個人的には ALB 先頭にして ECS クラスタは private subnet に突っ込んで、あとは ECR に push した際に脆弱性判定してくれるので、latest なイメージ使う、程度であとは audit なんとか頑張る程度が入門かつそれくらいでちょうどいいんじゃねえか? と思っています。
(コンテナにアタッチしたい場合は private subnet なので SSH 活性化させるとかせず ecs exec の有効化とかコンソールからアクセスするとかで
ecs exec が「用途違う」と言っても、古典的な ssh, scp していた人たちの移行先として候補に上がるのは自明の理なので、もうちょっと融通効かないか? と思ったりしているけど、そうなるとセキュリティゆるくなる方に拡大解釈がなあ、とかあったりでウーン、となる。
という最近悩んでいるヤツでした。 どうしても予算から工数が、となるので、メンテナンス系はバリューの提供に結びつかなくて放置されるので CLI でやる、みたいになってな。
