View a markdown version of this page

AWS Modell der gemeinsamen Verantwortung für Amazon ECS - Amazon Elastic Container Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Modell der gemeinsamen Verantwortung für Amazon ECS

Sicherheit und Compliance liegen in der gemeinsamen AWS Verantwortung des Kunden. Dieses gemeinsame Modell kann dazu beitragen, den Kunden beim AWS Betrieb, der Verwaltung und der Kontrolle der Komponenten vom Host-Betriebssystem über die Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, zu entlasten. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches) und andere damit verbundene Anwendungssoftware sowie die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Verantwortlichkeit von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängt. Diese geteilte Verantwortung bietet auch die nötige Flexibilität und Kundenkontrolle für eine Bereitstellung.

Fargate

Die folgende Abbildung zeigt das Modell der geteilten Verantwortung für den Fargate-Starttyp. Fargate führt jeden Workload in einer isolierten Hardware-Virtualisierungsumgebung aus. Dadurch erhält jede Aufgabe eine eigene Infrastrukturkapazität. Container-Workloads, die in Fargate ausgeführt werden, teilen sich kein Betriebssystem, keinen Linux-Kernel, keine Netzwerkschnittstelle, keinen flüchtigen Speicher, keine CPU oder keinen Arbeitsspeicher mit anderen Aufgaben. Bei der Verwendung von Fargate sind Kunden nicht für die Sicherung der Recheninfrastruktur verantwortlich, auf der ihre Container ausgeführt werden. Fargate kümmert sich um die Bereitstellung und Wartung der Infrastruktur, auf der die Workloads der Kunden ausgeführt werden. Weitere Informationen finden Sie unter Außerbetriebnahme und Wartung von Aufgaben für AWS Fargate auf Amazon ECS.

Sie sind für die Verwaltung der folgenden Ressourcen verantwortlich:

Diagramm, das das Modell der geteilten Verantwortung für Fargate in Amazon ECS zeigt.

EC2

Die folgende Abbildung zeigt die geteilte Verantwortung für EC2. Wenn Sie Aufgaben auf EC2-Instances ausführen, sind Sie zusätzlich zu den folgenden Ressourcen für die Wartung Ihrer EC2-Instances verantwortlich:

  • Der Amazon-ECS-Agent.

  • Das EC2-Instance-AMI, einschließlich Patchen und Härten.

  • Netzwerkkonfiguration einschließlich VPC, NACLs, Sicherheitsgruppen und Routing-Tabellen.

  • Verschlüsselung des Client- und Service-Speichers. Weitere Informationen finden Sie unter Speicheroptionen für Amazon-ECS-Aufgaben.

  • Container-Images. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon-ECS-Aufgaben und -Container.

  • IAM-Berechtigungen für die Anwendungen mithilfe der Aufgabenrolle. Weitere Informationen finden Sie unter Aufgaben-IAM-Rolle für Amazon ECS.

  • Konfiguration von Container-Instances zur Blockierung des Container-Zugriffs auf den Amazon EC2 Instance Metadata Service (IMDS) Weitere Informationen finden Sie unter Empfehlungen für Rollen.

  • Sicherheitsüberlegungen für Workloads am gleichen Standort. Im Gegensatz zu Fargate gibt es bei EC2-Container-Instances keine Aufgabenisolierung. Container können potenziell auf Anmeldeinformationen, Umgebungsvariablen und temporäre Dateien von anderen Aufgaben auf derselben Instance zugreifen, einschließlich Daten, die von zuvor ausgeführten Aufgaben zurückgelassen wurden. Für sensible Anwendungen sollten Sie Ihre Umgebung so konfigurieren, dass jede Anwendung auf dedizierten Instanzen ausgeführt wird.

Das folgende Diagramm veranschaulicht das Modell der gemeinsamen Verantwortung für EC2 und zeigt, welche Sicherheitsaufgaben von Ihnen verwaltet werden AWS und welche Ihnen obliegen.

Diagramm, das das Modell der geteilten Verantwortung für EC2 in Amazon ECS zeigt.