Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Runtime Monitoring für Amazon einschalten ECS
Sie können so konfigurieren GuardDuty , dass der Security Agent für alle Ihre Fargate-Cluster automatisch verwaltet wird.
Voraussetzungen
Dies sind die Voraussetzungen für die Verwendung von Runtime Monitoring:
-
Die Fargate-Plattformversion muss für Linux
1.4.0
oder höher sein. IAMRollen und Berechtigungen für AmazonECS:
-
Fargate-Aufgaben müssen eine Aufgaben-Ausführungsrolle verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten. Weitere Informationen finden Sie unter Rolle bei der Ausführung von ECS IAM Amazon-Aufgaben.
-
Sie steuern die Laufzeitüberwachung für einen Cluster mit einem vordefinierten Tag. Wenn Ihre Zugriffsrichtlinien den Zugriff anhand von Tags einschränken, müssen Sie Ihren IAM Benutzern explizite Berechtigungen zum Taggen von Clustern gewähren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMTutorial: Definieren von Zugriffsberechtigungen für AWS Ressourcen auf der Grundlage von Tags.
-
-
Verbindung zum ECR Amazon-Repository herstellen:
Der GuardDuty Security Agent ist in einem ECR Amazon-Repository gespeichert. Jeder Standalone-Task und jeder Service-Task benötigt Zugriff auf das Repository. Verwenden Sie eine der folgenden Optionen:
-
Für Aufgaben in öffentlichen Subnetzen können Sie entweder eine öffentliche IP-Adresse für die Aufgabe verwenden oder einen VPC Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird. Weitere Informationen finden Sie unter Amazon ECR interface VPC endpoints (AWS PrivateLink) im Amazon Elastic Container Registry-Benutzerhandbuch.
Für Aufgaben in privaten Subnetzen können Sie ein Network Address Translation (NAT) -Gateway verwenden oder einen VPC Endpunkt für Amazon ECR in dem Subnetz erstellen, in dem die Aufgabe ausgeführt wird.
Weitere Informationen finden Sie unter Privates Subnetz und NAT Gateway.
-
Sie müssen die
AWSServiceRoleForAmazonGuardDuty
Rolle für GuardDuty haben. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für GuardDuty im GuardDutyAmazon-Benutzerhandbuch.-
Alle Dateien, die Sie mit Runtime Monitoring schützen möchten, müssen für den Root-Benutzer zugänglich sein. Wenn Sie die Berechtigungen einer Datei manuell geändert haben, müssen Sie sie auf setzen
755
.
Nachfolgend finden Sie die Voraussetzungen für die Verwendung von Runtime Monitoring in EC2 Container-Instances:
-
Sie müssen die Version
20230929
oder eine neuere Version von Amazon verwenden ECS -AMI. -
Sie müssen Amazon ECS Agent bis Version
1.77
oder höher auf den Container-Instances ausführen. -
Sie müssen die Kernel-Version
5.10
oder höher verwenden. -
Informationen zu den unterstützten Linux-Betriebssystemen und Architekturen finden Sie unter Welche Betriebsmodelle und Workloads unterstützt GuardDuty Runtime Monitoring
. -
Sie können Systems Manager verwenden, um Ihre Container-Instances zu verwalten. Weitere Informationen finden Sie im AWS Systems Manager Session Manager Benutzerhandbuch unter Systems Manager für EC2 Instanzen einrichten.
Verfahren
Sie aktivieren Runtime Monitoring in GuardDuty. Informationen zur Aktivierung der Funktion finden Sie unter Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.