何が起きたか
2026年7月1日公開:AWS Network FirewallはAmazon EKSおよびECSクラスター向けコンテナ属性ベースルールをサポートするようになり、セキュリティポリシーをコンテナメタデータ(ポッドラベル、タスク定義、イメージタグ)にキーイングして有効化します。AWSブログは明示的にAI/MLワークロードを主要ユースケースとして言及し、モデル提供コンテナ、エージェントランタイム、データパイプラインコンテナを他のワークロードからマイクロセグメント化することを可能にし、IPごとのルール管理は不要です。
なぜ重要か
AWS上のAI/MLワークロード隔離の長年のギャップを閉じます:以前は、ネットワークレベルのルールは同じノードを共有するLLM推論コンテナと汎用アプリコンテナを区別できませんでした。コンテナ属性ルールは手動IP追跡なしでエージェントランタイム向けの最小権限ネットワークポリシーを有効化します。
適用範囲
EKS またはECS上でAI/MLワークロードを実行しているAWSユーザーは、過度に広いセキュリティグループルールを置き換えるためにコンテナ属性ベースルールを評価すべきです。特に agentic ランタイム(AWS Bedrock AgentCore、カスタムLangChainコンテナ)と機密データサービスを並行して実行しているチームに関連します。