Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous devrez peut-être résoudre les problèmes ou vérifier que la surveillance du temps d'exécution est activée et exécutée sur vos tâches et vos conteneurs.
Rubriques
Comment savoir si le Runtime Monitoring est actif sur mon compte ?
Dans la console Amazon ECS, les informations se trouvent sur la page Paramètres du compte.
Vous pouvez également exécuter list-account-settings avec l'effective-settingsoption.
aws ecs list-account-settings --effective-settingsSortie
Le paramètre dont le nom guardDutyActivate et la valeur sont définis sur on indique que le compte est configuré. Vous devez vérifier auprès de votre GuardDuty administrateur si la gestion est automatique ou manuelle.
{
"setting": {
"name": "guardDutyActivate",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:root",
"type": "aws-managed"
}
}Comment savoir si le Runtime Monitoring est actif sur un cluster ?
Dans la console Amazon ECS, les informations se trouvent dans l'onglet Tags de la page détaillée du cluster.
Vous pouvez également exécuter describe-clusters avec l'TAGSoption.
L'exemple suivant montre la sortie du cluster par défaut
aws ecs describe-clusters --cluster default --include TAGSSortie
La balise dont la clé est définie sur GuardDutyManaged et la valeur définie sur true indique que le cluster est configuré pour la surveillance du temps d'exécution.
{
"clusters": [
{
"clusterArn": "arn:aws:ecs:us-east-1:1234567890:cluster/default",
"clusterName": "default",
"status": "ACTIVE",
"registeredContainerInstancesCount": 0,
"runningTasksCount": 1,
"pendingTasksCount": 0,
"activeServicesCount": 0,
"statistics": [],
"tags": [
{
"key": "GuardDutyManaged",
"value": "true"
}
],
"settings": [],
"capacityProviders": [],
"defaultCapacityProviderStrategy": []
}
],
"failures": []
}Comment savoir si l'agent de GuardDuty sécurité est exécuté sur une tâche Fargate ?
L'agent GuardDuty de sécurité fonctionne comme un conteneur annexe pour les tâches Fargate.
Dans la console Amazon ECS, le sidecar s'affiche sous Conteneurs sur la page des détails de la tâche.
Vous pouvez exécuter describe-tasks et rechercher le conteneur dont le nom est défini sur aws-gd-agent et le LastStatus défini sur. RUNNING
L'exemple suivant montre la sortie du cluster par défaut pour la tâcheaws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE.
aws ecs describe-tasks --cluster default --tasks aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLESortie
Le conteneur nommé gd-agent est dans l'RUNNINGétat.
"containers": [
{
"containerArn": "arn:aws:ecs:us-east-1:123456789012:container/4df26bb4-f057-467b-a079-96167EXAMPLE",
"taskArn": "arn:aws:ecs:us-east-1:123456789012:task/0b69d5c0-d655-4695-98cd-5d2d5EXAMPLE",
"lastStatus": "RUNNING",
"healthStatus": "UNKNOWN",
"memory": "string",
"name": "aws-gd-agent"
}
] Comment savoir si l'agent de GuardDuty sécurité est en cours d'exécution sur une instance de EC2 conteneur ?
Exécutez la commande suivante pour afficher l'état :
sudo systemctl status amazon-guardduty-agentLe fichier journal se trouve à l'emplacement suivant :
/var/log/amzn-guardduty-agentQue se passe-t-il lorsqu'il n'existe aucun rôle d'exécution de tâche pour une tâche exécutée sur le cluster ?
Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.
Comment puis-je savoir si je dispose des autorisations appropriées pour étiqueter des clusters à des fins de surveillance du temps d'exécution ?
Pour étiqueter un cluster, vous devez avoir l'ecs:TagResourceaction à la fois pour CreateCluster etUpdateCluster.
Voici un extrait d'un exemple de politique.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction" : "CreateCluster",
"ecs:CreateAction" : "UpdateCluster",
}
}
}
]
}Que se passe-t-il en cas d'absence de connexion Amazon ECR ?
Pour les tâches Fargate, la tâche démarre sans le conteneur annexe de GuardDuty l'agent de sécurité. Le GuardDuty tableau de bord indiquera que la tâche n'est pas protégée dans le tableau de bord des statistiques de couverture.
Comment puis-je corriger les erreurs liées au manque de mémoire sur mes tâches Fargate après avoir activé la surveillance du temps d'exécution ?
L'agent GuardDuty de sécurité est un processus léger. Cependant, le processus consomme toujours des ressources en fonction de l'importance de la charge de travail. Nous vous recommandons d'utiliser des outils de suivi des ressources des conteneurs, tels que Amazon CloudWatch Container Insights, pour organiser GuardDuty les déploiements dans votre cluster. Ces outils vous aident à découvrir le profil de consommation de l'agent de GuardDuty sécurité pour vos applications. Vous pouvez ensuite ajuster la taille de votre tâche Fargate, si nécessaire, pour éviter tout risque de manque de mémoire.
