View a markdown version of this page

Amazon ECS の AWS 責任共有モデル。 - Amazon Elastic Container Service

Amazon ECS の AWS 責任共有モデル。

セキュリティとコンプライアンスに関して、AWS とお客様の間で責任を共有します。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーからサービスが運用されている施設の物理的なセキュリティに至るまで、さまざまなコンポーネントを AWS が運用、管理、制御するため、お客様の運用の負担が軽減されます。お客様は、AWS が提供するセキュリティグループのファイアウォール設定に加えて、ゲストオペレーティングシステム (更新やセキュリティパッチを含む) およびその他の関連アプリケーションソフトウェアを管理し、責任を持って管理する必要があります。お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用される法規制に応じて異なります。このため、お客様は選択するサービスを注意深く検討する必要があります。この責任共有モデルの性質によって柔軟性が得られ、お客様はデプロイを統制できます。

Fargate

次の図は、Fargate 起動タイプの責任共有モデルを示しています。Fargate は分離されたハードウェア仮想化環境で各ワークロードを実行します。その結果、各タスクは専用のインフラストラクチャキャパシティを取得します。Fargate で実行されているコンテナ化されたワークロードは、オペレーティングシステム、Linux カーネル、ネットワークインターフェイス、エフェメラルストレージ、CPU、またはメモリを他のタスクと共有しません。Fargate を使用する場合、お客様はコンテナを実行するコンピューティングインフラストラクチャのセキュリティを管理する責任を負いません。Fargate は、お客様のワークロードを実行するインフラストラクチャをプロビジョニングしてパッチを適用します。詳細については、「AWS Fargate on Amazon ECS のタスクの廃止とメンテナンス」を参照してください。

お客様は次のリソースを管理する責任があります。

Amazon ECS での Fargate の責任共有モデルを示す図。

EC2

次の図は、EC2 の責任共有を示しています。EC2 インスタンスでタスクを実行する場合、次のリソースに加えて EC2 インスタンスを保守する責任があります。

  • Amazon ECS エージェント。

  • パッチ適用と強化を含む EC2 インスタンス AMI。

  • VPC、NACL、セキュリティグループ、ルートテーブルなどのネットワーク設定。

  • クライアントとサービスストレージの暗号化。詳細については、「Amazon ECS タスクのストレージオプション」を参照してください。

  • コンテナイメージ 詳細については、「Amazon ECS タスクおよびコンテナのセキュリティのベストプラクティス」を参照してください。

  • タスクロールを使用したアプリケーションの IAM アクセス許可。詳細については、「Amazon ECS タスクの IAM ロール」を参照してください。

  • Amazon EC2 インスタンスメタデータサービス (IMDS) へのコンテナアクセスをブロックするためのコンテナインスタンスの設定。詳細については、「ロールの推奨事項」を参照してください。

  • 共存ワークロードのセキュリティ上の考慮事項。Fargate と異なり、EC2 コンテナインスタンスにタスク分離はありません。コンテナは、同じインスタンス上の他のタスクから、以前実行されたタスクによって残されたデータなどの認証情報、環境変数、一時ファイルにアクセスする可能性があります。機密性の高いアプリケーションの場合、各アプリケーションがハードウェア専有インスタンスで実行されるように環境を設定します。

次の図は、EC2 の責任共有モデルを示しています。どのセキュリティ責任が AWS によって管理され、どのセキュリティ責任がお客様のものかを示しています。

Amazon ECS 用の EC2 の責任共有モデルを示す図。