Runtime Monitoring für Amazon einschalten ECS - Amazon Elastic Container Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Runtime Monitoring für Amazon einschalten ECS

Sie können so konfigurieren GuardDuty , dass der Security Agent für alle Ihre Fargate-Cluster automatisch verwaltet wird.

Voraussetzungen

Dies sind die Voraussetzungen für die Verwendung von Runtime Monitoring:

  • Die Fargate-Plattformversion muss für Linux 1.4.0 oder höher sein.

  • IAMRollen und Berechtigungen für AmazonECS:

  • Verbindung zum ECR Amazon-Repository herstellen:

    Der GuardDuty Security Agent ist in einem ECR Amazon-Repository gespeichert. Jeder Standalone-Task und jeder Service-Task benötigt Zugriff auf das Repository. Verwenden Sie eine der folgenden Optionen:

    • Für Aufgaben in öffentlichen Subnetzen können Sie entweder eine öffentliche IP-Adresse für die Aufgabe verwenden oder einen VPC Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird. Weitere Informationen finden Sie unter Amazon ECR interface VPC endpoints (AWS PrivateLink) im Amazon Elastic Container Registry-Benutzerhandbuch.

    • Für Aufgaben in privaten Subnetzen können Sie ein Network Address Translation (NAT) -Gateway verwenden oder einen VPC Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird.

      Weitere Informationen finden Sie unter Privates Subnetz und NAT Gateway.

  • Sie müssen die AWSServiceRoleForAmazonGuardDuty Rolle für GuardDuty haben. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für GuardDuty im GuardDutyAmazon-Benutzerhandbuch.

  • Alle Dateien, die Sie mit Runtime Monitoring schützen möchten, müssen für den Root-Benutzer zugänglich sein. Wenn Sie die Berechtigungen einer Datei manuell geändert haben, müssen Sie sie auf setzen755.

Nachfolgend finden Sie die Voraussetzungen für die Verwendung von Runtime Monitoring in EC2 Container-Instances:

  • Sie müssen die Version 20230929 oder eine neuere Version von Amazon verwenden ECS -AMI.

  • Sie müssen Amazon ECS Agent bis Version 1.77 oder höher auf den Container-Instances ausführen.

  • Sie müssen die Kernel-Version 5.10 oder höher verwenden.

  • Informationen zu den unterstützten Linux-Betriebssystemen und Architekturen finden Sie unter Welche Betriebsmodelle und Workloads unterstützt GuardDuty Runtime Monitoring.

  • Sie können Systems Manager verwenden, um Ihre Container-Instances zu verwalten. Weitere Informationen finden Sie im AWS Systems Manager Session Manager Benutzerhandbuch unter Systems Manager für EC2 Instanzen einrichten.

Verfahren

Sie aktivieren Runtime Monitoring in GuardDuty. Informationen zur Aktivierung der Funktion finden Sie unter Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.