Amazon ECS マネージドインスタンスの責任共有モデル - Amazon Elastic Container Service
AWS の責任お客様の責任

Amazon ECS マネージドインスタンスの責任共有モデル

Amazon ECS マネージドインスタンスは、Fargate のシンプルな運用と、幅広い Amazon EC2 インスタンスタイプと機能へのアクセスを組み合わせて、コンテナ化されたワークロードによるマネージドソリューションを提供します。AWS はインフラストラクチャのプロビジョニング、パッチ適用、スケーリング、メンテナンスを処理し、お客様はアプリケーションと特定の設定を制御します。

Fargate とは異なり、Amazon ECS マネージドインスタンスで実行されているコンテナ化されたワークロードは、オペレーティングシステム、Linux カーネル、ネットワークインターフェイス、エフェメラルストレージ、CPU、メモリ、GPU リソースを、同じインスタンス上の他のタスクと共有します。Amazon ECS は、未使用の容量を最小限に抑えるために、より大きいインスタンスに複数のタスクを配置することで、インフラストラクチャの使用率を最適化します。

AWS の責任

Amazon ECS マネージドインスタンスを使用する場合、AWS は以下を担当します。

  • インスタンスのプロビジョニングとライフサイクル管理

  • オペレーティングシステムのパッチ適用とセキュリティ更新

  • インフラストラクチャのスケーリングと最適化

  • インスタンスの置換とメンテナンス (最大 21 日間のインスタンス有効期間)

  • アクセスコントロールの制限 (SSH アクセスなし、SSM セッションマネージャーのアクセスなし)

  • Amazon EC2 インスタンスストレージは暗号化され、インスタンスに直接アタッチされたストレージとなります。詳細については、「Amazon EC2 でのデータ保護」を参照してください。

  • Amazon ECS は、ルートボリュームやデータボリュームなど、作成時に Amazon EC2 インスタンスにアタッチされたボリュームを管理します。

  • Amazon ECS は内部で Amazon EC2 マネージドインスタンスを使用します。Amazon EC2 マネージドインスタンスの詳細については、「Amazon EC2 のセキュリティ」を参照してください。

お客様の責任

お客様は次のリソースを管理する責任があります。

  • VPC、NACL、セキュリティグループ、ルートテーブルなどのネットワーク設定

  • クライアントとサービスストレージの暗号化。詳細については、「Amazon ECS タスクのストレージオプション」を参照してください。

  • コンテナイメージ 詳細については、「Amazon ECS タスクおよびコンテナのセキュリティのベストプラクティス」を参照してください。

  • タスクロールを使用したアプリケーションの IAM アクセス許可。詳細については、「Amazon ECS タスクの IAM ロール」を参照してください。

  • アプリケーションレベルの設定とモニタリング

  • タスクとサービスの定義

  • 基盤となるインスタンスリソースを共有するワークロードに関するセキュリティ上の考慮事項

  • 有効な場合の特権コンテナ設定と拡張 Linux 機能 (CAP_NET_ADMIN、CAP_BPF など)

  • Amazon ECS API による管理オペレーション (SSH または SSM 経由のインスタンスへの直接アクセスは利用できません)