Configurações de conta - Amazon ECS
Nomes de recursos da Amazon (ARNs) e IDsCronograma do formato do ARN e do ID do recursoAWS FargateConformidade com o Padrão Federal de Processamento de Informações (FIPS-140)Autorização de marcaçãoCronograma de autorização de marcaçãoAWS Fargatetempo de espera para aposentadoria da tarefa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurações de conta

Você pode acessar as configurações de conta Amazon ECS para optar por aceitar ou recusar recursos específicos. Para cada Região da AWS, você pode optar por aceitar ou recusar cada configuração de conta no nível da conta ou para um usuário ou perfil específico.

Você pode optar por aceitar ou recusar recursos específicos se alguma das opções a seguir for relevante para você:

  • Um usuário ou perfil pode optar por aceitar ou recusar configurações específicas de conta para sua conta individual.

  • Um usuário ou perfil pode definir a configuração padrão de aceitação ou recusa para todos os usuários da conta.

  • O usuário raiz pode optar por aceitar ou recusar qualquer perfil ou usuário específico na conta. Se a configuração da conta do usuário raiz for alterada, ela definirá o padrão para todos os usuários e perfis para os quais nenhuma configuração individual de conta tenha sido selecionada.

nota

Os usuários federados assumem a configuração da conta do usuário raiz e não podem ter configurações explícitas de conta definidas separadamente para eles.

As seguintes configurações de conta estão disponíveis. A opção de adesão ou recusa deve ser selecionada para cada configuração de conta separadamente.

Nomes de recursos da Amazon (ARNs) e IDs

Nomes de recursos: serviceLongArnFormat, taskLongArnFormat e containerInstanceLongArnFormat

O Amazon ECS está apresentando um novo formato para nomes de recursos da Amazon (ARNs) e IDs de recursos para serviços, tarefas e instâncias de contêiner do Amazon ECS. O status de aceitação para cada tipo de recurso determina o formato do nome do recurso da Amazon (ARN) usado pelo recurso. Você deve optar por aceitar o novo formato de ARN para usar recursos, como marcação de recursos, para esse tipo de recurso. Para obter mais informações, consulte Nomes de recursos da Amazon (ARNs) e IDs.

Somente recursos lançados após a aceitação recebem o novo formato do ARN e do ID do recurso. Nenhum recurso existente é afetado. Para que os serviços e tarefas do Amazon ECS façam a transição para os novos formatos de ARN e ID de recurso, será necessário recriar a tarefa ou o serviço. Para fazer a transição de uma instância de contêiner para o novo formato de ARN e ID de recurso, a instância de contêiner deve ser drenada e uma nova instância de contêiner deve ser iniciada e registrada no cluster.

nota

As tarefas iniciadas por um serviço do Amazon ECS só poderão receber o novo formato do ARN e do ID do recurso se o serviço tiver sido criado em 16 de novembro de 2018 ou depois e se o usuário que criou o serviço tiver aceitado o novo formato para as tarefas.

CloudWatch Informações sobre contêineres

Nome do recurso: containerInsights

CloudWatch O Container Insights coleta, agrega e resume métricas e registros de seus aplicativos e microsserviços em contêineres. As métricas incluem a utilização de recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas de reinicialização de contêiner, para ajudar a isolar problemas e resolvê-los rapidamente. Você também pode definir alarmes do CloudWatch em métricas que o Container Insights coleta. Para obter mais informações, consulte Informações sobre CloudWatch contêineres do Amazon ECS.

Ao aceitar a configuração da conta do containerInsights, todos os novos clusters têm o Container Insights habilitado por padrão. Você pode desabilitar essa configuração para clusters específicos quando criá-los. Você também pode alterar essa configuração usando a UpdateClusterSettings API.

VPC IPv6 de pilha dupla

Nome do recurso: dualStackIPv6

O Amazon ECS oferece suporte ao fornecimento de tarefas com um endereço IPv6 além do endereço IPv4 privado primário.

Para que as tarefas recebam um endereço IPv6, a tarefa deve usar o modo de rede awsvpc, deve ser iniciada em uma VPC configurada para o modo de pilha dupla e a configuração da conta do dualStackIPv6 deve estar habilitada. Para obter mais informações sobre outros requisitos, consulte Usar uma VPC no modo de pilha dupla.

Importante

A configuração da conta do dualStackIPv6 só pode ser alterada por meio da API do Amazon ECS ou da AWS CLI. Para obter mais informações, consulte Modificar configurações da conta.

Se você tinha uma tarefa em execução usando o modo de rede awsvpc em uma sub-rede habilitada para IPv6 entre 1.º de outubro de 2020 e 2 de novembro de 2020, a configuração padrão dualStackIPv6 da conta na região em que a tarefa estava sendo executada é disabled. Se essa condição não for atendida, a configuração padrão dualStackIPv6 na região será enabled.

Conformidade com o Fargate FIPS-140

Nome do recurso: fargateFIPSMode

O Fargate suporta o Padrão Federal de Processamento de Informações (FIPS-140), que especifica os requisitos de segurança para módulos criptográficos que protegem informações confidenciais. É o padrão atual dos governos dos Estados Unidos e do Canadá e é aplicável a sistemas que precisam estar em conformidade com a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) ou com o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).

Você deve ativar a conformidade com o FIPS-140. Para obter mais informações, consulte AWS FargatePadrão Federal de Processamento de Informações (FIPS-140).

Importante

A configuração da conta do fargateFIPSMode só pode ser alterada por meio da API do Amazon ECS ou da AWS CLI. Para obter mais informações, consulte Modificar configurações da conta.

Autorização de recursos de tag

Nome do recurso: tagResourceAuthorization

Algumas ações da API do Amazon ECS permitem que você especifique tags ao criar o recurso.

O Amazon ECS está introduzindo a autorização de marcação para criação de recursos. Os usuários devem ter permissões para a ação que cria o recurso, comoecsCreateCluster. Se as tags forem especificadas na ação de criação de recursos, AWS executará uma autorização adicional na ecs:TagResource ação para verificar se os usuários ou funções têm permissão para criar tags. Portanto, você deve conceder permissões explícitas para usar a ecs:TagResource ação. Para obter mais informações, consulte Conceder permissão para marcar recursos na criação.

Período de espera de aposentadoria da tarefa de Fargate

Nome do recurso: fargateTaskRetirementWaitPeriod

A AWS é responsável por aplicar patches e manter a infraestrutura subjacente do AWS Fargate. Quando a AWS determina que é necessário fazer uma atualização de segurança ou de infraestrutura para uma tarefa do Amazon ECS hospedada no Fargate, é necessário interromper as tarefas e iniciar novas tarefas para substituí-las. Você pode configurar o período de espera antes que as tarefas sejam retiradas para aplicação de patches. Você tem a opção de retirar a tarefa imediatamente, esperar 7 dias corridos ou esperar 14 dias corridos.

Essa configuração está no nível da conta.

Tópicos

Nomes de recursos da Amazon (ARNs) e IDs

Quando recursos do Amazon ECS são criados, são atribuídos a cada recurso um nome do recurso da Amazon (ARN) e um identificador de recurso (ID) exclusivos. Se você usar uma ferramenta de linha de comando ou a API do Amazon ECS para trabalhar com o Amazon ECS, é necessário ter os ARNs ou os IDs dos recursos para determinados comandos. Por exemplo, se você usar o comando stop-task da AWS CLI para interromper uma tarefa, será necessário especificar o ARN ou o ID da tarefa no comando.

É possível optar por aceitar e recusar o novo formato do nome do recurso da Amazon (ARN) e de ID do recurso conforme a região. Atualmente, qualquer conta nova criada é aceita por padrão.

É possível optar por aceitar ou recusar o novo formato do nome de recurso da Amazon (ARN) e do ID de recurso a qualquer momento. Depois de ter optado por aceitar, todos os novos recursos que você criar usarão o novo formato.

nota

Um ID de recursos não muda depois que é criado. Portanto, optar por aceitar ou recusar o novo formato não afeta seus IDs de recursos existentes.

As seções a seguir descrevem como os formatos de ARN e ID do recurso estão sendo alterados. Para obter mais informações sobre a transição para os novos formatos, consulte Perguntas frequentes do Amazon Elastic Container Service.

Formato do nome do recurso da Amazon (ARN)

Alguns recursos têm um nome amigável, como um serviço denominado production. Em outros casos, você deve especificar um recurso usando o formato de nome de recurso da Amazon (ARN). O novo formato de ARN para tarefas, serviços e instâncias de contêiner do Amazon ECS inclui o nome do cluster. Para obter detalhes sobre a aceitação do novo formato de ARN, consulte Modificar configurações da conta.

A tabela a seguir mostra o formato atual e o novo formato para cada tipo de recurso.

Tipo de recurso

ARN

Instância de contêiner

Atual: arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id

Novo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id

Serviço do Amazon ECS

Atual: arn:aws:ecs:region:aws_account_id:service/service-name

Novo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name

Tarefa do Amazon ECS

Atual: arn:aws:ecs:region:aws_account_id:task/task-id

Novo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Tamanho do ID do recurso

Um ID de recurso assume a forma de uma combinação exclusiva de letras e números. Novos formatos de ID de recurso incluem IDs mais curtos para tarefas e instâncias de contêiner do Amazon ECS. O formato atual de ID de recurso tem 36 caracteres. Os novos IDs têm um formato de 32 caracteres que não inclui hifens. Para obter informações sobre a aceitação do novo formato de ID do recurso, consulte Modificar configurações da conta.

Cronograma do formato do ARN e do ID do recurso

O cronograma para os períodos de aceitação e recusa do novo formato do nome do recurso da Amazon (ARN) e do ID do recurso para recursos do Amazon ECS terminou em 1.º de abril de 2021. Por padrão, todas as novas contas aderem ao novo formato. Todos os novos recursos criados receberão o novo formato e você não pode mais recusar.

AWS FargateConformidade com o Padrão Federal de Processamento de Informações (FIPS-140)

Você deve ativar a conformidade com o Padrão Federal de Processamento de Informações (FIPS-140) no Fargate. Para obter mais informações, consulte AWS FargatePadrão Federal de Processamento de Informações (FIPS-140).

Execute put-account-setting-default com a opção fargateFIPSMode definida como enabled. Para obter mais informações, consulte, put-account-setting-defaultna Referência de API do Amazon Elastic Container Service.

  • Exemplo para ativar a conformidade com o FIPS-140

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Resultado

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:user"
    }
}

Você pode executar list-account-settings para visualizar o status atual de conformidade com o FIPS-140. Use a effective-settings opção para visualizar as configurações do nível da conta.

aws ecs list-account-settings --effective-settings

Autorização de marcação

O Amazon ECS está introduzindo a autorização de marcação para criação de recursos. Os usuários devem ter permissões para ações que criam o recurso, comoecsCreateCluster. Quando você cria um recurso e especifica tags para esse recurso, AWS executa uma autorização adicional para verificar se há permissões para criar tags. Portanto, você deve conceder permissões explícitas para usar a ecs:TagResource ação. Para obter mais informações, consulte Conceder permissão para marcar recursos na criação.

Para optar pela autorização de marcação, execute put-account-setting-default com a tagResourceAuthorization opção definida como. enable Para obter mais informações, consulte, put-account-setting-defaultna Referência de API do Amazon Elastic Container Service. Você pode executar list-account-settings para ver o status atual da autorização de marcação.

  • Exemplo para ativar a autorização de marcação

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Resultado

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:user"
    }
}

Depois de se inscrever, você deve configurar as permissões apropriadas para permitir que os usuários marquem recursos na criação. Para obter mais informações, consulte Conceder permissão para marcar recursos na criação.

Você pode executar list-account-settings para ver o status atual da autorização de marcação. Use a effective-settings opção para visualizar as configurações do nível da conta.

aws ecs list-account-settings --effective-settings

Cronograma de autorização de marcação

Você pode confirmar se a autorização de marcação está ativa executando list-account-settings para visualizar o tagResourceAuthorization valor. Quando o valor éon, significa que a autorização de marcação está em uso. Para obter mais informações, consulte, list-account-settingsna Referência de API do Amazon Elastic Container Service.

A seguir estão as datas importantes relacionadas à autorização de marcação.

  • 18 de abril de 2023 — A autorização de marcação é introduzida. Todas as contas novas e existentes devem optar por usar o recurso. Você pode optar por usar a autorização de marcação. Ao se inscrever, você deve conceder as permissões apropriadas.

AWS Fargatetempo de espera para aposentadoria da tarefa

AWSenvia notificações quando você tem tarefas do Fargate em execução em uma revisão de versão da plataforma marcada para ser descontinuada. Para obter mais informações, consulte Manutenção da tarefa do AWS Fargate.

Importante

Se houver uma atualização crítica de segurança, AWS envia uma notificação e, em seguida, retira imediatamente as tarefas.

Você pode configurar a hora em que o Fargate inicia a desativação da tarefa. Para cargas de trabalho que exigem a aplicação imediata das atualizações, escolha a configuração imediata (0). Quando precisar de mais controle, por exemplo, quando uma tarefa só puder ser interrompida durante uma determinada janela, configure a opção 7 dias (7) ou 14 dias (14).

Recomendamos que você escolha um período de espera mais curto para receber as revisões das versões mais recentes da plataforma mais cedo.

Configure o período de espera executando put-account-setting-default ou put-account-setting como usuário root. Use a fargateTaskRetirementWaitPeriod opção para name e a value opção definida para um dos seguintes valores:

  • 0- AWS envia a notificação e imediatamente começa a retirar as tarefas afetadas.

  • 7- AWS envia a notificação e aguarda 7 dias corridos antes de começar a retirar as tarefas afetadas.

  • 14- AWS envia a notificação e aguarda 14 dias corridos antes de começar a retirar as tarefas afetadas.

O padrão é 14 dias.

Para obter mais informações, consulte put-account-setting-defaulte put-account-settingna Referência de API do Amazon Elastic Container Service.

Exemplo para definir o período de espera para 14 dias

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Resultado

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root"
    }
}

Você pode executar list-account-settings para visualizar o tempo de espera atual da retirada da tarefa do Fargate. Use a effective-settings opção.

aws ecs list-account-settings --effective-settings