Activación de la supervisión en tiempo de ejecución para Amazon ECS
Puede configurar GuardDuty para administrar automáticamente el agente de seguridad de todos los clústeres de Fargate.
Requisitos previos
A continuación se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución:
-
Para Linux, la versión de la plataforma Fargate debe ser
1.4.0
o posterior. Roles de IAM y permisos para Amazon ECS:
-
Las tareas de Fargate deben tener un rol de ejecución de tareas. Este rol concede a las tareas permiso para recuperar, actualizar y administrar el agente de seguridad de GuardDuty en su nombre. Para obtener más información, consulte Rol de IAM de ejecución de tareas de Amazon ECS.
-
Usted controla la supervisión en tiempo de ejecución de un clúster con una etiqueta predefinida. Si sus políticas de acceso restringen el acceso en función de las etiquetas, debe conceder permisos explícitos a los usuarios de IAM para etiquetar los clústeres. Para obtener más información, consulte IAM tutorial: Define permissions to access AWS resources based on tags en la Guía del usuario de IAM.
-
-
Conexión al repositorio de Amazon ECR:
El agente de seguridad de GuardDuty se almacena en un repositorio de Amazon ECR. Todas las tareas independientes y de servicio deben tener acceso al repositorio. Puede utilizar una de las siguientes opciones:
-
Para las tareas en subredes públicas, puede utilizar una dirección IP pública para la tarea o puede crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea. Para obtener más información, consulte Puntos de conexión de VCP de la interfaz de Amazon ECR (AWS PrivateLink) en la Guía del usuario de Amazon Elastic Container Registry.
Para las tareas en subredes privadas, puede utilizar una puerta de enlace de traducción de direcciones de red (NAT) o crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea.
Para obtener más información, consulte Subred privada y puerta de enlace NAT.
-
Debe tener el rol
AWSServiceRoleForAmazonGuardDuty
de GuardDuty. Para obtener más información, consulte Service-linked role permissions for GuardDuty en la Guía del usuario de Amazon GuardDuty.-
El usuario raíz debe poder acceder a todos los archivos que desee proteger con la supervisión en tiempo de ejecución. Si ha cambiado manualmente los permisos de un archivo, debe configurarlo en
755
.
A continuación, se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución en instancias de contenedor de EC2:
-
Debe usar la versión
20230929
o posterior de Amazon ECS-AMI. -
Debe ejecutar el agente de Amazon ECS en la versión
1.77
o posterior en las instancias de contenedor. -
Debe usar la versión del kernel
5.10
o posterior. -
Para obtener información sobre los sistemas operativos y las arquitecturas de Linux compatibles, consulte Which operating models and workloads does GuardDuty Runtime Monitoring support
. -
Puede usar Systems Manager para administrar sus instancias de contenedor. Para obtener más información, consulte Configuración de Systems Manager para instancias de EC2 en la Guía del usuario de AWS Systems Manager Session Manager.
Procedimiento
La supervisión en tiempo de ejecución se activa en GuardDuty. Para obtener información sobre cómo habilitar la característica, consulte Enabling Runtime Monitoring en la Guía del usuario de Amazon GuardDuty.