View a markdown version of this page

Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델 - Amazon Elastic Container Service

Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델

Amazon ECS 관리형 인스턴스는 Fargate의 운영 단순성과 모든 범위의 Amazon EC2 인스턴스 유형 및 기능에 대한 액세스를 결합한 컨테이너화된 워크로드를 위한 관리형 솔루션을 제공합니다. AWS는 인프라 프로비저닝, 패치 적용, 규모 조정 및 유지 관리를 처리하는 동시에 고객이 애플리케이션 및 특정 구성에 대한 제어를 유지할 수 있도록 합니다.

Fargate와 달리 Amazon ECS 관리형 인스턴스에서 실행되는 컨테이너화된 워크로드는 운영 체제, Linux 커널, 네트워크 인터페이스, 임시 스토리지, CPU, 메모리 및 GPU 리소스를 동일한 인스턴스의 다른 태스크와 공유합니다. Amazon ECS는 더 큰 인스턴스에 여러 태스크를 배치하여 미사용 용량을 최소화함으로써 인프라 사용률을 최적화합니다.

AWS 책임

Amazon ECS 관리형 인스턴스를 사용할 경우 AWS는 다음을 담당합니다.

  • 인스턴스 프로비저닝 및 수명 주기 관리

  • 운영 체제 패치 및 보안 업데이트

  • 인프라 조정 및 최적화

  • 인스턴스 교체 및 유지 관리(최대 21일의 인스턴스 수명)

  • 액세스 제어 제한(SSH 액세스 없음, SSM Session Manager 액세스 없음)

  • Amazon EC2 인스턴스 스토리지 암호화(인스턴스에 직접 연결된 스토리지임). 자세한 내용은 Amazon EC2의 데이터 보호를 참조하세요.

  • Amazon ECS는 루트 및 데이터 볼륨을 포함하여 생성 시 Amazon EC2 인스턴스에 연결된 볼륨을 관리합니다.

  • Amazon ECS는 기본적으로 Amazon EC2 관리형 인스턴스를 사용합니다. Amazon EC2 관리형 인스턴스에 대한 자세한 내용은 Amazon EC2의 보안을 참조하세요.

고객 책임

사용자는 다음 리소스를 관리할 책임이 있습니다.

  • VPC, NACL, 보안 그룹 및 라우팅 테이블을 포함한 네트워크 구성

  • 클라이언트 및 서비스 스토리지 암호화. 자세한 내용은 Amazon ECS 작업에 대한 스토리지 옵션 섹션을 참조하세요.

  • 컨테이너 이미지. 자세한 내용은 Amazon ECS 태스크 및 컨테이너 보안 모범 사례 섹션을 참조하세요.

  • 태스크 역할을 사용하여 애플리케이션에 대한 IAM 권한입니다. 자세한 내용은 Amazon ECS 작업 IAM 역할 섹션을 참조하세요.

  • 애플리케이션 수준 구성 및 모니터링

  • 컨테이너의 보안 모니터링

  • 태스크 및 서비스 정의

  • 같은 위치에 있는 워크로드에 대한 보안 고려 사항. Fargate와 달리 Amazon ECS 관리형 인스턴스에서는 태스크 격리가 이루어지지 않습니다. 컨테이너는 동일한 인스턴스의 다른 태스크에서 생성된 자격 증명, 환경 변수 및 임시 파일(이전에 실행된 태스크에서 남겨진 데이터 포함)에 액세스할 가능성이 있습니다.

  • 활성화된 경우 권한 있는 컨테이너 구성 및 향상된 Linux 기능(CAP_NET_ADMIN, CAP_BPF, CAP_PERFMON 등)

  • Amazon ECS API를 통한 관리 작업(SSH 또는 SSM을 통한 직접 인스턴스 액세스는 사용할 수 없음)

Amazon ECS 관리형 인스턴스 보안에 대한 AWS의 책임과 고객의 책임에 대한 자세한 내용은 Amazon ECS 관리형 인스턴스의 보안 고려 사항 섹션을 참조하세요.

다음 다이어그램은 Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델을 설명하며, AWS에서 관리하는 보안 책임과 사용자의 보안 책임을 구분하여 보여줍니다.

Amazon ECS에서 Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델을 보여주는 다이어그램.