Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델 - Amazon Elastic Container Service
AWS 책임고객 책임

Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델

Amazon ECS 관리형 인스턴스는 Fargate의 운영 단순성과 모든 범위의 Amazon EC2 인스턴스 유형 및 기능에 대한 액세스를 결합한 컨테이너화된 워크로드를 위한 관리형 솔루션을 제공합니다. AWS는 인프라 프로비저닝, 패치 적용, 규모 조정 및 유지 관리를 처리하는 동시에 고객이 애플리케이션 및 특정 구성에 대한 제어를 유지할 수 있도록 합니다.

Fargate와 달리 Amazon ECS 관리형 인스턴스에서 실행되는 컨테이너화된 워크로드는 운영 체제, Linux 커널, 네트워크 인터페이스, 임시 스토리지, CPU, 메모리 및 GPU 리소스를 동일한 인스턴스의 다른 태스크와 공유합니다. Amazon ECS는 더 큰 인스턴스에 여러 태스크를 배치하여 미사용 용량을 최소화함으로써 인프라 사용률을 최적화합니다.

AWS 책임

Amazon ECS 관리형 인스턴스를 사용할 경우 AWS는 다음을 담당합니다.

  • 인스턴스 프로비저닝 및 수명 주기 관리

  • 운영 체제 패치 및 보안 업데이트

  • 인프라 조정 및 최적화

  • 인스턴스 교체 및 유지 관리(최대 21일의 인스턴스 수명)

  • 액세스 제어 제한(SSH 액세스 없음, SSM Session Manager 액세스 없음)

  • Amazon EC2 인스턴스 스토리지 암호화(인스턴스에 직접 연결된 스토리지임). 자세한 내용은 Amazon EC2의 데이터 보호를 참조하세요.

  • Amazon ECS는 루트 및 데이터 볼륨을 포함하여 생성 시 Amazon EC2 인스턴스에 연결된 볼륨을 관리합니다.

  • Amazon ECS는 기본적으로 Amazon EC2 관리형 인스턴스를 사용합니다. Amazon EC2 관리형 인스턴스에 대한 자세한 내용은 Amazon EC2의 보안을 참조하세요.

고객 책임

사용자는 다음 리소스를 관리할 책임이 있습니다.

  • VPC, NACL, 보안 그룹 및 라우팅 테이블을 포함한 네트워크 구성

  • 클라이언트 및 서비스 스토리지 암호화. 자세한 내용은 Amazon ECS 작업에 대한 스토리지 옵션 섹션을 참조하세요.

  • 컨테이너 이미지. 자세한 내용은 Amazon ECS 태스크 및 컨테이너 보안 모범 사례 섹션을 참조하세요.

  • 태스크 역할을 사용하여 애플리케이션에 대한 IAM 권한입니다. 자세한 내용은 Amazon ECS 작업 IAM 역할 섹션을 참조하세요.

  • 애플리케이션 수준 구성 및 모니터링

  • 태스크 및 서비스 정의

  • 기본 인스턴스 리소스를 공유하는 워크로드에 대한 보안 고려 사항

  • 활성화된 경우 권한 있는 컨테이너 구성 및 향상된 Linux 기능(CAP_NET_ADMIN, CAP_BPF 등)

  • Amazon ECS API를 통한 관리 작업(SSH 또는 SSM을 통한 직접 인스턴스 액세스는 사용할 수 없음)