Activación de la supervisión en tiempo de ejecución para Amazon ECS - Amazon Elastic Container Service

Activación de la supervisión en tiempo de ejecución para Amazon ECS

Puede activar la supervisión en tiempo de ejecución de los clústeres con instancias de EC2 o cuando necesite un control detallado de la supervisión en tiempo de ejecución del clúster en Fargate.

A continuación se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución:

  • Para Linux, la versión de la plataforma Fargate debe ser 1.4.0 o posterior.

  • Roles de IAM y permisos para Amazon ECS:

    • Las tareas de Fargate deben tener un rol de ejecución de tareas. Este rol concede a las tareas permiso para recuperar, actualizar y administrar el agente de seguridad de GuardDuty en su nombre. Para obtener más información, consulte Rol de IAM de ejecución de tareas de Amazon ECS.

    • Usted controla la supervisión en tiempo de ejecución de un clúster con una etiqueta predefinida. Si sus políticas de acceso restringen el acceso en función de las etiquetas, debe conceder permisos explícitos a los usuarios de IAM para etiquetar los clústeres. Para obtener más información, consulte IAM tutorial: Define permissions to access AWS resources based on tags en la Guía del usuario de IAM.

  • Conexión al repositorio de Amazon ECR:

    El agente de seguridad de GuardDuty se almacena en un repositorio de Amazon ECR. Todas las tareas independientes y de servicio deben tener acceso al repositorio. Puede utilizar una de las siguientes opciones:

    • Para las tareas en subredes públicas, puede utilizar una dirección IP pública para la tarea o puede crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea. Para obtener más información, consulte Puntos de conexión de VCP de la interfaz de Amazon ECR (AWS PrivateLink) en la Guía del usuario de Amazon Elastic Container Registry.

    • Para las tareas en subredes privadas, puede utilizar una puerta de enlace de traducción de direcciones de red (NAT) o crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea.

      Para obtener más información, consulte Subred privada y puerta de enlace NAT.

  • Debe tener el rol AWSServiceRoleForAmazonGuardDuty de GuardDuty. Para obtener más información, consulte Service-linked role permissions for GuardDuty en la Guía del usuario de Amazon GuardDuty.

  • El usuario raíz debe poder acceder a todos los archivos que desee proteger con la supervisión en tiempo de ejecución. Si ha cambiado manualmente los permisos de un archivo, debe configurarlo en 755.

A continuación, se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución en instancias de contenedor de EC2:

La supervisión en tiempo de ejecución se activa en GuardDuty. Para obtener información sobre cómo habilitar la característica, consulte Enabling Runtime Monitoring en la Guía del usuario de Amazon GuardDuty.