# Modelo de responsabilidade compartilhada para instâncias gerenciadas do Amazon ECS
<a name="security-shared-model-managed-instances"></a>

As Instâncias gerenciadas do Amazon ECS fornecem uma solução gerenciada para workloads em contêiner que combina a simplicidade operacional do Fargate com o acesso à gama completa de tipos e recursos de instância do Amazon EC2. A AWS administra o provisionamento da infraestrutura, a aplicação de patches, o ajuste de escala e a manutenção, enquanto os clientes mantêm o controle sobre aplicações e configurações específicas.

Ao contrário do Fargate, as workloads em contêiner executadas nas instâncias gerenciadas do Amazon ECS compartilham o sistema operacional, o kernel do Linux, a interface de rede, o armazenamento temporário, a CPU, a memória e os recursos de GPU com outras tarefas na mesma instância. O Amazon ECS otimiza a utilização da infraestrutura colocando várias tarefas em instâncias maiores para minimizar a capacidade não utilizada.

## Responsabilidades da AWS
<a name="managed-instances-aws-responsibilities"></a>

Ao usar as instâncias gerenciadas do Amazon ECS, a AWS é responsável por:
+ Provisionamento de instâncias e gerenciamento do ciclo de vida
+ Aplicação de patches no sistema operacional e atualizações de segurança
+ Ajuste de escala e otimização de infraestrutura
+ Substituição e manutenção de instâncias (vida útil máxima de 21 dias)
+ Restrições de controle de acesso (sem acesso SSH, sem acesso ao gerenciador de sessões do SSM)
+ Criptografia do armazenamento de instâncias do Amazon EC2, que é o armazenamento diretamente conectado à instância. Para obter mais informações, consulte [Proteção de dados no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html).
+ O Amazon ECS gerencia os volumes anexados às instâncias do Amazon EC2 no momento da criação, incluindo volumes de dados e raiz.
+ O Amazon ECS usa instâncias gerenciadas do Amazon EC2 de forma oculta. Para obter mais informações sobre instâncias gerenciadas do Amazon EC2, consulte [Segurança no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html).

## Responsabilidades do cliente
<a name="managed-instances-customer-responsibilities"></a>

Você é responsável por gerenciar os seguintes recursos:
+ Configuração de rede, incluindo VPC, NACLs, grupos de segurança e tabelas de rotas
+ Criptografia de armazenamento de clientes e serviços. Para obter mais informações, consulte [Opções de armazenamento para tarefas do Amazon ECS](using_data_volumes.md).
+ Imagens de contêiner. Para obter mais informações, consulte [Práticas recomendadas de segurança para tarefas e contêineres do Amazon ECS](security-tasks-containers.md).
+ Permissões do IAM para as aplicações usando o perfil de tarefa. Para obter mais informações, consulte [Perfil do IAM para tarefas do Amazon ECS](task-iam-roles.md).
+ Configuração e monitoramento no nível da aplicação
+ Definições de tarefas e serviços
+ Considerações de segurança para workloads que compartilham recursos de instância subjacentes
+ Configurações privilegiadas de contêiner e recursos aprimorados do Linux (CAP\_NET\_ADMIN, CAP\_BPF etc.) quando habilitados
+ Operações de gerenciamento por meio da API do Amazon ECS (o acesso direto à instância via SSH ou SSM não está disponível)