Acesso a recursos do Amazon ECS por meio das configurações da conta - Amazon Elastic Container Service

Acesso a recursos do Amazon ECS por meio das configurações da conta

É possível acessar as configurações de conta Amazon ECS para optar por aceitar ou recusar recursos específicos. Para cada Região da AWS, você pode optar por aceitar ou recusar cada configuração de conta no nível da conta ou para um usuário ou perfil específico.

É possível optar por aceitar ou recusar recursos específicos se alguma das opções a seguir for relevante para você:

  • Um usuário ou perfil pode optar por aceitar ou recusar configurações específicas de conta para sua conta individual.

  • Um usuário ou perfil pode definir a configuração padrão de aceitação ou recusa para todos os usuários da conta.

  • O usuário-raiz ou um usuário com privilégios de administrador pode aceitar ou rejeitar qualquer perfil ou usuário específico na conta. Se a configuração da conta do usuário raiz for alterada, ela definirá o padrão para todos os usuários e perfis para os quais nenhuma configuração individual de conta tenha sido selecionada.

nota

Os usuários federados assumem a configuração da conta do usuário raiz e não podem ter configurações explícitas de conta definidas separadamente para eles.

As seguintes configurações de conta estão disponíveis. Você deve aceitar e rejeitar separadamente cada configuração de conta.

Nomes de recursos da Amazon (ARNs) e IDs

Nomes de recursos: serviceLongArnFormat, taskLongArnFormat e containerInstanceLongArnFormat

O Amazon ECS está apresentando um novo formato para nomes de recursos da Amazon (ARNs) e IDs de recursos para serviços, tarefas e instâncias de contêiner do Amazon ECS. O status de aceitação para cada tipo de recurso determina o formato do nome do recurso da Amazon (ARN) usado pelo recurso. Você deve optar por aceitar o novo formato de ARN para usar recursos, como marcação de recursos, para esse tipo de recurso. Para ter mais informações, consulte Nomes de recursos da Amazon (ARNs) e IDs.

O padrão é enabled.

Somente recursos lançados após a aceitação recebem o novo formato do ARN e do ID do recurso. Nenhum recurso existente é afetado. Para que os serviços e tarefas do Amazon ECS façam a transição para os novos formatos de ARN e ID de recurso, será necessário recriar a tarefa ou o serviço. Para fazer a transição de uma instância de contêiner para o novo formato do ARN e do ID do recurso, a instância de contêiner deve ser drenada e uma nova instância de contêiner deve ser iniciada e registrada no cluster.

nota

As tarefas iniciadas por um serviço do Amazon ECS só poderão receber o novo formato do ARN e do ID do recurso se o serviço tiver sido criado em 16 de novembro de 2018 ou depois e se o usuário que criou o serviço tiver aceitado o novo formato para as tarefas.

Entroncamento AWSVPC

Nome do recurso: awsvpcTrunking

O Amazon ECS oferece suporte à execução de instâncias de contêiner com maior densidade da interface de rede elástica (ENI) usando tipos de instância compatíveis do Amazon EC2. Quando você usa esses tipos de instância e aceita a configuração de conta awsvpcTrunking, ENIs adicionais estão disponíveis em instâncias de contêiner recém-executadas. É possível usar essa configuração para colocar mais tarefas usando o modo de rede awsvpc em cada instância de contêiner. Usando esse recurso, uma instância c5.large com awsvpcTrunking habilitado tem uma cota maior de ENI, com dez. A instância de contêiner tem uma interface de rede primária e o Amazon ECS cria e associa uma interface de rede de "tronco" à instância de contêiner. A interface de rede primária e a interface de rede de tronco não contam para a cota de ENI. Portanto, você pode usar essa configuração para iniciar dez tarefas na instância de contêiner, em vez das duas tarefas atuais. Para ter mais informações, consulte Entroncamento da interface de rede elástica.

O padrão é disabled.

Somente recursos iniciados após a aceitação recebem os limites de ENI aumentados. Nenhum recurso existente é afetado. Para fazer a transição de uma instância de contêiner para as cotas ampliadas de ENI, a instância de contêiner deve ser drenada e uma nova instância de contêiner deve ser registrada no cluster.

CloudWatch Container Insights

Nome do recurso: containerInsights

O CloudWatch Container Insights coleta, agrega e resume métricas e logs das suas aplicações e microsserviços conteinerizados. As métricas incluem a utilização de recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas de reinicialização de contêiner, para ajudar a isolar problemas e resolvê-los rapidamente. Você também pode definir alarmes do CloudWatch em métricas que o Container Insights coleta. Para ter mais informações, consulte Monitoração de contêineres do Amazon ECS usando o Container Insights.

Ao aceitar a configuração da conta do containerInsights, todos os novos clusters têm o Container Insights habilitado por padrão. É possível desabilitar essa configuração para clusters específicos quando criá-los. Você também pode alterar essa configuração usando a API UpdateClusterSettings.

Para clusters que contenham tarefas ou serviços que usem o tipo de inicialização do EC2, as instâncias de contêiner devem estar executando a versão 1.29.0 ou posterior do agente do Amazon ECS para usar o Container Insights. Para ter mais informações, consulte Gerenciamento de instância de contêiner do Linux.

O padrão é disabled.

VPC IPv6 de pilha dupla

Nome do recurso: dualStackIPv6

O Amazon ECS oferece suporte ao fornecimento de tarefas com um endereço IPv6 além do endereço IPv4 privado primário.

Para que as tarefas recebam um endereço IPv6, a tarefa deve usar o modo de rede awsvpc, deve ser iniciada em uma VPC configurada para o modo de pilha dupla e a configuração da conta do dualStackIPv6 deve estar habilitada. Para obter mais informações sobre outros requisitos, consulte Usar uma VPC no modo de pilha dupla para o tipo de execução do EC2 e Usar uma VPC no modo de pilha dupla para o tipo de execução do Fargate.

Importante

A configuração da conta do dualStackIPv6 só pode ser alterada por meio da API do Amazon ECS ou da AWS CLI. Para ter mais informações, consulte Modificar configurações da conta.

Se você tinha uma tarefa em execução usando o modo de rede awsvpc em uma sub-rede habilitada para IPv6 entre 1.º de outubro de 2020 e 2 de novembro de 2020, a configuração padrão dualStackIPv6 da conta na região em que a tarefa estava sendo executada é disabled. Se essa condição não for atendida, a configuração padrão dualStackIPv6 na região será enabled.

O padrão é disabled.

Conformidade com o Fargate FIPS-140

Nome do recurso: fargateFIPSMode

O Fargate oferece suporte ao Padrão Federal de Processamento de Informações (FIPS-140), que especifica os requisitos de segurança para módulos criptográficos que protejam informações confidenciais. É o padrão atual dos governos dos Estados Unidos e do Canadá e é aplicável a sistemas que precisam estar em conformidade com a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) ou com o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).

O padrão é disabled.

Você deve ativar a conformidade com o FIPS-140. Para ter mais informações, consulte Padrão Federal de Processamento de Informações (FIPS-140) do AWS Fargate.

Importante

A configuração da conta do fargateFIPSMode só pode ser alterada por meio da API do Amazon ECS ou da AWS CLI. Para ter mais informações, consulte Modificar configurações da conta.

Autorização para atribuição de tags a recursos

Nome do recurso: tagResourceAuthorization

Algumas ações de API do Amazon ECS permitem especificar tags quando você cria o recurso.

O Amazon ECS está introduzindo a autorização para a atribuição de tags para a criação de recursos. Os usuários devem ter permissões para ações que criam um recurso, como ecsCreateCluster. Se as tags forem especificadas na ação resource-creating, a AWS executará autorização adicional na ação ecs:TagResource para verificar se os usuários têm permissões para criar tags. Portanto, é preciso conceder permissões explícitas para usar a ação ecs:TagResource. Para ter mais informações, consulte Conceder permissão para a atribuição de tags a recursos durante a criação.

Período de espera para a retirada da tarefa Fargate

Nome do recurso: fargateTaskRetirementWaitPeriod

A AWS é responsável por aplicar patches e manter a infraestrutura subjacente do AWS Fargate. Quando a AWS determina que é necessário fazer uma atualização de segurança ou de infraestrutura para uma tarefa do Amazon ECS hospedada no Fargate, é necessário interromper as tarefas e iniciar novas tarefas para substituí-las. É possível configurar o período de espera antes que as tarefas sejam retiradas para aplicação de patches. Você tem a opção de retirar a tarefa imediatamente, esperar 7 dias corridos ou esperar 14 dias corridos.

Essa configuração está no nível da conta.

Ativação do monitoramento de runtime

Nome do recurso: guardDutyActivate

O parâmetro guardDutyActivate é somente leitura no Amazon ECS e indica se o monitoramento de runtime está ativado ou desativado pelo administrador de segurança na sua conta do Amazon ECS. O GuardDuty controla essa configuração de conta em seu nome. Para obter mais informações, consulte Protecting Amazon ECS workloads with Runtime Monitoring.

Nomes de recursos da Amazon (ARNs) e IDs

Quando recursos do Amazon ECS são criados, são atribuídos a cada recurso um nome do recurso da Amazon (ARN) e um identificador de recurso (ID) exclusivos. Se você usar uma ferramenta de linha de comando ou a API do Amazon ECS para trabalhar com o Amazon ECS, é necessário ter os ARNs ou os IDs dos recursos para determinados comandos. Por exemplo, se você usar o comando stop-task da AWS CLI para interromper uma tarefa, será necessário especificar o ARN ou o ID da tarefa no comando.

É possível optar por aceitar e recusar o novo formato do nome do recurso da Amazon (ARN) e de ID do recurso conforme a região. Atualmente, qualquer conta nova criada é aceita por padrão.

É possível optar por aceitar ou recusar o novo formato do nome de recurso da Amazon (ARN) e do ID de recurso a qualquer momento. Depois de aceitar, todos os novos recursos que você criar usarão o novo formato.

nota

Um ID de recursos não muda depois que é criado. Portanto, optar por aceitar ou recusar o novo formato não afeta seus IDs de recursos existentes.

As seções a seguir descrevem como os formatos de ARN e ID do recurso estão sendo alterados. Para obter mais informações sobre a transição para os novos formatos, consulte Perguntas frequentes do Amazon Elastic Container Service.

Formato do nome do recurso da Amazon (ARN)

Alguns recursos têm um nome amigável, como um serviço denominado production. Em outros casos, você deve especificar um recurso usando o formato de nome de recurso da Amazon (ARN). O novo formato de ARN para tarefas, serviços e instâncias de contêiner do Amazon ECS inclui o nome do cluster. Para obter detalhes sobre a aceitação do novo formato de ARN, consulte Modificar configurações da conta.

A tabela a seguir mostra o formato atual e o novo formato para cada tipo de recurso.

Tipo de recurso

ARN

Instância de contêiner

Atual: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Novo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Serviço do Amazon ECS

Atual: arn:aws:ecs:region:aws_account_id:service/service-name

Novo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Tarefa do Amazon ECS

Atual: arn:aws:ecs:region:aws_account_id:task/task-id

Novo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id

Tamanho do ID do recurso

Um ID de recurso assume a forma de uma combinação exclusiva de letras e números. Novos formatos de ID de recurso incluem IDs mais curtos para tarefas e instâncias de contêiner do Amazon ECS. O formato atual de ID de recurso tem 36 caracteres. Os novos IDs têm um formato de 32 caracteres que não inclui hifens. Para obter informações sobre a aceitação do novo formato de ID do recurso, consulte Modificar configurações da conta.

Cronograma do formato do ARN e do ID do recurso

O cronograma para os períodos de aceitação e recusa do novo formato do nome do recurso da Amazon (ARN) e do ID do recurso para recursos do Amazon ECS terminou em 1.º de abril de 2021. Por padrão, todas as novas contas aderem ao novo formato. Todos os novos recursos criados receberão o novo formato e você não pode mais recusar.

Conformidade do AWS Fargate com o Padrão Federal de Processamento de Informações (FIPS-140)

Você deve ativar a conformidade com o Padrão Federal de Processamento de Informações (FIPS-140) no Fargate. Para ter mais informações, consulte Padrão Federal de Processamento de Informações (FIPS-140) do AWS Fargate.

Execute put-account-setting-default com a opção fargateFIPSMode definida como enabled. Para obter mais informações, consulte put-account-setting-default na Referência de API do Amazon Elastic Container Service.

  • Você pode usar o comando a seguir para ativar a conformidade com FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Exemplo de saída

    { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

É possível executar list-account-settings para visualizar o status atual de conformidade com o FIPS-140. Use a opção effective-settings para visualizar as configurações do nível da conta.

aws ecs list-account-settings --effective-settings

Autorização para atribuição de tags

O Amazon ECS está introduzindo a autorização para a atribuição de tags para a criação de recursos. Os usuários devem ter permissões de marcação para ações que criam o recurso, como ecsCreateCluster. Quando você cria um recurso e especifica tags para esse recurso, a AWS executa uma autorização adicional para verificar se há permissões para criar tags. Portanto, é preciso conceder permissões explícitas para usar a ação ecs:TagResource. Para ter mais informações, consulte Conceder permissão para a atribuição de tags a recursos durante a criação.

Para optar pela autorização para a atribuição de tags, execute put-account-setting-default com a opção tagResourceAuthorization definida como enable. Para obter mais informações, consulte put-account-setting-default na Referência de API do Amazon Elastic Container Service. É possível executar list-account-settings para ver o status atual da autorização para atribuição de tags.

  • Você pode usar o comando a seguir para habilitar a autorização de marcação.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Exemplo de saída

    { "setting": { "name": "tagResourceAuthorization", "value": "on", "principalArn": "arn:aws:iam::123456789012:root", "type": user } }

Depois de habilitar a autorização de marcação, você deve configurar as permissões apropriadas para permitir que os usuários marquem recursos na criação. Para ter mais informações, consulte Conceder permissão para a atribuição de tags a recursos durante a criação.

É possível executar list-account-settings para ver o status atual da autorização para atribuição de tags. Use a opção effective-settings para visualizar as configurações do nível da conta.

aws ecs list-account-settings --effective-settings

Cronograma de autorização para atribuição de tags

É possível confirmar se a autorização para atribuição de tags está ativa executando list-account-settings para visualizar o valor tagResourceAuthorization. Quando o valor for on, isso significa que a autorização para atribuição de tags está em uso. Para obter mais informações, consulte list-account-settings na Referência de API do Amazon Elastic Container Service.

Veja a seguir as datas importantes relacionadas à autorização para atribuição de tags.

  • 18 de abril de 2023: Introdução da autorização para atribuição de tags. Todas as contas novas e existentes devem optar por usar o recurso. É possível começar a usar a autorização de marcação. Ao optar, conceda as permissões apropriadas.

  • De 9 de fevereiro de 2024 a 6 de março de 2024: todas as contas novas e contas existentes não afetadas têm a autorização de marcação ativada por padrão. Você pode habilitar ou desabilitar a configuração da conta tagResourceAuthorization para verificar a política do IAM.

    A AWS notificou as contas afetadas.

    Para desabilitar o recurso, execute put-account-setting-default com a opção tagResourceAuthorization definida como off.

  • 7 de março de 2024: caso tenha habilitado a autorização de marcação, não poderá mais desabilitar a configuração da conta.

    Recomendamos que você conclua o teste da política do IAM antes dessa data.

  • 29 de março de 2024: todas as contas usam autorização de marcação. A configuração no nível da conta não estará mais disponível no console do Amazon ECS ou na AWS CLI.

Tempo de espera para a retirada da tarefa do AWS Fargate

A AWS envia notificações quando você tiver tarefas do Fargate em execução em uma revisão de versão da plataforma marcada para ser retirada. Para ter mais informações, consulte Perguntas frequentes sobre manutenção de tarefas do AWS Fargate.

É possível configurar a hora em que o Fargate inicia a retirada da tarefa. Para workloads que exijam a aplicação imediata das atualizações, escolha a configuração imediata (0). Quando precisar de mais controle, por exemplo, quando uma tarefa só puder ser interrompida durante uma determinada janela, configure a opção de 7 dias (7) ou 14 dias (14).

Recomendamos que você escolha um período de espera mais curto para receber as revisões das versões da plataforma mais recentes mais cedo.

Configure o período de espera executando put-account-setting-default ou put-account-setting como usuário-raiz ou um usuário administrativo. Use a opção fargateTaskRetirementWaitPeriod para o name e a opção value definida como um dos valores a seguir:

  • 0: A AWS envia a notificação e imediatamente começa a retirar as tarefas afetadas.

  • 7: A AWS envia a notificação e aguarda 7 dias corridos antes de começar a retirar as tarefas afetadas.

  • 14: A AWS envia a notificação e aguarda 14 dias corridos antes de começar a retirar as tarefas afetadas.

O padrão são 7 dias.

Para obter mais informações, consulte put-account-setting-default e put-account-setting na Referência de API do Amazon Elastic Container Service.

Você pode executar o comando a seguir para definir o período de espera para 14 dias.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Exemplo de saída

{ "setting": { "name": "fargateTaskRetirementWaitPeriod", "value": "14", "principalArn": "arn:aws:iam::123456789012:root", "type: user" } }

É possível executar list-account-settings para visualizar o tempo de espera atual da retirada da tarefa do Fargate. Use a opção effective-settings.

aws ecs list-account-settings --effective-settings

Monitoramento de runtime (integração com o Amazon GuardDuty)

O monitoramento de runtime é um serviço inteligente de detecção de ameaças que protege as workloads em execução nas instâncias de contêiner do Fargate e do EC2, monitorando continuamente as atividades de log e rede da AWS para identificar comportamentos maliciosos ou não autorizados.

O parâmetro guardDutyActivate é somente leitura no Amazon ECS e indica se o monitoramento de runtime está ativado ou desativado pelo administrador de segurança na sua conta do Amazon ECS. O GuardDuty controla essa configuração de conta em seu nome. Para obter mais informações, consulte Protecting Amazon ECS workloads with Runtime Monitoring.

Você pode executar list-account-settings para visualizar a configuração atual de integração do GuardDuty.

aws ecs list-account-settings

Exemplo de saída

{ "setting": { "name": "guardDutyActivate", "value": "on", "principalArn": "arn:aws:iam::123456789012:doej", "type": aws-managed" } }