View a markdown version of this page

Considérations de sécurité pour les instances gérées Amazon ECS - Amazon Elastic Container Service
Modèle de sécuritéComprendre les instances géréesFonctions de sécuritéSupport en matière de conformité et de réglementationFIPS-140 Considérations relatives aux instances gérées Amazon ECSDésactiver le protocole FIPS sur les instances gérées Amazon ECSConsidérations sur la sécuritéBonnes pratiques de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations de sécurité pour les instances gérées Amazon ECS

Les instances gérées Amazon ECS fournissent une expérience de calcul de conteneur entièrement gérée qui vous permet d’exécuter des charges de travail sur des types d’instances Amazon EC2 spécifiques tout en confiant les responsabilités de sécurité à AWS. Cette rubrique décrit le modèle de sécurité, les fonctionnalités et les considérations à prendre en compte lors de l’utilisation des instances gérées Amazon ECS.

Modèle de sécurité

Les instances gérées Amazon ECS mettent en œuvre un modèle de sécurité complet qui concilie flexibilité et protection :

  • AWS-infrastructure gérée : AWS contrôle le cycle de vie des instances gérées et gère les correctifs de sécurité, éliminant ainsi les risques d'erreur humaine et de falsification.

  • Aucun accès administratif : le modèle de sécurité est verrouillé et interdit l’accès administratif aux instances gérées.

  • Multi-task placement - Par défaut, Amazon ECS Managed Instances place plusieurs tâches sur une seule instance afin d'optimiser les coûts et l'utilisation, ce qui allège la contrainte d'isolation de la charge de travail par rapport à Fargate.

  • Isolation des données : bien que AWS contrôlant le cycle de vie des instances et le placement des tâches, il est AWS impossible de se connecter aux instances gérées ni d'accéder aux données des clients.

Comprendre les instances gérées

Amazon ECS Managed Instances fournit des instances gérées EC2 sur votre compte. En tant qu'opérateur désigné, Amazon ECS gère le cycle de vie complet de ces instances en votre nom, y compris le provisionnement, le dimensionnement, l'application de correctifs et la résiliation. Vous n'êtes pas autorisé à mettre fin directement à ces instances ou à modifier leurs paramètres. Pour plus d'informations, consultez Instances gérées Amazon EC2.

Identification des instances gérées

Vous pouvez identifier les instances gérées Amazon ECS dans votre compte à l'aide des indicateurs suivants :

  • Le Operator champ de la DescribeInstances réponse Amazon EC2, avec une valeur de. ecs.amazonaws.com

  • La aws:ec2:managed-launch balise de l'instance, avec une valeur deecs-managed-instances.

Visibilité des ressources gérées

À compter du 22 avril 2026, Amazon EC2 masque les nouvelles instances gérées dans les vues de votre console Amazon EC2 et dans les opérations de liste d'API par défaut. Les paramètres de visibilité n'affectent pas la facturation ni le fonctionnement des ressources, et les instances gérées restent pleinement opérationnelles et facturables quelle que soit la configuration de visibilité. Vous pouvez modifier ce comportement à tout moment. Pour plus d'informations, consultez la section Paramètres de visibilité des ressources gérées.

Fonctions de sécurité

Les instances gérées Amazon ECS incluent plusieurs fonctionnalités de sécurité intégrées conçues pour protéger vos charges de travail et maintenir un niveau de sécurité élevé. Ces fonctionnalités vont de l’application automatique de correctifs de sécurité à la prise en charge de fonctionnalités Linux privilégiées en cas de besoin.

Bonnes pratiques de sécurité

Les instances gérées sont configurées conformément aux meilleures pratiques de AWS sécurité, notamment :

  • Aucun accès SSH : l’accès au shell à distance est désactivé pour empêcher tout accès non autorisé.

  • Système de fichiers racine immuable : le système de fichiers racine ne peut pas être modifié, ce qui garantit l’intégrité du système.

  • Kernel-level contrôles d'accès obligatoires - SELinux fournit des mesures de sécurité supplémentaires au niveau du noyau.

Application de correctifs de sécurité automatiques

Les instances gérées Amazon ECS permettent d’améliorer le niveau de sécurité de vos charges de travail grâce à l’application automatique de correctifs :

  • Mises à jour de sécurité régulières : les instances sont régulièrement mises à jour avec les derniers correctifs de sécurité par AWS rapport aux fenêtres de maintenance que vous configurez.

  • Durée de vie limitée de l’instance : la durée de vie maximale d’une instance en cours d’exécution est limitée à 14 jours afin de garantir que les applications s’exécutent sur des instances correctement configurées et dotées des derniers correctifs de sécurité.

  • Contrôle des fenêtres de maintenance : vous pouvez utiliser la fonctionnalité des fenêtres d’événements Amazon EC2 pour spécifier à quel moment Amazon ECS doit remplacer vos instances par des instances corrigées.

Fonctionnalités Linux privilégiées

Les instances gérées Amazon ECS prennent en charge les logiciels qui nécessitent des privilèges Linux élevés, permettant ainsi des solutions de surveillance et de sécurité avancées :

  • Fonctionnalités prises en charge : vous pouvez activer toutes les fonctionnalités Linux privilégiées, y compris CAP_NET_ADMIN, CAP_SYS_ADMIN, et CAP_BPF.

  • Solutions populaires : cela vous permet d’exécuter des solutions populaires de surveillance et d’observabilité du réseau, telles que Wireshark et Datadog.

  • Configuration explicite requise : vous devez configurer explicitement votre fournisseur de capacité d’instances gérées Amazon ECS pour activer les fonctionnalités Linux privilégiées, car cela peut présenter des risques de sécurité supplémentaires pour vos applications.

Important

L’activation de fonctionnalités Linux privilégiées peut exposer vos tâches à des risques de sécurité supplémentaires. N’activez ces fonctionnalités que lorsque vos applications l’exigent et assurez-vous de bien comprendre les implications en matière de sécurité.

Support en matière de conformité et de réglementation

Les instances gérées Amazon ECS maintiennent le même niveau de conformité qu’Amazon ECS :

  • Programmes de conformité : les instances gérées Amazon ECS sont couvertes par les mêmes programmes d' AWS assurance qu'Amazon ECS PCI-DSS, notamment les normes HIPAA et FedRAMP.

  • Points de terminaison FIPS : les instances gérées Amazon ECS prennent en charge la configuration des points de terminaison FIPS au niveau du fournisseur de capacité. Contrairement à Fargate, qui utilise un paramètre au niveau du compte, Amazon ECS Managed Instances utilise un paramètre par fournisseur de capacité, car FIPS est une configuration par instance. Vous configurez le protocole FIPS lors de la création ou de la mise à jour d'un fournisseur de capacité.

  • Clés gérées par le client : les fonctionnalités de sécurité requises pour garantir la conformité, telles que les clés gérées par le client pour le chiffrement, sont prises en charge.

FIPS-140 Considérations relatives aux instances gérées Amazon ECS

Tenez compte des points suivants lorsque vous utilisez la FIPS-140 conformité sur les instances gérées Amazon ECS :

  • FIPS-140-compliant Les AMI des instances gérées sont disponibles uniquement dans les AWS GovCloud (US) régions.

  • Les instances gérées Amazon ECS prennent en charge FIPS-140-3

  • FIPS-140 la conformité est activée par défaut dans les AWS GovCloud (US) régions. Si vous devez exécuter des charges de travail sans conformité à la norme FIPS, désactivez-la dans la configuration du fournisseur de capacité des instances gérées.

  • Vos tâches doivent être axées sur X86_64 la FIPS-140 conformité. cpuArchitecture

Désactiver le protocole FIPS sur les instances gérées Amazon ECS

Par défaut, les fournisseurs de capacité des instances gérées Amazon ECS dans AWS GovCloud (US) les régions lancent des FIPS-compliant AMI. Vous choisissez de désactiver la FIPS-140 conformité lors de la création d'un nouveau fournisseur de capacité d'instances gérées Amazon ECS. Suivez ces étapes pour créer un nouveau fournisseur de capacité non conforme à la norme FIPS.

  1. Désactivez FIPS-140 la conformité sur Capacity Provider.

    aws ecs create-capacity-provider \
    --cluster cluster-name \
    --name capacity-provider-name \
    --managed-instances-provider '{
        "infrastructureRoleArn": "infrastructure-role-arn",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "instance-profile-arn",
            "fipsEnabled": false,
            "networkConfiguration": {
                "subnets": ["subnet-id"],
                "securityGroups": ["security-group-id"]
            }
        }
    }'

  2. Vous pouvez éventuellement utiliser ECS Exec pour exécuter la commande suivante afin de vérifier l'état de FIPS-140 conformité d'un fournisseur de capacité.

    Remplacez-le cluster-name par le nom de votre cluster, task-id par l'ID ou l'ARN de votre tâche et container-name par le nom du conteneur de votre tâche sur lequel vous souhaitez exécuter la commande.

    Une valeur renvoyée de « 1 » indique que vous utilisez FIPS.

    aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Considérations sur la sécurité

Lorsque vous utilisez des instances gérées Amazon ECS, vous devez comprendre et planifier plusieurs considérations de sécurité importantes. Ces considérations vous aident à prendre des décisions éclairées concernant l’architecture de votre charge de travail et les exigences de sécurité.

Multi-task modèle de sécurité

Le modèle de placement multitâche par défaut dans les instances gérées Amazon ECS est différent de l’isolation monotâche de Fargate :

  • Ressources d’instance partagées : plusieurs tâches peuvent s’exécuter sur la même instance, ce qui peut exposer une tâche à des vulnérabilités émanant d’autres tâches exécutées sur la même instance ou dans le même cluster ECS.

  • Single-task option - Vous pouvez configurer les instances gérées Amazon ECS pour utiliser le mode tâche unique pour les clients qui ont besoin du modèle VM-level de sécurité Fargate par défaut avec limite d'isolation de sécurité.

  • Compromis entre coût et sécurité : le Multi-task mode permet d'optimiser les coûts et de raccourcir les temps de démarrage des tâches, tandis que le mode monotâche permet une meilleure isolation.

Gestion des interruptions d’instance

Il est important de concevoir vos applications de manière à tolérer les interruptions lorsque vous utilisez des instances gérées Amazon ECS :

  • Tolérance aux interruptions : utilisez les instances gérées Amazon ECS avec des applications qui tolèrent l’interruption des services ou des tâches sous-jacents.

  • Service-based charges de travail : utilisez les services Amazon ECS pour le remplacement automatique des tâches, ou exécutez des charges de travail d'une durée contrôlée et limitée ne dépassant pas 14 jours sur des tâches autonomes.

  • Arrêt progressif : configurez la période de grâce d’arrêt des tâches pour contrôler l’impact des interruptions.

Accès aux données et confidentialité

Les instances gérées Amazon ECS appliquent des contrôles d’accès aux données stricts :

  • Aucun accès aux données client : bien que AWS contrôlant le cycle de vie des instances gérées et le placement des tâches sur les instances, il AWS ne peut pas se connecter aux instances gérées ni accéder aux données des clients.

  • Métriques et journaux uniquement : AWS capture uniquement les métriques et les journaux associés nécessaires pour fournir les fonctionnalités des instances gérées Amazon ECS.

  • Locked-down modèle de sécurité - Le modèle de sécurité interdit l'accès administratif, éliminant ainsi le risque d'erreur humaine et de falsification.

Bonnes pratiques de sécurité

Suivez ces pratiques exemplaires lors de l’utilisation d’instances gérées Amazon ECS :

  • Évaluer le modèle de sécurité : prenez la décision consciente d’adopter les instances gérées Amazon ECS en fonction de vos exigences en matière de sécurité, notamment en ce qui concerne le modèle de placement multitâche.

  • Utiliser le mode monotâche en cas de besoin : si vos charges de travail nécessitent une isolation renforcée, configurez les instances gérées Amazon ECS pour utiliser le mode monotâche.

  • Minimiser les fonctionnalités privilégiées : n’activez les fonctionnalités Linux privilégiées que lorsque cela est absolument nécessaire et comprenez les risques de sécurité associés.

  • Planifier les interruptions : concevez des applications capables de gérer correctement le remplacement des instances, en tenant particulièrement compte de la durée de vie maximale de 14 jours des instances.

  • Configurer les fenêtres de maintenance : utilisez les fenêtres d’événements EC2 pour contrôler le moment où les remplacements d’instances ont lieu afin de minimiser l’impact sur vos charges de travail.

  • Surveiller et auditer : passez régulièrement en revue la configuration de vos instances gérées Amazon ECS et surveillez tout événement ou modification lié à la sécurité.