本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AMS SSP 在 AMS 帳戶中的 AWS Fargate 上佈建 Amazon ECS
<a name="amz-ecs-fargate"></a>

使用 AMS 自助式佈建 (SSP) 模式直接在 AMS 受管帳戶中存取 Amazon ECS on AWS Fargate 功能。 AWS Fargate 是一項技術，您可以搭配 Amazon ECS 使用來執行容器 （請參閱 [上的容器 AWS](https://aws.amazon.com/what-are-containers))，而無需管理 Amazon EC2 執行個體的伺服器或叢集。使用 AWS Fargate，您不再需要佈建、設定或擴展虛擬機器叢集來執行容器。這樣一來即無須選擇伺服器類型、決定何時擴展叢集，或最佳化叢集壓縮。

若要進一步了解，請參閱 [上的 Amazon ECS AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)。

## AWS Managed Services 常見問答集中的 Fargate 上的 Amazon ECS
<a name="set-amz-ecs-fargate-faqs"></a>

**問：如何在 AMS 帳戶中請求存取 Fargate 上的 Amazon ECS？**

透過使用 Management \$1 AWS service \$1 Self-visioned service \$1 Add (ct-1w8z66n899dct) 變更類型提交 RFC，請求存取 Fargate 上的 Amazon ECS。此 RFC 會將下列 IAM 角色佈建至您的帳戶： `customer_ecs_fargate_console_role`（如果沒有提供現有 IAM 角色將 ECS 政策與 建立關聯）`customer_ecs_fargate_events_service_role`、、`customer_ecs_task_execution_service_role`、 `customer_ecs_codedeploy_service_role`和 `AWSServiceRoleForApplicationAutoScaling_ECSService`。在帳戶中佈建後，您必須在聯合解決方案中加入角色。

**問：在我的 AMS 帳戶中使用 Fargate 上的 Amazon ECS 有哪些限制？**
+ Amazon ECS 任務監控和記錄會被視為您的責任，因為容器層級活動發生在 Hypervisor 上方，而記錄功能受到 Fargate 上的 Amazon ECS 限制。身為 Fargate 上的 Amazon ECS 使用者，我們建議您採取必要步驟來啟用 Amazon ECS 任務的記錄。如需詳細資訊，請參閱[為您的容器啟用 awslogs 日誌驅動程式](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs)。
+ 容器層級的安全和惡意軟體保護也被視為您的責任。Fargate 上的 Amazon ECS 不包含 Trend Micro 或預先設定的網路安全元件。
+ 此服務適用於多帳戶登陸區域和單一帳戶登陸區域 AMS 帳戶。
+ 根據預設，自我佈建角色中的 Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) 會受到限制，因為建立 Route 53 私有託管區域需要更高的許可。若要在服務上啟用服務探索，請提交管理 \$1 其他 \$1 其他 \$1 更新變更類型。若要提供為 Amazon ECS Service 啟用服務探索所需的資訊，請參閱[服務探索手冊](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。
+ AMS 目前不會管理或限制用於在 Amazon ECS Fargate 上部署至容器的映像。您將能夠從 Amazon ECR、Docker Hub 或任何其他私有映像儲存庫部署映像。因此，我們建議不要部署公有或任何不安全的影像，因為它們可能會在帳戶上產生惡意活動。

**問：在我的 AMS 帳戶中在 Fargate 上使用 Amazon ECS 的先決條件或相依性是什麼？**
+ 以下是 Fargate 上 Amazon ECS 的相依性；不過，使用自行佈建的角色啟用這些服務不需要其他動作：
  + CloudWatch 日誌
  + CloudWatch 活動
  + CloudWatch 警示
  + CodeDeploy
  + App Mesh
  + 雲端地圖
  + Route 53
+ 根據您的使用案例，以下是 Amazon ECS 所依賴的資源，在帳戶中使用 Fargate 上的 Amazon ECS 之前可能需要的資源：
  + 要與 Amazon ECS 服務搭配使用的安全群組。您可以使用部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 （自動） (ct-3pc215bnwb6p7)，或者，如果您的安全群組需要特殊規則，請使用部署 \$1 進階堆疊元件 \$1 安全群組 \$1 建立 （受管自動化） (ct-1oxx2g2d7hc90)。注意：您使用 Amazon ECS 選取的安全群組必須專門為 Amazon ECS 服務或叢集所在的 Amazon ECS 建立。您可以在 ****[Amazon Elastic Container Service 中的設定 Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) 和安全性一節中進一步了解。 [https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)
  + 應用程式負載平衡器 (ALB)、網路負載平衡器 (NLB)、傳統負載平衡器 (ELB)，用於任務之間的負載平衡。
  + ALBs 的目標群組。
  + 要與您的 Amazon ECS 叢集整合的應用程式網格資源 （例如 Virtual Router、Virtual Services、Virtual Nodes)。
+ 目前，在標準 AMS 變更類型之外建立時，AMS 無法自動降低與支援安全群組許可相關的風險。我們建議您請求特定安全群組以搭配 Fargate 叢集使用，以限制使用未指定用於 Amazon ECS 的安全群組的可能性。