Amazon ECS 的 Amazon 责任共担模式
安全性和合规性是 Amazon 与客户共同承担的责任。这种共担模式可以减轻客户的运营负担,因为 Amazon 负责运营、管理和控制从主机操作系统和虚拟化层组件,乃至服务运行所在物理设施的安全性。而客户负责管理来宾操作系统(包括更新和安全补丁)、其他关联应用程序软件以及 Amazon 提供的安全组防火墙的配置。客户应慎重选择服务,因为他们所承担的责任因他们使用的服务、服务与其 IT 环境的集成以及适用法律法规而各异。这种责任共担的性质还赋予了客户足够的灵活性和控制能力来进行部署。
Fargate 启动类型
下表展示了 Fargate 启动类型的责任共担模式。Fargate 在隔离的硬件虚拟化环境中运行每个工作负载。因此,每个任务都会获得专用的基础设施容量。在 Fargate 上运行的容器化工作负载不会与其他任务共享操作系统、Linux 内核、网络接口、临时存储、CPU 或内存。使用 Fargate 时,客户无需负责保护运行其容器的计算基础设施。Fargate 将负责预置和修补运行客户工作负载的基础设施。有关更多信息,请参阅 Amazon ECS 上的 Amazon Fargate 的任务停用和维护 。
您将负责以下资源的管理:
-
网络配置,包括 VPC、NACL、安全组和路由表。
-
客户端和服务存储加密。有关更多信息,请参阅 Amazon ECS 任务的存储选项。
-
容器映像。有关更多信息,请参阅 Amazon ECS 任务和容器安全性最佳实践。
-
使用任务角色获得应用程序的 IAM 权限。有关更多信息,请参阅 Amazon ECS 任务 IAM 角色。
EC2 启动类型
下表展示了 EC2 启动类型的责任共担模式。在 EC2 实例上运行任务时,除以下资源外,您还负责 EC2 实例的维护:
-
Amazon ECS 代理。
-
EC2 实例 AMI,包括修补和固化。
-
网络配置,包括 VPC、NACL、安全组和路由表。
-
客户端和服务存储加密。有关更多信息,请参阅 Amazon ECS 任务的存储选项。
-
容器映像。有关更多信息,请参阅 Amazon ECS 任务和容器安全性最佳实践。
-
使用任务角色获得应用程序的 IAM 权限。有关更多信息,请参阅 Amazon ECS 任务 IAM 角色。
