本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECS 受管執行個體的共同責任模式
Amazon ECS 受管執行個體為容器化工作負載提供受管解決方案,結合了 Fargate 的操作簡單性,以及完整範圍的 Amazon EC2 執行個體類型和功能的存取權。 AWS 處理基礎設施佈建、修補、擴展和維護,同時客戶仍可控制其應用程式和特定組態。
與 Fargate 不同,在 Amazon ECS 受管執行個體上執行的容器化工作負載,會與相同執行個體上的其他任務共用作業系統、Linux 核心、網路介面、暫時性儲存、CPU、記憶體與 GPU 資源。Amazon ECS 透過在較大型執行個體上置放多個任務來最佳化基礎結構使用率,將閒置容量降至最低。
AWS 責任
使用 Amazon ECS 受管執行個體時, AWS 負責:
-
執行個體佈建與生命週期管理
-
作業系統修補與安全性更新
-
基礎結構擴展與最佳化
-
執行個體替代與維護 (執行個體生命週期上限為 21 天)
-
存取控制限制 (無 SSH 存取、無 SSM Session Manager 存取)
-
Amazon EC2 執行個體儲存體加密,這是直接連接至執行個體的儲存體。如需詳細資訊,請參閱 Amazon EC2 中的資料保護。
-
Amazon ECS 會在建立時管理連接至 Amazon EC2 執行個體的磁碟區,包括根磁碟區與資料磁碟區。
-
Amazon ECS 在底層使用 Amazon EC2 受管執行個體。如需有關 Amazon EC2 受管執行個體的詳細資訊,請參閱 Security in Amazon EC2。
客户責任
您負責管理下列資源:
-
網路組態,包括 VPC、NACL、安全群組與路由表
-
用戶端與服務儲存體加密。如需詳細資訊,請參閱Amazon ECS 任務的儲存選項。
-
容器映像。如需詳細資訊,請參閱Amazon ECS 任務與容器安全最佳實務。
-
使用任務角色的應用程式 IAM 許可。如需詳細資訊,請參閱Amazon ECS 任務 IAM 角色。
-
應用程式層級組態與監控
-
任務與服務定義
-
共用底層執行個體資源之工作負載的安全考量
-
啟用時的特殊權限容器組態與增強版 Linux 功能 (CAP_NET_ADMIN、CAP_BPF 等)
-
透過 Amazon ECS API 的管理操作 (無法透過 SSH 或 SSM 直接存取執行個體)
