Responsabilidades da AWS Responsabilidades do cliente

Modelo de responsabilidade compartilhada para instâncias gerenciadas do Amazon ECS

As Instâncias gerenciadas do Amazon ECS fornecem uma solução gerenciada para workloads em contêiner que combina a simplicidade operacional do Fargate com o acesso à gama completa de tipos e recursos de instância do Amazon EC2. A AWS administra o provisionamento da infraestrutura, a aplicação de patches, o ajuste de escala e a manutenção, enquanto os clientes mantêm o controle sobre aplicações e configurações específicas.

Ao contrário do Fargate, as workloads em contêiner executadas nas instâncias gerenciadas do Amazon ECS compartilham o sistema operacional, o kernel do Linux, a interface de rede, o armazenamento temporário, a CPU, a memória e os recursos de GPU com outras tarefas na mesma instância. O Amazon ECS otimiza a utilização da infraestrutura colocando várias tarefas em instâncias maiores para minimizar a capacidade não utilizada.

Responsabilidades da AWS

Ao usar as instâncias gerenciadas do Amazon ECS, a AWS é responsável por:

Provisionamento de instâncias e gerenciamento do ciclo de vida
Aplicação de patches no sistema operacional e atualizações de segurança
Ajuste de escala e otimização de infraestrutura
Substituição e manutenção de instâncias (vida útil máxima de 21 dias)
Restrições de controle de acesso (sem acesso SSH, sem acesso ao gerenciador de sessões do SSM)
Criptografia do armazenamento de instâncias do Amazon EC2, que é o armazenamento diretamente conectado à instância. Para obter mais informações, consulte Proteção de dados no Amazon EC2.
O Amazon ECS gerencia os volumes anexados às instâncias do Amazon EC2 no momento da criação, incluindo volumes de dados e raiz.
O Amazon ECS usa instâncias gerenciadas do Amazon EC2 de forma oculta. Para obter mais informações sobre instâncias gerenciadas do Amazon EC2, consulte Segurança no Amazon EC2.

Responsabilidades do cliente

Você é responsável por gerenciar os seguintes recursos:

Configuração de rede, incluindo VPC, NACLs, grupos de segurança e tabelas de rotas
Criptografia de armazenamento de clientes e serviços. Para obter mais informações, consulte Opções de armazenamento para tarefas do Amazon ECS.
Imagens de contêiner. Para obter mais informações, consulte Práticas recomendadas de segurança para tarefas e contêineres do Amazon ECS.
Permissões do IAM para as aplicações usando o perfil de tarefa. Para obter mais informações, consulte Perfil do IAM para tarefas do Amazon ECS.
Configuração e monitoramento no nível da aplicação
Definições de tarefas e serviços
Considerações de segurança para workloads que compartilham recursos de instância subjacentes
Configurações privilegiadas de contêiner e recursos aprimorados do Linux (CAP_NET_ADMIN, CAP_BPF etc.) quando habilitados
Operações de gerenciamento por meio da API do Amazon ECS (o acesso direto à instância via SSH ou SSM não está disponível)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Modelo de responsabilidade compartilhada

Práticas recomendadas de segurança de rede