AWS Modell der gemeinsamen Verantwortung für Amazon ECS

Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Dieses gemeinsame Modell kann dazu beitragen, den Kunden beim AWS Betrieb, der Verwaltung und der Kontrolle der Komponenten vom Host-Betriebssystem über die Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, zu entlasten. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches) und andere damit verbundene Anwendungssoftware sowie die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Verantwortlichkeit von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängt. Diese geteilte Verantwortung bietet auch die nötige Flexibilität und Kundenkontrolle für eine Bereitstellung.

Fargate

Die folgende Abbildung zeigt das Modell der geteilten Verantwortung für den Fargate-Starttyp. Fargate führt jeden Workload in einer isolierten Hardware-Virtualisierungsumgebung aus. Dadurch erhält jede Aufgabe eine eigene Infrastrukturkapazität. Container-Workloads, die in Fargate ausgeführt werden, teilen sich kein Betriebssystem, keinen Linux-Kernel, keine Netzwerkschnittstelle, keinen flüchtigen Speicher, keine CPU oder keinen Arbeitsspeicher mit anderen Aufgaben. Bei der Verwendung von Fargate sind Kunden nicht für die Sicherung der Recheninfrastruktur verantwortlich, auf der ihre Container ausgeführt werden. Fargate kümmert sich um die Bereitstellung und Wartung der Infrastruktur, auf der die Workloads der Kunden ausgeführt werden. Weitere Informationen finden Sie unter Außerbetriebnahme und Wartung von Aufgaben für AWS Fargate auf Amazon ECS .

Sie sind für die Verwaltung der folgenden Ressourcen verantwortlich:

Netzwerkkonfiguration einschließlich VPC NACLs, Sicherheitsgruppen und Routing-Tabellen
Verschlüsselung des Client- und Service-Speichers. Weitere Informationen finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.
Container-Images. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon-ECS-Aufgaben und -Container.
IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter Aufgaben-IAM-Rolle für Amazon ECS.

Diagramm, das das Modell der geteilten Verantwortung für Fargate in Amazon ECS zeigt.

EC2

Die folgende Abbildung zeigt die gemeinsame Verantwortung für EC2. Wenn Sie Aufgaben auf EC2 Instances ausführen, sind Sie zusätzlich zu den folgenden Ressourcen für die Wartung Ihrer EC2 Instances verantwortlich:

Der Amazon-ECS-Agent.
• Das EC2 Instanz-AMI, einschließlich Patchen und Härten.
Netzwerkkonfiguration einschließlich VPC NACLs, Sicherheitsgruppen und Routing-Tabellen.
Verschlüsselung des Client- und Service-Speichers. Weitere Informationen finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.
Container-Images. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon-ECS-Aufgaben und -Container.
IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter Aufgaben-IAM-Rolle für Amazon ECS.

Diagramm, das das Modell der gemeinsamen Verantwortung für EC2 auf Amazon ECS zeigt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Geteilte Verantwortung für Amazon ECS Managed Instances