Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account - Amazon Elastic Container Service
Nomi di risorse Amazon (ARNs) e IDsSequenza temporale formato ARN e ID risorsaContainer InsightsAWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)Autorizzazione all'assegnazione di tagCronologia dell'autorizzazione all'assegnazione di tagAWS Fargate tempo di attesa per il ritiro dell'attivitàAumenta le interfacce di rete delle istanze di container LinuxMonitoraggio del runtime ( GuardDuty integrazione con Amazon) VPC a doppio stack IPv6 Modalità predefinita del driver di registro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account

È possibile accedere alle impostazioni dell'account Amazon ECS per attivare o disattivare determinate caratteristiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.

È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:

  • Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.

  • Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.

  • L'utente root o un utente con privilegi di amministratore può attivare o disattivare qualsiasi ruolo o utente specifico sull'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.

Nota

Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.

Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ciascuna impostazione dell'account.

Nome risorsa Ulteriori informazioni
containerInsights Container Insights
serviceLongArnFormat

taskLongArnFormat

containerInstanceLongArnFormat

 Nomi di risorse Amazon (ARNs) e IDs
tagResourceAuthorization Autorizzazione all'assegnazione di tag
fargateFIPSMode AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)
fargateTaskRetirementWaitPeriod AWS Fargate tempo di attesa per il ritiro dell'attività
guardDutyActivate Monitoraggio del runtime ( GuardDuty integrazione con Amazon)
dualStackIPv6 VPC a doppio stack IPv6
awsvpcTrunking Aumenta le interfacce di rete delle istanze di container Linux
defaultLogDriverMode Modalità predefinita del driver di registro

Nomi di risorse Amazon (ARNs) e IDs

Quando vengono create le risorse Amazon ECS, a ogni risorsa viene assegnato un Amazon Resource Name (ARN) e un identificatore di risorsa (ID). Se utilizzi uno strumento da riga di comando o l'API Amazon ECS per lavorare con Amazon ECS, hai bisogno di risorse ARNs per determinati comandi. IDs Ad esempio, se si utilizza il AWS CLI comando stop-task per interrompere un'operazione, è necessario specificare l'ARN o l'ID dell'attività nel comando.

Amazon ECS ha introdotto un nuovo formato per Amazon Resource Names (ARNs) e risorse IDs per i servizi, le attività e le istanze di container di Amazon ECS. Lo stato di opt-in per ogni tipo di risorsa determina il formato del nome della risorsa Amazon (ARN) utilizzato dalla risorsa. È necessario attivare il nuovo formato dell'ARN per utilizzare funzionalità quali il tagging di risorse per tale tipo di risorsa.

L'attivazione e la disattivazione del nuovo formato del nome della risorsa Amazon (ARN) e degli ID risorsa è possibile in base alle singole regioni. Attualmente, qualsiasi nuovo account creato viene attivato di default.

Puoi fornire il consenso esplicito o il rifiuto esplicito del nuovo formato dell'Amazon Resource Name (ARN) e dell'ID risorsa in qualsiasi momento. Dopo aver effettuato l'attivazione, tutte le nuove risorse create utilizzeranno il nuovo formato.

Nota

Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, l'attivazione o la disattivazione del nuovo formato non influirà sulla risorsa IDs esistente.

Le seguenti sezioni descrivono in che modo i formati dell'ARN e dell'ID risorsa stanno cambiando. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Domande frequenti su Amazon Elastic Container Service.

Formato Amazon Resource Name (ARN)

Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production. In altri casi, è necessario specificare una risorsa utilizzando il formato dell'Amazon Resource Name (ARN). Il nuovo formato dell'ARN per processi, servizi e istanze di container Amazon ECS include il nome del cluster. Per informazioni sull'attivazione con il formato dell'ARN, consulta Modifica delle impostazioni dell'account Amazon ECS.

La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.

Tipo di risorsa ARN
Istanza del container

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
Servizio Amazon ECS

arn:aws:ecs:region:aws_account_id:service/service-name correnti

Nuovo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
Processo di Amazon ECS

arn:aws:ecs:region:aws_account_id:task/task-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Lunghezza dell'ID risorsa

Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati di ID delle risorse includono quelli più brevi IDs per le attività di Amazon ECS e le istanze di container. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi IDs sono in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni dell'account Amazon ECS.

Il valore predefinito è enabled.

Solo le risorse avviate dopo l'attivazione riceveranno il nuovo formato dell'ARN e dell'ID risorsa. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di servizi e attività Amazon ECS ai nuovi formati di ARN e ID risorsa, è necessario creare nuovamente il servizio o il processo. Per eseguire la transizione di un'istanza di container al nuovo formato dell'ARN e dell'ID risorsa, l'istanza di container deve essere eliminata e ne deve essere avviata registrata una nuova nel cluster.

Nota

Le attività avviate da un servizio Amazon ECS possono ricevere il nuovo formato dell'ARN e dell'ID risorsa solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha fornito il consenso esplicito al nuovo formato per i processi.

Sequenza temporale formato ARN e ID risorsa

La sequenza temporale per i periodi di accettazione e rifiuto del nuovo formato del nome della risorsa Amazon (ARN) e dell'ID risorsa per le risorse Amazon ECS è terminata il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.

Container Insights

Il 2 dicembre 2024, AWS ha rilasciato Container Insights con osservabilità migliorata per Amazon ECS. Questa versione supporta l'osservabilità migliorata per i cluster Amazon ECS utilizzando i tipi di lancio Amazon e EC2 Fargate. Dopo aver configurato Container Insights con una migliore osservabilità su Amazon ECS, Container Insights raccoglie automaticamente la telemetria dettagliata dell'infrastruttura dal livello del cluster fino al livello del contenitore nel tuo ambiente e visualizza i tuoi dati in dashboard che mostrano una varietà di metriche e dimensioni. Puoi quindi utilizzare questi out-of-the-box dashboard sulla console Container Insights per comprendere meglio lo stato e le prestazioni dei container e mitigare i problemi più rapidamente identificando le anomalie.

Ti consigliamo di utilizzare Container Insights con una migliore osservabilità anziché Container Insights perché offre una visibilità dettagliata nell'ambiente dei container, riducendo il tempo medio di risoluzione. Per ulteriori informazioni, consulta Amazon ECS Container Insights con metriche di osservabilità avanzate nella Guida per l'Amazon CloudWatch utente.

L'impostazione predefinita per l'containerInsightsaccount è. disabled

Container Insights con osservabilità migliorata

Usa il seguente comando per attivare Container Insights con una migliore osservabilità.

Imposta l'impostazione containerInsights dell'account suenhanced.

aws ecs put-account-setting --name containerInsights --value enhanced

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enhanced",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Dopo aver impostato questa impostazione dell'account, tutti i nuovi cluster utilizzano automaticamente Container Insights con una migliore osservabilità. Usa il update-cluster-settings comando per aggiungere Container Insights con osservabilità migliorata a un cluster esistente o per aggiornare un cluster da Container Insights a Container Insights con osservabilità migliorata.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enhanced

Puoi anche utilizzare la console per configurare Container Insights con una migliore osservabilità. Per ulteriori informazioni, consulta. Modifica delle impostazioni dell'account Amazon ECS

Container Insights

Quando si imposta l'impostazione dell'containerInsightsaccount suenabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. È possibile modificare i cluster esistenti utilizzando. update-cluster-settings

Per utilizzare Container Insights, imposta l'impostazione containerInsights dell'account suenabled. Usa il seguente comando per attivare Container Insights.

aws ecs put-account-setting --name containerInsights --value enabled

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Quando si imposta l'impostazione dell'containerInsightsaccount suenabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. Usa il update-cluster-settings comando per aggiungere Container Insights a un cluster esistente.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enabled

Puoi anche utilizzare la console per configurare Container Insights. Per ulteriori informazioni, consulta. Modifica delle impostazioni dell'account Amazon ECS

AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)

Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act (FISMA) o al Federal Risk and Authorization Management Program (FedRAMP).

Il nome della risorsa è. fargateFIPSMode

Il valore predefinito è disabled.

Devi attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Importante

L'impostazione dell'account fargateFIPSMode può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Esegui put-account-setting-default con l'opzione fargateFIPSMode impostata su enabled. Per ulteriori informazioni, put-account-setting-defaultconsulta la sezione Amazon Elastic Container Service API Reference.

  • Puoi utilizzare il seguente comando per attivare la conformità FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Output di esempio

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Puoi eseguire il comando list-account-settings per visualizzare lo stato di conformità FIPS-140 corrente. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Autorizzazione all'assegnazione di tag

Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre delle autorizzazioni di etichettatura per le azioni che creano la risorsa, ad esempio. ecsCreateCluster Quando create una risorsa e specificate i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che vi siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default con l'opzione tagResourceAuthorization impostata su enable. Per ulteriori informazioni, put-account-setting-defaultconsulta la sezione Amazon Elastic Container Service API Reference. Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.

  • Puoi utilizzare il seguente comando per abilitare l'autorizzazione all'etichettatura.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Output di esempio

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Dopo aver abilitato l'autorizzazione all'etichettatura, è necessario configurare le autorizzazioni appropriate per consentire agli utenti di taggare le risorse al momento della creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Cronologia dell'autorizzazione all'assegnazione di tag

Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings per visualizzare il valore di tagResourceAuthorization. Quando il valore è on, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, list-account-settingsconsulta la sezione Amazon Elastic Container Service API Reference.

Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.

  • 18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi scegliere di iniziare a utilizzare l'autorizzazione all'etichettatura. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.

  • 9 febbraio 2024 - 6 marzo 2024: per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'etichettatura per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'tagResourceAuthorizationaccount per verificare la tua politica IAM.

    AWS ha notificato gli account interessati.

    Per disabilitare la funzionalità, eseguila put-account-setting-default con l'tagResourceAuthorizationopzione impostata su. off

  • 7 marzo 2024: se hai abilitato l'autorizzazione all'etichettatura, non puoi più disabilitare l'impostazione dell'account.

    Ti consigliamo di completare i test delle policy IAM prima di questa data.

  • 29 marzo 2024: tutti gli account utilizzano l'autorizzazione all'etichettatura. L'impostazione a livello di account non sarà più disponibile nella console Amazon ECS o. AWS CLI

AWS Fargate tempo di attesa per il ritiro dell'attività

AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta Ritiro e manutenzione delle attività per AWS Fargate su Amazon ECS .

AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'attività Amazon ECS ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. È possibile ritirare l'attività immediatamente, attendere 7 giorni di calendario o attendere 14 giorni di calendario.

Questa impostazione si applica a livello di account.

Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7) o 14 giorni (14).

Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.

Configura il periodo di attesa eseguendo put-account-setting-default o put-account-setting come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod per il name e l'opzione value impostata su uno dei seguenti valori:

  • 0- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate.

  • 7- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate.

  • 14: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.

L'impostazione di default è 7 giorni.

Per ulteriori informazioni, consulta put-account-setting-defaulte consulta il riferimento put-account-settingall'API di Amazon Elastic Container Service.

Puoi eseguire il comando seguente per impostare il periodo di attesa su 14 giorni.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Output di esempio

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puoi eseguire il comando list-account-settings per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Aumenta le interfacce di rete delle istanze di container Linux

Ogni attività Amazon ECS che utilizza la modalità di awsvpc rete riceve la propria interfaccia di rete elastica (ENI), che è collegata all'istanza del contenitore che la ospita. Esiste un limite predefinito al numero di interfacce di rete che possono essere collegate a un' EC2 istanza Amazon e l'interfaccia di rete principale conta come una. Ad esempio, per impostazione predefinita, a un'c5.largeistanza possono essere ENIs collegate fino a tre istanze. L'interfaccia di rete principale per l'istanza conta come una sola, quindi è possibile collegarne altre due ENIs all'istanza. Perché ogni operazione che utilizza la modalità awsvpc di rete richiede un ENI, in genere è possibile eseguire solo due di queste attività su questo tipo di istanza.

Amazon ECS supporta il lancio di istanze di container con maggiori ENI densità utilizzando i tipi di EC2 istanze Amazon supportati. Quando utilizzi questi tipi di istanze e attivi l'impostazione dell'awsvpcTrunkingaccount, ne ENIs sono disponibili altre sulle istanze di container appena lanciate. Questa configurazione consente di posizionare più attività su ciascuna istanza di container.

Ad esempio, un'c5.largeistanza con awsvpcTrunking ha un valore aumentato ENI limite di dodici. L'istanza di container avrà un'interfaccia di rete primaria e Amazon ECS crea e collega un'interfaccia di rete "trunk" all'istanza di container. Pertanto, questa configurazione consente di avviare dieci attività sull'istanza di container anziché le due attività correnti.

Monitoraggio del runtime ( GuardDuty integrazione con Amazon)

Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su Fargate EC2 e sulle istanze di container AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il Runtime Monitoring è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Proteggere i carichi di lavoro Amazon ECS con Runtime Monitoring.

Puoi eseguire l'operazione list-account-settings per visualizzare l'impostazione di GuardDuty integrazione corrente. 

aws ecs list-account-settings

Output di esempio

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}

VPC a doppio stack IPv6

Amazon ECS supporta la fornitura di attività con un IPv6 indirizzo oltre all' IPv4 indirizzo privato principale.

Affinché le attività ricevano un IPv6 indirizzo, l'attività deve utilizzare la modalità di awsvpc rete, deve essere avviata in un VPC configurato per la modalità dual-stack e l'impostazione dell'dualStackIPv6account deve essere abilitata. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack per il tipo di EC2 lancio e Utilizzo di un VPC in modalità dual-stack per il tipo di lancio Fargate.

Importante

L'impostazione dell'account dualStackIPv6 può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Se avevi un'attività in esecuzione utilizzando la modalità di awsvpc rete in una sottorete IPv6 abilitata tra le date del 1° ottobre 2020 e il 2 novembre 2020, l'impostazione predefinita dell'dualStackIPv6account nella regione in cui l'attività era in esecuzione è. disabled Se tale condizione non viene soddisfatta, l'impostazione dualStackIPv6 di default nella regione è enabled.

Il valore predefinito è disabled.

Modalità predefinita del driver di registro

Amazon ECS supporta l'impostazione di una modalità di consegna predefinita dei messaggi di registro da un contenitore al driver di registro scelto. La modalità di consegna influisce sulla stabilità dell'applicazione quando il flusso di log dal contenitore al driver di registro viene interrotto.

L'defaultLogDriverModeimpostazione supporta due valori: blocking e. non-blocking Per ulteriori informazioni su queste modalità di distribuzione, consulta LogConfigurationAmazon Elastic Container Service API Reference.

Se non specifichi una modalità di consegna nelle definizioni del contenitorelogConfiguration, la modalità specificata utilizzando questa impostazione dell'account verrà utilizzata come predefinita.

Importante

L'impostazione dell'account defaultLogDriverMode può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

La modalità di consegna predefinita èblocking.

Nota

Il 25 giugno 2025, Amazon ECS cambierà la modalità predefinita del driver di registro da blocking a per dare priorità non-blocking alla disponibilità delle attività rispetto alla registrazione. Per continuare a utilizzare la blocking modalità dopo questa modifica, esegui una delle seguenti operazioni:

  • Imposta l'modeopzione nella definizione del contenitore logConfiguration comeblocking.

  • Imposta l'impostazione defaultLogDriverMode dell'account sublocking.

Per impostare una modalità di driver di registro predefinita sunon-blocking, è possibile eseguire il comando seguente.

aws ecs put-account-setting-default --name defaultLogDriverMode --value "non-blocking"