Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon ECS
La couverture d'exécution des clusters Amazon ECS inclut les tâches exécutées sur les instances de conteneur Amazon ECS AWS Fargate et sur celles-ci 1.
Pour un cluster Amazon ECS qui s'exécute sur Fargate, la couverture d'exécution est évaluée au niveau de la tâche. La couverture du temps d'exécution des clusters ECS inclut les tâches Fargate qui ont commencé à s'exécuter une fois que vous avez activé la surveillance du temps d'exécution et la configuration automatisée des agents pour Fargate (ECS uniquement). Par défaut, une tâche Fargate est immuable. GuardDuty ne sera pas en mesure d'installer l'agent de sécurité pour surveiller les conteneurs sur les tâches déjà en cours d'exécution. Pour inclure une telle tâche Fargate, vous devez arrêter puis recommencer la tâche. Assurez-vous de vérifier si le service associé est pris en charge.
Pour plus d'informations sur le conteneur Amazon ECS, consultez la section Création de capacités.
Table des matières
Consultation des statistiques de couverture
Les statistiques de couverture pour les ressources Amazon ECS associées à votre propre compte ou à vos comptes de membres sont le pourcentage de clusters Amazon ECS sains par rapport à tous les clusters Amazon ECS du groupe sélectionné Région AWS. Cela inclut la couverture des clusters Amazon ECS associés à la fois aux instances Fargate et EC2 Amazon. L'équation suivante représente cela comme suit :
(Clusters sains/Tous les clusters) x 100
Considérations
-
Les statistiques de couverture du cluster ECS incluent l'état de couverture des tâches Fargate ou des instances de conteneur ECS associées à ce cluster ECS. L'état de couverture des tâches Fargate inclut les tâches en cours d'exécution ou récemment terminées.
-
Dans l'onglet Couverture d'exécution des clusters ECS, le champ Instances de conteneur couvertes indique l'état de couverture des instances de conteneur associées à votre cluster Amazon ECS.
Si votre cluster Amazon ECS contient uniquement des tâches Fargate, le nombre s'affiche sous la forme 0/0.
-
Si votre cluster Amazon ECS est associé à une EC2 instance Amazon qui ne possède pas d'agent de sécurité, le cluster Amazon ECS aura également un statut de couverture défaillant.
Pour identifier et résoudre le problème de couverture de l' EC2 instance Amazon associée, consultez la section relative Résolution des problèmes de couverture EC2 d'Amazon Runtime aux EC2 instances Amazon.
Choisissez l'une des méthodes d'accès pour consulter les statistiques de couverture de vos comptes.
Pour plus d'informations sur les problèmes de couverture, consultezRésolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate.
Modification de l'état de couverture avec EventBridge notifications
L'état de couverture de votre cluster Amazon ECS peut apparaître comme étant défectueux. Pour savoir quand l'état de couverture change, nous vous recommandons de le surveiller régulièrement et de résoudre les problèmes s'il devient insalubre. Vous pouvez également créer une EventBridge règle Amazon pour recevoir une notification lorsque le statut de couverture passe de Malsain à Sain ou autre. Par défaut, il le GuardDuty publie dans le EventBridge bus pour votre compte.
Exemple de schéma de notification
Dans une EventBridge règle, vous pouvez utiliser les exemples d'événements et de modèles d'événements prédéfinis pour recevoir une notification de l'état de couverture. Pour plus d'informations sur la création d'une EventBridge règle, consultez la section Créer une règle dans le guide de EventBridge l'utilisateur Amazon.
En outre, vous pouvez créer un modèle d'événement personnalisé à l'aide de l'exemple de schéma de notification suivant. Assurez-vous de remplacer les valeurs de votre compte. Pour être averti lorsque le statut de couverture de votre cluster Amazon ECS passe de Healthy
àUnhealthy
, le detail-type
doit êtreGuardDuty Runtime
Protection Unhealthy
. Pour être averti lorsque le statut de couverture passe de Unhealthy
àHealthy
, remplacez la valeur de detail-type
parGuardDuty Runtime Protection Healthy
.
{ "version": "0", "id": "event ID", "detail-type": "GuardDuty Runtime Protection Unhealthy", "source": "aws.guardduty", "account": "Compte AWS ID", "time": "event timestamp (string)", "region": "Région AWS", "resources": [ ], "detail": { "schemaVersion": "1.0", "resourceAccountId": "string", "currentStatus": "string", "previousStatus": "string", "resourceDetails": { "resourceType": "ECS", "ecsClusterDetails": { "clusterName":"", "fargateDetails":{ "issues":[], "managementType":"" }, "containerInstanceDetails":{ "coveredContainerInstances":int, "compatibleContainerInstances":int } } }, "issue": "string", "lastUpdatedAt": "timestamp" } }
Résolution des problèmes de couverture du temps d'exécution d'Amazon ECS-Fargate
Si l'état de couverture de votre cluster Amazon ECS n'est pas satisfaisant, vous pouvez en connaître la raison dans la colonne Problème.
Le tableau suivant fournit les étapes de dépannage recommandées pour les problèmes liés à Fargate (Amazon ECS uniquement). Pour plus d'informations sur les problèmes de couverture des EC2 instances Amazon, consultez Résolution des problèmes de couverture EC2 d'Amazon Runtime la section relative aux EC2 instances Amazon.
Type de problème | Informations supplémentaires | Étapes de dépannage recommandées |
---|---|---|
L'agent ne fait pas de rapport |
L'agent ne présente pas de rapports pour les tâches dans |
Vérifiez que le point de terminaison VPC pour la tâche de votre cluster Amazon ECS est correctement configuré. Pour de plus amples informations, veuillez consulter Validation de la configuration des points de terminaison VPC. Si votre organisation dispose d'une politique de contrôle des services (SCP), vérifiez que la limite des autorisations ne restreint pas les |
|
Consultez les détails du problème du VPC dans les informations supplémentaires. |
|
L'agent est sorti |
ExitCode: |
Consultez les détails du problème dans les informations supplémentaires. |
Motif : |
||
ExitCode: |
||
L'agent est sorti : Raison |
Le rôle d'exécution des tâches doit disposer des autorisations Amazon Elastic Container Registry (Amazon ECR) suivantes :
Pour de plus amples informations, veuillez consulter Fournir les autorisations ECR et les détails du sous-réseau. Après avoir ajouté les autorisations Amazon ECR, vous devez redémarrer la tâche. Si le problème persiste, consultezMon AWS Step Functions flux de travail échoue de façon inattendue. |
|
Échec de la création du point de terminaison VPC |
L'activation du DNS privé nécessite à la fois que |
Assurez-vous que les attributs de VPC suivants sont définis sur Si vous utilisez la console Amazon VPC https://console.aws.amazon.com/vpc/ |
Agent non provisionné |
Invocation non prise en charge par |
Cette tâche a été invoquée par une personne |
Architecture de processeur « |
Cette tâche est exécutée sur une architecture de processeur non prise en charge. Pour plus d'informations sur les architectures de processeur prises en charge, consultezValidation des exigences architecturales. |
|
|
Le rôle d'exécution des tâches ECS est absent. Pour plus d'informations sur la fourniture du rôle d'exécution des tâches et des autorisations requises, consultezFournir les autorisations ECR et les détails du sous-réseau. |
|
Configuration réseau « |
Des problèmes de configuration réseau peuvent survenir en raison d'une configuration VPC manquante ou de sous-réseaux manquants ou vides. Vérifiez que la configuration de votre réseau est correcte. Pour de plus amples informations, veuillez consulter Fournir les autorisations ECR et les détails du sous-réseau. Pour plus d'informations, consultez les paramètres de définition des tâches Amazon ECS dans le manuel Amazon Elastic Container Service Developer Guide. |
|
Les tâches démarrées lorsque les clusters étaient dotés d'une balise d'exclusion sont exclues de la surveillance du temps d'exécution. Identifiant (s) de tâche concerné (s) : ' |
Lorsque vous modifiez la GuardDuty balise prédéfinie de Mettez à jour le tag sur |
|
Les services déployés lorsque les clusters étaient dotés d'une balise d'exclusion sont exclus de la surveillance du temps d'exécution. Nom (s) du service concerné : « |
Lorsque les services sont déployés avec la balise d'exclusion Mettez à jour le tag sur |
|
Les tâches démarrées avant l'activation de la configuration automatisée des agents ne sont pas couvertes. Identifiant (s) de tâche concerné (s) : « |
Lorsque le cluster contient une tâche lancée avant d'activer la configuration de l'agent automatisé pour Amazon ECS, il ne GuardDuty sera pas en mesure de la protéger. Relancez la tâche pour qu'elle soit surveillée par. GuardDuty |
|
Les services déployés avant l'activation de la configuration automatisée des agents ne sont pas couverts. Nom (s) du service concerné : « |
Lorsque les services sont déployés avant d'activer la configuration automatisée des agents pour Amazon ECS, GuardDuty aucun événement d'exécution n'est reçu pour les clusters ECS. |
|
Le service « |
Un service démarré avant l'activation de la surveillance du temps d'exécution n'est pas pris en charge. Vous pouvez soit redémarrer le service, soit le mettre à jour avec l' |
|
Les tâches démarrées avant l'activation de la surveillance du temps d'exécution doivent être relancées. Identifiant (s) de tâche concerné (s) : « |
Dans Amazon ECS, les tâches sont immuables. Pour évaluer le comportement d'exécution ou une AWS Fargate tâche en cours d'exécution, assurez-vous que la surveillance du temps d'exécution est déjà activée, puis redémarrez la tâche GuardDuty pour ajouter le sidecar du conteneur. |
|
Autres |
Problème non identifié, pour les tâches dans |
Utilisez les questions suivantes pour identifier la cause première du problème :
|