Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) は、Docker コンテナをサポートする非常にスケーラブルで高性能なコンテナ管理サービスであり、お客様は Amazon EC2 インスタンスのマネージドクラスターでアプリケーションを簡単に実行できます。Amazon ECS により、お客様は独自のクラスター管理インフラストラクチャをインストール、運用、スケーリングする必要がなくなります。

シンプルな API コールを使用すると、Docker 対応アプリケーションを起動および停止し、クラスターの完全な状態をクエリし、セキュリティグループ、Elastic Load Balancing、EBS ボリューム、IAM ロールなど、多くの使い慣れた機能にアクセスできます。お客様は Amazon ECS を使用して、リソースのニーズと可用性の要件に基づいて、クラスター全体でコンテナの配置をスケジュールできます。

PHI を処理するワークロードで ECS を使用する場合、追加の設定は必要ありません。ECS は、EC2 上のコンテナ (S3 に保存されているイメージ) の起動を調整するオーケストレーションサービスとして機能し、オーケストレーション対象のワークロード内のデータに対して動作または動作しません。HIPAA 規制および AWS 事業提携契約に従い、ECS で起動されたコンテナから PHI にアクセスするときは、転送中および保管時に暗号化する必要があります。各 AWS ストレージオプション (S3、EBS、KMS など) では、保管時の暗号化のためのさまざまなメカニズムを使用できます。コンテナ間で送信される PHI の完全な暗号化を確保すると、お客様が冗長な暗号化レイヤーを提供するためにオーバーレイネットワーク (VNS3、Weave Net など) をデプロイする必要もあります。ただし、完全なログ記録も有効にし ( など）、 CloudTrailすべてのコンテナインスタンスログを に送信する必要があります CloudWatch。

PHI を処理するワークロードで Firelens と AWS for Fluent Bit を使用する場合、ログに PHI が含まれない限り、追加の設定は必要ありません。ログに PHI が含まれている場合は、ディスク暗号化が有効になっていない限り、ログファイルに出力しないでください。代わりに、 によって自動的に収集される標準出力/エラーにログを送信するようにアプリケーションを設定します FireLens。同様に、ディスク暗号化も有効になっていない限り、Fluent Bit のファイルバッファリングを有効にしないでください。最後に、ログ送信先は をサポートする必要があります encryption-in-transit。AWS for Fluent Bit のすべての AWS サービス出力プラグインは、常に TLS 暗号化を使用してログをエクスポートします。