本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon ECS 的共同責任模型
<a name="security-shared-model"></a>

安全與合規是 AWS 和 客戶之間的共同責任。此共用模型有助於減輕客戶的操作負擔，因為 會 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施實體安全性的元件。客戶應承擔相關責任並負責管理訪客作業系統 (包括更新與安全性修補程式)，以及其他相關應用程式軟體，還有設定 AWS 提供的安全群組防火牆。客戶應審慎思考所選的服務，因為使用的服務、服務與客戶 IT 環境的整合情形，以及適用的法律與法規不同，客戶應承擔的責任也會不同。此共同責任的性質也提供允許部署的彈性和客戶控制。

## Fargate
<a name="security-shared-model-fargate"></a>

下圖顯示 Fargate 啟動類型的共同責任模式。Fargate 會在隔離的硬體虛擬化環境中執行所有工作負載。因此，每個任務都會取得專用基礎結構容量。在 Fargate 上執行的容器化工作負載不會與其他任務共用作業系統、Linux 核心、網路介面、暫時性儲存、CPU 或記憶體。使用 Fargate 時，客戶不需負責保護執行其容器的運算基礎結構。Fargate 將佈建與修補客戶工作負載執行所在的基礎結構。如需詳細資訊，請參閱[Amazon ECS 上的 AWS Fargate 任務淘汰和維護](task-maintenance.md)。

您負責管理下列資源：
+ 網路組態，包括 VPC、NACL、安全群組與路由表
+ 用戶端與服務儲存體加密。如需詳細資訊，請參閱[Amazon ECS 任務的儲存選項](using_data_volumes.md)。
+ 容器映像。如需詳細資訊，請參閱[Amazon ECS 任務與容器安全最佳實務](security-tasks-containers.md)。
+ 使用任務角色的應用程式 IAM 許可。如需詳細資訊，請參閱[Amazon ECS 任務 IAM 角色](task-iam-roles.md)。

![顯示 Amazon ECS 上 Fargate 共同責任模式的圖表。](http://docs.aws.amazon.com/zh_tw/AmazonECS/latest/developerguide/images/fargate-shared-responsibility.png)


## EC2
<a name="security-shared-model-ec2"></a>

下圖顯示 EC2 的共同責任。當您在 EC2 執行個體上執行任務時，除下列資源外，您還要負責維護 EC2 執行個體：
+ Amazon ECS 代理程式。
+ • EC2 執行個體 AMI，包括修補與強化。
+ 網路組態，包括 VPC、NACL、安全群組與路由表。
+ 用戶端與服務儲存體加密。如需詳細資訊，請參閱[Amazon ECS 任務的儲存選項](using_data_volumes.md)。
+ 容器映像。如需詳細資訊，請參閱[Amazon ECS 任務與容器安全最佳實務](security-tasks-containers.md)。
+ 使用任務角色的應用程式 IAM 許可。如需詳細資訊，請參閱[Amazon ECS 任務 IAM 角色](task-iam-roles.md)。

![顯示 Amazon ECS 上 EC2 共同責任模式的圖表。](http://docs.aws.amazon.com/zh_tw/AmazonECS/latest/developerguide/images/ec2-shared-responsibility.png)