスでは、ENI クォータが 10 個に引き上げられます。コンテナインスタンスはプライマリネットワークインターフェイスを持ち、Amazon ECS はコンテナインスタンスに対して「トランク」ネットワークインターフェイスをアタッチします。プライマリネットワークインターフェイスとトランクネットワークインターフェイスは、ENI クォータにはカウントされません。したがって、この設定を使用して、現在の 2 個ではなく 10 個のタスクをコンテナインスタンスで起動できます。詳細については、「Elastic Network Interface のトランキング」を参照してください。

デフォルトは disabled です。

オプトイン後に起動したリソースのみが、引き上げられた ENI 上限を受けられます。既存のリソースは、いずれも影響を受けません。コンテナインスタンスを引き上げられた ENI クォータに移行するには、そのコンテナインスタンスを空にしてから、新規コンテナインスタンスをクラスターに登録する必要があります。

CloudWatch Container Insights

リソース名: containerInsights

CloudWatch Container Insights は、コンテナ化されたアプリケーションとマイクロサービスからメトリクスとログを収集、集計、要約します。このメトリクスには、CPU、メモリ、ディスク、ネットワークなどのリソース使用率が含まれます。Container Insights では、問題の迅速な特定と解決に役立つ、コンテナの再起動失敗などの診断情報も提供されます。また、Container Insights が収集するメトリクスには CloudWatch アラームを設定できます。詳細については、「Container Insights を使用して Amazon ECS コンテナをモニタリングする」を参照してください。

containerInsights アカウント設定にオプトインすると、すべての新しいクラスターで Container Insights がデフォルトで有効になります。この設定は、作成時に特定のクラスターに対して無効にすることができます。 UpdateClusterSettings API を使用してこの設定を変更することもできます。

EC2 起動タイプを使用するタスクまたはサービスを含むクラスターでは、Container Insights を使用するには、コンテナインスタンスで Amazon ECS エージェントのバージョン 1.29.0 以降が実行されている必要があります。詳細については、「Linux コンテナインスタンス管理」を参照してください。

デフォルトは disabled です。

デュアルスタック VPC IPv6

リソース名: dualStackIPv6

Amazon ECS は、プライマリプライベート IPv4 アドレスに加えて IPv6 アドレスを備えたタスクの提供をサポートします。

タスクが IPv6 アドレスを受信するには、タスクが awsvpc ネットワークモードを使用し、デュアルスタックモードに設定された VPC で起動し、dualStackIPv6 アカウント設定を有効にする必要があります。その他の要件の詳細については、EC2 起動タイプデュアルスタックモードでの VPC の使用については「」を、Fargate 起動タイプデュアルスタックモードでの VPC の使用については「」を参照してください。

重要

dualStackIPv6 アカウント設定は、Amazon ECS API または AWS CLIを使用してのみ変更できます。詳細については、「アカウント設定の変更」を参照してください。

2020 年 10 月 1 日から 2020 年 11 月 2 日の間に、IPv6 が有効なサブネットで awsvpc ネットワークモードを使用してタスクを実行している場合、タスクが実行されていたリージョンの既定の dualStackIPv6 アカウント設定は disabled です。この条件が満たされない場合、リージョンのデフォルト dualStackIPv6 設定は enabled です。

デフォルトは disabled です。

Fargate FIPS-140 コンプライアンス

リソース名: fargateFIPSMode

Fargate は、機密情報を保護する暗号モジュールのセキュリティ要件を指定する連邦情報処理標準 (FIPS-140) をサポートしています。これは現在の米国およびカナダの政府標準であり、Federal Information Security Management Act (FISMA) または Federal Risk and Authorization Management Program (FedRAMP) への準拠が要求されるシステムに適用されます。

デフォルトは disabled です。

FIPS-140 コンプライアンスをオンにする必要があります。詳細については、「AWS Fargate 連邦情報処理規格 (FIPS-140)」を参照してください。

重要

fargateFIPSMode アカウント設定は、Amazon ECS API または AWS CLIを使用してのみ変更できます。詳細については、「アカウント設定の変更」を参照してください。

タグリソース認可

リソース名: tagResourceAuthorization

一部の Amazon ECS API アクションでは、リソースの作成時にタグを指定できます。

Amazon ECS は、リソース作成のためのタグ付け認可を導入しています。ユーザーには、 などのリソースを作成するアクションに対するアクセス許可が必要ですecsCreateCluster。リソース作成アクションでタグが指定されている場合、 はecs:TagResourceアクションに対して追加の認証 AWS を実行し、ユーザーまたはロールにタグを作成するアクセス許可があるかどうかを検証します。したがって、ecs:TagResource アクションを使用するための明示的な許可を付与する必要があります。詳細については、「リソース作成時にタグ付けするための許可を付与する」を参照してください。

Fargate タスク廃止の待機時間

リソース名: fargateTaskRetirementWaitPeriod

AWS は、 AWS Fargate の基盤となるインフラストラクチャにパッチを適用して維持する責任があります。Fargate でホストされている Amazon ECS タスクにセキュリティまたはインフラストラクチャの更新が必要であると が AWS 判断した場合、タスクを停止し、新しいタスクを起動して置き換える必要があります。Fargate タスクが廃止されるまでの待機時間を設定できます。タスクをすぐに廃止するか、7 暦日待機するか、14 暦日待機するかを選択できます。

この設定はアカウントレベルで適用されます。

Runtime Monitoring のアクティベーション

リソース名: guardDutyActivate

guardDutyActivate パラメータは Amazon ECS では読み取り専用であり、Amazon ECS account のセキュリティ管理者が Runtime Monitoring をオンまたはオフにするかどうかを示します。 は、ユーザーに代わってこのアカウント設定 GuardDuty を制御します。詳細については、「Runtime Monitoring による Amazon ECS ワークロードの保護」を参照してください。

Amazon リソースネーム (ARN) と ID

Amazon ECS リソースの作成時に、各リソースには一意の Amazon リソースネーム (ARN) と一意のリソース識別子 (ID) が割り当てられます。コマンドラインツールまたは Amazon ECS API を使用して Amazon ECS を操作する場合、特定のコマンドにはリソース ARNまたはリソース ID が必要になります。例えば、タスクを停止するために stop-task AWS CLI コマンドを使用する場合は、コマンドでタスク ARN または ID を指定する必要があります。

新しい Amazon リソースネーム (ARN) およびリソース ID の形式は、リージョンごとにオプトインおよびオプトアウトできます。現在、新しく作成されたアカウントはデフォルトでオプトインされています。

新形式の Amazon リソースネーム (ARN) およびリソース ID はいつでもオプトインまたはオプトアウトできます。オプトインすると、作成した新しいリソースはすべて新しい形式を使用します。

注記

リソース ID が作成後に変更することはありません。したがって、新しい形式をオプトインまたはオプトアウトしても、既存のリソース ID には影響しません。

以下のセクションでは、ARN およびリソース ID 形式がどのように変更されているかについて説明します。新しい形式への移行の詳細については、「Amazon Elastic Container Service のよくある質問」を参照してください。

Amazon リソースネーム (ARN) 形式

一部のリソースには、production という名前のサービスなど、わかりやすい名前があります。それ以外の場合は、Amazon リソースネーム (ARN) 形式を使用してリソースを指定する必要があります。Amazon ECS のタスク、サービス、およびコンテナインスタンスの新しい ARN 形式には、クラスター名が含まれます。新しい ARN 形式へのオプトインの詳細については、「アカウント設定の変更」を参照してください。

各リソースタイプでの現在の形式と新しい形式を次の表に示しています。

リソースタイプ

ARN

コンテナインスタンス

現在: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

新: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Amazon ECS サービス

現在: arn:aws:ecs:region:aws_account_id:service/service-name

新: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Amazon ECS タスク

現在: arn:aws:ecs:region:aws_account_id:task/task-id

新: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id

リソース ID の長さ

リソース ID は文字と数字の一意の組み合わせです。新しいリソース ID 形式には、Amazon ECS タスクおよびコンテナインスタンス用の短い ID が含まれます。現在のリソース ID の形式の長さは 36 文字です。新しい ID は 32 文字の形式で、ハイフンは含まれません。新しい リソース ID 形式をオプトインする方法の詳細については、「アカウント設定の変更」を参照してください。

ARN およびリソース ID 形式のタイムライン

新しい Amazon リソースネーム (ARN) と Amazon ECS リソースのリソース ID 形式のための、オプトインおよびオプトアウト期間のタイムラインは、2021 年 4 月 1 日に終了しました。デフォルトでは、すべてのアカウントが新しい形式にオプトインされています。新しく作成されたすべてのリソースには新しい形式が適用され、オプトアウトできなくなります。

AWS Fargate 連邦情報処理規格 (FIPS-140) コンプライアンス

Fargate で連邦情報処理標準 (FIPS-140) コンプライアンスをオンにする必要があります。詳細については、「AWS Fargate 連邦情報処理規格 (FIPS-140)」を参照してください。

fargateFIPSMode オプションを enabled に設定して put-account-setting-default を実行します。詳細については、「Amazon Elastic Container Service API リファレンスput-account-setting-default」の「」を参照してください。

  • 次のコマンドを使用して、FIPS-140 コンプライアンスを有効にできます。

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    出力例

    { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

list-account-settings を実行して、現在の FIPS-140 コンプライアンスステータスを表示できます。effective-settings オプションを使用して、アカウントレベルの設定を表示します。

aws ecs list-account-settings --effective-settings

タグ付け認可

Amazon ECS は、リソース作成のためのタグ付け認可を導入しています。ユーザーには、 などのリソースを作成するアクションのタグ付け権限が必要ですecsCreateCluster。リソースを作成し、そのリソースのタグを指定すると、 は追加の認証 AWS を実行して、タグを作成するアクセス許可があることを確認します。したがって、ecs:TagResource アクションを使用するための明示的な許可を付与する必要があります。詳細については、「リソース作成時にタグ付けするための許可を付与する」を参照してください。

タグ付け認可にオプトインするには、tagResourceAuthorization オプションを enable に設定して put-account-setting-default を実行します。詳細については、「Amazon Elastic Container Service API リファレンスput-account-setting-default」の「」を参照してください。list-account-settings を実行して、現在のタグ付け認可ステータスを表示できます。

  • 次のコマンドを使用して、タグ付け認可を有効にできます。

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    出力例

    { "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

タグ付け認可を有効にしたら、ユーザーが作成時にリソースにタグを付けることができるように適切なアクセス許可を設定する必要があります。詳細については、「リソース作成時にタグ付けするための許可を付与する」を参照してください。

list-account-settings を実行して、現在のタグ付け認可ステータスを表示できます。effective-settings オプションを使用して、アカウントレベルの設定を表示します。

aws ecs list-account-settings --effective-settings

タグ付け認可のタイムライン

list-account-settings を実行して tagResourceAuthorization 値を表示することで、タグ付け認可がアクティブかどうかを確認できます。値が on である場合、タグ付け認可が使用されています。詳細については、「Amazon Elastic Container Service API リファレンスlist-account-settings」の「」を参照してください。

タグ付け認可に関連する重要な日付を次に示します。

  • 2023 年 4 月 18 日 – タグ付け認可が導入されました。この機能を使用するには、新規および既存のすべてのアカウントでオプトインする必要があります。タグ付け認可の使用を開始するようにオプトインできます。オプトインすることにより、適切な許可を付与する必要があります。

  • 2024 年 2 月 9 日 - 2024 年 3 月 6 日 – すべての新規アカウントと影響を受けていない既存のアカウントには、デフォルトでタグ付け認可があります。tagResourceAuthorization アカウント設定を有効または無効にして、IAM ポリシーを検証できます。

    AWS は、影響を受けるアカウントに通知しました。

    この機能を無効にするには、 tagResourceAuthorizationオプションを に設定put-account-setting-defaultして を実行しますoff

  • 2024 年 3 月 7 日 – タグ付け認可を有効にしている場合、アカウント設定を無効にすることはできなくなります。

    この日付より前に IAM ポリシーテストを完了することをお勧めします。

  • 2024 年 3 月 29 日 – すべての アカウントがタグ付け認可を使用しています。アカウントレベルの設定は、Amazon ECS コンソールまたは で使用できなくなります。 AWS CLI

AWS Fargate タスク廃止の待機時間

AWS 廃止対象としてマークされたプラットフォームバージョンリビジョンで Fargate タスクが実行されている場合、 は通知を送信します。詳細については、「AWS Fargate タスクメンテナンスFAQs」を参照してください。

Fargate がタスク廃止を開始する時間を設定できます。アップデートをすぐに適用する必要があるワークロードの場合は、即時設定 (0) を選択します。特定の時間帯にしかタスクを停止できない場合など、詳細な制御が必要な場合は、7 日 (7) または 14 日 (14) のオプションを設定します。

新しいプラットフォームバージョンのリビジョンを早く取得できるように、待機時間を短くすることをお勧めします。

ルートユーザーput-account-setting-defaultまたは管理ユーザーput-account-settingとして または を実行して待機期間を設定します。fargateTaskRetirementWaitPeriod オプションを name に使用し、value オプションを次のいずれかの値に設定します。

  • 0 - AWS 通知を送信し、影響を受けたタスクの廃止を直ちに開始します。

  • 7 - AWS 通知を送信し、7 暦日待ってから、影響を受けるタスクの廃止を開始します。

  • 14 -  AWS  から通知が送信され、14 日間待機してから、影響を受けたタスクの廃止が開始されます。

デフォルトは 7 日間です。

詳細については、「Amazon Elastic Container Service API リファレンスput-account-setting」のput-account-setting-default「」および「」を参照してください。

次のコマンドを実行して、待機期間を 14 日に設定できます。

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

出力例

{ "setting": { "name": "fargateTaskRetirementWaitPeriod", "value": "14", "principalArn": "arn:aws:iam::123456789012:root", "type: user" } }

現在の Fargate タスク廃止の待機時間は、list-account-settings を実行して表示できます。effective-settings オプションを使用する

aws ecs list-account-settings --effective-settings

Runtime Monitoring (Amazon GuardDuty 統合)

Runtime Monitoring は、 AWS ログとネットワークアクティビティを継続的にモニタリングして悪意のある動作や不正な動作を識別することで、Fargate および EC2 コンテナインスタンスで実行されているワークロードを保護するインテリジェントな脅威検出サービスです。

guardDutyActivate パラメータは Amazon ECS では読み取り専用であり、Amazon ECS account のセキュリティ管理者が Runtime Monitoring をオンまたはオフにするかどうかを示します。 は、ユーザーに代わってこのアカウント設定 GuardDuty を制御します。詳細については、「Runtime Monitoring による Amazon ECS ワークロードの保護」を参照してください。

list-account-settings を実行して、現在の GuardDuty 統合設定を表示できます。

aws ecs list-account-settings

出力例

{ "setting": { "name": "guardDutyActivate", "value": "on", "principalArn": "arn:aws:iam::123456789012:doej", "type": aws-managed" } }