Endpoints da VPC de interface do Amazon ECS (AWS PrivateLink) - Amazon Elastic Container Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints da VPC de interface do Amazon ECS (AWS PrivateLink)

É possível melhorar o procedimento de segurança da VPC configurando o Amazon ECS para usar um endpoint da VPC de interface. Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite acessar de forma privada as APIs do Amazon ECS usando endereços IP privados. AWS PrivateLink restringe todo o tráfego de rede entre sua VPC e o Amazon ECS para a rede Amazon. Você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual.

Para obter mais informações sobre AWS PrivateLink VPC endpoints, consulte VPC Endpoints no Guia do usuário da Amazon VPC.

Considerações sobre endpoints da VPC do Amazon ECS

Considerações para endpoints de VPC do Amazon ECS para o tipo de inicialização do Fargate.

Antes de configurar endpoints da VPC de interface para o Amazon ECS, leve em conta as seguintes considerações:

  • As tarefas que usam o tipo de execução Fargate não exigem a interface VPC endpoints para o Amazon ECS, mas você pode precisar de endpoints VPC de interface para Amazon ECR, Secrets Manager ou Amazon Logs descritos nos pontos a seguir. CloudWatch

    • Para permitir que suas tarefas extraiam imagens privadas do Amazon ECR, você deve criar endpoints da VPC de interface para o Amazon ECR. Para obter mais informações, consulte Endpoints da VPC de interface (AWS PrivateLink) no Guia do usuário do Amazon Elastic Container Registry.

      Se sua VPC não tiver um gateway da Internet, você deve criar o endpoint de gateway para o Amazon S3. Para obter mais informações, consulte Criação de endpoint de gateway para o Amazon S3 no Guia do usuário do Amazon Elastic Container Registry. Os endpoints de interface do Amazon S3 não podem ser usados com o Amazon ECR.

      Importante

      Se você configurar o Amazon ECR para usar um endpoint da VPC de interface, crie uma função de execução de tarefas que inclua chaves de condição para restringir o acesso a uma VPC ou a um endpoint da VPC específico. Para ter mais informações, consulte Permissões opcionais do IAM para tarefas do Fargate que extraem imagens do Amazon ECR em endpoints de interface.

    • Para permitir que suas tarefas extraiam dados sigilosos do Secrets Manager, é necessário criar endpoints da VPC de interface para o Secrets Manager. Para obter mais informações, consulte Usar o Secrets Manager com endpoints da VPC no Guia do usuário do AWS Secrets Manager .

    • Se sua VPC não tiver um gateway de internet e suas tarefas usarem o driver de awslogs log para enviar informações de log para CloudWatch Logs, você deverá criar uma interface VPC endpoint para Logs. CloudWatch Para obter mais informações, consulte Como usar CloudWatch registros com endpoints VPC de interface no Guia do usuário do Amazon CloudWatch Logs.

  • Atualmente, os endpoints da VPC não oferecem suporte a solicitações entre Regiões. Crie o endpoint na mesma região em que você planeja emitir as chamadas de API para o Amazon ECS. Por exemplo, suponha que você queira executar tarefas na região Leste dos EUA (Norte da Virgínia). Para isso, você deve criar o endpoint da VPC do Amazon ECS no Leste dos EUA (Norte da Virgínia). Um endpoint da VPC do Amazon ECS criado em qualquer outra região não poderá executar tarefas no Leste dos EUA (Norte da Virgínia).

  • Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.

  • O grupo de segurança anexado ao endpoint da VPC deve permitir conexões de entrada na porta 443 na sub-rede privada da VPC.

  • O gerenciamento do Service Connect do proxy Envoy usa o endpoint da VPC com.amazonaws.region.ecs-agent. Quando você não usa os endpoints da VPC, o gerenciamento do proxy Envoy pelo Service Connect usa o endpoint ecs-sc nessa região. Para obter uma lista dos endpoints do Amazon ECS em cada região, consulte Endpoints e cotas do Amazon ECS.

Considerações para endpoints da VPC do Amazon ECS para o tipo de inicialização do EC2.

Antes de configurar endpoints da VPC de interface para o Amazon ECS, leve em conta as seguintes considerações:

  • As tarefas que usam o tipo de inicialização do EC2 exigem que as instâncias de contêiner nas quais são iniciadas executem a versão 1.25.1 ou posterior do agente de contêiner do Amazon ECS. Para ter mais informações, consulte Gerenciamento de instância de contêiner do Linux.

  • Para permitir que suas tarefas extraiam dados sigilosos do Secrets Manager, é necessário criar endpoints da VPC de interface para o Secrets Manager. Para obter mais informações, consulte Usar o Secrets Manager com endpoints da VPC no Guia do usuário do AWS Secrets Manager .

  • Se sua VPC não tiver um gateway de internet e suas tarefas usarem o driver de awslogs log para enviar informações de log para CloudWatch Logs, você deverá criar uma interface VPC endpoint para Logs. CloudWatch Para obter mais informações, consulte Como usar CloudWatch registros com endpoints VPC de interface no Guia do usuário do Amazon CloudWatch Logs.

  • Atualmente, os endpoints da VPC não oferecem suporte a solicitações entre Regiões. Crie o endpoint na mesma região em que você planeja emitir as chamadas de API para o Amazon ECS. Por exemplo, suponha que você queira executar tarefas na região Leste dos EUA (Norte da Virgínia). Para isso, você deve criar o endpoint da VPC do Amazon ECS no Leste dos EUA (Norte da Virgínia). Um endpoint da VPC do Amazon ECS criado em qualquer outra região não poderá executar tarefas no Leste dos EUA (Norte da Virgínia).

  • Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.

  • O grupo de segurança anexado ao endpoint da VPC deve permitir conexões de entrada na porta 443 na sub-rede privada da VPC.

Criar os endpoints da VPC para o Amazon ECS

Para criar os endpoints da VPC para o serviço do Amazon ECS, use o procedimento Criar um endpoint de interface no Guia do usuário da Amazon VPC. Se tiver instâncias de contêiner existentes na VPC, você deverá criar os endpoints na ordem em que são listados. Se você planeja criar as instâncias de contêiner depois que o VPC endpoint for criado, a ordem não importa.

  • com.amazonaws.region.ecs-agent

  • com.amazonaws.region.ecs-telemetry

  • com.amazonaws.region.ecs

nota

A região representa o identificador da região para uma região da AWS compatível com o Amazon ECS, como us-east-2 para a região Leste dos EUA (Ohio).

Se você tiver tarefas existentes que estão usando o tipo de inicialização do EC2, depois de ter criado os endpoints da VPC, cada instância de contêiner deverá obter a nova configuração. Para que isso aconteça, você deve reinicializar cada instância de contêiner ou reiniciar o agente de contêiner do Amazon ECS em cada instância de contêiner. Para reiniciar o agente do contêiner, faça o seguinte.

Para reiniciar o agente de contêiner do Amazon ECS
  1. Faça login em sua instância de contêiner via SSH.

  2. Pare o agente de contêiner do .

    sudo docker stop ecs-agent
  3. Inicie o agente do contêiner

    sudo docker start ecs-agent

Depois que os endpoints da VPC forem criados e o agente de contêiner do Amazon ECS for reiniciado em cada instância de contêiner, todas as tarefas recém-inicializadas obterão a nova configuração.

Criar uma política de endpoint da VPC para o Amazon ECS

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao Amazon ECS. Essa política especifica as seguintes informações:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Exemplo: política de endpoint da VPC para ações do Amazon ECS

Veja a seguir um exemplo de política de endpoint para o Amazon ECS. Quando anexada a um endpoint, essa política concede acesso à permissão para criar e listar clusters. Como as ações CreateCluster e ListClusters não aceitam recursos, a definição de recurso é definida como * para todos os recursos.

{ "Statement":[ { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:ListClusters" ], "Resource": [ "*" ] } ] }