AWS Amazon ECS 的共同責任模型

安全與合規是 AWS 和客戶之間的共同責任。此共用模型有助於減輕客戶的操作負擔，因為會 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施的實體安全性的元件。客戶負責管理訪客作業系統（包括更新和安全修補程式）、其他相關聯的應用程式軟體，以及所提供安全群組防火牆的 AWS 組態。客戶應審慎思考所選的服務，因為使用的服務、服務與客戶 IT 環境的整合情形，以及適用的法律與法規不同，客戶應承擔的責任也會不同。此共同責任的性質也提供允許部署的彈性和客戶控制。

Fargate 啟動類型

下圖顯示 Fargate 啟動類型的共同責任模型。Fargate 會在隔離的硬體虛擬化環境中執行每個工作負載。因此，每個任務都會取得專用基礎設施容量。在 Fargate 上執行的容器化工作負載不會與其他任務共用作業系統、Linux 核心、網路介面、暫時性儲存、CPU 或記憶體。使用 Fargate 時，客戶不需負責保護執行其容器的運算基礎設施。Fargate 將佈建和修補客戶工作負載執行所在的基礎設施。如需詳細資訊，請參閱Amazon ECS 上 AWS Fargate 的任務淘汰和維護。

您負責管理下列資源：

網路組態，包括 VPC、NACLs、安全群組和路由表
用戶端和服務儲存加密。如需詳細資訊，請參閱Amazon ECS 任務的儲存選項。
容器映像。如需詳細資訊，請參閱Amazon ECS 任務和容器安全最佳實務。
使用任務角色的應用程式 IAM 許可。如需詳細資訊，請參閱Amazon ECS 任務 IAM 角色。

EC2 啟動類型

下圖顯示 EC2 啟動類型的共同責任。當您在 EC2 執行個體上執行任務時，除了下列資源之外，您還要負責維護 EC2 執行個體：

Amazon ECS 代理程式。
• EC2 執行個體 AMI，包括修補和強化。
網路組態，包括 VPC、NACLs、安全群組和路由表。
用戶端和服務儲存加密。如需詳細資訊，請參閱Amazon ECS 任務的儲存選項。
容器映像。如需詳細資訊，請參閱Amazon ECS 任務和容器安全最佳實務。
使用任務角色的應用程式 IAM 許可。如需詳細資訊，請參閱Amazon ECS 任務 IAM 角色。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

介面 VPC 端點 (AWS PrivateLink)

網路安全最佳實務