Modell der geteilten Verantwortung für Amazon ECS Managed Instances - Amazon Elastic Container Service
AWS VerantwortlichkeitenPflichten des Kunden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Modell der geteilten Verantwortung für Amazon ECS Managed Instances

Amazon ECS Managed Instances bietet eine verwaltete Lösung für containerisierte Workloads, die die einfache Bedienung von Fargate mit dem Zugriff auf die gesamte Palette von EC2 Amazon-Instance-Typen und -Funktionen kombiniert. AWS kümmert sich um die Bereitstellung, das Patchen, die Skalierung und die Wartung der Infrastruktur, während die Kunden die Kontrolle über ihre Anwendungen und spezifischen Konfigurationen behalten.

Im Gegensatz zu Fargate teilen sich Container-Workloads, die in Amazon ECS Managed Instances ausgeführt werden, das Betriebssystem, den Linux-Kernel, die Netzwerkschnittstelle, den flüchtigen Speicher, die CPU, den Arbeitsspeicher und die GPU-Ressourcen mit anderen Aufgaben auf derselben Instance. Amazon ECS optimiert die Infrastrukturnutzung, indem mehrere Aufgaben auf größere Instances verteilt werden, um ungenutzte Kapazitäten zu minimieren.

AWS Verantwortlichkeiten

AWS Ist bei der Verwendung von Amazon ECS Managed Instances verantwortlich für:

  • Instance-Bereitstellung und Lebenszyklusverwaltung

  • Betriebssystem-Patching und Sicherheitsupdates

  • Skalierung und Optimierung der Infrastruktur

  • Austausch und Wartung von Instances (maximale Instance-Lebensdauer von 21 Tagen)

  • Einschränkungen der Zugriffskontrolle (kein SSH-Zugriff, kein SSM-Zugriff auf Session Manager)

  • Amazon EC2 Instance Storage-Verschlüsselung, d. h. Speicher, der direkt mit der Instance verbunden ist. Weitere Informationen finden Sie unter Datenschutz bei Amazon EC2.

  • Amazon ECS verwaltet die Volumes, die EC2 Amazon-Instances zum Zeitpunkt der Erstellung zugewiesen sind, einschließlich Stamm- und Datenvolumes.

  • Amazon ECS verwendet von Amazon EC2 verwaltete Instances under-the-hood. Weitere Informationen zu von Amazon EC2 verwalteten Instances finden Sie unter Sicherheit in Amazon EC2.

Pflichten des Kunden

Sie sind für die Verwaltung der folgenden Ressourcen verantwortlich:

  • Netzwerkkonfiguration einschließlich VPC NACLs, Sicherheitsgruppen und Routing-Tabellen

  • Verschlüsselung des Client- und Service-Speichers. Weitere Informationen finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.

  • Container-Images. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon-ECS-Aufgaben und -Container.

  • IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter Aufgaben-IAM-Rolle für Amazon ECS.

  • Konfiguration und Überwachung auf Anwendungsebene

  • Aufgaben- und Servicedefinitionen

  • Sicherheitsüberlegungen für Workloads, bei denen die zugrunde liegenden Instance-Ressourcen gemeinsam genutzt werden

  • Privilegierte Container-Konfigurationen und erweiterte Linux-Funktionen (CAP_NET_ADMIN, CAP_BPF usw.), sofern aktiviert

  • Verwaltungsvorgänge über die Amazon-ECS-API (direkter Instance-Zugriff über SSH oder SSM ist nicht verfügbar)