AWS shared responsibility model for Amazon ECS
Los asuntos relacionados con la seguridad y la conformidad son una responsabilidad compartida entre AWS y el cliente. Este modelo compartido puede ayudar a aliviar la carga operativa del cliente, ya que AWS opera, administra y controla los componentes, desde el sistema operativo host y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Por otra parte, el cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), de otros softwares de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS. Los clientes deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios que utilicen, la integración de estos en su entorno de TI, y la legislación y los reglamentos aplicables. La naturaleza de esta responsabilidad compartida también ofrece la flexibilidad y la posibilidad de que el cliente pueda controlar la implementación.
Tipo de lanzamiento de Fargate
En la siguiente ilustración se muestra el modelo de responsabilidad compartida para el tipo de lanzamiento de Fargate. Fargate ejecuta cada carga de trabajo en un entorno virtualizado de hardware aislado. Como resultado, cada tarea tiene capacidad de infraestructura exclusiva. Las cargas de trabajo en contenedores que se ejecutan en Fargate no comparten sistema operativo, kernel de Linux, interfaz de red, almacenamiento efímero, CPU ni memoria con otras tareas. Cuando se usa Fargate, los clientes no son responsables de proteger la infraestructura informática en la que se ejecutan sus contenedores. Fargate proporcionará y reparará la infraestructura en la que se ejecutan las cargas de trabajo de los clientes. Para obtener más información, consulte Retirada y mantenimiento de tareas para AWS Fargate en Amazon ECS .
Usted es responsable de administrar los siguientes recursos:
-
La configuración de red, que incluye la VPC, las NACL, los grupos de seguridad y las tablas de enrutamiento.
-
Cifrado de almacenamiento de clientes y servicios. Para obtener más información, consulte Opciones de almacenamiento para las tareas de Amazon ECS.
-
Imágenes de contenedor. Para obtener más información, consulte Prácticas recomendadas de seguridad para las tareas y contenedores de Amazon ECS.
-
Permisos de IAM para las aplicaciones mediante el rol de tareas. Para obtener más información, consulte Rol de IAM de tarea de Amazon ECS.
Tipo de lanzamiento de EC2
En la siguiente ilustración se muestra el modelo de responsabilidad compartida para el tipo de lanzamiento de EC2. Cuando se ejecutan tareas en instancias de EC2, usted es el responsable del mantenimiento de las instancias de EC2, además de los siguientes recursos:
-
El agente de Amazon ECS.
-
La AMI de la instancia de EC2, que incluye la reparación y el endurecimiento.
-
La configuración de red, que incluye la VPC, las NACL, los grupos de seguridad y las tablas de enrutamiento.
-
Cifrado de almacenamiento de clientes y servicios. Para obtener más información, consulte Opciones de almacenamiento para las tareas de Amazon ECS.
-
Imágenes de contenedor. Para obtener más información, consulte Prácticas recomendadas de seguridad para las tareas y contenedores de Amazon ECS.
-
Permisos de IAM para las aplicaciones mediante el rol de tareas. Para obtener más información, consulte Rol de IAM de tarea de Amazon ECS.
