Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) 는 Docker 컨테이너를 지원하고 고객이 Amazon EC2 인스턴스의 관리형 클러스터에서 애플리케이션을 쉽게 실행할 수 있도록 하는 확장성이 뛰어난 고성능 컨테이너 관리 서비스입니다. Amazon ECS를 사용하면 고객이 자체 클러스터 관리 인프라를 설치, 운영 및 확장할 필요가 없습니다.

간단한 API 호출을 통해 고객은 Docker 지원 애플리케이션을 시작 및 중지하고, 클러스터의 전체 상태를 쿼리하고, 보안 그룹, Elastic Load Balancing, EBS 볼륨 및 IAM 역할과 같은 많은 친숙한 기능에 액세스할 수 있습니다. 고객은 Amazon ECS를 사용하여 리소스 요구 사항 및 가용성 요구 사항에 따라 클러스터 전체에 컨테이너를 배치하도록 예약할 수 있습니다.

PHI를 처리하는 워크로드와 함께 ECS를 사용하면 추가 구성이 필요하지 않습니다. ECS는 EC2에서 컨테이너 (S3에 저장된 이미지) 의 시작을 조정하는 오케스트레이션 서비스 역할을 하며, 오케스트레이션되는 워크로드 내의 데이터와 함께 또는 그 이후에 작동하지 않습니다. HIPAA 규정 및 AWS 비즈니스 제휴 부록에 따라, ECS로 출시된 컨테이너를 통해 PHI를 액세스할 경우 전송 중이거나 유휴 상태에서 PHI를 암호화해야 합니다. 저장 시 암호화를 위한 다양한 메커니즘은 각 AWS 스토리지 옵션 (예: S3, EBS, KMS) 에서 사용할 수 있습니다. 컨테이너 간에 전송되는 PHI를 완전히 암호화하면 고객이 중복 암호화 계층을 제공하기 위해 오버레이 네트워크 (예: VNS3, Weave Net 등) 를 배포해야 할 수도 있습니다. 그럼에도 불구하고 전체 로깅도 활성화 (예: 통해 CloudTrail) 해야 하며 모든 컨테이너 인스턴스 로그를 대상으로 보내야 합니다. CloudWatch

PHI를 처리하는 워크로드와 함께 Firelens와 Fluent Bit를 사용하면 로그에 PHI가 포함되어 있지 않는 한 추가 구성이 필요하지 않습니다. AWS 로그에 PHI가 포함된 경우 디스크 암호화가 활성화되어 있지 않는 한 PHI를 로그 파일로 내보내면 안 됩니다. 대신 에서 자동으로 수집되는 로그를 표준 출력/오류로 내보내도록 애플리케이션을 구성하십시오. FireLens 마찬가지로 디스크 암호화가 활성화되어 있지 않는 한 Fluent Bit에 대한 파일 버퍼링을 활성화하지 마십시오. 마지막으로 로그 대상이 지원해야 합니다 encryption-in-transit. Fluent Bit용 AWS의 모든 AWS 서비스 출력 플러그인은 항상 TLS 암호화를 사용하여 로그를 내보냅니다.