계정 설정을 통해 Amazon ECS 기능에 액세스 - Amazon Elastic Container Service
Amazon 리소스 이름(ARN) 및 IDARN 및 리소스 ID 형식 타임라인AWS Fargate 연방 정보 처리 표준 (FIPS-140) 규정 준수태그 지정 권한 부여태그 지정 권한 부여 타임라인AWS Fargate 작업 종료 대기 시간런타임 모니터링 (Amazon GuardDuty 통합)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정 설정을 통해 Amazon ECS 기능에 액세스

Amazon ECS 계정 설정으로 이동하여 특정 기능을 옵트인하거나 옵트아웃할 수 있습니다. 각 AWS 리전에서는 계정 수준에서 또는 특정 사용자/역할에 대해 각 계정 설정을 옵트인 또는 옵트아웃할 수 있습니다.

다음의 경우에 해당한다면 특정 기능을 옵트인하거나 옵트아웃하는 것이 좋습니다.

  • 사용자 또는 역할은 각 계정에 대해 특정 계정 설정을 옵트인하거나 옵트아웃할 수 있습니다.

  • 사용자 또는 역할은 계정 내 모든 사용자에 대해 기본 옵트인 또는 옵트아웃 설정을 지정할 수 있습니다.

  • 루트 사용자 또는 관리자 권한이 있는 사용자는 계정의 특정 역할 또는 사용자를 옵트인하거나 옵트아웃할 수 있습니다. 루트 사용자의 계정 설정이 변경되면 개별 계정 설정이 선택되지 않은 모든 사용자 및 역할에 대한 기본값이 설정됩니다.

참고

페더레이션 사용자는 루트 사용자로 계정이 설정되고 자신에 대한 별도의 명시적 계정 설정은 없습니다.

다음 계정 설정을 사용할 수 있습니다. 각 계정 설정에 개별적으로 옵트인 및 옵트아웃해야 합니다.

Amazon 리소스 이름(ARN) 및 ID

리소스 이름: serviceLongArnFormat, taskLongArnFormat, 및 containerInstanceLongArnFormat

Amazon ECS에는 Amazon ECS 서비스, 태스크, 컨테이너 인스턴스에 대한 리소스 ID 및 Amazon 리소스 이름(ARN)에 대한 새 형식이 도입됩니다. 각 리소스 유형의 옵트인 상태에 따라 리소스가 사용하는 Amazon 리소스 이름(ARN) 형식이 달라집니다. 해당 리소스 유형에 대한 리소스 태그 지정과 같은 기능을 사용하려면 새 ARN 형식을 사용해야 합니다. 자세한 설명은 Amazon 리소스 이름(ARN) 및 ID 섹션을 참조하세요.

기본값은 enabled입니다.

옵트인 후 시작된 리소스만 새 ARN 및 리소스 ID 형식을 받습니다. 기존의 모든 리소스가 영향을 받는 것은 아닙니다. Amazon ECS 서비스 및 태스크를 새 ARN 및 리소스 ID 형식으로 전환하려면 해당 서비스 또는 태스크를 다시 생성해야 합니다. 컨테이너 인스턴스를 새 ARN과 리소스 ID 형식으로 전환하려면 컨테이너 인스턴스를 드레이닝해야 하며 새 컨테이너 인스턴스가 시작되어 클러스터에 등록되어 있어야 합니다.

참고

Amazon ECS 서비스에 의해 시작된 작업은 해당 서비스가 2018년 11월 16일 또는 그 이후에 생성되었고 서비스를 생성한 사용자가 작업에 대한 새 형식을 옵트인한 경우에만 새 ARN 및 리소스 ID 형식을 받을 수 있습니다.

AWSVPC 트렁킹

리소스 이름: awsvpcTrunking

Amazon ECS에서는 탄력적 네트워크 인터페이스(ENI) 제한이 늘어난 지원되는 Amazon EC2 인스턴스 유형을 사용하여 컨테이너 인스턴스를 시작하는 기능을 지원합니다. 이러한 인스턴스 유형을 사용하고 awsvpcTrunking 계정 설정에 옵트인하면 새로 시작된 컨테이너 인스턴스에서 추가 ENI를 사용할 수 있습니다. 이 구성을 사용하여 각 컨테이너 인스턴스에서 awsvpc 네트워크 모드를 사용하여 추가 태스크를 배치할 수 있습니다. 이 기능을 사용하는 경우 awsvpcTrunking이 활성화된 c5.large 인스턴스에는 늘어난 ENI 할당량 10이 포함됩니다. 컨테이너 인스턴스는 기본 네트워크 인터페이스를 가지며 Amazon ECS는 “트렁크” 네트워크 인터페이스를 생성하여 컨테이너 인스턴스에 연결합니다. 기본 네트워크 인터페이스와 트렁크 네트워크 인터페이스는 ENI 할당량에 포함되지 않습니다. 그러므로 이 구성을 사용하여 컨테이너 인스턴스에서 현재 두 개의 태스크 대신 10개의 태스크를 시작할 수 있습니다. 자세한 정보는 탄력적 네트워크 인터페이스 트렁킹을 참조하세요.

기본값은 disabled입니다.

옵트인 후 시작된 리소스만 늘어난 ENI 제한을 받습니다. 기존의 모든 리소스가 영향을 받는 것은 아닙니다. 컨테이너 인스턴스를 늘어난 ENI 할당량으로 전환하려면 컨테이너 인스턴스를 드레이닝해야 하며 새 컨테이너 인스턴스가 클러스터에 등록되어 있어야 합니다.

CloudWatch 컨테이너 인사이트

리소스 이름: containerInsights

CloudWatch Container Insights는 컨테이너화된 애플리케이션 및 마이크로서비스의 지표와 로그를 수집, 집계 및 요약합니다. 이 지표에는 CPU, 메모리, 디스크, 네트워크 같은 리소스 사용률이 포함되어 있습니다. 또한 Container Insights는 컨테이너 재시작 오류 같은 진단 정보를 제공하여 문제를 격리하고 신속하게 해결할 수 있도록 도와줍니다. Container Insights에서 수집한 지표에 대해 CloudWatch 경보를 설정할 수도 있습니다. 자세한 설명은 컨테이너 인사이트를 사용하여 Amazon ECS 컨테이너를 모니터링합니다. 섹션을 참조하세요.

containerInsights 계정 설정을 옵트인할 때 기본적으로 모든 새 클러스터에 Container Insights가 활성화됩니다. 클러스터를 생성할 때 특정 클러스터에 이 설정을 비활성화할 수 있습니다. API를 사용하여 이 설정을 변경할 수도 있습니다. UpdateClusterSettings

EC2 시작 유형을 사용한 태스크 또는 서비스를 포함한 클러스터의 경우 컨테이너 인스턴스는 컨테이너 인사이트를 사용하려면 Amazon ECS 에이전트 버전 1.29.0 이상을 사용해야 합니다. 자세한 설명은 Linux 컨테이너 인스턴스 관리 섹션을 참조하세요.

기본값은 disabled입니다.

듀얼스택 VPC IPv6

리소스 이름: dualStackIPv6

Amazon ECS는 기본 프라이빗 IPv4 주소 외에 IPv6 주소로도 태스크 제공을 지원합니다.

태스크가 IPv6 주소를 받으려면 해당 태스크는 awsvpc 네트워크 모드를 사용하고, 듀얼스택 모드에 대해 구성된 VPC로 시작되어야 하며, dualStackIPv6 계정 설정을 활성화해야 합니다. 기타 요구 사항에 대한 자세한 내용은 EC2 시작 유형 및 듀얼 스택 모드로 VPC 사용하기 Fargate 시작 유형을 참조하십시오듀얼 스택 모드로 VPC 사용하기.

중요

dualStackIPv6 계정 설정은 Amazon ECS API 또는 AWS CLI를 사용해야 변경할 수 있습니다. 자세한 정보는 계정 설정 수정을 참조하세요.

2020년 10월 1일과 11월 2일 사이에 IPv6가 활성화된 서브넷에서 awsvpc 네트워크 모드를 사용하여 실행 중인 태스크가 있을 경우, 태스크가 실행된 리전의 기본 dualStackIPv6 계정 설정은 disabled입니다. 해당 조건이 충족되지 않을 경우 리전의 기본 dualStackIPv6 설정은 enabled입니다.

기본값은 disabled입니다.

Fargate FIPS-140 규정 준수

리소스 이름: fargateFIPSMode

Fargate에서는 민감한 정보를 보호하는 암호화 모듈의 보안 요구 사항을 규정하는 Federal Information Processing Standard(FIPS-140)를 지원합니다. 이는 현재 미국 및 캐나다 정부 표준이며 연방 정보 보안 관리법(FISMA) 또는 연방 위험 및 권한 부여 관리 프로그램(FedRAMP)을 준수해야 하는 시스템에 적용됩니다.

기본값은 disabled입니다.

FIPS-140 규정 준수를 켜야 합니다. 자세한 설명은 AWS Fargate 연방 정보 처리 표준 (FIPS-140) 섹션을 참조하세요.

중요

fargateFIPSMode 계정 설정은 Amazon ECS API 또는 AWS CLI를 사용해야 변경할 수 있습니다. 자세한 설명은 계정 설정 수정 섹션을 참조하세요.

태그 리소스 권한 부여

리소스 이름: tagResourceAuthorization

일부 Amazon ECS API 작업을 사용하면 리소스를 생성할 때 태그를 지정할 수 있습니다.

Amazon ECS에서 리소스 생성을 위한 태그 지정 권한 부여를 도입합니다. 사용자는 다음과 같이 리소스를 생성하는 작업에 대한 권한을 가지고 있어야 합니다. ecsCreateCluster 리소스 생성 작업에 태그가 지정된 경우 작업에 대한 추가 권한 부여를 AWS 수행하여 사용자 또는 역할에 태그를 만들 권한이 있는지 확인합니다. ecs:TagResource 따라서 ecs:TagResource 작업을 사용할 수 있는 명시적 권한을 부여해야 합니다. 자세한 설명은 생성 시 리소스에 태그를 지정할 수 있는 권한 부여 섹션을 참조하세요.

Fargate 작업 사용 중지 대기 기간

리소스 이름: fargateTaskRetirementWaitPeriod

AWS AWS Fargate의 기본 인프라에 대한 패치 적용 및 유지 관리를 담당합니다. Fargate에서 호스팅되는 Amazon ECS 작업에 보안 또는 인프라 업데이트가 필요하다고 AWS 판단되면 작업을 중지하고 새 작업을 시작하여 이를 대체해야 합니다. 패치 적용을 위해 작업이 사용 중지되기 전 대기 기간을 구성할 수 있습니다. 작업을 즉시 중단하거나, 달력일 기준 7일을 기다리거나, 달력일 기준 14일을 기다릴 수 있습니다.

이 설정은 계정 수준에서 적용됩니다.

런타임 모니터링 활성화

리소스 이름: guardDutyActivate

guardDutyActivate 파라미터는 Amazon ECS에서 읽기 전용이며, Amazon ECS 계정의 보안 관리자가 런타임 모니터링을 켜는지 또는 해제하는지를 나타냅니다. GuardDuty 사용자를 대신하여 이 계정 설정을 제어합니다. 자세한 내용은 런타임 모니터링을 통한 Amazon ECS 워크로드 보호를 참조하십시오.

주제

Amazon 리소스 이름(ARN) 및 ID

Amazon ECS 리소스가 생성되면 각 리소스에 고유한 Amazon 리소스 이름(ARN) 및 리소스 식별자(ID)를 할당합니다. 명령줄 도구 또는 Amazon ECS API를 사용하여 Amazon ECS로 작업할 경우 특정 명령에 리소스 ARN 또는 ID가 필요합니다. 예를 들어 stop-task AWS CLI 명령을 사용하여 작업을 중지하는 경우 명령에 작업 ARN 또는 ID를 지정해야 합니다.

새 Amazon 리소스 이름(ARN) 및 리소스 ID 형식은 리전별로 옵트인하거나 옵트아웃할 수 있습니다. 현재 새로 생성된 모든 계정은 기본적으로 옵트인되어 있습니다.

언제든지 새로운 Amazon 리소스 이름(ARN) 및 리소스 ID 형식을 옵트인 또는 옵트아웃할 수 있습니다. 옵트인하면 새로 생성하는 모든 리소스가 새 형식을 사용합니다.

참고

리소스 ID는 생성 이후 변경되지 않습니다. 따라서 새 형식을 옵트인하거나 옵트아웃해도 기존 리소스 ID에는 영향을 주지 않습니다.

다음 섹션에서는 ARN 및 리소스 ID 형식이 어떻게 변화하고 있는지를 설명합니다. 새 형식으로의 전환에 대한 자세한 내용은 Amazon Elastic Container Service FAQ를 참조하세요.

Amazon 리소스 이름(ARN) 형식

일부 리소스에는 사용자에게 친숙한 이름이 있습니다(예: production이라는 이름의 서비스). 그러나 Amazon 리소스 이름(ARN) 형식을 사용하여 리소스를 지정해야 하는 경우도 있습니다. Amazon ECS 태스크, 서비스 및 컨테이너 인스턴스에 대한 새 ARN 형식에는 클러스터 이름이 포함됩니다. 새 ARN 형식을 옵트인하는 방법에 대한 자세한 내용은 계정 설정 수정 섹션을 참조하세요.

다음 표에서는 각 리소스 유형에 대한 현재 형식과 새 형식을 모두 보여 줍니다.

리소스 유형

ARN

컨테이너 인스턴스

현재: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

새 형식: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Amazon ECS 서비스

현재: arn:aws:ecs:region:aws_account_id:service/service-name

새 형식: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Amazon ECS 태스크

현재: arn:aws:ecs:region:aws_account_id:task/task-id

새 형식: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
리소스 ID 길이

리소스 ID는 문자와 숫자의 고유한 조합 형식을 취합니다. 새 리소스 ID 형식에는 Amazon ECS 태스크 및 컨테이너 인스턴스에 대한 더 짧은 ID가 포함됩니다. 현재 리소스 ID 형식의 길이는 36자입니다. 새 ID는 하이픈을 포함하지 않는 32자 형식입니다. 새 리소스 ID 형식을 옵트인하는 방법에 대한 자세한 내용은 계정 설정 수정 섹션을 참조하세요.

ARN 및 리소스 ID 형식 타임라인

Amazon ECS 리소스에 대한 새로운 Amazon 리소스 이름(ARN) 및 리소스 ID 형식에 대한 옵트인 및 옵트아웃 기간의 타임라인이 2021년 4월 1일에 종료되었습니다. 기본적으로 모든 새 계정은 새 형식으로 옵트인됩니다. 새로 생성되는 모든 리소스는 새로운 형식을 받고 더 이상 옵트아웃할 수 없습니다.

AWS Fargate 연방 정보 처리 표준 (FIPS-140) 규정 준수

Fargate에서 Federal Information Processing Standard(FIPS-140) 규정 준수를 켜야 합니다. 자세한 설명은 AWS Fargate 연방 정보 처리 표준 (FIPS-140) 섹션을 참조하세요.

fargateFIPSMode 옵션을 enabled로 설정하여 put-account-setting-default를 생성합니다. 자세한 내용은 Amazon Elastic 컨테이너 서비스 API 참조를 참조하십시오. put-account-setting-default

  • 다음 명령을 사용하여 FIPS-140 규정 준수를 활성화할 수 있습니다.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    출력 예시

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

list-account-settings를 실행하여 현재 FIPS-140 규정 준수 상태를 볼 수 있습니다. effective-settings 옵션을 사용하면 계정 수준 설정을 볼 수 있습니다.

aws ecs list-account-settings --effective-settings

태그 지정 권한 부여

Amazon ECS에서 리소스 생성을 위한 태그 지정 권한 부여를 도입합니다. 사용자는 리소스를 생성하는 작업 (예:) 에 대한 태깅 권한을 가지고 있어야 합니다. ecsCreateCluster 리소스를 생성하고 해당 리소스에 태그를 지정하면 은 추가 권한 부여를 AWS 수행하여 태그를 만들 권한이 있는지 확인합니다. 따라서 ecs:TagResource 작업을 사용할 수 있는 명시적 권한을 부여해야 합니다. 자세한 설명은 생성 시 리소스에 태그를 지정할 수 있는 권한 부여 섹션을 참조하세요.

태그 지정 권한 부여를 옵트인하려면 tagResourceAuthorization 옵션을 put-account-setting-default로 설정한 상태로 enable을 실행합니다. 자세한 내용은 Amazon Elastic 컨테이너 서비스 API 참조를 참조하십시오. put-account-setting-default list-account-settings를 실행하여 현재 태그 지정 권한 부여 상태를 볼 수 있습니다.

  • 다음 명령을 사용하여 태깅 인증을 활성화할 수 있습니다.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    출력 예시

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

태깅 인증을 활성화한 후에는 생성 시 사용자가 리소스에 태그를 지정할 수 있도록 적절한 권한을 구성해야 합니다. 자세한 설명은 생성 시 리소스에 태그를 지정할 수 있는 권한 부여 섹션을 참조하세요.

list-account-settings를 실행하여 현재 태그 지정 권한 부여 상태를 볼 수 있습니다. effective-settings 옵션을 사용하면 계정 수준 설정을 볼 수 있습니다.

aws ecs list-account-settings --effective-settings

태그 지정 권한 부여 타임라인

태그 지정 권한 부여가 활성 상태인지 확인하려면 list-account-settings를 실행하여 tagResourceAuthorization 값을 보면 됩니다. 값이 on인 경우 태그 지정 권한 부여가 사용 중인 것입니다. 자세한 내용은 Amazon Elastic 컨테이너 서비스 API 참조를 참조하십시오. list-account-settings

다음은 태그 지정 권한 부여와 관련된 중요한 날짜입니다.

  • 2023년 4월 18일 - 태그 지정 권한 부여가 도입되었습니다. 이 기능을 사용하려면 모든 신규 및 기존 계정이 옵트인해야 합니다. 옵트인하여 태그 지정 권한 사용을 시작할 수 있습니다. 옵트인을 통해 적절한 권한을 부여해야 합니다.

  • 2024년 2월 9일 - 2024년 3월 6일 — 모든 신규 계정 및 영향을 받지 않는 기존 계정에는 기본적으로 태그 권한 부여가 설정되어 있습니다. tagResourceAuthorization계정 설정을 활성화하거나 비활성화하여 IAM 정책을 확인할 수 있습니다.

    AWS 영향을 받는 계정에 알렸습니다.

    이 기능을 비활성화하려면 tagResourceAuthorization 옵션을 put-account-setting-default 로 설정한 상태로 실행합니다. off

  • 2024년 3월 7일 - 태깅 인증을 활성화한 경우 더 이상 계정 설정을 비활성화할 수 없습니다.

    이 날짜 이전에 IAM 정책 테스트를 완료하는 것이 좋습니다.

  • 2024년 3월 29일 — 모든 계정이 태깅 인증을 사용합니다. Amazon ECS 콘솔에서 계정 수준 설정을 더 이상 사용할 수 없습니다. AWS CLI

AWS Fargate 작업 종료 대기 시간

AWS 플랫폼 버전 개정판에서 실행 중인 Fargate 작업이 사용 중지된 것으로 표시된 경우 알림을 보냅니다. 자세한 설명은 AWS Fargate 작업 유지 관리 FAQ 섹션을 참조하세요.

Fargate에서 작업 사용 중지를 시작하는 시간을 구성할 수 있습니다. 업데이트를 즉시 적용해야 하는 워크로드의 경우 즉시 설정(0)을 선택합니다. 더 세부적으로 제어해야 하는 경우, 예를 들어 특정 기간에만 작업을 중지할 수 있는 경우 7일(7) 또는 14일(14) 옵션을 구성합니다.

최신 플랫폼 수정 버전을 더 빨리 받으려면 짧은 대기 기간을 선택하는 것이 좋습니다.

put-account-setting-default 실행하거나 루트 사용자 또는 관리자 put-account-setting 권한으로 대기 기간을 구성하십시오. name에는 fargateTaskRetirementWaitPeriod 옵션을 사용하고 value 옵션을 다음 값 중 하나로 설정합니다.

  • 0- 알림을 AWS 보내고 영향을 받은 작업을 즉시 폐기하기 시작합니다.

  • 7- 알림을 AWS 보내고 7일 동안 기다린 후 영향을 받은 작업을 폐기하기 시작합니다.

  • 14 - AWS 는 알림을 보내고 14일 기다린 후 영향을 받은 작업을 사용 중지합니다.

기본값은 7일입니다.

자세한 내용은 put-account-setting-defaultput-account-settingAmazon Elastic 컨테이너 서비스 API 참조를 참조하십시오.

다음 명령을 실행하여 대기 기간을 14일로 설정할 수 있습니다.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

출력 예시

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

list-account-settings를 실행하여 현재 Fargate 작업 사용 중지 대기 시간을 볼 수 있습니다. effective-settings 옵션을 사용합니다.

aws ecs list-account-settings --effective-settings

런타임 모니터링 (Amazon GuardDuty 통합)

Runtime Monitoring은 로그 및 네트워킹 활동을 지속적으로 AWS 모니터링하여 악의적이거나 승인되지 않은 동작을 식별함으로써 Fargate 및 EC2 컨테이너 인스턴스에서 실행되는 워크로드를 보호하는 지능형 위협 탐지 서비스입니다.

guardDutyActivate 파라미터는 Amazon ECS에서 읽기 전용이며, Amazon ECS 계정의 보안 관리자가 런타임 모니터링을 켜는지 또는 해제하는지를 나타냅니다. GuardDuty 사용자를 대신하여 이 계정 설정을 제어합니다. 자세한 내용은 런타임 모니터링을 통한 Amazon ECS 워크로드 보호를 참조하십시오.

list-account-settings 실행하여 현재 GuardDuty 통합 설정을 볼 수 있습니다.

aws ecs list-account-settings

출력 예시

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}