Responsabilidades de AWS Responsabilidades del cliente

Modelo de responsabilidad compartida para instancias administradas de Amazon ECS

Instancias administradas de Amazon ECS proporciona una solución administrada para cargas de trabajo en contenedores que combina la simplicidad operativa de Fargate con el acceso a la amplia gama de tipos y capacidades de instancias de Amazon EC2. AWS gestiona el aprovisionamiento, los parches, el escalado y el mantenimiento de la infraestructura, mientras que los clientes retienen el control sobre sus aplicaciones y configuraciones específicas.

A diferencia de Fargate, las cargas de trabajo en contenedores que se ponen en marcha en Instancias administradas de Amazon ECS comparten sistema operativo, kernel de Linux, interfaz de red, almacenamiento efímero, CPU, memoria y recursos de GPU con otras tareas de la misma instancia. Amazon ECS optimiza la utilización de la infraestructura al colocar varias tareas en instancias más grandes para minimizar la capacidad no utilizada.

Responsabilidades de AWS

Al utilizar instancias administradas de Amazon ECS, AWS es responsable de:

Aprovisionamiento de instancias y administración del ciclo de vida
Revisiones del sistema operativo y actualizaciones de seguridad
Escalado y optimización de infraestructuras
Reemplazo y mantenimiento de instancias (vida útil máxima de la instancia de 21 días)
Restricciones de control de acceso (sin acceso a SSH, sin acceso al administrador de sesiones de SSM)
El almacenamiento de instancias de Amazon EC2 está cifrado, que es un almacenamiento directamente asociado a la instancia. Para obtener más información, consulte Protección de datos en Amazon EC2.
Amazon ECS administra los volúmenes asociados a las instancias de EC2 en el momento de la creación, incluidos los volúmenes raíz y de datos.
Amazon ECS utiliza instancias administradas de Amazon EC2 de forma interna. Para obtener más información sobre Instancias administradas de Amazon EC2, consulte Seguridad en Amazon EC2.

Responsabilidades del cliente

Usted es responsable de administrar los siguientes recursos:

La configuración de red, que incluye la VPC, las NACL, los grupos de seguridad y las tablas de enrutamiento.
Cifrado de almacenamiento de clientes y servicios. Para obtener más información, consulte Opciones de almacenamiento para las tareas de Amazon ECS.
Imágenes de contenedor. Para obtener más información, consulte Prácticas recomendadas de seguridad para las tareas y contenedores de Amazon ECS.
Permisos de IAM para las aplicaciones mediante el rol de tareas. Para obtener más información, consulte Rol de IAM de tarea de Amazon ECS.
Configuración y supervisión a nivel de aplicación
Definiciones de tareas y servicios
Consideraciones de seguridad para las cargas de trabajo que comparten los recursos de la instancia subyacente
Configuraciones de contenedores privilegiadas y capacidades de Linux mejoradas (CAP_NET_ADMIN, CAP_BPF, etc.) cuando están habilitadas
Operaciones de administración a través de la API Amazon ECS (el acceso directo a las instancias mediante SSH o SSM no está disponible)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Modelo de responsabilidad compartida

Prácticas recomendadas de seguridad de red