Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) 是一项高度可扩展、高性能的容器管理服务，它支持 Docker 容器，并允许客户在由 Amazon EC2 实例组成的托管集群上轻松运行应用程序。Amazon ECS 使客户无需安装、操作和扩展自己的集群管理基础设施。

通过简单的 API 调用，客户可以启动和停止支持 Docker 的应用程序，查询其集群的完整状态，并访问许多熟悉的功能，例如安全组、Elastic Load Balancing、EBS 卷和 IAM 角色。客户可以使用 Amazon ECS 根据其资源需求和可用性要求在其集群中安排容器的放置。

将 ECS 与处理 PHI 的工作负载一起使用，无需额外配置。ECS 充当协调服务，用于协调 EC2 上容器（映像存储在 S3 中）的启动，它不对正在编排的工作负载中的数据进行操作，也不会对正在编排的工作负载中的数据进行操作。根据 HIPAA 法规和 AWS 商业伙伴附录，使用 ECS 启动的容器访问时，PHI 应在传输和静态时进行加密。每个 AWS 存储选项（例如 S3、EBS 和 KMS）都有多种静态加密机制。确保对容器之间发送的 PHI 进行完全加密还可能导致客户部署覆盖网络（例如 VNS3、Weave Net 或类似网络），以提供冗余的加密层。但是，还应启用完整的日志记录（例如，通过 CloudTrail），并且所有容器实例日志都应定向到 CloudWatch。

使用 Firelens 和 f AWS or Fluent Bit 处理处理 PHI 的工作负载无需额外配置，除非日志包含 PHI。如果日志包含 PHI，则除非启用了磁盘加密，否则不应将其发送到日志文件中。取而代之的是，将您的应用程序配置为将日志发送到标准输出/错误，这些日志将由自动收集。 FireLens同样，除非还启用了磁盘加密，否则不要为 Fluent Bit 启用文件缓冲。最后，日志目标必须支持 encryption-in-transit；AWS for Fluent Bit 中的所有 AWS 服务输出插件都将始终使用 TLS 加密来导出日志。