Erste Schritte Kapazitätsanbieter Auswahl und Optimierung von Instances Aufgabendefinitionen Betriebssystem- und CPU-Architektur Wichtige Features IAM-Rollen Sicherheit und Compliance Netzwerk Instance-Speicher Lokaler Speicher Service-Load Balancing Überwachung und Beobachtbarkeit Preise und Kostenoptimierung Servicekontingente Überlegungen zur Migration Einschränkungen und Überlegungen Organisatorische Kontrollen

Entwurf für Amazon ECS Managed Instances

Amazon ECS Managed Instances ist eine vollständig verwaltete Rechenoption für Amazon ECS, mit der Sie containerisierte Workloads in allen Instance-Typen von Amazon EC2 ausführen und gleichzeitig die Infrastrukturverwaltung auf AWS auslagern können. Mit Amazon ECS Managed Instances können Sie auf bestimmte Rechenfunktionen wie GPU-Beschleunigung, bestimmte CPU-Architekturen, hohe Netzwerkleistung und spezielle Instance-Typen zugreifen und gleichzeitig die AWS Bereitstellung, Skalierung, Patches und Wartung der zugrunde liegenden Infrastruktur übernehmen.

Wenn Sie Amazon ECS Managed Instances verwenden, verpacken Sie Ihre Anwendung in Containern und geben Ihre Rechenanforderungen an. AWS wählt automatisch die kostenoptimiertesten Allzweck-Amazon-EC2-Instance-Typen aus, die Ihren Workload-Anforderungen entsprechen, oder Sie können die gewünschten Instance-Attribute wie Instance-Typen, CPU-Hersteller und Beschleuniger angeben. Amazon ECS Managed Instances verwalten alle Aspekte der Infrastruktur, einschließlich Skalierung, Patching und Kostenoptimierung, vollständig, ohne den Zugriff auf AWS Funktionen und Amazon EC2 EC2-Integrationen zu gefährden.

Amazon ECS Managed Instances unterstützt Linux-Container mit plattformspezifischen Optimierungen und Sicherheitskonfigurationen. Standardmäßig optimiert Amazon ECS Managed Instances die Infrastrukturnutzung, indem mehrere kleinere Aufgaben auf größere Instances verteilt werden. Dies trägt zur Kostensenkung und Verkürzung der Startzeiten von Aufgaben bei.

In diesem Thema werden die verschiedenen Komponenten der Aufgaben und Services von Amazon ECS Managed Instances beschrieben. Außerdem wird darauf eingegangen, was beim Verwenden von Amazon ECS Managed Instances mit Amazon ECS zu beachten ist.

Erste Schritte

Um mit Amazon ECS Managed Instances zu beginnen, erstellen Sie die erforderlichen IAM-Rollen und aktivieren Amazon ECS Managed Instances in Ihrem AWS Konto. Anschließend können Sie einen Kapazitätsanbieter erstellen und Aufgaben oder Services mithilfe des Kapazitätsanbieters von Amazon ECS Managed Instances starten.

Detaillierte Anweisungen zu den ersten Schritten finden Sie unter:

Kapazitätsanbieter

Amazon ECS Managed Instances verwendet Kapazitätsanbieter, um die Rechenkapazität für Ihre Workloads zu verwalten. Wenn Sie einen Kapazitätsanbieter erstellen, können Sie die Standard-Instance-Auswahl verwenden oder benutzerdefinierte Instance-Anforderungen mithilfe von instanceRequirements angeben.

Die folgenden Kapazitätsanbieter-Optionen sind verfügbar:

Standardkapazitätsanbieter – Wählt automatisch die kostenoptimiertesten Allzweck-Instance-Typen für Ihre Workload-Anforderungen aus.
Benutzerdefinierte Kapazitätsanbieter – Ermöglicht die Angabe von Instance-Attributen mithilfe der attributbasierten Instance-Typauswahl, einschließlich der Anzahl der vCPUs, des Arbeitsspeichers, der CPU-Hersteller, der Accelerator-Typen und bestimmter Instance-Typen.

Eine Kapazitätsanbieter-Strategie kann nur einen Kapazitätsanbieter-Typ aus der folgenden Liste enthalten:

Amazon ECS Managed Instances
Auto Scaling-Gruppe
Fargate/Fargate_SPOT

Auswahl und Optimierung von Instances

Amazon ECS wählt Instance-Typen für Ihre Workloads für Amazon ECS Managed Instances mit einer der folgenden Methoden aus:

Automatische Auswahl – Bei Verwendung des Standardkapazitätsanbieters wählt Amazon ECS automatisch die kostenoptimiertesten Allzweck-Instance-Typen aus, die den in der Aufgabendefinition angegebenen CPU- und Speicheranforderungen entsprechen.
Attributbasierte Auswahl – Bei der Verwendung von benutzerdefinierten Kapazitätsanbietern können Sie Instance-Attribute wie die Anzahl von vCPUs, den Arbeitsspeicher, den CPU-Hersteller, sowie Accelerator-Typen und bestimmte Instance-Typen angeben. Amazon ECS wählt aus allen Instance-Typen aus, die den angegebenen Attributen entsprechen.

Amazon ECS Managed Instances optimiert die Infrastrukturnutzung und die Kosten durch verschiedene Mechanismen:

Platzierung mehrerer Aufgaben – Standardmäßig platziert Amazon ECS mehrere kleinere Aufgaben auf größeren Instances, um die Auslastung zu maximieren und die Kosten zu senken.
Aktive Workload-Konsolidierung – Amazon ECS erkennt, wann Container-Instances wirklich inaktiv sind, und versucht gleichzeitig, eine vorzeitige Beendigung zu vermeiden, die sich auf die Anwendungsverfügbarkeit oder die Bereitstellungsleistung auswirken könnte. Das System berücksichtigt die Mindest- und Höchstanzahl von Aufgaben, die für einen Service festgelegt sind, das Verhalten beim Start vor dem Stoppen und das Verhalten beim Schutz von Aufgaben.
Richtige Dimensionierung – Wenn sich die Workload-Anforderungen ändern, startet Amazon ECS Ersatz-Instances, deren Größe den aktuellen Anforderungen entspricht.

Amazon ECS verwendet Amazon-EC2-Ereignisfenster, um Wartungsaktivitäten in Ihren bevorzugten Zeiträumen zu planen. Mithilfe von Ereignisfenstern können Sie wiederkehrende Zeiträume definieren, in denen AWS Wartungsarbeiten an Ihren Instances durchführen kann. Dadurch können Sie Unterbrechungen der Workloads minimieren, indem Sie die Wartung an Ihrem Betriebsplan ausrichten. Weitere Informationen finden Sie unter Geplante Ereignisse für Instances im Amazon-EC2-Benutzerhandbuch.

Wenn Sie eine starke Isolierung benötigen, können Sie Amazon ECS Managed Instances so konfigurieren, dass jede Aufgabe auf einer separaten Instance mit Sicherheits-Isolierungsgrenzen auf VM-Ebene ausgeführt wird.

Aufgabendefinitionen

Aufgaben, die Amazon ECS Managed Instances verwenden, unterstützen die meisten Amazon-ECS-Aufgabendefinitionsparameter. Amazon ECS Managed Instances ist mit bestehenden Fargate-Aufgabendefinitionen unter Verwendung der Plattformversion 1.4.0 kompatibel, was die Migration unkompliziert macht.

Um Amazon ECS Managed Instances zu verwenden, fügen Sie MANAGED_INSTANCES dem Aufgabendefinitionsparameter requiresCompatibilities hinzu. Ihre Aufgabendefinitionen können die Kompatibilität sowohl mit Fargate als auch mit Amazon ECS Managed Instances spezifizieren, um flexible Bereitstellungsoptionen zu gewährleisten.

Betriebssystem- und CPU-Architektur

Die folgenden Betriebssysteme werden unterstützt:

Bottlerocket

Für die Amazon-ECS-Aufgabendefinition stehen 2 Architekturen zur Verfügung, ARM und X86_64.

Wenn Sie Linux-Container auf Amazon ECS Managed Instances ausführen, können Sie die X86_64-CPU-Architektur oder die ARM64 Architektur für Ihre ARM-basierten Anwendungen verwenden.

Wichtige Features

Nachstehend sind einige der wichtigsten Features von Amazon ECS Managed Instances aufgelistet:

Wählen Sie spezifische EC2-Instance-Typen aus, die den Anforderungen Ihrer Anwendung entsprechen und den Zugriff auf spezielle Hardwarefunktionen wie GPU-beschleunigte Datenverarbeitung, spezifische CPU-Funktionen und große Speichergrößen ermöglichen.
Optimieren Sie die Ressourcennutzung und den Preis standardmäßig mit mehreren Aufgaben auf einer einzigen Instance, im Gegensatz zu Fargate, das jede Aufgabe in einer eigenen isolierten Umgebung ausführt.
Stellen Sie die Einhaltung der Sicherheitsbestimmungen und das regelmäßige Patchen von Instanzen sicher. ECS Managed Instances leitet das Instance Draining nach 14 Tagen ein und ersetzt servicebasierte Aufgaben automatisch durch neue Instanzen.
Aktivieren Sie erweiterte Netzwerk- und Systemverwaltungsfunktionen in Containern mit berechtigten Linux-Funktionen, einschließlich CAP_NET_ADMIN, CAP_SYS_ADMIN und CAP_BPF.

IAM-Rollen

Amazon ECS Managed Instances erfordert zwei IAM-Rollen:

Infrastrukturrolle: Diese Rolle ermöglicht es AWS , die Amazon ECS Managed Instances in Ihrem Namen zu verwalten.
Instance-Profil: Ein Instance-Profil ist eine Möglichkeit, eine IAM-Rolle an Amazon ECS Managed Instances zu übergeben. Dieses Profil wird verwendet, um:
- Die IAM-Berechtigungen für die Amazon ECS Managed Instances, die Ihre Container-Workloads ausführen, zu definieren.
- Erlauben AWS Sie, diese Instances in Ihrem Namen zu verwalten.
- Ermöglichen Sie den Instanzen den Zugriff auf AWS Dienste gemäß den im Profil definierten Berechtigungen.

Sicherheit und Compliance

Amazon ECS Managed Instances implementiert mehrere Sicherheitsebenen, um Ihre Workloads zu schützen:

Sichere Konfiguration — Amazon ECS Managed Instances folgen bewährten AWS Sicherheitsmethoden, darunter kein SSH-Zugriff, ein unveränderliches Root-Dateisystem und obligatorische Zugriffskontrollen auf Kernelebene über. SELinux
Automatisches Patchen — aktualisiert Amazon ECS Managed Instances AWS regelmäßig mit den neuesten Sicherheitspatches, wobei die von Ihnen konfigurierten Wartungsfenster eingehalten werden.
Begrenzte Instance-Lebensdauer — ECS leitet das Instance Draining automatisch nach 14 Tagen ein und stellt so sicher, dass Ihre Anwendungen auf entsprechend konfigurierten Instances mit up-to-date Sicherheitspatches ausgeführt werden.
Berechtigte Funktionen – Sie können optional berechtigte Linux-Funktionen für Workloads aktivieren, die sie benötigen, z. B. Netzwerküberwachungs- und Beobachtbarkeits-Lösungen.

Amazon ECS Managed Instances unterstützt dieselben Compliance-Programme wie Amazon ECS, einschließlich PCI-DSS, HIPAA und FedRAMP. In unterstützten Regionen berücksichtigt Amazon ECS Managed Instances Ihre FIPS-Endpunkteinstellungen auf Kontoebene, um die FedRAMP-Konformität zu gewährleisten.

Netzwerk

Amazon ECS Managed Instances unterstützt die Netzwerkmodi awsvpc und host. Der Netzwerkmodus awsvpc stellt jeder Aufgabe eine eigene Elastic-Network-Schnittstelle und eine private IP-Adresse innerhalb Ihrer VPC bereit. Dies ermöglicht differenzierte Sicherheitsgruppen- und Netzwerk-ACL-Steuerungen auf Aufgabenebene. Im Netzwerkmodus host teilen sich Aufgaben den Netzwerk-Namespace der Amazon ECS Managed Host-Instance. Weitere Informationen über Aufgabennetzwerke in Amazon ECS Managed Instances finden Sie unter Amazon-ECS-Aufgabenvernetzung für Amazon ECS Managed Instances.

Instance-Speicher

Amazon ECS Managed Instances unterstützt die Konfiguration der Größe des Amazon-EBS-Daten-Volumes, das an die Instance angehängt ist. Dieser Speicher wird von allen Aufgaben gemeinsam genutzt, die auf der Instance ausgeführt werden, und kann für Bind-Mounds verwendet werden. Das Volume kann unter Containern geteilt und eingebunden werden, die in der Aufgabendefinition die Parameter volumes, mountPoint und volumesFrom verwenden.

Das Volume wird bei der Instance angehängt. Sie können die Größe des Volumes in GiB angeben, wenn Sie mithilfe des Parameters storageConfiguration einen Kapazitätsanbieter für Amazon ECS Managed Instances erstellen.


{
...

    "managedInstancesProvider": {
        "infrastructureRoleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRole",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceProfile",
            "networkConfiguration": {
                "subnets": [
                    "subnet-abcdef01234567",
                    "subnet-bcdefa98765432"
                ],
                "securityGroups": [ 
                    "sg-0123456789abcdef"
                ]
            },
            "storageConfiguration": {
                "storageSizeinGiB" : 100

            }
        }
    }
 ... 
}

Die Mindestgröße dieses Volumes beträgt 30 GiB und die Maximalgröße beträgt 16 384 GiB. Die Standardgröße dieses Volumes beträgt 80 GiB.

Das abgerufene und komprimierte sowie das unkomprimierte Container-Image für die Aufgabe werden im Volume gespeichert. Um die Gesamtmenge an Instance-Speicher zu ermitteln, den Ihre Aufgabe als Bind-Mount benötigt, müssen Sie die Speichermenge, die das Container-Image verwendet, von der Ihrer Aufgabe zugeordneten Gesamtmenge an Instance-Speicher abziehen.

Die Leistung der Amazon-EBS-Volumes, die an Amazon ECS Managed Instances angehängt sind, entspricht der Leistung der entsprechenden Amazon-EC2-Instances, wie in der Dokumentation Amazon-EBS-optimierte Instances im Amazon-EC2-Benutzerhandbuch beschrieben.

Sie können Snapshots des Volumes erstellen, um eine forensische Analyse von Sicherheitsproblemen durchzuführen oder Ihre Anwendung zu debuggen. Weitere Informationen zum Erstellen eines Snapshots von Amazon-EBS-Volumes finden Sie unter Amazon-EBS-Snapshots im Amazon-EBS-Benutzerhandbuch. Wenn Sie die Amazon EBS-Verschlüsselung standardmäßig aktiviert haben, wird das Volume standardmäßig mit dem für die Verschlüsselung angegebenen AWS KMS Schlüssel verschlüsselt. Weitere Informationen finden Sie unter Amazon-EBS-Verschlüsselung standardmäßig aktivieren im Amazon-EBS-Benutzerhandbuch.

Sie können nicht nur das an die Instance angehängte Daten-Volume verwenden, sondern auch Daten-Volumes für jede Aufgabe konfigurieren, die in Amazon ECS Managed Instances ausgeführt wird. Weitere Informationen zu den verfügbaren Speicheroptionen auf Aufgabenebene finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.

Lokaler Speicher

Der Amazon EC2 EC2-Instance-Speicher bietet temporären Speicher auf Blockebene für Ihre Amazon EC2 EC2-Instances. Auf den vom Amazon EC2 EC2-Instance-Speicher bereitgestellten Speicher kann über Festplatten zugegriffen werden, die physisch an die Hosts angeschlossen sind. Sie können Amazon ECS Managed Instances so konfigurieren, dass der Instance-Speicher als Datenvolumen für Aufgaben verwendet wird, die auf der Container-Instance ausgeführt werden. Wenn Sie lokalen Speicher aktivieren und die Instance über Instance-Speicher-Volumes verfügt, verwendet Amazon ECS die Instance-Speicher-Volumes, anstatt ein Amazon EBS-Datenvolume bereitzustellen. Dadurch können die Speicherkosten gesenkt und die I/O Leistung für latenzempfindliche Workloads verbessert werden. Für die Nutzung von Instance-Speicher-Volumes mit Amazon ECS Managed Instances fallen keine zusätzlichen Gebühren an.

Wenn eine Instance über mehrere Instance-Speicher-Volumes verfügt, kombiniert Amazon ECS diese automatisch zu einem einzigen RAID 0-Volume und präsentiert es als zusammenhängenden Speicher für Aufgaben. Wenn eine Instance keine Instance-Speicher-Volumes hat oder wenn der lokale Speicher deaktiviert ist, stellt Amazon ECS ein Amazon EBS-Datenvolume mit der unter angegebenen Größe bereit. storageSizeGiB Instance-Speicher-Volumes sind kurzlebig. Daten auf Instance-Speicher-Volumes gehen verloren, wenn die Instance gestoppt oder beendet wird oder wenn die Hardware ausfällt. Verwenden Sie den Instance-Speicher nicht für Daten, die dauerhaft gespeichert werden müssen.

Um lokalen Speicher zu aktivieren, erstellen Sie einen neuen Kapazitätsanbieter mit dem localStorageConfiguration Parameter und setzen Sie ihn useLocalStorage auftrue. Sie können den instanceRequirements Parameter auch verwenden, um sicherzustellen, dass bereitgestellte Instanzen lokalen Speicher einer bestimmten Größe enthalten.

Anmerkung

Wenn Sie einen Cluster mit dem erstellen AWS-Managementkonsole, beinhaltet der von Amazon ECS erstellte Standardkapazitätsanbieter für verwaltete Instances nichtlocalStorageConfiguration.

Das folgende Beispiel zeigt eine Kapazitätsanbieterkonfiguration mit aktiviertem lokalem Speicher und Instanzanforderungen, die einen SSD-basierten Instanzspeicher mit mindestens 50 GiB angeben.


{
...
    "managedInstancesProvider": {
        "infrastructureRoleArn": "arn:aws:iam::123456789012:role/ecsInfrastructureRole",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceProfile",
            "networkConfiguration": {
                "subnets": [
                    "subnet-abcdef01234567",
                    "subnet-bcdefa98765432"
                ],
                "securityGroups": [
                    "sg-0123456789abcdef"
                ]
            },
            "storageConfiguration": {
                "storageSizeGiB": 50
            },
            "localStorageConfiguration": {
                "useLocalStorage": true
            },
            "instanceRequirements": {
                "localStorage": "REQUIRED",
                "totalLocalStorageGB": {
                    "Min": 50
                },
                "localStorageTypes": ["ssd"]
            }
        }
    }
}

Wenn Sie die instanceRequirements Konfiguration weglassen, ist Amazon ECS standardmäßig auflocalStorage. INCLUDED In diesem Fall berücksichtigt Amazon ECS sowohl Instances mit als auch ohne Instance-Speicher-Volumes für die Bereitstellung. Instances mit Instance-Speicher-Volumes verwenden einen Instance-Speicher für das Datenvolumen, während Instances ohne Instance-Speicher-Volumes ein Amazon EBS-Datenvolume verwenden. Wenn nicht totalLocalStorageGB angegeben, verwendet Amazon ECS den gesamten verfügbaren Instance-Speicher, ohne dass eine Mindestgröße vorgeschrieben ist.

Der storageSizeGiB Wert in storageConfiguration definiert nur die Größe des Amazon EBS-Datenvolumens und wird verwendet, wenn Instance-Speicher nicht verfügbar ist. Der totalLocalStorageGB Wert in instanceRequirements steuert die minimale Instance-Speichergröße, die für bereitgestellte Instances erforderlich ist. Um sicherzustellen, dass alle Instanzen lokalen Speicher verwenden, legen Sie den Wert localStorage auf fest REQUIRED und geben Sie eine Mindestgröße an, indem totalLocalStorageGB Sie.

Um zu überprüfen, ob eine bestimmte bereitgestellte Container-Instance lokalen Speicher verwendet, suchen Sie nach dem ecs.capability.storage.local-storage-enabled Attribut auf der Container-Instance.

Service-Load Balancing

Ihre Amazon-ECS-Services, die Amazon ECS Managed Instances verwenden, können zur Verwendung von Elastic Load Balancing konfiguriert werden, um Datenverkehr gleichmäßig auf die Aufgaben in Ihrem Service zu verteilen.

Amazon-ECS-Services in Amazon ECS Managed Instances unterstützen die Load-Balancer-Typen Application Load Balancer, Network Load Balancer und Gateway Load Balancer. Application Load Balancer leiten den Datenverkehr HTTP/HTTPS (Schicht 7) weiter, während Network Load Balancer den TCP- oder UDP-Verkehr (Schicht 4) weiterleiten.

Wenn Sie eine Zielgruppe für diese Services erstellen, müssen Sie zudem ip als Zieltyp auswählen, und nicht instance. Das liegt daran, dass Aufgaben, die den Netzwerkmodus awsvpc verwenden, mit einer Elastic-Network-Schnittstelle verknüpft sind, und nicht mit einer Amazon-EC2-Instance.

Überwachung und Beobachtbarkeit

Amazon ECS Managed Instances bietet umfassende Überwachungsfunktionen durch CloudWatch Metriken und die Integration mit Observability-Tools:

CloudWatch Metriken — Überwachen Sie die CPU-, Arbeitsspeicher-, Netzwerk- und Speicherauslastung sowohl auf Aufgaben- als auch auf Instance-Ebene.
Container Insights – Erhalten Sie detaillierte Leistungsmetriken und -protokolle für Ihre containerisierten Anwendungen.
Integrationen von Drittanbietern – Wenn berechtigte Funktionen aktiviert sind, können Sie erweiterte Überwachungs- und Beobachtbarkeitslösungen ausführen, für die erhöhte Linux-Berechtigungen erforderlich sind.

Preise und Kostenoptimierung

Mit Amazon ECS Managed Instances wird Ihnen die gesamte Amazon-EC2-Instance in Rechnung gestellt, die Ihre Aufgaben ausführt. Die Preisgestaltung hängt von den Instance-Typen ab, die Sie für Ihre Workloads ausgewählt haben.

Amazon ECS Managed Instances bietet mehrere Features zur Kostenoptimierung:

Optimierung für mehrere Aufgaben – Maximieren Sie die Instance-Nutzung, indem Sie mehrere Aufgaben auf Instances mit entsprechender Größe ausführen.

Ihre Compute und Instance Savings Plans gelten auch für Workloads mit Amazon ECS Managed Instances.

Servicekontingente

Workloads mit Amazon ECS Managed Instances unterliegen Ihren Service Quotas für Amazon-EC2-On-Demand-Instances. Ihre Amazon-ECS-Services, die Amazon ECS Managed Instances verwenden, unterliegen den Service Quotas für Amazon ECS.

Weitere Informationen über Service Quotas finden Sie unter:

Amazon-EC2-Endpunkte und -Quotas in der Allgemeine Amazon Web Services-Referenz
Amazon-ECS-Service-Kontingente

Überlegungen zur Migration

Die Migration zu Amazon ECS Managed Instances ist für die meisten Workloads unkompliziert:

Aus Fargate – Erfordert nur eine Änderung der Konfiguration und eine erneute Bereitstellung des Kapazitätsanbieters. Bestehende Aufgabendefinitionen mit Plattformversion 1.4.0 sind vollständig kompatibel.
Aus EC2 – Ähnlich wie bei der Migration zu Fargate, Sie behalten jedoch weiterhin Zugriff auf Amazon-EC2-Funktionen wie bestimmte Instance-Typen.

Beachten Sie bei der Planung Ihre Migration Folgendes:

Anwendungen sollten die 14-tägige Instanzlebensdauer und die geplanten Wartungsfenster tolerieren.
Aufgaben mit langer Laufzeit (länger als 14 Tage) sind für Amazon ECS Managed Instances nicht geeignet.
Benutzerdefiniert AMIs werden nicht unterstützt — Amazon ECS Managed Instances verwenden AWS verwaltete, AMIs sicherheitsoptimierte Instances.

Einschränkungen und Überlegungen

Die folgenden Einschränkungen gelten für Amazon ECS Managed Instances:

Benutzerdefiniert AMIs — Das AMI gehört und wird verwaltet von AWS
Instance-Lebensdauer – Maximale Laufzeit von 14 Tagen pro Instance, um Sicherheits-Patches und Compliance zu gewährleisten.
SSH-Zugriff – Aus Sicherheitsgründen nicht verfügbar. Verwenden Sie Amazon ECS Exec für Debugging und Fehlerbehebung. Verwaltungsvorgänge APIs nur über Amazon ECS.

Organisatorische Kontrollen

Einige Organisationskontrollen können verhindern, dass Amazon ECS Managed Instances ordnungsgemäß funktionieren. Falls ja, müssen Sie diese Kontrollen aktualisieren, damit Amazon ECS über die erforderlichen Berechtigungen verfügt, um EC2-Instances in Ihrem Namen zu verwalten.

Amazon ECS verwendet eine Infrastrukturrolle für den Start der EC2-Instances, die Amazon ECS Managed Instances unterstützen. Diese Infrastrukturrolle ist eine IAM-Rolle, die in Ihrem Konto erstellt wird und es Amazon ECS ermöglicht, die Amazon ECS Managed Instances in Ihrem Namen zu verwalten. Die Service Control-Richtlinien (SCPs) gelten immer für Aktionen, die mit Infrastrukturrollen ausgeführt werden. Dadurch kann ein SCP den Betrieb von Amazon ECS Managed Instances unterbinden. Am häufigsten kommt es vor, wenn ein SCP verwendet wird, um die Amazon Machine Images (AMIs) einzuschränken, die gestartet werden können. Damit Amazon ECS Managed Instances funktionieren, ändern Sie den SCP so, dass der Start AMIs von Amazon ECS Managed Instances AMI-Konten aus möglich ist.

Sie können auch die AMIs Funktion EC2 Allowed verwenden, um die Sichtbarkeit von AMIs in anderen Konten einzuschränken. Wenn Sie diese Funktion verwenden, müssen Sie die Image-Kriterien erweitern, um auch die AMI-Konten für Amazon ECS Managed Instances in den gewünschten Regionen einzubeziehen.

Beispiel SCP zum Blockieren aller Instances AMIs außer Amazon ECS Managed Instances AMIs

Der unten stehende SCP verhindert Anrufe, ec2:RunInstances es sei denn, das AMI gehört zum AMI-Konto für Amazon ECS Managed Instances für us-west-2 oder us-east-1.

Anmerkung

Es ist wichtig, den Kontextschlüssel nicht zu verwenden. ec2:Owner Amazon besitzt die AMI-Konten für Amazon ECS Managed Instances, und der Wert für diesen Schlüssel wird immer seinamazon. Aufbau eines SCP, das den Start ermöglicht, AMIs sofern das ec2:Owner IS amazon den Start aller Amazon-eigenen AMI ermöglicht, nicht nur solcher für Amazon ECS Managed Instances.


{
  "Version":"2012-10-17",                                
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "187296253231",
            "260073348889"
          ]
        }
      }
    }
  ]
}

AMI-Konten für Amazon ECS Managed Instances

AWS Konten, die je nach Region variieren, hosten Amazon ECS Managed Instances öffentlich AMIs.

AWS Region	Account
af-south-1	070957084703
ap-east-1	587573215167
ap-northeast-1	679336465495
ap-northeast-2	309903600357
ap-northeast-3	384570461223
ap-south-1	062344138989
ap-south-2	624198668379
ap-southeast-1	832199679391
ap-southeast-2	552073033681
ap-southeast-3	368903466070
ap-southeast-4	696793786439
ap-southeast-5	003457290689
ap-southeast-6	465836752572
ap-southeast-7	622515864387
ca-central-1	853167153192
ca-west-1	899469777611
eu-central-1	832570432258
eu-central-2	041659148495
eu-north-1	851563870067
eu-south-1	766433696616
eu-south-2	003380494496
eu-west-1	986619735082
eu-west-2	591706807364
eu-west-3	108582616801
il-central-1	009537862704
me-central-1	540883425316
me-south-1	181438624895
mx-central-1	210749644920
sa-east-1	591338347621
us-east-1	260073348889
us-east-2	292185169523
us-west-1	187296253231
us-west-2	491085424538

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Rollen für Amazon ECS

Instance-Typen von Amazon ECS Managed Instances