Modèle de responsabilité partagée pour les instances gérées Amazon ECS - Amazon Elastic Container Service
AWS responsabilitésResponsabilités client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modèle de responsabilité partagée pour les instances gérées Amazon ECS

Amazon ECS Managed Instances fournit une solution gérée pour les charges de travail conteneurisées qui associe la simplicité opérationnelle de Fargate à l'accès à la gamme complète des types et fonctionnalités d'instances Amazon. EC2 AWS gère le provisionnement, l'application de correctifs, le dimensionnement et la maintenance de l'infrastructure, tandis que les clients gardent le contrôle de leurs applications et de leurs configurations spécifiques.

Contrairement à Fargate, les charges de travail conteneurisées exécutées sur les instances gérées Amazon ECS partagent le système d’exploitation, le noyau Linux, l’interface réseau, le stockage éphémère, l’UC, la mémoire et les ressources du GPU avec les autres tâches de la même instance. Amazon ECS optimise l’utilisation de l’infrastructure en confiant plusieurs tâches à des instances plus importantes afin de minimiser la capacité inutilisée.

AWS responsabilités

Lors de l'utilisation d'instances gérées Amazon ECS, AWS est responsable de :

  • allocation des instances et gestion du cycle de vie ;

  • application de correctifs au système d’exploitation et mises à jour de sécurité ;

  • mise à l’échelle et l’optimisation de l’infrastructure ;

  • remplacement et maintenance de l’instance (durée de vie maximale de l’instance de 21 jours) ;

  • restrictions de contrôle d’accès (pas d’accès SSH, pas d’accès au gestionnaire de sessions SSM) ;

  • Chiffrement Amazon EC2 Instance Storage, qui est le stockage directement attaché à l'instance. Pour plus d'informations, consultez la section Protection des données sur Amazon EC2.

  • Amazon ECS gère les volumes attachés aux EC2 instances Amazon au moment de leur création, y compris les volumes racine et de données.

  • Amazon ECS utilise des instances EC2 gérées par Amazon under-the-hood. Pour plus d'informations sur les instances EC2 gérées par Amazon, consultez la section Sécurité sur Amazon EC2.

Responsabilités client

Vous êtes responsable de la gestion des ressources suivantes :

  • Configuration réseau, y compris le VPC NACLs, les groupes de sécurité et les tables de routage

  • Chiffrement du stockage des clients et des services. Pour de plus amples informations, veuillez consulter Options de stockage pour les tâches Amazon ECS.

  • Images de conteneur. Pour de plus amples informations, veuillez consulter Pratiques exemplaires en matière de sécurité des tâches et des conteneurs Amazon ECS.

  • Autorisations IAM pour les applications à l’aide du rôle de tâche. Pour de plus amples informations, veuillez consulter rôle IAM de tâche Amazon ECS.

  • Configuration et surveillance au niveau de l’application

  • Définitions des tâches et des services

  • Considérations relatives à la sécurité pour les charges de travail partageant les ressources de l’instance sous-jacente

  • Configurations de conteneurs privilégiées et fonctionnalités Linux améliorées (CAP_NET_ADMIN, CAP_BPF, etc.) lorsqu’elles sont activées

  • Opérations de gestion via l’API Amazon ECS (l’accès direct aux instances via SSH ou SSM n’est pas disponible)