Amazon ECS の AWS 責任共有モデル。

セキュリティとコンプライアンスに関して、AWS とお客様の間で責任を共有します。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーからサービスが運用されている施設の物理的なセキュリティに至るまで、さまざまなコンポーネントを AWS が運用、管理、制御するため、お客様の運用の負担が軽減されます。お客様は、AWS が提供するセキュリティグループのファイアウォール設定に加えて、ゲストオペレーティングシステム (更新やセキュリティパッチを含む) およびその他の関連アプリケーションソフトウェアを管理し、責任を持って管理する必要があります。お客様の責任範囲は、使用するサービス、IT 環境へのサービス統合、適用される法規制に応じて異なります。このため、お客様は選択するサービスを注意深く検討する必要があります。この責任共有モデルの性質によって柔軟性が得られ、お客様はデプロイを統制できます。

Fargate 起動タイプ

次の図は、Fargate 起動タイプの責任共有モデルを示しています。Fargate は分離されたハードウェア仮想化環境で各ワークロードを実行します。その結果、各タスクは専用のインフラストラクチャキャパシティを取得します。Fargate で実行されているコンテナ化されたワークロードは、オペレーティングシステム、Linux カーネル、ネットワークインターフェイス、エフェメラルストレージ、CPU、またはメモリを他のタスクと共有しません。Fargate を使用する場合、お客様はコンテナを実行するコンピューティングインフラストラクチャのセキュリティを管理する責任を負いません。Fargate は、お客様のワークロードを実行するインフラストラクチャをプロビジョニングしてパッチを適用します。詳細については、「AWS Fargate on Amazon ECS のタスクの廃止とメンテナンス」を参照してください。

お客様は次のリソースを管理する責任があります。

VPC、NACL、セキュリティグループ、ルートテーブルなどのネットワーク設定
クライアントとサービスストレージの暗号化。詳細については、「Amazon ECS タスクのストレージオプション」を参照してください。
コンテナイメージ詳細については、「Amazon ECS タスクおよびコンテナのセキュリティのベストプラクティス」を参照してください。
タスクロールを使用したアプリケーションの IAM アクセス許可。詳細については、「Amazon ECS タスクの IAM ロール」を参照してください。

EC2 起動タイプ

次の図は、EC2 起動タイプの責任共有を示しています。EC2 インスタンスでタスクを実行する場合、次のリソースに加えて EC2 インスタンスを保守する責任があります。

Amazon ECS エージェント。
• パッチ適用と強化を含む EC2 インスタンス AMI。
VPC、NACL、セキュリティグループ、ルートテーブルなどのネットワーク設定。
クライアントとサービスストレージの暗号化。詳細については、「Amazon ECS タスクのストレージオプション」を参照してください。
コンテナイメージ詳細については、「Amazon ECS タスクおよびコンテナのセキュリティのベストプラクティス」を参照してください。
タスクロールを使用したアプリケーションの IAM アクセス許可。詳細については、「Amazon ECS タスクの IAM ロール」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

インターフェイス VPC エンドポイント (AWS PrivateLink)

ネットワークセキュリティのベストプラクティス