Accédez aux fonctionnalités d'Amazon ECS avec les paramètres du compte - Amazon Elastic Container Service
Amazon Resource Names (ARNs) et IDsCalendrier relatif au format ARN et de l'ID de ressourceContainer InsightsAWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)Autorisation de balisageChronologie des autorisations de balisageAWS Fargate temps d'attente pour la retraite des tâchesAugmenter les interfaces réseau des instances de conteneurs LinuxSurveillance du temps d'exécution ( GuardDuty intégration Amazon) IPv6 VPC à double pileMode pilote de journal par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux fonctionnalités d'Amazon ECS avec les paramètres du compte

Vous pouvez accéder aux paramètres de compte Amazon ECS pour activer ou désactiver des fonctions spécifiques. Pour chaque Région AWS, vous pouvez accepter ou refuser chaque paramètre de compte au niveau du compte ou pour un utilisateur ou un rôle spécifique.

Vous pouvez choisir d'activer ou de désactiver des fonctions spécifiques si l'une des options suivantes vous concerne :

  • Un utilisateur ou un rôle peut accepter ou refuser des paramètres de compte spécifiques pour son compte individuel.

  • Un utilisateur ou un rôle peut définir le paramètre d'acceptation et de refus par défaut pour tous les utilisateurs du compte.

  • L'utilisateur root ou un utilisateur doté de privilèges d'administrateur peut accepter ou refuser un rôle ou un utilisateur spécifique sur le compte. Si le paramètre de compte de l'utilisateur root est modifié, cela modifie également le paramètre par défaut de tous les utilisateurs et rôles pour lesquels aucun paramètre de compte individuel n'a été sélectionné.

Note

Les utilisateurs fédérés héritent du paramètre de compte de l'utilisateur root et ne peuvent pas avoir de paramètres de compte définis séparément pour leur compte.

Les paramètres de compte suivants sont disponibles. Vous devez vous inscrire et vous désinscrire séparément pour chaque paramètre de compte.

Nom de la ressource En savoir plus
containerInsights Container Insights
serviceLongArnFormat

taskLongArnFormat

containerInstanceLongArnFormat

 Amazon Resource Names (ARNs) et IDs
tagResourceAuthorization Autorisation de balisage
fargateFIPSMode AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)
fargateTaskRetirementWaitPeriod AWS Fargate temps d'attente pour la retraite des tâches
guardDutyActivate Surveillance du temps d'exécution ( GuardDuty intégration Amazon)
dualStackIPv6 IPv6 VPC à double pile
awsvpcTrunking Augmenter les interfaces réseau des instances de conteneurs Linux
defaultLogDriverMode Mode pilote de journal par défaut

Amazon Resource Names (ARNs) et IDs

Lorsque des ressources Amazon ECS sont créées, chacune d'elles se voit affecter un Amazon Resource Name (ARN) et un identificateur de ressource (ID) uniques. Si vous utilisez un outil de ligne de commande ou l'API Amazon ECS pour travailler avec Amazon ECS, des ressources ARNs ou IDs sont requises pour certaines commandes. Par exemple, si vous utilisez la AWS CLI commande stop-task pour arrêter une tâche, vous devez spécifier l'ARN ou l'ID de la tâche dans la commande.

Amazon ECS a introduit un nouveau format pour Amazon Resource Names (ARNs) et une nouvelle ressource IDs pour les services, les tâches et les instances de conteneur Amazon ECS. L'état d'acceptation de chaque type de ressource détermine le format Amazon Resource Name (ARN) utilisé par la ressource. Vous devez accepter le nouveau format ARN afin d'utiliser des fonctions telles que le balisage des ressources pour ce type de ressource.

Vous pouvez accepter ou refuser le nouveau nom Amazon Resource Name (ARN) et les ID de ressource dépend de la région. Actuellement, il est activé par défaut pour tout nouveau compte.

Vous pouvez accepter ou refuser le nouveau format d'Amazon Resource Name (ARN) et d'ID de ressource à tout moment. Une fois que vous vous êtes inscrit, toutes les nouvelles ressources que vous créez utilisent le nouveau format.

Note

Un ID de ressource ne change pas une fois qu'il a été créé. Par conséquent, le fait d'accepter ou de refuser le nouveau format n'affecte pas votre ressource IDs existante.

Les sections suivantes décrivent les modifications des formats d'ARN et d'ID de ressource. Pour plus d'informations sur la transition vers les nouveaux formats, consultez la FAQ sur Amazon Elastic Container Service.

Format Amazon Resource Name (ARN)

Certaines ressources ont un nom convivial, comme par exemple un service nommé production. Dans d'autres cas, vous devez définir une ressource à l'aide du format Amazon Resource Name (ARN). Le nouveau format ARN des tâches, services et instances de conteneur Amazon ECS inclut le nom du cluster. Pour de plus amples informations sur le nouveau format ARN, consultez Modification des paramètres du compte Amazon ECS.

Le tableau suivant présente le format actuel et le nouveau format pour chaque type de ressource :

Type de ressource ARN
Instance de conteneur

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id actuel

Nouveau : arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
Amazon ECS service

arn:aws:ecs:region:aws_account_id:service/service-name actuel

Nouveau : arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
Tâches Amazon ECS

arn:aws:ecs:region:aws_account_id:task/task-id actuel

Nouveau : arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Longueur des ID de ressource

Un ID de ressource est constitué d'une combinaison unique de lettres et de chiffres. Les nouveaux formats d'ID de ressource incluent des formats plus courts IDs pour les tâches Amazon ECS et les instances de conteneur. Le format d'ID de ressource actuel comporte 36 caractères. Les nouveaux IDs sont dans un format de 32 caractères qui n'inclut aucun trait d'union. Pour de plus amples informations sur le nouveau format d'ID de ressource, consultez Modification des paramètres du compte Amazon ECS.

L’argument par défaut est enabled.

Seules les ressources lancées après l'acceptation recevront le nouveau format d'ARN et d'ID de ressource. Toutes les ressources existantes ne sont pas affectées. Pour que les services et les tâches Amazon ECS passent aux nouveaux formats d'ARN et d'ID de ressource, vous devez recréer les services et les tâches. Pour faire passer une instance de conteneur au nouveau format d'ARN et d'ID de ressource, il est nécessaire de la vider et de lancer et d'enregistrer une nouvelle instance de conteneur sur le cluster.

Note

Les tâches lancées par un service Amazon ECS ne peuvent recevoir le nouveau format d'ARN et d'ID de ressource que si le service a été créé à compter du 16 novembre 2018 et si l'utilisateur qui a créé le service a accepté le nouveau format pour les tâches.

Calendrier relatif au format ARN et de l'ID de ressource

Le calendrier prévoyant des créneaux d'activation/rejet du nouveau format d'Amazon Resource Name (ARN) et d'ID de ressource pour les ressources Amazon ECS a pris fin le 1er avril 2021. Le nouveau format est activé par défaut pour tout nouveau compte. Toutes les nouvelles ressources créées reçoivent le nouveau format et vous ne pouvez plus vous désinscrire.

Container Insights

Le 2 décembre 2024, AWS a publié Container Insights avec une observabilité améliorée pour Amazon ECS. Cette version prend en charge une observabilité améliorée pour les clusters Amazon ECS utilisant les types de lancement Amazon EC2 et Fargate. Une fois que vous avez configuré Container Insights avec une observabilité améliorée sur Amazon ECS, Container Insights collecte automatiquement des données télémétriques détaillées sur l'infrastructure, du niveau du cluster au niveau du conteneur dans votre environnement, et affiche vos données dans des tableaux de bord qui vous présentent diverses mesures et dimensions. Vous pouvez ensuite utiliser ces out-of-the-box tableaux de bord sur la console Container Insights pour mieux comprendre l'état et les performances de vos conteneurs, et pour atténuer les problèmes plus rapidement en identifiant les anomalies.

Nous vous recommandons d'utiliser Container Insights avec une observabilité améliorée plutôt que Container Insights, car cela fournit une visibilité détaillée de votre environnement de conteneurs, réduisant ainsi le délai moyen de résolution. Pour plus d'informations, consultez Amazon ECS Container Insights avec des métriques d'observabilité améliorées dans le guide de l'Amazon CloudWatch utilisateur.

Le paramètre du containerInsights compte par défaut estdisabled.

Container Insights avec une meilleure observabilité

Utilisez la commande suivante pour activer Container Insights avec une meilleure observabilité.

Réglez le paramètre du containerInsights compte surenhanced.

aws ecs put-account-setting --name containerInsights --value enhanced

Exemple de sortie

{
    "setting": {
        "name": "containerInsights",
        "value": "enhanced",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Après avoir défini ce paramètre de compte, tous les nouveaux clusters utilisent automatiquement Container Insights avec une meilleure observabilité. Utilisez la update-cluster-settings commande pour ajouter Container Insights avec une observabilité améliorée à un cluster existant, ou pour mettre à niveau un cluster de Container Insights à Container Insights avec une observabilité améliorée.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enhanced

Vous pouvez également utiliser la console pour configurer Container Insights avec une meilleure observabilité. Pour de plus amples informations, veuillez consulter Modification des paramètres du compte Amazon ECS.

Container Insights

Lorsque vous définissez le paramètre du containerInsights compte surenabled, Container Insights est activé par défaut pour tous les nouveaux clusters. Vous pouvez modifier les clusters existants en utilisantupdate-cluster-settings.

Pour utiliser Container Insights, définissez le paramètre du containerInsights compte surenabled. Utilisez la commande suivante pour activer Container Insights.

aws ecs put-account-setting --name containerInsights --value enabled

Exemple de sortie

{
    "setting": {
        "name": "containerInsights",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Lorsque vous définissez le paramètre du containerInsights compte surenabled, Container Insights est activé par défaut pour tous les nouveaux clusters. Utilisez la update-cluster-settings commande pour ajouter Container Insights à un cluster existant.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enabled

Vous pouvez également utiliser la console pour configurer Container Insights. Pour de plus amples informations, veuillez consulter Modification des paramètres du compte Amazon ECS.

AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140)

Fargate prend en charge la norme Federal Information Processing Standard (FIPS-140), qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent des informations sensibles. Il s'agit de la norme gouvernementale en vigueur aux États-Unis et au Canada, applicable aux systèmes qui doivent être conformes à la loi sur la gestion de la sécurité des informations fédérales (FISMA) ou au programme fédéral de gestion des risques et des autorisations (FedRAMP).

Le nom de la ressource estfargateFIPSMode.

L’argument par défaut est disabled.

Vous devez activer la conformité à la norme Federal Information Processing Standard (FIPS-140) sur Fargate. Pour de plus amples informations, veuillez consulter AWS Fargate Norme fédérale de traitement de l'information (FIPS-140).

Important

Le paramètre de compte fargateFIPSMode ne peut être modifié qu'à l'aide de l'API Amazon ECS ou de la AWS CLI. Pour de plus amples informations, veuillez consulter Modification des paramètres du compte Amazon ECS.

Exécutez put-account-setting-default avec l'option fargateFIPSMode définie à enabled. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference.

  • Vous pouvez utiliser la commande suivante pour activer la conformité à la norme FIPS-140.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Exemple de sortie

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Vous pouvez exécuter list-account-settings pour afficher l'état actuel de conformité à la norme FIPS-140. Utilisez l'option effective-settings pour afficher les paramètres au niveau du compte.

aws ecs list-account-settings --effective-settings

Autorisation de balisage

Amazon ECS introduit l'autorisation de balisage pour la création de ressources. Les utilisateurs doivent disposer d'autorisations de balisage pour les actions qui créent la ressource, telles queecsCreateCluster. Lorsque vous créez une ressource et que vous spécifiez des balises pour cette ressource, AWS effectue une autorisation supplémentaire pour vérifier qu'il existe des autorisations pour créer des balises. Par conséquent, vous devez octroyer des autorisations explicites d'utiliser l'action ecs:TagResource. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.

Pour activer l'autorisation de balisage, exécutez put-account-setting-default avec l'option tagResourceAuthorization définie sur enable. Pour plus d'informations, put-account-setting-defaultconsultez le manuel Amazon Elastic Container Service API Reference. Vous pouvez exécuter list-account-settings pour afficher l'état actuel de l'autorisation de balisage.

  • Vous pouvez utiliser la commande suivante pour activer l'autorisation de balisage.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Exemple de sortie

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Après avoir activé l'autorisation de balisage, vous devez configurer les autorisations appropriées pour permettre aux utilisateurs de baliser les ressources lors de leur création. Pour de plus amples informations, veuillez consulter Octroi de l'autorisation de baliser les ressources lors de la création.

Vous pouvez exécuter list-account-settings pour afficher l'état actuel de l'autorisation de balisage. Utilisez l'option effective-settings pour afficher les paramètres au niveau du compte.

aws ecs list-account-settings --effective-settings

Chronologie des autorisations de balisage

Vous pouvez vérifier si l'autorisation de balisage est active en exécutant list-account-settings pour afficher la valeur tagResourceAuthorization. Lorsque la valeur est égale à on, cela signifie que l'autorisation de balisage est active. Pour plus d'informations, list-account-settingsconsultez le manuel Amazon Elastic Container Service API Reference.

Voici les dates importantes concernant l'autorisation de balisage.

  • 18 avril 2023 : introduction de l'autorisation de balisage. Tous les comptes nouveaux et existants doivent adhérer pour utiliser la fonctionnalité. Vous pouvez choisir de commencer à utiliser l'autorisation de marquage. En adhérant, vous devez octroyer les autorisations appropriées.

  • 9 février 2024 - 6 mars 2024 — L'autorisation de marquage est activée par défaut pour tous les nouveaux comptes et les comptes existants non concernés. Vous pouvez activer ou désactiver les paramètres du tagResourceAuthorization compte pour vérifier votre politique IAM.

    AWS a notifié les comptes concernés.

    Pour désactiver la fonctionnalité, put-account-setting-default exécutez-la avec l'tagResourceAuthorizationoption définie suroff.

  • 7 mars 2024 — Si vous avez activé l'autorisation de marquage, vous ne pouvez plus désactiver les paramètres du compte.

    Nous vous recommandons de terminer vos tests de politique IAM avant cette date.

  • 29 mars 2024 — Tous les comptes utilisent l'autorisation de marquage. Le paramètre au niveau du compte ne sera plus disponible dans la console Amazon ECS ou. AWS CLI

AWS Fargate temps d'attente pour la retraite des tâches

AWS envoie des notifications lorsque des tâches Fargate s'exécutent sur une version de la plateforme dont la révision est marquée pour être supprimée. Pour de plus amples informations, veuillez consulter Retrait et maintenance des tâches pour AWS Fargate sur Amazon ECS .

AWS est responsable de l'application des correctifs et de la maintenance de l'infrastructure sous-jacente de AWS Fargate. Lorsqu'il est AWS déterminé qu'une mise à jour de sécurité ou d'infrastructure est nécessaire pour une tâche Amazon ECS hébergée sur Fargate, les tâches doivent être arrêtées et de nouvelles tâches lancées pour les remplacer. Vous pouvez configurer la période d'attente avant que les tâches ne soient retirées pour être corrigées. Vous avez la possibilité de mettre fin à la tâche immédiatement, d'attendre 7 jours calendaires ou d'attendre 14 jours calendaires.

Ce paramètre se trouve au niveau du compte.

Vous pouvez configurer l'heure à laquelle Fargate commence le retrait des tâches. Pour les charges de travail qui nécessitent l'application immédiate des mises à jour, choisissez le paramètre immédiat (0). Lorsque vous avez besoin de davantage de contrôle, par exemple lorsqu'une tâche ne peut être arrêtée que pendant une certaine période, configurez l'option 7 jours (7) ou 14 jours (14).

Nous vous recommandons de choisir une période d'attente plus courte afin de pouvoir accéder plus rapidement aux nouvelles versions de plateforme.

Configurez la période d'attente en exécutant put-account-setting-default ou put-account-setting en tant qu'utilisateur root ou administrateur. Utilisez l'option fargateTaskRetirementWaitPeriod pour le name et l'option value définie sur l'une des valeurs suivantes :

  • 0- AWS envoie la notification et commence immédiatement à supprimer les tâches concernées.

  • 7- AWS envoie la notification et attend 7 jours calendaires avant de commencer à supprimer les tâches concernées.

  • 14 : AWS envoie la notification et attend 14 jours calendaires avant de commencer à retirer les tâches concernées.

La durée par défaut est de 7 jours.

Pour plus d'informations, consultez put-account-setting-defaultet consultez le put-account-settingmanuel Amazon Elastic Container Service API Reference.

Vous pouvez exécuter la commande suivante pour définir le délai d'attente à 14 jours.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Exemple de sortie

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Vous pouvez exécuter list-account-settings pour afficher le temps d'attente actuel pour retirer la tâche Fargate. Utilisez l'option effective-settings.

aws ecs list-account-settings --effective-settings

Augmenter les interfaces réseau des instances de conteneurs Linux

Chaque tâche Amazon ECS qui utilise le mode awsvpc réseau reçoit sa propre interface Elastic Network (ENI), qui est attachée à l'instance de conteneur qui l'héberge. Le nombre d'interfaces réseau pouvant être associées à une EC2 instance Amazon est limité par défaut, et l'interface réseau principale compte pour une. Par exemple, par défaut, jusqu'à trois c5.large instances peuvent être ENIs associées. L'interface réseau principale de l'instance compte pour une seule, vous pouvez donc en attacher deux autres ENIs à l'instance. Comme chaque tâche utilisant le mode awsvpc réseau nécessite unENI, vous ne pouvez généralement exécuter que deux tâches de ce type sur ce type d'instance.

Amazon ECS prend en charge le lancement d'instances de conteneur avec une ENI densité accrue à l'aide des types d' EC2 instances Amazon pris en charge. Lorsque vous utilisez ces types d'instances et que vous activez le paramètre du awsvpcTrunking compte, d'autres ENIs sont disponibles sur les instances de conteneur récemment lancées. Cette configuration vous permet de placer plus de tâches sur chaque instance de conteneur.

Par exemple, une c5.large instance avec awsvpcTrunking une ENI limite accrue de douze. L'instance de conteneur a alors une interface réseau principale. Amazon ECS crée et attache une interface réseau « tronc » à l'instance de conteneur. Par conséquent, cette configuration vous permet de lancer dix tâches sur l'instance de conteneur au lieu des deux tâches actuellement possibles.

Surveillance du temps d'exécution ( GuardDuty intégration Amazon)

Runtime Monitoring est un service intelligent de détection des menaces qui protège les charges de travail exécutées sur Fargate EC2 et les instances de conteneur en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés.

Le guardDutyActivate paramètre est en lecture seule dans Amazon ECS et indique si la surveillance du temps d'exécution est activée ou désactivée par votre administrateur de sécurité sur votre compte Amazon ECS. GuardDuty contrôle les paramètres de ce compte en votre nom. Pour plus d'informations, consultez Protéger les charges de travail Amazon ECS grâce à la surveillance du temps d'exécution.

Vous pouvez exécuter list-account-settings pour afficher le paramètre GuardDuty d'intégration actuel. 

aws ecs list-account-settings

Exemple de sortie

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}

IPv6 VPC à double pile

Amazon ECS permet de fournir aux tâches une IPv6 adresse en plus de l' IPv4 adresse privée principale.

Pour que les tâches reçoivent une IPv6 adresse, elles doivent utiliser le mode awsvpc réseau, être lancées dans un VPC configuré pour le mode double pile et le paramètre du dualStackIPv6 compte doit être activé. Pour plus d'informations sur les autres exigences, reportez-vous aux sections Utilisation d'un VPC en mode double pile pour le type de EC2 lancement et Utilisation d'un VPC en mode double pile pour le type de lancement Fargate.

Important

Le paramètre de compte dualStackIPv6 ne peut être modifié qu'à l'aide de l'API Amazon ECS ou de la AWS CLI. Pour de plus amples informations, veuillez consulter Modification des paramètres du compte Amazon ECS.

Si vous avez exécuté une tâche en mode awsvpc réseau dans un sous-réseau IPv6 activé entre le 1er octobre 2020 et le 2 novembre 2020, le paramètre de dualStackIPv6 compte par défaut dans la région dans laquelle la tâche s'exécutait estdisabled. Si cette condition n'est pas remplie, le paramètre de compte par défaut dualStackIPv6 dans la région est enabled.

L’argument par défaut est disabled.

Mode pilote de journal par défaut

Amazon ECS prend en charge la définition d'un mode de livraison par défaut des messages de journal depuis un conteneur vers le pilote de journal choisi. Le mode de livraison affecte la stabilité de l'application lorsque le flux de journaux entre le conteneur et le pilote de journal est interrompu.

Le defaultLogDriverMode paramètre prend en charge deux valeurs : blocking etnon-blocking. Pour plus d'informations sur ces modes de livraison, consultez le LogConfigurationmanuel Amazon Elastic Container Service API Reference.

Si vous ne spécifiez aucun mode de livraison dans la définition de votre conteneurlogConfiguration, le mode que vous spécifiez à l'aide de ce paramètre de compte sera utilisé par défaut.

Le mode de livraison par défaut estnon-blocking.

Note

Le 25 juin 2025, Amazon ECS a modifié le mode pilote de journal par défaut de à pour donner la priorité blocking non-blocking à la disponibilité des tâches plutôt qu'à la journalisation. Pour continuer à utiliser le blocking mode après cette modification, effectuez l'une des opérations suivantes :

  • Définissez l'modeoption dans votre définition de conteneur logConfiguration commeblocking.

  • Réglez le paramètre du defaultLogDriverMode compte surblocking.

Pour définir un mode pilote de journal par défaut surblocking, vous pouvez exécuter la commande suivante.

aws ecs put-account-setting-default --name defaultLogDriverMode --value "blocking"