本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon ECS 受管執行個體的共同責任模式
<a name="security-shared-model-managed-instances"></a>

Amazon ECS 受管執行個體為容器化工作負載提供受管解決方案，結合了 Fargate 的操作簡單性，以及完整範圍的 Amazon EC2 執行個體類型和功能的存取權。 AWS 處理基礎設施佈建、修補、擴展和維護，同時客戶仍可控制其應用程式和特定組態。

與 Fargate 不同，在 Amazon ECS 受管執行個體上執行的容器化工作負載，會與相同執行個體上的其他任務共用作業系統、Linux 核心、網路介面、暫時性儲存、CPU、記憶體與 GPU 資源。Amazon ECS 透過在較大型執行個體上置放多個任務來最佳化基礎結構使用率，將閒置容量降至最低。

## AWS 責任
<a name="managed-instances-aws-responsibilities"></a>

使用 Amazon ECS 受管執行個體時， AWS 負責：
+ 執行個體佈建與生命週期管理
+ 作業系統修補與安全性更新
+ 基礎結構擴展與最佳化
+ 執行個體替代與維護 (執行個體生命週期上限為 21 天)
+ 存取控制限制 (無 SSH 存取、無 SSM Session Manager 存取)
+ Amazon EC2 執行個體儲存體加密，這是直接連接至執行個體的儲存體。如需詳細資訊，請參閱 [Amazon EC2 中的資料保護](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)。
+ Amazon ECS 會在建立時管理連接至 Amazon EC2 執行個體的磁碟區，包括根磁碟區與資料磁碟區。
+ Amazon ECS 在底層使用 Amazon EC2 受管執行個體。如需有關 Amazon EC2 受管執行個體的詳細資訊，請參閱 [Security in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)。

## 客户責任
<a name="managed-instances-customer-responsibilities"></a>

您負責管理下列資源：
+ 網路組態，包括 VPC、NACL、安全群組與路由表
+ 用戶端與服務儲存體加密。如需詳細資訊，請參閱[Amazon ECS 任務的儲存選項](using_data_volumes.md)。
+ 容器映像。如需詳細資訊，請參閱[Amazon ECS 任務與容器安全最佳實務](security-tasks-containers.md)。
+ 使用任務角色的應用程式 IAM 許可。如需詳細資訊，請參閱[Amazon ECS 任務 IAM 角色](task-iam-roles.md)。
+ 應用程式層級組態與監控
+ 任務與服務定義
+ 共用底層執行個體資源之工作負載的安全考量
+ 啟用時的特殊權限容器組態與增強版 Linux 功能 (CAP\_NET\_ADMIN、CAP\_BPF 等)
+ 透過 Amazon ECS API 的管理操作 (無法透過 SSH 或 SSM 直接存取執行個體)