AWS Modell der gemeinsamen Verantwortung für Amazon ECS

Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Dieses gemeinsame Modell kann dazu beitragen, den Kunden beim AWS Betrieb, der Verwaltung und der Kontrolle der Komponenten vom Host-Betriebssystem über die Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, zu entlasten. Der Kunde übernimmt die Verantwortung und Verwaltung des Gastbetriebssystems (einschließlich Updates und Sicherheitspatches), anderer zugehöriger Anwendungssoftware sowie der Konfiguration der AWS bereitgestellten Sicherheitsgruppen-Firewall. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Verantwortlichkeit von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängt. Diese geteilte Verantwortung bietet auch die nötige Flexibilität und Kundenkontrolle für eine Bereitstellung.

Fargate Starttyp

Die folgende Abbildung zeigt das Modell der gemeinsamen Verantwortung für den Starttyp Fargate. Fargate führt jeden Workload in einer isolierten virtualisierten Hardware-Umgebung aus. Dadurch erhält jede Aufgabe eine eigene Infrastrukturkapazität. Container-Workloads, die auf Fargate ausgeführt werden, teilen sich kein Betriebssystem, keinen Linux-Kernel, keine Netzwerkschnittstelle, keinen kurzlebigen Speicher, keine CPU oder keinen Arbeitsspeicher mit anderen Aufgaben. Bei der Verwendung von Fargate sind Kunden nicht für die Sicherung der Recheninfrastruktur verantwortlich, auf der ihre Container laufen. Fargate wird die Infrastruktur bereitstellen und patchen, auf der die Workloads der Kunden ausgeführt werden. Weitere Informationen finden Sie unter Außerbetriebnahme und Wartung von Aufgaben für AWS Fargate auf Amazon ECS .

Sie sind für die Verwaltung der folgenden Ressourcen verantwortlich:

Netzwerkkonfiguration einschließlich VPC NACLs, Sicherheitsgruppen und Routing-Tabellen
Verschlüsselung des Client- und Service-Speichers. Weitere Informationen finden Sie unter Speicheroptionen für Amazon ECS-Aufgaben.
Container-Bilder. Weitere Informationen finden Sie unter Bewährte Methoden zur Aufgaben- und Containersicherheit von Amazon ECS.
IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter IAM-Rolle für Amazon ECS-Aufgaben.

Diagramm, das das Modell der gemeinsamen Verantwortung für Fargate auf Amazon ECS zeigt.

EC2 Art des Starts

Die folgende Abbildung zeigt die gemeinsame Verantwortung für den EC2 Starttyp. Wenn Sie Aufgaben auf EC2 Instances ausführen, sind Sie zusätzlich zu den folgenden Ressourcen für die Wartung Ihrer EC2 Instances verantwortlich:

Der Amazon ECS-Agent.
• Das EC2 Instanz-AMI, einschließlich Patchen und Härten.
Netzwerkkonfiguration einschließlich VPC NACLs, Sicherheitsgruppen und Routing-Tabellen.
Client- und Service-Speicherverschlüsselung. Weitere Informationen finden Sie unter Speicheroptionen für Amazon ECS-Aufgaben.
Container-Bilder. Weitere Informationen finden Sie unter Bewährte Methoden zur Aufgaben- und Containersicherheit von Amazon ECS.
IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter IAM-Rolle für Amazon ECS-Aufgaben.

Diagramm, das das Modell der gemeinsamen Verantwortung für EC2 auf Amazon ECS zeigt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Bewährte Methoden zur Netzwerksicherheit