Voraussetzungen für den Support AWS Fargate (ECSnur Amazon) - Amazon GuardDuty
Validierung der architektonischen AnforderungenGeben Sie die ECR Berechtigungen und Subnetzdetails anValidierung der Service-Control-Richtlinie Ihres UnternehmensCPUund Speicherlimits

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für den Support AWS Fargate (ECSnur Amazon)

Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer ECS Fargate-Amazon-Ressourcen. Wenn diese Voraussetzungen erfüllt sind, finden Sie weitere Informationen unter. GuardDuty Runtime Monitoring aktivieren

Validierung der architektonischen Anforderungen

Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent den Empfang der Runtime-Ereignisse von Ihren ECS Amazon-Clustern unterstützt GuardDuty . Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden.

Erste Überlegungen:

Die AWS Fargate Plattform für Ihre ECS Amazon-Cluster muss Linux sein. Die entsprechende Plattformversion muss mindestens1.4.0, oder seinLATEST. Weitere Informationen zu den Plattformversionen finden Sie unter Linux-Plattformversionen im Amazon Elastic Container Service Developer Guide.

Die Windows-Plattformversionen werden noch nicht unterstützt.

Verifizierte Plattformen

Die Verteilung und CPU Architektur des Betriebssystems wirken sich auf die Unterstützung durch den GuardDuty Security Agent aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von Runtime Monitoring.

Betriebssystem-Verteilung1 Kernel-Unterstützung CPU-Architektur
x64 () AMD64 Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Unterstützt Unterstützt

1 Support für verschiedene Betriebssysteme — GuardDuty hat die Unterstützung für die Verwendung von Runtime Monitoring auf den in der obigen Tabelle aufgeführten Betriebssystemen überprüft. Wenn Sie ein anderes Betriebssystem verwenden und den Security Agent erfolgreich installieren können, erhalten Sie möglicherweise alle erwarteten Sicherheitswerte, die mit der aufgelisteten Betriebssystemdistribution verifiziert wurden. GuardDuty

Geben Sie die ECR Berechtigungen und Subnetzdetails an

Bevor Sie Runtime Monitoring aktivieren, müssen Sie die folgenden Details angeben:

Stellen Sie eine Rolle zur Aufgabenausführung mit Berechtigungen bereit

Für die Rolle zur Aufgabenausführung benötigen Sie bestimmte Amazon Elastic Container Registry (AmazonECR) -Berechtigungen. Sie können entweder die von A mazonECSTask ExecutionRolePolicy verwaltete Richtlinie verwenden oder Ihrer TaskExecutionRole Richtlinie die folgenden Berechtigungen hinzufügen:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Um die ECR Amazon-Berechtigungen weiter einzuschränken, können Sie das ECR Amazon-Repository hinzufügenURI, das den GuardDuty Security Agent für hostet AWS Fargate (ECSnur Amazon). Weitere Informationen finden Sie unter Repository für GuardDuty Agenten auf AWS Fargate (ECSnur Amazon).

Geben Sie die Subnetzdetails in der Aufgabendefinition an

Sie können entweder die öffentlichen Subnetze als Eingabe in Ihrer Aufgabendefinition angeben oder einen ECR VPC Amazon-Endpunkt erstellen.

  • Option zur Aufgabendefinition verwenden — Wenn Sie CreateServiceund UpdateServiceAPIsin der Amazon Elastic Container Service API Reference ausführen, müssen Sie die Subnetzinformationen übergeben. Weitere Informationen finden Sie unter ECSAmazon-Aufgabendefinitionen im Amazon Elastic Container Service Developer Guide.

  • Verwenden der ECR VPC Amazon-Endpunktoption — Netzwerkpfad zu Amazon ECR angeben — Stellen Sie sicher, dass das ECR Amazon-RepositoryURI, das den GuardDuty Security Agent hostet, über das Netzwerk zugänglich ist. Wenn Ihre Fargate-Aufgaben in einem privaten Subnetz ausgeführt werden, benötigt Fargate den Netzwerkpfad, um den Container herunterzuladen. GuardDuty

    Informationen darüber, wie Fargate den GuardDuty Container herunterladen kann, finden Sie unter Using Amazon ECR Images with Amazon ECS im Amazon Elastic Container Registry-Benutzerhandbuch.

Validierung der Service-Control-Richtlinie Ihres Unternehmens

Dieser Schritt ist erforderlich, um Runtime Monitoring GuardDuty zu unterstützen und die Abdeckung verschiedener Ressourcentypen zu bewerten.

Wenn Sie eine Dienststeuerungsrichtlinie (SCP) zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, stellen Sie sicher, dass in Ihrer Richtlinie TaskExecutionRole und guardduty:SendSecurityTelemetry in der zugehörigen Richtlinie keine Einschränkungen durch die Berechtigungsgrenzen bestehen.

Die folgende Richtlinie ist ein Beispiel für die Zulassung der guardduty:SendSecurityTelemetry Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

  1. Gehen Sie wie folgt vor, um zu überprüfen, ob die Grenze der Berechtigungen keine Einschränkungen darstellt: guardduty:SendSecurityTelemetry

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

    2. Wählen Sie im Navigationsbereich unter Zugriffsverwaltung die Option Rollen aus.

    3. Wählen Sie den Rollennamen für die Detailseite aus.

    4. Erweitern Sie den Abschnitt Grenze der Berechtigungen. Stellen Sie sicher, dass guardduty:SendSecurityTelemetry das nicht verweigert oder eingeschränkt ist.

  2. Gehen Sie wie folgt vor, um zu überprüfen, ob die für Ihre TaskExecutionRole Richtlinie geltenden Zugriffsrechte nicht einschränkend sindguardduty:SendSecurityTelemetry:

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie im Navigationsbereich unter Zugriffsverwaltung die Option Richtlinien aus.

    3. Wählen Sie den Richtliniennamen für die Detailseite aus.

    4. Sehen Sie sich auf der Registerkarte Angehängte Entitäten den Abschnitt Als Rechtegrenze angehängt an. Stellen Sie sicher, dass guardduty:SendSecurityTelemetry das nicht verweigert oder eingeschränkt ist.

Informationen zu Richtlinien und Berechtigungen finden Sie im IAMBenutzerhandbuch unter Grenzen von Berechtigungen.

Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung SCPs für Ihre Organisation finden Sie unter Richtlinien zur Servicesteuerung (SCPs).

CPUund Speicherlimits

In der Fargate-Aufgabendefinition müssen Sie den Wert CPU und den Speicherwert auf Aufgabenebene angeben. Die folgende Tabelle zeigt die gültigen Kombinationen von Werten auf Taskebene CPU und Speicher sowie die entsprechende maximale Speicherbegrenzung des GuardDuty Security Agents für den Container. GuardDuty

CPU Wert Speicherwert GuardDuty Maximales Speicherlimit für den Agenten

256 (2,5 VCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (1,5 V) CPU

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 VCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 VCPU)

Zwischen 4 GB und 16 GB in 1-GB-Schritten

4096 (4 V) CPU

Zwischen 8 GB und 20 GB in Schritten von 1 GB

8192 (8 V) CPU

Zwischen 16 GB und 28 GB in Schritten von 4 GB

256 MB

Zwischen 32 GB und 60 GB in Schritten von 4 GB

512 MB

16384 (16 V) CPU

Zwischen 32 GB und 120 GB in 8-GB-Schritten

1 GB

Nachdem Sie Runtime Monitoring aktiviert und festgestellt haben, dass der Abdeckungsstatus Ihres Clusters fehlerfrei ist, können Sie die Container Insight-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter Überwachung auf ECS Amazon-Cluster einrichten.

Der nächste Schritt besteht darin, Runtime Monitoring und auch den Security Agent zu konfigurieren.