Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account - Amazon Elastic Container Service
Nomi di risorse Amazon (ARNs) e IDsSequenza temporale formato ARN e ID risorsaContainer InsightsAWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)Autorizzazione all'assegnazione di tagCronologia dell'autorizzazione all'assegnazione di tagAWS Fargate tempo di attesa per il ritiro dell'attivitàIncrementa le interfacce di rete per istanze di container LinuxMonitoraggio del runtime ( GuardDuty integrazione con Amazon) VPC a doppio stack IPv6 Modalità predefinita del driver di registro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle funzionalità di Amazon ECS con le impostazioni dell'account

È possibile accedere alle impostazioni dell'account Amazon ECS per attivare o disattivare determinate caratteristiche. Per ogni Regione AWS, puoi attivare o disattivare ogni impostazione dell'account a livello di account o per un utente o ruolo specifico.

È possibile attivare o disattivare determinate caratteristiche se una delle seguenti caratteristiche è rilevante per te:

  • Un utente o ruolo può attivare o disattivare specifiche impostazioni del singolo account utente.

  • Un utente o ruolo può configurare l'impostazione di attivazione o disattivazione predefinita per tutti gli utenti nell'account.

  • L'utente root o un utente con privilegi di amministratore ha la possibilità di attivare o disattivare qualsiasi ruolo o utente specifico nell'account. Se l'impostazione dell'account per l'utente root viene modificata, l'impostazione di default viene configurata per tutti gli utenti e i ruoli per i quali non è stata selezionata una singola impostazione dell'account.

Nota

Gli utenti federati presuppongono l'impostazione dell'account dell'utente root e non possono avere impostazioni account esplicite impostate per loro separatamente.

Sono disponibili le seguenti impostazioni dell'account. È necessario attivare e disattivare separatamente ogni impostazione dell'account.

Nome risorsa Ulteriori informazioni
containerInsights Container Insights
serviceLongArnFormat

taskLongArnFormat

containerInstanceLongArnFormat

 Nomi di risorse Amazon (ARNs) e IDs
tagResourceAuthorization Autorizzazione all'assegnazione di tag
fargateFIPSMode AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)
fargateTaskRetirementWaitPeriod AWS Fargate tempo di attesa per il ritiro dell'attività
guardDutyActivate Monitoraggio del runtime ( GuardDuty integrazione con Amazon)
dualStackIPv6 VPC a doppio stack IPv6
awsvpcTrunking Incrementa le interfacce di rete per istanze di container Linux
defaultLogDriverMode Modalità predefinita del driver di registro

Nomi di risorse Amazon (ARNs) e IDs

Quando vengono create le risorse Amazon ECS, a ogni risorsa viene assegnato un Amazon Resource Name (ARN) e un identificatore di risorsa (ID). Se utilizzi uno strumento da riga di comando o l'API Amazon ECS per lavorare con Amazon ECS, hai bisogno di risorse ARNs per determinati comandi. IDs Ad esempio, se si utilizza il AWS CLI comando stop-task per interrompere un'operazione, è necessario specificare l'ARN o l'ID dell'attività nel comando.

Amazon ECS ha introdotto un nuovo formato per Amazon Resource Names (ARNs) e risorse IDs per servizi, attività e istanze di container Amazon ECS. Lo stato di opt-in per ogni tipo di risorsa determina il formato del nome della risorsa Amazon (ARN) utilizzato dalla risorsa. È necessario attivare il nuovo formato dell'ARN per utilizzare funzionalità quali il tagging di risorse per tale tipo di risorsa.

L'attivazione e la disattivazione del nuovo formato del nome della risorsa Amazon (ARN) e degli ID risorsa è possibile in base alle singole regioni. Attualmente, qualsiasi nuovo account creato viene attivato di default.

Puoi fornire il consenso esplicito o il rifiuto esplicito del nuovo formato dell'Amazon Resource Name (ARN) e dell'ID risorsa in qualsiasi momento. Dopo che avrai fornito il consenso esplicito, le eventuali nuove risorse create utilizzano il nuovo formato.

Nota

Un ID risorsa non può essere modificato dopo la sua creazione. Pertanto, l'attivazione o la disattivazione del nuovo formato non influisce sulla risorsa esistente. IDs

Le seguenti sezioni descrivono in che modo i formati dell'ARN e dell'ID risorsa stanno cambiando. Per ulteriori informazioni sulla transizione ai nuovi formati, consulta Domande frequenti su Amazon Elastic Container Service.

Formato Amazon Resource Name (ARN)

Alcune risorse hanno un nome descrittivo, ad esempio un servizio denominato production. In altri casi, è necessario specificare una risorsa utilizzando il formato dell'Amazon Resource Name (ARN). Il nuovo formato dell'ARN per processi, servizi e istanze di container Amazon ECS include il nome del cluster. Per informazioni sull'attivazione con il formato dell'ARN, consulta Modifica delle impostazioni dell'account Amazon ECS.

La tabella seguente mostra sia il formato attuale (precedente) sia il nuovo formato per ogni tipo di risorsa.

Tipo di risorsa ARN
Istanza del container

arn:aws:ecs:region:aws_account_id:container-instance/container-instance-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:container-instance/cluster-name/container-instance-id
Servizio Amazon ECS

arn:aws:ecs:region:aws_account_id:service/service-name correnti

Nuovo: arn:aws:ecs:region:aws_account_id:service/cluster-name/service-name
Processo di Amazon ECS

arn:aws:ecs:region:aws_account_id:task/task-id correnti

Nuovo: arn:aws:ecs:region:aws_account_id:task/cluster-name/task-id
Lunghezza dell'ID risorsa

Un ID risorsa è formato da una combinazione univoca di lettere e numeri. I nuovi formati di ID delle risorse includono quelli più brevi IDs per le attività di Amazon ECS e le istanze di container. Il formato dell'ID risorsa precedente è lungo 36 caratteri. I nuovi IDs sono in un formato a 32 caratteri che non include trattini. Per informazioni sull'attivazione con il nuovo formato dell'ID risorsa, consulta Modifica delle impostazioni dell'account Amazon ECS.

Il valore predefinito è enabled.

Solo le risorse avviate dopo l'attivazione riceveranno il nuovo formato dell'ARN e dell'ID risorsa. Tutte le risorse esistenti non sono interessate. Per eseguire la transizione di servizi e attività Amazon ECS ai nuovi formati di ARN e ID risorsa, è necessario creare nuovamente il servizio o il processo. Per eseguire la transizione di un'istanza di container al nuovo formato dell'ARN e dell'ID risorsa, l'istanza di container deve essere eliminata e ne deve essere avviata registrata una nuova nel cluster.

Nota

Le attività avviate da un servizio Amazon ECS possono ricevere il nuovo formato dell'ARN e dell'ID risorsa solo se il servizio è stato creato a partire dal 16 novembre 2018 e l'utente che ha creato il servizio ha fornito il consenso esplicito al nuovo formato per i processi.

Sequenza temporale formato ARN e ID risorsa

La sequenza temporale per i periodi di accettazione e rifiuto del nuovo formato del nome della risorsa Amazon (ARN) e dell'ID risorsa per le risorse Amazon ECS è terminata il 1° aprile 2021. Per impostazione predefinita, tutti gli account accettano il nuovo formato. Tutte le nuove risorse create ricevono il nuovo formato e non puoi più disattivarle.

Container Insights

Il 2 dicembre 2024, AWS ha rilasciato Container Insights con osservabilità migliorata per Amazon ECS. Questa versione supporta l'osservabilità migliorata per i cluster Amazon ECS utilizzando Fargate Amazon ECS Managed Instances e. EC2 Dopo aver configurato Container Insights con una migliore osservabilità su Amazon ECS, Container Insights raccoglie automaticamente dati di telemetria dettagliata dell'infrastruttura dal livello di cluster fino al livello di container nel tuo ambiente e visualizza i tuoi dati in dashboard che mostrano una varietà di metriche e dimensioni. Puoi quindi utilizzare queste out-of-the-box dashboard sulla console Container Insights per comprendere meglio lo stato e le prestazioni dei container e mitigare i problemi più rapidamente identificando le anomalie.

Ti consigliamo di utilizzare Container Insights con osservabilità avanzata invece di Container Insights, in quanto fornisce una visibilità dettagliata nell'ambiente del container, riducendo il tempo medio di risoluzione. Per ulteriori informazioni, consulta Amazon ECS Container Insights con metriche di osservabilità avanzate nella Guida per l'utente Amazon CloudWatch .

L'impostazione predefinita per l'account containerInsights è disabled.

Container Insights con osservabilità migliorata

Utilizza il comando seguente per attivare Container Insights con osservabilità migliorata.

Configura l'impostazione dell'account containerInsights su enhanced.

aws ecs put-account-setting --name containerInsights --value enhanced

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enhanced",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Dopo aver impostato questa impostazione dell'account, tutti i nuovi cluster utilizzano automaticamente Container Insights con una osservabilità migliorata. Usa il comando update-cluster-settings per aggiungere Container Insights con osservabilità migliorata a un cluster esistente o per aggiornare un cluster da Container Insights a Container Insights con osservabilità migliorata.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enhanced

Puoi anche utilizzare la console per configurare Container Insights con osservabilità migliorata. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Container Insights

Quando configuri l'impostazione dell'account containerInsights su enabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. Puoi modificare i cluster esistenti utilizzando update-cluster-settings.

Per utilizzare Container Insights, configura l'impostazione dell'account containerInsights su enabled. Utilizza uno dei seguenti comandi per attivare Container Insights per un cluster.

aws ecs put-account-setting --name containerInsights --value enabled

Output di esempio

{
    "setting": {
        "name": "containerInsights",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:johndoe",
         "type": user
    }
}

Quando configuri l'impostazione dell'account containerInsights su enabled, tutti i nuovi cluster hanno Container Insights abilitato per impostazione predefinita. Usa il comando update-cluster-settings per aggiungere Container Insights a un cluster esistente.

aws ecs update-cluster-settings --cluster cluster-name --settings name=containerInsights,value=enabled

Puoi anche utilizzare la console per configurare Container Insights. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140)

Fargate supporta il Federal Information Processing Standard (FIPS-140) che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono le informazioni sensibili. È l'attuale standard governativo degli Stati Uniti e del Canada ed è applicabile ai sistemi che devono essere conformi al Federal Information Security Management Act (FISMA) o al Federal Risk and Authorization Management Program (FedRAMP).

Il nome della risorsa è fargateFIPSMode.

Il valore predefinito è disabled.

Devi attivare la conformità al Federal Information Processing Standard (FIPS-140) su Fargate. Per ulteriori informazioni, consulta AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140).

Importante

L'impostazione dell'account fargateFIPSMode può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Esegui put-account-setting-default con l'opzione fargateFIPSMode impostata su enabled. Per ulteriori informazioni, put-account-setting-defaultconsulta la sezione Amazon Elastic Container Service API Reference.

  • Per attivare la conformità FIPS-140 puoi utilizzare il comando seguente.

    aws ecs put-account-setting-default --name fargateFIPSMode --value enabled

    Output di esempio

    {
    "setting": {
        "name": "fargateFIPSMode",
        "value": "enabled",
        "principalArn": "arn:aws:iam::123456789012:root",
         "type": user
    }
}

Puoi eseguire il comando list-account-settings per visualizzare lo stato di conformità FIPS-140 corrente. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Autorizzazione all'assegnazione di tag

Amazon ECS sta introducendo l'autorizzazione all'assegnazione di tag per la creazione di risorse. Gli utenti devono disporre dell'autorizzazione per le operazioni che creano la risorsa, ad esempio ecsCreateCluster. Quando crei una risorsa e specifichi i tag per quella risorsa, AWS esegue un'autorizzazione aggiuntiva per verificare che ci siano le autorizzazioni per creare tag. Pertanto, devi concedere le autorizzazioni esplicite per utilizzare l'operazione ecs:TagResource. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Per attivare l'autorizzazione all'assegnazione di tag, esegui il comando put-account-setting-default con l'opzione tagResourceAuthorization impostata su on. Per ulteriori informazioni, put-account-setting-defaultconsulta la sezione Amazon Elastic Container Service API Reference. Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag.

  • Per abilitare l'autorizzazione all'assegnazione di tag puoi utilizzare il comando seguente.

    aws ecs put-account-setting-default --name tagResourceAuthorization --value on --region region

    Output di esempio

    {
    "setting": {
        "name": "tagResourceAuthorization",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type": user
    }
}

Una volta attivata l'opzione, devi configurare le autorizzazioni appropriate per consentire l'assegnazione di tag alle risorse durante la creazione. Per ulteriori informazioni, consulta Concessione dell'autorizzazione all'assegnazione di tag alle risorse al momento della creazione.

Puoi eseguire il comando list-account-settings per visualizzare lo stato attuale dell'autorizzazione all'assegnazione di tag. Utilizza l'opzione effective-settings per visualizzare le impostazioni a livello di account.

aws ecs list-account-settings --effective-settings

Cronologia dell'autorizzazione all'assegnazione di tag

Puoi confermare se l'autorizzazione all'assegnazione di tag è attiva eseguendo il comando list-account-settings per visualizzare il valore di tagResourceAuthorization. Quando il valore è on, indica che l'autorizzazione all'assegnazione di tag è in uso. Per ulteriori informazioni, list-account-settingsconsulta la sezione Amazon Elastic Container Service API Reference.

Di seguito sono riportate le date importanti correlate all'autorizzazione all'assegnazione di tag.

  • 18 aprile 2023: introduzione dell'autorizzazione all'assegnazione di tag. Tutti gli account nuovi ed esistenti devono aderire per utilizzare la funzionalità. Puoi aderire all'utilizzo dell'autorizzazione all'assegnazione di tag. Effettuando l'adesione, devi concedere le autorizzazioni appropriate.

  • 9 febbraio 2024 - 6 marzo 2024: Per tutti i nuovi account e per gli account esistenti non interessati è attivata l'autorizzazione all'assegnazione di tag per impostazione predefinita. Puoi abilitare o disabilitare l'impostazione dell'account tagResourceAuthorization per verificare la policy IAM.

    AWS ha notificato gli account interessati.

    Per disabilitare la funzionalità, esegui put-account-setting-default con l'opzione tagResourceAuthorization impostata su off.

  • 7 marzo 2024: se hai abilitato l'autorizzazione all'assegnazione di tag, non puoi più disabilitare l'impostazione dell'account.

    Ti consigliamo di completare i test delle policy IAM entro questa data.

  • 29 marzo 2024: Tutti gli account utilizzano l'autorizzazione all'assegnazione di tag. L'impostazione a livello di account non sarà più disponibile nella console Amazon ECS o AWS CLI.

AWS Fargate tempo di attesa per il ritiro dell'attività

AWS invia notifiche quando le attività di Fargate sono in esecuzione su una revisione della versione della piattaforma contrassegnata come ritirata. Per ulteriori informazioni, consulta Ritiro e manutenzione delle attività per AWS Fargate su Amazon ECS .

AWS è responsabile dell'applicazione di patch e della manutenzione dell'infrastruttura sottostante per AWS Fargate. Quando si AWS determina che è necessario un aggiornamento della sicurezza o dell'infrastruttura per un'attività Amazon ECS ospitata su Fargate, le attività devono essere interrotte e avviate nuove attività per sostituirle. Puoi configurare il periodo di attesa prima che le attività vengano ritirate per l'applicazione di patch. Puoi scegliere se ritirare immediatamente l'attività o attendere 7 o 14 giorni.

Questa impostazione si applica a livello di account.

Puoi configurare l'ora in cui Fargate avvia il ritiro dell'attività. Per i carichi di lavoro che richiedono l'applicazione immediata degli aggiornamenti, scegli l'impostazione immediata (0). Quando hai bisogno di un maggiore controllo, ad esempio, quando un'attività può essere interrotta solo durante una determinata finestra, configura l'opzione 7 (7) o 14 giorni (14).

Consigliamo di scegliere un periodo di attesa più breve per ricevere prima le revisioni delle versioni più recenti della piattaforma.

Configura il periodo di attesa eseguendo put-account-setting-default o put-account-setting come utente root o utente amministrativo. Utilizza l'opzione fargateTaskRetirementWaitPeriod per il name e l'opzione value impostata su uno dei seguenti valori:

  • 0- AWS invia la notifica e inizia immediatamente a ritirare le attività interessate.

  • 7- AWS invia la notifica e attende 7 giorni di calendario prima di iniziare a ritirare le attività interessate.

  • 14: AWS invia la notifica e attende 14 giorni di calendario prima di iniziare a ritirare le attività interessate.

L'impostazione predefinita è 7 giorni.

Per ulteriori informazioni, consulta put-account-setting-defaulte consulta il riferimento put-account-settingall'API di Amazon Elastic Container Service.

Per impostare il periodo di attesa su 14 giorni, puoi eseguire il comando seguente.

aws ecs put-account-setting-default --name fargateTaskRetirementWaitPeriod --value 14

Output di esempio

{
    "setting": {
        "name": "fargateTaskRetirementWaitPeriod",
        "value": "14",
        "principalArn": "arn:aws:iam::123456789012:root",
        "type: user"
    }
}

Puoi eseguire il comando list-account-settings per visualizzare il tempo di attesa corrente per il ritiro delle attività di Fargate. Utilizza l'opzione effective-settings.

aws ecs list-account-settings --effective-settings

Incrementa le interfacce di rete per istanze di container Linux

Ogni attività Amazon ECS che utilizza la modalità di rete awsvpc riceve la propria interfaccia di rete elastica (ENI), che è collegata all'istanza di container che la ospita. Esiste un limite predefinito al numero di interfacce di rete che possono essere collegate a un' EC2 istanza Amazon e l'interfaccia di rete principale conta come una. Ad esempio, per impostazione predefinita, a un'c5.largeistanza possono essere ENIs collegate fino a tre istanze. L'interfaccia di rete principale per l'istanza conta come una sola, quindi è possibile collegarne altre due ENIs all'istanza. Poiché ogni attività che utilizza la modalità di rete awsvpc richiede un'ENI, in genere puoi eseguire solo due attività su questo tipo di istanza.

Amazon ECS supporta il lancio di istanze di container con maggiore ENI densità utilizzando i tipi di istanze Amazon EC2 supportati. Quando utilizzi questi tipi di istanze e attivi l'impostazione dell'awsvpcTrunkingaccount, ne ENIs sono disponibili altre sulle istanze di container appena lanciate. Questa configurazione consente di posizionare più attività su ciascuna istanza di container.

Ad esempio, un'istanza c5.large con awsvpcTrunking un limite ENI maggiore di dodici. L'istanza di container avrà un'interfaccia di rete primaria e Amazon ECS crea e collega un'interfaccia di rete "trunk" all'istanza di container. Pertanto, questa configurazione consente di avviare dieci attività sull'istanza di container anziché le due attività correnti.

Monitoraggio del runtime ( GuardDuty integrazione con Amazon)

Runtime Monitoring è un servizio intelligente di rilevamento delle minacce che protegge i carichi di lavoro in esecuzione su Fargate EC2 e sulle istanze di container AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati.

Il guardDutyActivate parametro è di sola lettura in Amazon ECS e indica se il Runtime Monitoring è attivato o disattivato dall'amministratore della sicurezza nel tuo account Amazon ECS. GuardDuty controlla questa impostazione dell'account per tuo conto. Per ulteriori informazioni, consulta Protezione dei carichi di lavoro Amazon ECS con Runtime Monitoring.

Puoi eseguire l'operazione list-account-settings per visualizzare l'impostazione di GuardDuty integrazione corrente. 

aws ecs list-account-settings

Output di esempio

{
    "setting": {
        "name": "guardDutyActivate",
        "value": "on",
        "principalArn": "arn:aws:iam::123456789012:doej",
        "type": aws-managed"
    }
}

VPC a doppio stack IPv6

Amazon ECS supporta la fornitura di attività con un IPv6 indirizzo oltre all' IPv4 indirizzo privato principale.

Affinché le attività ricevano un IPv6 indirizzo, l'attività deve utilizzare la modalità di awsvpc rete, deve essere avviata in un VPC configurato per la modalità dual-stack e l'impostazione dell'dualStackIPv6account deve essere abilitata. Per ulteriori informazioni su altri requisiti, consulta Utilizzo di un VPC in modalità dual-stack per la EC2 capacità, Utilizzo di un VPC in modalità dual-stack per la capacità delle istanze gestite di Amazon ECS e per la capacità di Utilizzo di un VPC in modalità dual-stack Fargate.

Importante

L'impostazione dell'account dualStackIPv6 può essere modificata solo utilizzando l'API Amazon ECS o la AWS CLI. Per ulteriori informazioni, consulta Modifica delle impostazioni dell'account Amazon ECS.

Se avevi un'attività in esecuzione utilizzando la modalità di awsvpc rete in una sottorete IPv6 abilitata tra le date del 1° ottobre 2020 e il 2 novembre 2020, l'impostazione predefinita dell'dualStackIPv6account nella regione in cui l'attività era in esecuzione è. disabled Se tale condizione non viene soddisfatta, l'impostazione dualStackIPv6 di default nella regione è enabled.

Il valore predefinito è disabled.

Modalità predefinita del driver di registro

Amazon ECS supporta l'impostazione di una modalità di consegna predefinita dei messaggi di log da un container al driver di log scelto. La modalità di distribuzione influisce sulla stabilità dell'applicazione quando il flusso di log dal container al driver di log viene interrotto.

L'impostazione defaultLogDriverMode supporta due valori: blocking e non-blocking. Per ulteriori informazioni su queste modalità di distribuzione, consulta LogConfigurationAmazon Elastic Container Service API Reference.

Se non specifichi una modalità di consegna nella logConfiguration delle definizioni del container, la modalità specificata utilizzando questa impostazione dell'account verrà utilizzata come predefinita.

La modalità di consegna predefinita è non-blocking.

Nota

Il 25 giugno 2025, Amazon ECS ha cambiato la modalità predefinita del driver di log da blocking a non-blocking per dare priorità alla disponibilità delle attività rispetto al logging. Per continuare a utilizzare la modalità blocking dopo questa modifica, procedere in uno dei seguenti modi:

  • Impostare l'opzione mode nella definizione del container logConfiguration come blocking.

  • Configura l'impostazione dell'account defaultLogDriverMode su blocking.

Per impostare una modalità di driver di log predefinita su blocking, esegui il comando seguente.

aws ecs put-account-setting-default --name defaultLogDriverMode --value "blocking"