投稿日: Mar 15, 2021
Amazon Elastic Container Service (Amazon ECS) が、Amazon ECS Exec を導入しました。これは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは AWS Fargate で実行されているコンテナでコマンドを実行するためのシンプルで安全な監査可能な方法です。ECS Exec を使用すると、実行中のコンテナへのインタラクティブなシェルまたは単一コマンドによるアクセスが可能になり、問題のデバッグ、エラーの診断、1 回限りのダンプと統計の収集、コンテナ内のプロセスとのやり取りが簡単になります。
ECS Exec では、ホストインスタンスとやり取りしたり、インバウンドポートを開いたり、SSH キーを管理したりすることなく、実行中のコンテナと直接やり取りができるため、コンテナインスタンスのセキュリティ体制が向上します。この機能を ECS タスクやサービスなどのきめ細かいレベルで有効にして、より厳密なセキュリティを維持するのに役立てることができます。AWS Identity and Access Management (IAM) ポリシーを使用すると、きめ細かいポリシーを作成して、クラスター、タスク、コンテナに対してコマンドを実行できるユーザーを制御することができます。アクセスが提供されると、AWS CloudTrail を使用してコンテナにアクセスしたユーザーを監査し、Amazon Simple Storage Service (Amazon S3) または Amazon CloudWatch Logs に出力して各コマンドをログに記録することができます。これにより、ECS ユーザーは、開発中に発生したバグやシステムの問題を安全にトラブルシューティングでき、コンテナ化されたアプリケーションの本番環境でのブレークグラス手順のデバッグツールを利用できます。
Amazon ECS Exec は、すべての公開されている AWS リージョンで追加費用なしで利用できるようになりました。この機能は、Container Agent バージョン 1.50.2 および Fargate Platform バージョン 1.4.0 or 以降の ECS Optimized AMI でサポートされています。API、AWS コマンドラインインターフェイス (CLI)、AWS SDK、または AWS Copilot CLI から ECS Exec を使用して、実行中の Linux コンテナでコマンドを実行する方法については、ドキュメントページ にアクセスするか、ブログ投稿をご覧ください。