Modello di responsabilità condivisa per le istanze gestite da Amazon ECS. - Amazon Elastic Container Service
AWS responsabilitàResponsabilità del cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modello di responsabilità condivisa per le istanze gestite da Amazon ECS.

Amazon ECS Managed Instances offre una soluzione gestita per carichi di lavoro containerizzati che combina la semplicità operativa di Fargate con l'accesso all'intera gamma di tipi e funzionalità di istanze Amazon. EC2 AWS gestisce il provisioning, l'applicazione di patch, la scalabilità e la manutenzione dell'infrastruttura, mentre i clienti mantengono il controllo sulle proprie applicazioni e configurazioni specifiche.

A differenza di Fargate, i carichi di lavoro containerizzati in esecuzione sulle istanze gestite da Amazon ECS condividono il sistema operativo, il kernel Linux, l'interfaccia di rete, l'archiviazione temporanea, la CPU, la memoria e le risorse GPU con altre attività sulla stessa istanza. Amazon ECS ottimizza l'uso dell'infrastruttura assegnando più attività a istanze più grandi per ridurre al minimo la capacità inutilizzata.

AWS responsabilità

Quando utilizza Amazon ECS Managed Instances, AWS è responsabile di:

  • Del provisioning delle istanze e della gestione del ciclo di vita

  • Dell'applicazione di patch del sistema operativo e degli aggiornamenti di sicurezza

  • Del dimensionamento e dell'ottimizzazione dell'infrastruttura

  • Della sostituzione e manutenzione delle istanze (durata massima dell'istanza di 21 giorni)

  • Delle restrizioni al controllo degli accessi (nessun accesso SSH, nessun accesso a SSM Session Manager)

  • Crittografia Amazon EC2 Instance Storage, ovvero lo storage collegato direttamente all'istanza. Per ulteriori informazioni, consulta la sezione Protezione dei dati in Amazon EC2.

  • Amazon ECS gestisce i volumi collegati alle EC2 istanze Amazon al momento della creazione, inclusi i volumi root e di dati.

  • Amazon ECS utilizza istanze EC2 under-the-hood gestite da Amazon. Per ulteriori informazioni sulle istanze EC2 gestite da Amazon, consulta Security in Amazon EC2.

Responsabilità del cliente

Sei responsabile della gestione delle seguenti risorse:

  • Configurazione di rete tra cui VPC NACLs, gruppi di sicurezza e tabelle di routing

  • Crittografia dei dati dei clienti e dei servizi. Per ulteriori informazioni, consulta Opzioni di archiviazione per le attività di Amazon ECS.

  • Immagini di container. Per ulteriori informazioni, consulta Best practice per la sicurezza di attività e container di Amazon ECS.

  • Autorizzazioni IAM per le applicazioni usando il task role. Per ulteriori informazioni, consulta Ruolo IAM dell'attività Amazon ECS.

  • Configurazione e monitoraggio a livello di applicazione

  • Definizioni di attività e servizi

  • Considerazioni relative alla sicurezza per i carichi di lavoro che condividono le risorse dell'istanza sottostante

  • Configurazioni di container privilegiate e funzionalità Linux avanzate (CAP_NET_ADMIN, CAP_BPF, ecc.) quando abilitate

  • Operazioni di gestione tramite l'API Amazon ECS (non è disponibile l'accesso diretto all'istanza tramite SSH o SSM)