Amazon ECS에 대한 AWS 공동 책임 모델
보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공동 모델은 고객의 운영 부담을 더는 데 도움이 될 수 있습니다. 호스트 운영 체제 및 가상화 계층부터 서비스 운영 시설의 물리적 보안에 이르는 구성 요소를 AWS에서 운영, 관리 및 제어하기 때문입니다. 고객의 책임 및 관리 범위에는 AWS가 제공하는 보안 그룹 방화벽의 구성과 게스트 운영 체제(업데이트 및 보안 패치 포함), 기타 관련 애플리케이션 소프트웨어가 포함됩니다. 사용하는 서비스, 서비스를 IT 환경에 통합하는 과정 및 준거법과 규제에 따라 책임 범위가 다르기 때문에 고객은 선택하고자 하는 서비스에 대해 신중해야 합니다. 또한 이러한 공동 책임은 본질적으로 유연성을 제공하며 배포를 허용하는 제어 권한을 고객에게 부여합니다.
Fargate 시작 유형
다음 그림은 Fargate 시작 유형에 대한 공동 책임 모델을 보여줍니다. Fargate는 격리된 하드웨어 가상화 환경에서 각 작업을 실행합니다. 따라서 각 태스크는 전용 인프라 용량을 얻습니다. Fargate에서 실행되는 컨테이너화된 워크로드는 운영 체제, Linux 커널, 네트워크 인터페이스, 임시 스토리지, CPU 또는 메모리를 다른 작업과 공유하지 않습니다. Fargate를 사용하는 경우 고객은 컨테이너를 실행하는 컴퓨팅 인프라를 보호할 책임이 없습니다. Fargate는 고객 워크로드가 실행되는 인프라를 프로비저닝하고 패치합니다. 자세한 내용은 Amazon ECS에서 AWS Fargate에 대한 태스크 사용 중지 및 유지 관리 섹션을 참조하세요.
사용자는 다음 리소스를 관리할 책임이 있습니다.
-
VPC, NACL, 보안 그룹 및 라우팅 테이블을 포함한 네트워크 구성
-
클라이언트 및 서비스 스토리지 암호화. 자세한 내용은 Amazon ECS 작업에 대한 스토리지 옵션 섹션을 참조하세요.
-
컨테이너 이미지. 자세한 내용은 Amazon ECS 태스크 및 컨테이너 보안 모범 사례 섹션을 참조하세요.
-
태스크 역할을 사용하여 애플리케이션에 대한 IAM 권한입니다. 자세한 내용은 Amazon ECS 작업 IAM 역할 섹션을 참조하세요.
EC2 시작 유형
다음 그림은 EC2 시작 유형에 대한 공동 책임을 보여줍니다. EC2 인스턴스에서 작업을 실행할 때 다음 리소스 외에도 EC2 인스턴스를 유지 관리할 책임이 있습니다.
-
Amazon ECS 에이전트입니다.
-
• 패치 적용 및 강화를 포함한 EC2 인스턴스 AMI.
-
VPC, NACL, 보안 그룹 및 라우팅 테이블을 포함한 네트워크 구성입니다.
-
클라이언트 및 서비스 스토리지 암호화. 자세한 내용은 Amazon ECS 작업에 대한 스토리지 옵션 섹션을 참조하세요.
-
컨테이너 이미지. 자세한 내용은 Amazon ECS 태스크 및 컨테이너 보안 모범 사례 섹션을 참조하세요.
-
태스크 역할을 사용하여 애플리케이션에 대한 IAM 권한입니다. 자세한 내용은 Amazon ECS 작업 IAM 역할 섹션을 참조하세요.
