本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AMS SSP 在你的 AMS 账户 AWS Fargate 中配置 Amazon ECS
<a name="amz-ecs-fargate"></a>

使用 AMS 自助服务配置 (SSP) 模式，直接在您的 AMS 托管账户中通过 AWS Fargate 功能访问 Amazon ECS。 AWS Fargate 是一种可以与 Amazon ECS 配合使用的技术，无需管理 Amazon EC2 实例的服务器或集群即可运行[容器（参见上](https://aws.amazon.com/what-are-containers)面的容器 AWS）。使用 AWS Fargate，您无需再预置、配置或扩展虚拟机集群来运行容器。这样一来，您就无需再选择服务器类型、确定扩展集群的时间和优化集群打包。

要了解更多信息，请参阅上的 [Amazon ECS AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)。

## AWS Managed Services 常见问题解答中的 Fargate 上的 Amazon ECS
<a name="set-amz-ecs-fargate-faqs"></a>

**问：如何使用我的 AMS 账户请求访问 Fargate 上的 Amazon ECS？**

使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC，请求访问 Fargate 上的 Amazon ECS。此 RFC 将以下 IAM 角色配置到您的账户：`customer_ecs_fargate_console_role`（如果没有提供 ECS 策略与 ECS 策略关联的现有 IAM 角色）`customer_ecs_fargate_events_service_role`、`customer_ecs_task_execution_service_role`、`customer_ecs_codedeploy_service_role`、和`AWSServiceRoleForApplicationAutoScaling_ECSService`。在您的账户中配置角色后，您必须在联合解决方案中加入角色。

**问：使用我的 AMS 账户在 Fargate 上使用 Amazon ECS 有哪些限制？**
+ Amazon ECS 任务监控和日志记录被视为您的责任，因为容器级别的活动发生在虚拟机管理程序之上，并且日志记录功能受到 Fargate 上的 Amazon ECS 的限制。作为 Fargate 上的 Amazon ECS 用户，我们建议您采取必要步骤启用对您的 Amazon ECS 任务的登录功能。有关更多信息，请参阅为容器[启用 awslogs 日志驱动程序。](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs)
+ 容器级别的安全和恶意软件保护也被视为您的责任。Fargate 上的 Amazon ECS 不包括趋势科技或预配置的网络安全组件。
+ 此服务适用于多账号着陆区和单账号着陆区 AMS 账户。
+ 由于创建 Route 53 私有托管区域需要更高的权限，因此默认情况下，自行配置角色限制了 Amazon ECS [服务发现](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。要在服务上启用服务发现，请提交 “管理” \$1 “其他” \$1 “其他” \$1 “更新” 更改类型。要提供为您的 Amazon ECS 服务启用服务发现所需的信息，请参阅[服务发现手册](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。
+ AMS 目前不管理或限制用于在 Amazon ECS Fargate 上部署到容器的映像。您将能够部署来自 Amazon ECR、Docker Hub 或任何其他私有镜像存储库的镜像。因此，我们建议不要部署公共镜像或任何不安全的镜像，因为它们可能会导致账户出现恶意活动。

**问：在我的 AMS 账户中在 Fargate 上使用 Amazon ECS 有哪些先决条件或依赖关系？**
+ 以下是 Amazon ECS 对 Fargate 的依赖关系；但是，使用您的自配置角色启用这些服务无需执行任何其他操作：
  + CloudWatch 日志
  + CloudWatch 事件
  + CloudWatch 警报
  + CodeDeploy
  + App Mesh
  + Cloud Map
  + Route 53
+ 根据您的使用案例，以下是 Amazon ECS 所依赖的资源，并且在您的账户中使用 Fargate 上的 Amazon ECS 之前可能需要的资源：
  + 要与 Amazon ECS 服务配合使用的安全组。您可以使用部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (auto) (ct-3pc215bnwb6p7)，或者，如果您的安全组需要特殊规则，请使用部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建（托管自动化）(ct-1oxx2g2g2d7hc90)。注意：您在 Amazon ECS 上选择的安全组必须专门为 Amazon ECS 服务或集群所在的 Amazon ECS 创建。您可以在 “使用 [Amazon ECS 进行设置” 和 “亚马逊](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html)[弹性容器服务中的安全” 的 “安全](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)**组**” 部分了解更多信息。
  + 应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB)、用于任务间负载平衡的经典负载均衡器 (ELB)。
  + 的目标群体 ALBs.
  + 用于与 Amazon ECS 集群集成的应用程序网格资源（例如虚拟路由器、虚拟服务、虚拟节点）。
+ 目前，在标准 AMS 变更类型之外创建时，AMS 无法自动降低与支持安全组权限相关的风险。我们建议您申请一个用于您的 Fargate 集群的特定安全组，以限制使用未指定用于 Amazon ECS 的安全组的可能性。