# Amazon ECS 관리형 인스턴스에 대한 공동 책임 모델
<a name="security-shared-model-managed-instances"></a>

Amazon ECS 관리형 인스턴스는 Fargate의 운영 단순성과 모든 범위의 Amazon EC2 인스턴스 유형 및 기능에 대한 액세스를 결합한 컨테이너화된 워크로드를 위한 관리형 솔루션을 제공합니다. AWS는 인프라 프로비저닝, 패치 적용, 규모 조정 및 유지 관리를 처리하는 동시에 고객이 애플리케이션 및 특정 구성에 대한 제어를 유지할 수 있도록 합니다.

Fargate와 달리 Amazon ECS 관리형 인스턴스에서 실행되는 컨테이너화된 워크로드는 운영 체제, Linux 커널, 네트워크 인터페이스, 임시 스토리지, CPU, 메모리 및 GPU 리소스를 동일한 인스턴스의 다른 태스크와 공유합니다. Amazon ECS는 더 큰 인스턴스에 여러 태스크를 배치하여 미사용 용량을 최소화함으로써 인프라 사용률을 최적화합니다.

## AWS 책임
<a name="managed-instances-aws-responsibilities"></a>

Amazon ECS 관리형 인스턴스를 사용할 경우 AWS는 다음을 담당합니다.
+ 인스턴스 프로비저닝 및 수명 주기 관리
+ 운영 체제 패치 및 보안 업데이트
+ 인프라 조정 및 최적화
+ 인스턴스 교체 및 유지 관리(최대 21일의 인스턴스 수명)
+ 액세스 제어 제한(SSH 액세스 없음, SSM Session Manager 액세스 없음)
+ Amazon EC2 인스턴스 스토리지 암호화(인스턴스에 직접 연결된 스토리지임). 자세한 내용은 [Amazon EC2의 데이터 보호](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)를 참조하세요.
+ Amazon ECS는 루트 및 데이터 볼륨을 포함하여 생성 시 Amazon EC2 인스턴스에 연결된 볼륨을 관리합니다.
+ Amazon ECS는 기본적으로 Amazon EC2 관리형 인스턴스를 사용합니다. Amazon EC2 관리형 인스턴스에 대한 자세한 내용은 [Amazon EC2의 보안](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)을 참조하세요.

## 고객 책임
<a name="managed-instances-customer-responsibilities"></a>

사용자는 다음 리소스를 관리할 책임이 있습니다.
+ VPC, NACL, 보안 그룹 및 라우팅 테이블을 포함한 네트워크 구성
+ 클라이언트 및 서비스 스토리지 암호화. 자세한 내용은 [Amazon ECS 작업에 대한 스토리지 옵션](using_data_volumes.md) 섹션을 참조하세요.
+ 컨테이너 이미지. 자세한 내용은 [Amazon ECS 태스크 및 컨테이너 보안 모범 사례](security-tasks-containers.md) 섹션을 참조하세요.
+ 태스크 역할을 사용하여 애플리케이션에 대한 IAM 권한입니다. 자세한 내용은 [Amazon ECS 작업 IAM 역할](task-iam-roles.md) 섹션을 참조하세요.
+ 애플리케이션 수준 구성 및 모니터링
+ 태스크 및 서비스 정의
+ 기본 인스턴스 리소스를 공유하는 워크로드에 대한 보안 고려 사항
+ 활성화된 경우 권한 있는 컨테이너 구성 및 향상된 Linux 기능(CAP\_NET\_ADMIN, CAP\_BPF 등)
+ Amazon ECS API를 통한 관리 작업(SSH 또는 SSM을 통한 직접 인스턴스 액세스는 사용할 수 없음)