Amazon ECS 托管实例的责任共担模式
Amazon ECS 托管实例为容器化工作负载提供了托管解决方案,它将 Fargate 的操作简便性与对所有 Amazon EC2 实例类型和功能的访问相结合。AWS 处理基础设施预置、修补、扩展和维护,同时客户保留对其应用程序和特定配置的控制权。
与 Fargate 不同,Amazon ECS 托管实例上运行的容器化工作负载会与同一实例上的其他任务共享操作系统、Linux 内核、网络接口、临时存储、CPU、内存和 GPU 资源。Amazon ECS 通过将多个任务放置在更大的实例上来优化基础设施利用率,从而最大限度地减少未使用的容量。
AWS 责任
使用 Amazon ECS 托管实例时,AWS 负责:
-
实例预置和生命周期管理
-
操作系统修补和安全更新
-
基础设施扩展和优化
-
实例替换和维护(实例最长生命周期为 21 天)
-
访问控制限制(无 SSH 访问权限,无 SSM 会话管理器访问权限)
-
Amazon EC2 实例存储加密,即直接附加到实例的存储。有关更多信息,请参阅 Amazon EC2 中的数据保护。
-
Amazon ECS 管理在创建时附加到 Amazon EC2 实例的卷,包括根卷和数据卷。
-
Amazon ECS 在幕后使用 Amazon EC2 托管实例。有关 Amazon EC2 托管实例的更多信息,请参阅 Amazon EC2 中的安全性。
客户责任
您将负责以下资源的管理:
-
网络配置,包括 VPC、NACL、安全组和路由表。
-
客户端和服务存储加密。有关更多信息,请参阅 Amazon ECS 任务的存储选项。
-
容器映像。有关更多信息,请参阅 Amazon ECS 任务和容器安全性最佳实践。
-
使用任务角色获得应用程序的 IAM 权限。有关更多信息,请参阅 Amazon ECS 任务 IAM 角色。
-
应用程序级别配置和监控
-
任务和服务定义
-
共享底层实例资源的工作负载的安全注意事项
-
启用后的特权容器配置和增强的 Linux 功能(CAP_NET_ADMIN、CAP_BPF 等)
-
通过 Amazon ECS API 进行管理操作(无法通过 SSH 或 SSM 直接访问实例)
