# Amazon ECS マネージドインスタンスの責任共有モデル
<a name="security-shared-model-managed-instances"></a>

Amazon ECS マネージドインスタンスは、Fargate のシンプルな運用と、幅広い Amazon EC2 インスタンスタイプと機能へのアクセスを組み合わせて、コンテナ化されたワークロードによるマネージドソリューションを提供します。AWS はインフラストラクチャのプロビジョニング、パッチ適用、スケーリング、メンテナンスを処理し、お客様はアプリケーションと特定の設定を制御します。

Fargate とは異なり、Amazon ECS マネージドインスタンスで実行されているコンテナ化されたワークロードは、オペレーティングシステム、Linux カーネル、ネットワークインターフェイス、エフェメラルストレージ、CPU、メモリ、GPU リソースを、同じインスタンス上の他のタスクと共有します。Amazon ECS は、未使用の容量を最小限に抑えるために、より大きいインスタンスに複数のタスクを配置することで、インフラストラクチャの使用率を最適化します。

## AWS の責任
<a name="managed-instances-aws-responsibilities"></a>

Amazon ECS マネージドインスタンスを使用する場合、AWS は以下を担当します。
+ インスタンスのプロビジョニングとライフサイクル管理
+ オペレーティングシステムのパッチ適用とセキュリティ更新
+ インフラストラクチャのスケーリングと最適化
+ インスタンスの置換とメンテナンス (最大 21 日間のインスタンス有効期間)
+ アクセスコントロールの制限 (SSH アクセスなし、SSM セッションマネージャーのアクセスなし)
+ Amazon EC2 インスタンスストレージは暗号化され、インスタンスに直接アタッチされたストレージとなります。詳細については、「[Amazon EC2 でのデータ保護](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)」を参照してください。
+ Amazon ECS は、ルートボリュームやデータボリュームなど、作成時に Amazon EC2 インスタンスにアタッチされたボリュームを管理します。
+ Amazon ECS は内部で Amazon EC2 マネージドインスタンスを使用します。Amazon EC2 マネージドインスタンスの詳細については、「[Amazon EC2 のセキュリティ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)」を参照してください。

## お客様の責任
<a name="managed-instances-customer-responsibilities"></a>

お客様は次のリソースを管理する責任があります。
+ VPC、NACL、セキュリティグループ、ルートテーブルなどのネットワーク設定
+ クライアントとサービスストレージの暗号化。詳細については、「[Amazon ECS タスクのストレージオプション](using_data_volumes.md)」を参照してください。
+ コンテナイメージ 詳細については、「[Amazon ECS タスクおよびコンテナのセキュリティのベストプラクティス](security-tasks-containers.md)」を参照してください。
+ タスクロールを使用したアプリケーションの IAM アクセス許可。詳細については、「[Amazon ECS タスクの IAM ロール](task-iam-roles.md)」を参照してください。
+ アプリケーションレベルの設定とモニタリング
+ タスクとサービスの定義
+ 基盤となるインスタンスリソースを共有するワークロードに関するセキュリティ上の考慮事項
+ 有効な場合の特権コンテナ設定と拡張 Linux 機能 (CAP\_NET\_ADMIN、CAP\_BPF など)
+ Amazon ECS API による管理オペレーション (SSH または SSM 経由のインスタンスへの直接アクセスは利用できません)