Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) 是可高度擴展的高效能容器管理服務，可支援 Docker 容器，並可讓客戶在 Amazon EC2 執行個體的受管叢集上輕鬆執行應用程式。Amazon ECS 讓客戶無需安裝、操作和擴展自己的叢集管理基礎設施。

透過簡單的 API 呼叫，客戶可以啟動和停止啟用 Docker 的應用程式、查詢叢集的完整狀態，以及存取許多熟悉的功能，例如安全群組、Elastic Load Balancing、EBS 磁碟區和 IAM 角色。客戶可以使用 Amazon ECS，根據其資源需求和可用性需求，在叢集中排定容器的放置。

將 ECS 與處理 PHI 的工作負載搭配使用，不需要額外的設定。ECS 充當協調服務，可協調 EC2 上容器 (存放在 S3 中的映像) 的啟動，而且不會使用正在編排的工作負載內的資料或對資料進行操作。符合 HIPAA 法規和 AWS 商業夥伴增補合約，在使用 ECS 啟動的容器存取時，PHI 應該在傳輸過程中和靜態進行加密。每個 AWS 儲存選項 (例如 S3、EBS 和 KMS) 均提供多種靜態加密機制。確保在容器之間傳送的 PHI 完全加密，也可能導致客戶部署覆蓋網路 (例如 VNS3、Weave Net 或類似的網路)，以提供冗餘的加密層。不過，也應啟用完整的記錄功能 (例如，透過 CloudTrail)，而且所有容器執行個體記錄都應導向至 CloudWatch。

除非日誌包含 PHI，否則在處理 PHI 的工作負載中使用 Firelens 和 AWS 流利位元不需要額外的配置。如果記錄檔包含 PHI，則除非已啟用磁碟加密，否則不應將它們發出到記錄檔。相反，將您的應用程序配置為將日誌發出標準輸出/錯誤，該日誌將由自動收集。 FireLens同樣地，除非同時啟用磁碟加密，否則請勿為 Fluent Bit 啟用檔案緩衝功能。最後，記錄目的地必須支援 encryption-in-transit；AWS 中 Fluent Bit 的所有 AWS 服務輸出外掛程式將一律使用 TLS 加密來匯出日誌。