本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon ECS 受管執行個體的安全考量
Amazon ECS 受管執行個體提供全受管容器運算體驗,可讓您在特定 Amazon EC2 執行個體類型上執行工作負載,同時將安全性交由 AWS負責。本主題介紹了使用 Amazon ECS 受管執行個體時的安全模型、功能與考量。
## 安全模型
Amazon ECS 受管執行個體會實作全面的安全模型,在彈性與保護之間取得平衡:
+ **AWS受管基礎設施** - AWS 控制受管執行個體的生命週期,並處理安全修補,消除人為錯誤和竄改的可能性。
+ **無管理存取** – 安全模型已鎖定,並禁止對受管執行個體進行管理存取。
+ **多任務置放** – 依預設,Amazon ECS 受管執行個體會將多個任務置放在單一執行個體上,以最佳化成本與使用率。相較於 Fargate,這會放寬工作負載隔離限制。
+ **資料隔離** - 雖然 AWS 控制執行個體生命週期和任務置放,但 AWS 無法登入受管執行個體或存取客戶資料。
## 了解受管執行個體
Amazon ECS 受管執行個體會在您的帳戶中佈建 EC2 受管執行個體。身為指定的運算子,Amazon ECS 會代表您管理這些執行個體的完整生命週期,包括佈建、擴展、修補和終止。您無權直接終止這些執行個體或修改執行個體設定。如需詳細資訊,請參閱 [Amazon EC2 受管執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-ec2-managed-instances.html)。
### 識別受管執行個體
您可以使用下列指標來識別帳戶中的 Amazon ECS 受管執行個體:
+ Amazon EC2 `DescribeInstances`回應中的 `Operator` 欄位,值為 `ecs.amazonaws.com`。
+ 執行個體上的`aws:ec2:managed-launch`標籤,值為 `ecs-managed-instances`。
### 受管資源可見性
從 2026 年 4 月 22 日開始,Amazon EC2 預設會從 Amazon EC2 主控台檢視和 API 清單操作隱藏新的受管執行個體。可見性設定不會影響帳單或資源操作,且無論可見性組態為何,受管執行個體都保持完全運作且可計費。您可以隨時調整此行為。如需詳細資訊,請參閱[受管資源可見性設定](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-ec2-managed-instances.html#managed-resource-visibility-settings)。
## 安全性功能
Amazon ECS 受管執行個體包含數個內建的安全功能,旨在保護工作負載並維持良好的安全狀態。這些功能涵蓋自動化安全修補到在需要時支援特權 Linux 功能。
### 安全最佳實務
受管執行個體是根據 AWS 安全最佳實務進行設定,包括:
+ **無 SSH 存取** – 遠端 Shell 存取已停用,以防止未經授權的存取。
+ **不可變的根檔案系統** – 根檔案系統無法修改,從而可確保系統完整性。
+ **核心層級強制性存取控制** – SELinux 在核心層級提供額外的安全性強制執行。
### 自動安全修補
Amazon ECS 受管執行個體會透過自動化修補,協助改善工作負載的安全狀態:
+ **定期安全性更新** - 執行個體會根據您設定的維護時段 AWS,定期使用最新的安全性修補程式進行更新。
+ **執行個體生命週期有限** – 執行中的執行個體的生命週期上限限制為 14 天,以確保應用程式在具有適當設定與最新安全性修補程式的執行個體上執行。
+ **維護時段控制** – 您可以使用 Amazon EC2 事件時段功能來指定 Amazon ECS 何時應以修補後的執行個體取代原執行個體。
### 特權 Linux 功能
Amazon ECS 受管執行個體支援需要更高 Linux 權限的軟體,從而啟用進階監控與安全性解決方案:
+ **支援的功能** – 您可以選擇使用所有特權 Linux 功能,包括 `CAP_NET_ADMIN`、`CAP_SYS_ADMIN` 與 `CAP_BPF`。
+ **熱門解決方案** – 這讓您能夠執行熱門的網路監控與可觀測性解決方案,例如 Wireshark 與 Datadog。
+ **需要明確組態** – 您必須明確設定 Amazon ECS 受管執行個體容量提供者,以啟用特權 Linux 功能,因為它可能會對您的應用程式造成額外的安全風險。
**重要**
啟用特權 Linux 功能可能會讓您的任務面臨額外的安全風險。請僅在應用程式需要時才啟用這些功能,並確保您了解安全性影響。
## 合規與法規支援
Amazon ECS 受管執行個體會維持與 Amazon ECS 相同的合規狀態:
+ **合規計劃** - Amazon ECS 受 AWS 管執行個體的範圍與 Amazon ECS 相同,包括 PCI-DSS、HIPAA 和 FedRAMP。
+ **FIPS 端點** - Amazon ECS 受管執行個體支援容量提供者層級的 FIPS 端點組態。與使用帳戶層級設定的 Fargate 不同,Amazon ECS 受管執行個體會使用per-capacity-provider的設定,因為 FIPS 是每個執行個體的組態。您可以在建立或更新容量提供者時設定 FIPS。
+ **客戶自管金鑰** – 它支援實現合規所需的安全功能,例如用於加密的客戶自管金鑰。
## Amazon ECS 受管執行個體 FIPS-140 考量
在 Amazon ECS 受管執行個體上使用 FIPS-140 合規時,請考慮下列事項:
+ FIPS-140-compliant受管執行個體 AMIs 僅適用於 AWS GovCloud (US) 區域。
+ Amazon ECS 受管執行個體支援 FIPS-140-3
+ 區域預設會啟用 FIPS-140 AWS GovCloud (US) 合規。如果您需要在沒有 FIPS 合規的情況下執行工作負載,請在受管執行個體容量提供者組態中關閉 FIPS 合規。
+ 任務`cpuArchitecture`的 必須符合 FIPS-140 `X86_64` 合規。
## 在 Amazon ECS 受管執行個體上停用 FIPS
根據預設, AWS GovCloud (US) 區域中的 Amazon ECS 受管執行個體容量提供者會啟動符合 FIPS 標準的 AMIs。在建立新的 Amazon ECS 受管執行個體容量提供者時,您可以選擇停用 FIPS-140 合規。請依照下列步驟建立沒有 FIPS 合規的新容量提供者。
1. 在容量提供者上停用 FIPS-140 合規。
```
aws ecs create-capacity-provider \
--cluster {{cluster-name}} \
--name {{capacity-provider-name}} \
--managed-instances-provider '{
"infrastructureRoleArn": "{{infrastructure-role-arn}}",
"instanceLaunchTemplate": {
"ec2InstanceProfileArn": "{{instance-profile-arn}}",
"fipsEnabled": false,
"networkConfiguration": {
"subnets": ["{{subnet-id}}"],
"securityGroups": ["{{security-group-id}}"]
}
}
}'
```
1. 您可以選擇性地使用 ECS Exec 執行下列命令,以驗證容量提供者的 FIPS-140 合規狀態。
將 {{cluster-name}} 取代為叢集名稱,將 {{task-id}} 取代為任務的 ID 或 ARN,並將 {{container-name}} 取代為任務中要執行命令的容器名稱。
傳回值 "1" 表示您正在使用 FIPS。
```
aws ecs execute-command \
--cluster {{cluster-name}} \
--task {{task-id}} \
--container {{container-name}} \
--interactive \
--command "cat /proc/sys/crypto/fips_enabled"
```
## 安全考量
使用 Amazon ECS 受管執行個體時,需要了解和規劃數個重要的安全考量。這些考量可協助您就工作負載架構與安全需求作出明智的決策。
### 多任務安全模型
Amazon ECS 受管執行個體中的預設多任務置放模型與 Fargate 的單一任務隔離不同:
+ **共用執行個體資源** – 多項任務在同一執行個體上執行,可能會讓任務暴露於在同一個執行個體上或同一個 ECS 叢集中執行之其他任務所存在的漏洞。
+ **單一任務選項** – 您可以將 Amazon ECS 受管執行個體設定為對需要具有虛擬機器層級安全隔離界限之預設 Fargate 安全模型的客戶使用單一任務模式。
+ **成本與安全權衡** – 多任務模式可實現成本最佳化與更快的任務啟動時間,而單一任務模式可提供更強大的隔離。
### 處理執行個體中斷問題
使用 Amazon ECS 受管執行個體時,請務必將應用程式設計為能夠容忍中斷情況:
+ **中斷容忍** – 將 Amazon ECS 受管執行個體與可容忍基礎服務或任務中斷的應用程式搭配使用。
+ **服務型工作負載** – 使用 Amazon ECS 服務進行自動任務取代,或在獨立任務上執行受控制且持續時間限制不超過 14 天的工作負載。
+ **優雅關閉** – 設定任務關閉寬限期以控制中斷產生的影響。
### 資料存取與隱私
Amazon ECS 受管執行個體會維持嚴格的資料存取控制:
+ **無客戶資料存取** - 雖然 AWS 控制受管執行個體的生命週期和在執行個體上放置任務, AWS 但 無法登入受管執行個體或存取客戶資料。
+ **僅限 指標和日誌** - 僅 AWS 擷取提供 Amazon ECS 受管執行個體功能所需的指標和相關日誌。
+ **鎖定的安全模型** – 安全模型禁止管理存取,從而可消除人為錯誤與竄改的可能性。
## 安全最佳實務
使用 Amazon ECS 受管執行個體時,請遵循下列最佳實務:
+ **評估安全模型** – 根據您的安全需求,謹慎地決定採用 Amazon ECS 受管執行個體,特別是在多任務置放模型方面。
+ **視需要使用單一任務模式** – 如果您的工作負載需要更強大的隔離,請將 Amazon ECS 受管執行個體設定為使用單一任務模式。
+ **將特權功能降至最低** – 請僅在絕對必要且了解相關安全風險時,才啟用特權 Linux 功能。
+ **制定中斷計畫** – 將應用程式設計為以優雅的方式處理執行個體取代,尤其是考量 14 天的執行個體生命週期上限。
+ **設定維護時段** – 使用 EC2 事件時段來控制執行個體取代的時間,將對工作負載的影響降至最低。
+ **監控與稽核** – 定期檢閱您的 Amazon ECS 受管執行個體組態,並監控任何與安全性相關的事件或變更。